L'actu cybersécurité avec L'INFO-CR

Fil d'actualité introuvable

LES DOSSIERS DE L'INFORMATICIEN

Dossiers L'Informaticien

Certifications Datacenters : Pour y voir plus clair

Datacenter Advanced Mediomatrix, Metz ©Alexandre Besson Si longtemps la réputation d’un centre de données s’est limitée au seul critère de continuité de service, de nouvelles caractéristiques ont aujourd’hui pris de l’importance, à l’instar de la consommation énergétique, de la performance environnementale ou encore de la sécurité des systèmes d’informations. De nombreux référentiels sont donc venus s’ajouter afin d’apporter non seulement une garantie de sérieux, mais aussi une meilleure lisibilité du marché. On compte, en France, entre 180 et 200  datacenters dits neutres, maillant tout le territoire quoiqu’un grand nombre – entre un tiers et la moitié selon les études – sont installés en Île-de-France. Qu’ils relèvent d’OVH, de Claranet, d’Equinix, d’Interxion, d’IBM, d’Ikoula, d’OBS, de Cogent ou encore de Scaleway, il y en a pour tous les goûts… mais pour le profane, pour la personne extérieure au domaine technique, tous se ressemblent : des hangars abritant des boîtes. Et avouons que les idées reçues n’aident pas vraiment quand il s’agit de trouver le datacenter correspondant aux besoins de son entreprise. C’est là qu’interviennent certifications, qualifications et autres classifications. Devenu un passage incontournable, leur obtention apporte à l’opérateur du site certaines garanties pour ses clients, notamment en termes de continuité et de disponibilité de service, tant on sait que les interruptions dues à des pannes ont des coûts tant pour les hébergeurs que pour leurs clients, du fait de l’indisponibilité de leurs applications et de leurs données. Différents standards viennent donc définir les bonnes pratiques et servir de référentiels. Le système TIER est sans doute le plus connu. Ces certifications délivrées par l’institut Uptime évalue les datacenters en fonction de leur temps de disponibilité et, selon le niveau, d’un certain nombre d’autres facteurs tant du point de vue des infrastructures que des opérations. La certification prend trois formes : l’une porte sur la conception du datacenter, valide pour deux ans et fondée sur un corpus documentaire, l’autre certifie l’infrastructure en dur, valide jusqu’à ce qu’un changement soit fait au sein du bâtiment, et passe par une inspection du site. Enfin, la dernière traite de la “ durabilité opérationnelle ” (Operational Sustainability), évaluant les processus de gestion et les opérations de l’installation, valide pour un, deux ou trois ans. Viennent ensuite les TIER I, II, III et IV. La première, le bas du panier, n’exige aucune redondance et n’autorise pas plus de 28,8 heures d’indisponibilité par an pour 99,671 % de disponibilité annuelle. Plus robuste, le TIER II demande des redondances au niveau électrique et refroidissement. Si elle ne couvre pas l’ensemble des opérations, cette redondance doit au minimum concerner les aspects les plus critiques du site : 99,741 % de disponibilité sont exigés, et moins de 22 heures d’indisponibilité par an.

Le TIER n’est plus seul

Avec le TIER III, le niveau augmente fortement, puisque le datacenter doit être en mesure d’effectuer des réparations ou des opérations de maintenance sans interruption de service notable et offrir un certain niveau de résistance aux pannes, qui tolère néanmoins des urgences et des opérations imprévues pouvant affecter les opérations du client. En outre, question redondance, le TIER III implique une protection de 72 heures contre les pannes de courant. Est exigée une disponibilité de 99,982 % par an et une limite de 1,6 heure d’indisponibilité. Enfin, le TIER IV s’adresse à la Rolls des datacenters ; à la crème de la crème. On parle ici d’infrastructure totalement redondante, tant en termes de refroidissement que d’alimentation – on parle de 2N+1, soit deux fois le nombre d’équipements requis, plus un extra, quand le TIER III est “ seulement ” N+1. En outre, le système électrique doit indépendamment pouvoir assurer 96 heures de courant en cas de coupure. D’autant que cette certification exige que l’ensemble du périmètre soit couvert, donc chaque processus et chaque flux. En d’autres termes, aucune panne ne doit pouvoir arrêter le système, le fameux « zero point of failure », sachant que si un très léger degré d’indisponibilité est permis (26,3 minutes par an, pour 99,995 % de disponibilité), les opérations des clients ne doivent pas être touchées. Notons que ces certifications ne sont en rien obligatoires pour opérer un centre de données. Ils sont nombreux à se revendiquer TIER III ou IV, mais il s’agit au mieux d’un abus de langage. En effet, Uptime ne recense en France que quatre datacenters certifiés, trois TIER III et un seul TIER IV, celui du Crédit Agricole à Mainvilliers (Eureet-Loire). Si presque chaque centre de données de France et de Navarre clame être TIER, il s’agit donc d’équivalence. « Aujourd’hui, en France, nos clients n’ont pas besoin d’un coup de tampon pour être crédibles », nous explique Nicolas Becquet, chef de projet pour le cabinet d’ingénierie APL. « Leurs clients finaux ont confiance et se contente d’un niveau équivalent TIER III ou TIER IV et, le cas échéant, les opérateurs de datacenters peuvent travailler avec des cabinets comme le nôtre, qui délivreront un avis qui sera généralement suffisant. » La certification TIER d’Uptime Institute fournit un référentiel à partir duquel vont être établis des équivalents. Il existe en outre d’autres qualifications, telles que TIA 942, Syska Hennessy ou encore BICSI 002. La norme ISO 22301 va quant à elle juger des processus relatifs à la gestion de la continuité d’activité. « La particularité dans ce domaine est qu’il n’y a pas vraiment de cadre réglementaire, donc rien n’empêche à la base de faire des salles non sécurisées. La certification représente un moyen de valoriser un bâtiment ou de le positionner par rapport aux autres. TIER va parler à beaucoup de gens quant aux choix techniques », ajoute Nicolas Becquet. « Tous ces sujets sont relativement récents et l’état de l’art de l’hébergement est encore en mouvement, on peut penser notamment aux travaux actuels au niveau européen avec l’EN50600. »

Sécurité et environnement

Mais ces certifications et classifications-là ne concernent que la continuité de services, en quelque sorte la base de tout datacenter qui se respecte. Si ce point est essentiel, il n’est pas le seul à déterminer le choix d’un datacentre. Outscale ne dispose pas de ses propres centres de données. « Gérer une salle blanche demande des compétences bien spécifiques comme le génie bâtiment, le génie électrique ou climatique que nous ne souhaitons pas forcément internaliser », indique Ghislain Seguy, directeur des opérations monde d’Outscale. « Donc, lorsque nous faisons le choix d’un partenaire datacenters, les différentes certifications sont des éléments que nous scrutons de manière très attentive. » Si l’entreprise sélectionne au minimum des niveau TIER III, sa vocation à fournir des services cloud sécurisés fait qu’elle est « moins regardante sur les aspects continuités de services que sur la partie sécurité, qui est le maillon le plus important de la chaîne ». Et là encore, en matière de sécurité aussi bien physique que logique, les certifications ne manquent pas. On pourra citer aussi bien l’Apsad sur les risques incendies et intrusions que l’ISAE 3402, qui porte sur les contrôles internes. Du côté d’Outscale est regardé avant tout le standard ISO 27001, dit management de la sécurité des informations. « Nous avons besoin que l’intégralité des échanges et des systèmes d’information soient protégés avant de confier nos matériels à un partenaire » précise Ghislain Seguy : « C’est un élément auquel on ne peut pas déroger. » Des ISO qui repose pour mémoire sur la valorisation et la mise en place de process d’amélioration continue, on en trouve également concernant la protection de l’environnement (ISO 14001) et la performance énergétique (ISO 54000). Sans oublier le très populaire LEED, pour Leadership in Energy and Environmental Design. « A notre niveau, ces points ne sont pas fondamentaux mais le management de l’environnement prend de plus en plus d’importance avec la RSE. De plus, nous sommes de gros consommateurs d’électricité et nous cherchons à réduire notre empreinte carbone », souligne le directeur des opérations monde d’Outscale.

Répondre aux besoins métiers

À cela s’ajoute un certain nombre de qualifications et de certifications plus spécifiques. Ainsi, PCI DSS, ou Payment Card Industry Data Security Standard, est une norme couvrant la sécurité des données bancaires, quand le HADS (Hébergeur agréé de données de santé) a été conçu pour garantir la confidentialité, la protection et la disponibilité des données de santé. « Ces agréments, normes, qualifications et certifications répondent à des contraintes métier, soit absolues parce que obligations réglementaires dans certains secteurs, soit des demandes des utilisateurs finaux », détaille Nicolas Becquet. En résumé, les référentiels des bonnes pratiques des datacentres reposent aujourd’hui sur trois piliers : la traditionnelle continuité de service, l’environnement et l’énergie et enfin la sécurité. Selon une étude d’APL, si historiquement seuls les hébergeurs les plus importants engageaient des programmes de certifications, désormais « pour répondre aux exigences du marché et aux attentes des parties intéressées », peu importe la taille ou le type, cette démarche est devenue nécessaire pour tous les datacenters à l’heure de la transformation numérique des entreprises. Ne serait-ce que pour fournir un minimum de lisibilité dans une offre devenue pléthorique. Ainsi, un e-commerçant à grande échelle aura tout intérêt à choisir une structure d’un niveau au moins équivalent au TIER III, et, puisqu’il traite des paiements, et donc des données bancaires, certifiée PCI-DSS. Une qualification nécessaire y compris pour une petite boutique, quand bien même un TIER II lui suffit. L’ISO 27001 semble quant à lui indispensable. De plus en plus, les opérateurs d’infrastructure ont recours à la multi-certification, évitant les compromis entre opérations, disponibilité, sécurité et impact environnemental. Ainsi, le DC4 de Scaleway à Paris est certifié HADS et ISO 27001, et en cours d’obtention du PCI-DSS, quand le PA3 d’Equinix à Saint-Denis est lui certifié ISO 27001, ISO 50001, PCI-DSS, HADS, ISO 14001… Reste que la principale difficulté va être de gérer conjointement l’ensemble de ces sujets. Selon Nicolas Becquet, « le datacenter est à la croisée de différents domaines techniques – bâtiment, télécom… – et de problématiques multi domaines avec des thématiques qui viennent s’y greffer, telles que la sécurité ou l’environnement. On a des standards issus de ces différents domaines, sur les demandes métier, sur la partie continuité de services et les référentiels ont un côté rassurant pour un décideur en ce qu’ils concrétisent la chaîne technique et la rendent compréhensible à des personnes extérieures. » En d’autres termes, TIER III, TIER IV, ISO 22301, ISO 27001, ISO 14001 ou encore PCIDSS vont faire la preuve pour l’opérateur de datacenter de l’efficacité et de la fiabilité de son site et de sa gestion ; et a contrario fournir aux clients une lisibilité de l’offre existante, afin de faciliter le choix d’une structure correspondant le mieux à leurs besoins.

La quotidienne de l'Informaticien

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Rédacteur en Chef Adjoint : Victor Miget
  • Partenariats / Publicité : +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis