Incendie OVH : quelles leçons pour l’hébergement de serveur Cloud ?
Les images ne vous auront pas échappé : OVH, leader européen de l’hébergement informatique, a perdu un de ses centres d’hébergement Cloud dans un incendie. Avec des conséquences dramatiques pour certains clients, qui y ont laissé serveur et données. Alors, pas si sûr que ça le Cloud ? La conclusion pourrait s’avérer un peu hâtive.
Les chiffres peuvent donner le tournis aux néophytes : 12’000 serveurs, et 3.6 millions de site Web affectés. En quelques heures, le feu spectaculaire qui a ravagé un centre de données d’OVH à Strasbourg (FR) a fait des dégâts considérables. Et laissé pas mal de clients sur le carreau. Car en plus d’avoir subi une interruption de leurs services, certains ne les verront tout simplement pas redémarrer. Alors, la faute à qui ?
L’incendie du 9 mars 2021 dans les faits
Commençons par déminer le terrain : OVH dispose de sauvegardes des données et services qu’il héberge. Ce service de copie fait même parfois partie de la prestation fournie, ce qui donne 2 niveaux de protection : les backups gérés par le client, et la sauvegarde générale de ses infrastructures par OVH. L’hébergeur a d’ailleurs publié dans un communiqué quelles données étaient récupérables, sur chacun de ces deux niveaux, service par service.
Mais c’est la localisation des données de sauvegarde qui a constitué le facteur de risque. Car certains services localisés à Strasbourg voyaient leurs données recopiées… dans la salle d’à-côté ! En cas d’incident majeur – dégât des eaux ou incendie, ce type d’approche amène à ce que les données soient détruites en même temps que les backups. Et c’est ce qu’il s’est passé.
Avec données et sauvegardes côte-à-côte, le moindre incident pouvait se transformer en catastrophe
Difficile de savoir dans quelle mesure OVH est fautif. Car si les services sont fournis tels quels, sans garantie de disponibilité ou de pérennité, c’est au client de réaliser ses backups. Mais la liste de services affectés évoquée plus haut mentionne aussi des prestations haut de gamme, dont OVH assure la protection, et dont les données de backup étaient pourtant situées sur le même site. OVH n’est donc pas exempt de reproche, et s’est fendu des sempiternelles excuses.
Le client reste maître des besoins et des risques
Sur le papier, est-ce que cela remet en cause le modèle Cloud ? Les plus réticents diront qu’avec une infrastructure sur site, un client n’aurait pas subi ces dégâts. Et les pro Cloud objecteront. Car il faut prendre soin de comparer ce qui est comparable. Un incendie d’une infrastructure locale aurait au moins autant de répercussions sur la disponibilité des données. A moins d’avoir externalisé les backups… dans le Cloud !
Jeter le bébé avec l’eau du bain est inutile : c’est son usage qui doit être revu, pas le Cloud lui-même
Comme toujours, il faut faire preuve d’un peu de bon sens. Est-ce que les stockage Cloud sont plus sécurisés que les infrastructures sur site ? Oui, sans aucun conteste, à coût égal en tout cas. Pour autant, les mettre dans le Cloud ne vous exempte pas de prendre des précautions. Dans le monde automobile, l’invention de l’Airbag n’a dispensé personne du port de la ceinture, que je sache.
Cloud ou pas, vous restez donc maître de la protection de vos données, et de la stratégie que vous souhaitez appliquer. Car si un backup minimal est appliqué par l’hébergeur, sans même que cela ne fasse officiellement partie du service, vous ne devrez pas compter dessus. La fréquence et la destination des sauvegardes restent donc une prérogative du client.
Hébergement de serveur Cloud : évidences et bonnes pratiques
Alors, quelles bonnes pratiques mettre en œuvre ? Tout d’abord, définissez vos besoins et vos contraintes. Si votre site Web ou votre application sont critiques (par exemple, un site de vente en ligne), vous n’adopterez pas le même plan de sauvegarde que pour un petit site institutionnel de quelques pages. Il faut donc définir le temps d’indisponibilité qui reste acceptable pour chaque brique de votre infrastructure.
Ensuite, vérifiez les garanties de service qui vous sont proposées. Est-ce que la sauvegarde est incluse ? A quelle fréquence ? Cette fréquence est-elle compatible avec vos besoins ? Pour un hébergement low-cost, il y a fort à parier qu’on ne vous garantira pas grand-chose. Vous devrez donc procédez vous-mêmes aux sauvegardes. Et votre « pas cher » ne le sera plus vraiment.
Si vous n’avez pas de contrôle sur les sauvegardes, faites-les vous-mêmes
Dernière recommandation, et probablement la plus importante : assurez-vous toujours que données primaires et sauvegardes sont séparées géographiquement. S’il y a le moindre doute en la matière, prenez les devants et souscrivez un service de sauvegarde géo-redondé. Les services Cloud dignes de ce nom vous garantissent une réplication des fichiers dans une région donnée, à plusieurs dizaines de kilomètres de distance, à moindre coût.
La fiabilité extrême des services Cloud donne l’illusion d’une sécurité garantie à 100%. Alors que ces services restent soumis aux bonnes pratiques de gestion d’une infrastructure informatique, Cloud ou pas. Leur densification intense dans les datacenters a des conséquences tout aussi extrêmes en cas d’incident, et les met à la une des journaux. Ils vous apporteront pourtant des bénéfices immenses, pour autant qu’ils soient utilisés avec bon sens. Et gérés avec sérieux.
Emmanuel Dardaine