Une semaine après l’incendie : la polémique enfle autour d’OVH

Le 19 mars 2021 dans

channelnews.fr, le 18-03-2021
Par Johann Armand
Voilà une semaine qu’à Strasbourg un incendie a entièrement détruit un centre de données d’OVH contenant quelque 14.000 serveurs et paralysant au passage les trois autres centres du site. Dans les heures qui ont suivi, le cabinet spécialisé Netcraft a dénombré 464.000 noms de domaine et 3,6 millions de serveurs Web inaccessibles. OVH estime que 12.000 à 16.000 clients ont été affectés. Mais en pratique, c’est probablement beaucoup plus, un certain nombre de ces clients étant eux-mêmes des hébergeurs exploitant les sites et les applications de dizaines, voire de centaines de clients.
Les clients qui avaient des sauvegardes sur site distant ont pu redémarrer rapidement, parfois dans les minutes qui ont suivi l’interruption d’activité. Mais pour les clients qui n’avaient pas de sauvegarde sur site distant, le calvaire a commencé. Car ceux dont les infrastructures se trouvaient dans le centre de données détruit – ainsi que dans certaines salles d’un autre centre – risquent de ne jamais récupérer leurs données. Difficile de savoir combien de clients sont concernés pour l’instant. Une certitude : les infrastructures perdues n’étaient pas redondées. OVH avait néanmoins une sauvegarde FTP de maintenance stockée sur un autre site (Roubaix) pour relancer ses serveurs en cas de pépin. Ainsi, les clients de ses offres de serveurs privés qui avaient souscrit à une sauvegarde par FTP, devraient pouvoir récupérer leurs données.
En revanche, pour ceux (les plus nombreux) ayant souscrits des serveurs virtuels VPS (virtual public server) avec sauvegarde payante (ou snapshot), leurs chances de récupérer leurs données sont très aléatoires. Cela dépend du type de sauvegarde souscrit, des dates de souscription, et des salles où se trouvaient les volumes de données. Du reste, il est difficile d’y voir clair tant que les trois centres de données existants sur le site n’ont pas redémarré car certaines données des serveurs détruits pourraient y être stockées. Pour un détail offre par offre, voir les explications de notre confrère LeMagIT.
Devant l’ampleur du désastre, les critiques n’ont pas tardé à monter. Les critiques les plus virulentes sont venues des confrères concepteurs et exploitants de datacenters d’OVH qui ont pointé les négligences supposées de l’hébergeur en matière de sécurité voire des erreurs de conception. Car, ce qui a stupéfié, c’est la rapidité avec laquelle l’incendie s’est propagé et l’impuissance de la centaine de pompiers arrivés sur place à empêcher la destruction complète du centre données malgré les importants moyens déployés.
Selon le site Datacenter Magazine, ce centre de données cumulait les handicaps : planchers en bois ; matières plastiques ; énergie stockée dans les salles serveurs – plutôt que dans des salles séparées – ; effet cheminée liée à sa conception en tour autoventilée ; absence de détection précoce (fumées) ; absence de système d’extinction ; absence de coupe-feu… « malgré l’intervention rapide des pompiers, le bâtiment était perdu d’avance », suggère Datacenter Magazine, s’appuyant sur les témoignages des pompiers et des échanges avec des acteurs du datacenter.
Mais au-delà des opérateurs de datacenters, c’est tous les acteurs du numérique qui craignent de voir leur image abimée par ce désastre. En cause : les hébergeurs et autres prestataires qui auraient négligé les bonnes pratiques en ne mettant pas en place de sauvegardes secondaires et tertiaires pour leurs clients et en ne prévoyant pas de plans de reprise d’activité. Ces prestataires, s’il s’avère qu’il y en a, ne s’en relèveront probablement pas mais leurs confrères respectant les bonnes pratiques en paieront aussi probablement longtemps les conséquences en confiance écornée.
Pour autant, certains voient au contraire l’aspect positif de cet épisode : « Nous prônons depuis fort longtemps la généralisation de la protection de la donnée, par l’externalisation des backups, mise en œuvre de PRA, diversification des socles, etc., déclare Jan Gabriel, directeur alliances & marketing des offres infogérance et cloud d’ITS Group. Nous espérons que cela fait prendre conscience à plus d’entreprises qu’il est indispensable d’investir réellement dans la sécurisation des données et la continuité d’activité. Il y a un décalage sur ce point, certainement accentué par des migrations parfois rapides – pour ne pas dire précipitées – vers le Cloud public, sans considérer ces services. »
Pour Olivier Beaudet, directeur général de Claranet, ce désastre plaide au contraire pour la cause des prestataires de services IT. « Je ne sais pas si OVH a une part de responsabilité dans ce qui est arrivé – je suis bien incapable d’en juger – mais visiblement de nombreuses entreprises clientes d’OVH découvrent un peu tardivement la différence entre infrastructure et services managés, argumente-t-il. OVH est un fournisseur d’infrastructure, pas un prestataire de services. C’est aux entreprises clientes de se doter d’une équipe technique (en interne ou sous-traitée) qui s’assure de la continuité de services (sauvegardes, PRA, PCA). OVH met à disposition de ses clients l’ensemble des briques d’infrastructure nécessaires, mais c’est bien aux entreprises clientes de prendre la responsabilité de concevoir et opérer leur maintien en conditions opérationnelles en fonction de la criticité des applications et données qu’ils déploient sur ces infrastructures. »