Assurez la sécurité des data centers au niveau du rack informatique

La sécurité est une exigence fondamentale dans les data centers comme dans les installations de traitement, compte tenu des récentes violations et pertes de données très médiatisées. En Europe, cette attention s'est intensifiée en raison de législations telles que le RGPD (règlement général sur la protection des données), qui peut entraîner des sanctions financières pouvant aller jusqu'à 20 millions d'euros pour les entreprises qui ne protègent pas les données personnelles des citoyens de l'UE.

Associée à des mesures de cybersécurité, la sécurité physique des serveurs informatiques rackables est une composante essentielle de l'équation. Les racks informatiques constituant la dernière ligne de défense, il est important d’en assurer leur protection. La défense des data centers doit se faire à plusieurs niveaux et tenir compte des menaces dans leur intégralité plutôt que de manière isolée.

Évaluation des risques des data centers et racks informatiques

La nature des data centers fait qu'ils sont intrinsèquement peu enclins à prendre des risques. Néanmoins, divers profils de risque permettent de déterminer le niveau de sécurité à adopter.

Deux facteurs principaux sont à considérer avant de décider de la nécessité d'une sécurité au niveau de la baie informatique :

• Le premier est le degré de sensibilité des données conservées.
• Le second est la criticité de l'équipement d'un rack particulier pour le fonctionnement continu de l'installation.

Quelles que soient les opérations, le profil de risque sera toujours plus élevé en raison de la nature des données traitées et stockées. Les institutions financières et les prestataires de soins de santé sont deux des exemples les plus évidents où la sécurité au niveau du rack informatique est une nécessité.
 

Quelles sont les normes à prendre en compte dans la défense des data centers ?

L'importance accordée à ces données est mise en évidence par des normes et des réglementations spécifiques. Citons notamment le PCI - DSS (Payment Card Industry - Data Security Standard) et le HIPAA (Health Insurance Portability and Accountability Act), qui incluent tous deux des directives sur le contrôle de l'accès aux données. La norme PCI - DSS a de vastes conséquences pour de nombreuses entreprises, petites et grandes, dans la mesure où elle s'applique à tous ceux qui traitent les données des cartes de crédit. Si c’est votre cas, l’obtention de la certification PCI – DSS est nécessaire à votre data center.
 

Violation des données : malveillance ou erreur ?

Si la majorité des violations de données résultent de cyberattaques externes qui cherchent à exploiter des logiciels ou des réseaux, les recherches montrent que 25 % des tentatives de vol de données proviennent de l'intérieur.

La question n'est pas toujours celle de l'intention malveillante. En cas de problème avec un serveur, il n'est pas rare qu'on fasse appel à un consultant ou à un prestataire informatique. Devant une multitude de baies informatiques, il est relativement simple de commettre une erreur : le fait de se rendre au rack 20 plutôt qu'au rack 19 et de débrancher le mauvais élément peut avoir de graves conséquences. Les personnes qui travaillent dans le data center ne sont pas à l'abri des erreurs humaines.

En disposant un contrôle au niveau du rack, un ingénieur externe peut avoir uniquement accès au rack concerné. Le verrouillage d'un serveur essentiel à la continuité des activités de l'installation peut non seulement prévenir les manipulations malveillantes, mais également réduire considérablement le risque d'erreurs réelles.
 

Conservation des données des serveurs et baies de brassages au niveau local

Si de nombreuses entreprises utilisent des services hébergés dans des installations cloud dotées d'une excellente sécurité multiniveaux, le recours à des racks stockant les données localement n'est pas rare. La mise en cache des données permet de surmonter les problèmes de rapidité liés à l'accès à tout ce qui se trouve dans le cloud.

En outre, de nombreuses entreprises doivent encore migrer vers le cloud, en stockant toutes leurs données localement. Dans le cadre d'une stratégie globale de sécurité des données, il convient d'envisager au moins la sécurité au niveau des racks, en fonction du profil de risque.

Installations de serveurs informatiques rackables d’entreprise et en colocation

Les grandes entreprises de premier ordre reconnaissent les avantages liés au fait de garantir l'accès très limité à certains racks critiques. On peut citer par exemple les serveurs qui stockent les données des caméras de sécurité et des systèmes de contrôle d'accès. Le débranchement d'une caméra, que ce soit de manière délibérée ou involontaire, peut avoir de graves conséquences. Si un tel serveur est compromis, il ne s'agit pas seulement d'une perte de données, mais potentiellement de la perte de l'ensemble du système de sécurité de l'installation. Dans de tels cas, une authentification à plusieurs facteurs peut être adoptée, selon laquelle plusieurs formes d'identification sont nécessaires pour accéder à la baie informatique, afin de renforcer le niveau de sécurité et de réduire le risque d'accès non autorisé.

Les data center en colocation, dans lesquels les entreprises louent de l'espace de stockage dans le cloud, peuvent également bénéficier de cette approche. Il pourrait être souhaitable de mettre en place un niveau de sécurité allant au-delà des protocoles d'entrée standard pour ces sites à locataires multiples, en particulier pour les entreprises qui estiment avoir un profil de risque plus élevé. Cette solution permet au client de contrôler le rack et de le sécuriser indépendamment de la tierce partie qui assure le stockage des données.
 

Verrouillage électronique vs verrouillage mécanique

L’un des grands avantages de l'adoption du verrouillage électronique par rapport à l'approche basée sur une simple clé est la traçabilité. Il s'agit ici de contrôler l'accès au niveau des racks informatiques plutôt que de simplement limiter l'accès à une multitude de racks, qui se comptent souvent par centaines. Cela permet ainsi d'assurer un niveau de contrôle beaucoup plus strict.

De plus, en cas d'incident, le nom des personnes ayant accédé à un serveur spécifique à un moment donné sera enregistré. Lorsqu'une tentative d'accès non autorisé est effectuée, une alerte peut permettre d'intervenir, bien que, dans la grande majorité des cas, les violations fassent l'objet d'une enquête rétrospective. Par conséquent, le fait de disposer d'informations sur lesquelles s'appuyer pour agir est inestimable, au même titre que la surveillance, la documentation et le contrôle automatisés de l'accès, ainsi que la capacité de reprogrammation rapide en cas de perte ou de vol d'une carte d'accès ou de modification des droits d'accès.

Si, pour certaines applications, la sécurité au niveau des racks est prévue au stade de la conception de l'installation, il est également relativement facile de la mettre en place ultérieurement. Ainsi, si une installation de colocation accueille un nouveau client au profil de risque élevé, un contrôle d'accès peut être proposé pour des racks spécifiques.
 

La dernière ligne de défense physique

L'un des problèmes du contrôle d'accès dans les serveurs et baies de brassage est l'absence de réglementation spécifique. Alors que de nombreuses normes et réglementations stipulent l'obligation d'utiliser des mesures de contrôle d'accès dans les installations de traitement et de stockage des données, les méthodes et technologies concrètes sont laissées au libre choix. Les propriétaires de data center et les responsables du traitement des données peuvent donc grandement bénéficier d'une collaboration avec des entreprises qui ont une expérience directe de la sécurité sur ce marché particulier.

Certes, la sécurité au niveau du rack informatique n'est pas nécessaire pour toutes les applications de données, mais, avec les connaissances et le soutien d'un partenaire expérimenté en matière de solutions de sécurité, elle peut apporter une contribution inestimable à ceux qui l'appliquent, comme dernier niveau d'une approche de sécurité physique à plusieurs niveaux.