Choisir un prestataire de colocation datacenter représente une décision stratégique majeure pour toute entreprise cherchant à externaliser son infrastructure IT. Avec un marché mondial évalué à 76,8 milliards de dollars en 2023 et projeté à plus de 141,9 milliards en 2026 [1], la qualité des prestataires varie considérablement. Un audit rigoureux s’impose pour éviter les risques d’indisponibilité, de sécurité insuffisante ou de coûts cachés.
📑 Sommaire de l’article
- Qu’est-ce qu’un audit datacenter de colocation ?
- Pourquoi réaliser un audit avant de choisir un prestataire de colocation ?
- Checklist d’audit datacenter : Les 10 dimensions critiques
- Méthodologie : Comment conduire l’audit sur site
- Grille de scoring : Évaluer objectivement les prestataires
- Erreurs fréquentes à éviter lors de l’audit
- FAQ : Questions fréquentes sur l’audit datacenter
- Conclusion
« Un audit datacenter complet permet d’ajouter une couche supplémentaire de diligence raisonnable lors du processus de sélection du fournisseur de colocation, en vérifiant les allégations du prestataire et l’adéquation aux besoins réels de l’entreprise. »
Qu’est-ce qu’un audit datacenter de colocation ?
Un audit datacenter est une évaluation systématique et exhaustive des capacités techniques, de la sécurité, de la conformité et de la fiabilité opérationnelle d’un prestataire de colocation. Contrairement à une simple visite commerciale, l’audit implique une analyse approfondie de l’infrastructure physique, des systèmes critiques, des processus documentés et des performances réelles du datacenter.
Cette démarche structurée permet de vérifier objectivement que le prestataire peut garantir la disponibilité, la sécurité et la performance requises pour vos applications critiques. Un audit efficace combine l’examen de la documentation technique, l’inspection physique des installations et la validation des certifications et des SLA proposés.
Pourquoi réaliser un audit avant de choisir un prestataire de colocation ?
L’audit datacenter constitue une protection essentielle contre trois risques majeurs :
Risques financiers : Un datacenter inadapté génère des coûts cachés considérables (surconsommation électrique, interventions supplémentaires, pénalités pour non-conformité réglementaire). L’audit permet d’évaluer le coût total de possession (TCO) réel sur la durée contractuelle.
Risques opérationnels : Selon les standards de l’industrie, un datacenter Tier III doit garantir une disponibilité de 99,98%, soit maximum 1,6 heure d’arrêt par an [2]. Sans audit, impossible de vérifier si l’infrastructure répond réellement à ces exigences ou si le prestataire survend ses capacités.
Risques de sécurité et conformité : Les réglementations comme le RGPD, la certification HDS pour les données de santé ou PCI-DSS pour les paiements imposent des exigences strictes. L’audit vérifie que le datacenter dispose des certifications nécessaires et que ses pratiques opérationnelles respectent effectivement ces standards au quotidien.
Checklist d’audit datacenter : Les 10 dimensions critiques
1. Informations générales et réputation du prestataire
- Références clients vérifiables : Demandez une liste de clients comparables à votre secteur d’activité
- Expérience et stabilité financière : Ancienneté du prestataire, propriétaire des installations, santé financière
- Portfolio géographique : Présence multi-sites pour la redondance et la continuité d’activité
- Expertise technique : Compétences en conception d’infrastructure, équipes certifiées (CDCMP, DCCA)
- Transparence : Disponibilité de la documentation technique, rapports d’incident historiques
2. Localisation et accessibilité géographique
- Proximité géographique : Distance par rapport à vos équipes et applications critiques
- Risques environnementaux : Situation hors zones inondables, sismiques, de voies aériennes
- Accessibilité transport : Proximité des axes routiers, transports en commun pour interventions rapides
- Écosystème local : Présence de partenaires technologiques, opérateurs télécoms
- Conformité réglementaire territoriale : Localisation des données conforme au RGPD et réglementations sectorielles
3. Sécurité physique et contrôle d’accès
- Périmètre extérieur sécurisé : Clôtures, barrières, éclairage anti-intrusion
- Authentification multi-facteurs : Badge de proximité + biométrie (empreinte, iris) + code PIN
- Contrôle d’accès granulaire : Zones à sécurité progressive, armoires individuellement verrouillées
- Surveillance vidéo 24/7 : Caméras haute résolution avec archivage minimum 180 jours
- Personnel de sécurité : Gardiens présents en permanence, procédures de vérification d’identité strictes
- Détection incendie précoce : Systèmes VESDA (Very Early Smoke Detection Apparatus)
- Suppression incendie adaptée : Gaz inerte ou sprinklers à pré-action (pas d’eau dans les salles IT)
4. Infrastructure du bâtiment
| Critère | Exigence minimum | Niveau optimal |
|---|---|---|
| Structure | Béton armé | Béton renforcé anti-sismique |
| Charge au sol | 1 000 kg/m² | 1 500 kg/m² + zones renforcées |
| Hauteur sous plafond | 3 mètres | 4+ mètres (flexibilité refroidissement) |
| Faux plancher | 60 cm | 80+ cm (câblage et airflow optimisés) |
| Isolation thermique | Standard | Haute performance (PUE optimisé) |
- Absence d’eau : Aucune tuyauterie d’eau au-dessus des salles IT
- Mise à la terre multi-points : Protection contre les surtensions et décharges électrostatiques
- Efficacité énergétique : PUE (Power Usage Effectiveness) inférieur à 1,5 idéalement
5. Alimentation électrique et redondance
- Configuration de redondance : N+1 minimum, idéalement 2N ou 2N+1 pour applications critiques
- Chemins électriques multiples : Deux alimentations distinctes depuis le réseau public
- UPS (onduleurs) : Systèmes redondants protégeant 100% de la charge IT
- Autonomie batterie : Minimum 10-15 minutes de transition vers les générateurs
- Générateurs de secours : Tests mensuels en charge, réservoirs de fuel pour 24-72 heures d’autonomie
- Puissance disponible par rack : Minimum 5 kW, jusqu’à 20+ kW pour charges haute densité (IA, HPC)
- Maintenabilité concurrente : Possibilité de maintenance sans interruption de service
6. Systèmes de refroidissement
- Architecture de refroidissement : CRAC/CRAH redondants N+1 ou 2N, positionnés hors des salles IT
- Containment : Confinement allées chaudes/froides pour optimisation énergétique
- Refroidissement haute densité : Solutions in-row ou rear-door pour racks >10 kW
- Surveillance environnementale : Capteurs de température et humidité distribués dans la salle
- Uniformité thermique : Écarts de température <3°C entre racks
- Gestion du flux d’air : Dalles perforées positionnées correctement, obturation des espaces libres
- Capacité de refroidissement : Ratio watts de refroidissement / watts IT >1,2
- Circuits de fluide frigorigène : Vérification absence de fuites, maintenance préventive documentée
7. Connectivité et réseau
- Carrier neutrality : Accès à minimum 3-5 opérateurs télécoms différents
- Diversité des chemins de fibre : Entrées physiquement séparées pour éviter point de défaillance unique
- Meet-me-room : Espace dédié aux interconnexions entre opérateurs
- Bande passante disponible : Offres de 1 Gbps à 100+ Gbps selon besoins
- Connectivité cloud : Accès direct aux plateformes majeures (AWS Direct Connect, Azure ExpressConnect, Google Cloud Interconnect)
- Cross-connect : Facilité et tarifs des interconnexions privées entre clients
- Latence réseau : <5ms vers les zones métropolitaines majeures
8. Certifications et conformité
- Tier certification : Uptime Institute Tier III ou IV (conception, construction, exploitation)
- ISO 27001 : Management de la sécurité de l’information
- ISO 9001 : Management de la qualité
- ISO 14001 : Management environnemental
- SOC 2 Type II : Contrôles de sécurité, disponibilité, intégrité validés par audit indépendant
- PCI-DSS : Pour traitement de données de paiement
- HDS : Hébergement de Données de Santé (obligatoire secteur médical en France)
- Conformité RGPD : Procédures documentées de protection des données personnelles
9. SLA et garanties contractuelles
- Disponibilité garantie : 99,95% minimum (Tier III), 99,99% optimal
- Pénalités contractuelles : Crédits de service en cas de non-respect du SLA
- Temps de réponse : <15 minutes pour incidents critiques
- Support technique : Disponibilité 24/7/365 avec NOC dédié
- Smart hands : Services d’intervention physique sur site (reboots, câblage, installation)
