Sécurité d'un Data Centers au sein d'une infrastructure sécurisée [Mise à niveau : Data Center / Infrastructure]

Sécurité d'un Data Centers (Centre de données) au sein d'une infrastructure sécurisée

Imaginez que vous avez une pile de lingots d'or et que vous êtes responsable de sa protection. La laisseriez-vous à l'air libre où n'importe quel voleur pourrait mettre la main dessus, ou le garderiez-vous sous clé ?

Cette même analogie s'applique à votre centre de données – une mine d'or virtuelle d'informations – mais de nombreuses entreprises choisissent de faire le minimum en matière de sécurité du centre de données. Votre centre de données – les serveurs informatiques et les appareils en réseau qui traitent, distribuent et stockent vos précieuses données – est un élément essentiel de l'infrastructure numérique de votre organisation.

La sécurité du centre de données est la combinaison de politiques, de processus, de procédures et de technologies qui le protègent des cyberattaques et autres menaces virtuelles.

Alors, quelles sont les normes de sécurité des données que vous devez connaître pour respecter et maintenir la conformité ?

L'importance de la sécurité des Data Centers continue de croître

Il n'est pas surprenant que la sécurité de vos données soit cruciale pour toute entreprise. Ce sont des informations inestimables qui peuvent faire ou défaire votre entreprise. Les informations exclusives comme la propriété intellectuelle et les secrets commerciaux, ainsi que les informations personnelles et financières des clients sont autant d'exemples des types de données qui peuvent être trouvées dans un centre de données.

L'exposition intentionnelle ou accidentelle des données peut entraîner :

Atteinte à la réputation et perte de confiance des clients : si l'on apprend que vous ne prenez pas les mesures nécessaires pour protéger les données de vos clients (ou même votre propre propriété intellectuelle), pourquoi devraient-ils vous faire confiance ?
Amendes de non-conformité des réglementations de l'industrie : il existe plusieurs réglementations clés qui ont des exigences liées à la sécurité des Data Centers, notamment PCI DSS, HIPAA, GDPR, SAE 18 (anciennement SAE 16) et ISO 27001 : 2013.
Dommages financiers et pertes de revenus : les temps d'arrêt sont une préoccupation majeure pour les entreprises et peuvent entraîner des pertes de revenus importantes.

Mettre en œuvre des mesures de sécurité physique du centre de données. Lorsque les gens pensent aux types de mesures de sécurité qu'ils ont mises en place pour protéger les données de leur organisation, ils ne considèrent pas nécessairement l'aspect de la sécurité physique.

Pourquoi ?

Ils sont souvent trop préoccupés par les préoccupations liées aux risques de pertes de données résultant de cyberattaques et de violations de données.

Cependant, ce que les entreprises ne réalisent peut-être pas, c'est que les menaces de sécurité physique peuvent être parmi les plus percutantes.

Un tel exemple serait le cas d'Anthony Levandowski, un ancien ingénieur de Google qui a plaidé coupable d'avoir volé les secrets commerciaux de l'entreprise et de les avoir donnés à Uber.

Selon un article du New Yorker, Levandowski a accédé directement aux serveurs de Google pour effectuer le vol :

Selon Google, un mois avant la démission de Levandowski, il avait branché son ordinateur portable professionnel sur un serveur Google et téléchargé environ quatorze mille fichiers, y compris des schémas matériels. Il a transféré les fichiers sur un lecteur externe, puis a nettoyé son ordinateur portable.

Les principaux types de Data Centers

Il existe quelques principaux types de Data Centers qu'une organisation peut avoir en fonction de ses besoins et des ressources disponibles :

Centre de données de cloud public :ce type de centre de données est hors site et est hébergé par des fournisseurs de cloud public tels qu'IBM Cloud, Amazon Web Services (AWS) et d'autres géants de la technologie. Il y a beaucoup de débats au sein de l'industrie sur la sécurité de ces plateformes malgré une adoption croissante, mais bon nombre de ces problèmes se situent au niveau du client (comme les mauvaises configurations de serveur) et non au niveau du fournisseur.
Centre de données d'hébergement géré privé : ce type de centre de données est celui dans lequel vous partagez des serveurs avec d'autres entreprises et organisations. C'est idéal pour les entreprises qui ont une expertise technique limitée ou qui ne peuvent pas se permettre des dépenses d'investissement importantes dès le départ. Cependant, ce n'est pas nécessairement l'option la plus sûre.
Centre de données de colocation : ce type de centre de données est celui dans lequel une entreprise partage l'espace avec d'autres entreprises, mais possède ses propres serveurs et autres équipements. Cela offre plus de protection pour vos données que les Data Centers d'hébergement gérés, car vous possédez votre propre équipement et ne le partagez pas avec d'autres organisations.
Centre de données sur site : ce type de centre de données est celui que vous hébergez dans votre propre établissement. Disposer d'un centre de données sur site offre le plus haut niveau de sécurité, mais entraîne également des coûts d'exploitation nettement plus élevés que les autres options de stockage de données.

Chacun étant si différent, cela signifie que les besoins de sécurité de chaque type sont différents. Alors, quelle devrait être la première considération en matière de sécurité des Data Centers ?

Emplacement, emplacement, emplacement

Si vous créez votre propre centre de données et ne comptez pas sur un centre de données cloud ou de colocation, il est essentiel de planifier intentionnellement l'espace physique de votre centre de données. Cela inclut de décider si vous souhaitez que votre centre de données soit dans un endroit isolé ou dans une zone plus peuplée.

