Incendie OVHcloud : Conséquences actuelles et à venir

Une grande partie du datacenter d’OVHcloud Strasbourg a pris feu dans la nuit du 9 au 10 mars. Il faudra plusieurs semaines avant que ce dernier soit de nouveau fonctionnel, même partiellement. De nombreuses questions restent en suspens : s’agit-il d’un incendie criminel ou une défaillance humaine/matérielle ? Est-ce que les systèmes anti-incendie ont fonctionné ? Les clients vont-ils être dédommagés ? Quand les services seront-ils de retour ?

OVhCloud Strasbourg incendie
crédit : SDIS du Bas-Rhin @sdis67

OVHcloud et conséquences

Tout d’abord, et c’est le plus important, aucune victime n’est à déplorer dans ce tragique incendie. Oui, certains l’oublient et c’est le plus important. Le bâtiment SBG2 a été complètement détruit, ainsi qu’une partie du SBG1 (4 salles serveur détruites). Les SBG3 et SBG4 ont été désactivés par mesure de précaution. Ce sont bien des centaines, voire des milliers de serveurs qui sont partis en fumée. Il faudra plusieurs jours aux équipes sur le terrain pour évaluer précisément les impacts.

Beaucoup de services en ligne n’étaient plus accessibles hier. Selon le JournalduNet, « une vingtaine de services actuellement en panne  : Cloud, E-mail, Gestion de nom de domaine, CDN, Dedicated Cloud, Kubernetes, Anti-DDoS, VoIP, offres Microsoft… ». Il s’agit principalement de clients professionnels et grandes entreprises (dont l’administration française). Ces derniers ont rapidement été invités à enclencher leur Plan de Reprise de l’Activité par Octave Klaba, fondateur et président d’OVHcloud.

Cloud pas cher

Ce qui surprend, ce sont bien sûr les réactions de certains sur les réseaux sociaux. Tout d’abord, certaines personnes (nocives ou non) découvraient que leur Cloud n’était ni plus ni moins qu’un serveur physique dans un datacenter. De nombreuses entreprises se sont épanchées de leur malheur et ne comprendre pas pourquoi leurs sites, services ou espace de stockage Cloud était impacté (système de comptabilité, cloud d’entreprise…). Il faut avouer que certains prestataires vendent et surfacturent du rêve à leurs clients, mais prennent le strict minimum à bas coût. Certaines auraient tout perdu !

Mais OVHcloud n’en a pas fini… Il a été reproché à OVHcloud de ne pas avoir communiqué officiellement, ou tardivement. En effet, si Octave Klaba communique beaucoup sur son compte Twitter… de nombreuses personnes ont appris l’incendie dans la presse. Le communiqué de presse de l’entreprise est sorti le 10 mars à 21h. Aussi, plusieurs entreprises ont constaté que leur serveur était affiché comme en ligne lorsqu’il se connectait sur OVH Manager (outil de surveillance et de gestion)… Alors qu’il avait brûlé une bonne partie de la nuit et/ou que l’électricité avait été coupée. Enfin, les sauvegardes OVH (service payant) étaient soit inaccessibles, soit inexploitables.

Remboursement et dédommagement

Plusieurs clients ont voulu savoir s’ils seraient remboursés et/ou dédommagés pour l’incendie. Comme l’explique Alex Archambault (avocat spécialisé dans le Numérique) sur son compte Twitter, les choses ne sont pas simples. Tout se passe dans le contrat conclu entre le fournisseur de services et son client. Suivant la disponibilité choisie (ou pas), OVHCloud dispose entre 9h (99,9%) et jusqu’à 36 jours (90%) pour rétablir les services.

Doit-on blâmer qu’OVHcloud ?

La réponse est non. Surprenant, des entreprises (parfois coté en bourse) ne disposent pas de plan de reprise d’activité et se reposent sur un seul prestataire (et sur un même site géographique). Si ce n’est pas de l’incompétence, c’est de l’ignorance… Plus surprenant encore, certaines d’entre elles ne disposaient pas de solution de sauvegardes externalisées. Enfin, des entreprises n’appliquent toujours pas en 2021 de solutions simples comme la règle de sauvegarde 3-2-1.

Heureusement, ce n’est pas la majorité des cas. Nombreuses sociétés étaient de nouveau opérationnelles après seulement quelques heures voire pour d’autres  : 0 indisponibilité.

Le monde d’après…

Nous souhaitons bon courage aux équipes OVHcloud. Les prochaines semaines s’annoncent complexes. Les équipes techniques vont devoir faire des miracles pour rétablir les services… tout ne sera pas récupérable. On pense aussi aux équipes supports qui vont essuyer de nombreux coups de gueule et autres insultes. Enfin, bon courage à l’équipe de direction et au service de communication. Cet incendie tombe au plus mal pour OVH au regard de son calendrier et de ses dernières annonces : introduction en bourse, rachat de Balde/Shadow, Gaia-X, Health Data Hub…

  1. Peut-être que cet indicent va ouvrir les yeux à certaines personnes (dirigeants, responsables, …) que « l’Internet » n’est pas magique et que la sécurité ne doit jamais être mise de côté !
    Je pense aussi à monsieur/madame tout le monde qui stocke aveuglement ses données sur un cloud sans avoir une autre sauvegarde.

    1. Je rebondi sur ce message.
      Serait-il possible de faire un article récapitulant pour les « clouds grand-public » (OneDrive, Google Drive, Dropbox, etc…) ce qu’il se passerait si jamais les serveurs hébergeant les données venaient à être HS ?
      Car jusqu’à ce que je lise diverses chose depuis cet incendie chez OVH, je pensais que les serveurs dans le cloud avaient de la redondance, et que les données étaient répliquées sur divers endroit…
      Je n’utilise que des Cloud grand-public, cité précédemment, je n’ai pas de serveur dédié (pour lequel je comprends parfaitement la nécessité d’avoir une sauvegarde quelque part des données qu’on place dessus… que ce soit un site web ou autre…)

  2. Merci pour cet article eclairé, la presse (et surtout la TV) en fait son sujet à sensation sans précision et donc en attribuant toute responsabilité « indirectement » à OVH.

  3. Je trouve cet article rigolo au pays des bisounours.

    Que les clients s’en mordent les doigts parce qu’ils n’ont pas de sauvegardes alors qu’ils ont fait un rm -Rf, OK mais pour un problème d’OVH je ne vois pas.

    Ensuite, il faut savoir que les contrats comportent plein de clauses abusives (par exemple dans les assurances) qui sont cassées devant les tribunaux.

    1. Bob, merci pour le partage de point de vue. On est d’accord, la responsabilité est bien chez OVHcloud en premier lieu. Je ne suis pas sûr qu’il y ait de clauses abusives, mais ce qui est triste, c’est que des boîtes n’ont aucune solution pour récupérer leurs services Web rapidement. Ça se réglera aux tribunaux… ou pas. Nous verrons dans l’avenir.
      Ce que je souhaitai partager dans ma réflexion, c’est sur l’absence de gestion du risque en entreprise, de l’évolution nécessaire et aussi le coût (même si je ne l’ai pas abordé directement). Nous ne sommes pas en face de particuliers qui viennent de perdre un album photo, mais d’entreprises qui stockent tout dans le Cloud sans aucune gestion du risque, pas de sauvegardes ou de plan de reprise/continuité d’activité. En 2021, c’est vraiment triste d’en être encore là.
      Dans une autre mesure, moi-même je me pose la question : « et si mon serveur VPS crashait complètement demain, combien de temps me faut-il pour tout remettre en place ? » Aujourd’hui, je l’évalue à quelques heures pour mes différents services (voire une journée). C’est beaucoup trop, mais Cachem et le Forum ne sont pas des services critiques. On peut se passer de ces 2 sites Web… non ? 😉

  4. Pour ma part, je ne pense pas pouvoir me passer du forum des nas plus de 24h.
    J’en tremble rien que d’y penser.

  5. ça me rappelle quand mon patron m’a dit que mon RAID 1 (Iomega UltraMax), ça ne servait à rien. il me l’a fait passer en RAID 0. qq mois plus tard, crash d’un des deux disques… c’était la sauvegarde de tout les tafs clients…

    1. Tu aurais du refusé pour le bien de tous

      Concernant l’article, je ne suis aps d’accord

      Doit-on blâmer qu’OVHcloud ?

      La réponse est non ??? biensur que si, comment se fait-il qu’un bâtiment comme celui-ci brûle entièrement ???
      Ils sont censés avoir de l’équipement permettant d »éviter cela

      1. Un RAID n’a jamais été un système de sauvegarde, c’est de la haute disponibilité.
        Tu peux avoir une désynchro entre tes 2 disques en RAID1, t’auras tout perdu quand même.
        l’idée c’est de continuer à fonctionner quand un disque crash mais certainement pas de garantir que tu ne perdras pas de données.

  6. C’est sur que leur image de marque en prend un coup (déjà bien écornée).
    Pour avoir déployé de la VOIP (trunk sip / centrex) OVH, des offres mutu et dédiées, des VPS, comptes Exchange, O365, etc.. il y a toujours eu des perturbations plus ou moins graves et durables.
    OVH manque d’optimisations et proposes un panel de services assez large, peut-etre trop large pour être sérieux.

    Nombre de TPE/PME ne connaissent même pas les NAS en solutions de sauvegarde et se limitent encore à la clé USB / disque dur externe pour assurer la survie de leur entreprise.
    La plupart du temps (de ce que j’ai pu moi même constater), l’employeur n’est pas très interessé par l’informatique, la perte des données n’est que rarement prise au sérieux, il faut batailler sévère pour installer une solution digne de ce nom, et assurer sa maintenance (sans considération réelle).

    Nombre de prestataires (info & telecom) ont aussi un patron qui ne regarde qu’au chiffre sur la facture et non à la performance technique, et privilégient donc un fournisseur tel qu’OVH qui satisfera les exigences basiques des clients en faisant miroiter des garanties (GTR) rarement tenues ! (mais l’option est belle est bien encaissée).

    OVH est coupable mais pas responsable ? (lol)

  7. J’avoue que de base, je m’attends à ce que tous les fournisseurs de stockage cloud gèrent la redondance des données et la reprise d’activité en automatique.
    On paye un service de stockage, censé être sécurisé, en terme de piratage et de risque extérieurs…
    En tout cas, c’est ce que je pensais avant , je suppose qu’il y a plusieurs contrats possibles mais quel est l’intérêt alors ? autant stocker tout sur son NAS à la maison si ils ne sont pas foutus assuré les données.
    Certes c’est un peu raccourcis mais moi ça me choque.
    Oui, je suis un peu naif…j’imagine que business is business, tout se paye, surtout la redondance…

    1. Oui c’est marrant, c’est exactement ce que je me disais aussi …
      J’imaginais, surement bêtement, qu’un hébergeur professionnel avait forcément une redondance du stockage sur des sites physiques distincts …
      Je suis chez AWS et je pensais que c’était partout pareil.

  8. Fx, merci pour l’article, mais je vais appuyer le point de vue de Bob.

    Si OVH fait payer l’option de data backup, cela veut dire que tu payes pour un service de base et tu n’as pas de sécurité des données ? Je trouve ça assez surprenant que 1. OVH n’ait pas de système anti-incendie efficace (alors que c’est le minimum dans les entrepôts de données physiques qu’ils soient livres ou serveurs comme les gaz inertes) et 2. ils n’ont aucune redondance des données multi sites (cf. règle du 3-2-1) or option payante.

    Pour rappel, Google et les autres géants du net ont tous une redondance multiple des données même pour leur offre gratuite. Certes, on peut se poser des questions derrière le terme « gratuit », mais pour l’utilisateur la sécurité est là. Et ce n’est pas si cher à implémenter qu’on pourrait le dire.

    Alors, peut-être qu’OVH peut se cacher derrière son petit doigt et invoquer le « vous n’avez pas pris l’option », mais il serait très raisonnable de les blâmer pour leur absence de diligence. M’est avis qu’OVH va perdre énormément de ses clients, et je les comprendrais certainement ! OVH est resté trop longtemps sans innover, maintenant ils viennent de prouver qu’ils ne sont pas à la hauteur et ça va couter un prix fou à ses clients. Proposer un service de simple stockage sans protection, c’est limite vendre une voiture sans les roues.

    Dernier point. Certes, les entreprises doivent penser à des systèmes de redondance, mais il faut rappeler un point crucial : un logiciel et des données sauvegardées dans un cloud sont plus difficiles d’accès qu’un serveur hébergé dont on réplique les données hors site… Parfois même les hébergeurs empêchent ce genre de connexion pour éviter les fuites de données. Donc… Pas si évident que ça.

  9. En ce qui me concerne mon service mail exchange hébergé a été remis en service en deux jours avec 0 perte de données, donc c’est pas cheap du tout !

  10. J’ai un vps chez OVH depuis 18 mois pour me connecter via vpn sur mon NAS à mon domicile. Mon VPS est dans le os-sbg1-014 (cluster-001) a Strasbourg… SBG1 a également été affecté par l’incendie : quatre de ses salles sont fortement touchées (baies 61Bxx, 61Cxx, 62Bxx et 62Cxx) ; les huit autres ont été épargnées. Le réseau de SBG1 est fonctionnel.
    Je croise les doigts : « SBG1 et SBG4 : nous projetons de redémarrer les datacenters ainsi que la salle réseau courant de semaine prochaine. »

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.