- Notification incidents : Procédures de communication en temps réel
- Reporting : Rapports mensuels de performance, consommation, incidents
10. Services de support et opérations
- Personnel sur site : Techniciens disponibles 24/7/365
- Qualifications équipes : Certifications constructeurs, formations régulières
- Portail client : Accès en ligne aux métriques (température, consommation, bande passante)
- Surveillance proactive : Monitoring des systèmes avec alertes automatiques
- Gestion du changement : Procédures ITIL documentées pour modifications d’infrastructure
- Audits de sécurité : Tests d’intrusion réguliers, audits de conformité annuels
Méthodologie : Comment conduire l’audit sur site
Préparation avant la visite
- Collecte documentaire : Demandez plans techniques, schémas électriques/HVAC, rapports de certification
- Liste de contrôle personnalisée : Adaptez la checklist ci-dessus à vos besoins spécifiques (densité requise, conformité sectorielle)
- Équipe d’audit : Incluez responsable infrastructure, sécurité, conformité selon criticité
Pendant la visite
- Inspection périmètre : Vérifiez sécurité extérieure, accès véhicules, zones de chargement
- Test du contrôle d’accès : Simulez une entrée pour valider les procédures de vérification
- Visite salle blanche : Inspectez propreté, organisation câblage, containment, étiquetage
- Salles techniques : Examinez UPS, générateurs, systèmes de refroidissement
- Meet-me-room : Vérifiez organisation, documentation des cross-connects
- Entretien technique : Posez questions détaillées sur procédures maintenance, incidents passés
- Validation métriques : Consultez tableaux de bord temps réel (température, charge électrique)
Après la visite
- Scoring comparatif : Utilisez un tableau de notation pour comparer plusieurs prestataires
- Vérification références : Contactez clients existants pour retour d’expérience réel
- Analyse contractuelle : Faites réviser les SLA et contrats par juridique/achats
- Décision documentée : Formalisez les critères de choix et justifications
Grille de scoring : Évaluer objectivement les prestataires
| Critère | Pondération | Datacenter A | Datacenter B | Datacenter C |
|---|---|---|---|---|
| Sécurité physique | 15% | 8/10 | 9/10 | 7/10 |
| Redondance électrique | 20% | 9/10 | 10/10 | 8/10 |
| Refroidissement | 15% | 7/10 | 9/10 | 8/10 |
| Connectivité | 15% | 8/10 | 8/10 | 9/10 |
| Certifications | 10% | 7/10 | 10/10 | 8/10 |
| SLA | 10% | 8/10 | 9/10 | 7/10 |
| Support | 10% | 9/10 | 8/10 | 8/10 |
| Coût TCO | 5% | 7/10 | 6/10 | 9/10 |
| Score total | 100% | 8,0 | 8,9 | 8,0 |
Adaptez les pondérations selon vos priorités : une application financière privilégiera sécurité et SLA, tandis qu’une plateforme média valorisera connectivité et bande passante.
« Les organisations doivent conduire des évaluations pour prendre des décisions basées sur des méthodologies éprouvées de réduction des coûts et d’optimisation des infrastructures datacenter. »
Erreurs fréquentes à éviter lors de l’audit
- Se fier uniquement aux brochures commerciales : Exigez des preuves documentées et visites physiques
- Négliger la visite des salles techniques : Les équipements de support (UPS, générateurs) sont aussi critiques que la salle IT
- Ignorer l’historique d’incidents : Demandez les rapports d’incidents des 12-24 derniers mois
- Sous-estimer les besoins futurs : Vérifiez la capacité d’expansion (puissance, refroidissement, espace)
- Oublier la conformité réglementaire : Validez que les certifications couvrent vos obligations sectorielles
- Négliger le facteur humain : Évaluez la qualité et la disponibilité des équipes support
- Comparer uniquement sur le prix : Le moins cher peut coûter très cher en indisponibilité ou non-conformité
FAQ : Questions fréquentes sur l’audit datacenter
Combien de temps dure un audit complet de datacenter de colocation ?
Un audit approfondi nécessite 1 à 2 jours pour un site unique, incluant la préparation documentaire (1 journée), la visite sur site (4-6 heures) et l’analyse post-visite (demi-journée). Pour une shortlist de 3-4 prestataires, prévoyez 2-3 semaines de processus complet.
Quelles certifications sont absolument indispensables ?
Les certifications minimum dépendent de votre secteur : ISO 27001 (sécurité) et Tier III (disponibilité) sont des standards universels. Ajoutez HDS pour la santé, PCI-DSS pour le paiement, et SOC 2 Type II pour la confiance client. Un datacenter sans ces certifications présente des risques importants.
Comment vérifier qu’un prestataire respecte réellement ses SLA ?
Demandez les rapports mensuels de performance des 12 derniers mois, incluant incidents, durée d’indisponibilité et crédits accordés. Contactez 2-3 clients existants pour validation terrain. Vérifiez que le contrat précise clairement les méthodes de calcul du SLA et les pénalités applicables.
Quelle est la différence entre Tier III et Tier IV ?
Un datacenter Tier III offre 99,982% de disponibilité (1,6h d’arrêt/an) avec redondance N+1 et maintenance sans interruption. Un Tier IV garantit 99,995% (26 minutes/an) avec redondance 2N et tolérance aux pannes. Le Tier IV coûte 20-30% plus cher mais convient aux applications critiques où chaque minute d’arrêt coûte des dizaines de milliers d’euros.
Faut-il privilégier un datacenter neuf ou établi ?
Un datacenter neuf offre technologies récentes et efficacité énergétique optimale (PUE <1,3), mais manque d'historique opérationnel. Un datacenter établi (>5 ans) démontre sa fiabilité par son track record, mais peut avoir une infrastructure moins moderne. L’idéal : installations de 2-7 ans régulièrement modernisées.
Comment évaluer la capacité de montée en charge ?
Vérifiez trois éléments : puissance électrique disponible au-delà de votre besoin initial (+50% minimum), capacité de refroidissement correspondante, et espace physique pour racks supplémentaires. Demandez le taux d’occupation actuel du datacenter : au-delà de 80%, la flexibilité devient limitée.
Le datacenter doit-il être propriétaire ou locataire de ses installations ?
Un prestataire propriétaire offre généralement plus de stabilité long terme et de flexibilité pour investissements d’amélioration. Un locataire peut proposer des tarifs plus compétitifs à court terme mais comporte un risque de relocalisation. Vérifiez la durée du bail restant (minimum 10 ans recommandé).
Comment auditer la sécurité sans compromettre celle du datacenter ?
Respectez les procédures de confidentialité du prestataire : signez NDA, limitez photos aux zones autorisées, ne divulguez pas détails sensibles. Un prestataire sérieux accepte les audits tout en protégeant ses autres clients. Le refus total de transparence est un signal d’alerte.
Conclusion
Un audit datacenter rigoureux constitue l’investissement le plus rentable avant de signer un contrat de colocation pluriannuel. Cette checklist complète vous permet d’évaluer objectivement les prestataires sur les 10 dimensions critiques : réputation, localisation, sécurité physique, infrastructure bâtiment, électricité, refroidissement, connectivité, certifications, SLA et support opérationnel.
Face à un marché en croissance de 11,5% par an, la tentation est grande de céder aux arguments commerciaux sans validation terrain. Pourtant, les coûts d’une migration forcée vers un nouveau prestataire (downtime, réinstallation, perte de données) dépassent largement l’effort d’audit initial. Prenez le temps de visiter les installations, de valider les certifications et de confronter les promesses aux réalités opérationnelles documentées.
Quel critère est prioritaire pour votre audit : la disponibilité maximale, la sécurité renforcée ou l’optimisation des coûts ?
audit datacenter, checklist colocation, évaluation prestataire datacenter, choix datacenter colocation, critères sélection datacenter, visite datacenter audit, sécurité datacenter, SLA colocation, certification datacenter, infrastructure datacenter
Sources et références
- Data Center Colocation Market (gminsights.com)
- La colocation en datacenter, qu’est-ce que c’est (journeedudatacenter.com)
- Data Center Co-location Site Visit and Evaluation Checklist – Info-Tech (infotech.com)
- A Checklist for Evaluating Colocation and Interconnection Providers – CoreSite (coresite.com)
- 4 critères d’évaluation pour bien choisir son prestataire de colocation selon IDC – Data4 (data4group.com)
- Colocation Datacenter : Le guide complet – BT Blue (bt-blue.com)
- Audit of WMATA’s Data Center Cost Optimization – WMATA OIG (wmataoig.gov)