La sécurité des données et infrastructures clients de DATA est au centre des préoccupations quotidienne de nos équipes qui œuvrent à l’amélioration continue de nos procédures internes et des mesures organisationnelles et techniques mises en œuvre. L’un des axes stratégique de sécurisation adopté par la direction de DATA4 consiste à rechercher une convergence entre nos exigences internes et celles auxquelles certains de nos clients, parmi les plus exigeants en termes de disponibilité, d’intégrité, de confidentialité et de traçabilité peuvent être soumis.
Ces orientations stratégiques se concrétisent autour du modèle « SPICA(1) » dans lequel sont mis en avant et en application les principes de Ségrégation, de sécurité Physique, d’Indépendance, de Cybersécurité et d’Alignement.
Ségrégation
La ségrégation des environnements IT des clients de DATA4 et des infrastructures propres à nos data centers est inscrite dans l’ADN du groupe depuis sa création. Ce modèle, à la fois technique et économique, nous permet d’assurer à l’ensemble de nos clients une étanchéité entre les différents systèmes d’information dont l’hébergement physique est confié à DATA4.
Ce cloisonnement se retrouve également dans les rôles et les habilitations logiques et physiques qui en découlent. Stéphane Lemée, Responsable de la Sécurité des Systèmes d’Information (RSSI) du groupe DATA4 précise «Nous œuvrons à détecter les comportements dits anormaux ou déviants tel que celui d’une personne dont le rôle associé à une fonction d’agent de sécurité ou de technicien de maintenance ne justifierait pas les d’accès ou les cheminements opérés dans nos datacenters, salles d’hébergement ou locaux techniques».
(Sécurité des données) Physique
La sécurité physique est le premier rempart des mesures de sécurité protégeant les sanctuaires que sont les salles d’hébergement. Les différents systèmes de vidéosurveillance et de contrôle d’accès couplés, à certains endroits, à des dispositifs biométriques sont placés sous l’autorité d’un Directeur de la Sûreté. Les mesures peuvent aller jusqu’à l’interdiction d’introduire des objets métalliques dans l’enceinte d’une salle avec des contrôles de type « screening » des seuls personnels habilités.
Nous avons également recours à des partenaires reconnus des professionnels de la sécurité physique qui nous accompagnement dans le renforcement de l’étanchéité de nos périmètres physiques et de nos capacités organisationnelles et techniques de détection de tentative d’intrusion.
Indépendance
L’organisation interne du groupe a également pour vocation de garantir l’indépendance des organes en charge d’édicter les règles, de les mettre en œuvre et de les contrôler. Le modèle de gouvernance ainsi adopté est celui d’un RSSI groupe rattaché au Secrétariat Général, garant de la conformité avec les orientations stratégiques adoptées par la direction et les actionnaires mais également avec les différents standards réglementaires auxquels nous avons acté, au travers l’obtention et le maintien de plusieurs certifications, de nous conformer.
Sur un plan externe, DATA4 est un hébergeur d’infrastructures : les SI clients hébergés et leur interconnexions respectives ne reposent pas sur nos moyens techniques ou humains. Le principal intérêt de séparer l’infrastructure des services réside dans la possibilité de sécuriser l’ensemble sur le principe de la défense en profondeur, comme le souligne Stéphane Lemée, RSSI : « Lorsque tout est géré par un seul fournisseur, soit dans le cas d’une intégration verticale forte, un incident de sécurité sur l’un des maillons peut se répercuter sur toute la chaîne et compromettre la sécurisation des données sensibles ou un système d’information critique ».
Cybersécurité
Si la ségrégation mise en avant dans notre modèle – et matérialisée par l’absence de tout équipement actif ajouté aux SI clients hébergés et à leurs interconnexions – écarte toute possibilité d’analyse du trafic réseau et des échanges applicatifs, la contribution de DATA4 s’opère, par exemple, au travers la lecture, via notre plateforme DCIM, de signaux faibles tels qu’une élévation non justifiée de la consommation électrique ou de la dissipation calorifique qui peux laisser supposer à un déploiement d’applications de type « cryptojacking », énergivores, sur des infrastructures de nos clients.
Alignement
L’orientation sécurité stratégique impulsée par la direction du groupe est d’aligner nos exigences internes en matière de sécurité logique et physique sur celles de nos clients. La décision qui en découle est de viser un alignement de nos dispositifs internes de sécurité sur ceux qui s’imposeraient à nos clients dans le cadre des obligations faites aux fournisseurs de services numériques (FSN) telles que définis par la directive européenne NIS.
(1) En latin, SPICA signifie « épi », et plus généralement la tête, la pointe, la pousse de la plante. SPICA est le « petit nom » d’Alpha Virginis, l’étoile la plus brillante de la Constellation de la Vierge.