Par Yves Reding, EBRC CEO –
A l’heure où la « data » ou données numériques, mobilise toute notre attention, penchons-nous sur les Data Centres en tant que socle de la performance de l’économie numérique. En quoi un Data Centre est-il une forteresse numérique ? L’information étant comme le flux vital d’une entreprise, sa gestion et son traitement nécessitent la plus haute vigilance et donc de penser une infrastructure d’hébergement adaptée en termes de sécurité et de disponibilité.
Mais au fait, qu’est-ce qu’un Data Centre ?
Revenons sur l’émergence des Data Centres. L’économiste et essayiste américain Rifkin mentionne la révolution numérique que nous vivons comme étant comparable à une révolution industrielle. Tandis que la révolution industrielle du 19ème siècle correspondait à un capitalisme de biens matériels, aujourd’hui nous sommes passés à un capitalisme de l’information. Il convient donc d’apporter une attention particulière à la gestion de cette nouvelle ressource économique de notre siècle : la donnée, la fameuse « data ».
Les Data Centres sont nés pour héberger les équipements informatiques de stockage de la donnée et de son traitement dans des sites physiques, dont on sait l’importance de la localisation. Ils peuvent ainsi être internes ou externes à l’entreprise. De la même manière, leur exploitation peut dépendre ou non d’un prestataire de services.
Ils ne sont par contre pas déterminés par leur taille physique. Ainsi, un Data Centre peut correspondre aussi bien à une salle informatique contenant des dizaines de serveurs qu’à un bâtiment hyper sécurisé qui pourrait compter plusieurs centaines voire dizaine de milliers de mètres carrés d’espaces serveurs.
Data Centre : la forteresse numérique du 21ème siècle
Si une entreprise décide de confier l’hébergement de tout ou d’une partie de son système d’information à un prestataire, la priorité pour celui-ci est de fournir un haut niveau de qualité de service et toutes les garanties de protection des données. Le but étant de permettre à l’entreprise cliente d’exploiter ses données dans les meilleures conditions. De ce fait, le Data Centre doit correspondre à un environnement IT à la fois performant et sécurisé.
D’ailleurs, les critères différenciateurs d’un Data Centre sont le niveau de disponibilité des services critiques ainsi que sa capacité à absorber des pannes potentielles sans interruption de service, ce que l’on désigne par « résilience ». Fin des années 1990, l’Uptime Institute a développé un système, mondialement reconnu, de classification des Data Centres par typologie des infrastructures critiques : de Tier I à Tier IV pour le plus performant. Chaque Data Centre peut obtenir une certification Tier sur la base d’un audit pointu de l’Uptime Institute. Les premières certifications Tier remontent à 2005. Elles permettent aux entreprises de s’assurer d’un niveau de service évalué par un organisme indépendant, sur un référentiel international.
Les standards Tier définissent ainsi les niveaux de disponibilité des Data Centres. Le niveau Tier I est le niveau le plus élémentaire, non redondant il n’est pas tolérant aux défaillances ni aux besoins de maintenance à chaud. Le niveau de défaillance, dans ce cas, pourrait par exemple générer plusieurs dizaines d’heures d’indisponibilité annuelle. A l’inverse, le niveau le plus élevé, Tier IV, est hautement tolérant aux défaillances potentielles. Seul le niveau Tier IV dit « tolérant aux pannes » permet, par la redondance de ses équipements, d’approcher le « zéro-défaut » et donc une disponibilité approchant les 100%. Ces niveaux de disponibilité Tier sont basés sur un ensemble de critères couvrant les domaines mécanique, électrique et structurel du site ainsi que les processus d’exploitation, tout comme leur parfaite maîtrise par les équipes en charge de la conduite des opérations au quotidien, que ce soit pour des activités de maintenance ou de réponse à un incident (panne, départ de feu,…). Ceci permet d’aligner la conception de l’infrastructure aux objectifs de l’entreprise qui va en utiliser les services. Confier ses données à un prestataire de services de Data Centre est une décision importante pour laquelle il convient de s’assurer des garanties offertes. Et la certification Tier de l’Uptime Institute répond à ce besoin.
Le Data Centre, au cœur de l’écosystème digital européen
Comme nous l’avons vu, il existe par défaut un écosystème de gestion de la donnée dépendant de la disponibilité mais également de la sécurité de celle-ci. Consciente des enjeux économiques et géostratégiques du numérique, l’Union Européenne cherche à établir un espace Schengen Numérique en promouvant un espace digital favorable à l’innovation. On parle ainsi de la création d’un espace digital européen unique qui couvre les données dans leur intégralité. Les données à caractère personnel sont aujourd’hui régulées par le « Règlement Général sur la Protection des Données » (RGPD). En complément, une directive européenne est en cours d’élaboration sur les données à caractère non personnel. Le principe est de garantir une libre circulation des données, devenant ainsi la cinquième liberté en Europe après celle des personnes, des biens, des services et des capitaux.
Il s’agit d’une réforme majeure au niveau mondial. Avec ce règlement, l’Europe affirme que le numérique est l’industrie du futur. En parallèle, l’UE doit se protéger contre les nouvelles menaces liées au digital, dont les Cyber-attaques. 87% des européens estiment que la Cyber-criminalité constitue un problème considérable pour la sécurité intérieure de l’UE. Ainsi, l’ENISA a pour objectif de conseiller et d’assister la Commission Européenne et les Etats en matière de Cyber-sécurité. L’agence, qui devrait être renforcée et devenir la future Agence de Cyber-sécurité de l’UE, organise depuis plusieurs années des exercices de Cyber-sécurité à l’échelle européenne, aidant les Etats à être mieux équipés et préparés face aux attaques. L’exercice Cyber-Europe de 2016 portait sur la résilience des infrastructures numériques dont les Data Centres, les services cloud et Internet. L’exercice 2018 porte quant à lui sur les risques Cyber dans le secteur aérien.
Aujourd’hui, l’objectif est de travailler conjointement avec les gouvernements et les entreprises du secteur numérique.
Le Data Centre, dispositif clé de la Cyber-Résilience
Le scénario de Cyber-attaque « Cyber Europe 2016 » organisé par l’ENISA, auquel ont participé plus de 300 entreprises et organisations dont EBRC, était révélateur de la complexité mais également de la fragilité de l’écosystème digital européen si les questions de protection et de sécurisation des données ne sont pas pris en compte à leur juste niveau. Il s’agissait d’un scénario très noir inspiré, entre autres, de « blackouts » réalistes et de dépendances à des technologies digitales produites en dehors de l’Union Européenne. Il visait évidemment les Data Centres, les services cloud, les réseaux Internet et prenait en compte des techniques d’attaques Cyber-sécurité récentes comme les « ransomware », des méthodes plus sophistiquées, mais également des attaques physiques.
L’objectif était de tester des mécanismes de coopération internationale à l’échelle européenne, tels que prévus dans la nouvelle directive européenne NIS « Network and Information Security » en application depuis mai 2018. Cette directive vise à renforcer la résilience dans le monde digital, dans les secteurs clés de l’économie, les services essentiels (énergie, transports, secteur de la santé, banques et marchés financiers…) ainsi que les fournisseurs de service numérique.
Les Data Centres et les services cloud sur lesquels repose l’économie digitale et qui hébergent les données, doivent de ce fait être ou devenir Cyber-résilients. Dans le monde physique, l’être humain fait chaque jour face à des menaces diverses. Durant des millions d’années, au cours de son évolution, l’homme s’est adapté continuellement pour faire face aux menaces et risques de son environnement en enrichissant son système immunitaire, en développant de nouvelles capacités ou en créant de nouveaux outils assurant sa survie. Cette expérience de résilience acquise dans le monde physique se voit confrontée au monde impalpable du virtuel qu’il a lui-même créé. Dans le monde digital qui régit nos sociétés, il est désormais vital de s’assurer de cette résilience. Et cette Cyber-résilience doit se bâtir d’abord – mais pas seulement – sur les Data Centres qui doivent devenir des forteresses numériques, capables de faire face aux menaces du monde digital.