Mais que devez-vous garder à l'esprit lors de la planification d'un emplacement de centre de données en termes de sécurité ?

Soyez conscient des dangers liés aux conditions météorologiques et des zones basses (nous avons constaté que les crues et la technologie ne font pas bon ménage).
Faites également attention aux zones géologiques chaudes sujettes aux tremblements de terre.
Si vous envisagez de construire dans une zone plus peuplée, vous pouvez cacher votre centre de données à la vue de tous en le fondant dans son environnement.
Si vous utilisez les installations d'un fournisseur de services, vérifiez la construction et l'emplacement de son bâtiment. Vous pouvez également demander des rapports de conformité pour voir comment ils se comparent.

Mesures de sécurité physique du centre de données

En dehors de l'emplacement, il existe de nombreuses autres considérations de sécurité physique. Le renforcement des Data Centers peut inclure :

Murs et structures en béton armé pouvant protéger l'installation des agressions extérieures.
Armoires et cages de serveurs boulonnées dans le sol et sécurisées par des serrures.
Contrôles environnementaux qui surveillent et régulent les changements de température et d'humidité.

Mark Soto, propriétaire de la société de cybersécurité et de services informatiques Cybericus , s'empresse de déclarer que même si les attaques physiques ne sont pas aussi courantes que les cyberattaques, elles constituent toujours des menaces réelles pour la sécurité de vos données.

Vous devez mettre en place des mesures de sécurité autour du centre de données pour vous assurer qu'il est sécurisé. Cela peut se faire soit par un système de badges, soit par un clavier NIP pour permettre uniquement à certaines personnes d'accéder à ces emplacements.
Soyez pleinement conscient des personnes qui passent par l'installation. Comme mentionné ci-dessus, 30 % des violations de données sont dues à des utilisateurs internes. En tant qu'entreprise, vous devez faire très attention à savoir qui a accès au centre de données et à quelles parties ils ont accès. Cela peut impliquer n'importe quoi, de la vérification des antécédents des employés aux sous-traitants tiers qui ont accès aux installations de votre centre de données.

Ben Hartwig, responsable des opérations Web chez InfoTracer, déclare que vous devez prendre en compte la conception physique de votre installation pour véritablement évaluer la sécurité de votre centre de données.

L'une des principales préoccupations est la conception du bâtiment ou de l'installation elle-même en ce qui concerne la sécurité physique. Les points clés de la sécurité physique comprennent la vidéosurveillance 24h/24 et 7j/7, les détecteurs de métaux et les gardes de sécurité sur site, ainsi que des mesures de sécurité en couches, des points de contrôle de sécurité, personnalisés pour refléter la sensibilité des données protégées, des points d'entrée et de sortie limités ou uniques, et Suite.

Certains types de Data Centers ont également des exigences physiques supplémentaires, telles que celles décrites par la Telecommunications Industry Association (TIA) dans leurs normes de données ANSI/TIA-942/TIA-942A.

Hartwig suggère également de faire passer les mesures de sécurité traditionnelles au niveau supérieur. Certaines méthodes incluent l'utilisation de contrôles d'accès multiples et l'application de méthodes de sécurité spécialisées dans chaque zone et pièce.

Chaque zone sécurisée individuellement devrait exiger plus d'une forme d'identification et de contrôle des laissez-passer, car tous les employés ne devraient pas avoir accès à toutes les parties d'un centre de données.
Utilisez des cartes d'accès et des badges d'identification, ou toute autre protection comprenant des balances qui pèsent les visiteurs à l'entrée et à la sortie des locaux, des vérifications continues des antécédents du personnel autorisé et des verrous biométriques.

Surveiller et restreindre non seulement l'accès physique, mais également l'accès virtuel

Mais la sécurisation de vos données nécessite plus que la simple installation de serrures de porte et de caméras. Vous devez également surveiller l'accès numérique.

Pourquoi ?

Parmi les violations de données signalées dans le rapport 2019 d'IBM et du Ponemon Institute sur le coût d'une violation de données, 49 % d'entre elles ont été identifiées comme résultant d'erreurs humaines et de problèmes système et non de cyberattaques.

Jeff Tom, administrateur informatique, déclare que l'une des meilleures pratiques de sécurité des Data Centers les plus évidentes consiste à examiner les autorisations définies pour tous les utilisateurs ayant accès à vos serveurs.

Un audit périodique des autorisations est crucial pour s'assurer que l'accès n'est délégué qu'à ceux qui en ont besoin. Les utilisateurs root peuvent être très dangereux car ils peuvent apporter des modifications ou exécuter n'importe quel code ou processus. Mais, les utilisateurs root sont nécessaires. L'attribution de processus, de tâches, etc. au bon utilisateur est le moyen le plus sûr de déléguer des processus. Lorsque le personnel quitte une organisation, il devrait y avoir une évaluation appropriée de son statut dans tous les systèmes pour déterminer s'il y a accès même si ce n'est pas par la porte d'entrée.

Et si vous n'étiez pas déjà préoccupé par les escroqueries par hameçonnage et les insécurités de mot de passe, vous devriez l'être. Le rapport 2020 de Verizon sur les enquêtes sur les violations de données (DBIR) montre que quatre violations sur cinq liées au piratage impliquent la force brute ou l'utilisation d'informations d'identification perdues ou volées.