X
Guillaume Périssat / lundi 11 novembre 2019 / Thèmes: Dossier

Certifications Datacenters

Pour y voir plus clair

Si longtemps la réputation d’un centre de données s’est limitée au seul critère de continuité de service, de nouvelles caractéristiques ont aujourd’hui pris de l’importance, à l’instar de la consommation énergétique, de la performance environnementale ou encore de la sécurité des systèmes d’informations. De nombreux référentiels sont donc venus s’ajouter afin d’apporter non seulement une garantie de sérieux, mais aussi une meilleure lisibilité du marché.

Datacenter Advanced Mediomatrix, Metz ©Alexandre Besson

On compte, en France, entre 180 et 200  datacenters dits neutres, maillant tout le territoire quoiqu’un grand nombre – entre un tiers et la moitié selon les études – sont installés en Île-de-France. Qu’ils relèvent d’OVH, de Claranet, d’Equinix, d’Interxion, d’IBM, d’Ikoula, d’OBS, de Cogent ou encore de Scaleway, il y en a pour tous les goûts… mais pour le profane, pour la personne extérieure au domaine technique, tous se ressemblent : des hangars abritant des boîtes. Et avouons que les idées reçues n’aident pas vraiment quand il s’agit de trouver le datacenter correspondant aux besoins de son entreprise. C’est là qu’interviennent certifications, qualifications et autres classifications. Devenu un passage incontournable, leur obtention apporte à l’opérateur du site certaines garanties pour ses clients, notamment en termes de continuité et de disponibilité de service, tant on sait que les interruptions dues à des pannes ont des coûts tant pour les hébergeurs que pour leurs clients, du fait de l’indisponibilité de leurs applications et de leurs données. Différents standards viennent donc définir les bonnes pratiques et servir de référentiels.

 

Le système TIER est sans doute le plus connu. Ces certifications délivrées par l’institut Uptime évalue les datacenters en fonction de leur temps de disponibilité et, selon le niveau, d’un certain nombre d’autres facteurs tant du point de vue des infrastructures que des opérations. La certification prend trois formes : l’une porte sur la conception du datacenter, valide pour deux ans et fondée sur un corpus documentaire, l’autre certifie l’infrastructure en dur, valide jusqu’à ce qu’un changement soit fait au sein du bâtiment, et passe par une inspection du site. Enfin, la dernière traite de la “ durabilité opérationnelle ” (Operational Sustainability), évaluant les processus de gestion et les opérations de l’installation, valide pour un, deux ou trois ans.

Viennent ensuite les TIER I, II, III et IV. La première, le bas du panier, n’exige aucune redondance et n’autorise pas plus de 28,8 heures d’indisponibilité par an pour 99,671 % de disponibilité annuelle. Plus robuste, le TIER II demande des redondances au niveau électrique et refroidissement. Si elle ne couvre pas l’ensemble des opérations, cette redondance doit au minimum concerner les aspects les plus critiques du site : 99,741 % de disponibilité sont exigés, et moins de 22 heures d’indisponibilité par an.

Le TIER n’est plus seul

Avec le TIER III, le niveau augmente fortement, puisque le datacenter doit être en mesure d’effectuer des réparations ou des opérations de maintenance sans interruption de service notable et offrir un certain niveau de résistance aux pannes, qui tolère néanmoins des urgences et des opérations imprévues pouvant affecter les opérations du client. En outre, question redondance, le TIER III implique une protection de 72 heures contre les pannes de courant. Est exigée une disponibilité de 99,982 % par an et une limite de 1,6 heure d’indisponibilité.

Enfin, le TIER IV s’adresse à la Rolls des datacenters ; à la crème de la crème. On parle ici d’infrastructure totalement redondante, tant en termes de refroidissement que d’alimentation – on parle de 2N+1, soit deux fois le nombre d’équipements requis, plus un extra, quand le TIER III est “ seulement ” N+1. En outre, le système électrique doit indépendamment pouvoir assurer 96 heures de courant en cas de coupure. D’autant que cette certification exige que l’ensemble du périmètre soit couvert, donc chaque processus et chaque flux. En d’autres termes, aucune panne ne doit pouvoir arrêter le système, le fameux « zero point of failure », sachant que si un très léger degré d’indisponibilité est permis (26,3 minutes par an, pour 99,995 % de disponibilité), les opérations des clients ne doivent pas être touchées.

Notons que ces certifications ne sont en rien obligatoires pour opérer un centre de données. Ils sont nombreux à se revendiquer TIER III ou IV, mais il s’agit au mieux d’un abus de langage. En effet, Uptime ne recense en France que quatre datacenters certifiés, trois TIER III et un seul TIER IV, celui du Crédit Agricole à Mainvilliers (Eureet-Loire). Si presque chaque centre de données de France et de Navarre clame être TIER, il s’agit donc d’équivalence. « Aujourd’hui, en France, nos clients n’ont pas besoin d’un coup de tampon pour être crédibles », nous explique Nicolas Becquet, chef de projet pour le cabinet d’ingénierie APL. « Leurs clients finaux ont confiance et se contente d’un niveau équivalent TIER III ou TIER IV et, le cas échéant, les opérateurs de datacenters peuvent travailler avec des cabinets comme le nôtre, qui délivreront un avis qui sera généralement suffisant. » La certification TIER d’Uptime Institute fournit un référentiel à partir duquel vont être établis des équivalents. Il existe en outre d’autres qualifications, telles que TIA 942, Syska Hennessy ou encore BICSI 002. La norme ISO 22301 va quant à elle juger des processus relatifs à la gestion de la continuité d’activité. « La particularité dans ce domaine est qu’il n’y a pas vraiment de cadre réglementaire, donc rien n’empêche à la base de faire des salles non sécurisées. La certification représente un moyen de valoriser un bâtiment ou de le positionner par rapport aux autres. TIER va parler à beaucoup de gens quant aux choix techniques », ajoute Nicolas Becquet. « Tous ces sujets sont relativement récents et l’état de l’art de l’hébergement est encore en mouvement, on peut penser notamment aux travaux actuels au niveau européen avec l’EN50600. »

Sécurité et environnement

Mais ces certifications et classifications-là ne concernent que la continuité de services, en quelque sorte la base de tout datacenter qui se respecte. Si ce point est essentiel, il n’est pas le seul à déterminer le choix d’un datacentre. Outscale ne dispose pas de ses propres centres de données. « Gérer une salle blanche demande des compétences bien spécifiques comme le génie bâtiment, le génie électrique ou climatique que nous ne souhaitons pas forcément internaliser », indique Ghislain Seguy, directeur des opérations monde d’Outscale. « Donc, lorsque nous faisons le choix d’un partenaire datacenters, les différentes certifications sont des éléments que nous scrutons de manière très attentive. » Si l’entreprise sélectionne au minimum des niveau TIER III, sa vocation à fournir des services cloud sécurisés fait qu’elle est « moins regardante sur les aspects continuités de services que sur la partie sécurité, qui est le maillon le plus important de la chaîne ».

Et là encore, en matière de sécurité aussi bien physique que logique, les certifications ne manquent pas. On pourra citer aussi bien l’Apsad sur les risques incendies et intrusions que l’ISAE 3402, qui porte sur les contrôles internes. Du côté d’Outscale est regardé avant tout le standard ISO 27001, dit management de la sécurité des informations. « Nous avons besoin que l’intégralité des échanges et des systèmes d’information soient protégés avant de confier nos matériels à un partenaire » précise Ghislain Seguy : « C’est un élément auquel on ne peut pas déroger. » Des ISO qui repose pour mémoire sur la valorisation et la mise en place de process d’amélioration continue, on en trouve également concernant la protection de l’environnement (ISO 14001) et la performance énergétique (ISO 54000). Sans oublier le très populaire LEED, pour Leadership in Energy and Environmental Design. « A notre niveau, ces points ne sont pas fondamentaux mais le management de l’environnement prend de plus en plus d’importance avec la RSE. De plus, nous sommes de gros consommateurs d’électricité et nous cherchons à réduire notre empreinte carbone », souligne le directeur des opérations monde d’Outscale.

Répondre aux besoins métiers

À cela s’ajoute un certain nombre de qualifications et de certifications plus spécifiques. Ainsi, PCI DSS, ou Payment Card Industry Data Security Standard, est une norme couvrant la sécurité des données bancaires, quand le HADS (Hébergeur agréé de données de santé) a été conçu pour garantir la confidentialité, la protection et la disponibilité des données de santé. « Ces agréments, normes, qualifications et certifications répondent à des contraintes métier, soit absolues parce que obligations réglementaires dans certains secteurs, soit des demandes des utilisateurs finaux », détaille Nicolas Becquet.

En résumé, les référentiels des bonnes pratiques des datacentres reposent aujourd’hui sur trois piliers : la traditionnelle continuité de service, l’environnement et l’énergie et enfin la sécurité. Selon une étude d’APL, si historiquement seuls les hébergeurs les plus importants engageaient des programmes de certifications, désormais « pour répondre aux exigences du marché et aux attentes des parties intéressées », peu importe la taille ou le type, cette démarche est devenue nécessaire pour tous les datacenters à l’heure de la transformation numérique des entreprises. Ne serait-ce que pour fournir un minimum de lisibilité dans une offre devenue pléthorique.

Ainsi, un e-commerçant à grande échelle aura tout intérêt à choisir une structure d’un niveau au moins équivalent au TIER III, et, puisqu’il traite des paiements, et donc des données bancaires, certifiée PCI-DSS. Une qualification nécessaire y compris pour une petite boutique, quand bien même un TIER II lui suffit. L’ISO 27001 semble quant à lui indispensable. De plus en plus, les opérateurs d’infrastructure ont recours à la multi-certification, évitant les compromis entre opérations, disponibilité, sécurité et impact environnemental.

Ainsi, le DC4 de Scaleway à Paris est certifié HADS et ISO 27001, et en cours d’obtention du PCI-DSS, quand le PA3 d’Equinix à Saint-Denis est lui certifié ISO 27001, ISO 50001, PCI-DSS, HADS, ISO 14001… Reste que la principale difficulté va être de gérer conjointement l’ensemble de ces sujets. Selon Nicolas Becquet, « le datacenter est à la croisée de différents domaines techniques – bâtiment, télécom… – et de problématiques multi domaines avec des thématiques qui viennent s’y greffer, telles que la sécurité ou l’environnement. On a des standards issus de ces différents domaines, sur les demandes métier, sur la partie continuité de services et les référentiels ont un côté rassurant pour un décideur en ce qu’ils concrétisent la chaîne technique et la rendent compréhensible à des personnes extérieures. » En d’autres termes, TIER III, TIER IV, ISO 22301, ISO 27001, ISO 14001 ou encore PCIDSS vont faire la preuve pour l’opérateur de datacenter de l’efficacité et de la fiabilité de son site et de sa gestion ; et a contrario fournir aux clients une lisibilité de l’offre existante, afin de faciliter le choix d’une structure correspondant le mieux à leurs besoins.

3188
Tags:cloud

x
Rechercher dans les dossiers

Actuellement à la Une...
C’est la 1ère révision majeure pour 2020 du CMS le plus répandu sur internet. L’accent est mis sur l’éditeur qui s’enrichit de nouveaux blocs et bénéficie d’une gestion améliorée de la couleur.

Une nouvelle livraison d’applications et de services rendus gratuits pendant le confinement. Le flux commence à ralentir cependant !

L’efficacité contre le COVID-19 des antipaludéens que sont la chloroquine et l'hydroxychloroquine fait toujours débat dans les cercles scientifiques, avec un battage médiatique conséquent. Certaines personnes mal intentionnées tentent d’en profiter, mais les forces de l’ordre veillent. Ainsi, les gendarmes alsaciens ont réalisé un coup de filet contre un réseau d’escroquerie sur internet, fermant 70 sites Web vendant frauduleusement ces cachets. 

Okta, lors de son événement Oktane20 Live, a rendu public FastPass, un outil qui permet aux utilisateurs de se connecter aux applications sans mot de passe.

Un nouveau plug-in Jenkins avec l’API Strobe automatise les tests de performance très tôt dans le cycle de vie applicatif pour les mainframes.

La tentative de prise de contrôle de HP Inc par Xerox a échoué. Après plusieurs mois d'un feuilleton qui nous a tenu en haleine, ce sont moins les réticences de HP que la situation sanitaire qui viennent à bout des prétentions de Xerox, qui a annoncé dans un communiqué jeter l'éponge. 

Actif depuis 2016, le ransomware Dharma continuait l’an dernier à faire parler de lui : dans l’Hexagone il a en août dernier été responsable de la paralysie de Ramsay Générale de Santé. Son code source a été mis en vente sur des forums russes ce week-end, pour 2000 dollars. Les chercheurs craignent un effet Mirai, mais y voient aussi l’occasion de décortiquer ce programme malveillant et d’y trouver de nouvelles parades. 

Sans blague, une nouvelle fournée d’applications et de services rendus gratuits pendant l’épidémie.

La compagnie hôtelière est à nouveau victime d’une violation des données de ses clients. Marriott a subi entre mi-janvier et fin février une cyberattaque, lors de laquelle ont été compromises les données de 5,2 millions de ses clients.

L’éditeur de solutions de sécurité a signé un accord exclusif pour reprendre CloudGenix, un acteur du SD-WAN pour 420M$.

Toutes les News
LIVRES BLANCS

Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


Tous les Livres Blancs
0123movie