Icodia : Hébergeur haute disponibilté depuis 15 ans - Icodia > Icodia l'hébergeur internet Breton - Datacenter à Rennes

ICODIA

Notre infrastructure



Introduction

Créé en 2000, ICODIA est une société qui regroupe différents acteurs de la sécurité réseau, du développement logiciel avancé et de la transmission de l'information sur les réseaux. Le fondement d'ICODIA, c'est de prouver qu'il est possible d'allier professionnalisme, qualité de services, réactivité, pérennité et tarifs compétitifs.
La rencontre des compétences réseau, de l'ingénierie logicielle et de la sécurité réseau a permis de construire une plateforme d'hébergement optimisée largement en avance sur son temps. L'ensemble des outils d'automatisation de la gestion a également permis un gain de temps très important, et une réduction maximale du taux d'erreur, en permettant une réactivité optimale.
C'est pour cela que nous sommes hébergeurs directs et opérateurs de nos propres liens. L'hébergement direct signifie que nous possédons nos propres salles de serveurs, dans nos locaux, avec nos propres serveurs. Pour assurer une fiabilité optimale, tous les composants essentiels à notre plateforme sont redondants : liens Internet (BGP AS44297), firewalls, passerelles, serveurs DNS, routeurs, serveurs de messagerie, connectique, etc.
Notre exigence est la plus élevée en matière de sécurité, fiabilité et disponibilité du service, avec une astreinte technique 24/7/365. Chaque écart de température, de tension électrique, d'humidité, de peering réseau, etc., provoque une ou plusieurs alertes auprès de notre centre opérationnel.
Notre service technique est également joignable 24/7/365, pour des raisons identiques.

Plateforme physique

Sécurité physique

L'accès à notre plateforme d'hébergement est protégé par un système de surveillance locale et distante avec historique, 24/7/365. L'accès aux salles blanches est autorisé uniquement au personnel qualifié et compétent de la société. Notre datacenter n'est pas en accès libre et est sécurisé par un gardiennage permanent.

Sécurité électrique

Nos salles de serveurs disposent de plusieurs systèmes d'onduleurs qui protègent les serveurs et les équipements réseaux contre tous les risques électriques, coupure secteur EDF, chocs électriques, surtensions, etc. Ils sont au minimum doublés au niveau redondance.
Le réseau électrique est doublé et contrôlé en permanence par notre outil de supervision. Un groupe électrogène permet de prendre le relais en quelques secondes en cas de coupure du réseau EDF (disponibilité pouvant être garantie par contrat SLA), avec suffisamment de carburant pour faire fonctionner le système pendant plusieurs semaines.
Nos salles de serveurs sont sécurisées contre les émissions électromagnétiques.

Sécurité incendie

Nos salles de serveurs sont équipées de systèmes de détection d'incendie certifiés et contrôlés 24h/24, couplés à un système d'extinction par émission de gaz A2+ (50% d'azote et 50% d'argon). Cette technique permet d'éteindre rapidement tout feu en diminuant l'oxygène disponible pour passer en dessous du point de combustion, tout en évitant au maximum la détérioration physique du matériel, contrairement à un système classique.
Nous disposons également d'un système de remontée d'alertes incendie prédictif, unique, innovant et extrêmement efficace développé par notre pôle R&D Icodia Labs.

Climatisation

Nos salles de serveurs sont équipées d'un triple système de climatisation indépendant (redondance n-2). L'air conditionné est diffusé par un système de brassage, ce qui permet d'obtenir une température constante dans l'ensemble du volume des salles blanches.
La température est maintenue à 20° C +/- 1° C tout au long de l'année.
L'hygrométrie relative est entre 30 et 40%.
Le système n'effectue pas d'échange gazeux avec l'extérieur (salles blanches).

Datacenter vert

Depuis plus de 10 ans, nous avons mis en place un programme de remplacement de nos serveurs par des solutions de serveurs "blade" et "nodes", primés pour être les moins consommateurs d'énergie. Ils sont plus coûteux en termes d'investissement, mais ils permettent une économie d'énergie de 30% par rapport aux serveurs classiques. Nous utilisons des alimentations pour nos serveurs PFC 80 PLUS Platine/Energy Star à très haut rendement pour les serveurs classiques.
À l'occasion de l'aménagement de notre nouveau datacenter, nous avons été très attentifs aux matériaux d'isolation de notre bâtiment, afin d'augmenter le rendement énergétique.
Nous avons privilégié un système de climatisation basé sur des pompes à chaleur, afin de récupérer l'énergie calorique (chaleur fatale) provenant de nos salles de serveurs, pour climatiser et chauffer l'ensemble du bâtiment.
Nous favorisons systématiquement la dématérialisation des documents.
Nos collaborateurs sont également soucieux de l'écologie et du développement durable : nos salariés privilégient les transports en commun (politique de soutien par l'entreprise), le vélo ou même les véhicules électriques pour se rendre au travail.

Pérennisation

Nous avons mis en place une PSSI stricte qui s'applique sur l'ensemble de nos processus. Nous expliquons le plus possible à nos partenaire la mise en œuvre des différentes directives et manuels de sécurité et cybersécurité, permettant d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI).
Ces protocoles permettent de garantir le sérieux de notre structure dans la disponibilité et la sécurisation du système d'information de nos clients.
Notre datacenter dispose d'une fiabilité optimale, par l'utilisation de solutions sécurisant la fourniture d'énergie électrique, la climatisation du datacenter, le risque d'incendie, et les intrusions physiques et informatiques.
La sensibilisation et le suivi de nos collaborateurs et de nos partenaires sont également des points essentiels.

Connectivité de la plateforme

ARCEP

RIPE

Nous offrons à nos clients un environnement optimal de connectivité pour les données. Nous avons déployé un système innovant de routage BGP/VAC multi opérateurs sur notre propre AS, tout en fulltable avec optimisation des routes par CIDR (classes d'adresse IP). Cette solution technique unique et propriétaire, est le résultat d'une recherche et d'un développement interne par notre pôle R&D. Elle a été acquise grâce à l'expertise de notre équipe d'ingénierie réseau.

Réseau LAN

Notre réseau LAN est basé sur des liens de 1 Gb/s cuivre à 100 Gb/s optiques.
Tous les composants actifs de notre réseau, switchs, etc., sont doublés pour obtenir une redondance maximale. Le réseau LAN est intégré dans un système de distribution permettant la protection physique et logique de l'information.

Réseau WAN

Notre réseau WAN est basé sur un BGP multiopérateurs, des liens secondaires et d'éventuels liens de backup dédiés.
L'utilisation des technologies fibre (64 paires) et 4G permet une souplesse dans la gestion de la bande passante et des besoins. Cette souplesse est amplement optimisée, puisqu'elle permet d'activer de la bande passante à la demande, pour de l'événementiel, par exemple.

La technologie BGP

L'utilisation de la technologie BGP (AS44297) permet d'augmenter la fiabilité d'accès aux réseaux. Nous travaillons avec les opérateurs principaux de transit afin de disposer du meilleur peering. Notre réseau multi opérateurs et notre POP sont directement installés dans notre datacenter. La bande passante actuellement disponible peut être augmentée facilement si les besoins l'exigent. Une supervision permet l'analyse temps réel de la qualité de la bande passante, du peering, des paquets perdus, etc. La bande passante est burstable (autorisation de dépassement) ce qui a l'avantage d'avoir des solutions très fexibles.
Nous maintenons un uptime et un peering supérieurs à 99,999 %.
Cet uptime est calculé et analysé en temps réel vers nos 20 peers principaux (Ipv4).

Plateforme technique

MySQL

PHP

OpenBSD

Linux

Microsoft Windows

Firewall / VAC

Le maillon essentiel de la protection contre les intrusions est le firewall. L'architecture du réseau de la plateforme a été pensée afin de maximiser l'efficacité de ces derniers.
Ils sont installés sur les passerelles d'interconnexion des réseaux car tout le trafic entre les différents segments passe par ces points. Ces firewalls sont des solutions entièrement dédiées, basées sur des systèmes Unix OpenBSD.
Ils sont actifs ("stateful deep packet inspection firewall") : ils peuvent détecter et modifier les paquets à l'entête près.
Ils sont installés en clusters (plusieurs serveurs, redondants, gérant également la charge réseau et ressources). Nous disposons d'un système de mitigation DDoS (VAC), entièrement propriétaire et innovant, qui a été primée et labéllisé, installé sur l'ensemble de la plateforme.

La technologie logique

Grâce au savoir-faire de notre équipe de développeurs et de l'équipe technique, notre plateforme permet d'héberger n'importe quel type de solution serveur, allant de Linux à Windows, en passant par Unix ou Solaris.
Malgré tout, l'ensemble des composants actifs du réseau est basé sur des serveurs Unix OpenBSD ou Linux Redhat. Chaque serveur possède a minima des disques SSD/durs en mode miroir (RAID1) avec gestion d'erreur et remontée de panne.
En cas de problème, toute alerte, quel que soit son type, est automatiquement envoyée à la supervision (NOC).
Tous les serveurs mutualisés sont sauvegardés quotidiennement sur des supports délocalisés. Notre politique en termes de sauvegarde est claire : chaque serveur de la plateforme partagée et mutualisée dispose de disques SSD redondants. Une sauvegarde de l'intégralité des données de ces serveurs est effectuée toutes les 24 heures sur des serveurs de backup, avec n-2 générations de sauvegarde. La dernière génération de sauvegarde est stockée sur des serveurs distants, chiffrés et géolocalisés en France métropolitaine (RGPD). Sur les environnement virtualisés et dédiés, nous pouvons mettre en place la même technologie sur demande.

Antivirus

Plus de 90% des infections virales passent par la messagerie.
Nos serveurs de messagerie disposent de filtres antivirus performants, basés sur des empruntes (hash) et renforcés par une intelligence analytique décisionnelle OLAP hypercube. La plateforme a été développée intégralement en interne par notre pôle R&D Icodialabs. Elle a été labellisée France Cybersecurity àplusieurs reprises, et présentée au FIC.

Antispam

Plusieurs niveaux et technologies antispam, avec tests sur les bases RBL/RSS/OPS, disposant également d'un module analytique (système de filtrage bayésien), suppriment la plus grande partie des SPAMS sur vos boîtes e-mails, alias et redirections e-mail.
Des modules supplémentaires uniques et performants, comme le module OCR (reconnaissance de caractères) temps réel sur les emails entrants, permettent aussi de refuser les SPAMS contenant, par exemple, uniquement une ou plusieurs images publicitaires. Les modes de fonctionnement des filtres antispam sont activés par défaut, mais vous pouvez rajouter vos propres règles sur ceux-ci, désactiver des filtres partiellement ou totalement. Aucun message n'est également effacé sans information. Enfin, chaque utilisateur dispose de sa propre gestion de listes d'emails et IPs pour le blacklist/whitelist.

Chiffrement et mots de passe

Pour renforcer la sécurité sur nos serveurs, les anciens protocoles de commutation sont désactivés par défaut (comme par exemple telnet) car non sécurisés. Cette restriction est levée sous certaines conditions, comme l'utilisation du protocole SSH2.
Des systèmes de détection de tentatives d'intrusion permettent également d'exclure une adresse IP pendant un temps déterminé, comme en cas de 'hammering' (tentative de 'bruteforce' de mot de passe), et remontent régulièrement des risques de sécurité au NOC (centre d'opérations du réseau ) .
Nos différents systèmes en ligne utilisent tous différentes technologies de chiffrement, allant de la clé SSL au système de hachage, etc.

Confidentialité

Les données présentes sur l'ensemble des serveurs d'Icodia ne peuvent en aucun cas être divulguées à des tiers. Les sauvegardes réalisées sont chiffrées et compressées. Les statistiques et les fichiers d'événements relatifs aux différents serveurs web et au fonctionnement des sites Internet restent privés. Nous ne communiquons sur des références clients uniquement qu'avec l'approbation de ceux-ci.
Nos protocoles nous imposent également un fonctionnement clair dans la gestion des données : seul le personnel autorisé peut traiter les stockages de données. Tout matériel de stockage obsolète ou détérioré est détruit selon un protocole sécurisé. Exemple : la destruction d'un disque dur se fera via un protocole de nettoyage (DoD 5520.00-M), puis via une presse hydraulique.

