Auteur Sujet: Incendie OVH à Strasbourg: SBG2 complètement détruit. SBG1 détruit à 42%. (Lu 367187 fois)

Bielorusse320 · « **Réponse #1020 le:** 04 février 2023 à 19:35:02 »

Ils n’ont peut-être pas eu de chance sur le data center mais ils ont sûrement payé la conception au « moins coût » et le tribunal a sanctionné des clauses qui né correspondaient pas à la réalité.

butler_fr · « **Réponse #1021 le:** 07 février 2023 à 15:01:05 »

le tribunal a sanctionné le fait que la clause ne précisait pas spécifiquement que la sauvegarde était sur le même site pas qu'elle ne correspondait pas à la réalité.

les offres de sauvegardes plus haut de gamme spécifiait clairement le coté déporté sur un autre site.

la nuance est importante et le montant de la condamnation le montre pour moi.
La faute est partagée en partie par Bati Courtage qui aurait du s'assurer de cela.
c'est un peu la base quand tu prend une offre de sauvegarde tu regarde ce qui en est fait (durée de rétention / nombre de copie / emplacement géographique...) .

Bielorusse320 · « **Réponse #1022 le:** 07 février 2023 à 17:03:14 »

Pour un professionnel de l’IT, oui je suis d’accord. Pour les autres, la mention « physiquement isolée » ne fait pas penser à la baie d’à côté… Le tribunal a du tenir compte qu’il ne s’agissait pas d’un « professionnel de la profession ».

Leon · « **Réponse #1023 le:** 08 février 2023 à 06:37:47 »

Citation de: butler_fr le 07 février 2023 à 15:01:05

le tribunal a sanctionné le fait que la clause ne précisait pas spécifiquement que la sauvegarde était sur le même site pas qu'elle ne correspondait pas à la réalité.
les offres de sauvegardes plus haut de gamme spécifiait clairement le coté déporté sur un autre site.

la nuance est importante et le montant de la condamnation le montre pour moi.
La faute est partagée en partie par Bati Courtage qui aurait du s'assurer de cela.
c'est un peu la base quand tu prend une offre de sauvegarde tu regarde ce qui en est fait (durée de rétention / nombre de copie / emplacement géographique...) .

Malheureusement, non, les sauvegardes plus haut de gammes n'existaient pas toujours. Beaucoup de services n'avaient pas d'option "sauvegarde distante".
Mais surtout, les offres de backup étaient floues, chez OVH, il y a 2 ans. Volontairement floues, ou par négligence? Je ne sais pas.
Il était impossible de dire, en lisant les contrats et les offres commerciales, si on achetait une offre de backup locale ou distante.
Même pour des offres haut de gamme, notamment le "private hosted cloud" (prix de base ~1000€/mois), dont les offres "remote backup" ont été mise en vente des années après le lancement du "private hosted cloud". Et la seule offre de backup proposée avant ça, c'était un backup dans la même salle, à Strasbourg, voir ci-dessous.

Je fais confiance à la justice sur ce jugement. Mais d'un point de vue "moral", la faute est à mon avis 100% du côté d'OVH, vu le manque de clarté, de transparence de leurs offres.

Citation de: Leon le 15 mars 2021 à 07:09:04

OVH vient de publier une page avec la localisation des backup.
https://www.ovhcloud.com/fr/lp/status-services-backup-strasbourg/

C'est assez surprenant et choquant de voir que pour plusieurs services, le backup était localisé dans le même datacenter, et pire, dans la même salle que le service lui même! Donc perdu définitivement.
C'est le cas pour le "Hosted private cloud", qui est censé être une offre haut de gamme, à plus de 1000euros par mois.

Bref, dans le cas de telles offres, je ne suis pas d'accord avec ceux qui disent "le client n'avait qu'à faire des sauvegardes". Ici, les sauvegardes étaient vendues par OVH.

Leon.

letsar · « **Réponse #1024 le:** 04 mai 2025 à 17:47:32 »

Incendie OVH : La sauvegarde physiquement isolée en question

La Cour d'appel de Douai a rendu une décision concernant l'affaire opposant Bati Courtage à OVH. A la suite de l'incendie du datacenter de Strasbourg, le courtier a perdu ses données car la sauvegarde souscrite était sans le savoir située dans les mêmes locaux incendiés. La juridiction a estimé que le terme « physiquement isolé » pour l'option de backup choisie ne comprenait pas une séparation géographique. Elle a de plus réduit sensiblement l'indemnisation du plaignant

L’affaire est symbolique et va certainement donner matière à réflexion aux avocats en droit des affaires sur les contrats liant les entreprises et les hébergeurs. La Cour d’appel de Douai vient de rendre son jugement (rapporté par maître Alexandre Archambault) dans le conflit opposant la société de courtage en travaux, Bati Courtage, et OVH. Pour mémoire, suite à l'incendie survenu dans le datacenter d'OVH dans la nuit du 9 au 10 mars 2021, les sites Internet de Bati Courtage ont été rendus inaccessibles, impactant aussi bien l'activité de ses clients directs que de ses franchisés.

