Incendie OvhCloud: On ne croit plus au nuage blanc dans un ciel bleu

L’incendie du centre de données OvhCloud à Strasbourg a fait craindre que le Cloud ne soit pas sécurisé. La sécurité, les certifications, les stratégies de sauvegarde et la continuité des activités sont des aspects que les entreprises ne peuvent pas toujours déléguer. Qu’avons-nous appris de cette histoire?

L’image insouciante du cloud , utilisée par tous les fournisseurs de cloud tout au long de leur histoire, pour des publications, des sites Web, des conférences. Puis l’ incendie dans le centre de données du fournisseur de cloud OvhCloud à Strasbourg, il y a quelques semaines, a fait hésiter nombre d’entre eux à la certitude d’être en sécurité dans le cloud, d’être protégés, d’avoir leurs données dans un coffre-fort.

Et donc ceux qui étaient déjà un détracteur du cloud sont plus enfermés dans leur serveur dans la cave, le jugeant plus sécurisé, ceux qui ont subi les dommages se sont retrouvés vulnérables ou se sont rendu compte qu’ils n’avaient pas de sauvegarde de leurs données , ou qu’ils ne connaissent pas la législation en profondeur … Gdpr … En colère, incrédule.

Un événement exceptionnel par gravité (apparemment lié à une activité de maintenance mais ce sera à l’enquête française d’en donner la lecture correcte) qui a mis en évidence les enjeux fondamentaux de sécurité , de transparence , de réglementation sur laquelle reposent les datacenters et de la décision de entreprises pour déplacer des charges de travail et des données importantes vers le cloud .

Qu’avons-nous appris?

C’est l’interprétation que nous voulons donner à l’événement, pour en sortir plus conscients. Pourquoi, il y a des pannes dans les datacenters ( on le sait ) et si les incendies restent l’un des événements les plus rares mais les plus graves (à arrêter dans l’œuf avec des systèmes et des procédures détaillés ), les entreprises doivent suivre des critères clairs pour choisir en connaissance de cause des fournisseurs et se protéger des dommages irréparables.

Les entreprises doivent comprendre comment évoluer, en particulier dans un scénario extrêmement concurrentiel dans lequel de nombreux fournisseurs de cloud computing visent à construire des réseaux de centres de données distribués, en promettant de maintenir le même niveau de sécurité partout.

Qu’avons-nous appris de cette catastrophe, nous qui croyons au nuage ?

Fondamentalement, les critères qui guident les choix dans le temps restent valables, inchangés. Revoyons-les.

1 – Sécurité

Il est fondamental pour les entreprises de bien comprendre ce qu’elles achètent pour tout service technologique externalisé, non seulement en termes de service, mais aussi en termes de sécurité physique, logique et environnementale. Il est bon que le contrat précise la technologie utilisée pour sécuriser tous les processus (dans le cas des centres de données, savoir quels systèmes régulent les entrées, comme les détecteurs de fumée, les systèmes d’extinction d’incendie, la maintenance des systèmes de prévention des incendies, les technologies anti-intrusion…) sans noyer dans le mot « sécurité » de nombreuses procédures qui ne sont pas bien spécifiées (même si le « jargon juridique » des contrats peut être difficile à comprendre pour les clients).

2 – La reprise après sinistre

Il est essentiel que les centres de données, pour assurer la continuité des activités pour les clients, disposent d’une véritable stratégie de reprise après sinistre (tout le garantit en paroles), et non de centres de données si proches les uns des autres qu’ils ne peuvent être considérés comme distincts. La distance permet d’éviter que les dommages potentiels de l’un d’entre eux (catastrophe naturelle, incendie, activités illégales…) n’endommagent également le centre de données adjacent, faisant partir en fumée la partie redondante. La distance entre les centres de données reste fondamentale : ils doivent être situés dans des zones, des régions ou des États différents, et ils doivent être construits en béton avec des murs capables de résister au feu pendant des heures, sans se déformer.

3 – Sauvegarde

Il est essentiel que les clients, outre l’achat d’un service de continuité des activités, évaluent également une stratégie de sauvegarde des données, en affirmant la bonne pratique consistant à conserver une copie des données, afin de ne pas risquer de perdre tout le patrimoine informationnel au cas où nous aurions des informations dans un centre de données endommagé. Condition préalable à une réelle continuité de service.

4 – Transparence

Il est fondamental de choisir le fournisseur pour savoir quelle transparence il offre sur les données stockées. Qui peut y accéder, comment, quand. Les règles applicables dans le pays où se trouve le centre de données. S’il y a une stricte conformité avec le Gdpr. La transparence n’est pas un aspect secondaire à choisir, elle ouvre la question plus large de la souveraineté des données.

5 – Certifications

Il est important de savoir quelles sont les certifications d’un centre de données, Iso / IEC 27001, Soc2,.Csa Star (voulu par la Cloud Security Alliance) … qui établissent des processus de gestion de la sécurité et du centre de données impliquant correctement chaque client, qui doit savoir soigneusement le service requis.

En bref, chaque centre de données régional qui ouvre (même en Italie) a des règles claires, c’est à l’utilisateur de les connaître. Le cloud continue d’être le choix de nombreuses entreprises, même en 2021 (les données de prévision du marché le montrent) sans crainte. Mais ce qui s’est passé devrait inciter les entreprises à réfléchir à leur approche du cloud, en commençant par la sauvegarde que tout le monde dit avoir mais qui est souvent gérée de manière superficielle. Un service de sauvegarde est aussi bon qu’un plan concret de continuité des activités.

Faire confiance à son fournisseur de services en nuage, c’est bien, mais savoir comment évaluer judicieusement les services achetés (que nous décidions de placer nos serveurs privés dans un centre de données ou de confier au fournisseur de services en nuage des données, des charges de travail ou des services) nous rend responsables.
Des événements comme celui de Strasbourg devraient nous apprendre à ne pas sous-estimer, mais ils ne devraient pas rouvrir la vieille question de savoir si le nuage est sûr ou non. Pas de retour en arrière sur la sécurité du cloud, que les fournisseurs de cloud doivent garantir pour dormir sur leurs deux oreilles, mais chaque client doit avoir à l’esprit quels sont les paramètres essentiels à évaluer pour choisir avec soin les fournisseurs, les coûts et les services sur un marché où la concurrence est féroce. Plus personne ne croit que le nuage est un nuage blanc dans un ciel bleu.

Laisser un commentaire Annuler la réponse

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.