Irresponsabilité partagée ?
Les poussières de l’incendie du centre de données D’OVH, à Strasbourg, commencent à retomber. Cela n’est rien de dire que cela fut un choc pour beaucoup à la fois pour les industriels de l’hébergement et pour de nombreux clients qui découvraient les règles du jeu confuses qui régissent à la fois cette industrie et le Cloud. Évidemment, beaucoup ont saisi cette occasion pour crier haro sur le baudet, chercher les responsabilités, les causes qui, rappelons- le, produisent toujours les mêmes effets. Le cas D’OVH n’est pas unique en son genre même si les conséquences des incidents n’ont pas eu la même ampleur. Ainsi en août 2018, un centre de données en construction D’AWS partait en fumée dans la banlieue de Tokyo. Ce fournisseur de services d’infrastructure n’a pas vraiment de chance avec les éléments. À Sydney en 2016 les orages ont entraîné une interruption de différents services. Il en avait été de même en 2011 à Dublin en Irlande. Dédouaner OVH ? Non, ce n’est pas le sujet de cette chronique. Il s’agit juste de faire la part des choses et de comprendre pourquoi les conséquences sont si importantes à la suite de cet incendie.
D’un côté nous avons un fournisseur, qui, jusqu’à présent, ne semble avoir pour faute que de n’avoir appliquées que les normes minimales demandées par les pouvoirs publics pour ses installations. Cette approche low cost est aujourd’hui vilipendée par les bons élèves de l’hébergement qui défendent leur position en présentant à l’envi tout ce qu’ils font pour protéger leurs installations de tels incidents. Bref tout en clamant leur solidarité, ils abreuvent la presse et le grand public de leur marketing rebondissant opportunément sur l’incident tout en refusant de répondre ou de commenter directement avec des journalistes. Peutêtre qu’eux- mêmes ne se sentent pas à l’abri d’un incident sévère car comme nous l’avons vu, nul n’est à l’abri.
Trois millions de sites concernés
Cette approche à prix cassés se combine avec certainement des erreurs de conception et de matériaux utilisés dans le centre de données. Il faut y ajouter une pratique de sauvegarde assez éloignée de bonnes pratiques usuelles comme de les réaliser à distance et non dans le même bâtiment. Les résultats de l’enquête en cours vont certainement clarifier les causes, et donc si responsabilité il y a, je fais confiance aux assureurs du site pour les pointer. De l’autre côté, nous avons plus de 3 millions de sites internet hors service ou connaissant des pertes de données irréversibles. Pour beaucoup, par méconnaissance, négligence, manque de ressources financières, ces utilisateurs clients D’OVH n’ont pas mis en place les garde- fous nécessaires pour faire face à ce type d’incident.
Une étude réalisée pour le compte d’oracle ( Oracle et KMPG Cloud Threat Report 2019) citée dans une interview par Dan Hubbard, le CTO de Lacework, indique que seuls 10 % des DSI américains comprenaient la notion de
responsabilité partagée. Respon- quoi ? Elle décrit essentiellement la répartition des tâches entre le fournisseur des services et l’abonné, pour déterminer comment ce service, y compris les données associées, doit être sécurisé. La plupart des fournisseurs proposent des contrôles de sécurité natifs, comme le chiffrement des données, mais il incombe toujours au client d’appliquer et de gérer ces contrôles ou ceux fournis par une tierce partie. Pour clarifier, le fournisseur met à la disposition du client des outils et moyens techniques pour que celui- ci puisse parvenir à ses fins. C’est dans la manière d’utiliser, d’administrer ces outils et dans la manière de gérer les accès à ceux- ci que le client sera responsable des actions et conséquences qui en découlent. Cette notion déjà mal comprise par des professionnels est évidemment totalement nébuleuse pour un profane en informatique. De plus les fonctions de sécurité évoquées plus haut renforcent le sentiment que ces questions sont prises en charge par le fournisseur ajoutant de plus un sentiment de fausse sécurité.
Les conditions générales des fournisseurs de Cloud sont tellement compliquées qu’il existe des certifications pour comprendre les modèles mis en place. Une nouvelle discipline émerge : le Finops, une spécialité à part entière pour comprendre ce que vont coûter réellement les opérations dans le Cloud. Tous les clients ne sont pas des experts informatiques et la récente pandémie a fait que de nombreux commerçants ou prestataires de services sont passés sur des services en ligne pour continuer leur activité. Mais avaient- ils aussi la maturité et les connaissances des arcanes de ce modèles d’externalisation ? Une simplification et des contrats écrits dans un langage clair pour tous pourrait éviter que des clients se retrouvent comme Perrette avec son pot au lait, Gros Jean comme devant !
La sauvegarde offerte par défaut ?
Bien sûr on peut rappeler les bonnes pratiques à tout bout de champ. Cela ne veut pas dire qu’elles seront mises en place. Oui, il faut disposer d’une sauvegarde de données sur un modèle 3/ 2/ 1, souscrire au minimum à un plan de reprise d’activité pour ne pas subir les conséquences de tels incidents. Cependant pour beaucoup cela reste une langue étrangère incompréhensible qui fait rapidement grimper la facture de son voyage vers le Cloud. On pourrait peut- être comme les produits financiers y sont astreints ne proposer des solutions qu’en fonction de la maturité du souscripteur, avec une obligation de conseils. Octave Klaba propose d’ajouter la sauvegarde dans ses offres par défaut. Il conviendrait de clarifier le où ? À quelle fréquence ? Sur quelle infrastructure et logiciel ? Autre débat, le montant de dédommagements offerts par OVH à certains clients. À la suite de ce que nous venons d’écrire ils sont à la hauteur du service souscrit et de la responsabilité estimée du fournisseur. En faire une polémique c’est méconnaître justement cette notion de responsabilité partagée ou plutôt irresponsabilité partagée par tout le monde dans cette affaire, clients et fournisseur. Espérons seulement que cet incident ne sera pas oublié trop vite et que la prise de conscience que le Cloud n’est pas infaillible sera durable. Il serait temps que les utilisateurs du Cloud s’occupent activement de ce qui se passe dans les nuages et de ne pas se contenter d’être des consommateurs de services. Dernier conseil, on n’externalise pas un problème à défaut de perdre le contrôle sur ce qui se passe. Cela semble être le cas pour beaucoup de sites web comme le montre l’importance des conséquences de l’incendie du centre de données D’OVH. ✖
Ne proposer des solutions qu’en fonction de la maturité du souscripteur, avec une obligation de conseils.