Solutions Numériques revient sur l’incendie survenu en mars dans le datacentre d’OVHCloud. Nos experts vous expliquent pourquoi trop d’entreprises négligent encore la sauvegarde de leurs données ou applications externalisées. Elles ne sont d’ailleurs jamais sauvegardées automatiquement si l’option n’est pas souscrite !
L’incendie survenu en mars dans le datacentre strasbourgeois d’OVHCloud a jeté un froid chez les clients des opérateurs Cloud et des datacenters. Craignant de perdre eux aussi leurs sites web et leurs données, nombre d’entreprises qui prévoyaient d’externaliser leurs données dans le Cloud ont parfois mis leur projet en pause. Elles ont réalisé que la sauvegarde des données n’est souvent qu’une option payante à souscrire auprès de leurs prestataires Cloud et de leurs hébergeurs.
Solutions Numériques a interrogé des experts pour aider les entreprises à y voir plus clair dans les univers souvent opaques du cloud et de l’hébergement, et donc à réaliser les bons choix, en matière de sauvegarde des données notamment. Ils clarifient aussi pour eux le flou, tant juridique, technique que commercial, qui existe encore sur les rôles et les responsabilités de chacun des intervenants quand le client externalise ses données ou applications chez un tiers. « Car rien ne va de soit en informatique et dans le cloud, surtout quand il y a un problème » nous a rappelé Me Alain Bensoussan, avocat du cabinet Alain Bensoussan-Avocats, président du réseau Lexing.
Les données ne sont jamais sauvegardées automatiquement !
Ainsi, dans le cas de l’incendie survenu en mars dans le datacentre strasbourgeois d’OVHCloud, une majorité de ses clients pensait que leur site et leurs données étaient automatiquement sauvegardées par l’hébergeur. Grosse erreur, souvent involontaire, de clients qui confondent stockage et sauvegarde. « Chez aucun hébergeur, un serveur même dédié inclut automatiquement la sauvegarde des données, qui est vendue comme une option, au même titre que les Plans de Reprises après Accident (PRA) ou de continuité (PCA). Chez Ikoula, nous l’indiquons sur nos sites et conditions commerciales car nous avons un devoir de conseil à l’égard du client » explique Anthony Collard, responsable Infogérance & SMSI chez l’hébergeur Ikoula.
La sauvegarde doit figurer au contrat, au moins comme une option
Concernant les contrats d’hébergement des données, Me Olivier Iteanu, président du cabinet Iteanu, confirme que « La sauvegarde des données doit figurer au moins en option et le client doit être informé des risques encourus s’il décide de ne pas la souscrire ». Le commerce est une chose, mais le respect des règles de l’art en matière de sécurité informatique en est une autre à ne pas négliger selon notre avocat, qui collabore souvent avec l’association Eurocloud : « On peut espérer qu’il y ait des sauvegardes de prévu, mais cela se discute au moment du contrat. Toutefois, j’estime qu’un hébergeur doit proposer un minimum de chose dans ce domaine même si ce n’est pas au contrat… ».
Un point de vue que partage Nicolas Leroy Fleuriot, PDG de Cheops Technology, un intégrateur IT et opérateur Cloud national : « Il n’y a pas d’obligations légales, à ma connaissance, pour les hébergeurs d’assurer la sauvegarde des données, cela dépend du contrat souscrit. Toutefois, je considère qu’il existe des bonnes pratiques à respecter. Cheops Technology gère et héberge pour ses clients des systèmes d’information complexes avec des SLA contractuelles engageant notre responsabilité, pour la sauvegarde de leurs données notamment. Les options de nos offres sont extrêmement claires dans ce domaine, contrairement à certains purs hébergeurs ou prestataires cloud parfois ». Effectivement, les niveaux d’engagements en matière de cloud privé ou d’infogérance sont beaucoup plus élevés et protecteurs pour les clients qui acceptent d’investir pour se prémunir contre la perte de leurs données et de leurs sites web.
De l’importance de connaître ses niveaux d’engagement en cas de sinistre…
A condition toutefois d’en payer le prix. En effet, « ce type d’engagement en matière de sauvegarde en a un qui peut être élevé si le client demande à l’hébergeur, ou à son opérateur cloud, de s’engager contractuellement sur des niveaux de service (SLA) très élevés » précise Anthony Collard.
Comme ce dernier, le dirigeant de Cheops Technology constate cependant que les clients sollicitent davantage ses commerciaux depuis l’incendie chez OVH pour souscrire une sauvegarde des données et applications basée sur deux datacentres interconnectés a minima. Une offre que l’on retrouve chez Cheops Technology, Ikoula et certains de leurs confrères, et non pas chez les hébergeurs « low cost ». Ce type de dispositif en miroir constitue la base d’un plan de reprise d’activité (PRA) ou de continuité d’activité (PCA), deux options qui intéressent également de plus en plus ces mêmes clients.
… Et de souscrire un plan de reprise d’activité (PRA) ou de continuité d’activité (PCA) sur 2 datacentres
Et pour cause, les bénéfices sont à la hauteur de l’investissement comme le rappelle Jérôme Warot, vice-président de la gestion des comptes techniques pour l’Europe du sud chez Tanium : « Le malheureux incident qui a frappé nos confrères d’OVH est un rappel à l’ordre pour tous, non seulement de l’importance de faire des backups – c’est une évidence – mais aussi de la nécessité de vérifier et tester ces stratégies de sauvegarde. Avant toute chose, il faut garder en tête que la mauvaise fortune d’OVH et de ses clients est une tragédie qui touche des emplois, des entreprises et des personnes ».
Rappelons que le PRA permet aux clients ayant souscrit cette offre, et qui ont créé un vrai PCA en amont, de bénéficier après sinistre d’une reprise automatique et instantanée de leurs services IT sur un site n+1 en temps réel. Pour les clients qui ont moins de moyens financiers, Cheops Technology ou Ikoula proposent également une option PRA avec une réplication à distance des données en miroir sur un deuxième datacentre distant, mais avec un redémarrage manuel et sous une heure a minima.
Ce que confirme Nicolas Leroy Fleuriot : « les PME clientes de Cheops Technology peuvent s’offrir un plan de reprise d’activité (PRA) et bénéficier de quelques sauvegardes sur notre autre datacenter distant. En revanche, Cheops Technology ne s’engage pas sur des délais de remise en route et de récupération automatique des données sur bande dans un temps donné contractuel. Cela peut prendre plusieurs jours. Nous les en avons informés en avant-vente ».
Quid de la réversibilité ou de la restitution de données… viables ?
Ces notions de PRA et PCA intéressent également les clients que les sinistres (incendies, ransomware, etc.) ont forcé à s’interroger sur la réversibilité ou la restitution de leurs données. La clause de réversibilité est un point très important dans les contrats d’hébergement, même si elle n’est pas toujours assez bien détaillée contractuellement selon Anthony Collard : « Elle oblige l’hébergeur à rendre ses données aux clients. En infogérance, cette même clause oblige le prestataire à remettre gratuitement en service son application grâce à un package d’outils fourni avec une documentation. Le client peut ainsi remettre en route son service dans de bonnes conditions ». Ce que confirme Nicolas Leroy Fleuriot : « Dans nos contrats Icloud, la clause de réversibilité est contractuelle. Cheops Technology accompagne même le client pour l’aider à réinsérer ou à migrer ses applications ou ses données dans un autre datacentre ».
Mais attention, cette clause n’impose pas à l’hébergeur ou au prestataire cloud de vérifier l’intégrité des données, facteur qui relève de la responsabilité du client : « Sont-elles viables ou réutilisables ? l’hébergeur ne peut pas le garantir car il ne connait ni les données, ni leur nature » constate le responsable Infogérance d’Ikoula. Anthony Collard conseille donc aux clients de « bien lire les conditions générales de vente et de vérifier, via des tests de restoration, la viabilité des données. Ce point est très peu compris des clients car ils croient que la sauvegarde est suffisante. Du coup, ils ne vérifient pas assez régulièrement leurs données pour s’assurer de leur caractère réutilisable ».
Et Jérôme Warot, vice-président de la gestion des comptes techniques pour l’Europe du sud chez Tanium, de rappeler aux clients qu’il est essentiel, « de s’entraîner, vérifier et tester ses sauvegardes à travers l’élaboration et la mise en œuvre d’un véritable plan de gestion et de vérification de la sauvegarde des données, au même titre que des entreprises s’entraînent et travaillent sur des plans de reprise d’activité (PRA) ou des exercices de simulation de cyberattaque ».
Le client a le droit et le devoir de vérifier les installations de son hébergeur
Dans le même registre, le client le sait rarement, mais il a le droit de vérifier les installations d’un hébergeur ou d’un prestataire, ne serait-ce que pour vérifier les moyens contractuels mis en œuvre pour garantir certains niveaux de service. « Nos clients réalisent régulièrement des audits de nos installations. Ce qui n’est pas forcément le cas sur de l’hébergement « low cost ». Les clients peuvent alors découvrir qu’ils ont commis une erreur en ne qualifiant pas assez la solution retenue par rapport aux besoins exprimés en amont » précise Nicolas Leroy Fleuriot.
Anthony Collard confirme que l’hébergeur a l’obligation d’accepter les tests de ses clients sur ses installations, « mais après, comment les tester et avec quels types d’outils et sur quels serveurs ? Le client peut nous demander la restoration de sa sauvegarde sur un serveur similaire, prestation qui lui sera facturée, car l’hébergeur n’a pas l’obligation de lui fournir l’infrastructure ou le service gratuitement ».
