Nuit du 9 au 10 mars dernier à Strasbourg : le site de l’hébergeur français OVH est ravagé par les flammes. Même si l’incendie est rapidement maîtrisé (aucune victime n’est à déplorer, et sur les quatre datacenters impactés, un seul sera entièrement détruit), il s’agit d’un incident majeur sur le marché en plein développement de l’hébergement de sites internet et du stockage de données dans le cloud.
Des dizaines de milliers de clients dans l’Hexagone sont en effet impactés. Des plus anodins aux plus stratégiques, comme la plateforme de diffusion de données publiques de l’État français ou celle de dématérialisation des marchés publics ou encore le site de l’aéroport de Strasbourg. Certains ne retrouveront jamais leurs précieuses données… Un sinistre qui pose aujourd’hui la question cruciale de la sûreté de ces nouveaux temples numériques, alors même qu’Interxion, le leader mondial du secteur, s’apprête à ouvrir au nord de Paris le plus gros data center de France.
« Nous ne faisons pas le même métier : Interxion offre des services de colocation. En effet, nous ne proposons pas à nos clients de l’hébergement machine, virtuelle ou pas, dédiée ou pas. Mais de la mutualisation d’espaces physiques au sein de data centers sécurisés, pour que nos clients viennent installer et opérer leur propre matériel informatique et télécom. Nous n’avons ainsi pas accès à leurs données, ne sommes pas responsable de la sécurité logique de leurs applicatifs et n’offrons pas non plus de puissance de calcul », intervient d’emblée Fabrice Coquio, directeur général d’Interxion France, lors d’une interview exclusive à En Toute Sécurité.
Cette clientèle se compose essentiellement de grands groupes avec de forts besoins en matière de communication (opérateurs de téléphonie mobile, de streaming…), d’hébergement (Microsoft, Facebook…), d’intégration de services (Accenture, Cap Gemini…). Le reste étant composé d’entreprises publiques ou privées (banques, institutions étatiques…), souvent prises de court par la crise du Covid-19 et l’augmentation massive des besoins en termes de télétravail, nécessitant l’usage massif du cloud et de services internet.
« Dans ce monde, les entreprises et services publics engagés dans leur transformation numérique ne peuvent rien faire seul. Et au-delà des tarifs que nous proposons, les échanges et les opportunités favorisés dans ces lieux où se côtoient et se connectent différents acteurs confrontés aux mêmes exigences d’un secteur en constante évolution, constituent une véritable valeur ajoutée. Nos data centers, positionnés dans les grandes “villes-hubs” mondiales, deviennent ainsi une place de marché, en concentrant des offres de service, mais également une clientèle potentielle pour l’ensemble de ses résidents », analyse Fabrice Coquio.
10 000 points de mesure et d’alarme
Figure emblématique de ces gigantesques hangars de stockage numérique partagés — également appelés « campus numériques » : le « Paris Digital Park ». Implanté sur un ancien site de l’industrie aéronautique à la Courneuve (Interxion prévoit de livrer une première tranche cet été), ce mastodonte en forme de soucoupe volante offrira à terme 40 000 m² de salles informatiques.
Premier impératif pour l’entreprise : fournir à sa clientèle une continuité de service sans faille, alimentant et refroidissant coûte que coûte leur matériel, et assurer ainsi leur bon fonctionnement 24h/24. « Nos bâtiments requièrent une ingénierie et expertise importantes sur la partie électrique puisqu’ils font appel à des générateurs, des onduleurs, des batteries. Le “Paris Digital Park” avec une puissance électrique de 130 mégawatts, représente ainsi l’équivalent de la consommation d’une ville comme Bordeaux », précise le directeur général.
Mais une fois alimenté, l’ensemble du matériel informatique hébergé (65% de l’énergie consommée) doit être continuellement refroidi afin d’éviter toute surchauffe. Une autre grande partie des bâtiments est ainsi dédiée aux systèmes de climatisation destinés à filtrer et réguler la température de l’air de l’ensemble des salles blanches. Le tout est supervisé par une GTC avec plus de 10 000 points de mesure et d’alarmes.
« La complexité d’engineering de ce type d’infrastructure est plus proche d’une centrale nucléaire que d’un simple entrepôt. Et ses outils de supervision sophistiqués permettent notamment de garantir la fiabilité des services déployés par nos clients », illustre Fabrice Coquio.
Sept niveaux de protection
Deuxième impératif sécuritaire pour Interxion : affranchir ses hôtes multiples de tout acte de malveillance, de délinquance, de vol ou de piratage, alors même que leur matériel et leurs équipes sont amenés à partager le même bâtiment.
« En fonction de leurs besoins, nos clients peuvent disposer d’une salle informatique entière, de “cages informatiques” installées dans une ou plusieurs de ces salles ou de simples baies installées dans l’une de ces “cages”. Quel que soit leur choix, nous procurons à chacun au moins sept niveaux de protection physique entre leurs équipements et l’environnement extérieur. Il peut s’agir de sas, de systèmes de contrôle d’accès, de serrures à codes, de badges d’accès ou de capteurs biométriques », détaille Fabrice Coquio.
