La résilience du concept à la norme
Le terme de résilience a été emprunté à la science pour qualifier la capacité des matériaux à revenir après un choc ou une pression continue à leur forme originale sans altération, mais aussi à la médecine pour décrire en psychologie la faculté d’individus ou de groupes à surmonter des traumatismes. Appliqué au monde économique la résilience désigne la capacité d'un système ou d'une organisation à absorber un choc, une crise ou un événement qui impactera son fonctionnement temporairement mais sans toutefois stopper durablement l’activité pour revenir le plus rapidement possible à un état normal.
C’est la norme ISO 22301 : 2019 Sécurité et résilience - Systèmes de management de la continuité d’activité - qui spécifie les exigences à mettre en œuvre « …afin de se protéger contre les perturbations, réduire la vraisemblance de leur survenance, s'y préparer, y répondre et se rétablir lorsqu'elles se produisent. » (Source ISO.org). Comme pour la sécurité, la résilience passe par une approche transversale dans toutes les activités de l’entreprise. Adopter une démarche de résilience/ISO 22301 nécessite une analyse complète de l’écosystème de l’entreprise : son environnement, ses fournisseurs autant que ses services internes.
Par définition un data centre doit être résilient dans la mesure où sa mission est d’assurer en toutes circonstances le fonctionnement optimal des infrastructures IT de ses utilisateurs. Sa conception et ses équipements doivent donc être pensés pour assurer sa mission. Mais bien d’autres aspects sont à prendre en considération lorsqu’il s’agit d’évaluer un niveau de résilience.
Le Data Centre un élément clé dans la résilience et la continuité d’activité
Dans une économie digitale, les data centres concentrent et protègent les besoins vitaux des entreprises nécessaires à la gestion et au traitement de leurs flux d’informations (gestion des approvisionnements, commandes, facturation...entre autres). C’est parce que l’informatique occupe un rôle central qu’il est devenu vital d’en assurer le fonctionnement continu et le de façon transparente pour les utilisateurs.
Pour répondre à la nécessité d’assurer le bon fonctionnement des infrastructures IT qu’ils hébergent, les data centres ont comme objectif premier d’assurer la continuité de l’alimentation électrique et dans le même temps de maintenir une température stable dans les salles informatiques. Alimentation électrique et climatisation sont deux des principaux services encadrés par des SLA : taux de disponibilité pour l’électricité et niveau de température maximum à ne pas dépasser pour le second. C’est principalement pour fournir une grille de lecture standardisée que l’Uptime Institute a définit des Tiers de I à IV s’appuyant sur des niveaux de redondance des équipements de secours le niveau Tier IV étant le plus élevé. Une certification Tier IV sera un premier indicateur à prendre en considération pour s’assurer de la capacité du data centre à délivrer un service en fonction des pannes pouvant l’impacter. L’Uptime va plus loin avec deux niveaux de certification le « Design » qui valide que le data centre respecte le cahier des charges pour le Tier (I, II, III ou IV) et « Facility » qui se fait par une mise à l’épreuve de l’installation.
Data Centre et résilience : la nécessité d’une approche globale des risques
Mais bien d’autres risques peuvent impacter le data centre. La localisation géographique d’un data centre peut l’exposer à des risques naturels : secousses sismiques, inondations, raz de marée, typhons ou tornades… Certaines zones constructibles près des fleuves ou près des côtes peuvent connaitre des épisodes de crues exceptionnelles une ou deux fois par siècle. Le risque géopolitique pour une zone de conflit ou de tension. Il ne faut pas oublier la réglementation liée au pays de localisation qu’il faudra prendre en compte et respecter. L’ensemble de ces risques exogènes au data centre sont à prendre en considération et à mettre en perspective par rapport aux enjeux business de l’entreprise ou de l’organisation qui souhaite faire héberger ses données.
