Test d’intrusion chez Thésée Datacenter, une première pour la sécurité du data center
C’est une première en France, un test d’intrusion grandeur nature dans un datacenter. L'exercice, exceptionnel, a réuni Thésée Datacenter, qui s’est mis en danger sur son site d’Aubergenville, son partenaire sur la sûreté Thalès, et la Police Nationale depuis le commissariat des Mureaux… avec le consentement des clients du datacenter.
Par Yves Grandmontagne, Rédacteur en chef de DCmag
De mémoire d’opérateur de la sûreté des data centers et de la Police Nationale, l’exercice n’avait jamais été réalisé : un test d’intrusion en réel dans un data center. Les objectifs pour les protagonistes sont multiples, depuis le test des moyens humains et techniques déployés par le datacenter, l’évaluation et le renforcement des procédures de sécurité, à l’expérimentation grandeur nature et la formation des capacités d’intervention de la Police Nationale.
Le test d’intrusion s’est tenu une nuit d’hiver pluvieuse, en présence d’observateurs, dont notre rédacteur en chef invité. Un exercice riche en enseignements, mais aussi de confidentialité s’agissant d’un lieu stratégique aux clients critiques en matière de sécurité, les opérateurs de datacenters et leurs clients nous comprendront, ainsi que pour les pratiques des forces de l’ordre qui se sont dévoilées dans un cadre réel.
De mémoire d’opérateur de la sûreté des data centers et de la Police Nationale, l’exercice n’avait jamais été réalisé : un test d’intrusion en réel dans un data center. Les objectifs pour les protagonistes sont multiples, depuis le test des moyens humains et techniques déployés par le datacenter, l’évaluation et le renforcement des procédures de sécurité, à l’expérimentation grandeur nature et la formation des capacités d’intervention de la Police Nationale.
Le test d’intrusion s’est tenu une nuit d’hiver pluvieuse, en présence d’observateurs, dont notre rédacteur en chef invité. Un exercice riche en enseignements, mais aussi de confidentialité s’agissant d’un lieu stratégique aux clients critiques en matière de sécurité, les opérateurs de datacenters et leurs clients nous comprendront, ainsi que pour les pratiques des forces de l’ordre qui se sont dévoilées dans un cadre réel.
De mémoire d’opérateur de la sûreté des data centers et de la Police Nationale, l’exercice n’avait jamais été réalisé : un test d’intrusion en réel dans un data center. Les objectifs pour les protagonistes sont multiples, depuis le test des moyens humains et techniques déployés par le datacenter, l’évaluation et le renforcement des procédures de sécurité, à l’expérimentation grandeur nature et la formation des capacités d’intervention de la Police Nationale.
Le test d’intrusion s’est tenu une nuit d’hiver pluvieuse, en présence d’observateurs, dont notre rédacteur en chef invité. Un exercice riche en enseignements, mais aussi de confidentialité s’agissant d’un lieu stratégique aux clients critiques en matière de sécurité, les opérateurs de datacenters et leurs clients nous comprendront, ainsi que pour les pratiques des forces de l’ordre qui se sont dévoilées dans un cadre réel.
Assurer la sécurité des policiers et des citoyens lors d’interventions policières
L’exercice de test d’intrusion a été mené en collaboration avec le commissariat de police Nationale des Mureaux. La commissaire de police Chloé Gant, cheffe du service local de sécurité publique des Mureaux et adjointe au chef de circonscription de police nationale Julien VERHAEGHE, a saisi l’opportunité de réaliser un exercice dans une entreprise en activité et qui plus est, stratégique sur la circonscription.
Commissaire Chloé GANT
commissariat des Mureaux DIPN78
Le scénario avait été conçu par des moniteurs FTSI (policier formateur aux techniques et à la sécurité en intervention) qui appartiennent au service départemental du recrutement et de la formation de la DIPN78. Leur travail au quotidien permet d’assurer la formation continue des personnels de tous les services du département aux gestes et techniques professionnels d’intervention, essentiels pour assurer la sécurité des policiers et des citoyens lors d’interventions policières. Ce sont ces mêmes moniteurs qui, le soir de l’exercice, ont encadré les policiers du commissariat des Mureaux participants.
Deux brigades appartenant à l’unité d’appui opérationnel de la circonscription de police Nationale des Mureaux ont participé à l’exercice : - la BAC (brigade anti-criminalité) ayant pour mission principale la recherche de flagrant délit, en civil, et seule unité du commissariat formée pour agir en 1er rideau lors de situation présentant un risque d’arme à feu ou terroriste. - la BST (brigade spécialisée de terrain), en tenue, ayant également pour mission la recherche de flagrant délit mais avec une action ciblée sur les zones appartenant au « Quartier de Reconquête Républicaine » des Mureaux.
Ces deux brigades, qui n’étaient pas au courant du scénario, ont donc dû s’adapter au fur et à mesure de la soirée et des informations qui leur étaient données.
Pourquoi mener un test d’intrusion ?
C’est un exercice nouveau pour un data center, qui selon Antoine FOURNIER, le PDG de Thésée, a été pour la première fois évoqué par l’un de ses clients. Thésée héberge des données sensibles voire critiques de clients, dont certains sont connus comme Outscale et France Télévision, qui ont investi sur les qualités du site d’Aubergenville certifié Tier IV par l’Uptime Institute, pour héberger leur informatique. Associé à son prestataire dans la sûreté et la cybersécurité Thalès, Thésée n’a pas hésité à se mettre en danger afin de rappeler que la sécurité n’est pas une option dans son data center. Pour Thésée, le test d’intrusion sera un révélateur.
Chez Thalès, pour Jean-Bernard YATA, Directeur de mission de cyberdéfense pour les industries et l’international, les interventions sur le test d’intrusion vont permettre de montrer le niveau sécurité du site. Et de rappeler : “notre client a sollicité un exercice d’intrusion physique qui est plus pertinent qu’un tabletop pas très opérationnel…”. Si ce test est une première dans le datacenter, l’exercice peut être applicable à d’autres industries, et il pourra être intéressant de le dupliquer sur d’autres types d’infrastructures.
Quant à la Police Nationale, représentée par la commissaire Chloé GANT de la DIPN78, elle mise sur l’opportunité qui lui a été offerte de réaliser un exercice dans une entreprise en activité, qui plus est stratégique, un lieu réel loin des friches et bâtiments vides où elle s’exerce habituellement pour des raisons de sécurité et d’éloignement évidentes. La Police Nationale était accompagnée par le SDRF, le service départemental du recrutement et de la formation de la police des Yvelines, présente sur les lieux afin d’apporter une dimension pédagogique recherchée.
Pour les protagonistes de l’exercice, les enjeux sont importants car les résultats pourraient peser sur les pratiques de sûreté du data center, ses outils, ses moyens humains, et sur ses clients, même s‘il s'agit d'un lieu réputé sécurisé. Thalès, avec son équipe RSSI externalisée, accompagne la conformité de Thésée, et attend de la sollicitation des forces de l’ordre des réponses à trois questions : combien de temps pour être sur site ; la capacité à mobiliser ; combien de temps pour neutraliser ? A l’issue de l’exercice se posera également la question des procédures à améliorer ou à mettre en œuvre pour faciliter les interventions.
Jean-Bernard YATA
Directeur de mission de cyberdéfense pour les industries et l’international
Thalès
Exit le fichier Excel et go sur les opérations de terrain
La corruption d’un gardien, par des activistes jusqu’aux terroristes, est une hypothèse plausible. Nous avons démontré que l’intrusion est possible, l’entrée sur le site, comme l’entrée des forces de l’ordre. Nous disposons maintenant de réponses à que fait-on et comment ça se passe ? L’expérience a également validé que ce type d’exercice devrait avoir lieu de manière plus régulière. Dans la vraie vie, c’est comme ça que ça va se passer, il faut s’y préparer.
Chez les clients qui ont un véritable besoin de connaître les modalités d’intervention, il serait important de proposer de réaliser ce type d’exercice de manière pertinente. Lorsque le risque est identifié, le réaliser permettrait de préparer les différentes interventions et d’être au plus proche de la réalité, afin de protéger les biens et les personnes. Se préparer à la vraie vie, avec des équipes de compétences, et en relation avec la Police et la Gendarmerie. C’est aux organismes de se préparer, de renforcer le côté opérationnel de certifications perçues comme suffisantes, par exemple ISO 27001, mais qui ne sont pas garantes de la sûreté.
