Written by

Le Cloud est désor­mais une part incon­tour­nable de nos vies numé­riques, à mesure que nous nous diri­geons vers des archi­tec­tures orien­tées « Edge », à l’ère de l’Io(T)T et de la 5G.

Récemment, l’hé­ber­geur fran­çais OVHCloud a subi une perte impres­sion­nante avec un incen­die mas­sif d’un de ses centres de don­nées à Strasbourg, per­dant une uni­té com­plète et endom­ma­geant des par­ties d’une autre. Derrière cet évé­ne­ment spé­ci­fique et la res­pon­sa­bi­li­té du four­nis­seur qui vient avec, beau­coup de ques­tions sont venues de nos uti­li­sa­teurs sur leurs propres don­nées héber­gées par always­da­ta. Voici nos réponses sur la façon dont nous sécu­ri­sons notre pla­te­forme Cloud.


Nous avons fait un fil rapide sur Twitter et LinkedIn au sujet de l’im­por­tance de pré­pa­rer sa conti­nui­té d’ac­ti­vi­té. Cet article est leur ver­sion éten­due, et aborde le sujet sous un angle opé­ra­tion­nel, appli­qué au sta­tut de four­nis­seur d’hé­ber­ge­ment. Les réponses tech­niques pra­tiques se trouvent dans notre docu­men­ta­tion.

Tout d’a­bord, nous connais­sons OVHCloud depuis long­temps main­te­nant, en tant qu’ac­teur de pre­mier plan dans le domaine de l’hé­ber­ge­ment en France et en Europe. Ils étaient éga­le­ment notre héber­geur ini­tial avant la migra­tion vers notre propre infra­struc­ture il y a plu­sieurs années. Partageant le même métier, nous avons été impres­sion­nés par l’in­ci­dent et heu­reux de savoir que tous les membres de l’é­quipe et les pom­piers inter­ve­nus sont tous saufs.

Plan de continuité d’activité, un sésame vers le futur

Un PCA est un docu­ment qui décrit les pro­cé­dures à acti­ver en cas d’ur­gence. Ce docu­ment est interne à votre entre­prise car il est étroi­te­ment lié à votre acti­vi­té : quels sont vos modèles de menaces, et com­ment comp­tez-vous y faire face pour main­te­nir votre acti­vi­té même lorsque les choses se dégradent ?

Comme l’a indi­qué Octave Klaba, direc­teur tech­nique d’OVHCloud, pen­dant l’incendie :

We recom­mend to acti­vate your Disaster Recovery Plan.

Mais pour beau­coup de leurs clients, ce fut une sur­prise, comme en témoignent les réac­tions au tweet : qu’est-ce qu’un PCA, et com­ment pou­vons-nous l’activer ?

La véri­té, c’est qu’il faut se pré­pa­rer au pire. C’est la loi de Murphy :

Tout ce qui peut mal tour­ner tour­ne­ra mal.

Le PCA est là pour empê­cher votre entre­prise de som­brer, par­fois défi­ni­ti­ve­ment. Selon des ana­lyses, les entre­prises qui subissent une perte de don­nées ne s’en remettent pas dans 93 % des cas. Pour 53% d’entre elles, elles met­tront la clef sous la porte dans les deux ans qui suivent l’in­ci­dent. Votre PCA doit être régu­liè­re­ment mis à jour et tes­té, vous per­met­tant de faire face à toutes les situa­tions, même les plus désespérées.

Comme toute autre entre­prise, nous dis­po­sons d’un PCA qui nous aide à res­ter en sécu­ri­té dans ce genre de situa­tion. Nous ne fai­sons pas excep­tion à la règle, sur­tout lorsque vous nous confiez les actifs cri­tiques qui font fonc­tion­ner votre entre­prise. En tant que four­nis­seur de ser­vices Cloud, vous vous fiez à notre infra­struc­ture pour faire fonc­tion­ner vos sites Web, vos appli­ca­tions, vos ser­vices, etc., tous liés à vos don­nées.

Le Cloud est un élé­ment cen­tral de chaque entre­prise, des PME aux grands groupes, en pas­sant par les écoles et les uni­ver­si­tés, les ins­ti­tu­tions gou­ver­ne­men­tales… Il héberge des cour­riels, des fichiers, des bases de don­nées, des outils, etc.

En tant que four­nis­seur, nous héber­geons bien plus que de simples sites Web et nous devons nous pré­pa­rer à faire face à toute éventualité.

Quand un plan se déroule sans accroc

always­da­ta, en tant que plate-forme de ser­vices Cloud, gère plu­sieurs cen­taines de ser­veurs. Nous sommes pré­pa­rés au pire, comme la perte d’a­li­men­ta­tion, de maté­riel, ou (🤞) de tout un data hall voire d’un data cen­ter entier. Pour mini­mi­ser les risques, nous avons appli­qué à notre infra­struc­ture plu­sieurs choix techniques :

  1. Répartition du maté­riel : nos ser­veurs sont héber­gés dans plu­sieurs racks, tous situés à des endroits dif­fé­rents. Un ensemble de ser­veurs de secours est prêt à être démar­ré dans ces racks. En cas de défaillance maté­rielle, nous sommes prêts à bas­cu­ler les ser­vices sur d’autres ser­veurs, même situés dans un autre rack, pour assu­rer la conti­nui­té du service ;
  2. Disponibilité : même en cas de dom­mage majeur, nous pou­vons bas­cu­ler le ser­vice vers d’autres infra­struc­tures et le réta­blir rapidement ;
  3. Gestion des sau­ve­gardes : nous effec­tuons des copies de l’en­semble de vos don­nées chaque jour et nous les conser­vons pen­dant 30 jours glis­sant ; ces sau­ve­gardes contiennent vos fichiers, bases de don­nées, e‑mails, confi­gu­ra­tions, etc ; elles sont dis­po­nibles en lec­ture seule depuis votre compte à tout moment ; en sau­ve­gar­dant vos don­nées auto­ma­ti­que­ment, nous nous assu­rons de pou­voir res­tau­rer rapi­de­ment vos conte­nus en cas de sinistre ;
  4. Sécurisation des sau­ve­gardes : pour évi­ter qu’une catas­trophe natu­relle ne détruise tout, ces sau­ve­gardes sont situées dans un autre data cen­ter que ceux de pro­duc­tion. Ce DC de sau­ve­garde est géo­gra­phi­que­ment éloi­gné des uni­tés de pro­duc­tion ; il est éga­le­ment exploi­té par un autre four­nis­seur que celui héber­geant nos uni­tés de pro­duc­tion, afin de res­ter indépendant ;
  5. Résilience des DNS : l’ar­chi­tec­ture DNS est aus­si cri­tique que les don­nées ; en cas de défaillance, nous devons main­te­nir ce ser­vice en état de marche pour ache­mi­ner le tra­fic entrant vers de nou­veaux ser­veurs ; nous héber­geons donc nos ser­veurs de noms à dif­fé­rents endroits et chez dif­fé­rents four­nis­seurs, afin que la par­tie DNS reste dis­po­nible pour les mises à jour et le main­tien du trafic ;
  6. Connexion per­ma­nente : nous nous enga­geons à res­ter indé­pen­dants de tout four­nis­seur, ce qui atté­nue le risque d’un SPoF ; notre accès Internet est four­ni par quatre FAI dif­fé­rents afin d’ab­sor­ber tout pro­blème de tra­fic ; notre plate-forme Cloud res­te­ra acces­sible, quel que soit le sta­tut des FAI ;
  7. Consolidation du réseau : à l’in­té­rieur de nos centres de don­nées, nous gérons notre infra­struc­ture réseau glo­bale afin de four­nir à chaque ser­veur un lien réseau de secours ; si l’ac­cès réseau prin­ci­pal est indis­po­nible pour une rai­son quel­conque, nous pou­vons faci­le­ment bas­cu­ler la connexion vers l’in­ter­face secon­daire et réac­ti­ver le réseau immédiatement ;
  8. Expertise : nous avons choi­si les data cen­ters d’Equinix pour héber­ger nos uni­tés de pro­duc­tion ; ils sont répu­tés pour leur qua­li­té et leur expé­rience en matière d’hé­ber­ge­ment pre­mium dans le monde entier ; nos data cen­ters béné­fi­cient des meilleures infra­struc­tures et cer­ti­fi­ca­tions en termes de sécu­ri­té et de protection ;
  9. Réplication : vous pou­vez avoir des besoins de redon­dance et de sca­la­bi­li­té en fonc­tion des besoins de vos ser­vices : nous pro­po­sons un plan Gold avec Catalyst qui répond à ces contraintes ; vos ser­veurs sont répar­tis sur des DC géo­gra­phi­que­ment dis­tants dans des états de syn­chro­ni­sa­tion redon­dés ; en cas de défaillance d’un nœud, tout le tra­fic est ins­tan­ta­né­ment redi­ri­gé vers le(s) autre(s) nœud(s) pour que tout reste opérationnel.

Qu’est-ce qui pourrait mal se passer ?

Lorsque tout est pré­vu, vous esti­me­rez être prêt à faire face à toute situa­tion. Nous avons une archi­tec­ture solide, des pro­ces­sus bien conçus et nous choi­sis­sons des par­te­naires qua­li­fiés pour nous accom­pa­gner. Nous sommes prêts. Et nous ne fai­sons pas exception.

En véri­té, tous les four­nis­seurs qui ont connu des pannes par le pas­sé, d’AWS à OVHCloud, pen­saient être aus­si prêts que nous. La réa­li­té est que qui­conque ne peut être prêt que pour le pire des scé­na­rios qu’il sera capable d’en­vi­sa­ger. Et c’est là qu’in­ter­vient votre responsabilité.

Nous avons pen­sé à tous les scé­na­rios qui pour­raient se pro­duire et qui pour­raient pré­sen­ter un impor­tant niveau de risques. Vous devez faire de même de votre côté car vous connais­sez votre busi­ness et vos besoins en terme de ser­vices. Lors de la der­nière panne d’OVHCloud et de l’in­cen­die de SBG2, OVHCloud était pro­ba­ble­ment convain­cu d’être très bien pré­pa­ré, mais beau­coup de ses clients ont quand même per­du leurs don­nées. Certains parce qu’ils ne savaient pas que la sau­ve­garde de leurs don­nées était option­nelle. D’autres parce qu’ils ont choi­si de ne pas payer ce coût supplémentaire.

Il est essen­tiel de faire confiance à votre four­nis­seur, comme nous fai­sons confiance aux nôtres. Mais en défi­ni­tive, il s’a­git de com­prendre la por­tée du ser­vice que vous ache­tez. Pour vous évi­ter un désastre majeur sur vos don­nées et ses consé­quences, nous avons choi­si d’in­té­grer toutes ces sécu­ri­tés par défaut. C’est exac­te­ment ce qui fait de nous un four­nis­seur de Cloud (ou un four­nis­seur de PaaS info­gé­ré). Certains uti­li­sa­teurs en auront besoin, d’autres non. Votre res­pon­sa­bi­li­té ici est de choi­sir une offre qui cor­res­pond à vos besoins de sécurité.

Parez à toute éventualité

Nous avons vu qu’un PCA est une néces­si­té pour main­te­nir votre entre­prise en acti­vi­té. Le choix d’un four­nis­seur qui répond à vos besoins en termes de pro­tec­tion est étroi­te­ment lié à ce PCA mais ne vous absout pas d’en avoir un. Vos don­nées sont cri­tiques, vous devez avoir un plan en cas de défaillance et choi­sir vos par­te­naires en conséquence.

Comme vous connais­sez votre entre­prise mieux que qui­conque, le choix de vos four­nis­seurs vous appar­tient : vous pou­vez choi­sir de mettre en place un PCA qui ne dépend pas d’un seul four­nis­seur, ce qui vous per­met de pas­ser rapi­de­ment à un héber­geur de secours en cas d’ur­gence. Ou vous pou­vez choi­sir un par­te­naire qui vous offre les garan­ties que vous atten­dez, afin de pou­voir res­ter concen­tré sur la conti­nui­té de vos activités.

Il n’y a pas de bon choix à faire. C’est à vous de déci­der de la manière dont vous gére­rez la crise quand elle se pro­dui­ra : cela impli­que­ra-t-il que toutes les actions soient de votre côté, ou pré­fé­rez-vous vous appuyer sur l’ex­per­tise et la qua­li­té de votre four­nis­seur ? Vous avez la réponse.

Soyez prêt. Vos don­nées sont le cœur de votre entre­prise. Protégez-les.