Icodia : Hébergeur haute disponibilté depuis 15 ans - Icodia > Icodia hébergeur internet - Infrastructure de notre datacenter à Rennes (Bretagne)

ICODIA

Notre infrastructure



Introduction

Créé en 2000, ICODIA est une société qui regroupe différents acteurs de la sécurité réseau, du développement logiciel avancé et de la transmission de l'information sur les réseaux. Le fondement d'ICODIA, c'est de prouver qu'il est possible d'allier professionnalisme, qualité de services, réactivité, pérennité et tarifs compétitifs.
La rencontre des compétences réseau, de l'ingénierie logicielle et de la sécurité réseau a permis de construire une plateforme d'hébergement optimisée largement en avance sur son temps. L'ensemble des outils d'automatisation de la gestion a également permis un gain de temps très important, et une réduction maximale du taux d'erreur, en permettant une réactivité optimale.
C'est pour cela que nous sommes hébergeurs directs et opérateurs de nos propres liens. L'hébergement direct signifie que nous possédons nos propres salles de serveurs, dans nos locaux, avec nos propres serveurs. Pour assurer une fiabilité optimale, tous les composants essentiels à notre plateforme sont redondants : liens Internet, firewalls, passerelles, serveurs DNS, routeurs, serveurs de messagerie, connectique, etc.
Notre exigence est la plus élevée en matière de sécurité, fiabilité, et disponibilité du service, avec une astreinte technique 24/7/365. Chaque écart de température, de tension électrique, d'humidité, de peering réseau, etc., provoque une ou plusieurs alertes auprès de notre centre opérationnel.
Notre service technique est également joignable 24/7/365, pour des raisons identiques.

Plateforme physique

Sécurité physique

L'accès à notre plateforme d'hébergement est protégé par un système de surveillance locale et distante avec historique, 24/7/365. L'accès aux salles blanches est autorisé uniquement au personnel qualifié et compétent de la société. Notre datacenter n'est pas en accès libre et est sécurisé par un gardiennage permanent.

Sécurité électrique

Nos salles de serveurs disposent de plusieurs systèmes d'onduleurs qui protègent les serveurs et les équipements réseaux contre tous les risques électriques, coupure secteur EDF, chocs électriques, surtensions, etc.
Chaque baie dispose de son disjoncteur.
Le réseau électrique est doublé et contrôlé en permanence par notre outil de supervision. Un groupe électrogène permet de prendre le relais en quelques secondes en cas de coupure du réseau EDF (disponibilité électrique garantie par contrat SLA), avec suffisamment de carburant pour faire fonctionner le système pendant plusieurs jours.
Nos salles de serveurs sont sécurisées contre les émissions électromagnétiques.

Sécurité incendie

Nos salles de serveurs sont équipées de systèmes de détection d'incendie certifiés et contrôlés 24h/24, couplé à un système d'extinction par émission de gaz A2+ (50% d'azote et 50% d'argon).
Cette technique permet d'éteindre rapidement tout feu en diminuant l'oxygène disponible pour passer en dessous du point de combustion, tout en évitant au maximum la détérioration physique du matériel, contrairement à un système classique à eau+additifs, ou pire, à poudre.

Climatisation

Nos salles de serveurs sont équipées d'un triple système de climatisation indépendant (redondance). L'air conditionné est diffusé par un système de brassage, ce qui permet d'obtenir une température constante dans l'ensemble du volume des salles blanches.
La température est maintenue à 20° C +/- 1° C tout au long de l'année.
L'hygrométrie relative est entre 30 et 40%.
Le système n'effectue pas d'échange gazeux avec l'extérieur (salles blanches).

Datacenter vert

Depuis plus de 6 ans, nous avons mis en place un programme de remplacement de nos serveurs par des solutions de serveurs "blade" et "nodes", primés pour être les moins consommateurs d'énergie. Ils sont plus coûteux en termes d'investissement, mais ils permettent une économie d'énergie de 30% par rapport aux serveurs classiques. Nous utilisons des alimentations pour nos serveurs PFC 80 PLUS Platine/Energy Star à très haut rendement pour les serveurs classiques.
Toujours afin de réduire la chaleur émise par les serveurs et ainsi limiter le besoin en systèmes de refroidissement, notre équipe technique a opté pour l'usage de processeurs Intel, plus performants sur ce point que leurs concurrents.
A l'occasion de l'aménagement de notre nouveau datacenter, nous avons été très attentifs aux matériaux d'isolation de notre bâtiment, afin d'augmenter le rendement énergétique.
Nous avons privilégié un système de climatisation basé sur des pompes à chaleur, afin de récupérer l'énergie calorique provenant de nos salles de serveurs, pour climatiser et chauffer l'ensemble du bâtiment. Nous favorisons systématiquement la dématérialisation des documents.
Nos collaborateurs sont également soucieux de l'écologie et du développement durable : nos salariés privilégient les transports en commun (politique de soutien par l'entreprise), le vélo ou même les véhicules électriques pour se rendre au travail.

