Évaluation de la sécurité des centres de données : Normes, réglementations et bonnes pratiques

Introduction

Les centres de données sont devenus l’un des éléments les plus fondamentaux de nombreuses entreprises aujourd’hui.
L’objectif premier de tout centre de données est de gérer, de stocker ou de traiter des informations de manière efficace, généralement à l’intention d’un large éventail d’utilisateurs divers et parfois partagés par différentes organisations.

Les services de centre de données peuvent prendre différentes formes, et une entreprise n’a pas besoin de construire son propre centre de données à partir de zéro pour accéder aux ressources d’un centre de données. Par exemple, l’accès loué et les services de centres de données en nuage gagnent en popularité depuis un certain temps, et l’adoption généralisée de l’informatique en nuage augmente encore les ressources de ce même secteur, qui devrait atteindre 344 milliards de dollars rien qu’en 2024.

Dans le même temps, la popularité massive des centres de données au cours des dernières années en a fait la cible privilégiée des cybercriminels. Diverses recherches confirment ce fait, indiquant que c’est devenu un énorme problème pour toute organisation. Par exemple, environ 76 % des centres de données d’entreprise s’inquiètent de leurs capacités en matière de sécurité des données. En raison de divers cadres réglementaires, les organisations peuvent également être confrontées à une amende importante et douloureuse si leurs données sont volées ou font l’objet d’une demande de rançon.

La définition de l’évaluation de la sécurité des centres de données

Il y a généralement une demande pour plus de sécurité des données pour les centres de données, et la menace de ransomware n’est qu’un des nombreux événements négatifs potentiels qui pourraient perturber le flux de travail régulier d’entreprises entières, conduisant à des pertes financières potentiellement massives ou même à des fermetures complètes de l’entreprise en conséquence.

Dans ce contexte, il est essentiel non seulement de créer ou de choisir des centres de données répondant aux normes de sécurité les plus élevées, mais aussi d’évaluer leurs capacités à acquérir des informations sur l’état de sécurité de ces centres de données.Ce processus est appelé évaluation de la sécurité du centre de données. Il s’agit d’un processus d’évaluation très sophistiqué du matériel et des logiciels du centre de données, dont le seul objectif est de comprendre la résilience du centre de données face aux différentes menaces qui pèsent sur la sécurité.

Principaux aspects d’une évaluation de la sécurité d’un centre de données

Un processus d’évaluation de la sécurité d’un centre de données doit pouvoir couvrir à la fois les aspects physiques et technologiques de ses capacités.Les catégories de facteurs les plus courantes incluses dans les évaluations de la sécurité des centres de données sont les suivantes :

• État physique. Il s’agit d’un large segment de caractéristiques et de contrôles comprenant tous les éléments de sécurité du centre de données dans le monde réel, y compris les mécanismes de contrôle d’accès, les dispositifs d’extinction des incendies, les systèmes de surveillance et le niveau de préparation à diverses catastrophes physiques telles que les inondations ou les tremblements de terre.
• État de la sécurité du réseau. La plupart des protocoles de communication entre le centre de données et le reste du monde sont évalués à cette étape. En raison du grand nombre de violations de données qui se produisent régulièrement dans le monde, ce groupe de facteurs doit évaluer de manière approfondie les protocoles de communication sécurisés, la segmentation du réseau, les pare-feu, les cadres de détection d’intrusion, etc.
• Sécurité opérationnelle. Les processus et politiques existants doivent également être évalués afin de réduire la possibilité qu’un cybercriminel tire parti d’une lacune dans les procédures existantes. C’est ici que sont évaluées les capacités de réponse aux incidents, ainsi que les fonctions de gestion des accès des utilisateurs, les politiques de sauvegarde des données, etc.
• Conformité réglementaire. En raison de leur nature orientée vers les affaires, la plupart des centres de données doivent respecter de nombreuses normes sectorielles ou cadres de conformité pertinents – HIPAA, GDPR, SOC 2, ISO 27001, etc.Pour des raisons juridiques, la capacité d’un centre de données à adhérer à toutes les exigences en matière de stockage et de redondance des données est un sujet important.