Pour assurer la bonne marche de ce crible sécuritaire, Interxion dispose de ses propres équipes. Composées à minima de trois personnes (deux agents au PC sécurité, dont un SSIAP, et un agent en ronde), elles assurent le contrôle d’accès unique de chaque bâtiment. Le Paris Digital Park en comportera à terme quatre. Elles s’occuperont également de la surveillance de l’ensemble des parties communes extérieures et intérieur de chacun des sites, grâce à un réseau de 500 caméras.
« Chaque client ne peut désigner que cinq personnes ayant le pouvoir de délivrer des badges visiteurs. Toutes les autorisations délivrées doivent être renouvelées tous les mois. Impossible également de sortir avec son badge. Il doit être remis pour récupérer sa carte d’identité. La règle s’applique également aux livreurs comme aux visiteurs. Nous en avons géré 115 000 l’année dernière », ajoute le directeur général.
Le futur Paris Digital Park
- Un milliard d’€ d’investissement ;
- 40 000 m² de superficie ;
- 100 à 120 emplois directs sur le site ;
- 400 emplois indirects de sous-traitants ;
- 400 salariés rattachés aux sociétés clientes.
Ces dispositions n’empêchent cependant pas chacun des clients de durcir encore plus l’accès à leur matériel, en fonction notamment des certifications particulières auxquelles ils doivent répondre. C’est notamment le cas pour les banques ou les opérateurs relevant de l’Autorité de Régulation des Jeux en Ligne par exemple.
« Les clients sont chez eux chez nous ! Dans leur espace dédié, ils demeurent néanmoins responsables de leur propre sécurité informatique. Et peuvent rajouter autant de systèmes de protection qu’ils le souhaitent dans le cadre de la conformité règlementaire. Il y a ainsi certaines zones de nos bâtiments où je ne peux moi-même pas accéder sans un contrôle spécifique. Aux Etats-Unis, très en avance en matière de sécurité, certaines salles sont même gardées par des agents armés », assure Fabrice Coquio .
Pré-détection d’incendie
Talon d’Achille de ces édifices entièrement dédiés à la protection des services et des données numériques : leur vulnérabilité à un banal incendie. Un risque d’autant plus important de par la proximité et la puissance des réseaux électriques qui le parcourent.
« En France, nous avons la chance d’être soumis à une réglementation différente dans ce domaine. Dans le cadre de la détection et protection incendie, nous allons au-delà des exigences de la certification APSAD, ce qui permet même à certains de nos clients de diminuer leur prime d’assurance. Nous disposons ainsi de systèmes de pré-détection capables de déceler la moindre fumée, avant même l’apparition de la première flamme. De même, en cas de sinistre, nous bénéficions de réserve de gaz inerte capable d’éteindre deux incendies qui se seraient déclenchés simultanément dans deux de nos plus grandes salles. Tout en continuant à alimenter et à refroidir les ordinateurs qui les occupent. Mais plus que le feu, c’est l’eau et les risques de court-circuit qu’elle fait peser sur l’ensemble de notre installation, que nous craignons. Là encore nous sommes équipés pour la traquer dans le moindre recoin. En allant même déceler sa présence jusque dans les murs par des détecteurs d’humidité », affirme en conclusion Fabrice Coquio.
Fabrice Coquio : 20 ans dans la protection de l’immatériel
Titulaire d’un master en droit des affaires et droit fiscal, diplômé de l’ESLSCA (École supérieure libre des sciences commerciales appliquées), Fabrice Coquio débute sa carrière en 1987 chez Anatel en tant que directeur du marketing et des ventes. Il rejoint Sagem en 1988 comme directeur des ventes pour l’Afrique, puis responsable des exportations pour l’Europe et l’Asie, avant d’être nommé à la tête de la filiale du Royaume-Uni qu’il lance en 1996. Il prend la direction générale d’Interxion France à la création de cette filiale en octobre 1999, et occupe le poste de président d’Interxion France depuis 2011.
Interxion monde en chiffres
- L’entreprise fait partie depuis mars 2020 du groupe Digital Reality ;
- 2 000 clients ;
- 275 datacenters ;
- 47 villes ;
- 24 pays sur six continents.
Incendie d’OVH : après la stupeur, l’heure des comptes
Si OVH, dont un bâtiment de son site de Strasbourg a été victime d’un incendie, semble avoir été accusé à tort par Jean-Michel Blanquer d’être à l’origine des bugs techniques ayant perturbé le bon fonctionnement des outils pédagogiques en ligne de l’Education Nationale, la question de la responsabilité pour les hébergeurs, en cas de perte des données qui leurs sont confiées, n’en reste pas moins posée.
Celle-ci dépend notamment du « service level agreement » (SLA), c’est-à-dire la convention de niveau de services. Si le contrat prévoit un back up, l’hébergeur s’engage à restaurer les données de la dernière sauvegarde effectuée. La gravité du préjudice dépendra donc de la date de cette sauvegarde. Cependant, rien n’oblige légalement un hébergeur à proposer une solution de sauvegarde. C’est au client de faire la démarche en recourant à des options contractuelles. Celles d’OVH qualifient l’incendie comme un cas de force majeure. L’entreprise s’exonère ainsi contractuellement de sa responsabilité dans ce cas.
Par contre, l’opérateur privé pourrait être poursuivi par la Commission nationale de l’informatique et des libertés (Cnil) sur le fondement de la « perte de disponibilité des données », prévu par le règlement européen de protection des données (RGPD).
Enquête réalisée par Pierre-Olivier Lauvige