Le contrôle d’accès : point clé d’un datacenter
Quelles sont les technologies les plus utilisées en France pour le contrôle d’accès ? Quelles sont les stratégies de déploiement à privilégier ? Quelles autorisations demander à la CNIL pour l’installation de systèmes de contrôle d’accès dans les Datacenters ?
Des questions qu’il est légitime de se poser et auxquelles nous allons répondre : passage en revue des principales technologies utilisées dans les datacenters en terme de contrôle d’accès, ainsi que les autorisations qu’il convient de demander à la CNIL.
Un accès aux locaux limité
Avant toute chose,
il convient de rappeler l’importance d’une bonne conception d’aménagement des espaces du Datacenter. La norme ISO 27001
préconise des accès aux locaux limités aux seules personnes habilitées. Il faut
donc assurer la séparation des locaux IT, techniques et télécoms.
Il est à noter que
les solutions intégrées (modules de refroidissement inter-baies du type Inrow et onduleurs au format rack en bout de
rangée) nécessitent un accès des mainteneurs à l’espace IT. Ceci va à
l’encontre de la norme ISO 27001.
Prévention des risques
Les technologies
varient en fonction des risques encourus. Une bonne conception prévoit un
certain nombre de barrières physiques entre l’extérieur et le Datacenter, ce
qui permet de limiter les risques. Dans
ce cas, un système sophistiqué, de toute façon contournable, ne sera pas
nécessaire.
Nous installons la
plupart du temps des systèmes par badge avec traçabilité, permettant
d’identifier les personnes et les heures d’accès.
Chaque accès doit
être contrôlé. Prévoir des barrières physiques et dissocier les espaces IT,
technique et télécoms permet de hiérarchiser les accès, en les limitant aux
personnes strictement habilitées, sans par exemple avoir besoin d’accompagner
systématiquement les intervenants de maintenance durant toute la durée de leur
intervention.
Les technologies existantes
Les systèmes
biométriques ont un certain succès notamment les solutions par empreintes
digitales et par système veineux. Les systèmes par
empreintes digitales sont devenus financièrement abordables et sont très
largement diffusés. En revanche, leur fiabilité n’est pas toujours au
rendez-vous et le stockage des empreintes n’est pas autorisé.
Les systèmes par
reconnaissance du système veineux sont plus fiables, mais aussi beaucoup plus
coûteux. Leur stockage est quant à lui autorisé.
Les systèmes
biométriques permettent d’identifier une personne sur son lieu de travail par
ses caractéristiques physiques. L’utilisation de tels systèmes est donc soumise
à une autorisation de la CNIL.
La société doit
faire une demande d’autorisation qui sera étudiée en fonction du système
biométrique utilisé. Cela prend un certain temps, susceptible d’impacter le
délai de mise en œuvre du Datacenter. Il est toutefois prévu des demandes
simplifiées, notamment pour les systèmes de reconnaissance du contour de la
main ou empreinte digitale.
Il est à noter que
la CNIL ne labellise pas les systèmes biométriques.
La vidéo surveillance
Elle est utilisée dans tous les Datacenters, mais rarement à
l’intérieur de l’espace IT. La raison à cela est majoritairement un blocage des
exploitants, s’opposant fermement à l’installation d’un tel système.
La vidéo
surveillance est généralement installée aux abords du Datacenter et dans les
circulations. Elle permet d’anticiper un risque ou de lever un doute sur une
alarme intrusion ou incendie. La CNIL autorise l’installation de caméras dans
les circulations, mais n’autorise pas l’installation de caméras dans les
espaces de travail.
Les images peuvent
être stockées au maximum un mois. Une autorisation doit être demandée à la CNIL
en absence d’un responsable sécurité au sein de l’entreprise.
Les hébergeurs
proposant des espaces mutualisés à plusieurs entreprises installent des caméras
à l’intérieur des salles IT. Ils doivent pour cela faire une demande spécifique
à la CNIL.
Comme nous l’avons
vu plus haut, le principal intérêt de la vidéosurveillance est l’anticipation
d’un problème et/ou la levée de doute sur une alarme. Les caméras doivent être
positionnées aux endroits permettant de capter le maximum d’informations. Les
circulations, les accès, les abords et les parkings sont des endroits à
surveiller.
Dans les locaux IT
et/ou techniques, les caméras sont généralement installées en périphérie sur
les chemins de câbles.