Menaces courantes pour les centres de données

Les centres de données peuvent faire l’objet d’une variété étonnante de types de menaces, qui ne se limitent pas à une catastrophe naturelle ou à une cyberattaque. Les types de menaces les plus courants pour les centres de données sont les suivants :

• Violations physiques

Toute tentative d’accès physique au centre de données en question est considérée comme une violation physique, qu’il s’agisse d’accéder à des informations sensibles, de voler du matériel ou d’implanter divers dispositifs de suivi ou autres dans le matériel existant.

• Attaques de la chaîne d’approvisionnement

Ce type d’attaque a récemment gagné en popularité en raison de sa capacité à contourner de nombreuses mesures de sécurité traditionnelles. Il cible les fournisseurs de logiciels ou de matériel pour compromettre la chaîne d’approvisionnement et utiliser des portes dérobées et des vulnérabilités pour accéder au centre de données.L’atténuation de la possibilité de ce type d’attaques nécessite une approche entièrement différente de la sécurité, avec des évaluations régulières de chaque élément de la chaîne d’approvisionnement au lieu du seul centre de données.

• Les cyberattaques

Les cyberattaques se présentent sous différentes formes et objectifs, des logiciels malveillants et ransomware qui visent à altérer des informations sensibles aux attaques DDoS (Distributed Denial of Service) qui rendent des centres de données entiers incapables de répondre aux utilisateurs habituels pendant une période prolongée.D’autres types d’attaques comprennent l’exploitation des vulnérabilités et l’ingénierie sociale.

• Menaces d’initiés

Un autre type d’attaque contre lequel il est très difficile de se protéger est la menace interne – un initié malveillant ayant accès à des données internes sensibles et pouvant les compromettre ou les voler (ou un initié accidentel qui tombe dans une escroquerie ou compromet involontairement la sécurité du système sans mauvaise intention).

• Menaces persistantes avancées

Les APT sont une autre forme d’activité cybercriminelle, beaucoup plus ciblée que les autres méthodes de cyberattaque.Elles utilisent diverses attaques persistantes pour obtenir un accès prolongé et manipuler des informations sensibles. En raison de leur complexité et de leur engagement, les APT sont principalement utilisées par des organisations criminelles sophistiquées ou des États-nations.

• Risques liés à la conformité

Bien qu’ils ne soient pas aussi malveillants, les risques de non-conformité peuvent tout autant perturber les activités d’une organisation. Ils peuvent être déclenchés par pratiquement n’importe quel autre type de violation de données et conduisent souvent à des pertes substantielles de réputation et à des amendes légales massives pour toute entreprise qui ne peut pas se conformer à des réglementations telles que HIPAA, GDPR, etc.

• Catastrophes naturelles et autres risques environnementaux

Non seulement tout type de catastrophe naturelle peut entraîner différents types de dommages à l’infrastructure physique d’un centre de données, mais il existe également d’autres risques environnementaux, tels que les coupures de courant inattendues ou les pannes d’équipement. Ces problèmes peuvent être considérés comme des risques environnementaux et peuvent entraîner, entre autres, des pertes de données et des interruptions de processus.

Avec toutes ces informations à l’esprit, nous pouvons maintenant explorer plus en détail le sujet des évaluations de sécurité pour les centres de données.

Normes de sécurité des centres de données

Maintenant que nous sommes familiarisés avec le thème de l’évaluation de la sécurité des centres de données, il convient de noter qu’il existe plusieurs termes similaires dans le même secteur.Par exemple, nous avons les normes de sécurité des centres de données – une combinaison de protocoles, de lignes directrices et de recommandations sur la façon dont les centres de données fonctionnent et protègent les données des clients.

Le sujet des normes en termes de sécurité peut être quelque peu complexe à aborder, principalement parce que de nombreuses entreprises ont leur propre sélection de normes qu’elles suivent, y compris des exemples officiels et non officiels.Heureusement, il existe toujours une petite sélection de normes largement répandues qui sont les plus acceptées comme la pièce maîtresse de l’idée globale, comme l’Organisation internationale de normalisation (ISO), le National Institute of Standards and Technology (NIST), etc.

Recommandations générales sur les normes de sécurité

Le nombre de normes et de cadres réglementaires différents dans le monde moderne est assez stupéfiant, et il semble augmenter à un rythme alarmant. Nous citerons ici six exemples de cadres de conformité et de normes de sécurité qui peuvent être adoptés pour renforcer la sécurité d’un centre de données.

• PCI DSS (Payment Card Industry Data Security Standard) est une combinaison de normes auxquelles doivent se conformer toutes les entreprises qui traitent des informations relatives aux cartes de crédit. Il s’agit d’une norme fréquemment mise à jour qui explique comment ces informations sensibles doivent être stockées et quelles mesures de sécurité doivent être appliquées aux unités de stockage, telles que les centres de données.
• La loiHIPAA (Health Insurance Portability and Accountability Act) est un autre ensemble de recommandations très spécifiques, qui vise principalement le secteur des soins de santé. L’objectif de l’HIPAA est de protéger et de sauvegarder les informations personnelles des clients et d’autres données sensibles dans ce même secteur,
• NIST 800-53 (National Institute of Standards and Technology) est un ensemble de normes qui comprend un processus court en 7 étapes pour la gestion de la confidentialité et de la sécurité des informations et des liens vers d’autres normes NIST qui couvrent le sujet de la sécurité de l’information de manière plus approfondie.
• ISO 27001 (Organisation internationale de normalisation) est une norme internationale qui décrit certaines des pratiques les plus utiles pour les systèmes de gestion de la sécurité de l’information. Il convient de noter que cette norme n’est pas exclusive à la catégorie ISO ; la « famille » 2700 comprend plusieurs douzaines d’autres normes qui offrent diverses recommandations et normes que les unités de stockage de données (y compris les centres de données) doivent respecter.
• FISMA (Federal Information Security Modernization Act) est un ensemble de normes juridiques qui s’appliquent principalement aux agences du gouvernement fédéral et à leurs systèmes de données, tels que les centres de données. Ces normes garantissent le plus haut niveau possible de sécurité et de protection.
• SSAE 16 (Statement on Standards for Attestation Engagements) est une combinaison de normes d’audit qui peuvent être utilisées pour évaluer un centre de données en fonction de sa capacité à protéger la confidentialité, la sécurité et la disponibilité des informations qu’il stocke. SSAE 16 peut utiliser plusieurs types de rapports, les exemples les plus courants étant SOC 1 et SOC 2.

Programme de certification TIA-942

Si les normes susmentionnées couvrent la partie technologique de l’évaluation, le sujet de la sécurité physique des centres de données est totalement différent et suffisamment important pour faire l’objet d’un article à part entière.Ici, nous n’aborderons que brièvement la partie physique de la sécurité des centres de données, qui utilise ANSI/TIA-942 comme moyen de test du matériel.Il s’agit d’une norme mondialement adoptée pour les centres de données, qui explique comment les centres de données doivent être protégés dans différents cas d’utilisation, physiquement et virtuellement.

Cette norme comporte quatre catégories potentielles, chacune décrivant un niveau distinct de l’infrastructure d’un centre de données en fonction de ses capacités et de sa résilience générale.

• Niveau 1 – Infrastructure de base du site : il s’agit de la catégorie la moins protégée des quatre, avec une protection limitée contre les menaces physiques, des composants à capacité unique et un seul chemin de distribution pour tous les équipements, sans aucune mesure de redondance.
• Niveau 2 – Infrastructure de site à composants redondants; couvre les centres de données dotés de composants à capacité redondante et d’un seul chemin de distribution pour l’équipement informatique.
• Niveau 3 – Infrastructure de site à maintenance simultanée : un chemin de distribution redondant pour l’équipement combiné à des composants à capacité redondante rend ce niveau beaucoup plus sûr que les précédents et s’accompagne également d’améliorations de la sécurité du stockage physique.
• Niveau 4 – Infrastructure de site tolérante aux pannes : la note la plus élevée possible pour l’évaluation de la sécurité physique comprend la redondance des composants de capacité et des chemins de distribution du matériel, tout en protégeant le logiciel contre divers scénarios de défaillance, avec le niveau de protection le plus élevé possible contre les visiteurs malveillants.

Bonnes pratiques pour l’évaluation de la sécurité des centres de données

L’ensemble du processus d’évaluation de la sécurité du centre de données varie considérablement d’un cas à l’autre, en fonction de nombreux facteurs.Néanmoins, il est possible de fournir une combinaison de recommandations lors d’une telle évaluation, en tenant compte des multiples facteurs mentionnés ci-dessous.

1. Créez un inventaire complet de l’ensemble de l’environnement du centre de données, y compris les éléments physiques et virtuels, les comptes de service, les applications du centre de données, etc. Chaque élément doit se voir attribuer une note d’importance distincte pour le fonctionnement normal de l’entreprise. Tous les composants qui ne contribuent pas à la sécurité ou au flux de travail de l’entreprise doivent être éliminés afin de s’assurer qu’ils ne peuvent pas servir de passerelle pour les logiciels malveillants et les intrus – y compris les applications, les comptes de service et même les éléments du centre de données.
2. Évaluez le trafic du centre de données et cartographiez-le, si possible, pour bien comprendre comment les informations circulent vers et depuis votre réseau. Cela vous aidera également à comprendre quelles sont les parties du système qui traitent le plus d’informations sensibles, ce qui vous permettra de prioriser vos ressources en conséquence.
3. Évaluez la segmentation de votre centre de données et assurez-vous que les communications entre les différents niveaux passent par un pare-feu de haute qualité.La même évaluation devrait être faite pour tous les utilisateurs et applications qui ont accès à des niveaux spécifiques du centre de données afin de s’assurer que seuls ceux qui ont besoin de cet accès peuvent encore l’avoir pour des raisons de sécurité.
4. Développez le sujet précédent de l’évaluation des utilisateurs et analysez l’accès à la sécurité de chaque utilisateur (tout en créant des groupes d’utilisateurs pertinents pour faciliter le contrôle d’accès à l’avenir) pour vous assurer qu’ils ont besoin de l’accès au centre de données pour leur bon fonctionnement professionnel.Cela concerne non seulement les employés de l’entreprise, mais aussi les clients, les partenaires, les sous-traitants, les fournisseurs, etc.
5. La surveillance et l’évaluation continue concernent moins l’évaluation ponctuelle de l’état du système que l’avenir permanent, mais certaines informations sur l’état du centre de données ne peuvent être recueillies qu’après avoir passé un certain temps à surveiller et à évaluer la situation globale, ce qui explique pourquoi ce point fait partie de la liste.

Une fois encore, la liste elle-même n’est pas figée et de nombreux éléments et recommandations sont susceptibles d’être modifiés en fonction de nombreux facteurs.En outre, nous pouvons faire quelques suggestions concernant la sécurité des centres de données en général, qui seront utiles une fois que le processus d’évaluation de la sécurité des centres de données sera terminé :

• Effectuez des évaluations régulières du système. Il n’est pas nécessaire qu’elles soient aussi approfondies et détaillées que celle décrite ci-dessus.Néanmoins, une évaluation régulière de l’état général de l’environnement du centre de données contribuerait grandement à détecter les vulnérabilités et les problèmes potentiels avant qu’ils ne se retournent contre vous.
• Respectez tous les cadres réglementaires auxquels votre entreprise est soumise, qu’il s’agisse de PCI DSS, GDPR, HIPAA ou de quelque chose de plus spécifique. Effectuer régulièrement des audits de conformité est également une excellente idée pour éviter les amendes potentielles et autres problèmes causés par le non-respect de cadres réglementaires bien connus.
• Utilisez divers moyens de protection du réseau interne, tels que des pare-feu et diverses applications de détection d’intrusion.
• Élaborez un plan de réaction aux incidents afin que tous vos employés sachent ce qu’ils doivent faire en cas d’urgence.
• Laformation régulière des employés est également un avantage pour réduire les risques d’erreurs humaines – y compris les courriels d’hameçonnage et d’autres méthodes.
• Mettez en place un logiciel de surveillance interne continue afin de réagir encore plus rapidement aux menaces et d’être plus proactif dans la lutte contre les menaces de sécurité.
• Effectuez des sauvegardes régulières et chiffrez les informations, deux éléments nécessaires pour améliorer la disponibilité des informations sensibles en cas d’urgence.

Processus de sauvegarde et de chiffrement

Toutes les recommandations mentionnées ci-dessus sont importantes en soi, mais la dernière est l’une des plus essentielles pour la sécurité des données dans pratiquement tous les environnements, y compris les centres de données. Ce sujet couvre également le chiffrement, car la plupart des solutions de sauvegarde proposent le chiffrement des données comme l’une de leurs capacités fondamentales.

La liste des avantages potentiels en matière de sécurité, de continuité des activités et de durabilité que la mise en œuvre correcte d’une solution de sauvegarde et de restauration peut offrir à un environnement aussi complexe qu’un centre de données est étonnamment longue, avec des fonctionnalités telles que :

• Le chiffrement des données est une fonctionnalité courante des solutions de sauvegarde.Au minimum, elles offrent souvent un chiffrement AES-256 et des fonctionnalités supplémentaires dans le même domaine (dans certains cas).
• L’immutabilité du stockage est un concept assez populaire dans le domaine de la sauvegarde.Il repose sur l’idée de base d’un stockage qui ne peut être modifié en aucune façon une fois que les données y sont écrites la première fois.Elle peut être obtenue soit par des mesures logiques, soit en utilisant du matériel dédié avec des capacités WORM (write-once-read-many).
• L’air-gapping est une extension du concept précédent qui englobe l’idée de couper toutes les connexions d’un stockage spécifique avec le reste de l’infrastructure afin d’améliorer radicalement sa sécurité. Comme le concept précédent, l’air-gapping peut être effectué logiquement au sein du système ou physiquement, ce qui offre une meilleure protection mais pose également plusieurs problèmes en termes d’accessibilité, raison pour laquelle il n’est principalement utilisé que pour les données les plus sensibles.
• La règle 3-2-1 est un autre concept bien connu dans le domaine de la sauvegarde, qui met l’accent sur la nécessité de conserver plusieurs copies de sauvegarde à des fins de redondance. La règle elle-même implique l’existence d’au moins trois copies de sauvegarde qui sont stockées en utilisant deux types de stockage différents, l’une des copies étant stockée dans un endroit physiquement séparé du reste de l’infrastructure (hors site).
• L’authentification multifactorielle s’appuie sur le système 2FA bien connu pour améliorer la sécurité des mesures de contrôle d’accès existantes. Le nom implique que l’utilisateur final doit présenter au moins deux justificatifs d’authentification ou plus pour avoir accès à l’information.
• La centralisation des informations est également relativement courante pour les logiciels de sauvegarde. Elle permet de gérer de multiples opérations de sauvegarde et de gestion des données à l’aide d’un environnement unique qui offre un accès pratique à tout.

