Pertes de données chez des clients OVH : “La société prise à son propre piège du low cost à tout prix ?”
Un violent incendie a ravagé la semaine dernière les datacenters de la société OVHCloud à Strasbourg, avec comme conséquences des pertes de données définitives chez certains clients. Et de nombreuses questions en toile de fond, notamment sur la sauvegarde des données.
Collectivités, entreprises, administrations, groupes de presse, maisons d’édition,… des milliers de clients d’OVHCloud, en Belgique et ailleurs, sont touchés de plein fouet par les conséquences de l’incendie spectaculaire qui a ravagé les data centers de la société d’hébergement de sites web.
Avec un impact plus ou moins grave sur les activités de ces entreprises en particulier quand le site internet fait partie intégrante de leur business. Suite à ce ravage, 3,6 millions de sites web et sous-domaines auraient ainsi été impactés, rapporte Le Monde informatique, avec des problèmes d’accès de quelques dizaines de minutes ou plusieurs heures. Certaines administrations n’ont toujours pas accès, une semaine après l’incendie, à leur messagerie. D’autres utilisateurs angoissent encore d’avoir perdu toutes leurs données.
Au total, “12.000 à 16.000 clients ont été impactés“, a annoncé OVH à l’AFP. La société a toutefois indiqué ne pas être en mesure de confirmer d’éventuelles pertes définitives: en fonction des sauvegardes ou des redondances souscrites, “il existe autant de possibilités que de clients“, a prévenu la société.
En Belgique aussi, des usagers essuient les conséquences de cet incident. Bernard Vossen est négociant en vin, il a perdu une partie des données de son e-shop “Couleur Raizin”. “Nous avons pu récupérer les photos des vins, mais pas leurs caractéristiques que j’ai du réencoder dans un fichier Excel afin de pouvoir refaire notre site”, nous explique-t-il. Il estime le préjudice financier encouru, en temps de travail et en pertes de ventes, aux alentours des 5000 euros.
“J’ai perdu tout mon fichier clients et tout mon agenda”
Rachel Licata gère un institut de beauté en province de Liège. Elle a pu rouvrir début mars après 15 semaines d’inactivité due au covid, mais son organisation est totalement chamboulée par les soucis informatiques. Elle n’a plus accès ni à son e-shop, ni à son agenda professionnel.
“Mon agenda, c’est toute ma vie professionnelle ! Or, j’ai perdu tout mon fichier clients et tous les rendez-vous depuis le mois d’août. Je navigue complètement à vue. Je ne sais pas qui va se présenter au jour le jour, sans parler des clientes qui ne viennent pas car elles n’ont pas reçu leur sms de rappel de RDV“, nous explique-t-elle, désemparée.
Elle estime à des centaines d’euros le préjudice économique encouru pour son entreprise. Et trouve “ridicule” le dédommagement proposé par OVH, de 30 euros, soit l’équivalent d’un abonnement d’un an aux service de l’hébergeur. “OVH repousse chaque jour la date de relancement des serveurs, maintenant, c’est annoncé au 22 mars, c’est beaucoup trop long“.
Dans sa malchance, Rachel Licata a eu la “bonne nouvelle” d’apprendre que ses données étaient hébergées sur un serveur qui n’avait pas été touché par l’incendie et qu’elle pourra normalement toutes les récupérer. “Et de s’interroger, il y’ a quand même un backup de prévu dans le forfait, non ?”.
L’importance d’un bon backup
Car là est bien un élément crucial qui ressort de cet incident : il rappelle à des millions d’utilisateurs la nécessité d’avoir un back-up solide de leurs données. Le sujet est soulevé par le site Numérama : avec une double question : OVH a-t-il été assez clair sur le contenu de ses offres, y compris sur ce qui est sauvegardé ou non, où et comment ? Et les gérants de sites avaient-ils bien intégré les éventuelles limites de leur offre dans leurs plans ?
