X
Guillaume Périssat / lundi 11 novembre 2019 / Thèmes: Dossier

Certifications Datacenters

Pour y voir plus clair

Si longtemps la réputation d’un centre de données s’est limitée au seul critère de continuité de service, de nouvelles caractéristiques ont aujourd’hui pris de l’importance, à l’instar de la consommation énergétique, de la performance environnementale ou encore de la sécurité des systèmes d’informations. De nombreux référentiels sont donc venus s’ajouter afin d’apporter non seulement une garantie de sérieux, mais aussi une meilleure lisibilité du marché.

Datacenter Advanced Mediomatrix, Metz ©Alexandre Besson

On compte, en France, entre 180 et 200  datacenters dits neutres, maillant tout le territoire quoiqu’un grand nombre – entre un tiers et la moitié selon les études – sont installés en Île-de-France. Qu’ils relèvent d’OVH, de Claranet, d’Equinix, d’Interxion, d’IBM, d’Ikoula, d’OBS, de Cogent ou encore de Scaleway, il y en a pour tous les goûts… mais pour le profane, pour la personne extérieure au domaine technique, tous se ressemblent : des hangars abritant des boîtes. Et avouons que les idées reçues n’aident pas vraiment quand il s’agit de trouver le datacenter correspondant aux besoins de son entreprise. C’est là qu’interviennent certifications, qualifications et autres classifications. Devenu un passage incontournable, leur obtention apporte à l’opérateur du site certaines garanties pour ses clients, notamment en termes de continuité et de disponibilité de service, tant on sait que les interruptions dues à des pannes ont des coûts tant pour les hébergeurs que pour leurs clients, du fait de l’indisponibilité de leurs applications et de leurs données. Différents standards viennent donc définir les bonnes pratiques et servir de référentiels.

 

Le système TIER est sans doute le plus connu. Ces certifications délivrées par l’institut Uptime évalue les datacenters en fonction de leur temps de disponibilité et, selon le niveau, d’un certain nombre d’autres facteurs tant du point de vue des infrastructures que des opérations. La certification prend trois formes : l’une porte sur la conception du datacenter, valide pour deux ans et fondée sur un corpus documentaire, l’autre certifie l’infrastructure en dur, valide jusqu’à ce qu’un changement soit fait au sein du bâtiment, et passe par une inspection du site. Enfin, la dernière traite de la “ durabilité opérationnelle ” (Operational Sustainability), évaluant les processus de gestion et les opérations de l’installation, valide pour un, deux ou trois ans.

Viennent ensuite les TIER I, II, III et IV. La première, le bas du panier, n’exige aucune redondance et n’autorise pas plus de 28,8 heures d’indisponibilité par an pour 99,671 % de disponibilité annuelle. Plus robuste, le TIER II demande des redondances au niveau électrique et refroidissement. Si elle ne couvre pas l’ensemble des opérations, cette redondance doit au minimum concerner les aspects les plus critiques du site : 99,741 % de disponibilité sont exigés, et moins de 22 heures d’indisponibilité par an.

Le TIER n’est plus seul

Avec le TIER III, le niveau augmente fortement, puisque le datacenter doit être en mesure d’effectuer des réparations ou des opérations de maintenance sans interruption de service notable et offrir un certain niveau de résistance aux pannes, qui tolère néanmoins des urgences et des opérations imprévues pouvant affecter les opérations du client. En outre, question redondance, le TIER III implique une protection de 72 heures contre les pannes de courant. Est exigée une disponibilité de 99,982 % par an et une limite de 1,6 heure d’indisponibilité.

Enfin, le TIER IV s’adresse à la Rolls des datacenters ; à la crème de la crème. On parle ici d’infrastructure totalement redondante, tant en termes de refroidissement que d’alimentation – on parle de 2N+1, soit deux fois le nombre d’équipements requis, plus un extra, quand le TIER III est “ seulement ” N+1. En outre, le système électrique doit indépendamment pouvoir assurer 96 heures de courant en cas de coupure. D’autant que cette certification exige que l’ensemble du périmètre soit couvert, donc chaque processus et chaque flux. En d’autres termes, aucune panne ne doit pouvoir arrêter le système, le fameux « zero point of failure », sachant que si un très léger degré d’indisponibilité est permis (26,3 minutes par an, pour 99,995 % de disponibilité), les opérations des clients ne doivent pas être touchées.

