Introduction

Le HSL est dédié à la confidentialité des données, en conformité avec les principales règles ISO2700x et des outils et des organisations de sens commun plus technicals.

• Un lieu physique («Bulletproof»)
• Un réseau dédié – RIPE – routage
• Une infrastructure d'enceinte complète (infra autonome)
• Une équipe informatique spécifique (avec confideltialité-spécifique-accréditation-en cours)

Partitionning, protections physiques

Le HSL est conçu pour la protection physique des serveurs contre l'accès direct. Quelques exemples de mesures:

• Une zone physique fermée dédiée dans le bâtiment Loria
• 3 zones
  • Bureau/salle informatique/salle rouge
  • Différentes autorisations individuelles
• Une puissance presque dédiée supplie
• Un système d'authentification isolé
• Authentification forte (2 facteurs).
  • Biométrique et badge
• Verre blindé
• …

Sécurité du réseau

Un réseau dédié, des équipements dédiés, sans intervention extérieure ou dépendances:

• Registre RIPE dédié,
• Son propre DNS, NTP, APT,…
• (différents) pare-feu avec des règles pointe, même entre
  réseaux internes
• Nat
• LAN préférait au VLAN, même type de vhosts sur le
  même hôte physique.
• Centralisation des logs
• Bastion (SSH) et VPN dédié… ou pas.
• …

Sécurité du système

Une organisation de systèmes et d'intergiciels dédiés à la protection des données contre les fuites.

• Infrastructure centralisée et rejouable complète
  • Hyperviseur & vhosts
  • Déploiement de service & config
  • Correctif de sécurité
• Surveillance et alerte
• Compte de centralisation… Ou pas
  • Utilisateurs centralisés et droits de groupe… Ou pas
  • Comptes d'application
  • Proxy sortant… ou non.
  • Tous les services à l'intérieur:
    • Squid, APT Mirror, NTP, vues privées DNS, et plus encore…