Moins d'une semaine après le terrible incendie qui a frappé le datacenter d'OVH à Strasbourg, la tension est vive. Les raisons de l'incident ne sont pas encore pour l'heure établies clairement. L'hypothèse d'un acte malveillant ne peut pas être totalement écarté. Des scellés sont effectués sur les onduleurs, batteries, vidéo surveillance afin de faire avancer l'enquête. « On pense avoir été très transparents et au-dessus des standards de l'industrie, il faut monter ces standards pour que ces types d'incidents n'arrivent plus jamais et que pour des pertes de disques, les données puissent toujours être récupérées », a indiqué dans une dernière vidéo le fondateur d'OVH Octave Klaba. Au dessus des standards de l'industrie ? Pas vraiment, puisque OVH ne souscrit pas aux onéreuses certifications de l'Uptime Institute. Le groupe qui multiplie depuis quelques mois les annonces (projet d'introduction en bourse, offre d'hébergement de données de santé, acquisition d'OpenIO, conquête du marché des entreprises, partenariat avec Atos pour une offre cloud « de confiance »... a fort à faire avec une concurrence très forte sur le marché de l'hébergement.
Incendie fatal chez OVH Strasbourg pour un grand nombre de TPE et PME françaises en défaut de sauvegarde.
En attendant, on peut quand même s'interroger sur les circonstances de cet incident qui ont clairement été mal maitrisées par OVH. Plusieurs points de faiblesse peuvent expliquer la situation. En adoptant un modèle low cost, la société fait sans aucun doute ressortir des lacunes en termes de sécurité incendie mais aussi de certifications. Par rapport à d'autres opérateurs comme Equinix ou Interxion, OVH n'a par exemple pas pris le train de l'Uptime Institute, organisme mondialement reconnu pour ses benchmarks de datacenters, allant même jusqu'à revendiquer s'y conformer sans en être certifié. Le monde à l'envers. De même, toujours afin de comprimer les coûts, de possibles défaillances des maigres systèmes de sécurité incendie [des extincteurs à mains obligatoires], qui se sont révélés incapables de circonscrire le sinistre sur un périmètre restreint, doivent être éclaircies. Le manque de technologies de détection, atténuation ou lutte contre les incendies (brouillard d'eau, sprinkler, gaz, mousse mais aussi détecteur de chaleur, fumée ou flamme...) est un vrai problème dans le datacenter strasbourgeois d'OVH. De conception ancienne ( 10 ans) et low cost, ce dernier ne bénéficie pas des avancées présentes chez d'autres opérateurs de datacenters.
OVH pris à son propre piège du low cost à tout prix ?
OVH n'a-t-il finalement pas été pris au piège de son propre jeu ? A trop vouloir capitaliser sur les petits clients, le groupe paye-t-il les pots cassés des prix bas ? Toute éventuelle faiblesse ne peut cependant être uniquement à mettre au crédit d'OVH. Les clients eux-mêmes ont aussi certainement leur part de responsabilité. Non dans l'incendie en tant que tel bien entendu, mais dans le manque de clairvoyance en mettant tous leurs oeufs dans le même panier et se satisfaisant d'une prestation à moindre frais. Avec pour principal défaut l'absence cruelle de back-up : une option indispensable pour les entreprises afin de sécuriser leurs activités.
La ligue contre l'obésité indique une date de disponibilité au 22 mars 2021 pour son site Internet. (crédit : D.R.)
Des impacts hors normes qui font réagir
Les impacts de cet incident hors norme ont fait réagir non seulement les entreprises concernées, mais également des compétiteurs : « Nous sommes très solidaires d'OVH », a indiqué dans un point presse ce matin lors de l'Orange Business Summit Helmut Reisinger, directeur général d'OBS. « C'est la French Tech qui est touchée, avec un incident que l'on pensait impensable ». Même son de cloche du côté d'Atempo : « Ce qui fait mal au coeur c'est qu'il s'agit d'un événement d'une ampleur inimaginable, presque historique. Cela fait de la peine pour notre partenaire qui doit surmonter une telle catastrophe de cette proportion là, on leur souhaite de se remettre dans les meilleurs délais », nous a expliqué Luc d'Urso, directeur général d'Atempo et vice-président d'Hexatrust.
L'incendie OVH pointé du doigt par la mairie de Vitry-sur-Seine pour expliquer les dysfonctionnements de son site Internet. (crédit : D.R.)
Des clients entre l'étau du désespoir et l'enclume de la négligence
Suite à l'incendie, les entreprises multiplient les témoignages de désarroi et d'excuses. La raison de toute cette agitation ? L'indisponibilité de leurs sites et services web mais aussi l'impossibilité de récupérer leurs données. Selon les clients, les perturbations varient. Chez Cityscoot par exemple, les données d'inscription effectuées depuis au moins le 10 mars n'ont pas été prises en compte, tandis que du côté de l'association toulousaine Parole d’Entreprises ce sont les envois d'emails qui ont été touchés faute de base de données. L'effet domino a également joué à plein : chez le prestataire Intermédia Conseil, ce sont 250 sites clients qui ne peuvent plus créer d'adresses de messagerie. Ennuyeux.
Parmi les clients touchés, on trouve de nombreuses mairies (Artenay, Arras, Saint-Ouen, Cherbourg, Vichy, Vitry-sur-Seine...), des clubs sportifs (AS Cannes, l'US Créteil Handball, l'AS Saint-Priest, club de rugby de Clermont-Ferrand....). Des PME (Nautex International, Duysens Immobilier, Groupe Gorioux, BEG Ingénierie, bureau d'études d'Orléans-La Source, le fabricant de monuments funéraires Stonest...) et éditeurs de services en ligne (Rust, Freshmile Direct, The Artist Academy...). Ou encore des organismes culturels, religieux et touristiques (Frac Bretagne, Centre Pompidou à Paris, Office de tourisme de Colmar et de Saverne, Diocèse de StBrieuc...), des médias (Maddyness, Agro Distribution, L'Essor Isère, La Semaine ...), des services administratifs (datagouv, plateforme de dématérialisation des marchés publics, défenseur des droits...) et de nombreuses associations (CRAIF, CIRSES, Ligue contre l'obésité...), l'aéroport de Strasbourg...
Plus d'accès à la messagerie pour le centre de ressource autisme d'Ile-de-France suite à l'incendie chez OVH. (crédit : D.R.)
Suite à ce ravage, 3,6 millions de sites web et sous-domaines auraient ainsi été impactés avec des problèmes d'accès de quelques dizaines de minutes ou plusieurs heures pour les plus chanceuses, quand d'autres connaissent l'angoisse d'une indisponibilité totale parfois pour toujours. Tous les profils de clients d'OVH sont touchés : qu'ils soient aussi bien entreprises que collectivités, privé que public, petit ou grand. Mais les plaintes des entreprises qui s'en prennent à OVH sont-elles pour autant justifiées ? Loin de là dès lors que ces dernières ont souscrit un simple service d'hébergement sans prestation de service de back-up associé et n'ont pas non plus pris la peine de souscrire et/ou de mettre en place leur propre plan de reprise d'activité. « Sans parler de négligence de la part de clients qui ont beaucoup souffert, il il faut tirer partie de l'expérience de cet incident. Déléguer un service PaaS ou IaaS ne dispense pas de réfléchir au plan de reprise d'activité », poursuit Luc d'Urso. « La seule chose sur laquelle capitaliser c'est d'avoir une copie de ces données, ce n'est pas à OVH de s'occuper de cela. Il a une sorte de sophisme qui est de dire que le cloud protège les données mais cela n'est absolument pas le cas ». Mise au pied du mur, la société 6Thèmes Info a d'ailleurs expliqué qu'en plus d'un hébergement classique, des serveurs de stockage internalisés seront désormais installés.
La ville de Saint Ouen fait partie des nombreuses collectivités locales touchées par l'incident d'OVH mais son site est de nouveau opérationnel. (crédit : D.R.)
Bien sûr, en termes d'hébergement, OVH est tenu d'assurer et de maintenir les services en ligne mais sans souscription d'un service de back-up associé et de PRA, difficile de jeter aussi facilement la pierre à l'hébergeur aussi dure que la réalité puisse être. « Si l'entreprise a souscrit à un PRA elle n'a à ce moment là aucun souci à se faire en termes de récupération de données qui pourront se faire depuis un des 31 autres datacenters d'OVH en France », estime Luc d'Urso. Quand bien même une prestation de ce type a pu être prise, mieux vaut garder en tête que la meilleure pratique de sauvegarde est de les multiplier, a minima deux, chez deux prestataires différents, dans des régions distinctes, afin de réduire la surface d'exposition au risque de perte de données.
Des pertes qui peuvent être non seulement liées à des événements de type incendie et catastrophes naturelles que cybersécurité. « La montée du cyberhactivisime qui atteint des sommets, les détournements massifs de caméras vidéo, l'explosion des ransomwares... il faut préparer sauvegarde et PRA, c'est le dernier rempart contre des catastrophes », martèle Luc d'Urso. Et si cela la prévention ne suffit pas pourquoi ne pas aller jusqu'à taper du poing sur la table : « Aujourd'hui ne pas avoir de PRA c'est proche de la négligence. On ne peut pas éternellement reposer sur de la sensibilisation, une entreprise qui se prend 4 ransomwares dans l'année devrait être contrainte à se sécuriser ». La cyberassurance c'est bien, la cyber-responsabilité sans doute mieux ?
Le site Maddyness sur l'actualité des start-ups est toujours impacté et indisponible suite à la panne OVH. (crédit : D.R.)
Octave Klaba en mode communication de crise
« La continuité des réseaux optiques est assurée entre Paris et Francfort en passant par Strasbourg. Les premiers routeurs ont été connecté au réseau, on configure de plus en plus de VPN, commutateurs, pour connecter et configurer l'ensemble des switchs qui sont dans la baie », a assuré Octave Klaba. Le fondateur indique par ailleurs travailler avec l'expert de sa société d'assurance pour redémarrer complètement le datacenter sur Strasbourg 1 et 4 sans soucis, sauf les salles 61E et 62E où beaucoup de nettoyage est encore nécessaire en raison de la fumée déposée nécessitant jusqu'à des changements de cartes mères. Sur Strasbourg 3, les 1er, 2e et 3e étages devraient globalement redémarrer mais des soucis au niveau de la salle 5. « On finit de passer les fibres optiques et ramener le network jusqu'à la baie avant de procéder au redémarrage des serveurs », précise Octave Klaba. D'ici samedi ou dimanche la plupart des infrastructures devrait être opérationnelle. 2 500 serveurs vont être livrés en plus cette semaine et 10 000 seront produits d'ici 2 semaines pour un objectif de 15 000 livrés et connectés d'ici mai 2021.
L'éditeur de logiciels CRM Sarbacanne, présent sur la place de marché OVHcloud, a été touché par la panne et son site a notamment été indisponible. (crédit : D.R.)
Pertes de données non contractuelles : un geste symbolique de 60€
« On a envoyé aux clients l'état des back-ups internes non contractuels et aussi l'état des services back-up locaux ou à distance, une colonne supplémentaire avec les dates de redémarrage des services seront ajoutées. Si vous êtes impactés par la commande, vous pouvez la passez aujourd'hui, on va vous donner des mois gratuits, dans les cas de coupure de service 3 mois, et 6 mois pour de la perte de data sur les services ». Un geste commercial qui part d'un bon sentiment mais pourrait bien tourner vinaigre pour certains clients dont la société de ventes de bijoux de Mathilde Picouret. Suite au sinistre, cette dernière s'est ainsi vue proposer un avoir de 30€ soit 6 mois d'hébergement, pour un préjudice estimée à 2 000 €. Si dans ce cas une solution de sauvegarde n'a sans doute pas été souscrite, s'agissant d'une « simple » prestation d'hébergement, reste à savoir si le versement d'une somme aussi dérisoire dans un contexte compliqué autant que brutal ne risque pas de provoquer une fronde de la part de clients touchés aussi bien que déçus par cette mesurette. Sur Twitter, certains membres de la FrenchTech, tribu autoproclamée, cherche d'ailleurs à savoir si une action collective contre OVH est envisageable...
Bonjour,
Signaler un abusMerci pour votre lecture attentive de cet article. Il arrive parfois que des coquilles subsistent veuillez nous excuser pour la gêne occasionnée.
Cordialement,
Dominique Filippone
Très franchement le journaliste qui a écrit cet article devrait prendre des cours de français. Exemple: "des scellées sont effectuées.. " Pour information, on pose des scellés.
Signaler un abusAutre exemple: "La montée du cyberhactivisime qui atteint des recours.."
Le niveau a bien baissé depuis Bertrand Lemaire
Je suis bien heureux d'avoir migré mes sites l'année dernière vers un hébergeur plus compétent qu'OVH. Depuis toujours, OVH pratique l'apartheid de l'hébergement, c'est-à-dire que si vous payez bien, vous avez un bon service. En revanche, si vous êtes sur des offres plus standards, il n'y aura jamais personne pour vous aider en cas de pépin. OVH est un très mauvais hébergeur. Les avis clients le confirment tous depuis sa création ! Cet incident devrait faire prendre conscience aux professionnels du web qu'il est temps de changer d'hébergeur.
Signaler un abus1000% avec le commentaire de Visiteur16641. Qu'est ce qu'on s'attend à du VPS à 5€ par mois ? La base de l'informatique c'est de faire des backups. Même pour une petite société, avoir quelqu'un qui gère l'IT correctement est indispensable. Je me situais dans le Datacenter de strasbourg, et pourtant, j'ai pu mettre mon PRA a exécution en quelques heures. L'informatique ce n'est pas de la magie ... il faut un minimum de compétences ou embaucher de la compétence.
Signaler un abusC'est pas sérieux cette boîte, les alsaciens non plus ! pffff...
Signaler un abusOVH, Désolé mais pour moi qui et eu différent produit chez eux c'était une catastrophe, au niveau qualité et surtout les boîtes exchange plus jamais en résumé plus jamais d'OVH je préfère payer plus chère et ne pas être embêter toute les 5 min pour moi le made in France c'est fini
Signaler un abusPour info, "ASM rugby" et "club de rugby de Clermont-Ferrand" renvoient à la même chose, donc inutile de citer deux fois ce club comme deux entités distinctes ;)
Signaler un abusIl est évident que pour le prix que l'on paie chez Ovh en général, on peut demander du service. D'ailleurs leur communication a toujours été de piètre qualité avec un respect du client on ne peut plus faible. Ils m'ont bloquer un site 3 semaines soit disant virulé, à la fin ayant réussi à contacter un responsable il ont admis qu'il a avait erreur mais rien de plus. Mais bon les prix sont très attractifs car même l'hébergemrnt gratuit offre bcp de choses ... Par contre, on parle peu des origine du feu...
Signaler un abusLa bonne expression est "entre le marteau et l'enclume" et non "entre l'étau et l'enclume". On ne tape pas sur une enclume avec un étau (sauf à être bien énervé).
Signaler un abusSinon, cet incident est révélateur de la tendance mondiale actuelle : aller au moins cher. Faut juste accepter les conséquences, ou payer le juste prix.
J'ai des petits sites webs chez OVH. Je fait la sauvegarde en local régulièrement. Mais je pensais qe'OVH faisait lui-même des sauvegardes comme indiqués dans le contrat. Je ne savais pas que ces sauvegardes étaient non sécurisées physiquement sur la même machine. Bon, c'est bien, ça va dynamiser les métiers de la sécurité en informatique distante. Dire, que certains pingres aussi avaient leurs sites hébergés à l'étranger en low cost. Tant pis pour eux. délocalisez, délocalisez, vous allez faire des économies, c'est sur.
Signaler un abusLa sauvegarde et son lieu de stockage... éternel débat chez mes clients qui malheureusement prennent pleinement conscience de son importance quand il leur arrive un premier grave problème. Pour les mails je continuerai à fonctionner en boite pop tant que je pourrai.
Signaler un abusSi une cliente se voit proposer 30€ suite à une interruption de service, cela signifie que l'offre souscrite était une offre à 5€/mois (6 mois offert).
Signaler un abusNous parlons donc ici d'une cliente, gérant un site générant d'après elle 2000€ de chiffre par semaine; mais ayant souscrit comme support de cette activité à un hébergement d' entrée de gamme à 5€, sans aucune option de sauvegarde, et n'ayant manifestement pris aucune mesure de son côté pour sécuriser ses données.
La responsabilité est donc à 100% du côté de Mme Picouret, qui a souscrit à une offre sans sauvegarde, et sans mettre en place de sauvegarde de son côté, pour héberger une activité critique. Cette dernière n'est en aucun cas fondé à se plaindre, OVH ayant délivré ce qui lui était demandé : une offre sans sauvegarde et sans garantie de temps d'intervention ou de rétablissement.
Suite à cet incident, la plupart des clients devront sans doute réévaluer l'adéquation de leur contrat avec la criticité de leur activité, ce qui est une excellente chose.