Comment défendre un data center

Entre crise sanitaire, banalisation du ransomware, et incertitudes géopolitiques, les centres de données exercent une fonction vitale dans la chaîne de valeur. Gros plan sur ces châteaux forts contemporains.

Il y a dix ans encore, bien des managers réels ou autoproclamés faisaient fi de la sécurité des ordinateurs, des logiciels et des gadgets électroniques communicants qui leur sont associés, généralement. Un Post-it griffonné par-ci, trois mots sur un smartphone par-là : le tour était joué. Chacun considérait la sûreté numérique comme un mal nécessaire, une énigme que l’on avait aucune envie de percer. Il n’en va plus de même aujourd’hui. Sans aller jusqu’aux assertions de certains thuriféraires et zélotes, qui voient dans la donnée un bien de première nécessité nouvelle, comparable au pétrole, le data center est considéré, à raison cette fois, comme le nouveau Fort Knox. Un coffre-fort en mouvement perpétuel puisqu’il doit trier, agencer et conserver les données numériques dans l’optique d’un espace-temps infini. Autant dire que la garantie, la pérennité et l’intégrité de ces entrepôts d’un type nouveau sontloin d’être des options.

COUPLER SÉCURITÉ PHYSIQUE ET VIRTUELLE

Comment procéder à la sécurisation des bâtiments ? Dans la chaîne de valeur, les acteurs sont très partagés sur la conduite à adopter. Sur le plan de la garantie physique, d’abord. Certains fournisseurs, à l’instar de Wortmann (Terra Computer), ont construit leur data center près de leur siège social. Sécuriser ce qui est à proximité, produire local. Certaines grosses ESN disposent, elles aussi, de leurs installations propres, de manière à ne dépendre de personne, et à montrer aux clients où passent leurs précieuses données… Jules-Henri Gavetti, patron du français Ikoula, expliquait que certains clients voulaient encore, « voir » où étaient leurs données, comme Saint Thomas dans un autre contexte. Certes, le coût de ces opérations est élevé. Pourtant, les grandes métropoles accueillent volontiers les data centers dans de simples immeubles, éventuellement d’habitation. C’est le cas de la société KDDI, qui ouvrira, dans quelques mois, son premier bâtiment à Paris, à deux pas de la place Voltaire. Dans cette occurrence, l’exigence de sécurité se mêle à la préoccupation écologique et humaine. En effet, trois contraintes ont été levées simultanément : l’évaluation scientifique du poids et de la charge, pour ne pas faire écrouler les étages, mais aussi le groupe électrogène, et la maîtrise du bruit. Quant à la sécurisation des accès, elle est toujours complexe, multiple et redondée – ceci, là encore, pour ne prendre aucun risque. Dans le groupe Equinix, qui se présente comme le premier fournisseur mondial de centres de données, ce contrôle s’incarne en une savante combinaison associant systèmes de biométrie, caméras de vidéosurveillance et diverses mesures de sécurité activées en permanence. Même chose pour la protection virtuelle, couplée avec l’assurance virtuelle pour une couverture maximale. On pense en particulier, dans ce domaine très technique, à Claranet, spécialiste de l’infogérance d’applications critiques. Elle met en oeuvre à la fois la technologie RAID de virtualisation du stockage, la réplication de bas niveau, et l’intervention d’un cluster applicatif. Cette progression vers la virtualisation et vers la réplication des éléments qui concourent à la sécurité du data center trouvent ainsi un aboutissement chez les grands faiseurs de la place. Chez Schneider Electric, par exemple, mais aussi chez Eaton, les équipements et les logiciels qui les pilotent ne font plus qu’un. Tout a partie liée, tout est systémique. « La notion de sécurité périmétrique est dépassée », confirme Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky.

« Les data centers forment la colonne vertébrale du monde numérique de nos contemporains »

Simon Blake, Director of Content Strategy de Vertiv EMEA

SÉDUIRE LES DIPLÔMÉS PEU ATTIRÉS PAR LE MÉTIER

Reste à un point délicat, à améliorer d’urgence car passé sous silence. Ce n’est pas la sécurité des centres de données, puisque tout est fait pour optimiser, en permanence, la fiabilité des installations. Le problème se trouve du côté de la gestion des talents. En un mot : le secteur ne fait pas rêver. On est pourtant bien au coeur du numérique et de la modernité. Mais voilà, « Les diplômés ont grandi aux côtés des géants technologiques que sont Netflix, Uber et AirBnB, explique Simon Blake, Director of Content Strategy de Vertiv EMEA. Ces sociétés ont acquis la réputation de cool players de l’industrie technologique. Pour attirer les talents, les data centers doivent donc séduire ces diplômés et ces étudiants. Les aider à comprendre la relation qui existe entre le monde numérique dans lequel ils vivent, et le fait que ce sont ces centres de données qui en constituent précisément la colonne vertébrale. » Autrement dit : à force de disposer d’outils nomades et connectés dont l’alimentation électrique est invisible, devenant une espèce de vaporware, beaucoup d’utilisateurs, y compris professionnels, en viennent à oublier que tout commence simplement par… le produit. La faille de sécurité est donc, en partie, humaine. Il faut y ajouter une dimension politique, qui recèle une partie de la solution. Ainsi les affaires Snowden et Wikileaks ont eu le mérite d’accélérer une prise de conscience : le besoin de se prémunir des fuites, bien sûr, mais aussi le possible danger toujours inhérent aux situations monopolistiques. Amazon et Facebook, par exemple, mènent des offensives moins remarquables que remarquées pour installer des centres de données, souvent névralgiques, en Europe. Ces data centers sont idéalement sécurisés pour eux-mêmes… tout en posant des problèmes de sécurité aux autres. D’où la récente volonté collective, exprimée par la France et l’Allemagne, de réactiver le concept de cloud souverain. Pas au niveau national qui paraît peu adapté à la nouvelle donne, mais résolument portée à l’échelon européen. Voici enfin l’occasion inédite – et opportune – de se réappoprier cette ardente obligation que constitue l’émergence d’un secteur du data center sécurisé. Fondée sur les normes législatives, réglementaires et écologiques les plus modernes, y compris en termes de RGPD, cette création industrielle serait en outre conforme à l’esprit du Traité de Rome : libre-échange des équipements partout dans le monde, protection aux frontières de l’Union avec une concurrence régulée. On en est loin, certes. Tout comme la distance qui nous sépare des problèmes du ransomware est grande. Il n’empêche. Enfin attractif, proche de ce qui préoccupe les citoyens et l’ensemble des acteurs de la chaîne de valeur, le centre de données envisagé à l’aune du cloud souverain incarnerait alors le premier projet européen réussi depuis longtemps : Gaia-X.

« La notion de sécurité périmétrique est dépassée »

Ivan Kwiatkowski, chercheur en cybersécurité, Kaspersky

ORACLE FAIT DE LA SÉCURITÉ LE SOCLE DE SON OFFRE

C’est l’obsession d’Oracle : le cloud et le data center reposent d’abord sur la sécurité intrinsèque des produits développés. « C’est ce qui fait notre différence avec un cloud classique, assure Franck Hovhannessian, Director Cloud Infrastructure Plateforme Services Security France & Iberia. Chaque composant est envisagé en amont, et traité isolément. » Deux annonces récentes vont en ce sens. D’une part Cloud Guard, qui surveille en permanence les configurations et activités afin d’identifier les menaces éventuelles – et les rectifier. Et d’autre part, Maximum Security Zones, qui étend la gestion des accès IaaS, cela afin d’empêcher les actions (ou configurations) dangereuses s’affranchissant des règles préétablies.