Expertises des Systèmes d'information - Mai 2021 - N°468 - Le mensuel du droit de l'informatique et du multimédia - 204

D

O

C

T

R

I

N

E

les défaillances au niveau de
chaque maillon de la chaîne, au
vu d'événements successifs, pour
établir les liens de causalité et les
responsabilités. De plus, la forte
chaleur dégagée a pu entraîner
des altérations non apparentes
dans l'immédiat sur des systèmes
annexes proches du feu  : refroidissement, groupes électrogènes,
batteries, etc., lesquels devront
également être examinés avec
attention. En fait, le diable est dans
les détails et donc l'ensemble du
site est concerné, et pas seulement
les centres directement touchés
par le feu, définitivement arrêtés
et pour lesquels la question de la
reconstruction se posera, tandis
que la reprise totale des deux autres
devrait encore exiger quelques
jours.
Pour éviter une prochaine catastrophe impliquant des centres
de données, les hébergeurs sont
invités à revoir l'implantation en
termes de lieu, d'éloignement,
et de construction de leurs
centres  : matériaux, organisation
des salles, etc., la sécurité de l'exploitation : concentration et maintenance des matériels, moyens
de surveillance, de détection et
d'alerte, de désenfumage et d'extinction, etc., de façon à permettre
l'évolution vers une nouvelle
génération de centres de données,
plus sûrs.
Pour le futur, il s'agit de tirer de
cette affaire, les enseignements
de la gestion des sauvegardes, qui
s'est révélée ici défaillante, et d'en
assurer la révision de part et d'autre.
C'est aussi l'occasion d'imaginer
de nouveaux services d'assurance
de sauvegarde et de duplication
distantes, fondés sur une stratégie
globale et non sur de simples
convictions.

Daniel GUINIER
Docteur ès Sciences
Certifications CISSP, ISSMP,
ISSAP et MBCI
Expert de justice honoraire,
ancien expert devant
la CPI de La Haye

204

Notes
(1)	

Voir D. Guinier (1994), premier ouvrage paru
en Français «Catastrophe et management.
Plans d'urgence et continuité des systèmes
d'information», entièrement consacré au PRA/
PCA.

(22)	 Facepunch Studios, éditeur du jeu vidéo Rust,
a annoncé que 25 de ses serveurs en Europe
ont été touchés et que les informations qu'ils
contenaient sont définitivement perdues.
(23)	 Ce Tweet de Meteociel du 10 mars 2021 à
03:55 : «Le centre d'hébergement d'OVHcloud
SBG2 à Strasbourg a connu un incendie important. Nous avons 2 serveurs dans ce centre et
espérons qu'ils n'ont pas été touchés... «.

(2)	

D. Guinier (2021) montre que la part humaine
est déterminante pour y faire face.

(3)	

La fin de rédaction de l'article datant du
20 mars 2021.

(4)	

D. Guinier (2010) en fait une description
avancée avec la prise en compte des risques et
de la sécurité, dans Expertises.

(1)	

ANSSI (2018) : EBIOS Risk Manager - Expression
des besoins et identification des objectifs de
sécurité.

(5)	

D. Guinier (2006a) décrit les fondements,
la formalisation, l'élaboration et la mise en
œuvre de la politique de sécurité.

(2)	

France Datacenter (2019) : La sécurité-incendie dans les datacenters. Livre blanc, 62 pages.

(6)	

Voir D. Guinier (1994, 2006b).

(3)	

(7)	

Voir le chapitre : Gestion des actifs de la norme
ISO 27002.

Guinier D. (1994) : Catastrophe et management. Plans d'urgence et continuité des
systèmes d'information, collection Stratégies
et Systèmes d'Information, Masson, 1995, 344
pages.

(8)	

Principalement, les actifs sensibles ont une
valeur intrinsèque qui nécessite le maintien de
la confidentialité, tandis que les actifs vitaux
ont une valeur de nécessité qui exige la préservation de la disponibilité.

(4)	

Guinier D. (2006a) : La politique de sécurité,
pp. 1486-1498, in l'Encyclopédie de l'informatique et des systèmes d'information, Vuibert
Sciences, 2088 pages.

(9)	

Notamment par la méthode EBIOS RM développée par l'ANSSI (2018).

(5)	

Guinier D. (2006b) : Dispositif de gestion de
continuité - PRA/PCA : une obligation légale
pour certains et un impératif pour tous,
Expertises, n° 308, novembre, pp. 390-396.

(6)	

Guinier D. (2010) : L'informatique dématérialisée en nuages - Ontologie et sécurité
du «cloud computing». Expertises, n° 351,
octobre, pp. 335-344.

(7)	

Guinier D. (2021) : La part humaine déterminante face aux crises majeures. Revue de la
Gendarmerie nationale, n° 268, «Pour une
cybersécurité collective et collaborative»,
janvier, pp. 155-162.

(8)	

Katz R.H. (2009) : Tech Titans Building Boom.
Google, Microsoft, and other Internet giants
race to build the mega data centers that
will power cloud computing. IEEE Spectrum
Magazine, février, vol. 46, n°2, pp. 40-54.

(10)	 Le centre Datadock, situé non loin de
OVHcloud, est refroidi à l'eau de façon beaucoup plus efficace qu'avec l'air.
(11)	 Voir R.H. Katz (2009). Deux sous-stations
fourniront une puissance de 300 MW au
centre de traitement (soit un tiers de la puissance d'un des deux réacteurs de la centrale
nucléaire de Fessenheim, 200 MW étant
destinés aux serveurs, et 100 MW au refroidissement et aux pertes électriques.
(12)	 Au vu de la norme ISO 22301 : Sécurité et résilience - systèmes de gestion de la continuité
d'activité.
(13)	 Normes EN 50600 sur l'installation et les
infrastructures des centres de traitement de
données, ISO 14001 concernant le système de
gestion de l'environnement, et ISO 50001 pour
le système de gestion de l'énergie.
(14)	 La sauvegarde sur site s'impose aux données
critiques et quand la réglementation n'autorise pas le stockage en cloud public. A son tour,
le cloud permet de centraliser la sauvegarde
et de simplifier les opérations jusqu'à la
restauration.
(15)	 Dans les années 80, l'APSAD indiquait la nécessité de situer les sauvegardes de recours dans
un bâtiment distinct et éloigné d'au moins
200 mètres linéaires du site d'exploitation
informatique.
(16)	 Cependant, pour le Dr T. Bourdrel, du collectif
Strasbourg Respire, «la fumée non toxique, ça
n'existe pas».
(17)	 ISO 27001, sur les exigences d'un système de
management de la sécurité de l'information
(SMSI), et ISO 27701, sur la gouvernance et les
mesures de sécurité en place pour les traitements de données personnelles.
(18)	 Il est proposé des serveurs dédiés et privés,
de l'hébergement mutualisé et en colocation,
des services cloud, de la fourniture d'accès à
l'Internet, de la téléphonie sur IP, et l'enregistrement de noms de domaine.
(19)	 «Nous vous recommandons d'activer votre
plan de reprise après sinistre».
(20)	 Selon les déclarations d'Octave Klaba, président-fondateur d'OVHcloud.
(21)	 h t t p s : / / n e w s . n e t c r a f t . c o m /
archives/2021/03/10/ovh-fire.html.

EXPERTISES Mai 2021

Bibliographie
https://news.netcraft.com/archives/2021/03/10/ovh-fire.html
Expertises des Systèmes d'information - Mai 2021 - N°468 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Mai 2021 - N°468 - Le mensuel du droit de l'informatique et du multimédia
