Pour les hébergeurs Français et Allemands, la certification n'est pas un gage de qualité. Mieux vaut inviter les clients à visiter le data center pour en vérifier chaque protection, lorsque c'est encore possible.
Quels niveaux de qualité et de sécurité peut-on attendre de son data center ? Comment les évaluer ? Les qualificatifs Tier III et Tier IV fleurissent dans les brochures d'hébergeurs occidentaux. Huit sites britanniques, autant en Espagne, quatre en Turquie sont maintenant parés du rassurant label. En France et en Allemagne ? Aucun. En la matière, Malte, le Nigéria et le Honduras font mieux que les deux piliers de l'Union Européenne.
Comment est-on arrivé là ? L'organisme privé américain qui délivre ces qualificatifs sur quatre niveaux a pour nom l'Uptime Institute. Son audit se focalise, concrètement, sur les documents de conception puis sur la construction des bâtiments. Les redondances électriques et climatiques sont prises en compte mais pas les serveurs en grappe ni les logiciels de réplication de données.
La certification est donc partielle, éphémère et coûteuse – comptez plus de 100 000 Euro par data center. Cela dissuade plus d'un constructeur, déjà soumis à de lourds investissements initiaux.
Du coup, une pratique courante consiste à s'autoproclamer équivalent Tier III, Tier IV, ou même Tier III+ lorsque le site implémente une partie seulement de ce que recommande le plus haut niveau de certification.
L'institut privé américain valide l'intention de réaliser – le design du data center – puis dans un second temps, il certifie que le site a bien implémenté ce qui était prévu lors de la conception. «L'Uptime Institute examine quelques aspects du data center mais ses certifications Tier III et Tier IV sont loin d'être complètes et suffisantes, notamment du fait qu'elles ne caractérisent pas les installations multi-sites. Les plus grands sites parisiens, eux-mêmes, n'ont pas jugé nécessaire de s'y conformer. Il n'y a pas de référence absolue. Ce référentiel offre un modèle reconnu de comparaison», observe Eric Cosnier, directeur de projets d'infrastructures de Sigma. Actuellement, cet éditeur-intégrateur et infogéreur du Nord de Nantes construit son troisième data center en free cooling, au nord de la capitale des ducs de Bretagne. «Pour nos clients, la visite des sites reste la meilleure façon de juger», ajoute-t-il.
Disponibilité et supervision continues
Afin de garantir aux clients la qualité de toute la chaîne de services délivrés, l'infogéreur gagnerait à être propriétaire de ses datacenters : «La maîtrise de bout en bout de la chaîne d'information est le meilleur garant de l'engagement et de la responsabilisation du prestataire. En cas d'incident, pour trouver un responsable, mieux vaut éviter d'avoir trop de personnes autour de la table, prêtes à se pointer du doigt les unes les autres», explique Sigma. On rencontre cependant bien d'autres cas de figure à présent.
Afin de pouvoir se concentrer sur l'apport de nouvelles fonctionnalités, certains éditeurs comme Praxedo externalisent la gestion des serveurs et des réseaux de production à un tiers. «Notre plateforme SaaS multi-locataires assure l'optimisation du planning et le reporting des activités du terrain. Elle est localisée en France ; les ressources matérielles sont hébergées chez OVH», illustre Jean de Broissia, le directeur général de Praxedo. L'application de gestion d'interventions de cet éditeur bénéficie ainsi d'alimentations redondées, d'une surveillance physique et d'un monitoring permanents, avec sécurité anti-incendie et accès biométriques sécurisés. Parce qu'il n'est pas centré sur le web, le service reste opérationnel continuellement, même en absence de lien réseau. En effet, le programme client lancé sur smartphone ou tablette accède d'abord à une base de données embarquée. La synchronisation des informations s'effectue une fois que la connectivité sans fil revient.
Proximité physique des clients
Pour Praxedo, seul le modèle SaaS (Software as Service) apporte la réactivité nécessaire à l'environnement hétérogène de ses clients. Cette approche permet aussi «d'évoluer à la vitesse des mobiles avec des changements fréquents d'environnements systèmes et de modèles de terminaux. Nous pouvons nous concentrer sur les processus tandis qu'OVH se charge des problèmes techniques d'exploitation».
La proximité du client demeure un critère essentiel pour faciliter le dialogue et la qualité des échanges vocaux ou numériques. Avec onze datacenters en France (à Roubaix, Gravelines, Paris et Strasbourg) et un au Canada, OVH entend conquérir une part croissante du trafic Internet. Créée en 1999, la société française planifie donc la construction de deux prochains sites au centre, puis sur la côte ouest des USA.
La capacité de l'infrastructure OVH, déjà supérieure à 1 million de serveurs, repose sur de multiples ramifications réseaux : «Nous sommes présents sur plus d'une quinzaine de points de peering et d'interconnexion en Europe, afin d'offrir une connectivité au plus proche du client», confirme Miroclaw Klaba, le directeur du pôle R&D d'OVH.
A ce stade de l'expansion, il devient difficile de laisser entrer tous les prospects curieux de vérifier les sécurités déployées sur chaque site. La certification du data center devient alors comparable à une assurance ; elle est destinée à rassurer les clients et quelques grands fournisseurs aussi, comme Microsoft ou VMware. Ce dernier procure à l'hébergeur sa solution vCloud Director, élément central des offres Cloud hybride d'OVH où l'entreprise vient puiser, à la demande, des ressources en tous points semblables à celles de ses propres salles blanches. Pratique pour traiter, à moindres frais, les pics d'activité des sites marchands, par exemple la veille des fêtes de fin d'année.
Certifications SOC et ISO 27001
Aux quatre niveaux de la certification Uptime Institute, OVH préfère, depuis quelques mois, la norme internationale ISO 27001, apte à garantir une politique de sécurité des services applicatifs, selon une gestion bien définie et bien appliquée. «Avec l'ISO 27001, il faut bien définir le périmètre concerné. Le respect de cette norme apporte une crédibilité au service jusqu'à la partie dont on est client».
La redondance des chemins électriques et celle des apports en énergie demeurent toutefois essentielles pour réduire les délais d'indisponibilité en cas d'incident. Pour preuve, tous les datacenters se comparent, même sans passer l'examen, aux niveaux Tier III et Tier IV. Ces deux niveaux supérieurs définissent respectivement la présence de chemins électriques redondés et une tolérance aux pannes dite 2n+1'. Suivant ce modèle, deux chemins énergétiques totalement indépendants garantissent que la maintenance d'un onduleur n'aura aucun impact sur le serveur et sur les commutateurs du réseau.
«Nous sommes en train de passer les accréditations SOC 1, 2 et 3 qui remplacent l'audit SAS 70 de l'American Institute of Certified Public Accountants (AICPA). Cette conformité devient utile en termes de gestion de la sécurité», ajoute Miroclaw Klaba. Conçus initialement pour valider des contrôles et rapports financiers, les SOC (Service Organization Controls) se sont étendus, depuis 2011, à la sécurité, à la disponibilité, à l'intégrité des données et au respect de la vie privée.
Le niveau SOC 1 assure un schéma de services opérationnel. Délivré un an plus tard, le SOC 2 garantit sa mise en œuvre effective, lorsque les résultats sont conformes aux prévisions. Ces deux rapports, très précis en termes de métriques, restent cependant confidentiels ; leur diffusion est volontairement restreinte. Le SOC 3 devient le volet marketing du tryptique : il résume ce que les deux précédents rapports décrivent, de façon synthétique, en apportant un niveau de lecture adapté aux personnes externes au datacenter. «Sur notre Cloud dédié, la certification ISO 27001 rassure l'auditeur. Elle prouve qu'on est capables d'apporter un service sécurisé. Les rapports SOC, pour leur part, consistent à vérifier que les résultats sont bien là en suivant une approche pragmatique. Ils pointent du doigt tout ce qui peut s'écarter des clous, en précisant pourquoi».
Dans le datacenter, certifié ou pas, l'intégration de bout en bout avec une sécurité complète du service reste l'exercice le plus difficile.
Un code de conduite propre à l'Europe
Lancé fin octobre 2008, l'EU Code of Conduct for DataCenters couronne les bonnes conduites énergétiques des centres de traitements et de données. «Ce code nous semble être une démarche pertinente qu'APL France, notre constructeur, nous a recommandée. Il est au green IT ce qu'ITIL est au service d'infogérance», compare Eric Cosnier, directeur de projets d'infrastructures de Sigma. Plutôt qu'une norme, ce référentiel permet au data center de s'inscrire dans une démarche de progrès, comme ITIL et ses versions successives. «On peut garantir que des processus normalisés sont mis en place et afficher son niveau de pratiques énergétiques. Par exemple, le choix d'équipements économes en énergie en provenance de constructeurs à faible empreinte carbone».
Certifications de data centers
- ISO 27 001 pour la gestion de la sécurité de l'information
- ISO 9001 pour la gestion de la qualité
- PCI DSS pour les outils et mesures de protection des données bancaires
- Uptime Institute, niveaux Tier I à IV pour les redondances électriques et la tolérance aux pannes
- AICPA, SOC 1, 2 et 3 pour la gestion de la sécurité et de la disponibilité
- OHSAS 18001 pour la gestion de la santé et de la sécurité au travail
Référentiels de normalisation green IT
- ISO 14 001 pour la gestion de l'environnement
- ISO 50 001 pour le système de gestion de l'énergie
- NF HQE, la norme orientée tertiaire
- LEED, Leadership in Energy and Environmental Design
- ECCDC, European Code of Conduct for Data Centers
- Breeam, BRE Environmental Assessment Method, méthode d'évaluation de la performance environnementale des bâtiments développée par le BRE.