Background pattern
Sécurité logique des data centers
15 min de lecture Sécurité

Sécurité logique des data centers : guide complet pour les DSI

Author
Justin Briard
CTO @ Datalok

Votre data center peut avoir les murs les plus épais du marché, les caméras les plus précises et un contrôle d'accès biométrique digne d'un film d'espionnage. Si le système qui pilote la climatisation tourne sur un mot de passe par défaut, tout cet arsenal ne vaut pas grand-chose.

Dans notre guide sur la sécurité physique, nous avons détaillé tout ce qui protège un data center dans le monde tangible : badges, cages, générateurs, zones coupe-feu. Ce second volet s'attaque à l'autre moitié de l'équation : la sécurité logique tout ce qui protège l'infrastructure numérique de l'opérateur lui-même.

Car oui, un data center n'est pas qu'un bâtiment. C'est aussi un réseau de gestion, des outils de supervision, des automates industriels, des portails client, des centaines de capteurs connectés. Et chacun de ces éléments est une porte potentielle pour un attaquant.

Le contexte ne laisse plus de place au doute. En 2025, la France a enregistré plus de 17 500 cyberattaques, en hausse de 4 % par rapport à 2024. L'ANSSI a traité 4 386 événements de sécurité sur la seule année 2024, dont 1 361 incidents qualifiés. Les attaques DDoS ont explosé à des niveaux inédits, avec un record mondial à 31,4 Tbps fin 2025. Les data centers, en tant qu'infrastructures critiques, sont en première ligne.

Cet article vous donne les clés pour comprendre ce que votre opérateur data center doit mettre en place côté sécurité logique, et surtout les bonnes questions à lui poser.

I. Les fondamentaux de la sécurité logique de l'opérateur

1. Sécurisation des systèmes de gestion du data center

Derrière chaque data center se cache un ensemble de logiciels critiques qui pilotent l'infrastructure : le DCIM (Data Center Infrastructure Management) pour superviser les baies, l'alimentation et le refroidissement, le BMS (Building Management System) pour gérer la climatisation, la détection incendie et les accès, et souvent un portail client pour les interventions à distance.

Ces systèmes sont le cerveau du data center. Si un attaquant en prend le contrôle, il peut couper la climatisation en plein été, désactiver les alarmes incendie, ou ouvrir des accès physiques à distance. Ce n'est pas de la science-fiction : en 2021, des attaquants ont pris le contrôle de systèmes BAS (Building Automation Systems) dans un parc de bureaux en Allemagne, verrouillant l'éclairage, la détection de mouvement et d'autres systèmes, puis modifiant les mots de passe pour empêcher toute reprise. En 2024, une attaque ciblant des caméras de surveillance connectées a permis de compromettre le réseau principal d'un data center en Asie.

Point clé : Le problème est souvent structurel. Beaucoup de systèmes BMS reposent sur des protocoles industriels anciens BACnet, Modbus, LonWorks qui n'intègrent ni chiffrement ni authentification. Selon une étude Claroty publiée en 2025, 75 % des organisations disposant de systèmes BMS sont affectées par des vulnérabilités activement exploitées. Parmi elles, 51 % combinent ces vulnérabilités avec une connexion internet non sécurisée.

2. Segmentation réseau de l'infrastructure

Si la sécurité physique repose sur le compartimentage cages, zones, sas la sécurité logique repose sur la segmentation réseau. Le principe est identique : empêcher qu'une compromission dans une zone se propage à l'ensemble de l'infrastructure.

Un data center bien conçu sépare au minimum trois réseaux distincts :

Le réseau de gestion du bâtiment (BMS, capteurs, automates, vidéosurveillance)

Le réseau d'administration interne (DCIM, supervision, outils IT de l'opérateur)

Le réseau client (trafic des hébergés, cross-connects, accès opérateurs télécoms)

Cette séparation n'est pas un luxe. C'est la barrière qui empêche un capteur de température IoT compromis de servir de pont vers le portail d'administration, ou un voisin de baie de « voir » votre trafic réseau. Les technologies utilisées incluent les VLAN (Virtual LAN) pour l'isolation logique, les VRF (Virtual Routing and Forwarding) pour le routage séparé, et la micro-segmentation pour un contrôle granulaire des flux entre zones.

Point clé : Le risque OT (Operational Technology) est particulièrement sous-estimé dans les data centers. Les équipements de climatisation, les onduleurs, les groupes électrogènes tous ces systèmes industriels sont désormais connectés pour la supervision. Mais ils n'ont pas été conçus avec la cybersécurité en tête. Sans segmentation stricte, ils deviennent une surface d'attaque considérable.

3. Contrôle d'accès logique aux systèmes de l'opérateur

Dans le guide sur la sécurité physique, nous avons insisté sur le contrôle d'accès par badge, biométrie et PIN. Son équivalent logique est la gestion des identités et des accès (IAM Identity and Access Management) appliquée au personnel de l'opérateur.

La question fondamentale est la même : qui, parmi le personnel de l'opérateur, a accès à quoi ? Un technicien de maintenance n'a pas besoin d'accéder aux outils de supervision réseau. Un administrateur réseau n'a pas besoin de modifier les paramètres de climatisation. C'est le principe du moindre privilège : chaque collaborateur ne dispose que des accès strictement nécessaires à sa mission.

Le sujet des comptes à privilèges (PAM Privileged Access Management) est critique. Les comptes administrateurs qui peuvent tout faire sont une cible de choix. Un opérateur mature utilise des coffres-forts numériques pour stocker ces accès, avec rotation automatique des mots de passe et enregistrement vidéo des sessions d'administration sensibles.

Question essentielle : La révocation des accès doit être immédiate. Quand un technicien quitte l'entreprise ou qu'un sous-traitant termine sa mission, ses accès logiques doivent être désactivés en temps réel exactement comme on récupère un badge physique. Un délai de 48 heures dans la révocation, c'est une fenêtre d'opportunité pour un attaquant.

II. Protection de l'infrastructure réseau du data center

4. Sécurisation des services réseau proposés aux clients

Un data center ne fournit pas qu'un espace physique. Il offre également des services réseau critiques : cross-connects entre clients, accès à la Meet-Me Room (la salle où convergent les fibres des opérateurs télécoms), parfois des firewalls mutualisés ou des services de transit IP.

La Meet-Me Room est le point névralgique du data center côté connectivité. C'est là que se concentrent toutes les interconnexions. Sa sécurisation logique est aussi importante que sa sécurisation physique : surveillance du trafic, détection d'anomalies, contrôle strict des connexions autorisées.

Point clé : L'isolation entre clients au niveau réseau est fondamentale en colocation. Votre voisin de baie ne doit pas pouvoir intercepter ou même « voir » votre trafic. Les mécanismes comme le 802.1Q (VLAN tagging), le VRF ou les Private VLAN garantissent cette étanchéité à condition d'être correctement configurés et régulièrement audités.

5. Protection DDoS au niveau de l'infrastructure

Les attaques par déni de service distribué (DDoS) ont atteint des niveaux inimaginables. En 2025, Cloudflare a bloqué une attaque record de 31,4 Tbps l'équivalent de plusieurs millions de flux vidéo 4K envoyés simultanément vers une seule cible. Sur la seule année 2025, les attaques DDoS réseau ont triplé par rapport à 2024. L'Europe est particulièrement exposée, représentant 48,4 % des attaques revendiquées par des groupes hacktivistes selon le rapport Radware 2026.

Le problème pour un data center : une attaque DDoS massive ciblant un seul client peut saturer l'infrastructure réseau commune et impacter tous les autres hébergés. C'est un peu comme si un voisin d'immeuble recevait tellement de courrier indésirable que la boîte aux lettres collective débordait et bloquait le facteur pour tout le monde.

Un opérateur déploie plusieurs niveaux de protection :

Scrubbing centers : centres de nettoyage du trafic qui filtrent les flux malveillants avant qu'ils n'atteignent l'infrastructure

Black-holing ciblé : redirection du trafic vers un « trou noir » pour protéger le reste de l'infrastructure, en dernier recours

Partenariats anti-DDoS : avec des fournisseurs spécialisés (Cloudflare, Akamai, Arbor, ...)

Capacité surdimensionnée : bande passante calibrée pour absorber les pics de trafic légitime et malveillant

6. Gestion des vulnérabilités de l'infrastructure opérateur

Un data center repose sur des dizaines d'équipements réseau (switches, routeurs, firewalls), des systèmes de supervision et des automates industriels. Chacun de ces équipements peut contenir des vulnérabilités et chaque vulnérabilité non corrigée est une porte ouverte.

L'ANSSI le confirme dans son Panorama de la cybermenace 2024 : l'exploitation de vulnérabilités sur les équipements de bordure (pare-feu, VPN, passerelles) a été l'un des vecteurs d'intrusion les plus utilisés. Les équipements réseau d'un data center tombent exactement dans cette catégorie.

Le patch management le processus de mise à jour régulière des équipements est un sujet sensible pour un opérateur. Patcher un switch core en production, c'est prendre le risque d'une micro-coupure. Ne pas le patcher, c'est laisser une faille connue exploitable. L'équilibre entre disponibilité et sécurité est délicat.

Point clé : Le problème spécifique des équipements OT (climatisation, onduleurs, contrôleurs d'accès) est qu'ils ne peuvent souvent pas être patchés aussi facilement qu'un serveur Linux. Les firmwares sont rarement mis à jour, les cycles de support sont longs, et certains constructeurs cessent tout support après quelques années. Un opérateur rigoureux compense par l'isolation réseau de ces équipements et la surveillance renforcée de leur comportement.

III. Surveillance, détection et réponse aux menaces

7. SOC et monitoring de l'infrastructure

Dans le monde physique, la vidéosurveillance 24/7 est un standard. Son équivalent logique est le SOC (Security Operations Center) : une équipe et des outils dédiés à la surveillance en temps réel de l'infrastructure numérique.

Un SOC mature dans un data center s'appuie sur plusieurs briques technologiques :

SIEM (Security Information and Event Management) : corrélation centralisée des événements de sécurité

IDS/IPS (Intrusion Detection/Prevention System) : détection et blocage d'activités suspectes sur le réseau

NDR (Network Detection and Response) : analyse comportementale du trafic réseau pour détecter les anomalies

L'intérêt majeur d'un SOC dans un data center est la corrélation entre événements physiques et logiques. Rappelez-vous l'exemple évoqué dans notre article sur la sécurité physique : trois tentatives de badge échouées à 3h du matin sur votre cage. Ajoutez maintenant une tentative de connexion suspecte sur le réseau de gestion au même moment. Isolément, chaque événement est banal. Corrélés, ils forment un pattern d'attaque clair.

Le bon réflexe : C'est cette convergence physique-logique qui distingue un SOC de data center d'un SOC classique. Les équipes de sécurité physique et de cybersécurité ne doivent pas travailler en silo. L'alerte badge + l'alerte réseau doivent remonter au même écran, analysées par les mêmes personnes.

8. Journalisation et traçabilité côté opérateur

Si les enregistrements vidéo sont la preuve de ce qui se passe physiquement dans un data center, les logs sont la preuve de ce qui se passe numériquement. En cas d'incident, ce sont vos seuls éléments objectifs pour reconstituer la chronologie des événements.

Un opérateur doit conserver des journaux détaillés sur :

Les accès à ses systèmes d'administration (qui s'est connecté, quand, depuis où, pour faire quoi)

Les événements réseau sur l'infrastructure commune (connexions, tentatives échouées, anomalies de trafic)

Les modifications de configuration sur les équipements (changement de règle firewall, ajout d'un VLAN, mise à jour firmware)

Les événements de sécurité (alertes IDS, tentatives d'intrusion, escalades de privilèges)

Point clé : La durée de rétention est un point négociable mais crucial. Un minimum de 90 jours est recommandé, 12 mois pour les environnements sensibles. Au-delà de la durée, c'est l'intégrité des logs qui compte : ils doivent être protégés contre la falsification (chaînage cryptographique, horodatage certifié, stockage immuable). Un attaquant qui compromet un système essaiera toujours d'effacer ses traces.

9. Gestion des incidents cyber et plan de réponse

Que se passe-t-il quand l'opérateur détecte une compromission sur ses propres systèmes ? C'est le miroir exact de la communication de crise évoquée dans notre article sur la sécurité physique mais côté cyber.

Un plan de réponse aux incidents (IRP Incident Response Plan) doit définir clairement :

Les procédures d'escalade internes (qui est alerté, dans quel ordre, avec quel niveau de priorité)

Les délais de notification aux clients impactés (un engagement contractuel, pas une bonne volonté)

Le niveau de détail communiqué (nature de l'incident, périmètre impacté, mesures prises, recommandations)

La coordination avec les autorités compétentes (ANSSI, CNIL si des données personnelles sont concernées)

NIS 2 : les nouvelles obligations

La directive NIS 2, en cours de transposition en France via la « Loi Résilience », renforce considérablement les obligations. Les fournisseurs de services de centres de données sont explicitement classés comme entités essentielles dans les secteurs hautement critiques.

  • Notification d'incidents dans un délai de 24 heures pour l'alerte initiale
  • 72 heures pour le rapport intermédiaire
  • Sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial

Le PRA/PCA logique complète le PRA/PCA physique déjà évoqué dans notre précédent article. Côté logique, cela inclut les sauvegardes et la réplication des configurations critiques, la définition d'un RPO (Recovery Point Objective combien de données pouvez-vous vous permettre de perdre) et d'un RTO (Recovery Time Objective en combien de temps l'opérateur s'engage-t-il à restaurer le service), et des exercices réguliers de simulation d'incident cyber.

IV. Conformité et gouvernance logique

10. Certifications et qualifications : le volet logique

Notre article sur la sécurité physique détaillait déjà les certifications ISO 27001, SOC 2, PCI-DSS et les classifications Tier. Mais ces certifications ont également un volet logique qu'il faut examiner de près. Et deux qualifications spécifiquement françaises méritent une attention particulière.

ISO 27001 : les contrôles logiques

L'ISO 27001 couvre l'ensemble du système de management de la sécurité de l'information, y compris les aspects logiques : gestion des accès, chiffrement, sécurité des réseaux, gestion des incidents, continuité d'activité. Vérifiez que le périmètre certifié inclut bien les systèmes IT de l'opérateur (DCIM, réseau, portail client) et pas uniquement le bâtiment.

SOC 2 Type II : confidentialité et intégrité

Le rapport SOC 2 Type II évalue les contrôles internes sur 12 mois. Les critères de confidentialité et d'intégrité des traitements sont directement liés à la sécurité logique : comment l'opérateur protège les données de ses clients, comment il garantit que les traitements ne sont pas altérés.

SecNumCloud : la qualification souveraine

La qualification SecNumCloud, délivrée par l'ANSSI, est devenue la référence française pour la sécurité des services cloud. Basée sur l'ISO 27001 mais nettement plus prescriptive, elle couvre le chiffrement, la gestion des clés, l'isolation réseau, le contrôle d'accès et la traçabilité complète des actions. La version 3.2, actuellement en vigueur, impose également des exigences de souveraineté : les données doivent rester en France, exploitées par du personnel européen.

En 2025, le paysage SecNumCloud s'est considérablement élargi. OVHcloud a obtenu la qualification pour sa plateforme Bare Metal Pod, Orange Business pour Cloud Avenue SecNum déployée depuis son data center de Grenoble, et S3NS (alliance Thales-Google Cloud) pour son offre PREMI3NS. Sous l'impulsion de la doctrine « Cloud au centre » de l'État et de la future directive NIS 2, SecNumCloud devient un critère de sélection incontournable pour les organisations manipulant des données sensibles.

HDS : l'hébergement de données de santé

La certification HDS (Hébergeur de Données de Santé), délivrée par des organismes accrédités par le COFRAC, est obligatoire pour tout opérateur hébergeant des données de santé à caractère personnel en France. Elle impose des exigences spécifiques en matière de chiffrement, de contrôle d'accès, de traçabilité et de gestion des incidents. Si votre activité touche au secteur de la santé, cette certification est non négociable.

11. Le modèle de responsabilité partagée

C'est sans doute le concept le plus important et le plus mal compris de la sécurité en colocation. Qui est responsable de quoi ? La réponse n'est pas toujours évidente, et les zones grises sont nombreuses.

La règle générale est simple en théorie :

L'opérateur sécurise : le bâtiment, l'alimentation, le refroidissement, l'infrastructure réseau commune, ses outils de gestion, les accès physiques et logiques de son périmètre

Le client sécurise : ses serveurs, ses OS, ses applications, ses données, ses accès utilisateurs

Mais en pratique, les frontières se brouillent. Qui est responsable de la sécurité d'un cross-connect entre deux clients ? Du portail en ligne que vous utilisez pour gérer vos interventions ? D'un firewall mutualisé proposé en option ? Ce sont ces zones grises qui créent les failles.

Le bon réflexe : Exigez une matrice de responsabilité claire et formalisée, idéalement intégrée au contrat. Elle doit couvrir chaque composant de l'infrastructure : réseau, alimentation, refroidissement, sécurité physique, sécurité logique, sauvegarde. Pour chaque composant, qui est responsable de la mise en place, de l'exploitation et de la mise à jour de sécurité ?

Conclusion : la sécurité d'un data center est un tout

La sécurité logique n'est pas un sujet à part. C'est l'autre face de la même médaille. Un data center aux murs imprenables mais aux systèmes de gestion vulnérables est une forteresse avec une porte dérobée grande ouverte.

Le contexte réglementaire accélère cette prise de conscience. La directive NIS 2 classe désormais les data centers parmi les entités essentielles, avec des obligations de sécurité renforcées et des sanctions significatives. La qualification SecNumCloud s'impose comme le standard de référence pour les organisations manipulant des données sensibles. L'époque où la sécurité logique était une case à cocher est révolue.

Pour les DSI, cela signifie une chose : ne vous arrêtez pas aux cages et aux caméras. Lors de vos audits ou de vos appels d'offres, posez les questions logiques avec la même exigence que les questions physiques. La segmentation réseau, la gestion des vulnérabilités, la surveillance SOC, la traçabilité des logs chacun de ces sujets mérite une réponse précise et documentée.

C'est précisément l'ambition de Datalok.

Notre plateforme centralise les informations de sécurité des data centers physique et logique pour vous permettre de comparer objectivement les niveaux de protection, identifier les opérateurs qui répondent à vos exigences, et prendre des décisions éclairées. En quelques minutes, vous passez de l'intuition à la donnée. Visitez la Marketplace et trouvez l'espace de colocation parfait.

Partager :

Pour aller plus loin

Vous avez apprécié cet article ? Découvrez ces ressources complémentaires pour approfondir votre réflexion sur la sécurité et l'optimisation des data centers :