La nouvelle avait fait le tour des ondes et glacé le sang de bon nombre de leurs clients. Un incendie s’était déclaré le mercredi 10 mars dans des locaux abritant des data centers OVH à Strasbourg. Le feu, déclenché dans la nuit aux alentours d’1h du matin, avait mobilisé l’intervention de 101 sapeurs-pompiers qui n’ont réussi à le circonscrire qu’au petit matin. Concernant la cause du sinistre, la piste accidentelle est privilégiée.
Un coup dur pour la French Tech et son fleuron valorisé à plus d’1 milliard d’euros.
Que s’est-il passé ? Quelles conséquences pour les clients de l’hébergeur Français ? Quels sont leurs recours ?
OVH : que sait-on de l’incident ?
Ce sont 3,6 millions de serveurs web qui sont tombés suite à l’incendie, soit 12 000 à 16 000 clients impactés. Le feu a pris dans le data center Strasbourg 2 (SBG2) qui a été totalement ravagé par les flammes. Dans le SGB1, quatre salles ont été détruites sur douze tandis que SGB3 et 4 n’ont été que partiellement touchés. Les serveurs détruits ont été remplacés par de nouvelles machines placées dans d’autres data centers OVH. Le vendredi suivant, le 19 mars, un nouveau départ de feu s’était déclaré au sein d’un conteneur hors tension du SGB1 du fait de batteries défectueuses.
La piste accidentelle est privilégiée.
Pour autant, il semblerait que cet incident ait été prévisible. En effet, une panne électrique provenant de la défaillance d’un automate avait déjà provoqué un dysfonctionnement dans le système de bascule vers les groupes électrogènes de secours et engendré une coupure de courant complète sur SBG1, SBG2 et SBG4 en 2017. Suite à cela la décision avait été prise de fermer les datacenters SBG1 et SBG4 au motif que « les containers maritimes n’étaient pas adaptés aux exigences du métier ».
Il était donc connu que le site de Strasbourg n’avait pas le même niveau de normes que les autres sites OVH. Pourtant, ces data centers sont restés actifs.
Le datacenter SGB2 ne disposait pas d’un système d’extinction d’incendie automatisé alors que les datacenters sont généralement dotés d’un réseau de brumisateurs haute pression ou d’un système de diffusion de gaz inerte. Le réseau de brumisateurs permet de résorber les flammes sans noyer les machines sous l’eau tandis que le gaz vide les espaces d’oxygène pour étouffer le feu.
Or, chez OVH, la procédure en cas de départ de feu n’était pas automatisée mais manuelle. En outre, les techniciens présents sur place n’ont pas pu intervenir à temps. Rappelons que le SGB2, conçu en 2011, a été totalement détruit quand le SGB3, conçu en 2016 n’a subi aucun dommage. Leur conception sont totalement différentes, le SGB2 étant désormais dépassé. Le SGB2 comportait une tour auto-ventilée, système économique mais qui a créé un « effet cheminée » ayant aggravé la propagation des flammes. De plus le SGB2 disposait de planchers en bois qui auraient contribué à alimenter l’incendie. Enfin, et comme l’hébergeur l’avait déjà fait remarquer après l’incident de 2017, les containers maritimes ne sont pas adaptés [cette] l’activité. L’empilage de containers représente un risque car ces caissons maritimes recyclés favorisent la propagation du feu.
SGB2 comportait une tour auto-ventilée, système économique mais qui a créé un « effet cheminée » ayant aggravé la propagation des flammes.
La présence de batteries électriques près des serveurs est également un véritable problème. Dans les data centers classiques, celles-ci sont placées dans des salles coupe-feu car elles sont inflammables. Sur le site de Strasbourg, celles-ci étaient installées à proximité des baies de serveurs en dépit du risque d’explosion lié au dégagement d’hydrogène des batteries vieillies.
OVH ne répondait pas aux normes d’un data center standard.
Il semblerait, d’après les observations de certains professionnels du secteur, que le site de Strasbourg de l‘hébergeur OVH ne répondait pas aux normes d’un data center standard.
