Le rôle de Strat&SI dans la gestion des conséquences de l’incendie OVH pour ses clients

L’incendie au centre OVH, dans la nuit du 9 au 10 mars 2021, a engendré la perte de 3,6 millions de serveurs et 460 000 noms de domaines, pour près de 16 000 clients. Comment cet incendie a-t-il pu arriver ? Comment les clients touchés ont appris et géré la situation ? Quelles sont les conséquences pour leurs structures ?

Un an après, il est l’heure de faire le point des conséquences engendrées par l’incendie OVH sur les milliers de clients touchés.

Chronologie des événements pour les clients

Au réveil du 10 mars 2021, la France apprend par les chaînes d’informations l’incendie au centre OVH de Strasbourg. Les fournisseurs découvrent qu’une panne concerne de nombreux clients, sans en savoir davantage. Les photos de l’incendie ont permis aux clients de comprendre par eux-mêmes l’importance de la situation, sans savoir à cet instant que non pas un, mais deux datacenters étaient en train de brûler.

Face à l’étendue des dégâts qu’a créé l’incendie OVH, il était important de mettre en place le plan de reprise d’activité* (PRA) et ce, rapidement, afin que les clients reprennent possession de leurs serveurs. La problématique était que certaines structures n’avaient pas de PRA ou n’avait pas souscrit aux bonnes options chez OVH. La relance de leurs activités a donc été longue et certains clients sont restés presque 2 semaines sans la visibilité de leurs logiciels.

*Le plan de reprise d’activité (PRA) est un ensemble de procédures (techniques, organisationnelles, sécurité) qui permettent à une organisation de prévoir par anticipation, les mécanismes pour reconstruire et remettre en route un système d’information en cas de sinistre important ou d’incident critique (ce qui est le cas pour OVH)

Conséquences de l’incendie OVH sur les serveurs des clients

Les failles des datacenters OVH

Lorsqu’un serveur est hébergé sur un site chez OVH, celui-ci doit être redondé dans un deuxième datacenter sur un autre site géographique, afin que la sauvegarde soit sécurisée en cas de problème sur un datacenter si les bonnes options ont été prises.

Le problème de l’incendie au centre OVH de Strasbourg, c’est que nous nous sommes rendu compte que des milliers de serveurs étaient redondés sur le même site géographique à seulement un ou deux étages de différence. Aussi, le sol des étages étant en bois, l’électricité non éteignable et la sécurité incendie manquante, le feu a pu se propager facilement.

Dans les faits, OVH n’est pas en tort sur la réplication des datacenters. C’est une question de lecture de contrat. C’est aux prestataires que revient la responsabilité d’accepter un contrat avec une réplication sur le même site géographique par méconnaissance ou non du risque.

OVH possédait tout de même une sauvegarde en interne des serveurs. Cependant, le temps d’évaluer les dégâts causés par l’incendie, la remontée des serveurs a été longue.

Conséquences de l’incendie OVH pour les clients touchés

Chez Strat&SI, nous avons eu une grosse zone de flou pendant plusieurs jours, car nous ne savions pas si certains de nos clients allaient récupérer leurs données de certains logiciels métiers suite à l’incendie du datacenter OVH à Strasbourg. De plus, nous n’avions pas la visibilité sur les lieux de redondance des serveurs des clients.

Nous avons donc vérifié l’ensemble des informations d’hébergements, les garanties de temps de rétablissement des données prévues dans les contrats, etc.

Les clients de Strat&SI signent des contrats avec des prestataires hébergeant leurs données chez OVH. Ce sont donc ces prestataires qui sont clients d’OVH, car ce sont eux qui louent l’emplacement des données. Nous contractualisons avec le prestataire, avec une garantie de temps de rétablissement (GTR). Le prestataire n’a par ailleurs pas eu la capacité à respecter le GTR, car il avait un plan de reprise d’activité sur les serveurs en flammes et non pas tous les datacenters.

De ce fait, un de nos clients a dû attendre 15 jours avant de retrouver l’accès à ses données. Le problème, est que chaque minute qui s’écoule sans serveur engendre une perte de chiffre d’affaires pour la structure.

Un an plus tard, où en est le suivi de l’incendie OVH ?

Aujourd’hui, une action collective a été lancée par 7 clients d’OVH pour mettre la responsabilité contractuelle de stockage en cause dans l’incendie au centre OVH de Strasbourg.

Un rapport de Bureau Veritas démontre qu’au datacenter OVH de Rennes, la sécurité incendie n’a pas été renforcée.

Souvent, nous sommes attirés par les prix attractifs, pensant que le risque n’existe pas. Faire redonder ses données sur 2 datacenters dans 2 sites géographiques distincts coûte plus cher. La localisation des redondances, les conditions de sauvegardes et les plans de relance restent flous voire inabordées dans les contrats et c’est là tout le problème. Il faut aller chercher l’information et comprendre comment les données sont redondées pour décortiquer les tarifs et comparer ce qui est comparable.

La gestion de l’incendie OVH pour Soliha, par Strat&SI

Delphine Laurent, directrice de Soliha Loire – Puy de Dôme et de l’asile de nuit, a été impacté par l’incendie OVH.

“J’ai été sidérée. J’ai entendu parler de l’incendie OVH à la radio, mais n’avais pas imaginé un tel impact sur nos structures. J’ai appris les conséquences graves pour mes serveurs grâce à un mail de mon éditeur de logiciel.”

Chez Strat&SI, directeur du système d’information de l’Asile de Nuit, nous avons fait le lien avec l’éditeur de logiciel de nos clients afin de mieux comprendre la situation et réaliser un suivi quotidien complet. Nous avons accompagné Delphine et son équipe dans le choix des options de récupération des données afin de limiter l’impact sur leur activité.

Maintenant, nous devons patienter afin de voir la portée de l’action collective et la responsabilité d’OVH sur cet incendie et l’impact sur ses clients.

De notre côté, nous redoublons de vigilance sur les clauses des contrats passés entre les intégrateurs de logiciels de nos clients et les centres d’hébergement, afin de s’assurer que les serveurs de nos clients soient redondés dans deux villes différentes et si tel n’est pas le cas que nos clients soient conscients du risque encouru.