Canada

L'engagement d'OCLC pour sécuriser les services des bibliothèques

Protéger vos données lors du partage de vos collections

image:  Certification ISO 27001

OCLC sait que la confidentialité, l'intégrité et la disponibilité des informations de ses membres sont vitales pour leurs activités commerciales et son propre succès. Notre approche multicouche pour protéger les informations sensibles passe par une surveillance permanente, ainsi que par l'amélioration de nos applications, systèmes et processus afin de répondre aux exigences croissantes et aux défis générés par les menaces de sécurité dynamiques. Les efforts d'OCLC pour garantir la sécurité des données ont été reconnus ; en effet, OCLC satisfait aux normes de sécurité ISO 27001 et est enregistrée comme telle.

Gestion de la sécurité des informations et des risques de l'entreprise

  • Mise en œuvre d'un système de gestion de la sécurité des informations en conformité avec la norme ISO/IEC 27001:2005
  • Des professionnels certifiés s'assurent de la sécurité des informations et vérifient la technologie utilisée. Par ailleurs, un spécialiste se consacre à plein temps à la planification de la continuité de l'activité et à la reprise après sinistre.

Contrôles physiques et environnementaux

  • Sécurité assurée par le personnel 24 h/24
  • Accès limité via des cartes de proximité
  • Équipement informatique stocké dans des zones à accès contrôlé
  • Vidéosurveillance de l'ensemble des locaux et alentours
  • Contrôle de l'humidité et de la température
  • Sol surélevé pour faciliter une circulation continue de l'air
  • Alimentation électrique enterrée
  • Alimentation de secours (onduleurs)
  • Unités de distribution d'alimentation redondante
  • Groupe électrogène diesel avec stockage du carburant sur site
  • Détecteurs de fumée et incendie dans l'ensemble des centres de données
  • Le Dublin Service Delivery Center (DSDC) est protégé par un système Halon avec une réserve suffisante pour plusieurs décharges.
  • Le Columbus Service Delivery Center (CSDC) est protégé par un système d'extinction des incendies DuPont FM-200.
  • Les centres de données sont également protégés par des réseaux d'extincteurs à eau.
  • Des extincteurs sont répartis sur l'ensemble des locaux du DSDC et du CSDC.

Contrôles d'accès logiques

  • Gestion de l'identification et de l'accès des utilisateurs

    * Connexions aux données utilisateur via le protocole SSL 3.0/TLS 1.0, en utilisant une certification mondiale délivrée par Thawte, qui permet de garantir que les utilisateurs disposent d'une connexion sécurisée pour accéder à nos services depuis leur navigateur

    * Les sessions de chaque utilisateur sont identifiées et de nouveau vérifiées à chaque transaction, via des assertions de sécurité chiffrées en XML via SAML 2.0

    * En fonction des services spécifiques utilisés

Contrôles de sécurité opérationnels

  • La connexion Internet est assurée via plusieurs liens redondants acheminés par différents fournisseurs d'accès Internet à partir de divers points de présence d'entreprise de télécommunication.
  • Les pare-feu de périmètre et routeurs de bordure bloquent les protocoles inutilisés.
  • Les pare-feu internes séparent le trafic entre l'application et les niveaux de la base de données
  • L'équilibrage de charge permet de fournir des proxies pour le trafic interne.
  • OCLC utilise différentes méthodes pour intercepter, détecter et éliminer les programmes malveillants.
  • Des évaluations indépendantes de la sécurité par des tiers sont également réalisées régulièrement.
  • Toutes les données sont sauvegardées sur bande au niveau de chaque centre de données.
  • Les sauvegardes sont clonées via des liens sécurisés sur une bande sécurisée d'archivage.
  • Les bandes sont transportées hors site et détruites en toute sécurité une fois obsolètes.
  • Le personnel d'OCLC chargé de la sécurité des informations surveille les notifications de diverses sources ainsi que les alertes des systèmes internes afin d'identifier et de gérer les menaces.

Développement et maintenance des systèmes

  • Pour déceler les failles de sécurité, OCLC teste l'ensemble du code avant le lancement et analyse régulièrement le réseau et les systèmes.
  • Évaluations de la vulnérabilité du réseau
  • Attaques tests contrôlées et vérification du code
  • Test et vérification du réseau de contrôle de la sécurité

Continuité de l'activité et reprise après sinistre

  • Le service d'OCLC effectue une réplication des données en temps réel sur disque au niveau de chaque centre de données et une autre quasiment en temps réel entre le centre de données de production et le site de reprise après sinistre.
  • Les données sensibles sont transférées via des liens dédiés.
  • Des tests de reprise après sinistre vérifient notre estimation du temps de récupération et l'intégrité des données client.

Incident : réponse, notification et résolution

  • Processus de gestion des incidents spécifiques aux événements liés à la sécurité et pouvant avoir une incidence sur la confidentialité, l'intégrité ou la disponibilité des systèmes ou des données
  • L'équipe dédiée à la sécurité des informations est formée à la recherche et la manipulation des preuves dans le cas où un événement surviendrait, notamment l'utilisation d'outils tiers et propriétaires.

Conformité

  • Pour accéder aux informations, les tiers doivent obligatoirement recourir à des procédures juridiques, telles que des mandats, des décisions de justice, une exemption statutaire ou le consentement de l'utilisateur.
  • OCLC met en œuvre une politique de confidentialité solide pour assurer la protection des données client et utilisateur.

Les services d'OCLC appliquent ou dépassent les recommandations de Gartner Group 1 (Tableau 1.) et de Cloud Security Alliance décrites dans « Security Guidance for Critical Areas of Focus in Cloud Computing ».

Tableau 1. Gartner : Sept risques de sécurité liés au cloud computing
Recommandations de Gartner OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
Contrôle des accès utilisateur avec privilèges X X X
Conformité à la règlementation en vigueur X X X
Emplacement des données X X X (aucune divulgation)
Répartition des données X X X
Récupération X X X
Assistance aux services d'enquêtes X X X
Viabilité à long terme X X X

1 Jay Heiser et Mark Nicolett. « Assessing the Security Risks of Cloud Computing. » Gartner Group. 3 juin 2008

Nous sommes une coopérative mondiale de bibliothèques qui appartient à, est gouvernée et entretenue par, ses membres depuis 1967. Notre utilité publique est une déclaration d’engagement les uns envers les autres, plus précisément que nous travaillerons ensemble pour améliorer l’accès aux informations détenues par les bibliothèques à travers le monde et trouverons des façons de réduire les coûts des bibliothèques par le biais de la collaboration. Plus de détails »