Retour aux articles

L'agence

WanadevStudio

Un peu d'ingérence dans votre infogérance ?

Même si les impacts sont difficiles à mesurer, on peut dire qu’il a eu un avant et un après incident OVH. Sans épiloguer sur l'incendie du 5 mars 2021 dernier, un petit vent de panique a soufflé sur les milliers de clients découvrant les problématiques de sécurisation des données. Les réactions à chaud d'une partie des utilisateurs (touchés ou non) montrent la méconnaissance et l'incompréhension qui existent dans les offres d'hébergement. Qui est responsable ? Qui fait quoi ? Comment vérifier mon offre ? Voici quelques clés de compréhension.

Les acteurs de l'hébergement

L'actualité nous le rappel souvent, les incidents techniques ne sont pas les seuls risques sur vos données. Nous voyons, depuis maintenant de nombreuses années, une accélération des piratages et autres "ransomwares". Ce fléau qui touche même des petites PME a souvent des conséquences économiques désastreuses.

Aujourd'hui, héberger un projet sur internet, c’est s’appuyer sur une chaine d’acteurs techniques. Pour simplifier, nous pouvons les classer en 5 grands groupes :

  • Le fournisseur d'électricité
  • Le fournisseur réseau
  • Le datacenter : le “bâtiment”, les salles, le réseau interne et les armoires contenant les serveurs
  • L'hébergeur d'infrastructure qui s'occupe d'installer les routeurs et les serveurs
  • L'infogérant qui s’occupe d’installer le serveur, les logiciels, superviser mettre en place les routines de sauvegardes.

Titre_de_l_image

Dans de nombreux cas, la défaillance d'un seul de ces acteurs entraine des perturbations importantes de votre hébergement. Dans la pratique, les hébergeurs couvrent une partie ou l’intégralité de ces postes ce qui limite les effets dominos. Communément, on peut rationaliser l’offre du marché en 2 groupes :

  • Le loueur de serveurs (nécessite une configuration par le client)
  • Le fournisseur de services prêt à l'emploi (Wordpress pré-installé, base de données managée...)

Là où les choses se brouillent pour le client, c'est que derrière certaines offres de services (à travers les scripts d'installation automatique) se cache en faite, un service de location. Vous pensiez avoir délégué toute la partie technique et finalement ce n'est pas le cas !

Beaucoup d'acteurs comme OVH ont une stratégie de croissance numéraire qui passe par des prix agressifs pour conquérir un public large et souvent novice. L'offre proposée doit donc paraitre simple avec la promesse que pour quelques euros et quelques clics votre site internet sera prêt en ligne ! Effectivement, cela fonctionne bien de cette façon mais en même temps, on déresponsabilise les clients sur la réalité de sécurité de leurs données.

Concrètement, le cœur du métier d'une société comme OVH est de proposer du matériel, du réseau et du serveur...après c’est à vous de gérer le reste. Évidemment, vous avez des services à votre disposition pour assurer au mieux la sécurisation et la protection de vos données, mais au final, vous seul en êtes responsable. Et ce n'est pas si clair à comprendre dans les offres commerciales. On touche ici le cœur du problème, de la confusion qu'il existe entre les consommateurs et les fournisseurs d’hébergement.

Mieux comprendre son offre pour mieux se protéger

Tout d'abord, faisons un point sur les responsabilités, les engagements pris par les hébergeurs. Une notion simple pour garantir la qualité de service à travers son taux de disponibilité. Il s'agit du SLA, un indicateur souvent mis en avant dans les offres. Voici concrètement ce que cela donne :

Taux (SLA) Indisponibilité tolérée / mois Indisponibilité tolérée / an
99% 7.20 h 87.6 h
99,9% 43 min 8.76 h
99,99% 22 min 4.38 h
99,999% 4.32 min 53 min
99,9999% 2.6 secondes 31.6 secondes

Attention dans certain cas, les SLA doivent se composer entre eux. En effet, vous pouvez avoir à la fois un SLA pour le réseau et un autre SLA pour votre serveur. Dans ce cas, le SLA global se calcule par cominaison : Réseau à 99,99% et hébergement à 99,99% donne un SLA à 99,98%

Au-delà de cet indicateur ou d'une perte de données, que se passe-t-il concrètement ? Et bien, c'est la douche froide, car les indemnités sont souvent indexées sur le cout de l'hébergement. En général, c'est un remboursement partiel ou complet de votre service pendant le mois de l'incident. C'est donc dérisoire face aux potentielles pertes financières sur votre activité. Les hébergeurs le savent et proposent facilement la prise en charge des indemnités. Attention toutefois, de nombreuses exclusions de garantie existent pour protéger les fournisseurs dans les cas de force majeur.

