Sécurité du datacenter et des données, Arnaud de Bermingham, Scaleway, choisit la carte de la transparence

Dans un article de blog particulièrement bien documenté – « Comment protégeons-nous vos données ?« , que nous reproduisons ci-dessous – Arnaud de Bermingham, Président de Scaleway, réagit après l’incendie d’OVHcloud. Il a choisi la carte de la transparence pour partager son expérience et les stratégies déployées par Scaleway pour protéger ses datacenters, ses clients et leurs données.

Un retour d’expérience qui nous semble indispensable de partager avec vous, après également notre tribune « Faut-il sauver le soldat Octave ? », qui fait l’unanimité sur les réseaux sociaux, et nous vous en remercions, et nos articles d’analyse sur l’incident d’OVHcloud, « Incendie – 6 erreurs d’OVHcloud » et « Incendie d’OVH – La fin d’un modèle ?« .

L’article de blog comprend également une iconographie qui accompagne le discours documenté d’Arnaud de Bermingham.

Comment protégeons-nous vos données ?

Suite aux événements récents, vous êtes très nombreux à nous interroger sur nos pratiques et nos moyens de protection dans nos datacenters. Nous vous remercions pour vos nombreuses questions et allons vous répondre avec un maximum de transparence, comme nous en avons l’habitude.

Le datacenter : au cœur de la stratégie de résilience de la donnée

Depuis toujours, nous estimons que nos datacenters sont un argument de vente et le reflet concret de la qualité de nos produits. Plus encore, ils sont un outil de production précieux et une véritable fierté.

Depuis près de 15 ans, ils font l’objet d’une stratégie d’investissement “sans compromis”. Nous avons fait le choix de maîtriser entièrement ce métier, de la conception, construction jusqu’à l’exploitation, avec une ingénierie basée sur le retour d’expérience (REX). Nous avons capitalisé au sein des équipes d’une connaissance précieuse qui nous permet de construire des datacenters de plus en plus résilients et innovants.

Nous sommes l’un des rares acteurs ayant une logique totalement intégrée, du datacenter au logiciel (en passant par le réseau et le hardware) et à y appliquer la transparence la plus totale. Nous sommes parmi les derniers acteurs du cloud à maîtriser ce métier très particulier du datacenter, la quasi-totalité des acteurs du marché utilisant des sites de grands acteurs issus du monde de l’immobilier pour leurs expansions internationales.

Nous sommes le seul fournisseur cloud de type triple play à proposer à la fois les trois métiers : la colocation en datacenter et d’infrastructure privées, des serveurs dédiés haut de gamme pour un maximum de contrôle et d’impact et un écosystème de cloud public moderne et élastique.

La maîtrise de l’ensemble de la chaîne de valeur nous permet de vous offrir des prix compétitifs, des services innovants et de ne jamais faire de compromis pour des motifs économiques.

Sur le métier du datacenter dit “colocation”, nous sommes parmi les plus principaux acteurs en France. Nous hébergeons notamment des acteurs majeurs du cloud présents dans le Magic Quadrant de Gartner au sein de nos infrastructures depuis de nombreuses années, ce qui témoigne de l’exigence que nous portons à cette activité, ainsi que de nombreux acteurs bien connus des Européens.

Contexte réglementaire : La réglementation assure la protection des personnes et de l’environnement, l’exploitant, avec son assureur, assure la protection des biens

Les datacenters en France sont régis par le Code du travail, et au-delà d’une certaine puissance par les arrêtés type ICPE (Installations Classées pour la Protection de l’Environnement).

La réglementation est à ce titre légère et principalement axée sur la protection des personnes comme par exemple l’évacuation du personnel en toute sécurité (issues de secours, désenfumage, etc.) et sur la protection de l’environnement. Elle n’exige, par exemple, pas d’installation de détection ou d’extinction incendie ni de mesures de protection des biens.

Il est important de comprendre que la conception technique et la prise en compte de la protection des biens dans un datacenter repose donc entièrement sur le maître d’ouvrage et l’exploitant, mais aussi sur les prérequis de l’assureur en fonction du plafond de couverture et de franchise demandé.

Pour résumer simplement : la réglementation assure la protection des personnes et de l’environnement, l’exploitant avec son assureur assurent la protection des biens.

Il existe depuis longtemps une confusion entre la résilience de la conception et les certifications telles que les normes ISO. Les certifications visent à normaliser des pratiques de gouvernance et de processus métier, mais ne garantissent jamais d’une conception, de prescriptions ou d’une mise en œuvre dans les règles de l’art sur la protection des biens dans un datacenter. Le meilleur exemple est le malheureux sinistre récent qui a impacté des infrastructures pourtant certifiées SECNUMCloud, ISO-27001 et même HDS. La certification à une norme ISO, HDS ou SECNUMCloud n’est aucunement un gage ni une garantie de sécurité physique des datacenters.

En France, les certifications APSAD éditées et délivrées par les assurances et le CNPP (Centre National de Prévention et de Protection) apportent des garanties de fiabilité et d’efficacité sur la sécurité des biens. Ces certifications s’appuient sur des référentiels et des prescriptions, basées sur l’expérience des sinistres, qui cadrent la conception de l’installation, le résultat attendu, la formation du personnel et la maintenance.

Ce sont des certifications volontaires, coûteuses et très exigeantes qui sont à nos yeux un minimum requis dans un datacenter compte tenu de la sensibilité des actifs hébergés. Ces certifications APSAD sont un gage de sécurité.

Quel est le risque dans un datacenter ?

Le risque est très faible car les acteurs en place prévoient le risque par des mesures constructives. Par expérience, les onduleurs et les batteries des onduleurs représentent les risques les plus élevés. Sur les dix dernières années, sur près de 40MW de datacenter exploités en France, Scaleway a fait face à un feu batterie le 16 septembre 2019 et à quatre explosions d’onduleurs. Le 27 juin 2013, notre voisin du datacenter DC2, spécialisé dans le recyclage de papier, a entièrement brûlé. Plus récemment, le 2 juin 2019, le voisin de notre datacenter DC5, spécialisé dans le traitement de produits chimiques, a entièrement brûlé, à quelques mètres seulement de nos installations.

Donc oui, disons le clairement : exploiter un datacenter c’est avant tout anticiper et gérer un risque. Un risque réel, qui peut être interne ou externe. Mais notre métier consiste à prévoir l’improbable. La conception de nos datacenters et nos moyens automatiques ont permis d’éviter, à chaque fois, un sinistre majeur sur vos infrastructures sans jamais engendrer une coupure de service.

L’approche de Scaleway

L’approche de Scaleway s’articule autour de trois objectifs :

  • Isoler un éventuel sinistre pour éviter qu’il prenne de l’ampleur à l’aide de moyens de compartimentage ;
  • Circonscrire le sinistre sans coupure de la production à l’aide de moyens automatiques ;
  • Faciliter l’intervention des secours et de notre personnel.

Cette approche est appliquée par tous les datacenters dans le monde, métier qui, au-delà de la protection des biens, exige par définition une continuité de service même en cas d’un improbable incendie.

Protection passive (constructive)

Nous traitons chaque datacenter en compartiments, qui sont chacun résistants au feu. Les murs, sols, plafonds, portes et fenêtres sont conçus pour résister à un incendie sans qu’il se propage au reste du bâtiment. La surface et durée de la résistance au feu dépendent du risque associé.

Autrement dit, en cas de sinistre dans un compartiment, il ne se propagera pas au reste du bâtiment pendant au minimum une ou deux heures. Par exemple :

  • Nous considérons nos locaux énergie, onduleurs et transformateurs comme des locaux à risques particuliers d’incendie (dans le sens de l’arrêté du 25 Juin 1980 qui ne s’applique qu’aux établissements recevant du public) compte tenu de la présence d’une grande puissance électrique et/ou de la présence de batteries. Ils sont coupe-feu deux heures ;
  • Les locaux entrant en redondance l’un de l’autre sont isolés dans des compartiments coupe-feu séparés et eux même coupe-feu deux heures ;
  • Les salles informatiques sont divisées en compartiments de 150 à 1700m2 (En fonction des datacenters) et sont coupe-feu une heure ;
  • Les gaines de ventilation sont recoupées par des clapets qui se ferment automatiquement en cas d’incendie pour éviter sa propagation. Les passages de câbles sont spécialement calfeutrés et traités avec des mastics et des peintures intumescentes.

Nous obtenons le degré coupe-feu à l’aide de panneaux sandwich en laine minérale dont le comportement au feu respecte la norme APSAD D14-A, ou du béton d’une épaisseur déterminée, et des portes spécialement conçues à cet effet.

Les fumées sont tout aussi dangereuses que le feu lui-même. Chaque compartiment dispose d’un dispositif d’extraction des fumées, lui-même capable de fonctionner deux heures par 400°C.

Concernant le voisinage de nos datacenters, qui à deux reprises dans notre histoire a été problématique, lorsqu’une distance d’au moins 10 mètres ne peut pas être obtenue, nous protégeons nos installations par des murs coupe-feu, une voirie lourde et des bouches incendie permettant aux secours d’intervenir en toute sécurité.

Enfin, depuis DC3, nous installons tous les équipements à risque tels que les groupes électrogènes et les transformateurs haute tension à l’extérieur du bâtiment.

Il y a également le sujet des batteries qui représentent l’un des plus gros risques par emballement thermique en datacenter.

  • Nous interdisons depuis toujours la présence de batterie, quel que soit le type, dans les salles informatiques ;
  • Pour nos onduleurs, nous utilisons et remplaçons progressivement notre parc depuis quatre ans avec des batteries spéciales, dites “v0”. En cas d’emballement thermique ou de court circuit, ce type de batterie est auto-extinguible et donc ne brûle pas. Nous remplaçons progressivement tout le parc sur cette nouvelle technologie ;
  • Le parc de batteries type V0 représente à ce jour 1280 batteries à DC5 et 480 sur DC3 ;
  • Compte tenu des événements récents, nous allons accélérer le remplacement dès cette année.

Protection active

Nos datacenters sont tous équipés d’origine de systèmes de détection incendie certifiés APSAD DC7 ou N7.

  • DC2 utilise le système multiponctuel DFHS de DEF ;
  • DC3 et DC4 utilisent le système multiponctuel VESDA ;
  • DC5 utilise conjointement les systèmes VESDA et OSID de Xtralis compte tenu des spécificités du site.

Ce sont des systèmes perfectionnés. Ils fonctionnent par prélèvement d’air et sont insensibles aux mouvements d’air importants qui règnent dans les datacenters. La détection est fiable, précoce, en moins 40 secondes. Ils font l’objet d’une maintenance constructeur deux fois par an qui fait lui-même l’objet d’une certification spécifique (APSAD D7).

La première ligne et la levée de doute sur une détection sont assurées par un agent de sécurité incendie formé spécialement à la lutte contre le feu (SSIAP2) présent 24h/24 sur chaque datacenter et par nos techniciens. Ils interviennent à l’aide d’extincteurs dont l’implantation est certifiée APSAD N4 ou à l’aide de RIA (Robinets d’Incendie Armés) installés dans les espaces de stockage de DC2, DC3 et DC5.

Note : Nos certifications APSAD DC7, N7 et N4 ainsi que les certifications périodiques de maintenance (APSAD Q7 et Q4) sont disponibles sur simple demande à l’assistance technique.

Extinction

Notre métier impose la continuité de service et d’exploitation même en cas d’incendie. Il existe sur le marché deux grandes familles de systèmes d’extinction automatique d’incendie capables d’éteindre un incendie sans couper l’informatique :

  • Les systèmes à gaz (FM200, Novec, Inergen, Azote, etc.) ;
  • Les systèmes par brouillard d’eau (HiFog, Fogtec, Semco, etc.).

Ls systèmes par sprinkler, obligation spécifique aux USA, ne permettent pas la continuité d’exploitation.

Nous utilisons les deux systèmes :

  • DC2 utilise le système par brouillard d’eau Semco certifié FM, VdS/OH1 et DIFT ;
  • DC3 et DC5 utilisent le système par brouillard d’eau Marioff HiFog certifié FM et VdS/OH1 (n.b. : Installation en cours à DC5 dans le cadre de l’extension du site en cours de construction) ;
  • DC4 utilise un système d’extinction à gaz 3M NOVEC 1230 certifié APSAD R13.

Nous évitons l’utilisation de systèmes à gaz compte tenu des nombreux sinistres sur les disques durs, causés par le bruit engendré par ces systèmes ces dernières années.

Compte tenu des réticences injustifiées du marché sur les systèmes par brouillard d’eau, nous avons testé en conditions réelles en Juin 2012 en collaboration avec le CNRS et en présence de nos clients l’efficacité du brouillard d’eau pour éteindre un incendie sans porter atteinte au matériel informatique.

Nous avons également testé cette approche sur des transformateurs sous tension en Septembre 2012.

Ce système est installé chez Scaleway avec une réserve d’eau autonome et une alimentation électrique sur groupe électrogène en cas d’arrêt volontaire de l’électricité par les pompiers.

Aujourd’hui, ce système automatique d’extinction par brouillard d’eau est généralisé dans la quasi-totalité des datacenters dans le monde et est reconnu comme étant le système le plus efficace.

Note : Nos certifications FM, VdS/OH1, DIFT et APSAD R13 ainsi que les certifications périodiques de maintenance (APSAD Q13) sont disponibles sur simple demande à l’assistance technique.

Faciliter l’intervention des secours

Nos bâtiments et nos salles sont construits avec une logique de résistance au feu pour permettre aux secours d’intervenir en toute sécurité au cœur d’un éventuel sinistre. Ils sont construits en béton ou en panneau sandwich en laine minérale coupe-feu.

Pour donner l’alerte, DC3 est équipé d’un téléphone prioritaire spécifique (TASAL – Téléphone à Surveillance Automatique de Ligne) raccordé aux pompiers.

Tous nos datacenters sont limités en hauteur (11 mètres maximum), sont équipés de bouches d’incendie, d’une voirie lourde et d’un dispositif de rétention des eaux d’incendie conformément à la réglementation.

Audit

Nous sommes fiers de nos datacenters et de leur sécurité. Nous estimons avoir mis en œuvre ce qui se fait de mieux pour protéger ce qu’il y a de plus précieux pour vous : vos données. Nous sommes parfaitement conscients de notre immense responsabilité : aucun compromis n’est acceptable quand il s’agit de vos données.

À ce titre, compte tenu du haut niveau de protection de nos datacenters, nous sommes couverts par les meilleures assurances du marché.

Nos quatre datacenters sont audités par notre assureur au minimum une fois par an. Ils sont aussi auditables par vous client, accompagné des experts de votre choix.

Nos certifications, analyses de risque, notices de sécurité sont consultables et auditables sur simple demande, dans ce cadre nous ne facturons que le temps passé par nos équipes pour vous accompagner et constituer vos dossiers techniques.

Nous réalisons régulièrement des visites de nos datacenters, notamment lors des journées du patrimoine et nous serions très heureux de vous accueillir au cœur même de nos infrastructures dès que la situation sanitaire le permettra.

L’approche de Scaleway sur les autres Datacenters

Bien qu’en France, la totalité des datacenters appartiennent à Scaleway, nous faisons aussi appel à des datacenters en colocation, notamment aux Pays-Bas et en Pologne. Ces datacenters ne sont ni conçus ni exploités par Scaleway, nous travaillons notamment avec Iron Mountain et avec Equinix.

Nous travaillons avec ces partenaires dans le cadre d’une relation contractuelle longue durée. Nous les auditons régulièrement pour nous assurer qu’ils appliquent des critères au moins similaires aux nôtres concernant la disponibilité des infrastructures et la sécurité des biens.

Les référentiels et certifications APSAD n’existent pas en dehors de la France, mais chaque pays a des référentiels techniques similaires, que de nombreux datacenters suivent et respectent, comme ceux du VdS.

Note : Les certifications de nos partenaires de colocation sont disponibles sur simple demande à l’assistance technique.

à lire