Suite à l’incendie survenu en mars dans le datacenter d’OVHCloud, nos experts vous expliquent pourquoi trop d’entreprises négligent encore la sauvegarde de leurs données ou applications externalisées. Découvrez pourquoi elles ne sont jamais sauvegardées automatiquement !
L’incendie survenu en mars dans le datacenter strasbourgeois d’OVHCloud a jeté un froid chez les clients des opérateurs Cloud et des datacenters. Nombre d’entreprises ont eu ici une piqûre de rappel quant à la nécessité de bien sauvegarder leurs données et leurs sites web externalisés chez un tiers. Elles (re)découvrent que la sauvegarde est très souvent une option payante à souscrire auprès de leurs prestataires Cloud et de leurs hébergeurs !
« Les critiques formulées à l’égard d’OVH sont infondées et reposent sur la méconnaissance du contrat »
Luc D’Urso
« Les critiques formulées à l’égard d’OVH sont d’ailleurs infondées », s’insurge Luc d’Urso, PDG de l’éditeur Atempo. « Elles ne reposent que sur une chose : la méconnaissance du contrat ou de l’informatique. La réalité aujourd’hui, c’est que toutes les entreprises ont le service qu’elles ont souscrit. Il n’y a pas à incriminer OVH pour la perte de données. Le service qu’il a vendu n’est pas de la protection de données mais de l’hébergement de vos données et applications sur des serveurs privés ou mutualisés externalisés ».
Mais qui fait quoi dans le Cloud ou dans l’hébergement et qui est responsable de mes données et applications ?
Ce type de question arrive généralement trop tard, après le sinistre parfois, ou quand le client hésite sur le choix du prestataire IT ou Cloud de confiance avec des questions du type : qui sera le plus qualifié pour héberger ses applications ou sauvegarder mes données dans le Cloud ou dans un datacentre externalisé ?
« Nous avons un devoir de conseil à l’égard du client »
Anthony Collard
Il y a donc urgence à comprendre les rôles des différents prestataires selon Anthony Collard, responsable Infogérance & SMSI chez l’hébergeur Ikoula, car « beaucoup de clients confondent encore, trop souvent par méconnaissance du marché et de ses acteurs, les rôles et responsabilités de chacun des intervenants. Ils ne comprennent pas toujours leurs missions d’ailleurs, en matière de sauvegarde des données par exemple. Nombre d’entre eux sont persuadés, à tort, que tout repose essentiellement sur l’hébergeur dans ce domaine ».
Les différents prestataires dans l’hébergement et la sauvegarde des données externalisées ont des missions différentes
Il est donc utile de rappeler les rôles des différents prestataires dans l’hébergement et la sauvegarde des données dans la chaîne d’externalisation. Par exemple, si l’entreprise décide de louer ses logiciels et de les consommer à l’usage dans le Cloud, comme des services (SaaS), elle a le choix entre plusieurs acteurs. Elle peut soit les acheter en ligne directement sur la place de marché de l’éditeur, surtout s’il s’agit de logiciels ou de services Cloud (IaaS, PaaS, StaaS, UcaaS, etc.) “simples” à déployer. Sinon, s’il s’agit de progiciels sophistiqués pour la gestion de la paie ou des RH par exemple, elle peut aussi les acheter via un intégrateur IT certifié (Cheops Technology, Linkbynet, Metsys, Oceanet, etc.) qui en assurera le déploiement et le maintien en conditions opérationnelles, voire l’hébergement dans un datacentre.
Mais pas forcément dans celui de l’entreprise dans les deux cas de figure, sauf dans le cas où le client signe pour un Cloud privé sur site, et encore. En effet, il arrive de plus en plus souvent que l’éditeur ou son prestataire Cloud externalisent eux-mêmes l’hébergement de vos données et applications chez un vrai hébergeur (EBRC, Equinix, Interxion, etc.), dont le seul métier est de créer des salles informatiques externalisées (voir article “Avis d’expert – Qui est responsable en cas de sinistre et de pertes des données au final ?”).
« Le discours commercial qui a permis de vendre en masse le Cloud Computing a conduit à faire le mélange entre le service que l’on rendait et les garanties de disponibilités que l’on avait. Lorsque l’on souscrit à un contrat d’hébergement, la salle informatique à juste été déportée dans les locaux d’un spécialiste. Au lieu d’être sur le réseau local de l’entreprise, ses serveurs y sont reliés par Internet », explique très justement Luc d’Urso, PDG de l’éditeur Atempo.
Vous l’aurez compris, tous ces entreprises ne disposent ni des mêmes compétences techniques, ni des mêmes niveaux d’investissement dans tous les maillons de la chaine du Cloud. Et encore moins les mêmes niveaux de responsabilité en cas de sinistre.
Les données ne sont jamais sauvegardées
automatiquement !
Et c’est bien là le problème. Avant l’incendie survenu en mars dans le datacenter strasbourgeois d’OVHCloud, une majorité des clients pensait que leurs sites et leurs données étaient automatiquement sauvegardés par leur hébergeur. Grosse erreur, souvent involontaire, de clients qui ne lisent pas assez les contrats et qui confondent stockage et sauvegarde. « Chez aucun hébergeur, l’achat d’un serveur même dédié n’inclut automatiquement la sauvegarde des données, prestation qui est vendue comme une option, au même titre que les Plans de Reprises après Accident (PRA) ou de Continuité d’Activité (PCA) (voir dossier “Réussir son Plan de Reprise d’Activité”). Chez Ikoula, nous l’indiquons sur nos sites et conditions commerciales car nous avons un devoir de conseil à l’égard du client » explique Anthony Collard.
Ce que confirme Me Olivier Iteanu, président du cabinet Iteanu : « La sauvegarde des données doit figurer au moins en option et le client doit être informé des risques encourus s’il décide de ne pas la souscrire ». Le respect des règles de l’art en matière de sécurité informatique est aussi une donnée à ne pas négliger par l’hébergeur selon notre avocat, qui collabore souvent avec l’association EuroCloud : « On peut espérer qu’il y ait des sauvegardes de prévu, mais cela se discute au moment du contrat. Toutefois, j’estime qu’un hébergeur doit proposer un minimum de choses dans ce domaine même si ce n’est pas au contrat… ».
La sauvegarde doit figurer au contrat,
tout comme les niveaux de services proposés
Nicolas Leroy Fleuriot, PDG de Cheops Technology, un intégrateur IT et opérateur Cloud national, valide également : « l’absence d’obligations légales, à ma connaissance, pour les hébergeurs d’assurer la sauvegarde des données, cela dépend du contrat souscrit. Toutefois, je considère aussi qu’il existe des bonnes pratiques à respecter. Cheops Technology gère et héberge pour ses clients des systèmes d’information complexes avec des SLA contractuelles engageant notre responsabilité, pour la sauvegarde de leurs données notamment. Les options de nos offres sont extrêmement claires dans ce domaine, contrairement à certains purs hébergeurs ou prestataires Cloud parfois ».
Effectivement, les niveaux d’engagements du prestataire en matière d’hébergement des données ou applications dans un Cloud privé, souvent sur site, ou en mode infogérance sont beaucoup plus élevés et protecteurs. A condition toutefois d’en payer le prix. En effet, « le prix de ce type d’engagement peut être élevé si le client demande à l’hébergeur, ou à son opérateur Cloud, de s’engager contractuellement sur des niveaux de service (SLA) très élevés en matière de sauvegarde » précise Anthony Collard. D’ailleurs, tous nos experts constatent que, depuis l’incendie survenu chez OVHCloud, les clients améliorent leurs dispositifs de sauvegarde. Ils les sollicitent bien davantage pour souscrire une prestation de sauvegarde automatisée, et répliquée sur un datacentre distant interconnecté, de leurs données et applications.
« Je considère qu’il existe
des bonnes pratiques à respecter »
Nicolas Leroy Fleuriot
L’hébergeur est-il obligé de restituer au client ses données… et de manière pérenne ?