Pérennisation

Nous avons une PSSI stricte qui s'applique sur l'ensemble de nos processus. Nous expliquons le plus possible à nos partenaire la mise en œuvre des différentes directives et manuel de sécurité et cybersécurité, comme l'EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), créée par l'ANSSI, permettant d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI).
Ces protocoles permettent de garantir le sérieux de notre structure dans la disponibilité et la sécurisation du système d'information de nos clients.
Notre datacenter dispose d'une fiabilité optimale, par l'utilisation de solutions sécurisant la fourniture d'énergie électrique, la climatisation du datacenter, le risque d'incendie, et les intrusions physiques et informatiques.
La sensibilisation et le suivi de nos collaborateurs et de nos partenaires sont également des points essentiels.
Ces méthodes assurent à notre datacenter un niveau de classification TIER IV, selon les règles définies par l'Uptime Institut.

Connectivité de la plateforme

ARCEP

RIPE

Nous offrons à nos clients un environnement optimal de connectivité pour les données. Nous assurons un principe de backup par technologie de DNS redondants et de DNS variables, couplés à un système de liens redondants. Cette solution technique unique, et propriétaire, est le résultat d'une recherche et d'un développement interne. Elle a été acquise grâce à l'expertise de notre équipe d'ingénierie réseau. Elle est couplée à l'utilisation de protocoles BGP permettant d'optimiser la gestion des paquets IP.

Réseau LAN

Notre réseau LAN est basé sur des liens de 1 Gb/s cuivre à 80 Gb/s cuivre/optiques.
Tous nos composants actifs du réseau, switchs, etc., sont doublés pour obtenir une redondance maximale. Le réseau LAN est intégré dans un système de distribution permettant la protection physique et logique de l'information.

Réseau WAN

Notre réseau WAN est basé sur un lien principal, des liens secondaires et d'éventuels liens de backup dédiés. L'utilisation des technologies fibre (64 paires) et 4G permet une souplesse dans la gestion de la bande passante et des besoins. Cette souplesse est amplement optimisée, puisqu'elle permet d'activer de la bande passante à la demande, pour de l'événementiel, par exemple, et mensuellement.
L'utilisation de la technologie BGP4 permet d'augmenter la fiabilité d'accès aux réseaux. Nous travaillons avec les opérateurs principaux de transit afin de disposer du meilleur peering. Nous disposons de 10x1 Gb/s de bande passante symétrique dédiée Internet, plus les liens de backup dédiés. La bande passante actuellement disponible peut être augmentée très rapidement si les besoins l'exigent. Nous disposons d'un peering par serveur, vers les opérateurs de transit de 1 Gb/s, ce qui est assez rare dans l'hébergement dédié.
Une supervision permet l'analyse temps réel dans la qualité de la bande passante, du peering, des paquets perdus, etc. La bande passante est burstable (autorisation de dépassement) ce qui a l'avantage d'avoir des solutions très fexibles.
Nous maintenons un uptime et un peering supérieurs à 99,999 %.
Cet uptime est calculé et analysé en temps réel vers nos 29 peers principaux (Ipv4).

Plateforme technique

MySQL

PHP

OpenBSD

Linux

Microsoft Windows

Firewall / VAC

Le maillon essentiel de la protection contre les intrusions est le firewall. L'architecture du réseau de la plateforme a été pensée afin de maximiser l'efficacité de ces derniers.
Ils sont installés sur les passerelles d'interconnexion des réseaux car tout le trafic entre les différents segments passe par ces points. Ces firewalls sont des solutions entièrement dédiées, basés sur des systèmes Unix OpenBSD.
Ils sont actifs ("stateful deep packet inspection firewall") : ils peuvent détecter et modifier l'exploitation des paquets IP suivant l'activité réseau.
Ils sont installés en clusters (plusieurs serveurs, redondants, gérant également la charge réseau et ressource). Nous disposons d'un système de mitigation DDoS (VAC), entièrement propriétaire.
L'ensemble de l'application logicielle firewall a reçu de nombreuses récompenses face aux tests d'intrusion et de sécurité.

La technologie logique

Grâce au savoir-faire de notre équipe de développeurs et de l'équipe technique, notre plateforme permet d'héberger n'importe quel type de solution serveur, allant de Linux à Windows, en passant par Unix ou Solaris.
Malgré tout, l'ensemble des composants actifs du réseau est basé sur des serveurs Unix OpenBSD ou Linux. Chaque serveur possède des disques durs en mode RAID1 n-2 avec gestion d'erreur et chaque service de chaque serveur est analysé contre toute erreur, en temps réel.
Une alerte, de n'importe quel type, est automatiquement envoyée, en cas de problème, à la supervision.
Chaque serveur actif de routage est doublé et clustérisé.
Tous les serveurs sont sauvegardés quotidiennement sur des supports délocalisés. Notre politique en termes de sauvegarde est claire : chaque serveur de la plateforme partagée et mutualisée dispose de disques SSD redondants. Une sauvegarde de l'intégralité des données de ces serveurs est effectuée toutes les 24 heures sur des serveurs de backup, avec n-2 générations de sauvegarde. La dernière génération de sauvegarde est stockée sur des serveurs distants, géolocalisés en France métropolitaine.

Antivirus

Plus de 90% des infections virales passent par la messagerie.
Nos serveurs de messagerie disposent de filtres antivirus performants, basés sur des empruntes et renforcés par une intelligence artifcielle décisionnelle OLAP hypercube. La plateforme a été développée intégralement en interne par notre R&D. Elle a été labellisée France Cybersecurity.
Le système filtre également les alias emails et les redirections emails. Il est bien sûr possible de désactiver la fonctionnalité d'alerte, pour minimiser le nombre d'emails, tout en conservant l'efficacité de l'antivirus en ligne. Dans tous les cas, un message d'information est envoyé. Aucun message n'est effacé sans information.

Antispam

Plusieurs niveaux et technologies antispam, avec tests sur les bases RBL/RSS/OPS, disposant également d'un module analytique (système de filtrage bayésien), suppriment la plus grande partie des SPAMS (SPAM = message email non sollicités) sur vos boîtes emails, alias et redirections email.
Des modules supplémentaires uniques et performants, comme le module OCR (reconnaissance de caractères) temps réel sur les emails entrants, permettent aussi de refuser les SPAMS contenant, par exemple, uniquement une ou plusieurs images publicitaires. Les modes de fonctionnement des filtres antispam sont, de base, automatiques, mais vous pouvez rajouter vos propres règles sur ceux-ci, désactiver des filtres partiellement ou totalement. Aucun message n'est également effacé sans information. Enfin, chaque utilisateur dispose de sa propre gestion de listes d'emails et IPs pour le blacklist/whitelist.

Chiffrement et mots de passe

Pour renforcer la sécurité sur nos serveurs, les anciens protocoles de communation sont désactivés par défaut (comme telnet ou ssh v1) car non sécurisés. Cette restriction est levée sous certaines conditions, comme l'utilisation du protocole SSH2.
Le protocole FTP est également utilisé pour faire des modifications sur les serveurs de production. Les serveurs FTP sont protégés contre les tentatives d'intrusions, sans accès anonyme, et possibilité de vérifcation d'adresses IP et de nom de HOST et FTPS.
Un système de détection de tentative d'intrusion permet également d'exclure une adresse IP pendant un temps déterminé, comme en cas de 'hammering' (tentative de 'bruteforce' de mot de passe).
Le mot de passe des comptes permettant d'accéder aux serveurs est généré par les systèmes de hashage d'ICODIA.
Les générateurs de mots de passe assurent une logique, permettant une sécurité optimale contre les techniques de hacking telles que le 'brut force', tout en facilitant sa mémorisation par le cerveau humain. Nos différents systèmes d'applications en ligne utilisent toutes différentes technologies de chiffrement, allant de la clé SSL aux chiffrements plus complexes non bijectifs. En outre, ces différentes technologies peuvent s'avérer très utiles lors de traitements de bases de données privées, ou de flux monétiques.

Confidentialité

Les données présentes sur l'ensemble des serveurs d'Icodia ne peuvent en aucun cas être divulguées à des tiers. Les sauvegardes réalisées sont chiffrées et compressées. Les statistiques et les fichiers d'événements relatifs aux différents serveurs web et au fonctionnement des sites Internet restent privés. Nous ne communiquons sur des références clients uniquement qu'avec l'approbation de ceux-ci.
Nos protocoles nous imposent également un fonctionnement clair dans la gestion des données : seul le personnel autorisé peut traiter les stockages de données. Tout matériel de stockage obsolète ou détérioré est détruit par un protocole sécurisé. Exemple : la destruction d'un disque dur se fera via un protocole de nettoyage DoD, puis via une presse hydraulique.