Enfin la qualité de l’opérateur du data centre revêt une importance non négligeable, il conviendra de s’intéresser à sa fiabilité, sa stabilité financière et son actionnariat. De même au regard du caractère sensible de l’activité d’hébergeur de données, les certifications relatives aux exigences de l’activité du client seront aussi à vérifier. Les certifications ISO 27001 et ISO 22301 relatives respectivement à la sécurité de l’information et à la continuité d’activité permettent de s’assurer du bon niveau de résilience de l’opérateur qui va héberger et opérer vos données, elles constituent donc un prérequis. Elles pourront être complétées par d’autres certifications ou statuts en lien avec l’activité, le business, du client : PCI DSS (paiements VISA-Mastercard), Hébergeur de Données de Santé (norme imposée par la France aux données de santé), …
Data centre résilient : mode d’emploi
Il est acquis que l’hébergement de données est devenu une industrie mature, ayant structuré ses services sur la base de certifications et réglementations pour créer le cadre de confiance nécessaire à une activité sensible. Les clients peuvent donc présélectionner leur prestataire plus facilement en fonction de leurs besoins par rapport au service délivré et ainsi mieux évaluer le rapport qualité/prix.
Pour résumer, la résilience dans le secteur de l’hébergement de donnée est encadrée par la norme ISO 22301 qui, associée aux certifications Tier, permet de disposer d’un niveau de qualité de service défini sur la base de critères ouverts, mesurables et certifiés par des organismes indépendants. Ces certifications permettent de disposer du niveau de performance que le prestataire de data centre est en mesure de lui fournir. Pour le fournisseur du service d’hébergement, ces certifications sont le reflet de sa maturité quant à la prise en compte et le traitement des risques qui pèsent sur son activité. En plus des certifications, visiter les installations de votre prestataire et rencontrer les équipes qui en assurent la protection et la gestion complètera efficacement votre évaluation dans le choix d’un prestataire de data centre offrant le niveau de résilience nécessaire à votre activité.
Les informations à rassembler pour bien choisir son Data Centre
1/ Qualifiez le prestataire de service Data Centre
Migrer ses données dans un Data Centre est un choix engageant qui va impacter votre business pour plusieurs années. Intéressez-vous à la vie de l’entreprise :
- Actionnariat, CA,
- Qui détient le data centre ? Le prestataire de service est-il le propriétaire du Data Centre et/ou exploitant ?
- Quelle est sa stratégie ?
- En cas de besoin vous sera-t-il possible de disposer d’espace supplémentaire facilement et dans le même data centre ?
2/ Quelle est la localisation de votre Data Centre ?
Le but sera de cartographier les principaux risques pouvant affecter le fonctionnement du Data Centre :
- Un risque climatique (fortes chaleurs, inondation, tremblement de terre) ?
- Le pays est-il économiquement et politiquement stable ? Dans la mesure du possible rendez-vous sur place.
- Assurez-vous des législations et réglementations en vigueur et quel est l’impact sur votre activité ?
3/ Vérifiez les certifications du Data Centre et de l’entreprise qui le gère
Une certification permet de disposer d’un niveau de qualité de service et d’exigences. La certification Tier de l’Uptime Institute (organisme indépendant américain) s’est imposée comme un standard. Les « Tiers » vont de I à IV. Les Data Centres certifiés Tier IV sont qualifiés de « Fault Tolerant » ou « Tolérant aux pannes » et permettent, par la redondance de ses équipements, d’approcher le « zéro-défaut » et donc une disponibilité pouvant atteindre les 100%.
Intéressez-vous également aux certifications comme l’ISO27001 et ISO22301 (sécurité et résilience) ou spécifiques à un business comme PCI DSS (pour les paiements via Visa ou Mastercard).
4/ Votre prestataire de data centre est-il en mesure de vous accompagner dans vos projets avec d’autres services ?
Certains opérateurs IT proposent un modèle basé sur le « one-stop-shop ». Ainsi, en plus des services dédiés aux Data Centres, votre prestataire peut vous accompagner sur d’autres sujets (ex : Cloud, Résilience ou Conseil). En connaissant vos besoins en manière d’hébergement, votre partenaire peut vous offrir une vision à 360° sur l’ensemble de la chaine de valeur IT.
5/ Rencontrez les équipes et demandez à pouvoir contacter un client existant
Chaque métier a ses exigences n’hésitez pas à vérifier que votre prestataire connaisse votre secteur d’activité.
Rencontrez les équipes et demandez à visiter les infrastructures par vous-mêmes. Vous pourrez alors vous rendre compte des mesures de sécurité physiques présentes dans le Data Centre. Evaluez la réputation de l’opérateur de data centre