Nombre d’entreprises négligent encore la sauvegarde de leurs données externalisées. Enquête de Solutions Numériques après l’incendie chez OVHcloud.

Sauvegarde ? Les données externalisées ne sont jamais backupées automatiquement si l’option n’est pas souscrite ! Un rappel nécessaire… après l’incendie survenu en mars dans le data center strasbourgeois d’OVHcloud. L’affaire continue à faire grand bruit. En Belgique et au Luxembourg aussi où le géant européen compte beaucoup de clients.

Pour aider les entreprises à y voir plus clair dans les univers souvent opaques du cloud et de l’hébergement, notre confrère français Solutions Numériques a interrogé des experts tant techniques que juridiques. «Rien ne va de soi en informatique et dans le cloud, surtout quand il y a un problème» rappelle Me Alain Bensoussan, avocat du cabinet Alain Bensoussan-Avocats. Quand le client externalise ses données ou applications chez un tiers, il importe de s’intéresser sérieusement aux rôles et aux responsabilités de chacun des intervenants.

La sauvegarde doit figurer au contrat, au moins comme une option

Ainsi, dans le cas d’OVHcloud, une majorité des clients pensait que leur site et leurs données étaient automatiquement sauvegardés par l’hébergeur. Grosse erreur, souvent involontaire, de clients qui confondent stockage et sauvegarde. «Chez aucun hébergeur, un serveur même dédié inclut automatiquement la sauvegarde des données. C’est  une option, au même titre qu’un DRP (Disaster Recovery Plan) ou un BCP (Business Continuity Plan). Chez Ikoula, nous l’indiquons dans nos conditions commerciales. Nous avons un devoir de conseil à l’égard du client » explique Anthony Collard, responsable Infogérance & SMSI chez l’hébergeur Ikoula.

Concernant les contrats d’hébergement des données, Me Olivier Iteanu, président du cabinet Iteanu, confirme que la sauvegarde des données doit figurer au moins en option. «Le client doit être informé des risques encourus s’il décide de ne pas la souscrire». Le commerce est une chose; le respect des règles de l’art en matière de sécurité informatique en est une autre, assure l’avocat, proche d’Eurocloud. «On peut espérer qu’il y ait des sauvegardes de prévu, mais cela se discute au moment du contrat. J’estime qu’un hébergeur doit proposer un minimum de chose dans ce domaine même si ce n’est pas au contrat…» 

De l’importance de connaître ses niveaux d’engagement en cas de sinistre…

Un point de vue que partage Nicolas Leroy Fleuriot, CEO, Cheops Technology. «Il n’y a pas d’obligations légales, à ma connaissance, pour les hébergeurs d’assurer la sauvegarde des données. Cela dépend du contrat souscrit. Toutefois, je considère qu’il existe des bonnes pratiques à respecter. Bous gérons et hébergeons pour nos clients des systèmes d’information complexes avec des SLA contractuels engageant notre responsabilité. Les options de nos offres sont extrêmement claires dans ce domaine… contrairement à certains purs hébergeurs ou prestataires cloud». Seule condition : investir pour se prémunir.

Et d’en payer le prix. En effet, «ce type d’engagement en matière de sauvegarde en a un. Et celui-ci qui peut être élevé si le client demande à l’hébergeur, ou à son opérateur cloud, de s’engager contractuellement sur des SLA très élevés», précise Anthony Collard.

Comme ce dernier, le dirigeant de Cheops Technology constate cependant que les clients sollicitent davantage ses commerciaux depuis l’incendie chez OVHcloud. Jamais les demandes de sauvegarde de données et applications sur deux data centers interconnectés a minima n’ont été aussi nombreuses. Une offre que l’on retrouve pas, en tout cas, chez les hébergeurs «low cost»…

Souscrire un DRP ou un BCP sur 2 data centers

Les bénéfices sont à la hauteur de l’investissement comme le rappelle Jérôme Warot, vice-président de la gestion des comptes techniques pour l’Europe du sud chez Tanium. «L’incendie chez OVHcloud est un rappel à l’ordre ! A commencer par l’importance de faire des sauvegardes, mais aussi la nécessité de vérifier et tester ces stratégies de sauvegarde.»

Rappelons que le DRP permet aux clients ayant souscrit cette offre, et qui ont créé un vrai BCP en amont, de bénéficier après sinistre d’une reprise automatique et instantanée de leurs services IT sur un site n+1 en temps réel. Pour les clients qui ont moins de moyens financiers, Cheops Technology ou Ikoula proposent également une option DRP avec une réplication à distance des données en miroir sur un deuxième data center distant, mais avec un redémarrage manuel et sous une heure a minima.

Ce que confirme Nicolas Leroy Fleuriot. «Les PME peuvent s’offrir un plan de reprise d’activité et bénéficier de quelques sauvegardes sur notre autre data center distant. En revanche, on ne s’engage pas sur des délais de remise en route et de récupération automatique des données sur bande dans un temps donné contractuel. Cela peut prendre plusieurs jours. Nos clients le savent. Nous les en avons informés en avant-vente.»

Quid de la réversibilité ou de la restitution de données… viables ?

Ces notions de DRP et BCP intéressent également les clients que les sinistres ont forcé à s’interroger sur la réversibilité ou la restitution de leurs données. La clause de réversibilité est un point très important dans les contrats d’hébergement, même si elle n’est pas toujours assez bien détaillée contractuellement. «Elle oblige l’hébergeur à rendre ses données aux clients, commente Anthony Collard. Cette même clause oblige le prestataire à remettre gratuitement en service son application grâce à un package d’outils fourni avec une documentation. Le client peut ainsi remettre en route son service dans de bonnes conditions.» Ce que confirme Nicolas Leroy Fleuriot. «Dans nos contrats, la clause de réversibilité est contractuelle. Cheops Technology accompagne même le client pour l’aider à réinsérer ou à migrer ses applications ou ses données dans un autre data center.»

Mais attention, cette clause n’impose pas à l’hébergeur ou au prestataire cloud de vérifier l’intégrité des données, facteur qui relève de la responsabilité du client. «Sont-elles viables ou réutilisables ? L’hébergeur ne peut le garantir . De fait, il ne connait ni les données, ni leur nature», constate le responsable d’Ikoula. Anthony Collard conseille donc aux clients de «bien lire les conditions générales de vente. Et de vérifier, via des tests de restauration, la viabilité des données. Ce point est très peu compris des clients, croyant que la sauvegarde est suffisante. Du coup, ils ne vérifient pas assez régulièrement leurs données pour s’assurer de leur caractère réutilisable.»

Et Jérôme Warot, vice-président de la gestion des comptes techniques pour l’Europe du sud chez Tanium, de rappeler aux clients l’essentiel. «S’entraîner, vérifier et tester ses sauvegardes. Mettre en œuvre un véritable plan de gestion et de vérification de la sauvegarde des données. Travailler de la même façon que pour un plan de reprise d’activité ou un exercice de simulation de cyber-attaque.»

Vérifier les installations de son hébergeur… un devoir !

Dans le même registre, le client le sait rarement, mais il a le droit de vérifier les installations de son hébergeur ou prestataire. Ne serait-ce que pour vérifier les moyens contractuels mis en œuvre pour garantir certains niveaux de service. «Nos clients réalisent régulièrement des audits de nos installations, précise Nicolas Leroy Fleuriot. Ce qui n’est pas forcément le cas sur de l’hébergement ‘low cost’. Les clients peuvent alors découvrir qu’ils ont commis une erreur en ne qualifiant pas assez la solution retenue par rapport aux besoins exprimés en amont.»

Anthony Collard confirme que l’hébergeur a l’obligation d’accepter les tests de ses clients sur ses installations, «mais après, comment les tester et avec quels types d’outils et sur quels serveurs ? Le client peut nous demander la restauration de sa sauvegarde sur un serveur similaire, prestation qui lui sera facturée, car l’hébergeur n’a pas l’obligation de lui fournir l’infrastructure ou le service gratuitement.»

Le responsable Infogérance d’Ikoula souligne que ces tests sont bénéfiques pour le client. En effet, ils lui permettent de tester et de valider son installation. Et grâce au procès-verbal reçu, il pourra ensuite opérer d’éventuelles améliorations en fonction des préconisations émises par le prestataire. Les installations hébergées nécessitent régulièrement des modifications techniques et une amélioration des procédures suite aux évolutions des plateformes matérielles et logicielles chez les hébergeurs.

Qui est responsable en cas de sinistre et de pertes des données au final ?

C’est là que le bât blesse, surtout quand la perte de données ou d’un site web survient au bout d’une chaîne de sous-traitants. Ainsi, quand une entreprise achète des services cloud, qu’il s’agisse du traitement ou de la sauvegarde de ses données et applications, le niveau de service varie grandement selon qu’elle signe directement avec des éditeurs de logiciels vendus en mode SaaS ou en PaaS, ou avec leurs revendeurs, voire avec des opérateurs cloud ou des hébergeurs.

«Les responsabilités sont différentes. Elles se déterminent par rapport à une réalité technique et opérationnelle. OVHcloud, lui, a une triple casquette : vendeur de serveurs, hébergeur et opérateur de data centers, explique  Me Olivier Iteanu. Le premier outil pour analyser les responsabilités respectives est le contrat signé. Dans un cas où l’entreprise est cliente d’un éditeur de logiciels hébergé chez un tiers, qui lui-même sous-traite son hébergement dans le data center d’un prestataire tiers, le client doit être informé de cette chaîne de sous-traitances. Au final, il n’a qu’un seul interlocuteur, l’éditeur de logiciels s’il a signé avec lui car il est responsable de ses données. Il peut engager des recours contre ses sous-traitants en cas de problèmes. A lui de se faire garantir leurs qualités de service.»

Ce type de question arrive généralement quand le client hésite sur le choix du prestataire IT ou cloud de confiance. Qui sera le plus qualifié pour héberger ses applications ou sauvegarder ses données dans le cloud ou dans un data center externalisé ? Il y a urgence à comprendre les rôles des différents prestataires, estime Anthony Collard. «Beaucoup de clients confondent encore, trop souvent par méconnaissance du marché et de ses acteurs, les responsabilités de chacun des intervenants. Ils ne comprennent pas toujours leurs missions d’ailleurs. C’est très net en matière de sauvegarde des données, par exemple. Nombre d’entre eux sont persuadés, à tort, que tout repose essentiellement sur l’hébergeur.»