Au travers de l’incendie chez OVH Strasbourg et de notre relation des faits problables qui expliquaient cette catastrophe incontrôlée, les utilisateurs médusés ont pu s’inquiéter sur la protection de leurs données hébergées, tant le sujet est méconnu et souvent opaque, ne serait-ce que par sa technicité.
Comment protégeons-nous vos données ? Sous ce titre, Arnaud de Bermingham, président de Scaleway ( datacenters et et opérateurs cloud du groupe Iliad/ groupe Free) a tenu à rassurer ses clients, et le public sur la résilience de ses datacenters.
Comme la plupart des exploitants de datacenters, le groupe n’est pas très connu du public et peu « médiatique ».
L’article de blog, paru le 22 mars explique :
« Suite aux événements récents, vous êtes très nombreux à nous interroger sur nos pratiques et nos moyens de protection dans nos datacenters. Nous vous remercions pour vos nombreuses questions et allons vous répondre avec un maximum de transparence, comme nous en avons l’habitude. »
Le datacenter : au cœur de la stratégie de résilience de la donnée
Cet article de blog est remarquablement documenté et précis. J’en recommande la lecture à tous ceux qui veulent connaître la réalité des risques dans un datacenter et le luxe de protection que les professionnels comme Scaleway déploient. Il est expliqué en détail les risques de mise à feu des batteries électriques et des onduleurs, et touts les mesures préventives et curatives mises en place sur les datacenters de Scaleway.
« Donc oui, disons le clairement : exploiter un datacenter c’est avant tout anticiper et gérer un risque. Un risque réel, qui peut être interne ou externe.
Mais notre métier consiste à prévoir l’improbable. La conception de nos datacenters et nos moyens automatiques ont permis d’éviter, à chaque fois, un sinistre majeur sur vos infrastructures sans jamais engendrer une coupure de service. »
« Depuis près de 15 ans, ils font l’objet d’une stratégie d’investissement “sans compromis”. Nous avons fait le choix de maîtriser entièrement ce métier, de la conception, construction jusqu’à l’exploitation, avec une ingénierie basée sur le retour d’expérience (REX). Nous avons capitalisé au sein des équipes d’une connaissance précieuse qui nous permet de construire des datacenters de plus en plus résilients et innovants.
Nous sommes l’un des rares acteurs ayant une logique totalement intégrée, du datacenter au logiciel (en passant par le réseau et le hardware) et à y appliquer la transparence la plus totale. Nous sommes parmi les derniers acteurs du cloud à maîtriser ce métier très particulier du datacenter… »
Comment protégeons-nous vos données ? (scaleway.com)
Les « normes » ne garantissent pas toutes la sécurité des données. Les « Tier III ou IV » non plus ne sont pas une référence réelle pour Arnaud de Bermingham, qui bataille depuis longtemps pour démystifier ces normes et certifications.
« Il existe depuis longtemps une confusion entre la résilience de la conception et les certifications telles que les normes ISO. Les certifications visent à normaliser des pratiques de gouvernance et de processus métier, mais ne garantissent jamais d’une conception, de prescriptions ou d’une mise en œuvre dans les règles de l’art sur la protection des biens dans un datacenter. Le meilleur exemple est le malheureux sinistre récent qui a impacté des infrastructures pourtant certifiées SECNUMCloud, ISO-27001 et même HDS. La certification à une norme ISO, HDS ou SECNUMCloud n’est aucunement un gage ni une garantie de sécurité physique des datacenters. » explique-t-il. La seule « norme » applicable à la sécurité des datacenters argumente-t-il, est la certification Apsad :
« En France, les certifications APSAD éditées et délivrées par les assurances et le CNPP (Centre National de Prévention et de Protection) apportent des garanties de fiabilité et d’efficacité sur la sécurité des biens. Ces certifications s’appuient sur des référentiels et des prescriptions, basées sur l’expérience des sinistres, qui cadrent la conception de l’installation, le résultat attendu, la formation du personnel et la maintenance. Ce sont des certifications volontaires, coûteuses et très exigeantes qui sont à nos yeux un minimum requis dans un datacenter compte tenu de la sensibilité des actifs hébergés. Ces certifications APSAD sont un gage de sécurité. »
Quel est le risque dans un datacenter ?
« Par expérience, les onduleurs et les batteries des onduleurs représentent les risques les plus élevés. » Le groupe indique avoir affronté en dix ans un feu de batteries et quatre explosion d’onduleurs. Et également deux incendies d’entreprises voisines des datacenters.
« Donc oui, disons le clairement : exploiter un datacenter c’est avant tout anticiper et gérer un risque. Un risque réel, qui peut être interne ou externe. Mais notre métier consiste à prévoir l’improbable. La conception de nos datacenters et nos moyens automatiques ont permis d’éviter, à chaque fois, un sinistre majeur sur vos infrastructures sans jamais engendrer une coupure de service. »
Remplacement du parc de batteries en 2021
« Nous interdisons depuis toujours la présence de batterie, quel que soit le type, dans les salles informatiques. Pour nos onduleurs, nous utilisons et remplaçons progressivement notre parc depuis quatre ans avec des batteries spéciales, dites “v0”. En cas d’emballement thermique ou de court circuit, ce type de batterie est auto-extinguible et donc ne brûle pas. Nous remplaçons progressivement tout le parc sur cette nouvelle technologie ; Le parc de batteries type V0 représente à ce jour 1280 batteries à DC5 et 480 sur DC3 ; Compte tenu des événements récents, nous allons accélérer le remplacement dès cette année. »
Un arsenal de protections
L’ensemble de mesures préventives est expliqué en détail : compartiments coupe-feu, alarmes préventives certifiées Apsad, extinction d’incendie, accès pompiers, assurances.
Tout ce que vous voulez savoir sur la sécurité d’un datacenter est expliqué dans ce blog !