Le responsable Infogérance d’Ikoula souligne que ces tests sont bénéfiques pour le client car ils lui permettent de tester et de valider son installation. Et grâce au procès-verbal reçu, il pourra ensuite opérer d’éventuelles améliorations en fonction des préconisations émises par le prestataire. En effet, les installations hébergées nécessitent régulièrement des modifications techniques et une amélioration des procédures suite aux évolutions des plateformes matérielles et logicielles chez les hébergeurs.
Qui est responsable en cas de sinistre et de pertes des données au final ?
C’est là que le bât blesse, surtout quand la perte de données ou d’un site web survient au bout d’une chaîne de sous-traitants. Ainsi, quand une entreprise achète des services Cloud, qu’il s’agisse du traitement ou de la sauvegarde de ses données et applications, le niveau de service varie grandement selon qu’elle signe directement avec des éditeurs de logiciels vendus en Saas ou en Paas, ou avec leurs revendeurs, voire avec des opérateurs télécoms/cloud et/ou des hébergeurs, pour ne citer que ces catégories les plus courantes.
« Les responsabilités sont différentes. Elles se déterminent par rapport à une réalité technique et opérationnelle. Dans le cas d’OVH, l’intéressé a une triple casquette, celle de vendeur de serveurs, d’hébergeur et d’opérateur de datacenters », explique Me Olivier Iteanu. « Le premier outil pour analyser les responsabilités respectives est le contrat signé. Dans un cas où l’entreprise est cliente d’un éditeur de logiciels hébergé chez un tier, qui lui-même sous-traite son hébergement dans le datacenter d’un prestataire tiers, le client doit être informé de cette chaîne de sous-traitances. Mais au final, il n’a qu’un seul interlocuteur, l’éditeur de logiciels s’il a signé avec lui car il est responsable de ses données et il peut engager des recours contre ses sous-traitants en cas de problèmes. A lui de se faire garantir leurs qualités de service ».
Ce type de question arrive généralement quand le client hésite sur le choix du prestataire IT ou Cloud de confiance. Qui sera le plus qualifié pour héberger ses applications ou sauvegarder ses données dans le Cloud ou dans un datacentre externalisé ? Il y a urgence à comprendre les rôles des différents prestataires selon Anthony Collard, car « beaucoup de clients confondent encore, trop souvent par méconnaissance du marché et de ses acteurs, les responsabilités de chacun des intervenants. Ils ne comprennent pas toujours leurs missions d’ailleurs, en matière de sauvegarde des données par exemple. Nombre d’entre eux sont persuadés, à tort, que tout repose essentiellement sur l’hébergeur dans ce domaine ».
Qui fait quoi dans le Cloud ou dans l’hébergement des données et des applications ?
Il est donc utile de rappeler les rôles des différents prestataires dans l’utilisation et la sauvegarde des données externalisées. Par exemple, si l’entreprise décide de louer ses logiciels et de les consommer à l’usage comme des services (Saas), elle est confrontée à plusieurs acteurs dans le processus. Si elle dispose d’un département informatique (DSI), l’entreprise peut soit passer commande en ligne directement chez l’éditeur pour les logiciels ou les offres de service cloud (Iaas, Saas, Paas, Staas, Ucaas, etc.) les plus simples ou, s’il s’agit de progiciels sophistiqués (Cegid, Salesforce, SAP, etc.), les acheter via un intégrateur IT certifié (Cheops Technology, Linkbynet, Metsys, Oceanet, etc.) qui en assurera le déploiement et le maintien en conditions opérationnelles.
Mais pas forcément dans le datacentre de l’entreprise, sauf dans un cloud privé, ou dans ceux de l’éditeur ou de son prestataire car ces installations sont coûteuses à construire et à maintenir aux normes internationales. Ces acteurs sous-traitent donc fréquemment l’hébergement des données et des applications de leurs clients, pas de manière toujours très transparente, à un hébergeur (EBRC, Equinix, OVH, etc.).
Rappelons qu’un hébergeur est une sorte d’hôtelier spécialisé dans la construction et l’exploitation de datacentres, dont il vend ensuite à des tiers la capacité d’hébergement par unités (salle, demie salle, baies, etc.). Ses « chambres » hébergent les serveurs ou les services de tous ces prestataires spécialisés dans l’informatique et le cloud. Vous l’aurez compris, tous ces entreprises ne disposent ni des mêmes compétences techniques, ni des mêmes niveaux d’investissement dans tous les maillons de la chaine du cloud. Et encore moins les mêmes niveaux de responsabilité en cas de sinistre.
Pour en savoir plus sur ce sujet passionnant et complexe, Solutions Numériques vous invite à lire les interviews de ses experts publiées à l’occasion de la Journée mondiale de la Sauvegarde du 31 mars.
découvrez les interviews complètes sur le sujet de :
- Me Olivier Iteanu, avocat et créateur du cabinet Iteanu
- Nicolas Leroy Fleuriot, PDG de l’intégrateur et infogéreur Cheops Technology
- Anthony Collard, responsable Infogérance & SMSI d’Ikoula
- Arnaud de Bermingham, président de Scaleway
Olivier Bellin