Notons que ces certifications ne sont en rien obligatoires pour opérer un centre de données. Ils sont nombreux à se revendiquer TIER III ou IV, mais il s’agit au mieux d’un abus de langage. En effet, Uptime ne recense en France que quatre datacenters certifiés, trois TIER III et un seul TIER IV, celui du Crédit Agricole à Mainvilliers (Eureet-Loire). Si presque chaque centre de données de France et de Navarre clame être TIER, il s’agit donc d’équivalence. « Aujourd’hui, en France, nos clients n’ont pas besoin d’un coup de tampon pour être crédibles », nous explique Nicolas Becquet, chef de projet pour le cabinet d’ingénierie APL. « Leurs clients finaux ont confiance et se contente d’un niveau équivalent TIER III ou TIER IV et, le cas échéant, les opérateurs de datacenters peuvent travailler avec des cabinets comme le nôtre, qui délivreront un avis qui sera généralement suffisant. » La certification TIER d’Uptime Institute fournit un référentiel à partir duquel vont être établis des équivalents. Il existe en outre d’autres qualifications, telles que TIA 942, Syska Hennessy ou encore BICSI 002. La norme ISO 22301 va quant à elle juger des processus relatifs à la gestion de la continuité d’activité. « La particularité dans ce domaine est qu’il n’y a pas vraiment de cadre réglementaire, donc rien n’empêche à la base de faire des salles non sécurisées. La certification représente un moyen de valoriser un bâtiment ou de le positionner par rapport aux autres. TIER va parler à beaucoup de gens quant aux choix techniques », ajoute Nicolas Becquet. « Tous ces sujets sont relativement récents et l’état de l’art de l’hébergement est encore en mouvement, on peut penser notamment aux travaux actuels au niveau européen avec l’EN50600. »

Sécurité et environnement

Mais ces certifications et classifications-là ne concernent que la continuité de services, en quelque sorte la base de tout datacenter qui se respecte. Si ce point est essentiel, il n’est pas le seul à déterminer le choix d’un datacentre. Outscale ne dispose pas de ses propres centres de données. « Gérer une salle blanche demande des compétences bien spécifiques comme le génie bâtiment, le génie électrique ou climatique que nous ne souhaitons pas forcément internaliser », indique Ghislain Seguy, directeur des opérations monde d’Outscale. « Donc, lorsque nous faisons le choix d’un partenaire datacenters, les différentes certifications sont des éléments que nous scrutons de manière très attentive. » Si l’entreprise sélectionne au minimum des niveau TIER III, sa vocation à fournir des services cloud sécurisés fait qu’elle est « moins regardante sur les aspects continuités de services que sur la partie sécurité, qui est le maillon le plus important de la chaîne ».

Et là encore, en matière de sécurité aussi bien physique que logique, les certifications ne manquent pas. On pourra citer aussi bien l’Apsad sur les risques incendies et intrusions que l’ISAE 3402, qui porte sur les contrôles internes. Du côté d’Outscale est regardé avant tout le standard ISO 27001, dit management de la sécurité des informations. « Nous avons besoin que l’intégralité des échanges et des systèmes d’information soient protégés avant de confier nos matériels à un partenaire » précise Ghislain Seguy : « C’est un élément auquel on ne peut pas déroger. » Des ISO qui repose pour mémoire sur la valorisation et la mise en place de process d’amélioration continue, on en trouve également concernant la protection de l’environnement (ISO 14001) et la performance énergétique (ISO 54000). Sans oublier le très populaire LEED, pour Leadership in Energy and Environmental Design. « A notre niveau, ces points ne sont pas fondamentaux mais le management de l’environnement prend de plus en plus d’importance avec la RSE. De plus, nous sommes de gros consommateurs d’électricité et nous cherchons à réduire notre empreinte carbone », souligne le directeur des opérations monde d’Outscale.

Répondre aux besoins métiers

À cela s’ajoute un certain nombre de qualifications et de certifications plus spécifiques. Ainsi, PCI DSS, ou Payment Card Industry Data Security Standard, est une norme couvrant la sécurité des données bancaires, quand le HADS (Hébergeur agréé de données de santé) a été conçu pour garantir la confidentialité, la protection et la disponibilité des données de santé. « Ces agréments, normes, qualifications et certifications répondent à des contraintes métier, soit absolues parce que obligations réglementaires dans certains secteurs, soit des demandes des utilisateurs finaux », détaille Nicolas Becquet.

