Tribunes

Edito - Avoir la tête dans les nuages ne dispense pas d'avoir les pieds sur Terre

Edito - Avoir la tête dans les nuages ne dispense pas d'avoir les pieds sur Terre
Bertrand Lemaire est rédacteur en chef de CIO.

L'incendie ayant détruit une partie du datacenter d'OVH à Strasbourg vient rappeler les devoirs des DSI ayant recours à de l'hébergement tiers.

PublicitéVoilà un incident informatique d'un genre un peu désuet. Pas de ransomware, pas de cyber-arnaque : un incendie. Dans la nuit du 9 au 10 mars 2021, le datacenter strasbourgeois de l'hébergeur OVH a brûlé comme mes collègues du Monde Informatique vous l'ont raconté. Des entreprises et des administrations ont été impactées, bien entendu. Certaines plaintes désespérées ont retenti sur Twitter, attirant quelques moqueries. OVH, lui, a parfaitement maîtrisé la situation et fait son travail d'information. Son patron a rapidement appelé ses clients à déclencher leur plan de reprise d'activité s'ils étaient impactés, l'incident étant d'une particulière gravité. Et c'est là que certains ont frémi et pleuré.

Entendons-nous bien : qu'il y ait une coupure sur des services pouvant supporter une telle coupure (y compris Data.gouv.fr), cela n'est pas un problème. Normalement, tout le monde a pu survivre sans télécharger durant quelques heures les données bien à jour de la « localisation des infrastructures d'accueil des enfants de 0 à 17 ans dans la ville de Neuville-Saint-Rémy » ou le « fichier consolidé des Bornes de Recharge pour Véhicules Électriques (IRVE) ». Data.gouv.fr est ainsi revenu en ligne dès le début de matinée du 10 mars. En juin 2013, un incident avait provoqué un arrêt du coeur SAP du système d'information financier de l'Etat, Chorus, là encore suite à un problème très physique sur un datacenter et l'AIFE avait arbitré ses décisions en fonction des contraintes métier et des possibilités techniques, avec un bilan exemplaire en gestion de crise. Dans tous les cas, il faut juste que la crise soit anticipée, c'est à dire que la possibilité d'une crise soit prévue, et qu'un plan effectif existe en tenant compte des besoins réels avec un retour à la normale possible dans un délai raisonnable en regard de ces besoins métier.

Et c'est là que le bât blesse. Pour beaucoup trop de décideurs, quand on met son système d'information dans le cloud, eh bien, ma foi, il n'y a plus de problème. Le prestataire cloud n'est-il pas là pour que, justement, on ne s'occupe plus de rien ? Certains déchantent parfois un peu brutalement. Comme le dit l'adage : le cloud n'existe pas, c'est juste l'ordinateur de quelqu'un d'autre. Recourir au cloud est une externalisation comme une autre. Cela ne dispense en rien de l'organisation de son PRA. Des victimes de ransomwares ont ainsi découvert un peu tard que leur prestataire cloud avait parfaitement stocké toutes leurs données chiffrées par les cyber-criminels. Comment ça, il fallait faire une sauvegarde off-line ? Le recours au IaaS comme au PaaS ou au SaaS est lié à des conditions de niveau de service, à des garanties (ou pas). Il faut lire son contrat avant qu'il ne soit trop tard... et se prémunir des défaillances possibles d'un fournisseur. La faillite d'un fournisseur ne consolera pas de sa propre faillite.

PublicitéLes attaques par ransomwares comme l'incendie d'OVH ont au moins un côté positif : rappeler la responsabilité incessible et insoutraitable des DSI de garantir l'effectivité d'un plan de reprise d'activité. Ce sera d'ailleurs le coeur du sujet de la CIO.expériences Résilience IT : garantir la continuité d'activité face aux crises organisée par CIO et qui aura lieu le 15 juin 2021 à Paris.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis