être rappelé
Accueil >
Actualités >
Incendie chez OVH Cloud, Bibliothèque d'Alexandre 2.0... ou de l'importance de la gestion des risques générés par l'hébergement cloud
Incendie chez OVH Cloud, Bibliothèque d'Alexandre 2.0... ou de l'importance de la gestion des risques générés par l'hébergement cloud
Tags : #tech #cloud #numérique #souveraineté #gestion des risques #cabinet de conseil #risk management #données #data #cyber #OVHCloud #Plan de poursuite d’activité #PUPA #procédures dégradées #Continuité d’activité
10 Mars 2021 : jour sombre pour la tech nationale. OVH Cloud, leader français dans l’infrastructure as-a-service, huitième hébergeur de données à l'échelle mondiale, s’embrase durant la nuit. Le bilan de cet épisode s’avère funeste : le fournisseur d’hébergement cloud, qui détenait 4 salles de serveurs à Strasbourg (SBG1, SBG2, SBG3, SBG4) voit l’une d’elles, SGB2, partir complètement en fumée ; le secteur SBG1, mitoyen, est partiellement touché. Même les secteurs épargnés par les flammes sont momentanément mis hors d’usage.
UNE ONDE DE CHOC CONSIDÉRABLE, AUX CONSÉQUENCES VARIABLES EN FONCTION DU PROFIL DES CLIENTS
L’onde de choc est considérable. Si les estimations demeurent pour l’heure incertaines, l'entreprise estime qu’entre 12 000 et 16 0000 de ses clients sont directement affectés par l’événement. Environ 3,6 millions de serveurs HTTP, soit 464 000 noms de domaine sont momentanément hors ligne.
Les clients d’OVH cloud, majoritairement français, sont égaux face à la réalisation de la menace : petits développeurs indépendants, certains services publics tout comme de grandes entreprises sont touchés par l’incendie.
Ils sont en revanche dans des situations bien différentes en termes des conséquences, qui dépendent pour beaucoup de leur profil et de la zone où étaient stockées leurs données bénéficiant du service de cloud.
Ils sont en revanche dans des situations bien différentes en termes des conséquences, qui dépendent pour beaucoup de leur profil et de la zone où étaient stockées leurs données bénéficiant du service de cloud.
Les répercussions de l’évènement sont ainsi multiples : certains clients voient leurs sites marchands ou de paris inaccessibles, quand d’autres sont dans l’incapacité d’accéder à leurs correspondances ; enfin, les plus sinistrés - qui voyaient leurs données stockées dans SGB2 ou dans la partie touchée de SGB1 et qui n’avaient pas procédé à une sauvegarde tierce de celles-ci – ont définitivement perdu les données qu’ils faisaient héberger.
La réaction d’OVH Cloud ne se fait pas attendre : le Directeur Général enjoint rapidement ses clients ayant souscrit l’option du disaster recovery plan à l’activer au plus vite pour pouvoir réaccéder à leurs données. Parallèlement, des moyens considérables sont déployés par le fleuron national afin de rétablir la situation, limitant ainsi le préjudice subi par une partie des clients des services cloud. Une feuille de route du rétablissement définitif de la situation est publiée avec diligence et les gestes commerciaux se multiplient. Pourtant, il est pourtant parfois déjà trop tard.
Après la période de sidération, vient donc la phase de questionnements. Le lourd tribut payé par les entreprises aurait-il pu être évité ? Quels enseignements peut-on tirer de cet événement ?
UN INCIDENT QUI AURAIT PU ÊTRE ÉVITÉ
TANT PAR LES ENTREPRISES….
L’inégalité des conséquences de l’évènement pour les clients d’OVH Cloud souligne le caractère critique d’une anticipation des menaces par les organisations.
Les acteurs économiques envisageant un danger étant en effet toujours plus préparés quand celui-ci se matérialise, ce fait divers met en lumière l’importance pour toutes les entreprises d’intégrer la gestion du risque à leurs pratiques, celui-ci ayant une dimension stratégique.
Ainsi, alors que certaines firmes n’ont connu qu’une perturbation de quelques minutes de leur activité, d’autres ont définitivement perdu leurs données hébergées sur le cloud d'OVH et nécessiteront d’un délai plus important pour reprendre leur activité.
En cause, des défaillances tant stratégiques qu’opérationnelles.
- Au niveau stratégique d’abord, il est à ainsi à signaler pour certaines structures, l’absence d’intégration d’un service de gestion de risques, voire de crise, à même d’anticiper et de traiter ce type d’éventualité. Cet écueil est commun chez les petites entreprises : il est cependant indispensable de développer cette fonction, quitte à l’externaliser.
- Au niveau opérationnel ensuite, pour les compagnies disposant d’un service de contrôle interne ou de gestion de risques. Plusieurs cas de figure peuvent être relevés. Le premier est celui d’une mauvaise cartographie des risques, qui a conduit à la sous-estimation du risque de défaillance cyber de la part de l’hébergeur, voire à ne pas l’envisager du tout. Ceci a notamment pu conduire à sous-évaluer la menace liée au fait d’externaliser la gestion de données parfois sensibles, et toujours stratégiques, en choisissant une solution à bas coût auprès d’un unique opérateur cloud. La notion de Prestation de Service Essentielles Externalisées applicable au secteur bancaire est particulièrement intéressante en ce qu’elle offre, parmi les grilles de lecture et de qualification des PSEE, un critère de « criticité » de la prestation en ce qu’elle affecterait la banque en cas de défaillance. OVHCloud est sans conteste éligible – ainsi que plus largement la notion de sauvegarde des données et de sécurité logique – et se devrait dès lors de se soumettre à un contrôle périodique ainsi que requis par la réglementation de l’Arrêté du 3 Novembre 2014 applicable dans le secteur financier. Si ce dernier cas est spécifique, la démarche est néanmoins commune à toutes les entreprises quel que soit le secteur et révèle ainsi potentiellement un défaut de contrôle de ces prestations.
L’erreur a également pu provenir de la conception ou de l’exécution du plan de contrôle, avec notamment l’absence d’une préconisation ou du contrôle de la réalisation d’une sauvegarde physique des données.
À l’inverse, l’expérience montre que les entreprises ayant été le moins affectées par le choc sont celles qui avaient mis en place une gestion très sécurisée de leurs données avec une sauvegarde de secours de celles-ci, parfois en temps réel, auprès du même hébergeur cloud ou mieux, auprès d’un autre et sur une zone géographique différente.
Il est ainsi capital pour les entreprises de toute taille de disposer d’un plan de contrôle interne, d’une part, et d’un plan d’urgence et de poursuite d’activité (PUPA) anciennement nommé plan de poursuite d’activité (PCA). À ce titre, Brain Capital Management, fort d’une longue expérience de gestion des risques, peut devenir votre partenaire de premier plan pour mettre en place ce type de dispositif.
QUE PAR L’HÉBERGEUR CLOUD….
L’évènement met aussi en lumière les propres manquements d'OVH Cloud.
- En premier lieu, celui-ci a procédé à une mauvaise allocation (voire d’une négligence) des moyens de détection et de prévention de l’incendie. En effet, les systèmes de sécurité les plus récents n’ont pas forcément été affectés aux salles les plus critiques, à savoir consacrées au stockage des serveurs dédiés aux services de hosted private cloud, activité haut de gamme d’OVH Cloud et solution souvent souscrite par de grands clients. Ainsi, la salle SBG2 (contenant les serveurs dédiés à ce segment d’activité) n’était-elle qu’équipée de dispositifs datant de 2011, moins perfectionnés que ceux installés en 2018, dans d’autres salles de serveurs à dimension moins critique.
- Il est également à souligner une répartition inconsidérée de serveurs dédiés à la sauvegarde de secours des données de certaines entreprises clientes, lesquelles avaient souscrit à cette option supplémentaire de sécurité, justement afin de parer l’aléa d’une perte de données sur un serveur. Alors qu’OVH Cloud dispose de 32 centres de stockage de données, certains serveurs dédiés au back up de données stockées par d’autres serveurs étaient situés dans la même zone géographique – et parfois, la même salle de serveurs !
- Outre ces défaillances opérationnelles, c’est plus généralement, la question de politique de bas coût menée par l’OVH Cloud qui peut être analysée comme une erreur stratégique, alors qu’il est question de sécurité. La réalisation peu probable d’un risque ne doit pas être négligée quand son impact est très important. Si les dispositifs de détection d’incendie étaient bien installés, que des contrôles étaient menés régulièrement et qu’il peut être relevée une réactivité très importante des équipes d’OVH Cloud après la détection des flammes – arrivant moins d’une minute après le déclenchement des alarmes-, il est à relever qu’à l’inverse de ses concurrents, l’hébergeur cloud français n’avait pas équipé son site strasbourgeois de toutes les technologies de nature à prévenir le risque d’incendie, à savoir les gicleurs d’eau (permettant l’extinction des premières flammes) le dispositif de diffusion de gaz inerte ou encore les brumisateurs à haute pression. Toujours dans une logique de réduction des coûts, l’hébergeur cloud ne proposait qu’en option supplémentaire la sauvegarde de secours des données. Il convenait donc pour les clients de se prémunir par eux-mêmes d’une quelconque défaillance de leur hébergeur cloud du fait d’un cas de force majeure, le contrat prévoyant en outre, dans cette situation précise, l’exonération de la responsabilité d’OVH Cloud pour le préjudice subi par ses clients.
- Enfin, les difficultés rencontrées aujourd’hui par certains clients d’OVH Cloud à recouvrer accès à leurs données malgré la prise de mesures de sécurité supplémentaires – notamment ceux ayant souscrit à une redondance miroir en temps réel de la sauvegarde de leurs données, parfois sur des sites géographiques différents – laisse à questionner a minima sur la qualité des exercices d’audit interne portant sur la sécurité et la gestion de crise. De la même manière, le nouvel incendie survenu lors du redémarrage d’une partie des serveurs et la condamnation décidée de la partie préservée de SBG1 démontre l’impuissance à parfois juguler une crise lorsque celle-ci survient, de la difficulté à obtenir la reprise des activités et rappelle dès lors combien le déploiement de moyens de prévention est important.
À la lumière des événements du 20 mars, qualifiés par l’aveu même du fondateur d’OVH Cloud comme « pire jour en 22 ans de l’entreprise », on peut finalement constater comment cette politique de réduction de coûts et le manque d’exercice de gestion de crise peut s’avérer néfaste pour les entreprises, l’hébergeur cloud français voyant aujourd’hui sa réputation sérieusement entachée.
LE CARACTÈRE TOUJOURS PLUS CRITIQUE ET STRATEGIQUE DU CYBER ET DES DATA
Cet événement, qualifié de « catastrophe économique » par certains observateurs, révèle ô combien le cyberespace est devenu un terrain de conflictualité. Si les technologies cyber sont de plus en plus adoptées et exploitées par le secteur public et privé, le recours croissant à celles-ci - notamment via le recours aux services de cloud- expose aussi ses utilisateurs à de nouveaux risques.
À cet égard, les préjudices consécutifs à l’incendie d'OVH Cloud ne sont que l’une des illustrations de la diversité des menaces auxquels sont à présent exposés ceux qui dépendent du cyber.
Dans un contexte où la compétition fait parfois rage entre les États, les terrains de rivalité sont multiples. La guerre économique est l’un de ces champs de bataille. Les données, capital stratégique et opérationnel des entreprises, peuvent donc faire l’objet de convoitise ou d’actions hostiles. Leur bonne gestion devient donc un enjeu critique et les données émergent ainsi de plus en plus comme l’or du XXIème siècle.
Atteste de ce constat, l’attention croissante portée à la data par les États. En 2018, un groupe de travail de l’Assemblée nationale relevait le risque que la France devienne une « colonie digitale » et exhortait l’État à accroître ses efforts afin d’obtenir sa cyber souveraineté, qui pourrait être définie comme le « pouvoir de contrôler l’utilisation faite d’internet et des données générées sur son territoire ».
Le fait que les solutions de collecte et de traitement de données, ainsi que les lieux de de stockage de celles-ci (les datacenters) soient majoritairement américains constitue un sujet de préoccupation dans la mesure où le risque d’espionnage cyberindustriel existe, notamment via le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), lequel dispose que l’Etat américain peut demander au fournisseur d’hébergement cloud d’accéder aux données d’entités étrangères dont on suspecterait une activité criminelle, quand bien même ces données seraient stockées à l’étranger, à compter du moment où le fournisseur de services cloud dispose d’une structure aux États-Unis.
En conséquence, les initiatives destinées à restaurer la protection des données, ainsi que la souveraineté sur celles-ci se multiplient en France et en Union Européenne, tant de la part des acteurs publics que privés. On peut noter de la part des pouvoirs publics l’accumulation de dispositifs : projet Andromède entre 2012 et 2015, règlement général portant sur la Protection des Données en 2018, mise en place française d’un label « SecNumCloud » octroyé par l’ANSSI et garantissant un haut niveau de protection du stockage des données par les prestataires cloud …. Les acteurs privés ne sont pas en reste : on peut citer le projet Gaia X, porté par diverses grandes entreprises européennes et qui vise à promouvoir la création d’un cloud souverain européen.
Dans ce contexte, l’incendie d’OVH Cloud résonne d’autant plus terriblement qu’il vient porter un coup aux ambitions du « rempart européen » aux fournisseurs cloud américain, lesquels ne peuvent que se réjouir et bénéficier de cette subite ‘malchance’ du fleuron national : OVH Cloud venait juste de décrocher la qualification SecNumCloud et avait annoncé sa volonté d’entrer en bourse la veille du déclenchement de l’incendie, afin de rester dans la course de l’innovation et d’acquérir une plus grande notoriété, nécessaire à l’acquisition de nouvelles parts de marché.
Ainsi, bien qu’OVH Cloud connaisse actuellement un revers important, il demeure néanmoins un champion français à encourager dans la mesure où il propose une solution cloud qui n’implique pas le transfert de données auprès d’entités soumises à des autorités tierces à la France et l’Union Européenne.
*
* *
*
* *
Le choc généré par cet incendie doit toutefois amener les acteurs économiques à s’interroger sur leur politique de stockage et de gestion des données - particulièrement quand ceux-ci se reposent sur les sercices de cloud-, et les interroger sur les dispositifs à mettre en place - notamment les plans d’urgence et de poursuite d’activité - afin de limiter la réalisation de scénarii préjudiciables à leur activité. N’oublions pas que 8 entreprises sur 10 font faillite dans l’année dès lors qu’elles n’ont pas su recouvrer leurs données (source : cabinet Vanson Bourne en 2014).
Sources
- Lausson, J. (15/03/2021) Incendie chez OVH : l’hébergeur précise ce qui est récupérable et ce qui est perdu, Numerama. https://www.numerama.com/tech/696788-incendie-chez-ovh-lhebergeur-precise-ce-qui-est-recuperable-et-ce-qui-est-perdu.html
- Loukil, R., (15/03/2021), L’incendie d’un datacenter d’OVH, un cataclysme pour tout le numérique français, L’Usine Nouvelle. https://www.usinenouvelle.com/article/l-incendie-d-un-datacenter-d-ovh-un-cataclysme-pour-tout-le-numerique-francais.N1071209
- Crochet-Damais, A. (16/03/2021), Incendie chez OVH : de nombreux back-ups irrécupérables, Journal du Net. https://www.journaldunet.com/web-tech/cloud/1498567-incendie-chez-ovh-de-nombreux-backups-irrecuperables/
- Crochet-Damais, A. (23/03/2021), Incendie d’OVH à Strasbourg : la CNIL monte au créneau, Le journal du Net. https://www.journaldunet.com/web-tech/cloud/1498567-incendie-d-ovh-a-strasbourg-la-cnil-monte-au-creneau
- Dèbes, F., (12/03/2021). Incendie d’OVHcloud : la qualité des installations pointée du doigt, le DG s’explique, Les Echos. https://www.lesechos.fr/tech-medias/hightech/incendie-dovhcloud-la-qualite-des-infrastructures-pointee-du-doigt-le-dg-sexplique-1297611
- Dèbes, F., (08/03/2021). La licorne tricolore OVHcloud a la bourse en ligne de mire, Les Echos. https://www.lesechos.fr/tech-medias/hightech/ovhcloud-envisage-de-se-coter-en-bourse-1296368
- Bembaron, E., (10/10/2019). OVH Cloud se pose en rempart européen pour les données, Le Figaro. https://www.lefigaro.fr/secteur/high-tech/ovh-cloud-se-pose-en-rempart-europeen-pour-les-donnees-20191010
- Iweins, D., (11/03/2021). Incendie d’OVH : quelles conséquences pour les clients ?, Les Echos. https://www.lesechos.fr/tech-medias/hightech/incendie-dovh-quelles-consequences-pour-les-clients-1297492
- Dèbes, F., (03/11/2020). OVHCloud refuse de complexer vis-à-vis d’AWS et Microsoft, Les Echos. https://www.lesechos.fr/tech-medias/hightech/ovhcloud-refuse-de-complexer-vis-a-vis-daws-et-microsoft-1261448
- Bembaron, E., (07/10/2019). Le Cloud souverain à la française, parade aux lois américaines, Le Figaro. https://www.lefigaro.fr/secteur/high-tech/le-cloud-souverain-a-la-francaise-parade-aux-lois-americaines-20191007
- Ronfaut, L., (07/02/2019). Cloud Act : la résistance française s’organise. Le Figaro.https://www.lefigaro.fr/secteur/high-tech/2019/02/07/32001-20190207ARTFIG00269-cloud-act-la-resistance-francaise-s-organise.php
- Vergara, I., (17/09/2020). Snowflake, la licorne qui s’est muée en titan. Le Figaro, https://www.lefigaro.fr/secteur/high-tech/snowflake-la-licorne-qui-s-est-muee-en-titan-20200917
- Randall, P., (14/03/2021). Incendie OVH : comment définir le plan de reprise d’activité de son entreprise ?, Les Numériques. https://www.lesnumeriques.com/pro/incendie-ovh-comment-definir-le-plan-de-reprise-d-activite-de-son-entreprise-n161495.html
- Lesaffre, C. (22/03/2021), Après l’incendie, la bataille d’OVH pour redémarrer ses datacenters de Strasbourg, Europe 1. https://www.europe1.fr/economie/apres-lincendie-la-bataille-dovh-pour-redemarrer-ses-datacenters-de-strasbourg-4033013
- Leigh, K., Kravchenko, S., Rai, S., (02/05/2019), How “cybersovereignty” splits the once World Wide Web, Bloomberg
Demande de renseignements
Articles en relation
Nous écrire
Les champs indiqués par un astérisque (*) sont obligatoires
