L’incendie du datacentre d’OVHCloud a montré que beaucoup de clients ne connaissent toujours pas les différences entre un opérateur cloud, un hébergeur et un gestionnaire de datacentres ! Pire, ils croient que leurs données sont systématiquement sauvegardées. Nicolas Leroy Fleuriot, PDG de Cheops Technology, nous rappelle les fondamentaux dans ce domaine. D’ailleurs, qui porte la responsabilité de la perte des données en cas de sous-traitance de leur hébergement à un tiers ?
Olivier Bellin, magazine Solutions Numériques : Un hébergeur est-il tenu d’assurer la sauvegarde des données des sites ou applications qu’il héberge, même si ses clients n’ont pas acheté cette prestation ?
Nicolas Leroy Fleuriot, fondateur et PDG de Cheops Technology, un intégrateur IT, opérateur cloud et infogéreur national :
Il n’existe pas d’obligations légales, à ma connaissance, obligeant un hébergeur de sites web ou d’applications à assurer la sauvegarde des données de ses clients. Cela dépend de la typologie du contrat souscrit. Des sociétés semblent avoir perdu des données suite à l’incendie qu’a connu l’un de nos confrères car elles pensaient, visiblement à tort, que ce dernier en assurait obligatoirement la sauvegarde. Pour autant, il y a des best practices dans notre métier et je n’imagine pas proposer un contrat Cloud ou d’hébergement à un client sans l’informer en amont, et sans discuter avec lui de sa politique de sauvegarde, ou de continuité d’activité en cas de sinistre. Je rappelle qu’il est de notre devoir de le faire car cela fait partie des bonnes pratiques sectorielles. Nous avons tous un devoir de conseil à l’égard de nos clients.
Vos clients connaissent-ils les différences entre hébergeur, opérateur cloud et datacenter en matière de sauvegarde des données hébergées par un tiers ?
Non. L’incendie chez OVHCloud a non seulement créé un vent de panique chez les clients sur tous les sujets liés au cloud et à l’hébergement. Mais il nous a également permis de confirmer que les clients ont parfois du mal à distinguer les métiers de fournisseur de Cloud public de celui de fournisseur de Cloud privé mutualisé avec des services managés.
Un fournisseur de services Cloud et intégrateur comme Cheops Technology propose-t-il des prestations de sauvegarde des données très différentes de celles d’un pur hébergeur ?
Cheops Technology gère les systèmes d’information des clients avec des niveaux de services contractuels (SLA) impliquant une responsabilité forte, notamment en ce qui concerne la sauvegarde des données, qui est placée sous notre responsabilité. D’ailleurs, nos options dans ce domaine sont extrêmement claires, contrairement aux pratiques de certains hébergeurs ou prestataires cloud. Nos offres cloud iCod rencontrent leur marché car elles intègrent systématiquement des engagements de disponibilité systèmes et applicatives liées à des services managés très personnalisés, que ce soit sur des infrastructures dédiées ou mutualisées. Suite au sinistre survenu en mars chez notre confrère, nous remarquons chez Cheops Technology une sollicitation plus forte par des clients désireux de souscrire a minima un Plan de Reprise d’Activité (PRA).
La sauvegarde des données chez un hébergeur sont-elles toutes effectuées avec un PRA et sur un second datacenter distant en option ?
En ce qui nous concerne, la sauvegarde des données est systématiquement répliquée sur un datacentre distant et une externalisation sur bandes sur un troisième site est faite quotidiennement. Pour le PRA, tout dépend du niveau de service souscrit. Chez Cheops Technology, 75% des clients ont souscrit notre offre de PCA ou de PRA dual datacenter. Ainsi, les clients qui disposent de l’option Plan de Continuité d’Activité (PCA) bénéficient d’une reprise instantanée et en temps réel de leurs services sur le site n+1 en cas de sinistre sur le premier datacenter.
Plutôt haut de gamme et coûteux, ce type de sauvegarde redondée des données sur un second datacenter est-il réservé aux entreprises les plus fortunées ?
Bien évidemment, cette prestation a un coût, mais chez Cheops Technology, l’option Plan de Reprise d’Activité (PRA) est très accessible financièrement car la réplication à distance des données s’effectue également sur un deuxième datacenter, mais avec un redémarrage manuel des installations dont le temps varie en fonction de la taille des applications.
Par contre, tous les clients de notre offre de Cloud privé mutualisé iCod disposent bien de sauvegardes sécurisées dans un autre datacenter. Mais ceux qui n’ont pas souscrit de PCA ou de PRA ne peuvent bien évidemment pas bénéficier d’un délai contractuel de remise en route car une telle opération peut prendre plusieurs jours dans certains cas complexes. Cheops Technology les en a informés avant la signature du contrat et ils savent qu’il existe un délai dans un tel cas.
En cas de sous-traitance à un tiers de l’hébergement des données ou des sites par un éditeur de logiciels ou un opérateur cloud, qui porte la responsabilité de la perte des données en cas de sinistre ?
Celui qui a signé le contrat avec le client final porte la responsabilité en cas de sinistre et de perte de données. Cheops Technology a souscrit des engagements clairs en matière de PRA ou PCA vis-à-vis des éditeurs de logiciels avec lesquels nous travaillons. S’il y a un incendie dans un datacentre, c’est lui qui porte la responsabilité vis-à-vis du client, mais à charge pour l’éditeur de logiciels de se retourner vers son sous-traitant pour faire respecter ses engagements et ses SLA.
Comment s’y retrouver dans l’échelle des responsabilités en cas de sous-traitance multiple alors ?
Nous avons tous un devoir de conseil vis-à-vis du client en tant que prestataire de services IT. Chez Cheops Technology, notre métier est de les accompagner pour les aider à « Mettre la bonne application dans le bon cloud au bon prix ». C’est clairement notre stratégie aujourd’hui. Je conseille donc aux entreprises de passer par nous quand leurs applications/données à héberger nécessitent des SLA très élevés, de la très haute confidentialité pour leurs données stratégiques par exemple, voire de la personnalisation des environnements pour les héberger sur nos offres de cloud privé mutualisées ou dédiées. Sinon, nous pouvons les accompagner aussi à basculer certaines applications chez un opérateur de cloud public des données ou des applications moins critiques ne nécessitant pas de SLA personnalisés.
Un client peut-il exiger de l’hébergeur de l’aider à récupérer ses données s’il change de prestataire ?
Oui, selon moi, cette clause de réversibilité doit être contractuelle et doit figurer dans tous les contrats de cloud et d’hébergement. Chez Cheops Technology, nos équipes aident le client à migrer ses données dans un autre datacentre lorsque c’est nécessaire. Ce type de service devient un véritable enjeu pour des prestataires de services comme nous, car nous accompagnerons de plus en plus le retour dans des clouds privés ou hybrides de certains clients provenant des clouds publics.
Un client peut-il demander à son hébergeur de vérifier son dispositif de sauvegarde et ses SLA ?
Absolument ! C’est une obligation légale. D’ailleurs, les clients de Cheops Technology réalisent régulièrement des audits sur nos installations. Ce qui n’est pas forcément le cas sur de l’hébergement « low cost ». Cette démarche est importante pour nos clients. Elle leur permet en effet de voir s’ils ont commis une erreur en amont de leur décision d’externalisation, parce qu’ils n’ont pas qualifié la solution retenue par rapport aux besoins exprimés par exemple.
Des conseils à donner aux clients désireux d’externaliser leurs sites web et leurs applications sans se faire piéger ?
En tant que client, je vérifierais avant de signer le contrat quelles sont mes garanties. Est-ce que mes données sont toutes obligatoirement sauvegardées ? Est-ce qu’elles sont hébergées en miroir sur un second site en cas de catastrophe ? Est-ce qu’il y des SLA ? Quel est le niveau de pénalité en cas de non-respect des engagements de services ? etc… Toutes ces informations et les options souscrites doivent être décrites clairement dans le contrat, y compris chez les hébergeurs dits « low cost ».