Mais au fait, qu'est-ce qu'un Data Centre ?
Revenons sur l’émergence des Data Centres. L’économiste et essayiste américain Rifkin mentionne la révolution numérique que nous vivons comme étant comparable à une révolution industrielle. Tandis que la révolution industrielle du 19ème siècle correspondait à un capitalisme de biens matériels, aujourd’hui nous sommes passés à un capitalisme de l’information. Il convient donc d’apporter une attention particulière à la gestion de cette nouvelle ressource économique de notre siècle : la donnée, la fameuse « data ».
Les Data Centres sont nés pour héberger les équipements informatiques de stockage de la donnée et de son traitement dans des sites physiques, dont on connait l’importance de la localisation. Ils peuvent ainsi être internes ou externes à l’entreprise. De la même manière, leur exploitation peut dépendre ou non d’un prestataire de services.
Ils ne sont par contre pas déterminés par leur taille physique. Ainsi, un Data Centre peut correspondre aussi bien à une salle informatique contenant des dizaines de serveurs qu’à un bâtiment hyper sécurisé qui pourrait compter plusieurs centaines voire dizaine de milliers de mètres carrés d’espaces serveurs.
La sécurité du Data Centre : la forteresse numérique du 21ème siècle
Si une entreprise décide de confier l’hébergement de tout ou d’une partie de son système d’information à un prestataire, la priorité pour celui-ci est de fournir un haut niveau de qualité de service et toutes les garanties de protection des données. Le but étant de permettre à l’entreprise cliente d’exploiter ses données dans les meilleures conditions. De ce fait, le Data Centre doit correspondre à un environnement IT à la fois performant et sécurisé.
Les critères de choix d'un Data Center : sécurité et disponibilité
Les critères différenciateurs d’un Data Centre sont le niveau de disponibilité des services critiques ainsi que sa capacité à absorber des pannes potentielles sans interruption de service, ce que l’on désigne par « résilience ».
Depuis la fin des années 90, les Data Centers sont catégorisés par typologie des infrastructures critiques : de Tier I à Tier IV. Un audit approfondi réalisé par un organisme indépendant assure que le service fourni répond à certains standards de qualité.
Le standard Tier I représente le seuil le plus élémentaire, il n’est pas tolérant aux défaillances ni aux besoins de maintenance à chaud. A l’inverse, le Data Center niveau Tier IV est dit « tolérant aux pannes ». Il permet, par la redondance de ses équipements, d’approcher le « zéro-défaut » et donc une disponibilité approchant les 100%.
Ce système de catégorisation des Data Centers a été développé par l’Uptime Institute et est à ce jour mondialement reconnu. Il permet de classifier des Data Centres par typologie des infrastructures critiques : de Tier I à Tier IV pour le plus performant. Chaque Data Centre peut obtenir une certification Tier sur la base d’un audit pointu de l’Uptime Institute. Les premières certifications Tier remontent à 2005. Elles permettent aux entreprises de s’assurer d’un niveau de service évalué par un organisme indépendant, sur un référentiel international.
Le Data Centre, au coeur de l'écosystème digital européen
Comme nous l’avons vu, il existe par défaut un écosystème de gestion de la donnée dépendant de la disponibilité mais également de la sécurité de celle-ci. Consciente des enjeux économiques et géostratégiques du numérique, l’Union Européenne cherche à établir un espace Schengen Numérique en promouvant un espace digital favorable à l’innovation. On parle ainsi de la création d’un espace digital européen unique qui couvre les données dans leur intégralité. Les données à caractère personnel sont aujourd’hui régulées par le « Règlement Général sur la Protection des Données » (RGPD).
La protection et la sécurité des données, un enjeu majeur des Data Centers
En complément, une directive européenne sur les données à caractère non personnel a été adoptée en 2018 par le Parlement Européen. Le principe est de garantir une libre circulation des données, devenant ainsi la cinquième liberté en Europe après celle des personnes, des biens, des services et des capitaux.
Il s’agit, encore à ce jour, d’une réforme majeure au niveau mondial. Avec ce règlement, l’Europe affirme que le numérique est l’industrie du futur. En parallèle, l’UE doit se protéger contre les nouvelles menaces liées au digital, dont les Cyber-attaques. 87% des européens estiment que la Cyber-criminalité constitue un problème considérable pour la sécurité intérieure de l’UE*. Ainsi, l’ENISA a pour objectif de conseiller et d’assister la Commission Européenne et les Etats en matière de Cyber-sécurité. L’agence, qui devrait être renforcée et devenir la future Agence de Cyber-sécurité de l’UE, organise depuis plusieurs années des exercices de Cyber-sécurité à l’échelle européenne, aidant les Etats à être mieux équipés et préparés face aux attaques. L’exercice Cyber-Europe de 2016 portait sur la résilience des infrastructures numériques dont les Data Centres, les services cloud et Internet. L’exercice 2018 porte quant à lui sur les risques Cyber dans le secteur aérien.
Aujourd’hui, l’objectif est de travailler conjointement avec les gouvernements et les entreprises du secteur numérique.
Le scénario de Cyber-attaque « Cyber Europe 2016 » organisé par l’ENISA, auquel ont participé plus de 300 entreprises et organisations dont EBRC, était révélateur de la complexité mais également de la fragilité de l’écosystème digital européen si les questions de protection et de sécurisation des données ne sont pas prises en compte à leur juste niveau. Il s’agissait d’un scénario très noir inspiré, entre autres, de « blackouts » réalistes et de dépendances à des technologies digitales produites en dehors de l’Union Européenne. Il visait évidemment les Data Centres, les services cloud, les réseaux Internet et prenait en compte des techniques d’attaques Cyber-sécurité récentes comme les « ransomware », des méthodes plus sophistiquées, mais également des attaques physiques.
L’objectif était de tester des mécanismes de coopération internationale à l’échelle européenne, tels que prévus dans la nouvelle directive européenne NIS « Network and Information Security » en application depuis mai 2018. Cette directive vise à renforcer la résilience dans le monde digital, dans les secteurs clés de l’économie, les services essentiels (énergie, transports, secteur de la santé, banques et marchés financiers…) ainsi que les fournisseurs de service numérique. La directive va même plus loin en demandant à chaque gouvernement d’identifier et de classifier des entreprises en « Opérateurs de Services Essentiels » ou OSE. Ces dernières sont vitales pour éviter l’effondrement des pays et doivent ainsi s’assurer de la continuité de leurs activités en toutes circonstances.
Les Data Centers : objectif de Cyber-Résilience dans notre monde virtuel
Les Data Centres et les services cloud sur lesquels repose l’économie digitale et qui hébergent les données, doivent de ce fait être ou devenir Cyber-résilients. Dans le monde physique, l’être humain fait chaque jour face à des menaces diverses. Durant des millions d’années, au cours de son évolution, l’homme s’est adapté continuellement pour faire face aux menaces et risques de son environnement en enrichissant son système immunitaire, en développant de nouvelles capacités ou en créant de nouveaux outils assurant sa survie. Cette expérience de résilience acquise dans le monde physique se voit confrontée au monde impalpable du virtuel qu’il a lui-même créé. Dans le monde digital qui régit nos sociétés, il est désormais vital de s’assurer de cette résilience. Et cette Cyber-résilience doit se bâtir d’abord - mais pas seulement - sur les Data Centres qui doivent devenir des forteresses numériques, capables de faire face aux menaces du monde digital.