Poursuivons par d'autres indicateurs très importants à connaitre :

GTI : Temps d’intervention garantie, il s’agit du temps maximum de prise en charge d’un incident par un technicien

GTR : Temps de rétablissement de service, le temps maximum de rétablissement du service suite à un incident.

PRA : Le plan de reprise d'activité est avant tout les moyens et procédures mis en place en cas de défaillance de ces services. Des solutions techniques existent pour synchroniser vos serveurs actifs vers des serveurs passifs en dehors du site principal.

RPO : Cet indicateur désigne la durée maximum des données qui est admissible de perdre. Concrètement, il s'agit souvent du rythme de vos sauvegardes : une sauvegarde journalière entraine un RPO de 24h.

Enfin, terminons sur l’infogérance, souvent la grande oubliée, mais l'un des services les plus important pour vous assurer la pérennité de votre hébergement. L'infogérance consiste à mettre à jour les logiciels (pour corriger les failles de sécurité), vérifier le bon fonctionnement des outils de surveillance et des systèmes de sauvegarde. Votre infogérance est un prestataire qui est capable de faire évoluer votre hébergement, vous conseiller et intervenir lors d'un incident (piratage, défaillance technique...). C'est à la fois votre garagiste mais aussi celui qui réalise régulièrement le contrôle technique de votre hébergement.

5 points à vérifier dès maintenant

  • Avez-vous une prestation d’infogérance ? Si ce n'est pas le cas, avez-vous le temps et les compétences aujourd'hui pour intervenir lors d'un incident ?
  • Vérifier les SLA, GTR et GTI de votre hébergement et les indemnités liées.
  • Les sauvegardes sont-elles en place ? Avez-vous une procédure pour tester ou restaurer les données ? les sauvegardes sont-elles envoyées en dehors du datacentre principal ? Avez-vous des copies en locale ?
  • Avez-vous une application pour surveiller et contrôler la disponibilité de vos sites (pingdom, betteruptime, uptime...) ?
  • Si votre activité ne peut souffrir d’interruption, avez-vous un PRA (https://fr.wikipedia.org/wiki/Plan_de_reprise_d%27activit%C3%A9)

Que peut-on espérer par la suite ?

Comme on l'a vu précédemment, il y a un problème de lisibilité des offres et de ce qu'elles contiennent. Le commerçant qui a un petit site vitrine ne devrait pas se soucier de l'infogérance ou de la sauvegarde de ses données. On devrait lui proposer uniquement des offres adaptées à son besoin et à son niveau de compétence.

Aujourd'hui, le stockage et l'hébergement serveur sont devenus stratégiques pour la majorité des entreprises. Souvent mal anticipée, la pérennité des données est devenue critique. Il est donc nécessaire de concevoir des protections techniques et juridiques pour les protéger.

Au même titre que la ceinture de sécurité ou des dispositifs incendie, la sécurisation des données devrait être obligatoire.

On pourrait même imaginer en fonction des activités du client des obligations étendues sur du PRA ou sur la durée de rétention des sauvegardes (il existe déjà des normes dans le domaine de la santé par exemple). En attendant de telles mesures, Octave Klaba, fondateur d'OVH a déjà annoncer la mise en place de sauvegardes automatiques sur toutes ses offres sans surcout. Il est fort à parier que les autres acteurs s'aligneront aussi sur cette mesure.

En attendant, nous ne pouvons que vous recommander de faire un état des lieux des forces et faiblesses de votre hébergement. Vous pourrez ainsi prendre les bonnes décisions et renégocier, si nécessaire, votre contrat d'hébergement pour prendre en compte certains risques.

Commentaires

Il n'y a actuellement aucun commentaire. Soyez le premier !