Le déroulé de l’exercice d’intrusion
L’exercice repose sur un scénario qualifié de réaliste par les experts de Thalès : la complicité avec un gardien se retourne contre le data center et les forces de l’ordre. Dans le déroulé de l’intervention, dès que la moindre faille apparaît, il faut trouver un moyen d’intervenir malgré les niveaux de sécurité d’un bâtiment ultra sécurisé, qui pourrait se révéler être un frein pour les forces de l'ordre et un avantage pour les individus.
Voici donc qu’un véhicule se gare sur le parking extérieur du datacenter, que des individus s’en extraient et se dirigent vers le sas d’entrée. L’un d’entre eux s'adresse à l'agent de sécurité et lui déclare qu’ils interviennent en urgence à la demande d’un opérateur télécoms. Tandis qu’un autre applique un badge (que l’on imagine remis par un complice) pour franchir le tourniquet de sécurité. Les intrus sont dans l’enceinte extérieure du site. Ils se dirigent vers l’une des portes du datacenter et pénètrent dans le bâtiment…
Bon point pour l’agent de sécurité, qui n’a pas été averti de l’exercice : il lance la procédure d’alerte, avertit le responsable sécurité du site, alerte les forces de police, et continue d’activer le processus prévu. Il suit également la progression des intrus sur les caméras du poste de sécurité. Le commissariat et l’équipe RSSI de Thalès sont avertis, l’exercice va continuer son déroulé. Dans le quart d’heure qui suit, ce qui correspond au temps d'intervention des forces de police depuis le commissariat des Mureaux, deux véhicules de police se présentent devant les grilles du datacenter. En observateurs, l’équipe de direction de Thésée, l’équipe cyberdéfense de Thalès, des formateurs de la Police Nationale, et notre rédacteur en chef suivent les policiers, et prennent place dans le PC sécurité pour assister au déroulé des événements sur les écrans de sécurité.
Antoine FOURNIER
CEO Thésée Datacenter
Oser se mettre en danger pour améliorer sans cesse la sécurité pour nos clients
Chez Thésée, nous avons fait le choix d’ouvrir nos portes à un exercice d’intrusion grandeur nature, car la sécurité de nos clients, de leurs données et de nos équipes repose autant sur des infrastructures de pointe que sur notre capacité à anticiper les menaces concrètes.
Cet exercice, inédit dans notre environnement opérationnel, a permis de tester notre réactivité et la coordination entre les différents acteurs – police nationale, experts cybersécurité et nos propres équipes – dans un cadre réaliste.
Notre ambition est claire : aller au-delà des certifications, aussi indispensables soient-elles, en intégrant l’humain, le terrain, et des scénarios complexes dans notre approche de la résilience. Il ne s'agit pas seulement de conformité, mais de préparation active et partagée face aux risques.
Nous remercions la Police nationale et Thalès pour leur engagement à nos côtés dans cette démarche innovante et exigeante.
Les points forts de l’exercice, de notre point de vue
Nous ne dévoilerons pas tout ce à quoi nous avons assisté durant le test d’intrusion. Une partie de ce que nous avons vu et commenté avec les protagonistes de l’exercice relève de la confidentialité. De même, l’agent de sécurité depuis le PC aurait pu verrouiller tous les accès, ce qui n’a pas été fait afin de permettre la poursuite de l’exercice. Nous pouvons cependant partager quelques points constatés.
Le scénario intègre un blessé chez les intrus. Dans leur progression dans le bâtiment, les forces de police vont tomber sur un individu baignant dans son sang. La blessure implique un acte violent de la part d’un des intrus. Le niveau d’alerte de l’intervention est alors élevé d’un cran. Face au danger, la BAC (brigade anticriminalité) est appelée. C’est elle qui, spécialement équipée, (casque, bouclier, arme lourde…), prendra le relai pour poursuivre la recherche des intrus devenus dangereux. Les services de secours sont également appelés pour prendre en charge le blessé, sous la protection des forces de l’ordre. Cette série d’événements vient rappeler la dangerosité potentielle des intrusions, et le risque pris par les forces de l’ordre.
Un constat important porte sur la difficulté d’évoluer dans un site hautement sécurisé. Les forces de police, rapidement équipées de badges à leur passage au PC sécurité, vont se heurter à la pratique des badges pour ouvrir les portes. Une difficulté plus sensible encore pour les membres des forces de l’ordre. “Personne n’aurait pu imaginer la difficulté de porter un fusil d’assaut et en même temps de désolidariser une main pour badger, constate Jean-Bernard YATA. C’est une mise en danger par rapport aux procédures”.
Un dernier constat, de nouveau lié à la sécurité du site : un data center sécurisé dans les règles de l’art dispose d’équipements que pourraient exploiter les forces de l’ordre. En particulier des caméras en nombre situées à des emplacements stratégiques, des caméras thermiques à l'extérieur, le contrôle centralisé de la fermeture des portes, et un lieu unique pour tout voir : le PC sécurité. Habituées à intervenir par leurs propres moyens, les forces de l’ordre trouveront un intérêt certain à s’approprier ces outils, ce qui n’a pas été le cas durant l’exercice. Petit bémol lié à certaines limites physiques, dans les salles serveurs, barrières et confinements font office de cage de Faraday, les téléphones ne communiquent plus. La fibre y est au top mais la communication sans fil a ses limites.
Après la capture des intrus, et une dernière intervention sur un individu victime d’une alerte cardiaque dans une salle serveur, ce qui nécessitera l’usage d’un défibrillateur - le data center en dispose en nombre et aux emplacements indiqués sur les cartes des lieux -, un débriefing rapide réunit les équipes de Thésée, de Thalès et de la Police Nationale. Cette dernière assurera son propre débriefing, puis consacrera une partie du reste de la nuit à rejouer certaines situations rencontrées durant l’exercice au titre de la formation.
Enrichir l’expérience et la gestion des risques
Pour l'ensemble des protagonistes du test d’intrusion, l’exercice est un succès. Pour la Police Nationale, cet exercice a permis de travailler leurs techniques d’intervention, en milieu clos, dans un lieu unique et toujours en activité.
Pour Thésée et son partenaire Thalès, la mise en condition réelle des procédures, sans dégrader les procédures d’intervention et sans se mettre en danger, est un succès. Ainsi va du constat que le gardien a appliqué les bons réflexes. Pour autant, de nombreux points peuvent être améliorés, et les procédures vont l’être, voire complétées. Par exemple, pour faciliter la mission des forces de l’ordre. Ce type d’exercice doit permettre d’enrichir, par l’exemple et l'expérience, la gestion des risques.
Un des enseignements pour la mise à jour éventuelle des procédures devrait aboutir à la création d'un livret d’accueil des forces de l’ordre pour documenter le lieu. L’emplacement des portes, le mode d’ouverture ou de fermeture des portes techniques, ou encore plus simplement le nombre d’étages sont autant d’informations qui à un moment de l’intervention ont manqué aux forces de Police.
Mais la principale conclusion du test d’intrusion revient à la commissaire Chloé GANT, à qui nous avons demandé ce qu’avec son expérience de la sécurité des biens et des personnes elle pense de la sécurité du datacenter ? « Nous ne pouvons que constater le niveau très élevé de sécurité qui a posé des difficultés aux forces de l’ordre elles-mêmes. Il paraît extrêmement difficile voire quasi impossible pour des individus de s’introduire dans l’enceinte de Thésée et si cela devait arriver, ils auront une multitude d’étapes bloquantes qui ne leur permettront pas d’atteindre le cœur du réacteur ».
La conclusion va certainement plaire aux clients de Thésée Datacenter, et à son CEO Antoine FOURNIER, dont nous rappellerons qu’il a pris le risque de se mettre en danger en autorisant le test d’intrusion !
LIVRAISON IMMÉDIATE
Parce que chaque minute compte !
FIABILITÉ & SÉCURITÉ
Un site de niveau Tier III avec une redondance complète
PILOTAGE INTELLIGENT
Thésiris, notre portail client, vous permet de gérer votre infrastructure à distance en toute simplicité
