Expertises des Systèmes d'information - Mai 2021 - N°468 - Le mensuel du droit de l'informatique et du multimédia - 200

CYBERSÉCURITÉ

L'hébergement des données :
un sujet brûlant... Retour sur
les convictions et le risque
d'indisponibilité
Contexte technologique et description de l'incendie du
site d'OVHcloud à Strasbourg, et premières leçons qui
s'imposent, notamment sur la nécessité de remplacer
les convictions par une réelle stratégie régie par une
politique de sécurité adéquate, et d'envisager les
remises en cause et les améliorations à apporter.

epuis l'avènement du
«
cloud
computing » et le développement
de la mobilité, un grand
nombre d'organismes misent avec
une grande conviction sur le stockage de l'ensemble de leurs informations dans un centre de données
(data center), sans considération
du risque. Or, peu ont conscience
de la fragilité de la disponibilité
des données hébergées, au point,
pour certains, de n'avoir aucune
garantie sur leur duplication ou leur
sauvegarde. Et encore beaucoup
trop ne disposent d'aucun plan de
reprise d'activité1, dont l'élaboration
est perçue comme fastidieuse et
peu utile. Le choix est risqué et
quand une catastrophe survient et
emporte l'ensemble des données,
les lamentations n'y feront rien, et
les souvenirs et les regrets aussi...

Une telle situation de crise majeure2
est malheureusement illustrée de
façon exemplaire par le violent
incendie qui s'est rapidement
propagé sur le site de l'hébergeur
OVHcloud à Strasbourg, causant la
destruction totale d'un des centres
de données, et d'un autre en partie.
Il en résulte des répercussions
considérables et, pour les clients
les plus impactés qui ne disposent

200

pas d'au moins une sauvegarde par
ailleurs, la perte totale et définitive
de leurs données !
L'auteur se propose de développer
le contexte technologique et une
description de cet événement
dramatique en tant qu'instrument
pédagogique pour en tirer les
premières leçons qui s'imposent,
notamment sur la nécessité de
remplacer les convictions par
une réelle stratégie régie par une
politique de sécurité adéquate, et
envisager les remises en cause et les
améliorations à apporter3.

Introduction
Les entreprises, et les organismes
en général, sont de plus en plus
impliqués dans la transformation
numérique et la mobilité. Ce
phénomène se trouve renforcé en
période de crise actuelle. Le « cloud
computing » désigne une nouvelle
manière de penser l'informatique
dématérialisée qui s'accorde avec
cette situation4. Les applications
voire les données sont situées dans
un ou plusieurs « nuages », de façon
à fournir des services distincts
en de multiples lieux. Les clients
n'ont plus à gérer d'infrastructure
quand elle est fournie en tant que
EXPERTISES Mai 2021

service (IaaS) : serveur, stockage,
etc. A cette rupture technologique
correspond une forme particulière
d'infogérance où l'emplacement
et le fonctionnement du nuage
ne sont pas toujours portés à la
connaissance. Ceci redéfinit le
rapport et les responsabilités entre
les fournisseurs de tels services et
leurs clients pour le traitement et
le stockage des données, avec des
exigences notamment en termes
de sécurité et de conformité.
Cet état implique de formaliser une
politique de sécurité5 appropriée
aux enjeux et aux risques. Cette
politique participe au maintien des
activités critiques et de l'intégrité
de l'organisme entier, y compris
face à des agressions majeures
diverses : naturelles (ex. inondation,
tremblement de terre) ou technologiques (ex. incendie, explosion),
malveillantes (ex. sabotage, cyberattaque), ou induites par des erreurs
humaines à tous les stades, de la
conception à l'exploitation. Pour
cela, un plan de reprise d'activité
(PRA) est impérieux, et obligatoire
pour certains6. Il assure la résilience
et vise le redémarrage de l'activité,
y compris en mode dégradé, pour
éviter l'anéantissement en cas de
désastre.

Expertises des Systèmes d'information - Mai 2021 - N°468 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Mai 2021 - N°468 - Le mensuel du droit de l'informatique et du multimédia