Le 10 mars dernier, un incendie touche 4 serveurs d’OVHcloud. De nombreuses entreprises sont paralysées ou perdent leurs données. Cet événement a malheureusement plus d’effets que les cyberattaques de plus en plus présentes et qui opèrent de plus graves dégâts au sein des entreprises. En partant sur le cas d’étude d’OVH, quels sont donc les 3 points primordiaux à prendre en compte pour ne plus perdre ses données ?
Table des matières
Les entreprises seules responsables de la protection de leurs données
Pour rappel, le 10 mars dernier, à Strasbourg, un incendie s’est déclaré dans un bâtiment d’OVHcloud, hébergeur souverain classé dans le top 20 mondial des fournisseurs de services cloud. Un datacenter a été complètement détruit et trois autres ont été endommagés. Suite à cette catastrophe d’une ampleur sans précédent dans le milieu de l’hébergement, plusieurs clients ayant perdu tout ou partie de leurs données ont pointé du doigt la responsabilité de l’hébergeur.
Ces accusations infondées reposent sur une méconnaissance de la chaîne de responsabilité. En effet, toute entreprise se doit de prendre les mesures utiles afin de protéger ses données et garantir la continuité de son activité en cas de sinistre.
Dans le monde, une entreprise sur trois a déjà connu une perte de données irréversible. Ces pertes peuvent être liées à des catastrophes naturelles, à des erreurs humaines, des cambriolages ou encore à des pannes matérielles. Ces évènements peu probables, impossibles à prédire et dont les conséquences sont dévastatrices sont appelés “cygnes noirs”. Les cyberattaques, par leur fréquence, ne peuvent plus figurer dans cette catégorie. Leur probabilité de survenance pour une organisation étant désormais très élevée, de plus il est possible de prévenir ce genre d’attaques en se protégeant.
Les 3 points d’Upper-Link pour ne plus perdre ses données
Les principes de bonne gestion en matière de sauvegarde de données et de continuité d’activité demeurent inchangés. Afin de se prémunir contre tout sinistre, trois bonnes pratiques méritent d’être rappelées :
1# Une bonne lecture de vos contrats d’hébergeurs
Tout d’abord, il est vivement conseillé de procéder à une lecture rigoureuse des contrats liés à l’externalisation de ses données. Dans ces documents, la responsabilité de chaque partie en cas de sinistre est précisée. En les comparant, vous noterez qu’il sera toujours plus aisé et bien moins coûteux de faire prévaloir ses droits quand la compétence est attribuée à un tribunal sous juridiction européenne.
2# Stocker ses données sur différents supports (Backup)
Ensuite, il convient d’observer scrupuleusement la règle de sauvegarde du 3/2/1 qui consiste à disposer d’au moins trois copies de ses données, à stocker ces copies sur deux supports différents et à conserver une copie de la sauvegarde en dehors du site de production (Solution Sécurité Backup & Recovery d’Upper-Link), idéalement déconnectée d’internet (stratégie d’air gap) pour éviter tout risque de corruption ou encryption des données par une cyberattaque sophistiquée.
3# La mise en place d’un PRA (Disaster Recovery)
Enfin, la conception et mise en place d’un plan de reprise d’activité (PRA) est cruciale pour récupérer et pouvoir exploiter ses données après un incident. Les entreprises doivent prévoir la reconstruction de leur infrastructure informatique et la remise en route de leurs applications en cas de sinistre. Lors de l’élaboration du PRA, toute activité considérée comme critique doit être clairement identifiée. Elle doit faire l’objet d’un plan définissant les besoins humains, matériels et les coûts liés au déclenchement de ce plan. Ce plan définira la perte maximale de données autorisées (PMDA) et le délai maximal d’interruption autorisé (DMIA).
La responsabilité de la conception et mise en place d’un PRA incombe donc aux entreprises, et non au fournisseur de service cloud ou à l’hébergeur. Seule l’activation du PRA et son exécution peuvent être partagées entre le fournisseur et le client.
# Votre attention 
Les conseils donnés dans cet article sont applicables en cas d’incident avec votre hébergeur (OVH ou autres…), mais pas uniquement. En effets, ces trois points sont la base pour sécuriser vos informations d’entreprise et votre activité. Les appliquer c’est commencer le déploiement d’une politique de gestion des risques et une démarche de cybersécurité.
