En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars pour…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de pièces détachées de motos
    < 1 500 €
    > En savoir plus
  • Modéliste pour la création de patron et de dossier technique pour des vêtements de femme
    A déterminer €
    > En savoir plus
  • Intégration d'un nouveau template sur un site Wordpress
    <500 €
    > En savoir plus
Schneider_SMARTBUNKER_leaderboard

Data centers, comment juger leur qualité ?

Schneider_SMARTBUNKER_pavé

Pour les hébergeurs Français et Allemands, la certification n'est pas un gage de qualité. Mieux vaut inviter les clients à visiter le data center pour en vérifier chaque protection, lorsque c'est encore possible.

Quels niveaux de qualité et de sécurité peut-on attendre de son data center ? Comment les évaluer ? Les qualificatifs Tier III et Tier IV fleurissent dans les brochures d'hébergeurs occidentaux. Huit sites britanniques, autant en Espagne, quatre en Turquie sont maintenant parés du rassurant label. En France et en Allemagne ? Aucun. En la matière, Malte, le Nigéria et le Honduras font mieux que les deux piliers de l'Union Européenne.

Comment est-on arrivé là ? L'organisme privé américain qui délivre ces qualificatifs sur quatre niveaux a pour nom l'Uptime Institute. Son audit se focalise, concrètement, sur les documents de conception puis sur la construction des bâtiments. Les redondances électriques et climatiques sont prises en compte mais pas les serveurs en grappe ni les logiciels de réplication de données.

La certification est donc partielle, éphémère et coûteuse – comptez plus de 100 000 Euro par data center. Cela dissuade plus d'un constructeur, déjà soumis à de lourds investissements initiaux.

Du coup, une pratique courante consiste à s'autoproclamer équivalent Tier III, Tier IV, ou même Tier III+ lorsque le site implémente une partie seulement de ce que recommande le plus haut niveau de certification.

L'institut privé américain valide l'intention de réaliser – le design du data center – puis dans un second temps, il certifie que le site a bien implémenté ce qui était prévu lors de la conception. «L'Uptime Institute examine quelques aspects du data center mais ses certifications Tier III et Tier IV sont loin d'être complètes et suffisantes, notamment du fait qu'elles ne caractérisent pas les installations multi-sites. Les plus grands sites parisiens, eux-mêmes, n'ont pas jugé nécessaire de s'y conformer. Il n'y a pas de référence absolue. Ce référentiel offre un modèle reconnu de comparaison», observe Eric Cosnier, directeur de projets d'infrastructures de Sigma. Actuellement, cet éditeur-intégrateur et infogéreur du Nord de Nantes construit son troisième data center en free cooling, au nord de la capitale des ducs de Bretagne. «Pour nos clients, la visite des sites reste la meilleure façon de juger», ajoute-t-il.

Disponibilité et supervision continues

Afin de garantir aux clients la qualité de toute la chaîne de services délivrés, l'infogéreur gagnerait à être propriétaire de ses datacenters : «La maîtrise de bout en bout de la chaîne d'information est le meilleur garant de l'engagement et de la responsabilisation du prestataire. En cas d'incident, pour trouver un responsable, mieux vaut éviter d'avoir trop de personnes autour de la table, prêtes à se pointer du doigt les unes les autres», explique Sigma. On rencontre cependant bien d'autres cas de figure à présent.

Afin de pouvoir se concentrer sur l'apport de nouvelles fonctionnalités, certains éditeurs comme Praxedo externalisent la gestion des serveurs et des réseaux de production à un tiers. «Notre plateforme SaaS multi-locataires assure l'optimisation du planning et le reporting des activités du terrain. Elle est localisée en France ; les ressources matérielles sont hébergées chez OVH», illustre Jean de Broissia, le directeur général de Praxedo. L'application de gestion d'interventions de cet éditeur bénéficie ainsi d'alimentations redondées, d'une surveillance physique et d'un monitoring permanents, avec sécurité anti-incendie et accès biométriques sécurisés. Parce qu'il n'est pas centré sur le web, le service reste opérationnel continuellement, même en absence de lien réseau. En effet, le programme client lancé sur smartphone ou tablette accède d'abord à une base de données embarquée. La synchronisation des informations s'effectue une fois que la connectivité sans fil revient.

Proximité physique des clients

Pour Praxedo, seul le modèle SaaS (Software as Service) apporte la réactivité nécessaire à l'environnement hétérogène de ses clients. Cette approche permet aussi «d'évoluer à la vitesse des mobiles avec des changements fréquents d'environnements systèmes et de modèles de terminaux. Nous pouvons nous concentrer sur les processus tandis qu'OVH se charge des problèmes techniques d'exploitation».

La proximité du client demeure un critère essentiel pour faciliter le dialogue et la qualité des échanges vocaux ou numériques. Avec onze datacenters en France (à Roubaix, Gravelines, Paris et Strasbourg) et un au Canada, OVH entend conquérir une part croissante du trafic Internet. Créée en 1999, la société française planifie donc la construction de deux prochains sites au centre, puis sur la côte ouest des USA.

La capacité de l'infrastructure OVH, déjà supérieure à 1 million de serveurs, repose sur de multiples ramifications réseaux : «Nous sommes présents sur plus d'une quinzaine de points de peering et d'interconnexion en Europe, afin d'offrir une connectivité au plus proche du client», confirme Miroclaw Klaba, le directeur du pôle R&D d'OVH.