Bureau d'enregistrement de noms de domaine

ICANN afnicaf

Icodia est membre de nombreuses organisations à but non lucratif d’Internet, comme l’AFNIC, permettant notamment d'avoir des fonctions actives au sein des certains TLD de l'ICANN (Internet Corporation for Assigned Names and Numbers). Grâce à ce fonctionnement, nous réduisons le plus possible les intermédiaires entre les registres de noms de domaine (organisation responsable d'une zone, comme l'AFNIC pour le .FR) et ICODIA, ce qui nous permet d'enregistrer en temps réel les extensions les plus courantes. Nous appliquons par défaut et dès nos tarifs de base une politique de sécurisation du titulaire du nom de domaine afin d’éviter notamment certains vols par ruse.
Icodia est membre du RIPE NCC (Registre des Réseaux IP Européens Network Coordination Centre), ce qui nous permet de gérer et d'enregistrer nos propres adresses IP et nos propres réseaux.
Enfin, Icodia fait partie de l'ARCEP (Autorité de Régulation des Communications électroniques et des Postes), assurant une conformité de ses services avec le législateur et la mise en relation sur l'évolution juridique d'Internet et de notre métier.

Données techniques*

*relatives à la plateforme ICODIA, peut varier suivant le type de forfait et le besoin

Serveurs Web

Système d'exploitation OpenBSD ou Linux (Redhat/Centos/OL), ou Win/64, applications Web Apache et NginX, PHP, MySQL/MariaDB, etc.

Serveurs de messagerie

Clusters email POP3-SSL/IMAP-SSL/SMTP-SSL: système d'exploitation OpenBSD pour la partie mutualisée ; solution basée sur Sendmail, Postfix, et Imail server, développé en interne depuis 2002 par notre pôle R&D. Dispose d'un filtrage antivirus et antispam novateur et performant, labellisé France Cybersecurity.

Serveurs de noms

Serveurs DNS : système d'exploitation OpenBSD, serveurs DNS re-développés par la plateforme, basés sur BIND, disponibles en licence GNU.

Serveurs d'interconnexion, gestion de bande passante et sécurité routeurs, firewall, gates

Système stateful, mitigation VAC antiddos. Contrôle du flux QOS, des attaques, suppression de certains protocoles non sécurisés (icmp type 8). Un cluster permet, pour contrer les attaques DDoS (notamment tcp syn, etc.), de filtrer le trafic non légitime et le décaler via le VAC, laissant ainsi passer tous les paquets légitimes.

Statistiques

Clusters (grappe de serveurs) de puissance, avec parser temps réel de logs Apache, logs messagerie, attaques, virus, spams, etc.

Contrôle

Les serveurs maîtres de contrôle analysent l'état des composants actifs et passifs du réseau LAN, mais également la chaîne WAN, le peering, la qualité de réponse, les ressources systèmes, etc. Ces serveurs déploient également une infrastructure toute particulière dite 'étoile propagée' qui effectue une batterie de tests temps-réel avec réponses actives de chaque serveur testé. Un outil de prise de décision permet d'effectuer rapidement une action en ayant le maximum d'éléments probants, permettant de gagner un temps précieux en cas d'incident.
Le service d'ingénierie logicielle (Icodialabs) d'ICODIA fait partie de différents projets Open Source, permettant le déploiement de nouveaux modules pour les applications serveurs.

Astreinte et support technique

Nous disposons d'une réelle astreinte 24/7/365, avec des moyens humains et techniques réels (comme finalement peu d'opérateurs...), ainsi que d'un support 24/7/365 localisé dans notre datacenter, disposant de compétences réelles (chaque technicien et ingénieur maîtrise le réseau, ses normes, les langages comme PHP/shell/C++/Perl/Python/etc., Apache, Linux, Win32/64, etc.).
Le temps de traitement moyen d'un ticket d'incident (en jours ouvrés) est inférieur à 1h, ce qui nous classe parmi l'un des supports les plus réactifs du marché. Notre support technique de qualité est un réel plus pour nos clients, dans un domaine où le support est critique, et où il est trop souvent mis de côté par les acteurs de notre secteur d'activité...

Nous mettons à votre disposition nos coordonnées complètes sur une même page. En savoir plus...

Loading.. Chargement en cours...