peinture sur crasse... troisième couche

Dans mon billet précédent, je terminais sur la classification des datacenter d'Uptime Institute distinguant quatre niveaux en fonction du niveau de disponibilité énergétique et technique. Mais cette classification importante ne suffit pas…

pas de réseau, pas de cloud

Vous voilà rassuré sur la sécurité électrique. Pensez maintenant à vérifier les accès réseau.
Eux aussi doivent être sécurisés et performants. Comment sont-ils situés sur la carte des autoroutes numériques : Autoroute à 8 voies ou chemin vicinal ?
Voilà qui fait une sacrée différence…

L’adduction en fibre optique est-elle assurée par plusieurs liens ? Sont-ils disjoints de bout-en-bout ? Attention aux fausses architectures redondés ou la redondance ne dépasse pas le prochain point d’accès de l’opérateur télécom.

un accès sécurisé ne protège pas de l'erreur humaine

La sécurité ne se limite pas aux facteurs physiques : elle concerne aussi le facteur humain. Il faut que le site soit en mesure de prévenir les intrusions : accès du site, procédure d’habilitation des accès, vidéo surveillance des locaux, détection d’incendie, etc.... Mais la redondance et la fiabilité des équipements ne suffisent pas. Il faudra ensuite s’interroger sur la qualité de l’exploitation : expertise des techniciens et surtout sur la première cause d’incident : l’erreur humaine !

Un opérateur doit consacrer un important investissement en capital humain : en plus des informaticiens chargés de l’exploitation de l’infrastructure IT, il faut prévoir des agents de sécurité et du personnel de maintenance très spécialisé : pour l’électricité, la climatisation, les liens fibre optique, etc…. Et du personnel prêt à intervenir à tout moment, 24h/24- 7j/7, même les nuits de réveillon.

sécurité des informations : ceinture et bretelles

La norme ISO27001 concerne la sécurité des systèmes d’informations. Elle détaille les procédures de contrôles à mettre en place afin de d’assurer une sécurité maximale des informations.

Au-delà des exigences de qualité qu’un prestataire de service doit respecter, sanctionné par l’obtention d’un certificat ISO 9001, les activités d’exploitation d’un Datacenter imposent des compétences et des méthodes spécifiques.

Cette exploitation doit s’opérer selon les bonnes pratiques de la gestion du SI et ont été répertoriées et enrichies depuis plusieurs décennies. Elles ont donné lieu à un standard de fait : ITIL , standard qui a largement servi de socle à une norme désormais internationale : ISO 20000.

attention  au low-cost

Le respect de cette norme ISO 20000 constitue une garantie de qualité dans la mise en œuvre et l’exploitation de l’infrastructure : monitoring, prévention des incidents, gestion des changements, etc… Elle impose des procédures très minutieuses qui doivent être décrites et appliquées.
Votre opérateur cloud doit être en mesure de vous présenter ses deux certificats : ISO 20000 et ISO 27001.

Quelle compagnie aérienne peut se permettre de ne pas respecter la réglementation de l’aviation civile et les procédures décrites par les avionneurs sans être immédiatement frappée d’interdiction de vol ? Qui voudrait voler sur ce type de compagnie, même avec un parachute ?

Toutes ces certifications représentent un lourd investissement : en honoraires d’auditeurs mais également un jour/homme passés à guider et renseigner les intervenants. Il est souvent tentant de faire l’impasse et sur les bonnes pratiques, et sur leur certification.

Attention donc au low-cost dans le secteur de l’hébergement informatique. C’est un modèle honorable mais qui a ses limites et ses dangers car, contrairement à l’aviation civile, les garde-fous réglementaires et disciplinaires ne sont pas au rendez-vous dans l’IT.

Les normes, toujours les normes... Quid de la sécurité financière, de la continuité d'activité ? Non je n'ai pas oublié... ce sera l'objet de la quatrième et dernière couche de cette saga.

Martine Garrivet

crédit photo : alphaspirit - Fotolia.com