0/IntroductionCréée en 2000, ICODIA est une société qui regroupe différents acteurs de la sécurité réseau, du développement logiciel avancé, et de la transmission de l'information sur les réseaux. Le fondement d'ICODIA, c'est de prouver qu'il est possible d'allier professionnalisme, qualité de services, réactivé, pérennité et tarifs compétitifs. La rencontre des compétences réseau, de l'ingénierie logicielle et de la sécurité réseau a permis de construire une plateforme d'hébergement optimisée, largement en avance sur son temps. L'ensemble des outils d'automatisation de la gestion a également permis un gain de temps très important, et une réduction maximale du taux d'erreur, en permettant une réactivité optimale. C'est pour cela que nous sommes hébergeurs directs et opérateur. L'hébergement direct signifie que nous possédons nos propres salles de serveurs, dans nos locaux, avec nos propres serveurs. Pour assurer une fiabilité optimale, tous les composants essentiels à notre plateforme sont redondants : liens Internet, firewalls, passerelles, serveurs DNS, routeurs, serveurs de messagerie, connectiques, etc. Notre exigence est la plus élevée en matière de sécurité, fiabilité, et disponibilité du service, avec une astreinte technique 7j/7, 24h/24. Chaque écart de température, tension électrique, d'humidité, peering réseau, etc., provoque une ou plusieurs alertes auprès de notre centre opérationnel. A noter que notre service technique est également joignable 24h/24, pour des raisons identiques.
1/Plateforme physique1-a/Sécurité physique
L'accès à notre plateforme d'hébergement est protégé par un système de surveillance locale et distante avec historique, 7j/7, 24h/24. L'accès aux salles blanches est autorisé uniquement au personnel qualifié et compétent de la société.
2-b/Sécurité électrique
Nos salles de serveurs disposent de plusieurs systèmes d'onduleurs qui protègent les serveurs et les équipements réseaux contre tous les risques électriques, coupure secteur EDF, chocs électriques, surtensions, etc. Chaque baie dispose de son disjoncteur. Le réseau électrique est doublé et est contrôlé en permanence par des serveurs. Un groupe électrogène permet de prendre le relais en quelques minutes en cas de coupure importante du réseau EDF (disponibilité électrique garantie par contrat SLA), avec suffisamment de carburant pour faire fonctionner le système pendant plusieurs jours. Nos salles de serveurs sont blindées contre les emissions électromagnétiques par l'utilisation de cages de Faraday. L'ensemble de ces processus permet d'avoir la certification 'Défense', pour l'hébergement de sites gouvernementaux, par exemple.
3-c/Sécurité incendie
Notre salle de serveurs est équipée de système de détection d'incendie et d'un système par émission de gaz CO2. Cette technique permet d'éteindre rapidement tout feu en supprimant l'oxygène disponible, tout en évitant au maximum la détérioration physique du matériel.
4-d/Climatisation
Nos salles de serveurs sont équipées d'un double système de climatisation indépendant (redondance). L'air conditionné est diffusé par un système de brassage, ce qui permet d'obtenir une température constante dans l'ensemble du volume des salles blanches. La température est maintenue à 18° C +/- 1° C tout au long de l'année. L'hygrométrie relative est toujours inférieure à 50%. Un système d'extracteur permet d'évacuer l'air chaud produit par les serveurs, sans réinjecter ce flux d'air dans les salles techniques.
2/Connectivité de la plateformeNous offrons à nos clients un environnement optimal de connectivité pour les données. Nous assurons un principe de backup par technologie de DNS redondants et de DNS variables, couplés à un système de liens redondants. Cette solution technique unique, et propriétaire, est le résultat d'une recherche et d'un développement interne. Elle a été acquise grâce à l'expertise de notre équipe d'ingénierie réseau. Elle est couplée à l'utilisation de protocoles BGP permettant d'optimiser la gestion des paquets IP.
2-a/Réseau LAN
Notre réseau LAN est basé sur des liens 100 Mb/s et 1 Gb/s. Tous nos composants actifs du réseau, switchs, etc., sont doublés pour obtenir une redondance maximale. Le réseau LAN est intégré dans un système de distribution permettant la protection physique et logique de l'information.
2-b/Réseau WAN
Notre réseau WAN est basé sur un lien principal, des liens secondaires, et d'éventuels liens de backup, dédiés. L'utilisation des technologies fibre (6 paires) et SDSL, permettent une souplesse dans la gestion de la bande passante et des besoins. Cette souplesse est amplement optimisée, puisqu'elle permet d'activer de la bande passante à la demande, pour de l'événementiel, par exemple, et mensuellement. L'utilisation de la technologie BGP4 permet d'augmenter la fiabilité d'accès aux réseaux. Nous travaillons avec trois opérateurs : France Telecom, LDCOM, et Claranet. Nous totalisons actuellement 6x155 Mb/s de bande passante symétrique, plus les liens de backup dédiés. Ces liens de backup peuvent être activés à la demande par le client, sur ces propres serveurs. La bande passante actuellement disponible peut être augmentée, sous 24 heures ouvrées, si les besoins l'exigent. Une supervision permet l'analyse temps réel dans la qualité de la bande passante, du peering, des paquets perdus, etc. La bande passante est burstable (autorisation de dépassement) ce qui à l'avantage d'avoir des solutions très flexibles. Notre maintenons un uptime et un peering supérieur à 99,99 %.
3/Plateforme technique3-a/Firewall
Le maillon essentiel de la protection contre les intrusions est le firewall. L'architecture du réseau de la plateforme a été pensée afin de maximiser l'efficacité de ces derniers. Ces derniers sont installés sur les passerelles d'interconnexion des réseaux car tout le trafic entre les différents segments passe par ces points. Ces Firewalls sont des solutions entièrement dédiées, basés sur des systèmes Unix OpenBSD. Ils sont actifs (ils peuvent modifier l'exploitation des paquets IP suivant l'activité réseau). Ils sont installés en clusters (plusieurs serveurs, redondants, gérant également la charge réseau et ressource). L'ensemble de l'application logicielle Firewall a reçu de nombreuses récompenses face aux tests d'intrusion et de sécurité (Dslreports, Hackerwhacker, Webtrends, CERT Internet Security Check) et à fait l'objet d'un prix ENVAR en 2000.
3-b/La technologie logique
Notre plateforme et notre équipe technique permettent d'héberger n'importe quel type de solution serveur, allant de Windows à Unix, en passant par Linux ou MacOS. Malgré tout, l'ensemble des composants actifs du réseau est basé sur des serveurs Unix OpenBSD, ou Linux. Chaque serveur possède des disques durs en mode RAID5, avec gestion d'erreur, et chaque service de chaque serveur est analysé contre toute erreur, en temps réel. Une alerte, de n'importe quel type, est automatiquement envoyée en cas de problème à la supervision. Chaque serveur actif de routage est doublé et clustérisé. Tous les serveurs sont sauvegardés quotidiennement sur des supports délocalisés.
Notre politique en termes de sauvegarde est claire : Chaque serveur de la plateforme partagée, et mutualisée, dispose de disques durs redondants. Une sauvegarde de l'intégralité des données de ces serveurs est effectuée toutes les 24 heures, sur des serveurs de backup, avec n-2 génération de sauvegarde. La dernière génération de sauvegarde est stockée sur des serveurs distants, délocalisés de la France Métropolitaine. Enfin, la dernière génération de sauvegarde est gravée une fois par semaine sur des supports amovibles, stockés dans le coffre d'un organisme bancaire.
3-c/Antivirus
Plus de 90% des infections virales passent par la messagerie. Nos serveurs de messagerie disposent de filtres antivirus, basés sur 5 bases de données d'empreintes différentes, mises à jour toutes les heures. Notre système filtre tous les emails entrant en temps réel ; Il informe le destinataire et l'expéditeur d'un email, lorsqu'un virus est détecté, en donnant le type de virus. Le système nettoie le contenu de l'email et transmet au destinataire les éléments qui ne sont pas infectés. Le système filtre également les alias emails et les redirections emails. Il est bien sur possible de désactiver la fonctionnalité d'alerte, pour minimiser le nombre d'emails, tout en conservant l'efficacité de l'antivirus en ligne. Dans tous les cas, un message d'information est envoyé. Aucun message n'est effacé sans information.
3-d/Antispam
Plusieurs Antispam synchronisés sur les bases RBL/RSS/OPS, disposant également d'un module d'intelligence artificiel 'apprenant' (système de filtres Bayésiens), supprime la plus grande partie des SPAMS (SPAM = message email non sollicités) sur vos boîtes emails, alias et redirection email. Un module supplémentaire fait de l'OCR (reconnaissance de caractères) temps réel sur les emails entrants, permettant aussi de refuser les SPAMS contenant uniquement une ou plusieurs images publicitaires. Les modes de fonctionnement des filtres antispams sont, de base, automatiques, mais vous pouvez rajouter vos propres règles sur ceux-ci, désactiver une partie des filtres, ou totalement le désactiver. Aucun message n'est également effacé sans information.
3-e/Cryptage et mots de passe
Pour renforcer la sécurité sur nos serveurs, l'accès Telnet est interdit depuis l'extérieur (non sécurisé). Cette restriction est levée sous certaines conditions, comme l'utilisation du protocole SSH2. Le protocole FTP est également utilisé pour faire des modifications sur les serveurs de production. Les serveurs FTP sont protégés contre les tentatives d'intrusions, sans accès anonyme, et possibilité de vérification d'adresses IP et de nom de HOST. Un système de détection de tentative d'intrusion permet également d'exclure une adresse IP pendant un temps déterminé, comme en cas de 'hammering'. Le mot de passe des comptes permettant d'accéder aux serveurs est généré par les systèmes de cryptage d'ICODIA. Les générateurs de mots de passe assurent une sécurité optimale contre les techniques de hacking telles que le 'brut force', en concevant des mots de passes MD5/ICOPW. Nos différents systèmes d'applications en ligne peuvent utiliser différentes technologies de cryptage, allant de la clé SSL aux cryptages plus complexes. En outre, ces différentes technologies peuvent s'avérer très utiles lors de traitements de bases de données privées, ou de flux monétiques.
3-f/Confidentialité
Les données présentes sur l'ensemble des serveurs d'Icodia ne peuvent, en aucuns cas, être divulguées à des tiers. Les sauvegardes réalisées sont cryptées et compressées. Les statistiques et les fichiers d'événements relatifs aux différents serveurs web et au fonctionnement des sites Internet restent privées. Nous ne communiquons sur des références clients uniquement qu'avec l'approbation de celui-ci.
4/Bureau d'enregistrement de noms de domaineIcodia fait partit du CORENIC depuis 2001, 'Council Of Registrar', titre permettant d'avoir des fonctions actives au sein du bureau de l'ICANN (Internet Corporation for Assigned Names and Numbers). Cette nomination permet à ICODIA d'enregistrer directement des noms de domaine sur les zones .COM, .NET, .ORG, .BIZ et .INFO., mais surtout le rechargement temps réel des bases WHOIS. Icodia est également membre actif de l'AFNIC, ce qui lui permet d'enregistrer directement des noms de domaines sur la zone .FR. Un système de robots (programmes) a été particulièrement développé pour permettre de gérer la création et la mise en place d'un nom de domaine d'une manière automatique et rapide, ce qui permet d'abaisser son coût au minimum. Enfin, Icodia est membre honorifique du CERT, centre de coordination du réseau Internet, spécialité réseaux, virus, et sécurité. C'est ce qui permet d'être en permanence réactif sur l'ensemble des problèmes liés à la sécurité informatique et aux nouvelles technologies construisant l'Internet de demain.
5/Données techniques (relatives à la plateforme ICODIA, peut varier suivant le type de forfait et le besoin)5-a/Serveurs Web
Système d'exploitation OpenBSD 4.x, Linux ou Win32, application Web Apache 1.3.x ou 2.x, PHP 4.x et 5.x avec modules GD2+ écriture GIF, PDFLIB+PDI (réecriture PDF), DomXML, Mcrypt, Gzip, Ftp, Zlib, Zip, etc., base de données MySQL 4.1.x ou MySQL 5.x, Perl, Python, etc.
5-b/Serveurs de messagerie
Serveurs email POP3/SMTP/POP3SSL/SMTP SSL: système d'exploitation OpenBSD 4.x pour la partie mutualisée ; solution basée sur Sendmail, Postfix, et Imail server, développé en interne.
5-c/Serveurs de noms
Serveurs DNS : système d'exploitation OpenBSD 4.x, serveurs DNS redéveloppés par la plateforme, basés sur BIND, disponibles en license GNU.
5-d/Serveurs d'interconnexion, gestion de bande passante et sécurité
Routeurs, Firewall, Gates : système d'exploitation OpenBSD 4.x, contrôle du flux QOS, des attaques, suppression du protocole ICMP (type 8), réseaux type WAN/LAN/DLAN/VLAN.
5-e/Serveurs Ftp
Serveurs Ftp toujours sous OpenBSD 4.x pour la partie mutualisée, serveurs ftp entièrement développés par la plateforme également, faisant partie intégralement d'un projet opensource.
5-f/Statistiques
Serveurs de puissance, avec parser temps réel de logs Apache, logs messagerie, attaques, virus, spams, etc.
5-g/Contrôle
Les serveurs maîtres de contrôles sont tous sous OpenBSD 4.x ou Linux Slackware, et analyse l'état des composants actifs et passif du réseau LAN, mais également la chaîne WAN, le peering, la qualité de réponse, les ressources systèmes, etc. Ces serveurs déploient également un infrastructure toute particulière dite 'étoile propagée' qui effectue une batterie de tests temps réel avec réponses actives de chaque serveur testé.
Le service d'ingénierie logicielle (développement sur systèmes) d'ICODIA fait partie de différents projets Open Source, permettant le déploiement de nouveaux modules pour les applications serveurs, comme, par exemple, la création de filtres actifs sur Iptables (firewall Linux), ou encore le développement de modules spécifiques pour la fondation Apache.