Serveur critique : comment bien protéger le nid

Dans les articles précédents, nous avons parlé de la façon dont le développement du Cloud Computing, des transactions mobiles et des réseaux sociaux est en train de modifier le paysage informatique et de la façon dont les organisations satisferont aux demandes de cet environnement en constante évolution. Au cœur de ce développement, les serveurs critiques permettent aux entreprises de travailler sur de multiples canaux et appareils pour assister leurs employés et clients, ainsi que pour favoriser l’e-commerce. À mesure que la demande et la dépendance envers ces serveurs augmente, le besoin d’une disponibilité garantie augmente en conséquence.

Afin de vous donner une idée du degré d’importance de maintenir ces systèmes critiques en fonctionnement, une étude de 2016 effectuée par l’Institut Ponemon a révélé que le coût moyen d’une panne imprévue d’un centre de données était d’environ 9000 dollars par minute ! L’étude indique que 25 % des sociétés ont mentionné une défaillance du système UPS (alimentation sans coupure) comme cause principale d’une panne imprévue, suivie par le cyber-crime et les erreurs accidentelles ou humaines, comptant chacun pour 22 % des pannes. Lorsque vous comparez les données de cette études avec celles de 2013, deux points importants apparaissent :

1. Les erreurs accidentelles ou humaines étaient similaires (22%), ce qui montre qu’aucun progrès n’a été fait pour réduire les pannes de serveur provoquées par le personnel,

2. S’assurer que l’ensemble des équipements - générateurs, HVAC, et unités CRAC - sont inspectés (ou remplacés) régulièrement implique un facteur humain, ainsi il est possible que certains cas de panne des systèmes UPS n’aient pas été reportés en tant qu’erreur humaine.

D’après un article de Quality Power Solutions, un fournisseur de systèmes UPS et de générateurs, le plus grand risque de panne d’un système UPS vient de l’opérateur. Par ailleurs, nous avons parlé dans un billet précédent de la suppression accidentelle et du fait qu’elle était la principale raison des demandes de récupération des serveurs SQL parmi les DBA et les développeurs, ainsi il n’est pas surprenant que l’erreur humaine soit un des principaux facteurs des pannes des centres de données.

Les employés eux-mêmes peuvent être un risque

Les cyber-attaques sont la cause des pannes des centres de données qui progresse le plus rapidement, passant de 18 pourcent en 2013 à 22 pourcent en 2016 ; celles-ci continueront d’être un enjeu majeur pour les centres de données dans le futur. Les attaques DDoS ont légèrement augmenté, mais il faut surtout noter qu’elles entraînent de plus en plus de dégâts. Par exemple, en octobre de l’année dernière, Dyn, une société fournissant des systèmes de noms de domaines (DNS) dont l’infrastructure est basée sur le cloud, a subi l’attaque DDoS la plus importante connue à ce jour. Les principaux sites internet de la côte est des États-Unis sont restés inaccessibles pendant des heures. Il a été découvert par la suite que l’attaque était survenue sous forme de botnet par l’intermédiaire d’un grand nombre d’appareils IoT - à savoir caméras de sécurité, portails d’entrée résidentiels, et systèmes de surveillance pour bébés.

Ce type d’attaque devrait amener les entreprises à prendre en considération la sûreté et la sécurité de leurs outils de collaboration, tels que les logiciels de discussion instantanée ou de conférences vidéo, en plus des appareils mobiles utilisés. Une application non protégée sur un appareil est potentiellement accessible par un programme malveillant et peut créer une faille dans votre réseau. Pire encore, celui-ci pourrait accéder à vos serveurs critiques sans que vous ne le sachiez et faire de ces derniers un « serveur zombie ». Les employés eux-mêmes peuvent être un risque. Une étude de 2015 a montré que 34% des ouvriers aux États-Unis sont des travailleurs indépendants. Entrepreneurs, consultants, ainsi que travailleurs dans le cadre de projets doivent être formés aux pratiques de sécurité et avoir accès aux informations dont ils ont besoin. Une fois qu’ils ont terminé de travailler sur le projet, l’accès peut être révoqué.

Les erreurs les plus simples sont souvent celles qui entraînent la mise hors ligne des serveurs critiques. Tant que les humains auront un rôle majeur dans la gestion des systèmes, la probabilité qu’un problème survienne sera toujours présente. Les entreprises doivent prendre en compte le fait que les outils, les logiciels et les appareils utilisés par leurs propres employés peuvent facilement être compromis. En mettant en œuvre des processus normalisés et des procédures de sécurité, des vérifications régulières de maintenance des équipements et du matériel, une formation adéquate, et un personnel expérimenté, vous avez la possibilité d’empêcher les scénarios les plus désastreux de se produire.