Le 10 mars 2021, un des centres de données de l’hébergeur OVH était touché par un incendie. La perte de données qui en suivit à fait réagir le monde entier, ouvrant la porte à plusieurs questions. Comment fonctionne un datacenter ? Comment sont protégées les données des clients ? Comment éviter une situation similaire et mieux protéger ses données ?
OVHcloud – anciennement OVH – est une entreprise française créée en 1999. D’abord spécialisée dans l’hébergement de sites internet, OVHcloud propose aujourd’hui des services cloud, c’est-à-dire, des solutions de stockage à distance. OVH affirme avoir désormais “plus de 1,5 million [de] clients” dans le monde entier.
Quel est donc l’impact de l’incendie du 10 mars 2021 ayant touché leur datacenter à Strasbourg ? La société Netcraft a notamment estimé à 464 000 noms de domaines distincts (dont 59 600 français) et 3,6 millions de serveurs Web inaccessibles après l’incident. Une problématique de perte de chiffre d’affaires pour les sites de e-commerce est d’abord soulevée, mais surtout, on se questionne quant à la sécurité des données hébergées par OVH : de nombreux sites n’ont ainsi pas pu être récupérés, les données étant sécurisées soit que sur un seul serveur, soit sur un serveur de secours situé… au même endroit ! Alors, comment sont sécurisés les systèmes de stockage à distance ?
Le stockage des données
Gardons l’exemple d’OVH : l’entreprise française possède plus de 27 centres de données, partout dans le monde, dont la plupart sont situés en Europe, comme nous le montre une carte disponible sur le site officiel d’OVH.
Le principe du datacenter
Les données hébergées par un prestataire comme OVH sont stockées dans des centres de données (ou datacenters). Il s’agit de l’endroit physique (généralement un entrepôt) spécialement créé pour accueillir des serveurs ainsi que tout l’équipement informatique permettant de les faire fonctionner.
Pour visualiser un peu, le campus d’OVH à Strasbourg était composé de quatre datacenters (SBG-1, SBG-2, SBG-3 et SBG-4), habritant 29 000 serveurs au total.
La plupart des données d’un site internet sont stockées sur un ou plusieurs serveurs, mais rien n’oblige les prestataires à héberger vos données sur des serveurs différents.
Comment mieux sécuriser mes données ?
Tout d’abord, relisez le contrat signé avec votre hébergeur. On doit y préciser la responsabilité de chacun en cas de sinistre. Ne croyez donc pas que votre prestataire est automatiquement responsable de vos données pour chaque incident.
La règle de sauvegarde du 3/2/1
Prenez les devants en choisissant de sécuriser vous-mêmes vos données. Il existe notamment ce que l’on appelle la règle de sauvegarde du 3/2/1 :
- avoir 3 copies de votre jeu de données (voire plus) ;
- sauvegarder ces copies sur au moins 2 supports différents ;
- stocker 1 de ces copies sur un autre lieu que votre lieu de stockage habituel.
Plan de reprise d’activité
Enfin, prévoyez un plan de reprise d’activité : cela vous permettra de limiter les dégâts en cas de sinistre et de pouvoir reprendre une activité plus ou moins normale (selon votre plan de reprise).
En quoi ça consiste d’ailleurs, un plan de reprise ? Il y a plusieurs modèles. Si vous avez suivi la règle de sauvegarde du 3/2/1, normalement vous n’avez perdu que peu de données, voire aucune. Vous pouvez alors choisir de migrer vos données vers un autre serveur.
Par exemple, lors de l’incendie des serveurs OVH à Strasbourg, vous auriez pu activer votre plan de reprise auprès d’eux pour faire migrer vos données sur un des datacenters de Roubaix. Vous auriez pu également choisir de migrer entièrement votre site chez un autre hébergeur.
N’oubliez également pas de programmer vos sauvegardes régulièrement, pour éviter de perdre trop de données !
Les datacenters et le risque incendie
Dans son livre blanc sur la sécurité-incendie dans les datacenters, Les Cahiers Techniques du Bâtiment explique comment doivent normalement être protégés les centres de données – notamment contre le risque incendie.
Les systèmes d’extinction automatiques sont également favorisés dans les centres de données :
- le système de diffusion de gaz inerte : on vide la pièce de son oxygène pour étouffer l’incendie ;
- le brouillard d’eau (ou brumisateur haute pression) qui « génère une multitude de fines gouttes » qui permet de protéger les machines contre l’eau tout en éteignant les flammes.
D’autres risques ?
Le feu n’est pas le seul risque pouvant nuire aux centres de données. Ces risques peuvent être divisés en deux catégories : les risques liés à l’Humain et les risques techniques/naturels.
- Le vandalisme ;
- Les attaques numériques ;
- Les conditions climatiques ;
- Les problèmes électriques.
Les risques humains
Les risques liés à l’Humain sont, comme leur nom l’indique, directement liés à des manœuvres humaines. On compte notamment le vandalisme et les attaques numériques.
Le vandalisme concerne les intrusions physiques au sein des datacenters. Il peut s’agir de vol ou de destruction de matériel informatique. Sur ce point, les centres de données sont normalement très bien sécurisés.
OVH par exemple, explique sur son site les conditions de sécurité qui entoure ses datacenters. Ce système de sécurité maximale est relativement similaire à tous les centres de données des différents prestataires.
Seules les personnes accrédités peuvent accéder physiques aux serveurs informatiques. Il faut également montrer patte blanche en présentant son badge. Les locaux sont surveillés 24h/24 et 7j/7 tant par un service de gardiennage et un personnel technique que par un système de vidéo surveillance.
Lorsque l’on parle d’attaques numériques, on fait notamment références au piratage des serveurs. Sur ce point, les centres de données sont extrêmement bien préparés, en étant notamment protégés par un antivirus et un firewall. Les services de sécurité surveille aussi avec attention ce que l’on appelle les attaques DDos.
Les risques techniques/naturels
Concernant les risques techniques et/ou naturels, il s’agit d’événements indépendants de l’activité humaine qui entoure les centres de données. On peut notamment citer les problèmes liés aux conditions climatiques mais également les problèmes techniques.
Un centre de données n’est pas situé n’importe où. Son emplacement doit répondre à plusieurs critères et sa construction doit s’adapter à son environnement. Par exemple, un datacenter ne peut pas être construit sur une zone inondable. Il est également protégé de la foudre grâce à plusieurs paratonnerres. De même, un système de climatisation ultra performant permet de protéger les serveurs contre les fortes chaleurs externes au bâtiment.
Un des gros risques pouvant mettre en danger un datacenter est celui lié à l’électricité. Une coupure d’électricité rend les serveurs inaccessibles et risque d’engendrer une perte de données. Il y a également un risque d’incendie en cas de surchauffe d’un appareil électrique. Rassurez-vous, un système de relai électrique permet au centre de données de ne pas subir de coupure électrique trop longue. De plus, un système de caméras thermiques permet de surveiller les points chauds d’une salle de serveurs, permettant de prévenir tout risque d’incendie.
Prenez les choses en main
L’incendie du datacenter d’OVH doit servir de leçon tant aux prestataires d’hébergement de données qu’aux clients. La responsabilité d’un tel sinistre est partagée : vous êtes responsable de vos propres données.
La destruction de vos données n’est pas le seul risque contre lequel vous devez lutter. Il faut également se protéger d’une fuite de données qui pourrait être catastrophique pour votre entreprise.
Alors, n’hésitez surtout pas à bien les protéger !
À lire pour en savoir plus :
https://www.journaldunet.com/ebusiness/crm-marketing/1500189-cyber/
[Un article de Cindy Lapaille dans le cadre du cours de rédaction web]
