5 considérations de sécurité lors du choix d'un fournisseur de centre de données
Il y a environ un an, Un homme au Texas a été arrêté pour avoir tenté d'acheter un engin explosif à un agent du FBI. Ses plans pour cet engin impliquaient de se rendre à Ashburn – la capitale de la “ Silicon Valley des centres de données ” de Virginie – pour attaquer un centre de données Amazon Web Services. Son intention, comme il l'a dit aux autorités, était de “ supprimer environ 70 pour cent d'Internet ”.”
Risques de sécurité des centres de données
Ce sont des menaces comme celles-ci qui rendent la sécurité physique des centres de données si essentielle. La menace physique qui pèse sur les centres de données est si réelle que Le gouvernement britannique a sollicité des réactions des fournisseurs et des opérateurs de centres de données sur le renforcement de la sécurité et de la résilience des centres de données locaux, en mettant l'accent sur la sécurité physique.
La menace d'attaques physiques comme celles-ci a augmenté de façon exponentielle ces dernières années, mais les menaces auxquelles les centres de données sont confrontés ne se limitent pas à l'infrastructure physique. Il y a aussi la menace croissante de cyberattaques à laquelle il faut faire attention.
Dans leur Rapport mondial sur les menaces de 2022, Le géant de la cybersécurité CrowdStrike a fait état d'une augmentation des attaques par rançongiciel et des intrusions ciblées au cours de l'année écoulée. Dans son rapport, CrowdStrike a noté qu'ils ont “ observé que les adversaires continuent de s'adapter aux environnements de sécurité impactés par la pandémie de COVID en cours ”, et qu'ils “ recherchent ” désormais « de nouvelles façons de contourner les mesures de sécurité pour mener à bien les infections initiales, d'entraver l'analyse par les chercheurs et de poursuivre les techniques éprouvées en 2022 ».”
Une violation de données peut non seulement avoir un impact financier important sur les clients et les fournisseurs de centres de données, mais l'impact sur la réputation est susceptible de faire vaciller la confiance des clients, entraînant une perte totale de clients.
Les organisations devraient rechercher un fournisseur de centre de données qui prend la cybersécurité au sérieux. Un fournisseur qui a mis en place plusieurs niveaux de sécurité. Un fournisseur qui valide constamment l'identité des utilisateurs sur son réseau et ne leur donne accès qu'à ce dont ils ont besoin.
Dans cet environnement de menace élevé, et avec tant de potentiel de préjudice pour les organisations, la cybersécurité et l'hygiène cybernétique des fournisseurs de centres de données sont d'une importance égale à la sécurité physique de leurs centres de données. Alors, que devraient rechercher les clients chez leurs partenaires de centres de données ? Quels indicateurs montrent qu'un fournisseur de centres de données a mis en œuvre les mesures de sécurité nécessaires pour protéger ses clients contre les attaques physiques et les cyberattaques ?
Voici cinq considérations de sécurité que tout client de centre de données devrait garder à l'esprit lorsqu'il évalue ses partenaires :
Ont-ils des politiques et procédures de sécurité définies qui permettent la mise à l'échelle ?
Pour de nombreux hyperscalers, l'attrait de travailler avec un fournisseur de centres de données réside dans la rapidité et l'évolutivité. Ces organisations cherchent à augmenter rapidement leurs capacités et leur potentiel pour vendre des solutions et des services à plus de clients. Ou, elles cherchent à ajouter rapidement des centres de données sur de nouveaux marchés pour étendre leur portée ou améliorer l'expérience utilisateur en réduisant la latence.
S'ils veulent étendre leurs activités avec succès et rapidité, ils ont besoin du bon partenaire – une avec des politiques et procédures de sécurité établies.
En s'associant à un fournisseur de centres de données qui fait de la sécurité une priorité et qui dispose de procédures de sécurité établies et cohérentes à l'échelle de l'organisation, les hyperscalers peuvent être convaincus que leur partenaire appliquera les mêmes normes de sécurité strictes à l'ensemble de son portefeuille. Cela peut considérablement réduire le temps et les efforts nécessaires aux audits de sécurité, accélérer le processus et permettre aux hyperscalers de se développer plus rapidement pour répondre à la demande.
Ont-ils une relation avec un partenaire mondial de sécurité physique tiers ?
Certains fournisseurs de centres de données choisissent d'embaucher et de former leur propre personnel de sécurité physique pour protéger leurs installations. D'autres choisissent d'établir un partenariat avec une société de sécurité mondiale qui peut équiper l'ensemble de leur portefeuille de centres de données avec le personnel dont ils ont besoin. Lorsqu'ils ont le choix, je suis fermement convaincu que les organisations devraient choisir des fournisseurs de centres de données qui ont opté pour cette dernière solution.
S'associer à une entreprise de sécurité mondiale garantit la cohérence et la responsabilité de la sécurité de l'ensemble du portefeuille. Une entreprise de sécurité tierce formera son personnel dans le monde entier de la même manière et les maintiendra aux mêmes normes. Elle disposera également d'un accord de niveau de service (SLA) établi avec son client de centre de données, ce qui garantit que le service fourni par l'entreprise et ses représentants répondra aux métriques établies et sera cohérent.
Enfin, en travaillant avec une société de sécurité tierce, les fournisseurs de centres de données peuvent renforcer la redondance de leur personnel de sécurité physique, ce qui constitue une autre considération importante.
Ont-ils de la redondance dans leurs solutions de sécurité et leur personnel ?
Si les systèmes et applications de sécurité d'un fournisseur de centres de données sont alimentés par une source unique ou un générateur unique dans un seul emplacement, que se passe-t-il si cet emplacement est compromis ou endommagé ? Qu'en est-il d'une défaillance catastrophique ? Les solutions de sécurité établies échoueront si l'infrastructure physique qui les alimente est endommagée.
La redondance est essentielle si un fournisseur de centres de données veut garantir la cohérence de sa sécurité. Cette redondance doit s'étendre au-delà de l'infrastructure qui alimente les systèmes, les applications et les technologies de sécurité qui protègent le centre de données. Elle doit également s'étendre au personnel de sécurité.
De même, si un fournisseur de centres de données dispose d'un petit effectif de personnel de sécurité qu'il a embauché et formé lui-même, que se passe-t-il lorsqu'il y a une pandémie mondiale et que plusieurs membres du personnel de sécurité tombent malades en même temps ? L'opérateur du centre de données peut-il simplement décrocher son téléphone et demander des ressources supplémentaires ? Ou se retrouvera-t-il rapidement à manquer d'agents de sécurité dans le cas, peu probable, d'une épidémie ?
La redondance est essentielle si un fournisseur de centres de données veut garantir la cohérence de sa sécurité. Cette redondance doit s'étendre au-delà de l'infrastructure qui alimente les systèmes, les applications et les technologies de sécurité qui protègent le centre de données. Elle doit également s'étendre au personnel de sécurité.
C'est une chose pour un fournisseur de centre de données de mettre en place des systèmes et des protocoles de sécurité efficaces, d'embaucher et de former un personnel de sécurité dédié, et d'investir dans des technologies de sécurité de pointe. C'en est une autre d'intégrer la redondance dans ces systèmes, technologies et effectifs pour garantir leur disponibilité constante. Les hyperscalers devraient rechercher des partenaires de centres de données qui font de la redondance une priorité dans tous les aspects de leur infrastructure de sécurité.
La transparence fait-elle partie intégrante de leurs opérations de sécurité ?
De nombreux fournisseurs de centres de données traitent les incidents de sécurité comme des “affaires internes” et ne les signalent pas nécessairement à leurs clients. En cas d'incident de sécurité touchant un centre de données, toutes les entreprises louant un espace dans ce centre de données devraient avoir le droit d'en être informées.
Un incident de sécurité pourrait amener les clients d'un fournisseur de centres de données à poser des questions difficiles sur leurs politiques et procédures de sécurité existantes. Ou cela pourrait les amener à demander que de nouvelles exigences ou de nouveaux systèmes de sécurité soient mis en œuvre pour assurer la sécurité de leur personnel et de leur infrastructure. Mais ils ne peuvent pas poser ces questions ni faire ces demandes s'ils ne savent pas qu'un incident de sécurité s'est produit et ce qu'il impliquait.
C'est pourquoi Vantage offre à ses clients un portail en ligne avec un accès à des informations de sécurité en temps réel. Ce portail leur permet d'extraire des données de sécurité telles que qui était présent dans leurs locaux, à quoi ils ont accédé, ainsi que tout incident de sécurité qui aurait pu survenir.
La transparence est essentielle à une sécurité solide qui s'adapte constamment pour répondre aux nouvelles menaces et aux exigences des clients. Non seulement les clients doivent être informés de tout incident de sécurité survenu, mais ils devraient également pouvoir accéder aux informations de sécurité à volonté.
Sont-ils sérieux au sujet de la convergence cyberphysique et de la cybersécurité ?
Il peut sembler étrange de parler de cybersécurité lorsque l'on aborde ce que les organisations devraient rechercher chez leurs fournisseurs de centres de données. Après tout, la cybersécurité n'est-elle pas de la responsabilité du client du centre de données ? N'est-il pas de sa seule responsabilité de construire une infrastructure réseau exempte de vulnérabilités et sécurisée contre les cybermenaces ?
Oui et non. Bien que les clients des centres de données hyperscale soient responsables de la sécurisation de leurs propres réseaux, infrastructures et données, le fournisseur de centre de données a également un rôle à jouer dans la cybersécurité.
Les fournisseurs de centres de données détiennent des informations sensibles sur leurs clients et les employés de leurs clients, y compris des données biométriques. Les clients doivent avoir confiance dans le fait que leurs partenaires sécurisent ces informations et les protègent.
Mais il existe une autre tendance et un autre défi en matière de cybersécurité qui ont un impact encore plus important sur le fournisseur de centre de données : la convergence cyber/physique.
En s'associant à un fournisseur de centres de données qui accorde la priorité à la sécurité et qui dispose de procédures de sécurité établies et cohérentes dans toute l'organisation, les hyperscalers peuvent être certains que leur partenaire maintiendra les mêmes normes de sécurité strictes dans l'ensemble de son portefeuille.
Dans le monde actuel des “ tout connecté en réseau ”, les systèmes qui maintiennent un centre de données opérationnel – du CVC à l’approvisionnement en eau et en électricité – sont interconnectés. Ces systèmes peuvent être contrôlés et gérés avec des solutions de gestion de bâtiment (BMS) et d’autres outils d’automatisation – même à distance. Cela ouvre la porte aux acteurs malveillants pour compromettre la solution BMS d’un fournisseur de centre de données et causer des dommages physiques réels au centre de données.
Par exemple, si la solution GTC d'un fournisseur de centres de données permet l'accès et les commandes à distance, et que ce système GTC est laissé non sécurisé ou vulnérable, un acteur malveillant pourrait y accéder, lui permettant de contrôler les systèmes du centre de données. Il pourrait décider de désactiver le refroidissement, de couper l'alimentation d'une pièce, ou même de désactiver les outils et systèmes de sécurité physique. Chacune de ces actions pourrait avoir des conséquences graves et négatives sur le centre de données.
Les organisations devraient rechercher un fournisseur de centre de données qui prend la cybersécurité au sérieux. Un fournisseur qui a mis en place plusieurs niveaux de sécurité. Un fournisseur qui valide constamment l'identité des utilisateurs sur son réseau et ne leur donne accès qu'à ce dont ils ont besoin.
Ils devraient également rechercher un partenaire de centre de données qui favorise de bonnes relations et une bonne communication entre leur département informatique, leur département des opérations et leur organisation de sécurité.
Pour en savoir plus sécurité des centres de données chez Vantage Data Centers en visitant www.vantage-dc.com.
