Face à l’essor rapide des data centers en Europe, la sécurité physique devient un enjeu stratégique au même titre que la cybersécurité. Pierre Barret, Directeur Commercial Europe Global Clients chez Securitas Technology partage son retour de terrain sur les risques, les standards et les évolutions du marché.
SNC : Pouvez-vous nous rappeler les missions de Securitas Technology ?
Pierre Barret : Nous avons plus de quinze ans d’expérience dans la sécurité électronique des data centers (environ 70 à 80 % de nos clients), aussi bien aux États-Unis qu’en Europe du Nord et en France. Aujourd’hui, nous sommes présents dans la plupart des grands clusters européens. Cette spécialisation explique en grande partie notre forte croissance sur ce marché.
Vous évoquez une croissance annuelle d’environ 30 %. Qu’est-ce qui explique cette dynamique ?
P. B. : Si on se concentre sur le marché français, qui est le deuxième au monde après les États-Unis, on observe une accélération très forte des constructions de data centers. Elle est directement liée à l’explosion des usages numériques et de l’IA. La demande est exponentielle, ce qui entraîne la construction de nouveaux sites de grande envergure.
Le deuxième facteur concerne les normes. On compte un peu plus de 200 data centers en France, dont certains sont vieillissants. Ils doivent aujourd’hui répondre à des exigences réglementaires très strictes et sont contraints de moderniser ou de remplacer leurs systèmes de sécurité.
Cela crée deux marchés distincts. D’un côté, les nouveaux sites qui sortent de terre. De l’autre, les sites existants qui doivent être modernisés, mis aux normes ou harmonisés, notamment après des opérations de croissance externe. C’est le cas lorsque des groupes rachètent d’autres opérateurs avec des standards de sûreté différents et doivent uniformiser l’ensemble de leurs installations.
Les data centers sont désormais considérés comme des infrastructures critiques. Quels sont les principaux risques physiques que vous constatez sur le terrain ?
P. B. : Le risque principal, c’est l’intrusion malveillante dans une salle data, là où se trouvent les serveurs. Les craintes portent sur la destruction physique des équipements ou le vol de données. C’est pour cette raison que l’accès aux salles data fait l’objet de contrôles extrêmement stricts. Chaque entrée et chaque sortie est contrôlée, aucun matériel ne peut sortir, et lorsqu’un serveur est déclaré hors service, il est détruit sur place. La vigilance est maximale sur ces aspects.
Quels incidents physiques peuvent compromettre le fonctionnement ou l’intégrité d’un data center ?
P. B. : Les principaux risques sont la destruction physique des serveurs, le vol de données directement sur les équipements ou encore les coupures de courant malveillantes. Même si les data centers sont conçus avec de fortes redondances électriques, une interruption volontaire de l’alimentation peut avoir de lourdes conséquences. Ce sont aujourd’hui les scénarios les plus critiques.
Comment articule-t-on sécurité physique et cybersécurité dans un data center ?
P. B. : Nous sommes spécialistes de la sécurité électronique, donc de la sécurité physique, mais nous évoluons dans un environnement très fortement lié à l’IT. Nous travaillons systématiquement avec les équipes informatiques de nos clients. Aucun accès réseau, aucun port, aucun équipement n’est installé sans validation de leur part.
Tout est sous le contrôle de l’IT du client, qui garantit l’absence de faille sur le réseau. Les équipements de sûreté doivent être conformes aux exigences cyber du client. Une caméra ou un système de contrôle d’accès ne doit en aucun cas devenir un point d’entrée sur le réseau. Ces contraintes sont intégrées dès le cahier des charges, tant sur le choix du matériel que sur l’architecture globale.
Pourquoi la gestion des accès et des flux est-elle centrale dans un data center ?
P. B. : Le contrôle d’accès et la vidéosurveillance sont les piliers de la sûreté d’un data center. Il faut savoir précisément qui entre, où, quand et pourquoi. Les droits d’accès sont segmentés par zones, avec plusieurs niveaux de sensibilité, allant des zones non sensibles aux zones ultrasensibles.
Les procédures d’accès sont longues et contraignantes. Elles incluent des préautorisations, parfois des vérifications d’antécédents, des contrôles biométriques combinés à des badges. C’est ce qui explique que visiter un data center puisse prendre beaucoup de temps. L’objectif est de garantir qu’aucune personne non autorisée ne puisse accéder à une zone critique.
Comment trouver l’équilibre entre automatisation, technologies avancées et intervention humaine ?
P. B. : Plus on renforce la sécurité, plus on ralentit les flux. La priorité reste la sûreté, mais il faut aussi garantir un minimum de fluidité. Cela passe par la qualité des systèmes installés et par la formation des agents, afin qu’ils puissent gérer les accès rapidement et efficacement.
Les sas d’entrée unitaires, par exemple, ralentissent les flux mais apportent de fortes garanties. Dans les phases de chantier, les flux sont plus importants et les accès sont adaptés. Une fois le data center en exploitation, le nombre de personnes présentes sur site reste très limité, ce qui facilite la gestion.
Quelles évolutions technologiques observez-vous aujourd’hui ?
P. B. : Un sujet monte fortement, même s’il est encore peu présent en Europe : la menace drone. Aux États-Unis, la majorité des data centers sont équipés de dispositifs de détection anti-drone. En Europe, ce n’est pas encore systématique, mais cela va évoluer.
En parallèle, on observe une montée en puissance des systèmes de vidéosurveillance, avec des caméras toujours plus performantes, y compris en vision nocturne et thermique. L’enjeu majeur reste l’unification des systèmes, avec une plateforme centrale capable de piloter le contrôle d’accès, la détection d’intrusion et la vidéosurveillance. Les agents deviennent alors les pilotes d’un dispositif de sûreté global.
Quel message souhaitez-vous adresser aux organisations qui externalisent leurs infrastructures ?
P. B. : Certaines grandes organisations déploient leurs propres systèmes de sûreté dans leurs espaces, avec des standards internes très stricts. D’autres, plus petites, délèguent entièrement la sécurité au data center qui les héberge. Cette approche peut très bien fonctionner, à condition que l’opérateur investisse réellement dans la sûreté.
On observe aussi une tendance forte : de plus en plus de clients louent l’intégralité d’un site et imposent leurs propres standards de sûreté, y compris dans les parties communes. Cela représente aujourd’hui environ la moitié des projets. La colocation classique recule au profit de sites entièrement dédiés.
Un dernier point que vous souhaitez ajouter ?
P. B. : Le marché des data centers est profondément internationalisé. Les standards, le matériel, les interlocuteurs et même les normes sont souvent imposés par des groupes étrangers, notamment américains. Il existe aujourd’hui deux marchés distincts : les data centers souverains français, soumis aux normes nationales, et les data centers internationaux, régis par des standards globaux. Ce sont deux mondes très différents, qu’il faut bien distinguer.
