Le contrôle d’accès : point clé d’un datacenter

Quelles sont les technologies les plus utilisées en France pour le contrôle d’accès ? Quelles sont les stratégies de déploiement à privilégier ? Quelles autorisations demander à la CNIL pour l’installation de systèmes de contrôle d’accès dans les Datacenters ?

Des questions qu’il est légitime de se poser et auxquelles nous allons répondre : passage en revue des principales technologies utilisées dans les datacenters en terme de contrôle d’accès, ainsi que les autorisations qu’il convient de demander à la CNIL.

Un accès aux locaux limité

Avant toute chose, il convient de rappeler l’importance d’une bonne conception d’aménagement  des espaces du Datacenter. La norme ISO 27001 préconise des accès aux locaux limités aux seules personnes habilitées. Il faut donc assurer la séparation des locaux IT, techniques et télécoms.
Il est à noter que les solutions intégrées (modules de refroidissement inter-baies du type Inrow  et onduleurs au format rack en bout de rangée) nécessitent un accès des mainteneurs à l’espace IT. Ceci va à l’encontre de la norme ISO 27001.

Prévention des risques

Les technologies varient en fonction des risques encourus. Une bonne conception prévoit un certain nombre de barrières physiques entre l’extérieur et le Datacenter, ce qui  permet de limiter les risques. Dans ce cas, un système sophistiqué, de toute façon contournable, ne sera pas nécessaire.
Nous installons la plupart du temps des systèmes par badge avec traçabilité, permettant d’identifier les personnes et les heures d’accès.
Chaque accès doit être contrôlé. Prévoir des barrières physiques et dissocier les espaces IT, technique et télécoms permet de hiérarchiser les accès, en les limitant aux personnes strictement habilitées, sans par exemple avoir besoin d’accompagner systématiquement les intervenants de maintenance durant toute la durée de leur intervention.

Les technologies existantes

Les systèmes biométriques ont un certain succès notamment les solutions par empreintes digitales et par système veineux. Les systèmes par empreintes digitales sont devenus financièrement abordables et sont très largement diffusés. En revanche, leur fiabilité n’est pas toujours au rendez-vous et le stockage des empreintes n’est pas autorisé.
Les systèmes par reconnaissance du système veineux sont plus fiables, mais aussi beaucoup plus coûteux. Leur stockage est quant à lui autorisé.
Les systèmes biométriques permettent d’identifier une personne sur son lieu de travail par ses caractéristiques physiques. L’utilisation de tels systèmes est donc soumise à une autorisation de la CNIL.
La société doit faire une demande d’autorisation qui sera étudiée en fonction du système biométrique utilisé. Cela prend un certain temps, susceptible d’impacter le délai de mise en œuvre du Datacenter. Il est toutefois prévu des demandes simplifiées, notamment pour les systèmes de reconnaissance du contour de la main ou empreinte digitale.

Il est à noter que la CNIL ne labellise pas les systèmes biométriques.

La vidéo surveillance

Elle est utilisée dans tous les Datacenters, mais rarement à l’intérieur de l’espace IT. La raison à cela est majoritairement un blocage des exploitants, s’opposant fermement à l’installation d’un tel système.
La vidéo surveillance est généralement installée aux abords du Datacenter et dans les circulations. Elle permet d’anticiper un risque ou de lever un doute sur une alarme intrusion ou incendie. La CNIL autorise l’installation de caméras dans les circulations, mais n’autorise pas l’installation de caméras dans les espaces de travail.
Les images peuvent être stockées au maximum un mois. Une autorisation doit être demandée à la CNIL en absence d’un responsable sécurité au sein de l’entreprise.
Les hébergeurs proposant des espaces mutualisés à plusieurs entreprises installent des caméras à l’intérieur des salles IT. Ils doivent pour cela faire une demande spécifique à la CNIL.
Comme nous l’avons vu plus haut, le principal intérêt de la vidéosurveillance est l’anticipation d’un problème et/ou la levée de doute sur une alarme. Les caméras doivent être positionnées aux endroits permettant de capter le maximum d’informations. Les circulations, les accès, les abords et les parkings sont des endroits à surveiller.
Dans les locaux IT et/ou techniques, les caméras sont généralement installées en périphérie sur les chemins de câbles.