Datacenters

Avec l’expansion du cloud computing, les datacenters sont devenus vitaux pour le développement des organisations. Afin de protéger les données et les applications nécessaires à la continuité des activités économiques et sociales, assurer leur sécurité est indispensable. Mais quels sont les risques encourus et comment mettre en place des stratégies de sécurisation efficaces ? Tour d’horizon des solutions de sécurité pour votre datacenter.

Les datacenters, ou centres de données en français, sont des installations physiques d’hébergement des données dont l’exploitation est assurée par l’entreprise elle-même ou un fournisseur de services cloud. Les datacenters fournissent l’infrastructure réseau, l’infrastructure de stockage et les ressources de traitement.

Devenus des piliers de la vie économique, ils stockent souvent des données stratégiques pour les entreprises et les organisations et sont indispensables pour déployer de nombreuses applications professionnelles, depuis le partage de fichiers jusqu’à la Big Data, en passant par les CRM (gestion de la relation client) ou encore les ERP (progiciels de gestion intégrée).

Dans le détail, il existe quatre types de data centers :

Le datacenter d’entreprise « on premise » (sur site). Les données et l’infrastructure informatique sont hébergées sur le réseau local de l’entreprise, dans un ou plusieurs data centers sur site. L’entreprise a le contrôle sur ses serveurs.

Le datacenter de services managés. L’entreprise loue des serveurs et l’infrastructure auprès d’un fournisseur de services managés, à qui elle en confie également la gestion et la surveillance. Cette solution est appréciée des entreprises qui ne disposent pas des ressources suffisantes pour posséder leur datacenter sur site mais qui ne souhaitent pas non plus recourir aux ressources partagées du cloud public.

Le datacenter partagé. L'entreprise loue simplement l’espace au sein d’un data center détenu par d’autres entreprises, dans lequel elle vient installer ses propres serveurs et ses composants de stockage ou de sécurité.

Le datacenter dans le cloud. Toutes les données et applications de l’entreprises sont hébergées par un fournisseur de cloud public, comme Amazon Web Services (AWS), Google Cloud ou encore Microsoft Azure.

Fin 2022, la France comptait plus de 250 datacenters commerciaux (EY-Parthenon), auxquels il faut ajouter les datacenters d’entreprises.

Puisqu’ils hébergent des données clés pour l’économie et la vie sociale, les datacenters constituent des lieux hautement sensibles. Entre les actes de malveillance et le risque d’incendie, la sécurisation des centres de données est devenue un enjeu de société. Sans oublier bien sûr les risques cyber.

Les datacenters forment des cibles de choix pour des cyberattaques. A l’été 2023, la cyberattaque par ransomware de CloudNordic, au Danemark, a été dévastatrice. La société de cloud computing a perdu toutes les données qu’elle hébergeait. Heureusement ce type de cyberattaques réussies restent assez rares, mais l’exemple danois rappelle que les datacenters ne sont pas à l’abri et doivent faire preuve d’une vigilance maximale.

Les datacenters sont gourmands en électricité et produisent une grande quantité de chaleur, obligeant les gestionnaires à les doter de systèmes de ventilation et de refroidissement de pointe. Les pannes électriques apparaissent comme la cause numéro un des incendies dans les centres de données. Elles peuvent provenir d’un défaut de câblage, du dysfonctionnement d’un équipement, de la surchauffe d’une batterie lithium-ion ou encore d’une erreur humaine. En 2021, l'incendie ravageur du datacenter d'OVHcloud, à Strasbourg, a rappelé que le risque zéro n’existe pas. La destruction totale de serveurs a impacté de nombreux clients pendant plusieurs jours. 

Les risques NaTech désignent les accidents technologiques causés par des événements naturels tels que les séismes, les inondations ou les tempêtes.

Un datacenter, selon sa localisation géographique, peut être touché et mis hors service par la crue d’un fleuve, une tornade ou encore des secousses sismiques… Au cours de l’année, il peut aussi être frappé par des aléas plus courants, comme la foudre ou une vague de chaleur intense capables de causer des pannes ou une surchauffe grave. 

Les datacenters sont exposés à des risques de vandalisme et de délinquance. Les conséquences de tels actes peuvent être lourdes : vol d’équipements contenant des données, destruction de serveurs, coupure d’alimentation en fibre optique ou électrique, incendie volontaire… La sécurité des datacenters doit ainsi être assurée 24 heures sur 24 par des moyens humains et techniques.

En matière de réglementation, les datacenters en Europe sont soumis au RGPD, le Règlement Général sur la Protection des Données (RGPD). Texte de référence pour la protection des données personnelles des citoyens, il vient encadrer de façon stricte la collecte, le stockage et le traitement des données personnelles au sein de l’UE. L’article 32 du RGPD exige que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». C’est pourquoi CNPP dispense des formations sur la protection des données personnelles.

Pour structurer leur stratégie de sécurisation, les datacenters s’appuient souvent sur les normes internationales en vigueur, notamment l'ISO/CEI 27001. La ANSI/TIA-942 est une autre norme incontournable pour la conception et l'infrastructure des data centers. Enfin, depuis 2022, les normes ISO/CEI 22237 (basées sur la norme DIN EN 50600), sont en passe de devenir les références en matière de règles et de classement des nouveaux datacenters. 

Pour classer les datacenters selon leur niveau de sécurité, la classification proposée par l’Uptime Institute, aux Etats-Unis, fait toujours référence. Elle répartit en quatre niveaux (Tiers) les datacenters selon leurs capacités de maintenance, d’alimentation et de refroidissement.

Infrastructure de base utilisée par de petites entreprises pour stocker des données non sensibles, le datacenter de niveau 1 comprend des composants uniques, un seul chemin de distribution non redondant et une protection limitée contre les événements physiques. Il permet 28,8 heures d’interruption par an, soit un taux de disponibilité de 99,671 %.

L’infrastructure comprend des composants redondants et un seul chemin de distribution non redondant. Le site offre une protection renforcée contre les risques physiques. Tout comme le datacenter de niveau 1, il ne possède toutefois qu’une seule source d’alimentation et de refroidissement. Il permet 22 heures d’interruption par an, soit un taux de disponibilité de 99,741 %.

Un datacenter de niveau 3 offre une protection contre la quasi-totalité des événements physiques grâce à un haut niveau de redondance, permis par des ressources doubles pour l’alimentation et le refroidissement. Les réparations et l’entretien peuvent être réalisés sans interrompre le système. Il permet 1,6 heure d’interruption par an, soit un taux de disponibilité de 99,982 %.

Les datacenters de niveau 3 possèdent le plus haut niveau de tolérance aux pannes, ainsi qu’une sécurisation physique de pointe, en particulier grâce un accès biométrique des locaux. Il permet 26,3 minutes d’interruption par an maximum, soit un taux de disponibilité de 99,995 %.

La sécurité d’un datacenter est à structurer dès sa conception. Objectif : garantir la disponibilité, la confidentialité et l’intégrité des données hébergées dans le temps. La prévention des risques prend ici tout son sens.

La vidéosurveillance fait partie intégrante des systèmes physiques de protection des datacenters. Pour les centres de données les plus sensibles, un système vidéosurveillance en circuit fermé (CCTV) est incontournable. Outre la salle des serveurs, tous les accès intérieurs comme extérieurs doivent être couverts par les champs des caméras, dont les flux doivent être sécurisés et archivés numériquement. La vidéoprotection du datacenter peut être complétée par des mesures de protection physique telle que des portes blindées, des sas de sécurité, la présence de gardes de sécurité ou encore des clôtures sécurisées.

Surveiller qui accède au datacenter et tracer les mouvements humains dans les zones les plus sensibles est la base de la sécurité physique de tout data center. A ce titre, le contrôle d'accès doit être rigoureux et l’authentification multifactorielle. L’ensemble peut s’appuyer sur plusieurs technologies, parfois complémentaires :

• Accès par badge ou carte ;
• Accès biométrique : reconnaissance des empreintes digitales, reconnaissance faciale, reconnaissance oculaire, reconnaissance thermique… ;
• Tourniquets pleine hauteur ;
• Dispositif de contrôle d’accès réseau virtuel, etc.

Une gestion des accès différenciée peut être mise en place, avec la création de zones plus ou moins restreintes à certains personnels autorisés, selon la criticité des équipements en présence. 

Quel que soit le système dont vous disposez, nous pouvons réaliser un diagnostic complet de vos installations sûreté.

L’incendie fait partie des plus grands risques qui pèsent sur un datacenter. Pour réduire au maximum la probabilité de sinistre, la stratégie de sécurité incendie s’appuie sur plusieurs piliers :

• Un système de détection des fumées de pointe ;
• Un système de suppression d’incendie intégré, le plus souvent par gaz inerte ;
• Un plan de sécurité incendie complet, intégrant l’ingénierie et les circuits d’évacuation .

CNPP vous accompagne dans le diagnostic de vos installations de sécurité incendie existantes.

Face à la menace que représentent les cyberattaques ciblées ou les virus informatiques, la mise en place d’un plan de cyberprotection fait bien entendu partie des obligations de base en matière de sécurité d’un datacenter. Cela passe notamment par le déploiement de :

• Pare-feu de nouvelles générations ;
• Systèmes de prévention d'intrusion (IPS) ;
• Systèmes de détection des logiciels malveillants ;
• La gestion continue des vulnérabilités ;
• La segmentation du réseau.

Sécuriser un datacenter nécessite enfin de savoir réagir en cas d’incident avéré. Priorité numéro un : pouvoir récupérer les données de ses clients le plus vite possible pour garantir la continuité de leurs services. Cela passe par la présence de systèmes de sauvegarde et de récupération des données robustes et sur la redondance des systèmes, garantie dans les datacenters de niveaux supérieurs.

Face à l’absence du risque zéro, une stratégie claire de gestion des risques et des crises dans un datacenter est la meilleure façon d’assurer la sécurité de l’infrastructure. L’approche de « Security by Design » est largement recommandée, couplée à une culture du test et de l’amélioration continue. 

Et puisque la sécurité d’un datacenter est multi-dimensionnelle, la formation sur les risques des datacenter reste l’un des éléments clés de la réussite du projet. Formez en priorité vos :

• Chefs de projet sécurité
• Consultants sécurité
• Responsables IT
• Responsables sûreté
• Responsables sécurité dans un datacenter
• Responsables de salle informatique en entreprise

Depuis les concepts de base de la sécurité du datacenter jusqu’à la mise en œuvre d’un système de management de la sûreté et de la sécurité de l’information, ces formations spécialisées sont particulièrement utiles pour acquérir une vision transversale des problématiques et déployer des solutions pleinement adaptées aux réalités de votre infrastructure.

France Datacenter s’engage à unir tous les professionnels impliqués dans le secteur des datacenters sur le territoire français. Les entreprises adhérentes ont des profils variés allant des multinationales aux PME, spécialisées dans la conception, la construction et la gestion des infrastructures de datacenters.

CNPP, en sa qualité d’expert en prévention et maîtrise des risques, fait partie intégrante des groupes de travail animés par France Datacenter.

Dans l’univers de la sécurité des datacenters, les menaces évoluent sans cesse. Votre stratégie de sécurisation doit toujours garder une longueur d’avance. Si le niveau d'exigence peut varier d’un site à l’autre, les bases restent les mêmes :

• La lutte contre le vandalisme et les risques naturels ne doit jamais être négligée et doit être intégrée en amont dans votre stratégie de sécurisation.
• La stratégie de lutte contre le risque incendie doit reposer sur le triptyque : technologie de détection, technologie d'extinction et plan de sécurité incendie.
• La stratégie du contrôle d'accès doit se fonder autant que possible sur l'authentification multifactorielle et la complémentarité entre moyens physiques, technologiques et humains.
• Enfin, la stratégie de cybersécurité doit être conçue dès le départ et de façon dynamique, couplées à un système robuste de récupération des données.

Toutes ces dimensions sont toujours à penser et à faire évoluer ensemble, car chacune peut avoir une influence sur l’autre. A ce titre, délivrer à vos personnels directement concernés une formation 360° à la sécurité des datacenters est un investissement toujours gagnant.