Les entreprises s’intéressent aussi davantage aux dispositifs pour déployer, avec l’hébergeur ou l’opérateur Cloud, un plan de reprise d’activité (PRA) ou de continuité d’activité (PCA) (voir notre dossier PRA/PCA dans ce numéro). En effet, la multiplication des sinistres (incendies, ransomware, etc.) les ont également contraints à s’interroger sur la réversibilité ou la restitution de leurs données. La clause de réversibilité est d’ailleurs un point très important à ne pas négliger dans les contrats d’hébergement. Elle n’est d’ailleurs pas toujours assez bien détaillée contractuellement selon Anthony Collard : « Pourtant, elle oblige l’hébergeur à rendre au moins ses données au client. En infogérance, cette clause de réversibilité oblige même le prestataire à l’aider à remettre gratuitement en service son application grâce à un package d’outils fourni avec une documentation ». Ce que confirme Nicolas Leroy Fleuriot : « Dans nos contrats ICloud, la clause de réversibilité est contractuelle. Cheops Technology accompagne même le client pour l’aider à réinsérer ou à migrer ses applications ou ses données dans un autre datacentre ».
Mais attention, cette clause n’impose pas à l’hébergeur ou au prestataire Cloud de vérifier l’intégrité des données sauvegardées, point qui relève de la responsabilité du client :
« Sont-elles viables ou réutilisables ? l’hébergeur ne peut pas le garantir car il ne connaît ni les données, ni leur nature » constate Anthony Collard. Le responsable Infogérance d’Ikoula conseille donc aux clients de « bien lire les conditions générales de vente et de vérifier, via des tests de restauration, la viabilité des données. Ce point est très peu compris des clients car ils croient que la sauvegarde est suffisante. Du coup, ils ne vérifient pas assez régulièrement leurs données pour s’assurer de leur caractère réutilisable ».
Le client a le droit et le devoir de vérifier les installations de son hébergeur
Dans le même registre, le client le sait rarement, mais il a le droit de vérifier les installations d’un hébergeur ou d’un prestataire, ne serait-ce que pour vérifier les moyens contractuels mis en œuvre pour garantir certains niveaux de service. « Nos clients réalisent régulièrement des audits de nos installations. Ce qui n’est pas forcément le cas sur de l’hébergement “low cost”. Les clients peuvent alors découvrir qu’ils ont commis une erreur en ne qualifiant pas assez la solution retenue par rapport aux besoins exprimés en amont » précise Nicolas Leroy Fleuriot.
Anthony Collard confirme que l’hébergeur a l’obligation d’accepter les tests de ses clients sur ses installations, « mais après, comment les tester et avec quels types d’outils et sur quels serveurs ? Le client peut nous demander la restauration de sa sauvegarde sur un serveur similaire, prestation qui lui sera facturée, car l’hébergeur n’a pas l’obligation de lui fournir l’infrastructure ou le service gratuitement ».
Le responsable Infogérance d’Ikoula souligne que ces tests sont bénéfiques pour le client car ils lui permettent de tester et de valider son installation. Et grâce au procès-verbal reçu, il pourra ensuite opérer d’éventuelles améliorations en fonction des préconisations émises par le prestataire. En effet, les installations hébergées nécessitent régulièrement des modifications techniques et une amélioration des procédures suite aux évolutions des plateformes matérielles et logicielles chez les hébergeurs.
Au final, vous l’aurez compris, l’accident survenu en début d’année dans un datacenter a été une piqûre de rappel utile pour tous les clients des opérateurs Cloud et des datacenters. Leurs directions générales n’ont plus d’excuses pour prendre à la légère la gestion et la sauvegarde de leurs données externalisées chez un tiers qui, rappelons-le encore, constituent LE patrimoine numérique de l’entreprise.
OVHCloud investit des dizaines de millions d’euros dans un plan d’hyper-résilience
Le mardi 4 mai, Octave Klaba, le fondateur d’OVH, et Michel Paulin, son directeur général, faisaient le point 50 jours après l’incendie du site de datacenters à Strasbourg. Tirant les leçons de cet incident majeur, OVHCloud a indiqué souhaiter devenir « un expert du backup et de la data protection » et ajoute pour cela un plan d’hyper-résilience à son plan stratégique sur 5 ans. Il s’agit d’améliorer les backups internes avec la construction d’une mini région constituée de 4 datacenters pour les réaliser systématiquement. Les normes sur les datacenters existants et les futures constructions seront également revues. « Nous allons investir des dizaines de millions d’euros pour pouvoir être capables d’offrir encore plus de résilience dans nos infrastructures de datacenters, dans notre réseau et dans nos services », a expliqué Michel Paulin. JP