Les leçons à tirer de l'incendie du data center d'OVHCloud

La responsabilité de la conception et de la mise en place d'un plan de reprise d'activité incombe aux entreprises, et non au fournisseur de service cloud ou à l'hébergeur. Seule l'activation du PRA et son exécution peuvent être partagées entre le fournisseur et le client.

En cas de sinistre, les entreprises sont responsables de la protection de leurs données !

Le 10 mars dernier, à Strasbourg, un incendie s’est déclaré dans un bâtiment d’OVHcloud, hébergeur souverain classé dans le top 20 mondial des fournisseurs de services cloud. Un datacenter a été complètement détruit et trois autres ont été endommagés. Suite à cette catastrophe d’une ampleur sans précédent dans le milieu de l’hébergement, plusieurs clients ayant perdu tout ou partie de leurs données ont pointé du doigt la responsabilité de l’hébergeur.

Ces accusations infondées reposent sur une méconnaissance de la chaîne de responsabilité. En effet, toute entreprise se doit de prendre les mesures utiles afin de protéger ses données et garantir la continuité de son activité en cas de sinistre.

Les évènements inattendus ou "cygnes noirs"

Dans le monde, une entreprise sur trois* a déjà connu une perte de données irréversible. Ces pertes peuvent être liées à des catastrophes naturelles, à des erreurs humaines, des cambriolages ou encore à des pannes matérielles. Ces évènements peu probables, impossibles à prédire et dont les conséquences sont dévastatrices sont appelés “cygnes noirs”. Les cyberattaques, par leur fréquence, ne peuvent plus figurer dans cette catégorie, leur probabilité de survenance pour une organisation étant désormais très élevée.

Capitaliser sur chaque sinistre pour améliorer sa résilience

Il convient avant tout de lutter contre une idée largement répandue, notamment dans les petites organisations du fait d’une carence en connaissances ou en compétences informatiques : confier l’hébergement de ses données, de ses applications ou de ses serveurs à un prestataire de cloud computing ne règle pas le problème de la protection de son écosystème de données. Ce point est d’ailleurs clairement mentionné dans les conditions générales de vente des hébergeurs, comme des fournisseurs d’applications en mode cloud.

Les questions de sécurité qui se posaient aux dirigeants d’entreprise avec des infrastructures sur site se complexifient, même lorsque ces dernières sont opérées en cloud ou en mode hybride du fait de la délégation d’un certain nombre de responsabilités.

3 bonnes pratiques à adopter pour protéger ses données

Mais les principes de bonne gestion en matière de sauvegarde de données et de continuité d’activité demeurent inchangés. Afin de se prémunir contre tout sinistre, trois bonnes pratiques méritent d’être rappelées :

  • Tout d’abord, il est vivement conseillé de procéder à une lecture rigoureuse des contrats liés à l’externalisation de ses données. Dans ces documents, la responsabilité de chaque partie en cas de sinistre est précisée. En les comparant, vous noterez qu’il sera toujours plus aisé et bien moins coûteux de faire prévaloir ses droits quand la compétence est attribuée à un tribunal sous juridiction européenne.
  • Ensuite, il convient d’observer scrupuleusement la règle de sauvegarde du 3/2/1 qui consiste à disposer d’au moins trois copies de ses données, à stocker ces copies sur deux supports différents et à conserver une copie de la sauvegarde en dehors du site de production (cloud, bande, site distant, etc.), idéalement déconnectée d’internet (stratégie d’air gap) pour éviter tout risque de corruption ou encryption des données par une cyberattaque sophistiquée.
  •  Enfin, la conception et mise en place d’un plan de reprise d’activité (PRA) est cruciale pour récupérer et pouvoir exploiter ses données après un incident. Les entreprises doivent prévoir la reconstruction de leur infrastructure informatique et la remise en route de leurs applications en cas de sinistre. Lors de l’élaboration du PRA, toute activité considérée comme critique doit être clairement identifiée. Elle doit faire l’objet d’un plan définissant les besoins humains, matériels et les coûts liés au déclenchement de ce plan. Ce plan définira la perte maximale de données autorisées (PMDA) et le délai maximal d’interruption autorisé (DMIA).

La responsabilité de la conception et mise en place d’un PRA incombe donc aux entreprises, et non au fournisseur de service cloud ou à l’hébergeur. Seule l’activation du PRA et son exécution peuvent être partagées entre le fournisseur et le client.

L’illusion d’une responsabilité partagée

En optant pour une offre “as a service”, les entreprises délèguent la gestion de tout ou partie de leur infrastructure à un fournisseur de services. Quelle que soit le type de délégation choisie, IaaS (Infrastructure as a Service), PaaS (Platform as a Service) ou SaaS (Software as a Service), la responsabilité de la protection des données est imputée à l’entreprise qui en est propriétaire. 
Le schéma suivant l’illustre bien :

Prenons l’exemple de l’offre Saas. Parmi les applications les plus connues on compte Salesforce, Dropbox ou encore Microsoft 365. Si l’on s’intéresse de près à Microsoft 365 : Microsoft assure un niveau de protection raisonnable pour protéger les données, mais les entreprises doivent malgré tout prévoir des protections autonomes supplémentaires.

Dans la pratique, les entreprises ont tout intérêt à ne pas se satisfaire d’une réponse commerciale quand leur activité est en jeu. Elles doivent prendre connaissance, et de façon précise, du ou des lieux où sont hébergées leurs données et applications (serveurs primaires), des lieux de réplications éventuelles (serveurs secondaires) et des chemins d’accès aux données et procédures de redémarrage des applications prévues en cas de sinistre, les PDMA et DIMA contractuelles associées. Elles doivent également exiger d’être informées en cas d’évolution de l’architecture en cours de contrat.

La très forte dépendance des organisations à leur informatique doit conduire à prioriser les investissements en cybersécurité. Le montant de cet investissement devrait s’établir à minima 5% et idéalement 10% du budget annuel informatique global, à commencer par la sauvegarde et le PRA qui constituent le rempart ultime contre tout sinistre.  

*source : Global Data Protection Index, Dell Technologies, 2019