La société a réclamé les données sauvegardées en ayant souscrit l’option de backup. Problème : ces données ont été totalement et irrémédiablement perdues, car les sauvegardes étaient stockées dans le même bâtiment que celui où se trouvait le serveur principal intégralement détruit par l'incendie. En première instance, le tribunal de commerce de Lille Métropole avait condamné OVH à 100 000 € de dommages et intérêts. Le juge avait alors estimé qu’ OVH avait commis un manquement contractuel au contrat la liant à la société Bâti courtage. Cette dernière réclamait 6 M€ d’indemnisation.

Physiquement isolé ne signifie pas géographiquement distant

La Cour d’appel de Douai s’est focalisée « sur le contenu et sur l’étendue » du contrat de service de sauvegarde. En particulier, elle s’interroge sur le terme « physiquement isolé » prévu dans le contrat de backup. Pour la juridiction, « en l'absence de définition contractuelle spécifique résultant des conditions générales de service, la cour estime que l'expression « physiquement isolé » doit s'entendre dans son sens commun, à savoir comme ce qui est séparé de tout ce qui est voisin, ou encore à l'écart l'un de l'autre ». Exit donc la notion d’infrastructures géographiquement distinctes et le principe du 3-2-1 qui prévaut dans les bonnes pratiques de la sauvegarde.

En clair, Bati Courtage n’a pas été en mesure d’apporter la preuve que l’option de sauvegarde choisie ne comprenait pas au sein de ses clauses l’obligation pour OVH que le backup soit réalisé sur des sites distants. Il aurait pu choisir une autre offre respectant cette exigence. La Cour d’appel écarte donc la faute et la faute lourde pour OVH. Tout comme, elle balaye la notion de force majeure excipée par OVH et qui a été citée dans un récent arrêt concernant lui aussi l’incendie du datacenter strasbourgeois. En conséquence l’indemnisation du plaignant, reposant sur la perte des données sauvegardées est fortement réduite en passant de 100 000 € en première instance à 1 800,48 € en appel. Cette décision, susceptible de pourvoi en cassation, montre l’importance de bien spécifier les clauses contractuelles en matière de sauvegarde et de rentrer dans les détails sur les moyens mis en œuvre, la localisation des serveurs, la fréquence des tests de restauration,…

Le lien de l'article : https://www.lemondeinformatique.fr/actualites/lire-incendie-ovh-la-sauvegarde-physiquement-isolee-en-question-96748.html

letsar · « **Réponse #1025 le:** 04 mai 2025 à 17:50:52 »

Incendie OVH : un éditeur SaaS débouté sur le cas de force majeure

Dans un arrêt du tribunal judiciaire de Versailles, un éditeur de logiciel pour avocat a été condamné à indemniser un client suite à l'interruption de service causée par l'incendie du datacenter OVH à Strasbourg. Le cas de force majeure n'a pas été retenu sachant que l'absence de redondance chez un autre hébergeur comme indiqué dans le contrat faisait aussi défaut.

Les affaires judiciaires induites par l’incendie du datacenter d’OVH à Strasbourg en mars 2021 s’égrènent au fil du temps (affaire Bati Courtage en 2023 et Bluepad en mars de la même année). Dernier exemple en date, un arrêt du tribunal judiciaire de Versailles du 11 avril 2025 et rapporté par maître Alexandre Archambault. L’affaire opposait un éditeur de logiciel pour avocat (Jarvislegal) en mode SaaS et un cabinet d’avocats. Ce dernier demandait réparation après des interruptions de service dans le logiciel de gestion et en particulier pendant plus de 15 jours suite à l’incendie.

Pour se défendre, l’éditeur a excipé le cas de force majeure pour justifier à la fois l’indisponibilité des services et le rétablissement des accès à partir d’une certaine date. Un argument rejeté par le tribunal qui estime qu’il « ne peut se prévaloir de la force majeure dès lors que la sauvegarde sur deux serveurs opérés par des fournisseurs distincts localisés à des endroits différents à laquelle elle s'était engagée était destiné à prévenir le risque de la défaillance de l'un ou l'autre des serveurs et qu'elle a failli à cette obligation. » Le magistrat ajoute « l'incendie survenu dans les locaux de la société OVH constitue un événement qui non seulement pouvait être raisonnablement prévu mais avait même été anticipé lors de la conclusion du contrat. »

Deux hébergeurs pour les sauvegardes dans le contrat, un dans les faits

En l’espèce, l’éditeur avait indiqué dans son contrat que « l’ensemble des données est redondé sur un minimum de 2 serveurs, chacun opéré par un hébergeur distinct (OVH et Gandi) ». Mais à la survenance de l’incendie, le constat est différent, les données de backup sont stockées dans un autre bâtiment OVH (mis hors tension après l’incident) et non auprès du second prestataire (à savoir Gandi). L’éditeur par ailleurs « ne conteste pas ne pas avoir eu de deuxième hébergeur ». Cette affaire met en lumière la vérification de l’effectivité des sauvegardes dans les contrats SaaS. Le tribunal souligne que le cabinet d’avocats « est fondé à rechercher la responsabilité de la société dont le manquement contractuel est à l'origine de la coupure du logiciel ».

Le magistrat s’est également penché sur la question de la réversibilité des données en cas de rupture du contrat et du format de restitution. L’éditeur a reçu un fichier brut, « mais sans avoir pu obtenir le mode d'emploi en permettant l'exploitation de la part de son prestataire qui s'y était contractuellement engagé, le RGPD exigeant en tout état de cause une restitution dans un format « structuré ». Le cabinet d'avocats a été indemnisé pour cela. Au global, Jarvislegal a quand même été condamné à payer 16 000 euros de dommages et intérêts à son client.

Le lien de l'article : https://www.lemondeinformatique.fr/actualites/lire-incendie-ovh-la-sauvegarde-physiquement-isolee-en-question-96748.html

alf084 · « **Réponse #1026 le:** 04 mai 2025 à 17:56:12 »

Je n’ai pas apprécié l’amateurisme dont OVH a fait preuve à l’époque, ni la mise en scène orchestrée par Octave lorsqu’il expliquait que l’incendie allait faire évoluer les pratiques du secteur sous-entendant que tous les acteurs étaient au même niveau d’exigence. À ma connaissance, OVH n’est jamais revenu présenter les améliorations concrètes issues de ce retour d’expérience. Depuis, j’ai retiré tous mes services chez eux, et c’est une décision définitive.

buddy · « **Réponse #1027 le:** 04 mai 2025 à 20:16:25 »

Citation de: alf084 le 04 mai 2025 à 17:56:12

À ma connaissance, OVH n’est jamais revenu présenter les améliorations concrètes issues de ce retour d’expérience.

Il y a eu une "petite" communication dessus.
Le principal renforcement des règles de sécurité c'est de déporter les batteries à l'extérieur du bâtiment et de renforcer les locaux batteries/onduleurs avec des murs résistants aux feux.

alf084 · « **Réponse #1028 le:** 04 mai 2025 à 20:24:44 »

Citation de: buddy le 04 mai 2025 à 20:16:25

Il y a eu une "petite" communication dessus.
Le principal renforcement des règles de sécurité c'est de déporter les batteries à l'extérieur du bâtiment et de renforcer les locaux batteries/onduleurs avec des murs résistants aux feux.

Si je ne me trompe pas Buddy, le data center qui a brûlé à Strasbourg partage la même conception qu’un autre situé dans le nord, non ? Je serais curieux d’en savoir plus sur les systèmes de détection et d’extinction d’incendie.

vivien · « **Réponse #1029 le:** 05 mai 2025 à 07:55:37 »

Il y a un sujet Les retours d'expérience de l'incendie OVH Strasbourg de mars 2021 : Les actions concrètes mises en place par OVH pour que cela ne se reproduise pas

En fait, il y a 3 sujets sur ce forum pour l'incendie OVH, il y a aussi Rapport d’enquête du BEA-RI sur l’incendie du data center SBG2 OVH de Strasbourg du 10 mars 2021

alf084 · « **Réponse #1030 le:** 05 mai 2025 à 08:07:34 »

Citation de: vivien le 05 mai 2025 à 07:55:37

Il y a un sujet Les retours d'expérience de l'incendie OVH Strasbourg de mars 2021 : Les actions concrètes mises en place par OVH pour que cela ne se reproduise pas

En fait, il y a 3 sujets sur ce forum pour l'incendie OVH, il y a aussi Rapport d’enquête du BEA-RI sur l’incendie du data center SBG2 OVH de Strasbourg du 10 mars 2021

Effectivement, désolé pour le hors-sujet au dessus

butler_fr · « **Réponse #1031 le:** 06 mai 2025 à 21:34:37 »

je peux t'assurer qu'ovh à mis en place des actions concrètes pour améliorer la sécurité incendie dans ses datacenter (cf le post de vivien)

et RBX4 doit de mémoire être fermé et détruit.

je pense que la communication réduite sur le sujet est plus pour laisser les gens oublier.
et je pense qu'Octave n'avait pas totalement tord quand il disait que les pratiques allaient évoluer dans le monde des DC.