Bureau d'enregistrement de noms de domaine

ICANN afinIC

Icodia fait partie du "council of registrars" depuis 2001, permettant notamment d'avoir des fonctions actives au sein des gTLD de l'ICANN (Internet Corporation for Assigned Names and Numbers). Grâce à ce fonctionnement, nous réduisons le plus possible les intermédiaires entre les registres de noms de domaine (organisation responsable d'une zone, comme l'afinic pour le .FR) et Icodia, ce qui nous permet d'enregistrer en temps réel (rechargement des bases WHOIS) les extensions les plus courantes (.FR, .COM, .NET, .ORG, .EU, etc.)
Icodia est également membre AFNIC (option 1), permettant d'enregistrer directement des noms de domaines sur la zone .FR. Un système de robots (programmes automatiques) a été développé pour permettre de gérer la création, la mise en place et le maintien d'un nom de domaine d'une manière sûre et rapide.
Icodia est membre du RIPE NCC (Registre des Réseaux IP Européens Network Coordination Centre), permettant de gérer et d'enregistrer ses propres adresses IP et ses propres réseaux. Enfin, Icodia fait partie de l'ARCEP (Autorité de Régulation des Communications Électroniques et des Postes), assurant une conformité de ses services avec le législateur, et la mise en relation sur l'évolution juridique d'Internet et de notre métier.

Données techniques*

*relatives à la plateforme ICODIA, peut varier suivant le type de forfait et le besoin

Serveurs Web

Système d'exploitation OpenBSD 5.x ou 6.x, Linux (Centos,Slackware,Redhat) ou Win32/64, application Web Apache et NginX, PHP 5.2.x à 7.x, base de données MySQL 4.1.x à MySQL 5.x, Perl, Python, C++, .Net, Java, Jserv, etc.

Serveurs de messagerie

Serveurs email POP3/SMTP/POP3SSL/SMTP SSL : système d'exploitation OpenBSD 5.x pour la partie mutualisée ; solution basée sur Sendmail, Postfix, et Imail server, développé en interne depuis 2002. Dispose d'un filtrage antivirus et antispam novateur et performant.

Serveurs de noms

Serveurs DNS : système d'exploitation OpenBSD 5.x, serveurs DNS redéveloppés par la plateforme, basés sur BIND, disponibles en licence GNU.

Serveurs d'interconnexion, gestion de bande passante et sécurité routeurs, firewall, gates

Système stateful, mitigation VAC antiddos. Contrôle du flux QOS, des attaques, suppression de certains protocoles non sécurisés (icmp type 8). Un cluster permet, pour contrer les attaques DDoS (notamment tcp syn, etc.), de filtrer le trafic non légitime et le décaler via le VAC, laissant ainsi passer tous les paquets légitimes.

Statistiques

Clusters (grappe de serveurs) de puissance, avec parser temps réel de logs Apache, logs messagerie, attaques, virus, spams, etc.

Contrôle

Les serveurs maîtres de contrôle analysent l'état des composants actifs et passifs du réseau LAN, mais également la chaîne WAN, le peering, la qualité de réponse, les ressources systèmes, etc. Ces serveurs déploient également une infrastructure toute particulière dite 'étoile propagée' qui effectue une batterie de tests temps réel avec réponses actives de chaque serveur testé. Un outil de prise de décision permet d'effectuer rapidement une action en ayant le maximum d'éléments probants, permettant de gagner un temps précieux en cas d'incident.
Le service d'ingénierie logicielle (développement sur systèmes) d'ICODIA fait partie de différents projets Open Source, permettant le déploiement de nouveaux modules pour les applications serveurs, comme, par exemple, la création de filtres actifs sur iptables (firewall Linux) ou encore le développement de modules spécifiques pour la fondation Apache.

Astreinte et support technique

Nous disposons d'une réelle astreinte 24/7/365, avec des moyens humains et techniques réels (comme fnalement peu d'opérateurs...), ainsi que d'un support 24/7/365 localisé dans notre datacenter, disposant de compétences réelles (chaque technicien maitrise le réseau, ses normes, les langages comme PHP/shell/C++/Perl/Python/etc., Apache, Linux, Win32/64, etc.).
Le temps de traitement moyen d'un ticket d'incident (en jours ouvrés) est inférieur à 1h, ce qui nous classe parmi l'un des supports les plus réactifs du marché. Notre support technique de qualité est un réel plus pour nos clients, dans un domaine où le support est critique, et où il est trop souvent mis de côté par les acteurs de notre secteur d'activité...

Nous mettons à votre disposition nos coordonnées complètes sur une même page. En savoir plus...

Loading.. Chargement en cours...