Le Monde Informatique embraie : “ Toute éventuelle faiblesse ne peut cependant être uniquement à mettre au crédit d’OVH. Les clients eux-mêmes ont aussi certainement leur part de responsabilité. Non dans l’incendie en tant que tel bien entendu, mais dans le manque de clairvoyance en mettant tous leurs oeufs dans le même panier et se satisfaisant d’une prestation à moindres frais. Avec pour principal défaut l’absence cruelle de back-up : une option indispensable pour les entreprises afin de sécuriser leurs activités.” Le médias français continue : “La seule chose sur laquelle capitaliser c’est d’avoir une copie de ces données, ce n’est pas à OVH de s’occuper de cela. Il a une sorte de sophisme qui est de dire que le cloud protège les données, mais cela n’est absolument pas le cas”.
L’incendie du site d’OVHcloud rouvre de cette manière les yeux des usagers sur le fait que les données hébergées dans le nuage numérique (cloud) sont stockées physiquement dans des “data centers”. Ces sites sont vulnérables aux incendies, qu’ils soient accidentels ou criminels, mais aussi la proie de cyberattaques, de plus en plus courantes.
OVH n’a-t-il pas été pris à son propre piège du low cost à tout prix ?
Le média français soulève d’autres questions. OVH, considéré comme l’un des leaders mondiaux du “cloud” n’a-t-il pas été pris à son propre piège du low cost à tout prix ? A trop vouloir capitaliser sur les petits clients, le groupe paye-t-il les pots cassés des prix bas ? Pour le média spécialisé en informatique, les circonstances de cet incident ont été mal maîtrisées par la société. “Plusieurs points de faiblesse peuvent expliquer la situation. En adoptant un modèle low cost, la société fait sans aucun doute ressortir des lacunes en termes de sécurité incendie, mais aussi de certifications.” Il ajoute : “Par rapport à d’autres opérateurs comme Equinix ou Interxion, OVH n’a par exemple pas pris le train de l’Uptime Institute, organisme mondialement reconnu pour ses benchmarks de datacenters, allant même jusqu’à revendiquer s’y conformer sans en être certifié.”
Pas de protection anti-feu dernier cri
Pour le moment, l’enquête sur les circonstances de l’incendie se poursuit. À ce jour la piste de l’accident lié à un onduleur défaillant reste la plus probable, évoque le site Presse Citron. Toutefois, les enquêteurs cherchent également à comprendre pourquoi l’incendie s’est répandu si rapidement, en s’attardant sur l’état du système anti-incendie. Selon les premières découvertes, il semblerait que le site strasbourgeois ne soit pas équipé d’une protection anti-feu dernier cri. Les premiers éléments de l’enquête révèlent notamment que le data center n’est pas équipé d’un système répandu dans ce genre de bâtiment.
D’autres observateurs évoquent la possibilité d’une action collective émanant des utilisateurs lésés. OVH pourrait-il se faire traîner en justice par des entreprises ayant perdu des données ? “Peut-être“, est d’avis le site Numérama. “Mais leur victoire devant les tribunaux est incertaine, s’il est établi que telle ou telle société n’a pas souscrit à l’offre adéquate en matière de sauvegarde, et si par ailleurs elle n’a pas prévu à la place son plan en cas d’incident majeur. “
Christophe Bertrand, analyste au cabinet de conseil français ESG, ajoute, cité par LeMagit: “Les entreprises qui reprochent à tort à OVHcloud d’avoir perdu leurs données n’auront vraisemblablement aucun moyen juridique de réclamer à l’hébergeur des indemnités. En revanche, ce sont surtout les clients de ces entreprises, notamment ceux des boutiques en ligne, qui sont susceptibles de les attaquer en justice, pour avoir failli à leur devoir de protéger les données privées qu’elles exploitaient.”
OVH a annoncé sur Twitter, où son patron Octave Klaba fait des updates régulières de la situation, la reprise progressive de ses serveurs à dater du vendredi 19 mars.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici