Tout savoir sur la sécurité des datacenters (centre de données)

Lorsque l’infrastructure d’une entreprise est hébergée dans un datacenter, il est essentiel de s’assurer que le site tiers est physiquement et virtuellement sécurisé. La sécurité d’un datacenter implique la cybersécurité physique et virtuelle qui protège les données de l’entreprise contre les attaquants. La plupart des datacenters abritent des données sensibles pour de nombreuses entreprises, de sorte qu’une seule vulnérabilité peut entraîner la violation des données de dizaines d’entreprises.

La sécurité des datacenters permet d’éviter ces fuites, mais également de garantir la disponibilité et l’intégrité de l’infrastructure de l’entreprise et de tout service hébergé dans le cloud.

Dans la plupart des entreprises, la plus grande menace pour les données provient des attaquants virtuels qui trouvent des failles dans les logiciels ou l’infrastructure réseau.

Les datacenters doivent non seulement se protéger contre ces types de menaces, mais ils ont également la responsabilité de protéger physiquement l’infrastructure. Les fournisseurs possèdent leurs propres normes de conformité à respecter pour rester certifiés, mais ces normes sont auditées pour s’assurer que les procédures garantissent la prise en charge des pratiques avancées de cybersécurité.

Sécurité physique des centres de données

Les datacenters sont construits dans des endroits stratégiques, loin des grandes villes. Cela fait partie de la sécurité physique, mais permet également aux datacenters de fonctionner sans affecter les habitations et les entreprises locales.

Le fait d’être situé dans un endroit éloigné élimine une grande partie des menaces physiques, mais le datacenter peut toujours être la cible d’un attaquant qui pénètre dans l’établissement. Si un attaquant accède aux locaux, les données peuvent être exfiltrées des serveurs à l’aide de clés USB ou d’autres dispositifs physiques.

La première mesure de défense consiste à installer des caméras et des agents de sécurité autour du périmètre. Les entrées du datacenter sont surveillées par des caméras. Les datacenters ne sont pas pourvus de fenêtres en verre, ce qui créé une sécurité supplémentaire. En revanche chaque porte représente un risque pour la sécurité physique : caméras, serrures et gardes de sécurité sont donc une protection contre ce niveau d’attaque.

Si un attaquant réussit à franchir une porte, le niveau de sécurité physique suivant est une cage de Faraday. L’attaquant ne peut pas la traverser sans autorisation et sans la clé correspondante. Cette clé peut être une clé traditionnelle, un code à entrer dans un dispositif de sécurité, une carte à scanner ou encore un système biométrique. Les systèmes biométriques sont les plus sûrs, mais ils sont aussi les plus coûteux. Les datacenters de niveau 4 sont toujours équipés d’un de ces systèmes.

Les visiteurs d’un datacenter sont étroitement surveillés, car très peu de personnes doivent parcourir les locaux. Les visiteurs doivent avoir un accès limité aux équipements et être escortés par un employé. Les visiteurs reçoivent un badge lors de leur visite et une signature est requise dans un registre à chaque entrée et sortie des locaux.

Sécurité virtuelle des datacenters

Plusieurs stratégies sont utilisées pour protéger les datacenters des attaquants virtuels.

Les entreprises qui disposent d’une infrastructure locale sur site peuvent utiliser un grand nombre des stratégies mises en œuvre dans les datacenters. Afin d’éviter les malwares et les attaques informatiques les plus courantes, les datacenters adhèrent à des règles strictes de surveillance et d’audit.

Aucun client utilisant les ressources du datacenter ne doit être en mesure d’accéder aux informations des comptes d’autres clients. Il est courant que les datacenters utilisent un outil de gestion des informations et des événements de sécurité (SIEM, ou Security Information and Event Management) pour fournir une vue complète de tous les actifs et de l’activité du trafic.

Ces outils sont associés à la gestion des risques et à la surveillance de la détection des menaces pour identifier les activités suspectes.

L’activité du réseau est segmentée en zones. Cette méthode de cybersécurité est similaire à la configuration d’un réseau d’entreprise, mais elle est beaucoup plus stricte. Le trafic des clients ne doit pas interagir ou exposer les données des autres clients.

Les configurations réseau doivent permettre aux clients d’exécuter librement leurs propres logiciels sur leur environnement virtuel, tout en protégeant les autres utilisateurs et le datacenter des vulnérabilités de ces logiciels.

Avant qu’une application ne soit déployée sur l’infrastructure d’un datacenter, elle est soumise à un test d’intrusion approfondi et le code est examiné pour détecter toute vulnérabilité. Si un logiciel malveillant peut être introduit dans un environnement de datacenter, cela peut nuire à la sécurité, non seulement du datacenter lui-même, mais également à celle de tout client qui l’utilise.

La sécurité des datacenters est décrite par niveaux.

Les niveaux de sécurité sont importants pour les entreprises qui confient leurs données à un fournisseur spécifique. Lorsqu’elle recherche un fournisseur cloud, une entreprise doit trouver un datacenter ayant un niveau de sécurité particulier afin de s’assurer qu’il respecte ses propres normes réglementaires.

Les niveaux supérieurs indiquent que le datacenter est une installation plus grande protégée par une cybersécurité avancée.

Les niveaux des datacenters sont également utilisés pour déterminer la garantie de disponibilité.

• Niveau 1 : Le niveau 1 est le niveau le plus bas et le plus basique des datacenters. Il est principalement utilisé par les petites entreprises qui ne stockent pas d’informations extrêmement sensibles et qui disposent de leur propre infrastructure de redondance. Les datacenters de ce niveau garantissent un temps de fonctionnement de 99,671 %, ce qui signifie que leur contrat autorise 28,8 heures d’interruption par an.
• Niveau 2 : Ce niveau est principalement utilisé par les entreprises qui ont besoin de services en multilocation. L’entreprise héberge une grande partie de sa propre infrastructure, mais elle a besoin de basculer ou de distribuer des ressources au datacenter sans dépendre uniquement de celui-ci. Les datacenters de niveau 1 et de niveau 2 ont tous deux une seule source d’alimentation et de refroidissement, ce qui signifie qu’en cas de défaillance de ces ressources, le centre de données dans son ensemble et ses clients pourraient subir une interruption de service. Le taux de disponibilité d’un datacenter de niveau 2 est de 99,741 % et il faut compter 22 heures d’interruption par an.
• Niveau 3 : Le datacenter de niveau 3 est un cran au-dessus des deux premiers niveaux. La principale différence entre ce niveau et les deux précédents est que le niveau 3 utilise des ressources doubles en matière d’alimentation et de refroidissement, ce qui assure la redondance de son temps de fonctionnement. Les ressources redondantes assurent le basculement, de sorte que les clients ne subissent aucune interruption de service en cas de défaillance de l’une d’entre elles. Aucun temps d’arrêt n’est non plus nécessaire pendant la maintenance. Le niveau 3 offre une garantie de disponibilité de 99,982 % ou 1,6 heure d’interruption possible par an.
• Niveau 4 : Pour les grandes entreprises qui dépendent d’un temps de fonctionnement garanti, les datacenters de niveau 4 offrent une redondance de toutes les ressources, ce qui assure une tolérance aux pannes. Les clients connaissent rarement des temps d’arrêt avec un datacenter de niveau 4. Ces derniers offrent une disponibilité de 99,995 % ou seulement 26,3 minutes de temps d’arrêt possible annuellement.

Plus le niveau est élevé, plus le data center est fiable et sûr. Tous les grands hébergeurs de cloud public (par exemple, Amazon Web Services, Google Cloud Platform, Microsoft Azure) disposent de datacenters de niveau 4. L’accès physique est sécurisé par des systèmes biométriques et de sauvegarde afin de protéger l’intégrité et la fiabilité des données.

Chaque datacenter suit ses propres normes en matière de cybersécurité, mais il existe également des directives mondiales que la plupart suivent.

Les fournisseurs cloud possèdent leurs propres normes de conformité numérique, et les clients qui recherchent le bon fournisseur doivent chercher un datacenter qui respecte ces directives de conformité.

Les datacenters conformes aux normes PCI et HIPAA peuvent être utilisés par les clients qui doivent respecter des transactions financières et médicales, mais les datacenters suivent principalement des directives d’audit qui certifient qu’ils suivent des pratiques unifiées selon le Service Organization Control (SOC).

Les normes SOC sont des directives concernant l’évaluation des risques, les rapports sur les risques et les examens réguliers de la technologie des risques. Il est important de noter que le SOC est un rapport d’audit créé et distribué par des auditeurs qui examinent les procédures.

La liste suivante est une brève description des niveaux de SOC et de leur conformité :

• SOC 1 : le SOC 1 se concentre sur les procédures utilisées pour héberger les applications financières. Toute application hébergée sur l’infrastructure d’un datacenter qui travaille avec des données financières de clients ou d’entreprises relève de ce rapport.
• SOC 2 : ce niveau s’applique à toute entreprise SaaS qui stocke des informations sur ses clients dans un datacenter. Il s’agit de l’un des audits les plus courants. Les auditeurs examineront la stratégie et les procédures de cybersécurité pour s’assurer qu’elles préservent la confidentialité des données et offrent intégrité et disponibilité.
• SOC 3 : un audit SOC 3 est identique à un rapport SOC 2, mais la principale différence est que ce rapport est destiné à être examiné par le grand public pour s’assurer que le datacenter est conforme aux normes SOC 2.

L’importance de la sécurité d’un datacenter ne concerne pas seulement le fournisseur cloud. Il est essentiel que les clients travaillent avec un fournisseur qui respecte les normes de conformité. Les clients du cloud doivent rechercher un rapport SOC 3 lorsqu’ils stockent des données sensibles dans un datacenter.

Les fournisseurs de datacenter qui hébergent des services pour les clients doivent s’assurer que les protocoles de sécurité, les procédures et les ressources de redondance qu’ils proposent présentent la meilleure intégrité possible pour leurs utilisateurs.