Qu'est-ce que la sécurité des data centers ?

Principaux enseignements en matière de sécurité des data centers

• La continuité opérationnelle est une métrique clé pour la sécurité des data centers. Une faille de sécurité dans vos systèmes de gestion des bâtiments (OT) est désormais tout aussi susceptible de provoquer une panne totale qu'une attaque au niveau du réseau.
• Le gap « infrastructure locale au cloud » est votre plus grand angle mort de sécurité. Les assaillants utilisent de plus en plus le mouvement latéral à partir de systèmes informatiques secondaires pour saboter les systèmes physiques de refroidissement et d'alimentation électrique.
• L'infrastructure IA au sein d'un data center IA a besoin d'une posture de sécurité axée sur les performances. Vous ne pouvez pas laisser les agents de sécurité traditionnels taxer les cycles de calcul des clusters d'apprentissage automatique et d'IA à haute densité.
• À mesure que les stratégies pirates de collecte immédiate et déchiffrement différé s'accélèrent, prenez dès aujourd'hui en compte l'exposition à long terme de vos données chiffrées afin de préparer votre entreprise aux impacts futurs.

La sécurité des data centers est la gestion unifiée des expositions au risque cyber sur tous les systèmes qui assurent le fonctionnement de votre infrastructure, des systèmes OT, IoT et cyber-physiques à la base, aux systèmes IT, cloud, identité, IA et aux applications web. 

Si vous vous appuyez sur des outils de sécurité cloisonnés et des systèmes réactifs de détection et de réponse aux menaces, vous n'aurez jamais la visibilité proactive de bout en bout dont vous avez besoin pour sécuriser votre data center. 

C'est parce que votre ancien périmètre de sécurité, composé de pare-feu et de contrôles d'accès, appartient à une autre époque, celle où les data centers étaient synonymes de salles de serveurs traditionnelles, et non des factories IA haute densité qu'ils sont aujourd'hui. Les data centers modernes ont une envergure industrielle, avec des vulnérabilités physiques, opérationnelles et liées à la supply chain que les outils de sécurité n'avaient jamais anticipées, mais que les attaquants sont désireux d'exploiter.

Les menaces de sécurité des data centers incluent désormais tout ce qui perturbe les opérations, depuis les pannes internes de distribution d'énergie jusqu'aux dommages à l'infrastructure physique et aux compromissions de la supply chain. 

Identifier et atténuer ce risque signifie obtenir une visibilité sur chaque asset, et ce sur l'ensemble de votre paysage opérationnel et numérique. 

La gestion unifiée de l'exposition vous offre une vue unique de votre risque cyber sur une surface d'attaque complexe de data centers que votre équipe a construite pièce par pièce. Cela aligne votre manière de défendre votre infrastructure avec la façon dont les attaquants s'y déplacent réellement : sans limites.

Dans un data center, vous gérez une empreinte où les assets physiques et numériques sont indissociables. 

Une vulnérabilité un contrôleur logique programmable (PLC) d'une installation centrale ou une mauvaise configuration des systèmes internes de distribution électrique est désormais un risque cyber de premier ordre. Dans un environnement haute densité, la perte d'alimentation de ces systèmes, même pendant une microseconde, peut entraîner la défaillance simultanée de centaines de serveurs.

Si un attaquant sabote votre système HVAC, l'impact sur un centre hyperscale de 100 MW, qui nécessite jusqu'à 28 500 tonnes de refroidissement, est immédiat. En trois à huit minutes, les CPU brideront leurs performances, et en 9 à 15 minutes, le cluster s'arrêtera complètement, causant des dommages matériels catastrophiques. 

Pour sécuriser votre data center, vous devez combler le gap de visibilité entre le sous-sol (votre alimentation et votre refroidissement) et l'ensemble de votre pile de calcul, notament les unités de traitement graphique (GPU) haute performance, les modèles d'IA propriétaires qu'elles exécutent et les identités qui y accèdent.

Vous souhaitez mieux gérer la sécurité de votre data center dans une plateforme de gestion de l'exposition unique ? Découvrez comment dans Tenable One.

Les attaques convergentes qui relient les installations physiques aux réseaux numériques peuvent dépasser la capacité de la plupart des équipes de sécurité des data centers à effectif réduit. Cette vulnérabilité découle d'une différence fondamentale de langage et d'équipes en silo. Les responsables des installations surveillent la santé mécanique, tandis que les analystes du centre d'opérations de sécurité (SOC) surveillent les anomalies au niveau du bit. 

Lorsqu'un refroidisseur envoie une alerte mécanique, un analyste SOC la rejette généralement comme un problème de maintenance. Ils n'ont tout simplement pas le contexte pour le reconnaître comme la première étape d'une attaque par arrêt thermique.

La estion de l'exposition y remédie en vous débarrassant de la corrélation manuelle des données et en cartographiant automatiquement l'intégralité du chemin d'attaque. Tenable One, par exemple, combine les informations sur les installations avec les vulnérabilités IT pour vous donner le pourquoi derrière les anomalies mécaniques et révéler l'intention de sécurité que la surveillance traditionnelle ne détecte pas.

Le score AES (Asset Exposure Score) pondère la criticité des assets, afin que votre équipe prenne des décisions basées sur le contexte opérationnel et de menace réel. Par exemple, une menace de refroidissement pour un cluster GPU de 100 MW ne devrait jamais rester dans la même file d'attente qu'un correctif logiciel de routine sur un serveur périphérique, et avec Tenable One, ce ne sera pas le cas. Vous évitez le goulot d'étranglement du triage et passez directement aux remédiations qui font vraiment bouger les choses en matière de risque.

La plupart des équipes des installations et des équipes SOC ne se parlent pas suffisamment, et cette lacune constitue un problème de sécurité.

Au lieu d'affronter un pare-feu d'entreprise renforcé, les attaquants peuvent aujourd'hui utiliser les systèmes de gestion des bâtiments (BMS) ou les alimentations sans interruption (UPS) comme points d'entrée et passer par ces contrôleurs négligés et en réseau pour atteindre directement votre pile de calcul principale.

Une fois à l'intérieur, ils peuvent ajuster les commandes de température et d'humidité pour forcer un arrêt thermique, ou pivoter latéralement et extraire des données des serveurs que ces systèmes de refroidissement maintiennent en vie. La plupart des équipes ne s'en rendent pas compte parce qu'elles observent les technologies de l'information et de la communication à travers des lentilles distinctes.

La gestion de l'exposition élimine ce manque de visibilité. Lorsque vous rassemblez les données de l'OT, de l'IT et de toutes les autres composantes de votre surface d'attaque au sein d'une vue unique et centralisée, vous pouvez visualiser comment vos contrôleurs d'installations et votre pile de calcul se connectent. Votre SOC dispose d'une visibilité sur le chemin d'attaque d'une installation avant qu'un adversaire ne puisse l'exploiter.

Et, lorsque vous quantifiez les risques sur tous les environnements simultanément, vous cessez de faire des suppositions cloisonnées et commencez à déployer une défense proactive qui couvre l'intégralité de votre chaîne opérationnelle.

Refroidissement et alimentation : systèmes de maintien en opération des data centers

Les dépendances critiques créent également un risque significatif au sein d'un data center. 

Selon l Analyse annuelle des pannes 2025 de l'Uptime Institute, l'alimentation électrique reste la principale cause des pannes importantes, tandis que les problèmes informatiques et de réseau représentent désormais près d'un quart de toutes les défaillances significatives.

En 2023, un dysfonctionnement du système de refroidissement d'un grand data center de Singapour a interrompu 2,5 millions de transactions bancaires. De même, fin 2025, un incendie de batterie lithium-ion de 22 heures en Corée du Sud a entraîné la perte de 858 To de données. Ces événements soulignent la nécessité de la sécurité OT dans le cadre de votre programme de gestion de l'exposition pour surveiller vos UPS, unités de distribution d'énergie (PDU) et systèmes de détection précoce de fumée (VESDA). 

