Les centres de données sont des bâtiments qui abritent l’infrastructure nécessaire aux applis bancaires, aux services cloud et aux plateformes d’intelligence artificielle.
Des experts tirent la sonnette d’alarme face à de nouvelles menaces visant les centres de données au Moyen-Orient, estimant que les premières frappes signalées ce mois-ci marquent l’émergence d’une tendance inquiétante.
PUBLICITÉ
PUBLICITÉ
Amazon a indiqué (source en anglais) que deux de ses centres de données aux Émirats arabes unis avaient été touchés par des frappes de drones le 1er mars et qu’un troisième centre à Bahreïn avait été endommagé par des débris provenant d’une frappe à proximité.
Le Corps des gardiens de la révolution islamique (CGRI) d’Iran a revendiqué la responsabilité des attaques, indiquant aux médias d’État qu’elles visaient à identifier le rôle de ces centres dans le soutien aux activités militaires et de renseignement de l’ennemi.
Selon des analystes, il pourrait s’agir de l’une des premières attaques physiques connues contre des centres de données. Ces bâtiments abritent l’ensemble des infrastructures qui font fonctionner aussi bien les applications bancaires que les services de cloud et les plateformes d’intelligence artificielle (IA).
Amazon a refusé de faire davantage de commentaires sur les attaques au Moyen-Orient et a renvoyé Euronews Next vers un tableau de bord d’état de service. Au 11 mars, plusieurs services (source en anglais) d’Amazon restaient indisponibles ou perturbés pour les clients aux Émirats arabes unis et à Bahreïn.
Pourquoi les centres de données sont-ils une cible ?
« Il est très probable que les centres de données soient ciblés à l’avenir », estime Vincent Boulanin, directeur du programme de gouvernance de l’IA à l’Institut international de recherche sur la paix de Stockholm (SIPRI).
Boulanin dit ne pas être surpris que l’Iran ait lancé des attaques contre des centres de données aux Émirats arabes unis et à Bahreïn. Les centres de données alimentent l’IA en fournissant la puissance de calcul, le stockage et la connexion Internet haut débit nécessaires à l’entraînement des modèles.
« Les centres de données sont un élément constitutif essentiel des capacités d’IA à l’échelle nationale, explique Boulanin. À ce titre, ils peuvent être considérés comme des infrastructures hautement critiques. »
Cibler des centres de données est intéressant en raison de l’impact sur les civils et, potentiellement, sur l’armée américaine, qui pourrait utiliser l’IA dans ses opérations, poursuit-il. Des médias américains ont rapporté que Claude, le modèle d’Anthropic, avait été utilisé par l’armée américaine pour l’assister dans des opérations au Venezuela et en Iran.
Les entreprises les plus exposées aux frappes aériennes sont probablement les géants de la tech qui possèdent des centres de données dits « hyperscale », comme Microsoft, Google Cloud et Amazon Web Services, si l’objectif est de montrer la vulnérabilité de ces systèmes, estime James Shires, codirecteur du groupe de réflexion britannique Virtual Routes.
Selon la société technologique américaine IBM, les hyperscalers abritent au moins 5 000 serveurs et peuvent couvrir des millions de pieds carrés (environ 92 900 kilomètres carrés).
Les centres de données appartenant aux grandes entreprises d’IA, comme OpenAI ou Anthropic, pourraient également être menacés si les attaques visaient spécifiquement le traitement des données de l’armée américaine, ajoute Shires.
Une protection « robuste » au sol, mais pas dans les airs
Selon lui, la plupart des centres de données disposent d’une protection « robuste » au sol, mais peu avaient envisagé la menace de frappes aériennes menées par des États avant ces attaques.
« Dès lors que le scénario de menace implique un État belligérant tirant des missiles … les centres de données ne figurent plus au premier rang des priorités de défense », observe James, en soulignant que les raffineries de pétrole et de gaz ou les usines de dessalement de l’eau constituent souvent des cibles plus attractives.
La sécurité dans les centres de données d’Amazon repose notamment sur des gardes, des clôtures, des caméras et des technologies de surveillance des intrusions. L’entreprise dispose aussi de systèmes de lutte contre l’incendie et de connexions Internet de secours au cas où l’un des serveurs surchaufferait.
Amazon regroupe ses centres de données en « zones de disponibilité », qui séparent physiquement les centres au sein d’une même région afin de réduire l’impact d’une catastrophe ponctuelle, indique un communiqué de presse (source en anglais) de 2022 sur ses zones aux Émirats arabes unis.
Les zones de disponibilité sont conçues pour maintenir les opérations de cloud en cas de catastrophe physique, comme des inondations ou des tremblements de terre, mais elles peuvent aussi atténuer les perturbations liées à des frappes de drones, ajoute-t-il.
« En cas d’attaque de drones, il est possible que certains services d’un centre de données cessent de fonctionner, ce qui oblige alors l’ensemble du centre à tourner au ralenti ou à être mis complètement hors ligne, explique-t-il. Même dans ce scénario extrême, on peut transférer le traitement des données vers d’autres installations de la même région sans trop de difficultés. »
La seule limite à ce système tient aux règles de localisation ou de souveraineté des données, lorsque les gouvernements exigent que certaines données restent stockées dans des pays précis, ajoute-t-il.
Des accords ou des missiles peuvent-ils les protéger ?
Pour réduire la menace qui pèse sur les centres de données, deux options existent, explique Shires : conclure des accords interdisant de les cibler en temps de guerre, ou renforcer les défenses.
Mais la piste des accords paraît « peu probable », estime-t-il, si les adversaires sont prêts à s’en prendre ouvertement à des infrastructures critiques comme les centres de données.
Pour améliorer la protection, Shires juge que les centres de données devraient être classés comme « infrastructures critiques », afin qu’ils bénéficient de la couverture d’un système national de bouclier antimissile, similaire au Dôme de fer israélien.
Le système israélien se compose d’unités mobiles tractées par des camions, déployées sur des sites stratégiques à travers le pays. Des militaires analysent chaque menace détectée dans un « centre de conduite de bataille » opérationnel 24 heures sur 24 et décident du type de missile à utiliser pour l’intercepter.
Selon Shires, des systèmes de défense sol-air, comme certains éléments du Dôme de fer, sont déployés sur des « sites de valeur extrêmement élevée », tels que des réserves de pétrole et de gaz ou des infrastructures gouvernementales, afin de les protéger des attaques.
« La question est donc de savoir jusqu’où faire remonter les centres de données dans la liste des infrastructures critiques », poursuit-il.
Une autre option consisterait, selon lui, à déplacer ou installer des capteurs sol-air spécifiques à proximité des centres de données, ou à l’angle et à l’emplacement adéquats pour intercepter les menaces. Le dispositif retenu par l’armée dépendrait de la direction d’où elle estime que la menace pourrait provenir.
Les États-Unis travaillent sur un système national de bouclier similaire au Dôme de fer, baptisé « Golden Dome » par le président Donald Trump, qui devrait être capable d’abattre des missiles hypersoniques, balistiques et de croisière avancés, ainsi que des drones. Aucun contrat militaire n’a toutefois encore été attribué directement pour cette initiative.
Euronews Next a contacté le Département de la Guerre américain pour obtenir des précisions sur le Golden Dome et savoir s’il envisagerait de déployer des missiles à proximité de centres de données, mais n’a pas reçu de réponse immédiate.
Et maintenant ?
Boulanin estime qu’il n’est pas clair si la frappe de drones contre les centres de données d’AWS doit être considérée comme une « escalade » de la guerre au Moyen-Orient.
En droit international, les infrastructures civiles sont protégées contre les attaques directes en période de conflit, sauf s’il est démontré qu’elles servent à soutenir des actions militaires, rappelle-t-il.
« Il est très probable, en l’occurrence, qu’il s’agissait d’une infrastructure purement civile et qu’il était donc illégal de la prendre pour cible », affirme Boulanin.
Les Émirats arabes unis pourraient engager une action en justice contre les frappes de drones américaines, ajoute-t-il, car il est très difficile de savoir quelles activités militaires, le cas échéant, étaient menées depuis les centres d’AWS.
À plus long terme, l’impact risque de se traduire par une baisse des investissements dans les centres de données aux Émirats arabes unis, à Bahreïn et au Moyen-Orient en général.
« L’investissement dans les centres de données se conçoit sur un horizon très long, et tout événement de ce type accroît le risque associé à cet investissement, explique Shires. Cela remet vraiment en cause, de manière très préoccupante, les stratégies cloud et IA des économies du Golfe. »
On compte environ 35 centres de données aux Émirats arabes unis, dont 42 % sont considérés comme de grandes installations pouvant accueillir jusqu’à 5 000 serveurs, selon des données 2025 de la société d’analyse (source en anglais) de données Mordor Intelligence.
Avant les attaques, le marché des centres de données des Émirats arabes unis devait plus que doubler en valeur, passant de 3,29 milliards de dollars (2,78 milliards d’euros) en 2026 à quelque 7,7 milliards de dollars (6,5 milliards d’euros) en 2031, selon la société.
Cette croissance s’explique en partie par les investissements d’entreprises américaines d’IA comme OpenAI et Microsoft dans des centres de données aux Émirats arabes unis.
Euronews Next a contacté ces entreprises d’IA pour savoir si l’attaque de centres de données modifierait leurs priorités au Moyen-Orient, mais n’a pas obtenu de réponse immédiate.