Obtenir physique avec la sécurité des centres de données

Un exercice d’équilibrage

À bien des égards, la cybersécurité et la sécurité physique vont de pair. Et si une zone est manquante, l’autre ne sera pas aussi efficace. « Les responsables du périmètre du réseau ne doivent pas être complaisants lorsqu’ils dépensent pour la sécurité physique et doivent se rappeler que dépenser des ressources pour la cybersécurité peut être sans valeur sans protéger les biens matériels , dit Moore.

« ela peut être mis en évidence dans l’organisation d’une attaque de simulation d’une équipe de pénétration de tiers et il peut être extrêmement précieux pour une entreprise. Une telle expérience mettra généralement en évidence ces faiblesses à la fois dans le réseau et d’un point de vue physique, et le tout dans un environnement sûr.

Andy Miller, responsable des risques de sécurité chez BT, convient que la sécurité physique des centres de données doit être traitée avec le même niveau d’attention que les cybermenaces.

Il explique à Computer Weekly : « La base de la protection des actifs des centres de données est de vous assurer de bien comprendre à quel point chacun de vos actifs est essentiel et les risques associés aux opérations de service s’ils sont compromis. Quand il s’agit de comprendre puis d’atténuer les risques, vous devez penser de façon holistique et vous assurer que vous n’oubliez pas d’aborder les aspects physiques.

« ela inclut l’identité des employés et la gestion de l’accès pour éviter l’accès non autorisé; tenir compte des effets des perturbations causées par les pannes d’électricité ou les services publics; comment vous traiteriez les causes environnementales telles que les inondations; et des situations encore plus extrêmes telles que les explosifs, les attaques à impulsions électromagnétiques (EMP) ou un incident de véhicule hostile.

Pour que les mesures de sécurité des centres de données soient efficaces, les organisations doivent tenir compte de tous les types de menaces et les atténuer en conséquence.

« Essentiellement, vous devez penser à ce qui est au-delà de votre périmètre, ainsi qu’à vos propres systèmes et opérations (cyber et physiques), jusqu’au rack », dit Miller. « En adoptant une approche de sécurité par conception, vous pouvez investir intelligemment pour créer la défense en profondeur, en offrant la gamme complète de protections nécessaires pour faire face aux menaces physiques, aux côtés des cybermenaces qui sont souvent au sommet de l’esprit. »

Merritt Maxim, directeur de recherche chez Forrester, croit également que les enjeux sont élevés lorsque les entreprises négligent la sécurité physique des centres de données. « Ces perturbations potentielles peuvent aller de perturbations imprévisibles liées aux conditions météorologiques aux attaques d’initiés et aux événements criminels ou terroristes, ce qui peut conduire à la perte de données physiques », dit-il.

« Les perturbations du centre de données peuvent entraîner la perte de données, perturber les activités commerciales, nuire à la productivité des employés, influer sur les perceptions des clients et entraîner des amendes de conformité similaires ou des pénalités en cas de cyberconception. »

Mais il explique combien d’organisations investissent dans différentes technologies pour contrer de telles menaces. « Il s’agit de contrôles d’accès renforcés pour gérer l’accès des employés aux centres de données, souvent en utilisant la biométrie (reconnaissance de la main, des yeux ou du visage) à la HD video surveillance et de l’analyse vidéo avancée à utiliser à des fins médico-légales », dit-il. « Dans les cas où des tiers ou des entrepreneurs peuvent avoir besoin d’avoir accès au centre de données, les entreprises peuvent utiliser des vérifications plus solides des antécédents avant d’accorder l’accès à l’installation. »

« Enfin, les entreprises investissent également davantage dans les services de continuité des activités afin d’assurer un basculement et une sauvegarde appropriés en cas d’incident, ainsi que des exercices annuels d’équipe rouge et une formation de sensibilisation à la sécurité afin de maintenir une forte vigilance en matière de sécurité au sein de tout le personnel qui gère le centre de données physiques. »

Améliorer la sécurité physique

Chez digital Realty, géant de la colocation, la sécurisation des actifs physiques et cybernétiques est traitée avec la même importance. Jeff Tapley, directeur général de l’Europe, du Moyen-Orient et de l’Afrique, déclare : « Depuis le « big bang » des données dans l’industrie technologique il y a de nombreuses années, les conversations sur la sécurité sont progressivement passées de la clé traditionnelle à la cybersécurité et à la protection des données virtuellement.

« ependant, les méchants n’existent pas seulement dans le monde virtuel, donc virtuel n’est qu’une partie de l’équation. À quoi bon les programmes antivirus et les pare-feu si quelqu’un hors de la rue est en mesure d’accéder physiquement à des serveurs critiques sans résistance?

Tapley estime que la sauvegarde physique des centres de données n’a jamais été aussi importante, avec la prolifération de l’Internet des objets (IoT) et du Big Data. Pour cette raison, Digital Realty a investi de manière significative dans la sécurité physique de ses centres de données.

« Nos installations utilisent une gamme complète d’outils de sécurité – y compris des bornes, des mantraps, des systèmes de contrôle d’accès et des systèmes de surveillance sophistiqués – pour s’assurer que toutes les ressources sont protégées contre les incidents imprévus et les activités criminelles », dit-il.

En plus de se protéger contre les menaces physiques et cybernétiques, il affirme que les entreprises doivent se rendre compte que la sécurité n’est pas un scénario de « définir et de l’oublier », et qu’elle exige une attention constante avec de nouvelles menaces qui émergent toujours.

« Au cours des dernières années, les données sont passées d’une simple ressource à un actif; sans doute le plus précieux au mond », dit Tapley. « Et comme la valeur continue d’augmenter, nos clients ont besoin de l’assurance que les biens qu’ils abritent dans nos centres de données sont protégés contre le vol et les catastrophes naturelles. »

« Par conséquent, pour fonctionner efficacement, la sécurité exige une vigilance constante, tant en termes de surveillance des installations elles-mêmes, que de mise à jour régulière des systèmes pour refléter les meilleures pratiques et les développements actuels. »

La sécurité en couches est cruciale

La sécurité physique joue clairement un rôle essentiel dans la protection des centres de données contre une myriade de menaces, mais qu’implique-t-elle réellement? David Watkins, directeur des solutions des Centres de données Virtus, affirme que la sécurité physique d’un centre de données devrait être conçue pour résister à des choses comme l’espionnage d’entreprise, le terrorisme, les catastrophes naturelles, les voleurs qui cherchent à faire des gains financiers et bien d’autres questions.

« Ils devraient être construits en toute sécurité à partir du sol pour maintenir une disponibilité à 100 %, empêcher les personnes non autorisées d’entrer et s’assurer que les précieuses données hébergées à l’intérieur sont protégées », explique M. Watkins.

Il conseille aux opérateurs de centres de données de mettre en œuvre des stratégies de défense en profondeur, par lesquelles les systèmes informatiques sont protégés par une approche de sécurité à plusieurs niveaux, de « garder les personnes que vous ne voulez pas dans votre centre de données, et s’ils entrent, de les identifier dès que possible, idéalement en les gardant confinés à une section sécurisée de l’installation ».

Les centres de données devraient être équipés d’au moins sept couches de sécurité physique, selon Watkins. Il s’agit notamment des barrières physiques, la détection des intrus, les caméras de surveillance, les gardes de sécurité 24/7, les pièges à véhicules, l’authentification complète et le contrôle des politiques d’accès vérifiable, dit-il.

« Des dispositifs de sécurité supplémentaires sont parfois ajoutés en fonction des besoins spécifiques de l’organisation », explique M. Watkins. « Mais sachez que tous les centres de données ne fournissent pas le même niveau de sécurité physique. Par exemple, certains centres de données plus anciens qui se trouvent dans les centres-villes peuvent ne pas bénéficier du même ensemble de paramètres de sécurité que ceux situés dans les zones métropolitaines de profil inférieur.

Devenir physique

Jeffrey Schilling, CISO chez Teleperformance, recommande quatre conseils pour obtenir physique avec la sécurité des centres de données.

Tout d’abord, il dit que les entreprises qui utilisent des centres de données de colocation devraient se demander si l’espace loué a une cage de protection autour de leurs serveurs que seuls les employés peuvent accéder par le biais de verrous de gestion de l’accès biométrique.

Deuxièmement, il conseille aux entreprises de mettre en œuvre des caméras de vidéosurveillance qui montrent à la fois l’avant et l’arrière de leurs serveurs hébergés pour identifier l’accès non autorisé.

Troisièmement, les entreprises devraient également avoir unune charge de travail non électrique dans un autre centre de données qui se trouve sur un réseau électrique distinct et à plus de 90 milles en cas de catastrophe naturelle, selon Schilling.

Enfin, il dit que les entreprises devraient s’assurer que leurs générateurs de secours ont un carburant adéquat, ajoutant qu’ils devraient planifier suffisamment de carburant sur place pour fonctionner un minimum de 72 heures.

Pour les entreprises de toutes les industries, les centres de données sont un atout incroyablement important à l’ère numérique. Et bien qu’il soit formidable de voir que tant d’entreprises prennent des mesures pour les défendre contre les cyberattaques, elles doivent également s’assurer que la sécurité physique de leurs centres de données est également à la hauteur. Sinon, ils seront vulnérables à toute une série de menaces.