Data center - la sécurité au niveau du rack : la dernière ligne de défense physique

data center

 

La sécurité est une exigence fondamentale dans les data center comme dans les installations de traitement, compte tenu des récentes violations et pertes de données très médiatisées à l'origine d'une attention plus grande que jamais. En Europe, cette attention s'est intensifiée en raison de législations telles que le RGPD (règlement général sur la protection des données), qui peut entraîner des sanctions financières pouvant aller jusqu'à 20 millions d'euros pour les entreprises qui ne protègent pas les données personnelles des citoyens de l'UE. En effet, la sécurité physique est une composante essentielle de l'équation, associée à des mesures de cybersécurité pour garantir une approche à plusieurs niveaux qui tient compte des menaces dans leur intégralité plutôt que de manière isolée.


Parmi les progrès réalisés pour améliorer la protection, on peut citer le passage à une protection physique au niveau du rack. Les data center et les salles informatiques bénéficieront d'une sécurité physique, grâce à des installations spécialement construites à cet effet. En général, le périmètre de sécurité et le contrôle d'accès aux installations générales sont assurés, mais il existe également une approche hiérarchique pour des zones spécifiques, en particulier dans les entreprises qui ont généralement un accès restreint aux serveurs de données. Toutefois, cette protection n'est souvent pas assurée au niveau des racks, ce qui peut se révéler imprévisible dans la mesure où les armoires constituent la dernière ligne de défense.

Évaluation des risques


La nature des data center fait qu'ils sont intrinsèquement peu enclins à prendre des risques. Néanmoins, divers profils de risque permettent de déterminer le niveau de sécurité à adopter. Il y a essentiellement deux facteurs principaux à considérer avant de décider de la nécessité d'une sécurité au niveau du rack. Le premier est le degré de sensibilité des données conservées tandis que le second est la criticité de l'équipement d'un rack particulier pour le fonctionnement continu de l'installation.

data center


Quelles que soient les opérations, le profil de risque sera toujours plus élevé en raison de la nature des données traitées et stockées. Les institutions financières et les prestataires de soins de santé sont deux des exemples les plus évidents où la sécurité au niveau du rack peut être considérée comme une nécessité plutôt qu'un avantage. Par ailleurs, l'importance accordée à ces données est mise en évidence par des normes et des réglementations spécifiques à ces marchés. Citons notamment le PCI - DSS (Payment Card Industry - Data Security Standard) et le HIPAA (Health Insurance Portability and Accountability Act), qui incluent tous deux des directives sur le contrôle de l'accès aux données. Aussi, la norme PCI - DSS a de vastes conséquences pour de nombreuses entreprises, petites et grandes, dans la mesure où elle s'applique à tous ceux qui traitent les données des cartes de crédit.

Malveillance ou erreur ?


II serait raisonnable de penser que la majorité des violations de données résultent de cyberattaques externes qui cherchent à exploiter des logiciels ou des réseaux. Bien que cela soit effectivement le cas, les recherches montrent que jusqu'à 25 % des tentatives malveillantes de vol de données proviennent de l'intérieur.
La question n'est pas toujours celle de l'intention malveillante. En cas de problème avec un serveur, il n'est pas rare qu'on fasse appel à un consultant ou à un prestataire informatique. Devant une multitude de racks, il est relativement simple de commettre une erreur : le fait de se rendre au rack 20 plutôt qu'au rack 19 et de débrancher le mauvais élément peut avoir de graves conséquences. Les personnes qui travaillent dans le data center ne sont pas non plus à l'abri des erreurs humaines. Ainsi, en disposant d'un contrôle au niveau du rack, un ingénieur externe peut, par exemple, avoir uniquement accès au rack concerné. Or, le verrouillage d'un serveur essentiel à la continuité des activités de l'installation peut non seulement prévenir les manipulations malveillantes, mais également réduire considérablement le risque d'erreurs réelles.

Conservation des données au niveau local


Tandis que de nombreuses entreprises utilisent des services dans le cloud hébergés dans des installations dotées d'une excellente sécurité multiniveaux, le recours à des racks stockant les données localement n'est pas rare. De ce fait, la mise en cache des données permet de surmonter les problèmes de rapidité liés à l'accès à tout ce qui se trouve dans le cloud.
En outre, de nombreuses entreprises doivent encore migrer vers le cloud, en stockant toutes leurs données localement. Dans le cadre d'une stratégie globale de sécurité des données, il convient d'envisager au moins la sécurité au niveau des racks, en fonction du profil de risque.

 

data center

Installations d'entreprise et de colocation


Bien entendu, il est possible d'étendre la sécurité au niveau des racks dans certains des plus grands data center d'entreprise. En effet, les grandes entreprises de premier ordre sont à l'origine de cette tendance en reconnaissant les avantages liés au fait de garantir l'accès très limité à certains racks critiques pour l'entreprise. On peut citer comme exemple les serveurs qui stockent les données des caméras de sécurité et des systèmes de contrôle d'accès, et les graves conséquences que peut avoir le débranchement d'une caméra, que ce soit de manière délibérée ou involontaire. Si un tel serveur est compromis, il ne s'agit pas seulement d'une perte de données, mais potentiellement de la perte de l'ensemble du système de sécurité de l'installation. Dans de tels cas, une authentification à plusieurs facteurs peut être adoptée, selon laquelle plusieurs formes d'identification sont nécessaires pour accéder à l'armoire, afin de renforcer le niveau de sécurité et de réduire le risque d'accès non autorisé.


Les data center en colocation, dans lesquels les entreprises louent de l'espace de stockage dans le cloud, peuvent également bénéficier de cette approche. Il pourrait être souhaitable de mettre en place un niveau de sécurité allant au-delà des protocoles d'entrée standard pour ces sites à locataires multiples, en particulier pour les entreprises qui estiment avoir un profil de risque plus élevé et désirent des niveaux de sécurité qui en tiennent compte. Cette solution permet au client de contrôler le rack et de le sécuriser indépendamment de la tierce partie qui assure le stockage des données.

Verrouillage électronique vs verrouillage mécanique


L’un des grands avantages de l'adoption du verrouillage électronique par rapport à l'approche basée sur une simple clé est la traçabilité. Il s'agit ici de contrôler l'accès au niveau des racks plutôt que de simplement limiter l'accès à une multitude de racks, qui se comptent souvent par centaines. Cela permet ainsi d'assurer un niveau de contrôle beaucoup plus strict. De plus, en cas d'incident, le nom des personnes ayant accédé à un serveur spécifique à un moment donné sera enregistré. Lorsqu'une tentative d'accès non autorisé est effectuée, une alerte peut permettre d'intervenir, bien que, dans la grande majorité des cas, les violations fassent l'objet d'une enquête rétrospective. Par conséquent, le fait de disposer d'informations sur lesquelles s'appuyer pour agir est inestimable, au même titre que la surveillance, la documentation et le contrôle automatisés de l'accès, ainsi que la capacité de reprogrammation rapide en cas de perte ou de vol d'une carte d'accès ou de modification des droits d'accès.


Si, pour certaines applications, la sécurité au niveau des racks est prévue au stade de la conception de l'installation, il est également relativement facile de la mettre en place ultérieurement. Ainsi, si une installation de colocation accueille un nouveau client au profil de risque élevé, un contrôle d'accès peut être proposé pour des racks spécifiques.

data center

La dernière ligne de défense physique


L'un des problèmes du contrôle d'accès dans les data center est l'absence de réglementation spécifique. Alors que de nombreuses normes et réglementations stipulent l'obligation d'utiliser des mesures de contrôle d'accès dans les installations de traitement et de stockage des données, les méthodes et technologies concrètes sont laissées au libre choix. Les propriétaires de data center et les responsables du traitement des données peuvent donc grandement bénéficier d'une collaboration avec des entreprises qui ont une expérience directe de la sécurité sur ce marché particulier.


Certes, la sécurité au niveau du rack n'est pas nécessaire pour toutes les applications de données, mais, avec les connaissances et le soutien d'un partenaire expérimenté en matière de solutions de sécurité, elle peut apporter une contribution inestimable à ceux qui l'appliquent, comme dernier niveau d'une approche de sécurité physique à plusieurs niveaux.


Pour en savoir plus sur la sécurité des data center, téléchargez gratuitement notre livre blanc « Sécuriser les data center du futur » 

Solutions sur-mesure ?

Contactez un professionnel
de la sécurité