L’incendie et ses conséquences montrent les limites d’un modèle low cost éloigné des standards classiques, avec une offre d’infrastructure adaptée aux petits sites web.
A ce jour, l’enquête confiée à la sûreté du Bas Rhin privilégie la piste d’un ondulateur défectueux qui aurait provoqué le départ de feu. En effet, les caméras thermiques des pompiers ont détecté deux ondulateurs en feu au sein de SGB2. Ils avaient été remis en service l’après-midi même après une intervention de maintenance. Un ondulateur est un dispositif permettant de protéger les équipements électroniques notamment contre les risques de surtension. Il est encore trop tôt pour tirer de véritables conclusions.
Néanmoins, cette catastrophe montre qu’il est indispensable que l’hébergeur Français fasse évoluer ses standards, surtout lorsque l’on sait que l’incendie s’est déclaré deux jours après l’annonce du groupe de sa volonté d’entrer en Bourse !
Incendie OVH : quelles conséquences pour les clients ?
OVH héberge près des 2/3 de l’internet Français. L’incendie a touché 12 000 à 16 000 clients. Leur site Internet a été suspendu au moins une journée, et certains ne retrouveront pas leurs données. Tous les types de clients sont impactés : petite ou grande organisation, entreprises comme collectivité, privé et public.
L’offre Private Cloud, pourtant positionnée haut de gamme, a été touchée de plein fouet. Malheureusement pour ces clients, des backups étaient bien effectués mais sur le même datacenter.
En effet, avant avril 2020, OVH ne proposait pas de service de backup déporté dans son offre Private Cloud. Pour les clients ayant souscrit avant cette date, l’option n’était pas activée. Conséquence pour les utilisateurs localisés sur SGB2 et ceux adossés à SGB1?
Leurs sauvegardes, gratuites comme payantes, sont irrécupérables.
D’autres offres que le Private Cloud sont concernées : hébergement web, services cloud public, serveurs privés virtuels ou encore Bare metal. Octave Klaba, patron d’OVH, a été transparent à ce sujet. Il a donc invité les utilisateurs touchés à activer leur plan de reprise d’activité (PRA) qui est de la responsabilité du client final et non de l’hébergeur.
Il s’agit de la plus grande catastrophe numérique « industrielle » de l’histoire de la French Tech. Elle risque de ternir durablement son image, celle d’OVH et de dégrader la confiance des clients.
Rappelons que ce sont 3,6 millions de serveurs qui se sont retrouvés hors ligne, représentant 464 000 noms de domaine. D’après les chiffres de NetCraft, plus de 18 % des adresses IP OVH ne répondaient plus le 10 mars suite à l’incendie.
Au delà d’OVH, le sinistre pourrait avoir des conséquences pour l’image de l’ensemble des hébergeurs Français. Il s’agit d’espérer que cet incident ne pousse pas les clients d’OVH dans les bras des géants tels qu’Amazon Web Services, Google cloud ou encore Microsoft Azure. Certains professionnels du secteur indiquent devoir rassurer leurs clients inquiets, ce qui pourrait faire le jeu des géants mondiaux du Cloud.
En cas de perte de données : quel recours ?
L’article 7.7 des CGV (conditions générales de vente) d’OVH exonère l’hébergeur de sa responsabilité en cas de force majeure dont l’incendie fait partie. OVH s’engage simplement à informer les utilisateurs concernés des circonstances de l’évènement ainsi que de son évolution.
Seule porte de secours : si la situation dure plus de 30 jours, les clients peuvent mettre fin aux services librement. L’entreprise s’exonère donc contractuellement. Toutefois, si l’enquête venait à démontrer une responsabilité interne de la part d’OVH, l’incendie pourrait perdre son caractère de force majeure et un recours de la part des clients serait alors possible. Or, de ce que l’on sait, l’enquête privilégie l’origine accidentelle.
D’autant que l’hébergeur propose des solutions pour éviter la perte de données en cas d’incident de ce genre. L’abonnement est un peu plus onéreux mais permet d’héberger ses données sur deux serveurs distants. Cet incendie montre l’importance de souscrire à ces services de sauvegarde sur des centres de données situés sur un autre périmètre, voire un autre hébergeur. Si le SLA (service level agreement) prévoit un dual site, c’est à dire une sauvegarde en temps réel sur un autre serveur, ce que l’on appel également une « redondance miroir », les données ne sont, normalement, pas impactées. La bonne pratique consiste à sauvegarder ses données à minima chez deux prestataires différents, éloignés géographiquement.
OVH ne saurait être tenu pour responsable de la perte des données car la sauvegarde ainsi que son paramétrage (type de données sauvegardées, fréquence) sont de la responsabilité du client. Aucune obligation légale n’oblige un hébergeur à proposer des solutions de sauvegarde. Les conditions d’utilisation d’OVH de serveurs dédiés précise que si un client ne souscrit pas à l’option payante, « aucune sauvegarde des données et contenus du client n‘est effectuée ». Ce qui est tout à fait légal. OVH n’est tenu que d’assurer et de maintenir les services en ligne. Sans souscription d’un service de back-up et sans mise en œuvre d’un PRA, la responsabilité de l’hébergeur ne saurait être engagée.
Les clients de l’hébergeur ont toutefois obtenu un geste commercial, annoncé par Octave Klaba : 3 mois de services gratuits en cas d’une coupure de service et 6 mois en cas de perte de données. La facturation a été suspendue au 10 mars, date de l’incendie, pour tous les utilisateurs des services des datacenters situés sur le site de Strasbourg. De plus, des infrastructures alternatives leur sont proposés gratuitement sur d’autres data centers du groupe situés à Roubaix et à Gravelines. Pas sur que cette mesure compense le préjudice subit !
En théorie, la CNIL pourrait poursuivre OVH sur le fondement de « perte de disponibilité des données ». Mais il y a très peu de chance que l’organisme s’attaque au leader européen de données.
RGPD : devez-vous notifier la CNIL en cas de perte de données ?
Le 22 mars, la CNIL a diffusé une note sur son site web pour rappeler les règles du RGPD en cas de perte de données personnelles. L’obligation est inscrite à l’article 33 du (Règlement Général sur la Protection des Données).
Au sens du RGPD (entré en vigueur en mai 2018), la destruction temporaire ou définitive de données à caractère personnel, constitue une violation de données. Cette violation doit être documentée, c’est-à-dire que les responsables des traitements doivent rappeler les faits, ses effets ainsi que les mesures prises pour y remédier dans un registre interne. Les sous-traitants sont tenus d’informer leurs clients afin que ceux-ci remplissent également leurs obligations.
Dans certains cas, la CNIL doit être notifiée :
- les données sont restées indisponibles pendant une durée suffisante pour engendrer un risque pour les personnes. Ce risque est évalué en tenant compte du type de données et des conséquences que peuvent avoir leurs pertes sur les personnes ( ex : les données de santé) ;
- les données sont définitivement perdues.
Cette notification doit intervenir dans les 72h après la prise de connaissance au plus tard. En cas de notification tardive, les motifs de retard sont exposés.
En revanche, si un plan de reprise ou de continuité (PRA ou PCA) ont permis d’assurer la continuité des services et/ou les données personnelles ont pu être restaurées sans conséquence sur les personnes, il n’y a pas lieu de notifier la CNIL.
Ainsi, suite à l’incendie OVH, les utilisateurs concernés doivent obligatoirement contacter la CNIL.
Il est encore difficile d’évaluer la quantité de données perdues. En dépit du caractère catastrophique de l’incendie, cet incident aura permis de rappeler que les données sont physiques et qu’il est indispensable d’effectuer une sauvegarde sur un serveur local.
Quelles que soient les conclusions de l’enquête concernant l’origine de l’incendie, il est utile de prendre conscience que nul data center n’est totalement à l’abri d’un accident ou d’un acte de malveillance et que le backup local est encore la meilleure chance de ne pas se trouver dans une situation inextricable.
Sources là :