Le marché des solutions de sauvegarde et de récupération est très concurrentiel et comprend des centaines de solutions différentes. Trouver un logiciel capable d’offrir tous ces avantages tout en prenant en charge les centres de données peut sembler un défi de prime abord.Cependant, ce n’est pas le cas puisque des solutions telles que Bacula Enterprise peuvent offrir tous ces avantages dans le même package.

Bacula Enterprise est une plateforme complète de sauvegarde et de restauration dotée de nombreuses fonctionnalités. Elle peut fonctionner avec tous les types de stockage, des médias traditionnels aux VM, aux applications SaaS, aux bases de données, etc. Cela devient important pour les organisations qui ont un environnement informatique large et diversifié, car elles ont généralement besoin d’une solution de sauvegarde unique afin d’atteindre de manière réaliste les normes et les exigences de sécurité et de réglementation.

Le respect des normes de sécurité et de conformité dépend en partie des capacités de surveillance et de reporting d’une solution de sauvegarde. Ces fonctionnalités sont particulièrement développées dans Bacula, qui permet une surveillance et un reporting étendus sur l’ensemble de son système, allant même jusqu’à autoriser des rapports très détaillés, spécialisés et personnalisés pour répondre aux besoins de ses clients les plus singuliers.

Bacula met également l’accent sur la sécurité des données, ce qui est l’une des raisons pour lesquelles de nombreuses organisations gouvernementales ont choisi Bacula comme solution de sauvegarde. L’une des raisons est son architecture unique qui rend extrêmement difficile pour les attaques malveillantes, telles que les ransomwares, de pouvoir infecter les données sauvegardées. C’est pour cette raison que la plus grande alliance militaire de l’Occident a choisi Bacula pour protéger ses données.

D’une manière générale, l’évaluation de la sécurité d’un centre de données peut s’avérer difficile, et l’amélioration de la situation existante après l’évaluation l’est souvent encore plus.Heureusement, l’existence de logiciels tels que Bacula permet d’effectuer la plupart des opérations liées à la redondance, à la conformité et à la sécurité des informations à partir d’une solution unique, avec un haut degré de commodité et de convivialité.

Conclusion

L’évaluation de la sécurité d’un centre de données permet d’évaluer l’état actuel de l’environnement de sécurité d’un centre de données à partir de multiples points de vue. Il est difficile de surestimer son importance en raison de la popularité et de l’importance des centres de données dans l’environnement moderne et de la fréquence des attaques malveillantes dont ils font l’objet.

Le processus diffère considérablement dans de nombreuses situations, et la variété des cadres auxquels un centre de données doit se conformer change également au cas par cas.Un plan d’évaluation plutôt sommaire peut être recommandé pour la plupart des situations, mais l’améliorer dans chaque situation dépasse largement nos capacités.

Le respect des normes de sécurité des centres de données peut améliorer la sécurité physique et virtuelle de l’infrastructure, tout en renforçant les capacités de gestion des données et en éliminant les problèmes potentiels, tels que le surpartage, les privilèges excessifs et l’abondance d’accès à des informations sensibles pour des utilisateurs qui n’ont pas besoin de cet accès pour travailler.

En outre, le respect des meilleures pratiques en matière d’évaluation de la sécurité des centres de données et de la sécurité globale de ce support peut simplifier considérablement le processus de gestion des informations tout en améliorant la sécurité de l’environnement.
La mise en œuvre d’une solution de sauvegarde complète telle que Bacula Enterprise est l’une des options les moins problématiques en raison de la richesse de ses fonctionnalités dans une seule solution, combinée au large nombre de plateformes, bases de données, machines virtuelles, conteneurs, environnements cloud et types de stockage qu’elle peut prendre en charge.

Dans l’ensemble, nous espérons que notre évaluation du sujet a été suffisamment détaillée pour montrer pourquoi il est crucial d’évaluer les niveaux de sécurité d’un centre de données, tout en soulignant à quel point chaque processus sera personnalisé et spécifique à chaque cas.