Fin mars, l'incendie du centre de données strasbourgeois d'OVHCloud a pris l'ampleur d'une catastrophe industrielle majeure. Des milliers d'entreprises ont été directement impactées par ce sinistre qui a détruit plusieurs salles du data center du géant lillois. Des milliers de sites web ont été immédiatement touchés, rendus inaccessibles ou contraints de fonctionner de façon dégradée. Des entreprises ont dû faire face à des interruptions de services durant plusieurs jours. D'autres ont déploré des pertes définitives de précieuses données informatiques. Sans sauvegarde en dehors des sites détruits par l'incendie, certaines data ont donc été irrémédiablement perdues. Ce scénario catastrophe rappelle qu'une entreprise a tout intérêt à choisir avec soin le lieu et la façon dont sont stockées ses données.
Baies, serveurs et équipements réseaux peuvent être localisés en interne, au sein même de l’entreprise, dans un local spécialement aménagé. L’entreprise peut aussi s’adresser à un hébergeur informatique. Quoi qu’il en soit, l’incendie du centre d’OVHCloud rappelle que le premier critère à prendre en compte pour stocker ses données est la sécurité. Les data centers détiennent des biens précieux : les données informatiques sont devenues des ressources essentielles et stratégiques pour les entreprises. La sécurité d’un data center doit pour cette raison être irréprochable.
Doublon de sauvegarde
Du fait de l’existence de locaux et d’équipements, cette sécurité est d’abord physique. Il s’agit d’empêcher aussi bien les sinistres que les actes malveillants. Quels sont les équipements de sécurisation physique du bâtiment de stockage ? Quel niveau de contrôle des accès ? Pour éviter le scénario catastrophe vécu par des milliers d’entreprises clientes d’OVHCloud, une seule solution : il faut prévoir dans le contrat d’hébergement de la redondance, c’est-à-dire un doublon de sauvegarde. Cette redondance peut être assurée par le même hébergeur. Dans ce cas, il faut bien veiller à ce que la sauvegarde soit réalisée dans un lieu éloigné du premier data center. Les données peuvent aussi être confiées à un deuxième hébergeur.
La sécurité d’un data center doit aussi être irréprochable virtuellement, puisque les données sont stockées en ligne. La sécurisation contre les cybers criminels fait partie des points de vigilance d’importance. Quelles équipes et technologies de sécurité sont déployées ? Et bien sûr, quels sont les moyens de sécurisation purement informatiques ? Infrastructures, moyens de cryptage, normes ISO d’accès aux données dans le cadre cloud… Autant de questions à se poser avant de choisir son hébergeur.
Prévenir des pannes de courant
Autre point de vigilance : la prévention des pannes dans le data center. Des défaillances d’appareils, et surtout les si redoutées pannes de courant électrique, peuvent altérer ou provoquer la disparition de données. Il convient de se renseigner sur les options de connectivité et sur la capacité électrique disponible du data center. Un hébergeur digne de ce nom dispose par exemple de plusieurs arrivées électriques indépendantes.
Des certifications sont à prendre en considération : a minima la norme internationale ISO 27001 (qui spécifie un système de gestion de la sécurité des systèmes d’information-SGSSI), la norme britannique BS25999 (première norme au monde dédiée à la continuité des activités, conçue pour se prémunir contre les perturbations résultant d’un sinistre majeur ou mineur), ITIL (cadre reconnu mondialement, garantissant le respect des bonnes pratiques de gestion des services informatiques). Il faut exiger les copies des certificats vantés.
Un data center en France ou à l’étranger ?
D’un point de vue technique, il n’est pas forcément simple de s’y retrouver, d’autant que l’offre d’hébergement est croissante et mondiale. Et le lieu d’implantation du data center par rapport à l’entreprise est un critère à prendre en considération. Un centre à proximité est préférable pour deux raisons : les performances de transmission et les garanties réglementaires qu’offre le pays d’implantation en matière de respect et d’exploitation des données personnelles. En France et en Europe, le Règlement général sur la protection des données (RGPD) veille. Mais d’autres réglementations, comme celle des États-Unis avec le Patriot-Act, peuvent être différentes. La plus grande vigilance est de mise sur ce point, afin de se prémunir de toute exploitation non prévue des données de l’entreprise.
Flexibilité de l’offre
Mais la sécurité n’est pas le seul critère à prendre en compte dans le choix d’un data center. En matière de données, les besoins d’une entreprise varient au fil du temps et le plus souvent, s’accroissent. Il faut donc s’assurer de la flexibilité offerte par le data center pressenti : sera-t-il en mesure d’augmenter les capacités de stockage allouées à l’entreprise ? Pour cela, il est conseillé de se faire spécifier la notion d’espace d’hébergement et les mètres carrés équipés disponibles. Il est préférable aussi d’examiner la stabilité financière du data center et sa capacité d’investissement pour accroître les espaces équipés et accompagner les clients dans leur croissance sur le long terme. On peut exiger les comptes de résultats et le bilan de l’opérateur.
Préférer un data center moins polluant ?
Un autre critère que l’entreprise peut regarder, c’est l’impact environnemental de l’hébergeur. Avec le développement des besoins en stockage de données, les data centers avalent de grosses ressources énergétiques, à la fois pour leur alimentation et leur refroidissement. En effet, les machines qui y sont installées produisent beaucoup de chaleur et doivent être refroidies pour éviter tout risque de détérioration. Un casse-tête pour les hébergeurs, qui tentent de réduire leur impact environnemental par différentes voies : optimisation des installations, équipements moins énergivores, utilisation d’énergies renouvelables ou encore réutilisation de la chaleur dégagée (un champ peu développé mais prometteur). Pour des "data centers plus verts" (entre autres), le gouvernement a dévoilé une feuille de route le 23 février dernier, qui mise sur la régulation et l’information au détriment d’une réglementation forte. Pas de label donc actuellement, pour choisir un prestataire "vert".
