Sécurité et sûreté des data centers : comment maîtriser les nouveaux risques ?
Informatisation de la gestion des infrastructures bâtimentaires, développement des data centers de proximité situés dans des bâtiments tertiaires ou résidentiels, potentielles attaques par drone, aléas climatiques et sismiques : quels sont les nouveaux risques auxquels les exploitants de data centers doivent faire face et comment s’en prémunir ?
La sécurité et la sûreté des data centers sont clés pour assurer la continuité de service des services numériques et garantir l’intégrité des données hébergées dans les salles serveurs. Concernant la sécurité, il s’agit de mettre en œuvre des solutions pour maîtriser les risques d’évènements non intentionnels, fortuits ou accidentels (incendie, inondation, températures excessives, …). Tandis que la sûreté consiste à se protéger contre des actes et évènements intentionnels et malveillants (intrusion, piratage, …).
Ces dernières années, les risques ont évolués. Panorama des nouvelles menaces et des moyens de s’en protéger.
L’augmentation des cyber-risques
En dehors des cyber-risques IT, tous les data centers bénéficient désormais d’une administration informatisée et généralement connectée, que ce soit pour la supervision technique, l’optimisation de l’alimentation et du refroidissement, le suivi de la performance énergétique, la gestion des actifs, le contrôle des accès physiques ou encore la vidéo-surveillance.
L’ensemble de ces outils, incluant les solutions DCIM (Data Center Infrastructure Management), permettent de surveiller, y compris à distance, les infrastructures bâtimentaires des centres de données. Ils garantissent d’être alerté en cas d’incident (intrusion, début d’incendie, problème d’alimentation électrique, température trop élevée, etc.), de maximiser la disponibilité, d’optimiser les niveaux de service et de réagir rapidement lorsque des problèmes surviennent.
Au même titre que les applications informatiques et les services numériques hébergés dans le data center, ces outils peuvent être la cible d’attaques, y compris terroristes (politiques ou économiques). Ils doivent donc eux aussi être protégés des cyber-risques, dans un contexte où ceux-ci ont tendance à nettement augmenter.
La non-maîtrise de l’environnement immédiat des data centers de proximité
Avec l’accélération des usages numériques, il devient indispensable de traiter la donnée au plus proche de son lieu d’utilisation, pour réduire la latence et les coûts de connectivité. Le nombre de data centers de proximité a ainsi cru de façon exponentielle ces dernières années pour accompagner le déploiement de la 5G, des nouveaux usages (notamment les technologies d’intelligence artificielle) ou encore pour soutenir les bassins d’activité économiques locaux. Sans compter la multiplication des initiatives d’Edge Computing, à savoir d’implantations de micro data centers d’une à deux baies.
Implantés en milieu urbain ou péri-urbain, souvent dans des bâtiments partagés avec des bureaux ou de l’habitat, ces centres de données de proximité hébergent des données sensibles et doivent être protégés des risques d’incendie, de dégâts des eaux ou encore d’intrusion. À l’inverse des grands data centers disposant d’enceintes sécurisées et contrôlées autour du bâtiment, leur environnement (voisinage ou proximité immédiate avec l’espace public) les rend plus facilement accessible à de potentiels individus malveillants.
Par ailleurs, les groupes électrogènes et équipements extérieurs pour produire du froid ne sont pas toujours appréciés des riverains. Lesquels peuvent attaquer l’exploitant du data center en justice, avec le risque de devoir stopper voire démanteler le centre de données. Sans compter le risque de dégradations volontaires de ces équipements extérieurs par des riverains peu scrupuleux.
La « 5ème façade » : le nouveau maillon faible des grands data centers
Désormais, la technologie des drones est accessible à tous. Ces appareils peuvent potentiellement permettre de survoler les data centers avec des charges explosives ou des dispositifs capables, par électromagnétisme, de modifier le comportement des équipements du site ou de couper l’accès au réseau fibre ou électrique.
Pour les grands data centers, situés dans un bâtiment dédié, le toit – qui accueille la plupart du temps les équipements de refroidissement et parfois les groupes électrogènes de secours – devient donc la cinquième façade à protéger, au même titre que les quatre autres, qui sont depuis longtemps sécurisées. Un risque à prendre en compte dès la conception du centre de données, en particulier par les opérateurs d’importance vitale (OIV), en respectant une certaine neutralité d’aspect extérieur, pour ne pas attirer l’attention.
Les risques environnementaux
Avec des pics de température estivaux de plus en plus élevés, il n’est désormais plus rare de dimensionner les data centers pour qu’ils soient capables de fonctionner, sans dégradation de service, avec des températures extérieures pouvant aller jusqu’à 45 degrés, contre 38 degrés il y a quelques années.
De la même façon, le risque sismique en France métropolitaine ne reste plus cantonné au seul Sud-Est. La plupart des data centers implantés à proximité des massifs montagneux, sont équipés depuis longtemps de dispositifs pour pallier les risques sismiques. Cependant, des régions comme la Bretagne connaissent des risques en ce domaine plus importants qu’auparavant, qu’il s’agit donc d’intégrer dans la conception des data centers, avec des choix adaptés pour la structure béton du bâtiment, mais aussi les planchers techniques, les supports anti-vibrations pour groupes froid ou les groupes électrogènes, etc.
Enfin, l’élévation du niveau des océans, au même titre que l’imperméabilisation des sols, augmentent les risques (rares mais majeurs) d’inondation ou de submersion des data centers. Plus encore que pour tout autre bâtiment, le choix de l’implantation est donc primordial pour garantir le fonctionnement optimal du centre de données, et des services numériques associés.
Par Tristan Richard, directeur des opérations, APL Data Center.