Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Sandy et les Data Centers : quelle leçon tirer pour votre Centre ?


Le passage de l'ouragan Sandy a révélé des points de faiblesse dans certains data centers. Quels enseignements peut-on en tirer ?



D.R.
D.R.

Les centres informatiques de la côte est des USA ont souffert et ce n'est pas fini

Sur les trois états américains les plus touchés par Sandy, on estime qu'il se trouve environ 150 centres informatiques victimes de sinistres.

Les situations difficiles les plus souvent rapportées sont : l'inondation, la coupure de courant et l'impossibilité d'accès par le personnel. Cela bien sûr pouvant s'additionner.

Parmi les sites touchés et mis en arrêt partiel ou total, on peut citer des noeuds Internet importants, le site du Gouvernement de New-York et de grands hébergeurs comme Datagram par exemple.

On estime que ces sites sont pour certains durablement touchés : une salle inondée ne se remet pas en marche en deux jours...il faut pomper l'eau, sécher, revoir les câblages et matériels, rééquiper, requalifier, etc. Cela peut prendre deux à six semaines, surtout s'il y a des dizaines de sites dans ce cas !

Et pourtant des parades étaient prévues...

Il est clair que les opérateurs de ces sites ne sont pas des débutants et on constate que ces sites avaient souvent prévu des parades simples à des pertes élémentaires :
  • face à la perte de courant : des générateurs
  • face à l'inondation : des protections étanches des salles
  • face aux contraintes sur le personnel : la possibilité de résider sur place (avec babyfoot et billard...américain)

On peut toutefois trouver des défauts à ces préparations : elles n'ont pas été scénarisées "en situation de sinistre"

Nous insistons souvent dans nos missions sur ce point fondamental : transformez-vous en scénariste hollywoodien et créez votre scénario catastrophe ! Imaginer les conséquences des sinistres prévus : exemples :

Le scénario inondation

La parade simple est de rendre étanche le bas des bâtiments ; hélas que se passe-t-il en cas d'inondation ? les eaux montent...évidemment ! Mais que risque-t-il d'arriver ?

  • Le fournisseur de courant vous coupe l'alimentation car il dessert des gens dans l'eau.
  • Votre citerne de fuel (au sous-sol...) est atteinte par les eaux (et donc impropre à un bon usage).
  • Ou encore : votre pompe à fuel est inutilisable...ou vos batteries pour démarrer le générateur (hélas vous n'avez pas acheté ce système à air comprimé...)

Si malgré tout vous avez réussi à démarrer votre générateur et si l'on raisonne dans la durée, que peut-il vous arriver ?

  • Vous aviez prévu de faire le plein de fuel dans cinq jours, vous n'avez du carburant que pour deux jours.
  • Vous voulez commander un réapprovisionnement en urgence : hélas, la route étant inondée, aucun livreur ne peut vous servir
  • De plus votre livreur de fuel a ses camions citernes sous les eaux...
  • Et ses réserves non atteintes par le sinistre sont faibles et réservées par l'Etat !

Vous vous dites que je noircis le tableau ? Je suis à peu près sûr que ces situations se rencontrent.

Bref on le voit, en se mettant en situation de sinistre, on imagine très vite des améliorations à faire.

Des parades "en situation de sinistre"

Si l'on reprend l'exemple précédent, on peut envisager :

  • de ne pas mettre les cuves, ni aucun élément nécessaire au bon fonctionnement des générateurs (pompes à fuel) en situation d'être exposées au sinistre inondation ;
  • de bien dimensionner les volumes des cuves et les cadences de réapprovisionnement ;
  • éventuellement quand la saison des tempêtes arrive (écouter les alertes météo) prévoir des réapprovisionnements plus fréquents;
  • de s'assurer que l'approvisionnement est possible (route convenable, situation du fournisseur, fournisseur alternatif) ;
  • de tester le bon démarrage de vos générateurs

On le voit, la scénarisation du sinistre permet d'améliorer la situation face à une simple addition de parades indépendantes.

Dans nos missions d'évaluation des Data Centers nous utilisons un questionnaire qui reprend tous ces points et bien d'autres (90 au total).

Et si le "gros choc extrême" arrive ?

Vous avez scénarisé quelques situations de sinistres, il convient aussi d'envisager un "choc extrême".

Ce cas très particulier (et d'autant plus rare que vous avez réduit les autres) ne peut être éliminé d'un revers de main. Bien évidemment, il faut rester raisonnable aussi en se souvenant qu'il est fort peu probable et donc préparé à minima.

Vous devez imaginer sous ces réserves, ce que vous ferez ou essaierez de faire ; cela peut être :

  • arrêter si possible à l'avance vos activités (tous ou certains de vos serveurs dans un certain ordre, avec des procédures sécurisée)
  • quitter les lieux en bon ordre en emportant éventuellement des éléments critiques (des sauvegardes récentes)
  • avoir un site de repli distant (bien évidemment non soumis au même sinistre, ce qui dans le cas de Sandy exclut maintenant bien des Etats de l'Est américain)
  • avoir prévu des sorties de données patrimoniales, des données d'exploitation, des sauvegardes vers ce site de repli distant...

Il n'y a pas de solution toute faite, il n'y a que des solutions scénarisées...avec une certaine vraisemblance.

La capacité à anticiper sur ces cas extrêmes est cruciale. Les mesures prises en raisonnant "scénario" (comme plus haut) donnent souvent cette capacité d'anticipation de quelques jours.

Conclusion : connaissez vos risques et vos activités critiques et pensez ISO 22301

En conclusion, nous avons vu quelques recommandations :

  • Bien scénariser en fonction des risques connus, revoir ces scénarios en fonction de l'évolution de ces risques.

  • Bien connaître en permanence les activités les plus critiques de l'entreprise que votre Data Center sert.

  • Prévoir ce que l'on fera en cas de sinistre sur ces activités et ce qu'il faut préparer.

Le tout étant inclus dans une appréciation générale de la Direction sur ce qu'elle est prête à accepter en cas de sinistre.

Ces trois conseils semblent frappés du sceau du bon sens.

Ils correspondent d'ailleurs à trois têtes de chapitre de la norme ISO 22301 dont il est bon de se rapprocher !
Emmanuel Besluau
Vendredi 2 Novembre 2012

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter