Coupures d'électricité et coupures d'octets : Que se passe-t-il pour les centres Internet lorsque le réseau est en panne ?

L'année dernière, une panne d'électricité généralisée a frappé une partie de l'Espagne, durant plusieurs heures et se répercutant sur le Portugal et le sud de la France. Dans les zones touchées, et même dans certaines zones voisines, les gens ont signalé avoir perdu à la fois la connectivité et les services de base : pas de service cellulaire pendant des heures, pas d'Internet, et même des difficultés à retirer de l'argent. La panne a également coïncidé avec une forte baisse du trafic Internet, des latences plus élevées et une surcharge des applications de communication.

Un autre type de rappel est survenu quelques jours plus tard, lorsqu'une panne au centre d'échange Internet de Milan (MiX) a perturbé l'accessibilité de plusieurs services, avec des effets qui se sont répercutés bien au-delà d'un seul bâtiment. Il s'agissait d'une démonstration très publique de ce que les ingénieurs de réseau savent déjà : certaines installations ont une importance disproportionnée pour la connectivité

Ces incidents ne sont pas rares. Alors que nous nous dirigeons vers un monde numérisé, la question n'est plus de savoir si l 'électricité et l'infrastructure Internet sont couplées. La question est de savoir si nous comprenons où le couplage est le plus étroit et ce que nous pouvons faire pour y remédier.

Où se trouve physiquement "l'internet" ?

La plupart des gens imaginent l'internet comme des câbles sous les rues et des signaux sans fil dans l'air. C'est vrai, mais c'est incomplet. Une grande partie de la vie quotidienne en ligne dépend d'installations physiques :

• Les centres de données sont les bâtiments où se trouvent le calcul et le stockage (vos applications, vos services d'entreprise, vos charges de travail en nuage).
• Les points d'échange Internet (IXP) sont des lieux où les réseaux s'interconnectent et échangent du trafic localement, plutôt que de le transporter à travers les frontières ou par l'intermédiaire d'un petit groupe de fournisseurs de transit.

Il ne s'agit pas d'installations abstraites. Il s'agit de sites physiques avec des alimentations électriques, des systèmes de refroidissement, des générateurs de secours et (souvent) une dépendance à l'égard des réseaux électriques voisins.

Dans le cadre de ma bourse de recherche 2025 Pulse, mes collègues et moi-même avons entrepris de comprendre les dépendances des infrastructures Internet critiques, telles que les centres de données et les IXP, par rapport aux sous-stations électriques situées à proximité, afin de comprendre dans quelle mesure nos opérations Internet sont sensibles aux défaillances du réseau de distribution d'électricité, tant au niveau du pays/de la zone que de la ville/du quartier. Même la localisation des centrales électriques est fragmentée selon les pays, les formats et les niveaux de détail.

Cartographier les infrastructures critiques sur le réseau

Il n'existe pas d'ensemble de données normalisées et accessibles au public indiquant que "cette installation est alimentée par cette sous-station spécifique". Même l'emplacement des centrales électriques est fragmenté selon les pays, les formats et les niveaux de détail. Il existe des sources de données publiques, mais elles sont bruyantes.

Nous avons cartographié les emplacements des installations IXP et des centres de données par rapport aux sous-stations à haute tension les plus proches en utilisant l'affectation basée sur la proximité. Plutôt que de prétendre connaître les contrats d'approvisionnement exacts (qui ne sont pas publics), nous avons utilisé une optique de risque : si une sous-station tombe en panne, quelles installations voisines sont vraisemblablement menacées ?

Le diagramme de dispersion (figure 1) montre la distance par rapport à l'impact (indiqué par le nombre d'IXP hébergés dans une installation).

Les installations les plus grandes auront un impact plus important (sur les IXP, les AS et le trafic concernés) si la centrale électrique qui les alimente tombe en panne. Le graphique montre également les cinq installations les plus critiques par IXP et par distance, ce qui montre que les installations à fort impact ne sont pas nécessairement placées en tenant compte de l'infrastructure du réseau électrique et qu'il faut en tenir compte lors de l'ajout de nouvelles installations. Si un incident électrique touche la région d'Amsterdam (où de nombreuses installations sont regroupées), plusieurs IXP à fort impact pourraient tomber en panne simultanément, ce qui aggraverait le risque lié à la géographie et à la distance.

Le risque de défaillance en cascade est réel et amplifié par la colocalisation

Pour modéliser la résilience, nous avons construit un graphe bipartite reliant chaque installation IXP à ses k sous-stations les plus proches (avec k = 3). Dans ce modèle, une installation n'est considérée comme défaillante que si toutes les sous-stations qui lui sont reliées sont perdues, ce qui reflète l'idée que les installations ayant accès à plusieurs sous-stations proches ont une certaine redondance.

Même avec cette hypothèse généreuse, les résultats donnent à réfléchir. De nombreux IXP, et les réseaux qu'ils desservent, sont situés dans les mêmes bâtiments. Cela signifie qu'une panne qui touche un petit nombre de nœuds d'alimentation critiques peut mettre hors service plusieurs IXP à la fois.

En effectuant une simulation de défaillance de poste à l'aide du cadre ci-dessus, nous avons constaté qu'environ 70 % des IXP peuvent tomber en panne pour un taux de défaillance de poste de ~20 % (figure 2). Cela est principalement dû à la colocalisation de ces installations numériques.

Ainsi, même si une ville peut sembler "bien connectée" sur le papier (beaucoup d'installations !), elle peut ne pas être résiliente, car ces installations peuvent partager la même dépendance énergétique sous-jacente et être vulnérables à des risques similaires (comme une panne ou une catastrophe naturelle, telle qu'une inondation).

Nous avons effectué ces simulations en utilisant trois stratégies de défaillance : les défaillances aléatoires des sous-stations (modélisées comme des pannes d'équipement ou des événements météorologiques), les défaillances basées sur le degré de centralité (ciblant d'abord les sous-stations les plus connectées) et les défaillances basées sur l'inter-centralité (ciblant les sous-stations qui se trouvent sur le plus grand nombre de chemins à travers le réseau). Les stratégies ciblées, qui s'apparentent à des attaques délibérées ou à des défaillances corrélées dans des segments critiques du réseau, sont nettement plus dommageables que les défaillances aléatoires à la même échelle.

Lorsqu'un grand carrefour tombe en panne, où va le trafic ?

Comprendre quelles installations sont menacées n'est que la moitié du problème. L'autre moitié consiste à savoir ce qu'il advient du trafic lorsqu'elles sont en panne.

Il est important de répondre à cette question pour mieux comprendre la résilience du système. Pour y répondre, nous avons utilisé le banc d'essai PEERING pour émuler des scénarios de défaillance et évaluer l'impact d'une défaillance de l'infrastructure induite par une panne d'électricité à Amsterdam (figure 3).

Notre intuition est que "la géographie compte" : si Amsterdam tombe en panne et que des liaisons PEERING sont disponibles à la fois à Francfort (Allemagne) et à Seattle (États-Unis), le trafic sera probablement réacheminé via Francfort plutôt que via SIX (Seattle). Nos expériences ont permis de vérifier si cette intuition se vérifiait dans la pratique.

Nous avons également réalisé des expériences de défaillance pour des paires et des triples de sites afin de comprendre les chemins de reroutage préférés primaires, secondaires et tertiaires. Ces résultats révèlent non seulement où le trafic peut aller, mais aussi où il va lorsque le système de routage s'adapte à une défaillance. Et en fonction de ces résultats de réacheminement, nous pouvons commencer à saisir les interdépendances qui dépassent les frontières nationales

Les résultats obtenus jusqu'à présent dressent un tableau clair : la concentration géographique de l'infrastructure de l'internet crée une fragilité cachée par le biais de dépendances de pouvoir partagées, et les schémas de colocalisation courants dans les principaux centres de l'internet amplifient considérablement le risque.

Regardez ma présentation au Pulse Internet Measurement Forum, Espagne ou contactez [email protected] pour en savoir plus sur notre méthodologie et nos résultats.

Tanya Shreedhar a été boursière de recherche 2025 Pulse et chercheuse postdoctorale à l'Université technique de Delft, aux Pays-Bas. Ses recherches portent sur les protocoles de transport, les mesures de l'internet et la résilience des infrastructures.

Les opinions exprimées par les auteurs de ce blog sont les leurs et ne reflètent pas nécessairement celles de l'Internet Society.