Ces normes de sécurité vont au-delà de l'aspect physique. Les data centers modernes doivent réagir à des menaces virtuelles en constante expansion tout en répondant aux exigences d'une série de normes de conformité.
Une fois qu'un data center a satisfait aux normes de sécurité de l'information d'aujourd'hui, il doit être prêt à réagir aux menaces émergentes de demain. Pour ce faire, il doit utiliser des outils d'automatisation et de sécurité qui lui permettent d'adopter un point de vue agile et adaptatif en matière de sécurité, et souvent de relever de nouveaux défis en temps réel.
Le data center moderne doit répondre à de nombreuses exigences, notamment :
- Sécuriser tous les actifs derrière des couches robustes de méthodes de sécurité physiques, virtuelles et conformes.
- Fournir des services continus et résilients qui peuvent résister à de nombreux types d'interruptions et de défaillances.
- Sécuriser les données clés des clients en conformité avec les différentes réglementations.
- Fournir une gamme de solutions cloud y compris des environnements en cloud privé, multi et hybride.
- Pour fournir les services dont les clients ont besoin aujourd'hui, les data centers doivent adopter les niveaux de sécurité les plus élevés.
Qu'est-ce que la sécurité des data centers ?
La sécurité des data centers est l'effort combiné de sécurisation des actifs vitaux à l'aide de plusieurs niveaux de protection. Pour répondre aux normes modernes du secteur de la sécurité, un data center doit sécuriser l'accès physique à son infrastructure, gérer les menaces virtuelles et se conformer aux niveaux de conformité les plus récents.
Quels sont les enjeux ? Le premier enjeu est la protection des données critiques liées au stockage des actifs numériques des clients. En 2022, une violation de données coûte en moyenne 5 millions de dollars aux entreprises, et les atteintes à la réputation et à la confiance coûtent bien plus cher. Étant donné que de nombreuses données sont désormais stockées dans des infrastructures cloud, les data centers doivent jouer leur rôle dans la sécurisation de ces actifs vitaux.
Quelles sont les causes les plus courantes des violations de données dans les data centers ?
Attaques par manipulation psychologique - La première cause de violation de données dans les data centers est l'utilisation de la technologie de l'information. Attaques par manipulation psychologique - Le premier point de la liste est un élément que toutes les équipes de sécurité doivent prendre en compte : les attaques par manipulation psychologique. Des mesures de sécurité adéquates pour les data centers impliquent de former le personnel à repérer ce type d'attaques et de protéger les actifs physiques et virtuels contre tout accès non autorisé.
Infection par logiciels malveillants - L'infrastructure informatique doit également être protégée - dans la mesure du possible - contre les infections par des logiciels malveillants. Les logiciels malveillants modernes peuvent faire bien plus qu'infecter un système, en se propageant potentiellement à d'autres actifs. Pour se protéger contre les logiciels malveillants, les exploitants de centres de données doivent former leur personnel et mettre en œuvre une série d'outils et de ressources de sécurité, tout en segmentant les systèmes critiques.
Mots de passe faibles, perdus ou volés - Le moyen le plus facile de pénétrer dans un système est sans doute d'utiliser des identifiants d'utilisateur faibles ou volés. En fait, environ 80 % de tous les piratages d'entreprises proviennent de mots de passe non sécurisés. Pour se protéger contre l'utilisation abusive des mots de passe, tous les employés devraient au minimum exiger une authentification multifactorielle et des mots de passe forts et uniques.
Vulnérabilités des applications ou du jour zéro - Les vulnérabilités des systèmes de réseau peuvent permettre aux attaquants d'accéder directement aux actifs critiques. La gestion de la sécurité devrait inclure la mise à jour, la mise à niveau et la surveillance continues de l'ensemble du matériel et des logiciels afin de combler les lacunes le plus rapidement possible.
Attaques physiques - Bien entendu, il est également essentiel de contrôler les personnes qui ont un accès physique au centre de données. Ce contrôle doit comprendre plusieurs couches de protection, notamment des contrôles du périmètre, une authentification individuelle et des ressources de sécurité avancées.
Comment sécuriser un data center ?
Quelle que soit la taille du data center, de nombreuses mesures de sécurité virtuelle et physique doivent être mises en place. De même, les normes de conformité exigent une protection rigoureuse de certains actifs.
Normes de conformité importantes pour les data centers
À tout moment, un data center peut être amené à démontrer ses normes de conformité aux autorités, aux parties prenantes et aux clients. L'établissement de ces normes de sécurité est essentiel pour assurer la sécurité des actifs des clients.
Les normes de conformité des data centers permettent de vérifier les références et les certifications du fournisseur de services dans de nombreux domaines, tels que la protection des données, la cybersécurité et le développement durable. Un data center peut prouver sa conformité de différentes manières.
L'une d'entre elles consiste à atteindre les normes essentielles de conformité des data centers, telles que les audits des contrôles des systèmes et des organisations (SOC). Les rapports SOC donnent de la crédibilité aux data centers, ce qui est souvent une exigence avant de travailler avec des clients d'une taille ou d'un secteur d'activité spécifique. Ils prouvent que le fournisseur respecte des normes strictes dans de nombreux domaines essentiels et que ses clients peuvent lui faire confiance.
Il existe trois normes SOC principales :
SOC 1 : l'obtention de la norme de conformité SOC 1 prouve que de solides contrôles financiers et de reporting sont en place au sein d'une entreprise. Il s'agit d'un excellent moyen d'accroître la confiance des clients, en montrant que vous sécurisez et traitez les informations financières au plus haut niveau. Dans un monde où la réglementation et la législation en matière de données sont de plus en plus nombreuses, la norme SOC 1 est un autre moyen de démontrer que vous êtes digne de confiance dans le traitement des données sensibles
SOC 2 : La norme de conformité SOC 2 est un excellent niveau à atteindre pour un data center. Elle démontre aux clients une série de signaux de confiance, notamment des contrôles clés de sécurité physique, sur site et dans le cloud. Très axée sur la sécurité, la norme SOC 2 couvre également le traitement, la confidentialité et l'intégrité de la gestion des données. Globalement, SOC 2 est une mesure des contrôles de sécurité critiques des centres de données basée sur les critères des services de confiance (Trust Services Criteria).
SOC 3 : La norme SOC 3 est la moins répandue des trois, mais elle reste importante pour les prestataires de services travaillant avec le public. Bien qu'elle couvre en grande partie le même domaine que la norme SOC 2, il existe une différence essentielle. Les data centers conformes à la norme SOC 3 peuvent distribuer et commercialiser librement la norme SOC 3 auprès d'un public plus large.
Parmi les autres normes de conformité importantes, on peut citer les suivantes :
- la norme ISO 27001 relative au respect de mesures essentielles en matière de sécurité de l'information
- Norme PCI DSS pour l'acceptation, le traitement et le stockage des données de paiement financier
- Norme HDS pour le traitement et le stockage des informations relatives aux soins de santé.
Sécurité physique des data centers
Outre le respect des normes de conformité, les data centers doivent également mettre en place, entretenir et améliorer leurs mesures de sécurité physique. Ces mesures doivent garantir que seul le personnel autorisé entre dans le data center et que les actifs sont protégés contre les dommages potentiels.
Les niveaux de sécurité des data centers peuvent être considérés comme de multiples anneaux de protection. Ils commencent à l'extérieur du data center et se rapprochent progressivement des ressources informatiques physiques.
Une évaluation des risques extérieurs doit permettre d'identifier les éléments suivants :
- Tout danger potentiel à l'extérieur du data center. Cela inclut les risques locaux, tels que ceux liés à d'autres industries ou à des installations proches.
- La disponibilité permanente des ressources critiques telles que l'eau, l'électricité et le réseau.
- La menace de catastrophes naturelles possibles sur le site spécifique, telles que des conditions météorologiques extrêmes, des inondations ou des tremblements de terre.
Ces considérations peuvent contribuer à rendre l'emplacement d'un daa center aussi solide que possible. L'étape suivante consiste à mettre en place des contrôles d'accès au data center pour l'installation en tant que telle. Ces mesures peuvent être les suivantes :
- Contrôles d'accès au périmètre : En faisant appel à des professionnels de la surveillance et de la sécurité, mettez en place une politique d'accès au data center très stricte dans le périmètre de la construction. Il doit y avoir un système de caméras, des points de contrôle du personnel et des mesures de prévention des intrusions.
- Contrôles de sécurité à l'intérieur du data center. Là encore, ils doivent être conçus par couches, empêchant l'accès sans de multiples contrôles d'identification. Ces contrôles peuvent comprendre une authentification multifactorielle, des contrôles biométriques, des cartes d'identification, etc. Une sécurité plus stricte des data centers devrait permettre d'isoler les personnes qui entrent afin d'éviter les files d'attente. Bien entendu, les ressources informatiques physiques doivent être protégées par plusieurs couches de protection à l'intérieur du data center.
- Une fois les contrôles d'accès mis en place, la sécurité du data center peut envisager de fournir une alimentation électrique continue et ininterrompue aux ressources. Il faut également prendre en compte les éventuels dégâts des eaux, les menaces d'incendie ou les blocages de réseau.
- Les plans de reprise après sinistre du data center doivent toujours être en place en cas d'incident.
Combinés, ces contrôles de sécurité peuvent contribuer à protéger physiquement les actifs contre les attaques extérieures.
Sécurité virtuelle du data center
Enfin, la gestion de la sécurité du data center doit permettre de protéger tous les actifs virtuels contre les attaques extérieures. Il existe de nombreux outils et techniques pour y parvenir, mais la plupart des systèmes comprennent des pare-feu, des systèmes de détection des intrusions et des systèmes de gestion de la sécurité du réseau du data center.
Un pare-feu de data center de haute sécurité peut contribuer à protéger les dispositifs conservés sur site contre les interférences extérieures, en empêchant l'accès non autorisé aux systèmes. Les systèmes de détection d'intrusion doivent surveiller toute activité suspecte. Tous les outils doivent ensuite être signalés aux applications de sécurité ou à un système de gestion pour que les professionnels de la sécurité puissent les examiner.
Il existe de nombreux autres services de sécurité pour les data centers, en particulier dans le cadre des déploiements de l'informatique cloud. La mesure cruciale consiste à prévenir les menaces de manière proactive tout en réagissant aux nouveaux dangers. Les informations doivent être facilement accessibles aux équipes de sécurité, avec des données présentant clairement les détails essentiels.
Digital Realty et la sécurité des data centers
Les data centers de nouvelle génération doivent faire plus qu'héberger des ressources. Ils doivent jouer un rôle clé dans la protection des actifs des clients, identifier des méthodes pour maintenir la disponibilité des services et réagir aux menaces émergentes et évolutives.
Il existe de nombreuses étapes pour y parvenir. Une politique de sécurité solide doit comporter des protections physiques et virtuelles qui empêchent l'accès extérieur aux services sur site et cloud.
Les data centers doivent également démontrer leurs protections en fournissant un service de haute qualité, en répondant aux exigences de conformité et en continuant à s'améliorer. La sécurité des data centers est un défi permanent - et seuls ceux qui évoluent et apprennent des nouveaux défis seront en mesure de les relever.
Chez Digital Realty, nos data centers de colocation répondent à des normes de sécurité strictes. Nous mettons en œuvre plusieurs couches de sécurité rigoureuses - à la fois physiques et virtuelles - pour protéger les actifs critiques de nos clients.