En résumé, les référentiels des bonnes pratiques des datacentres reposent aujourd’hui sur trois piliers : la traditionnelle continuité de service, l’environnement et l’énergie et enfin la sécurité. Selon une étude d’APL, si historiquement seuls les hébergeurs les plus importants engageaient des programmes de certifications, désormais « pour répondre aux exigences du marché et aux attentes des parties intéressées », peu importe la taille ou le type, cette démarche est devenue nécessaire pour tous les datacenters à l’heure de la transformation numérique des entreprises. Ne serait-ce que pour fournir un minimum de lisibilité dans une offre devenue pléthorique.

Ainsi, un e-commerçant à grande échelle aura tout intérêt à choisir une structure d’un niveau au moins équivalent au TIER III, et, puisqu’il traite des paiements, et donc des données bancaires, certifiée PCI-DSS. Une qualification nécessaire y compris pour une petite boutique, quand bien même un TIER II lui suffit. L’ISO 27001 semble quant à lui indispensable. De plus en plus, les opérateurs d’infrastructure ont recours à la multi-certification, évitant les compromis entre opérations, disponibilité, sécurité et impact environnemental.

Ainsi, le DC4 de Scaleway à Paris est certifié HADS et ISO 27001, et en cours d’obtention du PCI-DSS, quand le PA3 d’Equinix à Saint-Denis est lui certifié ISO 27001, ISO 50001, PCI-DSS, HADS, ISO 14001… Reste que la principale difficulté va être de gérer conjointement l’ensemble de ces sujets. Selon Nicolas Becquet, « le datacenter est à la croisée de différents domaines techniques – bâtiment, télécom… – et de problématiques multi domaines avec des thématiques qui viennent s’y greffer, telles que la sécurité ou l’environnement. On a des standards issus de ces différents domaines, sur les demandes métier, sur la partie continuité de services et les référentiels ont un côté rassurant pour un décideur en ce qu’ils concrétisent la chaîne technique et la rendent compréhensible à des personnes extérieures. » En d’autres termes, TIER III, TIER IV, ISO 22301, ISO 27001, ISO 14001 ou encore PCIDSS vont faire la preuve pour l’opérateur de datacenter de l’efficacité et de la fiabilité de son site et de sa gestion ; et a contrario fournir aux clients une lisibilité de l’offre existante, afin de faciliter le choix d’une structure correspondant le mieux à leurs besoins.

1962
Tags:cloud

x
Rechercher dans les dossiers

Actuellement à la Une...
En Allemagne, l’opérateur télécom vient d’écoper d’une amende de 9,5 millions d’euros infligée par le gendarme des données personnelles, qui reproche à 1&1 une protection insuffisante des données de ses clients.

Chose promise, chose due, Microsoft a livré la version Linux de Teams. Disponible en préversion publique, il s’agit pour Redmond de répondre à la demande populaire et d’emboîter le pas à Slack.

Au sommaire de ce numéro : L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

Le gouvernement parviendra-t-il à unir sous une même bannière les telcos malgré les inimitiés entre les acteurs de ce marché ultra-concurrentiel ? Le comité de filière stratégique, qui s’appuiera sur les fédérations en place, devrait être signé mercredi prochain.

Les fonds Elliott Management et Francisco Partners se seraient associés afin de mettre la main sur le fournisseur de logiciels d’acc&egra...

Le patron de Twitter milite en faveur d’un protocole ouvert et décentralisé pour les réseaux sociaux, afin de faciliter la lutte contre la désinformation et le harcèlement, ainsi que le développement d’algorithmes de recommandations.

Après le rachat de la branche entreprise de Symantec par Broadcom, trois acquéreurs se sont manifestés pour mettre la main sur ses activités grand public, rebaptisées Norton LifeLock. McAfee fait partie des acheteurs potentiels.

Alors que l’opérateur bénéficie d’un sursis, Infranum a pris position en faveur du maintien d’un acteur op&eacu...

Preuve s’il en est du dynamisme de la filière cybersécurité en France, c’est une cinquantaine de candidatures que le jury chargé de décerner le prix Startup du FIC ont dû départager. La messagerie instantanée Olvid a remporté le trophée.

Disponible depuis quelques semaines pour les internautes américains, le nouvel algorithme doit rendre plus efficaces les recherches complexes ou exprimées en langage quasi naturel associant de nombreux mots avec des prépositions.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs