En début d’année, un incident majeur sur le site strasbourgeois d’OVH provoquait une interruption majeure de service. Mais les conséquences de l’incendie du site ne s’arrêtaient malheureusement pas là. Si un “black-out” pour les multiples sites, privés ou publics, qui y étaient hébergés était déjà une mauvaise nouvelle, c’est surtout la perte de données qu’il a engendré qui a laissé des traces. Allant, dans certains cas, jusqu’à signifier l’arrêt définitif d’activités de certains sites hébergés.

Arrêt pur, simple et définitif en effet pour tous ceux qui ont définitivement perdu toutes ou une grande partie de leurs données. Parmi elles, des listings de client, les “traces” des transactions commerciales qui transitaient et étaient gérées sur leur site, les dossiers comptables…

Si le cloud a du bon et est devenu le canal sur lequel on s’appuie de plus en plus, jusqu’à l’exclusivité, pour certaines de nos activités, l’incident qui a touché OVH est aussi le rappel que l’on ne peut pas confier tous ses oeufs à un porteur de panier sans prendre certaines précautions et sans assumer soi-même certaines responsabilités.

Nous consacrons dès lors cet article à quelques rappels et petits conseils destinés à rappeler l’un ou l’autre principe – et réalité – de base. Ils vous sont fournis par plusieurs observateurs et acteurs de l’univers numérique qui l’abordent sous différents angles: technique, sécurité, transactionnel, contractuel…

Qui est responsable de quoi?

La question est – évidemment – fondamentale: qui est responsable de quoi? Beaucoup de clients d’OVH – et la même chose vaut d’une manière générale pour tous les entrepreneurs, sociétés, indépendants voire particuliers qui disposent d’un site Internet qu’ils font héberger chez X, Y ou Z -, beaucoup de clients donc croyaient qu’ils étaient “couverts”, que le service pour lequel ils avaient choisi OVH – contrat plus ou moins personnalisé à la clé – leur garantissait de retrouver, quoi qu’il arrive, leurs données, leur site intact, leurs ressources transactionnelles…

OVH a-t-il manqué à sa responsabilité? Ou cette dernière était-elle ailleurs?

David Vanderoost, directeur général d’Approach, société spécialisée dans les solutions et services de (cyber-)sécurité, estime que “visiblement, OVH a fait preuve de rapidité pour la restauration des systèmes – on parle de plus de 3.000 serveurs de remplacement construits par jour.

De nombreux témoignages ont circulé sur les réseaux suggérant qu’OVHCloud n’aurait pas été en mesure d’assurer la sécurité des données de ses clients. Difficile de savoir vraiment ce qu’il en est de ses rumeurs…

Mais est-ce in fine la responsabilité d’OVH qui doit être engagée en toute circonstance? N’est-ce pas d’abord la responsabilité de l’entreprise de sécuriser l’information dont elle dispose, en ce compris la protection des données à caractère personnel?

En effet, la responsabilité d’un hébergeur porte avant tout sur la fourniture d’une service d’hébergement et de diffusion de sites Web, d’applications et le stockage données. La sauvegarde, quant à elle, fait partie de services additionnels ou optionnels pouvant requérir un contrat explicite et/ou un service distinct.”

David Vanderoost (Approach): “N’est-ce pas d’abord la responsabilité de l’entreprise de sécuriser l’information dont elle dispose, en ce compris la protection des données à caractère personnel?”

Et c’est là que le bât, souvent, a blessé, que la mauvaise surprise est venue pour certains qui n’ont pas fait suffisamment attention. Ou, et nous y reviendrons, qui ont trop fait confiance par exemple à l’agence Web (ou au développeur) qui a réalisé pour elles leur site et avec laquelle/lequel elles ont passé contrat.

Le fait est toutefois que même certains qui avaient passé directement contrat avec OVH, sans passer par l’intermédiaire d’une agence, se sont mordus les doigts, ayant de toute évidence mal compris ce à quoi ils avaient droit – même avec des serveurs dédiés et des procédures de sauvegarde planifiées.

Disponibilité n’est pas faculté de récupérer

Les services qu’implique un contrat d’hébergement varient d’un hébergeur à l’autre. Tout comme les tarifs qu’il pratique. Des différences sensibles existent selon que l’on se lie à un hébergeur “low cost” (profil que l’on attribue souvent à OVH même s’il propose des formules davantage haut de gamme) ou à un hébergeur qui revendique l’étiquette “premium”.

“Il arrive souvent que l’offre d’entrée de gamme de l’hébergeur, qui de surcroit peut être englobée dans l’offre de services “tout inclus” d’une agence digitale, s’appuie sur un niveau de service de sauvegarde basique, voire rudimentaire – les copies de sauvegarde étant situées sur le même serveur, ou celui juste à côté…”, rappelle David Vanderoost.

“Dans le cas où les données sont très importantes, il est du devoir du propriétaire des données de s’assurer de prendre des sauvegardes fiables et de mettre en oeuvre des solutions de résilience qui soient à la hauteur de la valeur de ces données.

Bien entendu, une sauvegarde fiable et les solutions de résilience impliquent la mise en oeuvre de moyens supplémentaires qui ont un coût: sauvegardes bien faites, plan de reprise d’activité, test et maintenance de ceux-ci, assurance cybersécurité, etc.

Les clients ne prennent pas toujours le temps d’entamer ce dialogue avec l’hébergeur et avec leur partenaire IT, ou ne se donnent pas toujours les moyens pour investir dans ces solutions de résilience….”

Compte tenu de ces mises en garde ou rappels, David Vanderoost propose une série de conseils – à découvrir dans la suite de cet article.

Le fait est qu’un indépendant, une PME, une petite structure n’a bien souvent pas les moyens (financiers) de se payer un service “Premium”, qui prévoit une série de processus lui garantissant (le plus possible) de retrouver ses données, fichiers et site intacts. Même si cela doit être au prix d’une petite interruption en termes de disponibilité.

Ce genre de services, en fonction de la complexité des mécanismes de disponibilité/restauration proposés, se chiffre facilement en centaines d’euros par mois.

Il faut donc consentir des compromis, tenter de trouver le “juste” équilibre entre les moyens financiers dont on dispose et la “valeur” de la disponibilité/inaltérabilité des données ou du site.

Voici comment Damien Jacob, consultant en e-business/e-commerce (Retis), présente les choses. “Il est important de bien cerner le temps acceptable, pour son business, de non-disponibilité du service informatique proposé. Il s’agit potentiellement d’affiner cette caractérisation d’“acceptabilité” en distinguant différents niveaux de non-disponibilité.

Certaines indisponibilités sont critiques, car inacceptables ou très préjudiciables pour les utilisateurs. D’autres, se traduisant par un service dégradé, sont acceptables, du moins provisoirement, aux yeux des utilisateurs [Ndlr: précisons ici que l’acceptabilité d’une indisponibilité variera selon l’identité de ces “utilisateurs” – employés, clients, partenaires commerciaux…]

Damien Jacob (Retis): “Un recovery plan opérationnel, ce n’est pas forcément un dédoublement dans un autre datacenter – cela n’a du sens que pour certains. Par contre, disposer d’une sauvegarde dans un deuxième lieu, à un rythme compatible avec son business est une précaution utile. Pour un e-commerçant d’envergure moyenne, cela peut impliquer de procéder à une copie des bases de données et des fichiers tous les samedis…”

Il s’agit donc d’établir une matrice figurant ces différents niveaux d’indisponibilité et les causes possibles, en estimant leur probabilité, en identifiant et en chiffrant le coût de mesures préventives pour diminuer la probabilité, et en identifiant les solutions palliatives. 

Etape suivante: définir un plan – pour la prévention, pour la remise en service, avec, dans ce dernier cas, définition des procédures techniques et organisationnelles. Et, à chaque fois, avec chiffrage des investissements à consentir.”

De la responsabilité (morale) des intermédiaires

Cette vigilance et la nécessité de bien comprendre les implications des niveaux de service auxquels on a droit doivent aussi être bien présents à l’esprit lorsque l’on passe par un intermédiaire – par exemple, un hébergeur qui ne dispose pas de ses propres infrastructures mais fait héberger ces serveurs par un autre prestataire ou encore l’agence Web ou le développeur à qui l’on confie le développement et, dans certains cas, le support quotidien et le suivi du site en question.

Cela amène Damien Jacob à souligner une autre précaution bien utile: “Il est particulièrement important de creuser la portée des contrats avec les sous-traitants. L’incident en question [chez OVH] a montré que des e-commerçants ignoraient que leur agence Web sous-traitait l’hébergement et qu’ils ne connaissaient pas les conditions du service. 

L’un d’entre eux payait 250 euros par mois à l’agence alors que le contrat de base du datacenter, pour hébergement, ne coûtait en réalité que 59,90 euros… par an ! Et cet hébergement consistait en fait en un serveur mutualisé avec d’autres sites.” 250 euros par mois pour un tel “service”, excusez l’expression mais c’est de l’arnaque…

“L’e-commerçant a été scandalisé de la différence tarifaire. Mais, de cela, il ne devrait pas se plaindre… Il lui appartenait de mieux faire jouer la concurrence.” [Ou de mieux s’informer…]

“Ce qui me semble plus problématique, c’est le manque de transparence. Il y avait juste une ligne “hébergement pro avec backup possible”. Aux yeux de l’agence, cela voulait dire que le datacenter fournissait un système de sauvegarde. En réalité, les copies à J-1 et J-7 étaient dans le même datacenter, et l’agence ne procédait pas elle-même à la moindre sauvegarde.

Quant au client, il ne savait pas qu’il pouvait (ou devait) le faire lui-même… Et qu’il s’agissait de faire la sauvegarde, à la fois, du disque dur, par transfert FTP, et de la base de données PHP…

Le site de l’e-commerçant a finalement pu être remis en service, mais après un mois d’arrêt et en ayant perdu une partie de la comptabilité et de l’historique.”

Ce genre de situation, qui n’est malheureusement pas une exception, l’amène à revenir sur le problème de la “transparence” des contrats et des engagements de services. Chose qu’avait, en son temps, tenté de mettre en lumière et de professionnaliser la Charte eTIC.

“Il y avait un addendum de la Charte eTIC qui obligeait les prestataires ICT signataires de cette charte déontologique à un minimum de transparence au niveau des services fournis. Cet engagement aurait été bien utile pour les entreprises lésées. Cela montre une nouvelle fois à quel point il est bien triste que ce dispositif ait été fermé par la Wallonie. Plus de 90% des litiges trouvaient une solution…”.

Le cloud est incontournable. Restons donc informés et vigilants

L’incident qui a touché OVH fut exceptionnel mais aucun hébergeur n’est à l’abri. Même ceux qui proposent des services “premium”, qui pratiquent la duplication/réplication intensive de sites et de données, en tirant parti de réseaux d’infocentres aux dimensions internationales et qui leur appartiennent en propre, ne sont pas à l’abri d’un incident majeur avec pertes de données. Google, voici quelques années, en a fourni un bel exemple. Comme d’autres, plus ou moins récemment.

A tout le moins, comme indiqué ci-dessus, n’importe quel client d’un hébergeur devrait s’assurer que ses données sont bel et bien sauvegardées dans les règles – ou qu’il pourvoit lui-même aux procédures minimales. A savoir, être sûr de disposer d’une sauvegarde récente, qu’il hébergera ailleurs (sur sa propre infrastructure ou sur l’infrastructure d’un autre service cloud). Ou chez le même hébergeur mais sur un site géographiquement différent du centre où est situé le serveur principal.

Frank Vanden Berghen, directeur général de The TIMi Company, souligne par exemple qu’“à l’achat de tout serveur, OVH lui-même offre, depuis toujours, l’accès à un serveur de sauvegarde gratuit, pour une contenance de 500 Go”. Et un serveur situé en-dehors du site de l’hébergement principal…

A l’heure actuelle, rares sont les sociétés qui peuvent se permettre de ne pas se tourner vers un partenaire externe pour leurs besoins en hébergement cloud. Et que ce cloud, avec tous les services externalisés et/ou mutualisés qui se multiplient, devient de plus de plus incontournable.

“Il y a statistiquement nettement plus de risque de stocker ses données dans son entreprise que dans un datacenter spécialisé”, déclare Damien Jacob. “Je trouve inadéquate la réaction de certaines TPE qui préfèrent encore aujourd’hui investir dans leur propre infrastructure alors qu’elles n’ont par exemple pas de sécurisation de leurs circuits électriques et, surtout, ne sont pas suffisamment staffées.

Dans notre monde économique, on ne peut être complètement indépendant d’autres sociétés. On doit construire des partenariats, en faisant appel au core business de chacun. Il vaut donc mieux faire héberger son site, son application par un spécialiste, que le faire soi-même. Et admettre une certaine fragilité de ce type de construction.

Par contre, il faut poser les bonnes questions au sous-traitant… et s’assurer qu’il présente le niveau de spécialité en phase avec nos besoins. Si on opte pour le service “de base”, il ne faut pas s’attendre à un double niveau de redondance…

L’enseignement à tirer de l’événement exceptionnel survenu à OVH est surtout qu’il faut prévoir un recovery plan opérationnel!”.

Transparence – du nuage limpide au noir profond

On le voit, pour s’engager avec un hébergeur, tout client, que ce soit à titre privé ou professionnel, a donc tout intérêt à connaître précisément le niveau de service qu’il peut en espérer. La lecture du contrat, jusque dans ses moindres détails et plus petites lettres, est donc essentielle – à défaut de pouvoir imposer soi-même l’une ou l’autre clause. Idem pour ce qu’impliquent les différentes formules tarifaires proposées.

Malheureusement, comme l’expliquera Frank Vanden Berghen, directeur général de The TIMi Company dans un prochain article, l’opacité règne encore souvent en maître, notamment du côté des services cloud proposé par de grandes plates-formes telles qu’Amazon… “Une tarification tellement opaque qu’il est nécessaire d’employer des solutions tierces pour contrôler le coût du cloud”.

S’assurer. Oui mais…

Pour se “couvrir’ en cas d’incident, est-il intéressant, nécessaire, voire crucial de souscrire à une police d’assurance cybersécurité/cyber-risque?

Il est en effet recommandé de prévoir un contrat d’assurance en responsabilité civile professionnelle, “adaptée à son activité”, estime Damien Jacob, consultant en e-commerce/e-business. Toutefois, il ne s’agit pas là d’une panacée. “Il y a de nombreuses exclusions contractuelles. Se couvrir avec une police d’assurance n’a du sens que pour des risques susceptibles de mettre l’entreprise en péril mais très peu probables (par exemple: un tremblement de terre). Dès lors, pas simplement pour se prémunir contre une tentative d’intrusion. 

L’assurance ne pourra par ailleurs qu’établir une indemnisation. Elle ne permettra en aucun cas de retrouver les données perdues… Enfin, l’assureur va chercher le responsable et, s’il s’agit d’un tiers, l’assureur se retournera contre lui…”