OverDrive est un système d'hébergement de fichiers basé sur la solution Nextcloud.
Le serveur Nextcloud est configuré et accessible via une interface web sécurisée, permettant aux utilisateurs autorisés de contrôler le stockage, de définir des politiques d'accès aux fichiers ou de mettre en place un traitement automatisé des fichiers, de gérer les utilisateurs, d'activer ou de désactiver des fonctionnalités, etc.
Nextcloud est une application web PHP fonctionnant sur un serveur web Linux. Elle stocke les informations sur le partage de fichiers, les détails sur les utilisateurs, les données et la configuration de l'application ainsi que les informations sur les fichiers dans une base de données PostgreSQL.
OverDrive utilise le service de stockage d'objets (S3) comme stockage principal.
Le produit est actuellement disponible dans toutes nos régions ainsi que dans toutes les zones de disponibilité.
OverDrive s'appuie sur le produit d'instance virtuelle Linux de cegedim.cloud.
cegedim.cloud prend en charge la version 27 de Nextcloud dans ce produit OverDrive.
La mise à jour peut être exécutée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée.
Cette section énumère les fonctions / capacités disponibles pour le client et la manière de les demander / de les exécuter :
Dimensionnement supporté de 1 à 49 utilisateurs :
1 Nextcloud Frontend (instance virtuelle Linux - 2/4)
Bucket S3 dédié
Monitoring 24/7 (En option)
Réplication des données activée (reprise après sinistre de l'instance virtuelle)
Les journaux sont accessibles avec le compte administrateur (admin_client) via l'interface web, dans la section "Paramètres" > "Journalisation".
Les journaux sont envoyés à cegedim.cloud SIEM pour détecter les problèmes de sécurité et les actions sensibles.
Un compte admin_client est provisionné par défaut.
Le client peut accéder à son compte en se connectant à l'URL du drive (se terminant par *.mydrive.cegedim.cloud), en choisissant "Authentification directe", et en utilisant le compte admin_client avec le mot de passe choisi lors du provisionnement.
L'authentification des comptes locaux (par exemple : admin_client) est protégée par TOTP.
Le TOTP peut être configuré lors de la première connexion, après le provisionnement de l'OverDrive par ITCare. Il garantit que seul le client peut se connecter au compte admin_client.
cegedim.cloud a toujours la possibilité d'activer le compte admin pour des raisons de sécurité (" bris-de-glace "). Ce mot de passe ne permet pas d'accéder aux données hébergées sur les serveurs web.
Lorsque cela est nécessaire, ces accès sont protégés par plusieurs mesures de sécurité :
Utilisation du TOTP
Accès par le bastion, tel que présenté sur les diagrammes
Traçabilité complète
L'accès au système est réservé aux administrateurs de cegedim.cloud. Ces accès sont nécessaires pour fournir des services obligatoires à l'application, par exemple:
Opérations de monitoring (ex : redémarrage d'un service).
Mise à jour de la version
Mise à jour de la sécurité
Les serveurs fournissant les services OverDrive sont accessibles par SSH et nécessitent d'être authentifiés par le Bastion de cegedim.cloud. Ces accès sont limités aux administrateurs de cegedim.cloud et entièrement journalisés afin de s'assurer que seules des opérations légitimes sont réalisées.
SSL est utilisé lors de la connexion à l'application Nextcloud.
Un profil sécurisé est déployé pour éviter l'utilisation d'un chiffrement obsolète.
L'infrastructure est située en France et les données sont stockées dans les centres de données de cegedim.cloud.
Les fichiers sont stockés sur la solution de stockage d'objets de cegedim.cloud (compatible S3).
Le mot de passe de l'utilisateur final n'est pas stocké dans notre solution de gestion des mots de passe et n'est connu que du client. Ce mot de passe est créé lorsque l'utilisateur final commande son OverDrive sur ITCare.
Le compte admin de cegedim.cloud est désactivé pendant le processus de création de l'OverDrive.
Cette section énumère la gestion des mots de passe :
Chaque instance OverDrive déployée par l'intermédiaire d'ITCare est monitorée. Un contrôle automatique vérifie la disponibilité du service Nextcloud.
Lorsque le site web du lecteur est indisponible, l'alerte est prise en compte par nos équipes de monitoring qui mettent en place des mesures correctives.
L'option 24/7, disponible dans ITCare, permet d'étendre le monitoring aux heures non ouvrables.
Les serveurs sont protégés par l'antivirus cegedim.cloud (SentinelOne).
Les machines virtuelles OverDrive sont toujours sauvegardées par défaut.
| Action | Libre service | Sur demande | Commentaires |
|---|---|---|---|
| Rôles | Permissions |
|---|---|
| Mot de passe | Stocké par Cegedim.cloud | Stocké par Customer | Obligatoire | Algorithme de hachage |
|---|---|---|---|---|
Libre service
Le client peut effectuer une action de manière autonome
Sur demande
Le client peut demander que l'action soit effectuée par l'équipe de support de cegedim.cloud.
Utilisateurs
Utiliser le produit
Administrateurs
Utiliser le produit et gérer les utilisateurs
Super Admin
Toutes
Modifier la configuration d'OverDrive
✅
Via les paramètres d'administration
Patchs de sécurité / Mise à jour des versions
✅
La mise à jour est effectuée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée.
Ajouter un produit SSO existant
✅
La mise à jour est effectuée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée.
Ajouter des utilisateurs / Redimensionner le stockage des utilisateurs
✅
Accessible via le compte administrateur, dans les paramètres "Utilisateurs".
Ajouter une nouvelle application
✅
Accessible via le compte administrateur, dans les paramètres "Applications".
(à venir) Élargir la taille d'OverDrive
✅
(à venir) Possible grâce au bouton de redimensionnement sur ITCare.
Compte admin_client
sha256
N'importe quel autre compte
sha256