Convergence IT/OT et accès physique

La sécurité des centres de données est désormais une question de mouvement latéral entre deux mondes auparavant isolés, créant un défi de sécurité IT/OT convergente où un seul accès phishing sur votre réseau d'entreprise peut permettre aux attaquants d'accéder aux caméras de sécurité physique, aux lecteurs de badges ou aux contrôles de l'environnement.

Pour empêcher les attaquants d'accéder aux serveurs, il faut surveiller l'exposition des identités afin de s'assurer que les attaquants ne peuvent pas utiliser des informations d'identification compromises pour déverrouiller les salles de serveurs ou désactiver les alarmes physiques.

En effectuant une analyse du chemin d'attaque (de votre surface d'attaque externe à vos actifs critiques internes), vous pouvez voir comment un serveur web exposé peut mener à une violation physique. Vous devez considérer votre centre de données comme un tissu continu de risques afin de le sécuriser de manière proactive.

Menaces physiques spécifiques

La mise à l'échelle de l'infrastructure modulaire de votre centre de données pour prendre en charge des racks à haute densité introduit des vulnérabilités physiques qui ne font pas toujours l'objet d'une surveillance numérique. En voici quelques-unes qui prennent les équipes au dépourvu :

• De nombreux data centers exploitent des systèmes de stockage d'énergie par batterie (BESS) et une production d'énergie sur site pour les charges de travail d'IA. La consommation électrique est énorme. La connexion entre le réseau électrique et votre data center est une cible privilégiée pour les acteurs étatiques cherchant à provoquer des perturbations régionales.
• Si vous utilisez encore des disques durs physiques pour le stockage secondaire, l'extinction des incendies est une menace que la plupart des RSSI ne voient jamais venir. Un déclenchement VESDA à fort niveau sonore provoque des libérations de gaz, comme l'Inergen, le FM200. Bien que le gaz n'endommage pas les circuits, la pression acoustique de la décharge crée des vibrations suffisamment fortes pour briser physiquement les plateaux de disques durs.
• Les composants vieillissants constituent également un risque pour la sécurité. Les batteries lithium-ion arrivées en fin de vie peuvent présenter des risques d'incendie. Lorsque ces systèmes tombent en panne, les coûts de remplacement du matériel et les temps d'arrêt pèsent généralement plus lourd que la plupart des brèches de données.

La gestion de l'exposition ingère des informations des contrôleurs BESS et des données de cycle de vie du matériel. Une plateforme d'évaluation de l'exposition (EAP) peut identifier les composants électriques vieillissants ou les assets périphériques non patchés comme des points d'entrée à haut risque. La priorisation basée sur le risques dicte alors le remplacement du matériel en fonction des niveaux de menace réels, et non selon des calendriers de maintenance arbitraires. 

Lorsque vous synchronisez ces métriques de santé physique avec votre SOC, vous empêchez les attaquants d'exploiter la dégradation structurelle de votre data center pour accéder à vos assets numériques.

Dans un environnement d'IA à haute densité, la quantité de communication inter-nœuds peut submerger la sécurité périmétrique traditionnelle. 

Les pare-feu standard gèrent le trafic nord-sud. Ils ne peuvent pas suivre les pics est-ouest massifs et à faible latence qu'exige l'entraînement distribué, où des milliers de GPU doivent synchroniser les paramètres en parallèle sans créer de goulots d'étranglement.

La gestion de l'exposition résout ce compromis performance-sécurité en cartographiant les voies de communication spécifiques entre ces clusters de GPU pour détecter les mouvements latéraux sans interrompre le flux d'entraînement. 

En corrélant ces données réseau à haut débit avec la criticité des assets, la gestion de l'exposition identifie les mouvements de données non autorisés au sein de la matrice est-ouest avant qu'un adversaire ne puisse exploiter le débit massif du cluster.

Élimination de la taxe sur la performance des ordinateurs

Lorsque vous exécutez des charges de travail d'entraînement de données d'IA et d'apprentissage automatique de haute performance au sein de votre data center, chaque cycle de calcul est un atout précieux. 

Les agents de sécurité traditionnels imposent souvent une taxe de performance que les modèles d'IA ne peuvent pas se permettre. Cette taxe fait référence à la consommation de cycles de calcul précieux et à l'injection de latence dans les pipelines de données par les logiciels de sécurité traditionnels. 

Parce que les charges de travail d'IA et d'apprentissage automatique à haute densité et les clusters de GPU nécessitent chaque once de puissance disponible pour l'entraînement et l'inférence, tout frein aux performances augmente directement le temps d'entraînement pour les grands modèles linguistiques, transformant la sécurité en goulot d'étranglement. 

Pour éviter les goulots d'étranglement, optez pour une approche sans agent avec une gestion de la surface d'attaque basée sur une évaluation hybride et adaptative :

• Déportez le traitement de la sécurité du CPU/GPU hôte vers des unités de traitement de données spécialisées (DPU) pour obtenir une visibilité approfondie sur l'hôte et l'hyperviseur sans affecter les cycles de calcul dont vous avez besoin pour l'entraînement de modèles.
• Effectuez l'inspection approfondie des paquets sur le trafic est-ouest, y compris le VXLAN, à la vitesse de ligne. Vous pouvez détecter les anomalies et les mouvements latéraux sans introduire de latence dans vos pipelines de données.
• Utilisez la segmentation « Zero Trust » afin qu'une vulnérabilité dans une PDU ne puisse pas devenir un point d'ancrage dans un cluster de formation à haute performance.
• Auditez votre pile logicielle cloud et IA, y compris les couches d'orchestration comme Kubernetes et les bibliothèques de modèles spécialisées, en utilisant l'analyse basée sur des instantanés pour trouver les vulnérabilités et les mauvaises configurations sans placer de charge active sur un cluster GPU.

Lisez « Securing AI data centers » (Sécuriser les data centers IA) pour en savoir plus sur cette approche non disruptive.

Sécurisation de vos données d'entraînement d'IA et du cycle de vie de l'apprentissage automatique

La sécurité de votre data center devrait suivre les données depuis les pipelines d'ingestion dans votre couche de stockage jusqu'aux points de terminaison d'inférence qui desservent vos utilisateurs, afin de prévenir :

• Empoisonnement du modèle : accès latéral non autorisé aux niveaux de stockage haute performance où résident les ensembles de données d'entraînement.
• Injection rapide : entrées malveillantes ciblant les points de terminaison de service d'inférence exécutés sur vos clusters de production.
• Shadow AI : Des employés ou des développeurs qui déploient des modèles d'IA non autorisés, créant des zones d'ombre où les systèmes traitent des données sensibles sans la supervision de la sécurité de l'entreprise.

La gestion continue de l'exposition cartographie l'intégralité de votre lignée de données et identifie les mauvaises configurations dans l'infrastructure de diffusion de modèles. La corrélation de ces vulnérabilités avec les risques liés aux installations physiques garantit qu'une brèche dans votre système de refroidissement ou une API non corrigée ne peut pas compromettre l'intégrité de vos systèmes.

L'IA Agentique représente un risque important pour votre data center. Ces systèmes d'IA prennent des décisions autonomes pour alimenter des malwares polymorphes qui réécrivent leur propre code à la volée et des agents de reconnaissance automatisés qui analysent des pétaoctets de trafic pour trouver des micro-vulnérabilités plus vite que n'importe quel humain ne le pourrait.

Pour contrer les risques liés à l'IA dans votre data center, effectuez des évaluations régulières des vulnérabilités de vos agents d'IA autonomes afin de vous assurer que des acteurs malveillants ne les ont pas empoisonnés avec des instructions malveillantes qui altèrent la logique de sécurité.

Utilisez la gestion de l'exposition pour atténuer cette menace en analysant les journaux de comportement et les ensembles d'autorisations de chaque agent autonome au sein de votre infrastructure de calcul. En identifiant les agents dotés de privilèges excessifs ou les modifications non autorisées apportées au jeu d'instructions d'un agent, la gestion de l'exposition empêche les attaquants de retourner votre propre automatisation contre votre infrastructure.

Attaques de connexion centrées sur l'identité : Deepfakes et contournement de l'AMF

Les adversaires passent également de « s'introduire » à « se connecter ». Aujourd'hui, ils exploiteront tout aussi facilement l'élément humain de votre data cebnter en incitant quelqu'un à leur fournir des identifiants, qu'une vulnérabilité connue. Pour défendre ce périmètre, vous avez besoin d'une sécurité centrée sur l'identité.

Voici quelques méthodes d'attaque qui pourraient impacter votre centre de données :

• Les attaquants utilisent la voix et la vidéo générées par IA pour usurper des identités.
  • En outre, les caméras compromises permettent aux adversaires de lire les codes PIN aux points d'entrée ou de capturer les visages des opérateurs à des fins de chantage et d'ingénierie sociale.
  • La gestion de l'exposition détecte ces anomalies en corrélant les requêtes d'accès inhabituelles avec les données de télémétrie comportementale de référence et les scores de réputation des appareils.
• Attaques par adversaire intercepteur (AiTM) et bombardement de notifications push.
  • Ces éléments aident les extorqueurs à contourner l'authentification multifacteur (MFA) en volant des jetons de session actifs.
  • Une plateforme de gestion de l'exposition atténue ce risque en identifiant les configurations de session vulnérables et en signalant les modèles d'authentification à haut risque qui indiquent le vol de jetons ou des notifications push excessives.
• L'exploitation des chemins d'attaque Active Directory tire parti de points d'entrée compromis.
  • Une fois que les attaquants ont obtenu un accès physique par le biais d'un piratage du système de badges, ils peuvent installer des modules de piratage matériel pour contourner les pare-feu, établir un accès à distance persistant et déclencher des incidents catastrophiques de déni de système.
  • La gestion de l'exposition cartographie ces relations d'identité complexes, révélant les chemins cachés menant d'un asset d'installation de bas niveau à vos contrôleurs de domaine les plus sensibles avant qu'un attaquant ne puisse les exploiter.
• Les attaques par relais d'identifiants exploitent les méthodes MFA traditionnelles en interceptant et en rejouant les jetons d'authentification en temps réel.
  • Les attaquants peuvent ainsi contourner les contrôles de sécurité, même lorsque les utilisateurs se sont authentifiés par des voies légitimes.
  • La gestion de l'exposition perturbe ces attaques en cartographiant des comptes de service spécifiques et des protocoles hérités, comme un gestionnaire de réseau local de nouvelle technologie (NTLM), qui permet le relais de jetons. Quand vous pouvez identifier tous les points d'étranglement où ces comptes sont liés à des assets critiques pour l'entreprise, vous pouvez prendre des mesures pour désactiver les configurations sujettes au relais avant qu'un adversaire ne les exploite comme arme.

Récolter maintenant, décrypter plus tard

La stratégie « récolter maintenant, décrypter plus tard » (HNDL) est une préoccupation majeure pour les data centers qui stockent des données sensibles à long terme. Les adversaires siphonnnent aujourd'hui des données chiffrées dans l'intention de les déchiffrer une fois que des ordinateurs quantiques cryptographiquement pertinents seront disponibles. 

Selon les directives de la CISA sur les catégories de produits pour les technologies utilisant des normes de cryptographie post-quantique, vous devez donner la priorité à la migration des systèmes à fort impact et des fonctions critiques nationales (FCN) vers la cryptographie post-quantique (PQC) afin de vous défendre contre la collecte de données à long terme.

Étant donné que les cycles de vie des data centers sont longs, le matériel que vous installez aujourd'hui doit être prêt pour le quantique afin d'éviter d'être obsolète dans les prochaines années. 

La gestion de l'exposition soutient cette migration avec un inventaire continu de vos assets cryptographiques. Il peut repérer des cas spécifiques de chiffrement ancien, comme le chiffrement Rivest-Shamir-Adleman (RSA) ou la cryptographie à courbe elliptique (ECC), au sein de votre pile logicielle et de vos niveaux de stockage cloud. 

En identifiant ces algorithmes vulnérables avant qu'ils ne soient obsolètes, vous pouvez appliquer systématiquement les normes PQC en priorité à vos assets de données les plus précieux.

Des outils de sécurité déconnectés et cloisonnés créent des angles morts dans votre stratégie de sécurité de data center. Une approche plus unifiée, telle que la gestion de l'exposition, considère l'ensemble de votre environnement convergent comme une surface d'attaque unique.

Au lieu de naviguer dans plusieurs dashboards, Tenable One unifie les données de l'ensemble de votre entreprise en un score d'exposition unique. La consolidation de ces données dans une vue unique aide votre équipe de sécurité à intercepter les chemins d'attaque complexes et inter-domaines avant qu'ils ne provoquent des temps d'arrêt opérationnels.

Votre stratégie de sécurité pour votre data center doit également satisfaire à des normes de conformité rigoureuses en matière de sécurité des data cebters, telles que NERC CIP pour les systèmes d'alimentation et NIS2 pour la résilience des infrastructures. 

Tenable One vous offre une visibilité continue et automatisée sur chaque asset et exposition de votre data center afin d'améliorer en permanence la conformité.

Téléchargez le Guide du responsable sécurité sur la gestion de l'exposition pour découvrir comment une plateforme unifiée de gestion de l'exposition peut simplifier le reporting réglementaire.

À mesure que de plus en plus de data centers sont construits pour alimenter l'économie numérique en constante évolution, à travers le cloud, l'IA, le quantique et plus encore, plusieurs questions récurrentes se posent. Nous allons répondre à quelques-unes d'entre elles. 

Quels sont les principaux risques pour la sécurité des données en 2026 ?

Les plus grands risques en 2026 concernent les attaques convergentes IT/OT, où un adversaire se déplace latéralement depuis un réseau d'entreprise pour saboter des composants physiques comme le refroidissement ou l'alimentation électrique, ou s'en prend à vos assets numériques. Au-delà de cela, l'IA agentique modifie la vitesse à laquelle les attaques peuvent s'intensifier, et la collecte de données chiffrées devient une réelle préoccupation alors que les équipes se préparent à la future décryption quantique.

Quelle est l'incidence de l'IA sur la sécurité des données ?

Les équipes de sécurité utilisent la gestion de l'exposition pilotée par l'IA pour prédire les chemins d'attaque avant l'exploitation. Les attaquants utilisent l'IA agissante pour automatiser les exploits plus rapidement que la plupart des équipes ne peuvent réagir. De plus, la sécurisation des charges de travail d'apprentissage automatique haute densité et des données pour entraîner l'IA signifie que votre stratégie de sécurité IA doit protéger le matériel sans nuire aux performances de calcul.

Pourquoi la sécurité OT est-elle critique pour les data centers ?

OT gère les systèmes de support critiques des data cebters, tels que le CVC et l'onduleur. Étant donné que ces systèmes sont sur un réseau, une cyberattaque peut déclencher des conséquences physiques comme la surchauffe ou un incendie. Ce type de défaillance provoque généralement plus de temps d'arrêt qu'une brèche logicielle traditionnelle, et il est beaucoup plus difficile de s'en remettre.

Demandez une démo pour découvrir comment Tenable One peut vous aider à simplifier votre stratégie de sécurité des data centers.