Dans la nuit du 9 au 10 mars 2021, un datacenter d’OVH est parti en fumée et avec lui les données de beaucoup d’ entreprises ! L’hébergeur a en effet indiqué que différentes instances de backup et des services (plesk, NAS-HA storage, datastore, vRops…) seraient irrécupérables.
Une catastrophe pour OVH, mais aussi pour toutes les entreprises qui considéraient jusqu’à présent le Cloud comme la solution idéale et pérenne en termes de sauvegarde. Certaines données sont donc effacées à jamais. D’autres pourront être récupérées progressivement, c’est-à-dire au fur et à mesure que l’hébergeur aura pu rétablir le fonctionnement de services.
Le partage des responsabilités
Cet incendie démontre la nécessité pour les entreprises d’envisager le pire. Certes, les probabilités d’un tel risque sont beaucoup plus faibles que celle d’une cyberattaque. Mais le risque n’est pas nul. La preuve.
Envisager le pire implique de commencer par lire attentivement le contrat liant l’entreprise (le client) à l’hébergeur (le fournisseur). Cette lecture doit mettre en évidence le partage des responsabilités en cas d’externalisation des données ou de ses services. Tout doit être explicite et transparent.
Rappelons que le provider d’un service dans le Cloud est responsable de la sécurité de son infrastructure et non des données qu’il héberge. Cette responsabilité incombe à ses clients. Qu’il s’agisse d’un incendie ou d’une attaque de type ransomware, les entreprises devront attendre plusieurs jours, le temps pour l’hébergeur de récupérer les données, pour qu’elles puissent retravailler.
Un hébergeur peut toujours prolonger de deux ou plusieurs semaines ses abonnements au titre de dédommagement. Mais cela ne change rien à la situation : les entreprises auront été pénalisées par une période d’inactivité qui aura certainement profité à leurs concurrents.
D’où la nécessité de respecter scrupuleusement la règle des sauvegardes 3-2-1. Les données doivent ainsi être sauvegardées à trois endroits, sur deux supports intégrant deux technologies différents et une sauvegarde extérieure et non connectée au réseau de l’entreprise. Schématiquement, il s’agit de « ne pas mettre ses œufs dans le même panier ».
Autre bonne pratique : la mise en place d’un PRA. La définition et la conception d’un Plan de Reprise d’Activité incombent aux entreprises et non au provider de cloud ou à l’hébergeur.
Où placer le curseur
Un PRA a deux facteurs importants : le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective). Le RPO est l’intervalle de temps correspondant à la quantité maximale de données perdue acceptable par l’entreprise. Le RTO est la durée maximale d’interruption acceptable. Plus précisément, il correspond à l’intervalle de temps maximum entre le moment de la notification de l’incident et la reprise normale du service.
Ces deux éléments étant déterminants, les entreprises doivent les définir avec précision en fonction de leurs impératifs commerciaux ou de leurs obligations légales. À elles de savoir où placer judicieusement le curseur, car à chaque fois que l’on diminue le RPO ou le RTO, le coût augmente.
Ces bonnes pratiques s’appliquent aussi dans le cas d’un logiciel en mode SaaS. Avant d’intégrer cette solution, de nombreuses entreprises avaient mis en place différentes solutions de sécurité (antivirus), de sauvegarde et de tolérance de pannes.
Puis le Cloud est arrivé. Progressivement, il est devenu un standard et les entreprises ont généralement au moins une application dans le Cloud (la messagerie, la GED, les applications métiers…). Le cas typique est celui de Microsoft 365 qui a été déployé dans de nombreuses organisations.
Principal argument : cette externalisation libère du temps aux équipes informatiques et de sécurité et les exonère de faire des sauvegardes en respectant la règle des 3-2-1. « L’éditeur s’occupe de tout », pensent de nombreuses entreprises. La réalité n’est pas aussi idyllique et rassurante. Là aussi, les responsabilités sont partagées. D’où la nécessité de mettre, là encore, un PRA.
Dans ces deux cas de figure (l’hébergement de données et l’externalisation de la messagerie), de nombreuses entreprises minimisent le budget jusqu’au jour où leur activité est fortement impactée.
En conclusion, les leviers qui permettent aux entreprises d’assurer leur sécurité en 2021 sont une parfaite compréhension des enjeux de la gouvernance des données et la mise en place de bonnes pratiques (sensibilisation des salariés, PRA, politique de cybersécurité proactive…).
Ce sont les deux piliers permettant de renforcer sa résilience et son agilité.