Data centers : des incendies rares, une préoccupation constante
Comment considérer le risque incendie dans un data center ? Pour répondre à cette question, nous avons recueilli le point de vue et le retour d’expérience de deux exploitants. Tout en tentant de mesurer l’impact de l’événement du 10 mars 2021 sur les mentalités et les pratiques.
OVH, quelles leçons ?
Parmi les sources les plus fréquentes de pannes significatives et d’arrêt de fonctionnement de data centers, le rapport annuel d’Uptime Institute[1] de 2020 cite :
- la perte d’alimentation électrique (37 %) ;
- les problèmes logiciel ou d’erreur système (22 %) ;
- les dysfonctionnements du réseau (17 %) ;
- le système de refroidissement (13 %).
Statistiques incendie
Qu’en est-il du risque incendie ? Aucun incendie n’a été répertorié (0 %) cette année-là, tandis que les systèmes d’extinction, par leurs déclenchements intempestifs, interviennent pour leur part dans les incidents à hauteur de 4 %.
Pour se convaincre que les incendies sont rares dans le monde du data center, il suffit d’observer les séries longues : la base de données d’incidents anormaux de l’Uptime Institute, qui documente plus de 8 000 incidents partagés par les membres depuis sa création en 1994, enregistre 11 incendies dans des centres de données, soit moins de 0,5 par an. Alors même que les centres de données se multiplient dans le monde en raison de besoins croissants pour le stockage des données.
Equinix, 11 data centers en France
Quittons cependant ces froides statistiques pour plonger dans les préoccupations brûlantes d’un responsable de data centers. Nicolas Buono est directeur des opérations pour Equinix en France. La société américaine conçoit, construit et exploite des centres de données dans le monde entier. Présente en France depuis 1999, elle dispose de 11 sites dans l’Hexagone, principalement en région parisienne. L’entreprise emploie 300 salariés en France, dont 200 dédiés directement aux opérations.
Ce sont ces équipes opérationnelles qui contribuent au bon fonctionnement des data centers 24 h/24, en assurant la disponibilité de service permanente et la sûreté de fonctionnement. La production et la distribution électrique, la production et la distribution de froid, la maintenance du bâtiment et de ses infrastructures, le câblage et la connectivité, la détection intrusion, la vidéosurveillance et la protection incendie font partie des compétences de ces équipes opérationnelles.
Les domaines requérant une expertise spécifique, comme les frigoristes ou les dieselistes, sont confiés à des prestataires extérieurs.
Électricité et risque incendie
« Dans un data center, l’électricité c’est le nerf de la guerre, explique Nicolas Buono. En même temps, l’électricité constitue l’un des risques les plus importants. Pour les personnels, concernant le risque électrique en milieu de travail. Mais aussi parce qu’elle représente une source potentielle d’incendie. D’autant que l’usage de l’électricité est très présent et très dense dans nos locaux. »
L’ensemble des sites, des plus anciens (1999) aux plus récents (2022), font l’objet d’une évaluation des risques et des menaces, mise à jour tous les ans. La politique de sécurité qui en découle comporte des aspects de personnels, des aspects de procédures et des aspects d’équipements.
Sensibilisation et formation
La sécurité étant l’affaire de tous, le risque incendie n’échappe pas à la règle chez Equinix. « Il est beaucoup plus facile de se dire que l’ensemble des personnels et des clients sont des acteurs du risque incendie, plutôt que de considérer que l’on est seul aux commandes, décrit le directeur des opérations. En particulier, nous essayons de sensibiliser le plus possible nos clients à la gestion du risque incendie. Nous leur envoyons des notifications, nous faisons des rondes et des signalements, notamment concernant l’entreposage de matières inflammables. »
L’entreprise mise sur l’humain. Tous les sites bénéficient d’une présence d’exploitants et d’agents Ssiap 24 h/24, ces derniers provenant d’une entreprise extérieure. Les salariés sont tous formés équipiers de première intervention, sauveteur international du travail et sont titulaires d’une habilitation électrique. Les bâtiments sont évacués deux fois par an, au cours d’exercices « surprises ».
Contrôles et vérifications
Un data center comprenant généralement un stockage de carburant, l’utilisation de batteries et de groupes électrogènes, de fluides frigorigènes ou d’extinction, les sites tombent sous la coupe du code de l’environnement et du régime des ICPE, en fonction des rubriques et des seuils concernés. À ce titre, les sites sont connus des Dreal et des pompiers, qui peuvent exercer leur œil avisé sur les moyens et les mesures de protection mis en œuvre dans le cadre de la sécurité incendie.
Un autre acteur est indispensable. « Nous faisons régulièrement l’objet de visites techniques de nos assureurs, explique Nicolas Buono. Cela constitue une véritable démarche d’expert et d’amélioration continue. Généralement, les assureurs repartent en nous confiant une liste de points à améliorer, c’est très constructif ».
Sur le plan de la détection incendie, l’ensemble des bâtiments fait l’objet d’une maintenance deux fois par an. Toujours sur le volet maintenance, le prédictif et le préventif sont généralement privilégiés au curatif et au correctif. C’est ainsi que l’ensemble des équipements électriques basse tension bénéficient d’un passage à la thermographie infrarouge, tous les ans. Sur les équipements électriques haute tension, c’est un passage aux ultrasons qui est appliqué. Un bureau de contrôle accrédité par le ministère du Travail vient effectuer des vérifications périodiques des installations électriques, avec la délivrance d’un certificat.
Dans un data center, la présence humaine est constituée du personnel exploitant, de prestataires extérieurs et de clients. Depuis l’incendie d’OVHcloud, la sensibilisation au risque incendie est en ligne de mire au sein d’Equinix, particulièrement en direction des prestataires.
Technologies de détection et d’extinction
« Il n’y a pas un placard à balais qui ne comporte pas de détection incendie ! »
Nicolas Buono, directeur des opérations chez Equinix France.
En matière de matériels, la détection et l’extinction font bien sûr l’objet de toutes les attentions. Locaux, faux plafond, armoires, 100 % des volumes sont protégés… « Il n’y a pas un placard à balais qui ne comportent pas de détection incendie ! », mentionne le responsable des opérations.
En fonction des sites et leur génération, les technologies d’extinction automatique mises en œuvre ne sont pas les mêmes. « Nous utilisons des gaz inhibiteurs, du brouillard d’eau, ou du sprinklage, précise Nicolas Buono. Aujourd’hui, nous revenons au sprinklage sur les salles les plus récentes. Car les dispositifs de refroidissement comportent des flux d’air soufflés à très haute vélocité à l’extrémité de la salle, les volumes et densités électriques et thermiques étant très importants. Même si le potentiel de nuisance du sprinklage sur un serveur est supérieur au brouillard d’eau, en cas d’incendie le premier sera plus efficace que le second. De toute façon, en cas de déclenchement de l’extinction automatique, le fonctionnement de l’équipement sinistré est clairement compromis. »
dispositifs de refroidissement comportent des flux d’air soufflés à très haute vélocité à l’extrémité de la salle, les volumes et densités électriques et thermiques étant très importants. Même si le potentiel de nuisance du sprinklage sur un serveur est supérieur au brouillard d’eau, en cas d’incendie le premier sera plus efficace que le second. De toute façon, en cas de déclenchement de l’extinction automatique, le fonctionnement de l’équipement sinistré est clairement compromis. »
Gestion de crise
On l’a vu, le lien et la communication restent constants avec les clients. C’est le cas notamment lors de fausses alertes incendie, qui déclenchent automatiquement l’évacuation du bâtiment par les personnels, les clients et les prestataires. Ce genre d’événement est notifié au client.
De manière générale, Equinix a adopté un mécanisme de notification pour avertir la clientèle d’un incident (mail, SMS, boîte vocale…), assorti d’un délai de transmission (idéalement 15 min, maximum 30 min). « Le flux de communication, la transparence et la bonne information sont nos préoccupations premières, assure le directeur opérations. J’explique à mes équipes qu’en cas d’incident susceptible de déboucher sur une crise potentielle, il faut toujours essayer de donner les moyens à nos clients de pouvoir réévaluer leurs risques et de prendre les bonnes décisions ».
L’ensemble des sites font l’objet de plans de continuité d’activité, mis à jour régulièrement.
OVH, quel impact ?
À la question qu’est-ce qui a changé depuis l’incendie d’OVHcloud, la réponse de Nicolas Buono est sans ambiguïté : « Je ne vous dis pas qu’on n’a pas été choqués, que l’on ne s’est pas posé beaucoup de questions… Mais en ce qui concerne les moyens organisationnels, les moyens techniques, les infrastructures bâtimentaires et constructives, nous n’avons pas changé grand-chose. »
Et le directeur des opérations poursuit : « Par contre, nous avons beaucoup sensibilisé les personnels, et notamment nos prestataires. Il faut que l’on adopte une vigilance particulière avec nos prestataires. Tous font l’objet de plans de prévention, et aucun n’est autorisé à intervenir dans nos bâtiments sans permis de travail. Pour les travaux par point chaud, le permis de feu est obligatoire. La sécurité implique une imbrication complexe entre nos personnels et nos prestataires, les processus et les équipements ».
Feu d’onduleur chez BPCE, zéro impact
À l’occasion d’un webinaire CNPP sur le thème de la sécurité des data centers, Julien Virazels, responsable du Service installations critiques chez BPCE, a décrit un départ de feu dans ses installations, similaire à celui d’OVHcloud. Un condensateur s’est emballé thermiquement au sein d’un onduleur. Le système de protection interne du condensateur, qui déconnecte et isole l’élément en temps normal, n’a pas fonctionné. Le condensateur a donc commencé à brûler et a fait fondre les équipements voisins. Les ventilateurs de l’armoire électrique ont attisé la combustion en créant un apport d’air frais.
Le responsable commente : « Cet incident a été traité en 2 heures avec la mobilisation d’une trentaine de personnes : équipes internes, prestataires, Enedis, Gendarmerie et Sdis. Nous n’avons eu aucun impact sur le SI hébergé, aucune interruption de service car l’ensemble des équipements IT bénéficiaient d’une double alimentation électrique. Si une redondance est prévue et qu’il existe des moyens de protection ainsi que des procédures applicables et appliquées, il est possible de faire face à un sinistre. Mais même si l’on essaie de tendre vers le risque zéro, ce genre de sinistre peut arriver : la défaillance d’un condensateur est difficilement maîtrisable, même en maintenance préventive. »
[1] Organisme créé dans les années 1990, consortium d’entreprises proposant une certification selon différents niveaux et différents critères pour les data centers dans le monde.
Article extrait du n° 583 de Face au Risque : « OVH, Quelles leçons ? » (juin 2022).
Bernard Jaguenaud – Rédacteur en chef
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…