A ce stade de l'expansion, il devient difficile de laisser entrer tous les prospects curieux de vérifier les sécurités déployées sur chaque site. La certification du data center devient alors comparable à une assurance ; elle est destinée à rassurer les clients et quelques grands fournisseurs aussi, comme Microsoft ou VMware. Ce dernier procure à l'hébergeur sa solution vCloud Director, élément central des offres Cloud hybride d'OVH où l'entreprise vient puiser, à la demande, des ressources en tous points semblables à celles de ses propres salles blanches. Pratique pour traiter, à moindres frais, les pics d'activité des sites marchands, par exemple la veille des fêtes de fin d'année.

Certifications SOC et ISO 27001

Aux quatre niveaux de la certification Uptime Institute, OVH préfère, depuis quelques mois, la norme internationale ISO 27001, apte à garantir une politique de sécurité des services applicatifs, selon une gestion bien définie et bien appliquée. «Avec l'ISO 27001, il faut bien définir le périmètre concerné. Le respect de cette norme apporte une crédibilité au service jusqu'à la partie dont on est client».

La redondance des chemins électriques et celle des apports en énergie demeurent toutefois essentielles pour réduire les délais d'indisponibilité en cas d'incident. Pour preuve, tous les datacenters se comparent, même sans passer l'examen, aux niveaux Tier III et Tier IV. Ces deux niveaux supérieurs définissent respectivement la présence de chemins électriques redondés et une tolérance aux pannes dite ‘2n+1'. Suivant ce modèle, deux chemins énergétiques totalement indépendants garantissent que la maintenance d'un onduleur n'aura aucun impact sur le serveur et sur les commutateurs du réseau.

«Nous sommes en train de passer les accréditations SOC 1, 2 et 3 qui remplacent l'audit SAS 70 de l'American Institute of Certified Public Accountants (AICPA). Cette conformité devient utile en termes de gestion de la sécurité», ajoute Miroclaw Klaba. Conçus initialement pour valider des contrôles et rapports financiers, les SOC (Service Organization Controls) se sont étendus, depuis 2011, à la sécurité, à la disponibilité, à l'intégrité des données et au respect de la vie privée.

Le niveau SOC 1 assure un schéma de services opérationnel. Délivré un an plus tard, le SOC 2 garantit sa mise en œuvre effective, lorsque les résultats sont conformes aux prévisions. Ces deux rapports, très précis en termes de métriques, restent cependant confidentiels ; leur diffusion est volontairement restreinte. Le SOC 3 devient le volet marketing du tryptique : il résume ce que les deux précédents rapports décrivent, de façon synthétique, en apportant un niveau de lecture adapté aux personnes externes au datacenter. «Sur notre Cloud dédié, la certification ISO 27001 rassure l'auditeur. Elle prouve qu'on est capables d'apporter un service sécurisé. Les rapports SOC, pour leur part, consistent à vérifier que les résultats sont bien là en suivant une approche pragmatique. Ils pointent du doigt tout ce qui peut s'écarter des clous, en précisant pourquoi».

Dans le datacenter, certifié ou pas, l'intégration de bout en bout avec une sécurité complète du service reste l'exercice le plus difficile.

Un code de conduite propre à l'Europe

Lancé fin octobre 2008, l'EU Code of Conduct for DataCenters couronne les bonnes conduites énergétiques des centres de traitements et de données. «Ce code nous semble être une démarche pertinente qu'APL France, notre constructeur, nous a recommandée. Il est au green IT ce qu'ITIL est au service d'infogérance», compare Eric Cosnier, directeur de projets d'infrastructures de Sigma. Plutôt qu'une norme, ce référentiel permet au data center de s'inscrire dans une démarche de progrès, comme ITIL et ses versions successives. «On peut garantir que des processus normalisés sont mis en place et afficher son niveau de pratiques énergétiques. Par exemple, le choix d'équipements économes en énergie en provenance de constructeurs à faible empreinte carbone».

Certifications de data centers

  • ISO 27 001 pour la gestion de la sécurité de l'information
  • ISO 9001 pour la gestion de la qualité
  • PCI DSS pour les outils et mesures de protection des données bancaires
  • Uptime Institute, niveaux Tier I à IV pour les redondances électriques et la tolérance aux pannes
  • AICPA, SOC 1, 2 et 3 pour la gestion de la sécurité et de la disponibilité
  • OHSAS 18001 pour la gestion de la santé et de la sécurité au travail

Référentiels de normalisation green IT

  • ISO 14 001 pour la gestion de l'environnement
  • ISO 50 001 pour le système de gestion de l'énergie
  • NF HQE, la norme orientée tertiaire
  • LEED, Leadership in Energy and Environmental Design
  • ECCDC, European Code of Conduct for Data Centers
  • Breeam, BRE Environmental Assessment Method, méthode d'évaluation de la performance environnementale des bâtiments développée par le BRE.

Auteur : Olivier Bouzereau

Dossier publié dans Solutions Logiciels N°43

Data centers, comment juger leur qualité ?
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Revers judiciaire pour Samsung dans sa bataille contre Apple

    La Cour suprême des Etats-Unis a refusé lundi 6 novembre de remettre le pied sur…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Du Cloud-first à l'IA : les tendances 2018 selon Aron Brand, CRO de Ctera Networks

    Aron Brand, CTO de CTERA Networks, spécialiste des services sécurisés de stockage Cloud, livre ses…

    > En savoir plus...
Etudes/Enquêtes
  • La croissance des entreprises IT portée par le RGPD

    Editeurs, sociétés de conseils et de services : la conjoncture est bonne pour 2017, 2018…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
Global K_Data scientist_skycraper