Journal OVH va devoir payer pour l'incendie de son datacenter...

Posté par  . Licence CC By‑SA.
Étiquettes :
28
10
fév.
2023

Vu sur le site legalis.net : le Tribunal de commerce de Lille a mis OVH face à ses responsabilités suite à la perte des données d'un client lors de l'incendie de son datacenter de Strasbourg. Pour résumer (je vous invite à lire l'analyse et l'arrêt sur legalis.net)

Les points à retenir :
- OVH ne peut pas se prévaloir de la force majeure pour se dédouaner de toutes ses obligations
- la clause du contrat limitant la responsabilité d'OVH au montant des sommes versées par le client est rejetée
- prétendre répliquer 3 fois les données alors que celles-ci restent dans le même datacenter est un peu du foutage de gueule (je reformule)

OVH va devoir payer 93 000 euros à son client, mais je pense que ce n'est qu'un début, cela va inspirer d'autres victimes. On peut cependant supposer qu'il va y avoir un appel, une décision définitive n'arrivera pas avant un bon moment.

  • # La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

    Posté par  . Évalué à 10.

    • 3 copies
    • 2 supports différents
    • 1 sauvegarde hors site !
    • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

      Posté par  . Évalué à 7. Dernière modification le 10 février 2023 à 19:54.

      Moi, je rajoute un quatrième item : deux logiciels de sauvegarde différents (un pour chaque support de sauvegarde). En l'occurrence borg pour le local et restic pour le cloud.

      • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

        Posté par  . Évalué à 4.

        Pour faire bonne mesure, il faudrait 4 logiciels de sauvegarde différents, du coup.

      • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

        Posté par  (Mastodon) . Évalué à 10. Dernière modification le 11 février 2023 à 08:28.

        Sur ce sujet je dirais surtout "un logiciel libre". Si t'as fait ta sauvegarde avec Backup2000 ®™ en 1995 et que le soft n'existe plus, t'as bien l'air d'un con avec tes 36 réplications de sécurité…

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

          Posté par  . Évalué à 10.

          Sur ces sujets, les groupes de travail comme LOTAR donnent des bonnes pratiques et des standards.

        • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

          Posté par  . Évalué à 6.

          Je ne sais pas ce que propose LOTAR mais libre n'est pas très pertinent amha. C'est un format de sauvegarde utilisable. Si tu utilise un logiciel abandonné et que tu n'a pas les moyens de financer son développement ou les compétences pour le maintenir t'es face au même problème. L'intéropérabilité est largement plus important que la licence de mon point de vue.

          Mais ça ne concerne évidemment que les sauvegardes froides celles que l'on fait pour archives. Les sauvegardes chaudes tu n'a pas vraiment de question de pérennité. Tu fais des sauvegardes régulières et tu ne les gardes pas indéfiniment. Tu peux changer d'outils plus facilement.

          https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

    • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

      Posté par  . Évalué à 10.

      Et surtout… Tester les sauvegardes !
      Parce que sauvegarder c'est bien, pouvoir restaurer c'est mieux :-)

      Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.

    • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

      Posté par  . Évalué à 5.

      4/ ne pas faire confiance aux fournisseurs de services.

      • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

        Posté par  (site web personnel) . Évalué à 10.

        Avec les sauvegardes il ne faut faire confiance en personne …

        Cela déclenche de nombreux problèmes :

        • Les sysadmins crient au loup des que le moindre problème pointe le bout du nez : c'est normal
          => effet pervers : a force de crier au loup plus personne n'écoute

        • Les volumes de données explosent et la grosse majorité de ces données n'est pas forcément pertinente
          => effet pervers : les systèmes de sauvegardes sont très vite dépassés, le temps de sauvegarde devient astronomique et il est difficile d'effectuer une relecture ou un vérification.

        • Effectuer des sauvegardes compressées, incrémentales, différentielles: ok on peut gagner en temps et en vitesse
          => effet pervers : complexe a mettre en œuvre, lié a un logiciel

        Conséquence : beaucoup se tourne vers le CLOUD et les couts explosent inévitablement

        Des solutions, il doit bien y en avoir mais il faudrait repenser beaucoup de choses avec l'ensemble des acteurs … soit tout le monde ( utilisateurs, dev, sysadmin etc … )

    • [^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !

      Posté par  (site web personnel) . Évalué à 5.

      1 sauvegarde hors site !

      Il va hélas falloir compléter cet item vu ce qu'on a fait de la planete : 1 sauvegarde sur un autre site ne dépendant pas des mêmes risques naturels et climatiques

      :/

  • # Pas si cher

    Posté par  . Évalué à 10.

    La somme de 6.5 millions d'euros était réclamée par le demandeur, mais ce n'est pas la somme qui a été retenue par le tribunal. La condamnation d'OVH ne porte, que, sur 93 000€.

    En revanche, cela ne tient qu'au fait que le tribunal a estimé que la société avait pu récupérer autrement ses données, ce qui limitait le préjudice. Si cette possibilité n'avait pas existé, cela aurait pu coûter plus cher à OVH (autour de 200k€ de plus d'après la décision).

    • [^] # Re: Pas si cher

      Posté par  . Évalué à 3.

      Effectivement j'ai lu un peu trop vite

      Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr

      • [^] # Re: Pas si cher

        Posté par  (Mastodon) . Évalué à 4.

        Si tu veux reformuler un peu je peux te modifier le Journal.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Pas si cher

          Posté par  . Évalué à 2.

          Merci, dans le dernier paragraphe il faudrait remplacer « 6,5 millions d'euros » par « 93000 euros »

          Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr

          • [^] # Re: Pas si cher

            Posté par  . Évalué à 5.

            C'est fait. Merci.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Pas si cher

      Posté par  . Évalué à 0.

      au vu du tarif je pense que ce n'est pas une condamnation à des D/I mais une amende.

      • [^] # Re: Pas si cher

        Posté par  . Évalué à 7.

        Pourquoi penser ça alors que l'article dit:

        Condamne la SAS OVH à payer à la SAS FRANCE BATI COURTAGE :
        – la somme de 26 472€ au titre du préjudice pour perte d’un actif incorporel,
        – la somme de 9 100 € au titre du préjudice pour les travaux de restitutions d’un hébergement, des données et des sites,
        – la somme de 38 530 € au titre de l’indemnisation de son préjudice financier pour l’année 2021,
        – la somme de 20 000€ au titre du préjudice d’atteinte à l’image.

        Déboute la SAS FRANCE BATI COURTAGE de ses autres demandes indemnitaires.

        Condamne la SAS OVH à payer à la SAS FRANCE BATI COURTAGE la somme de 7 000 € à titre d’indemnité en application des dispositions de l’article 700 du Code de Procédure Civile.

        Condamne la SAS OVH aux entiers frais et dépens, taxés et liquidés à la somme de 69,59 € (en ce qui concerne le Greffe).

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Responsabilité

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 11 février 2023 à 12:10.

    Je ne suis pas pour couler OVH - je suis client -, mais je trouve que c'est bien qu'ils soient condamnés.
    Même s'il ne faut pas généraliser je trouve que les fournisseurs de services manquent un peu de sérieux lorsqu'ils doivent mettre en œuvre les moyens entourant les services vendus, ou les dédommagements prévus en cas d'erreur de leur part, en particulier en informatique (cf les FAI, le journal de dark_moule sur NextCloud, les supports éditeurs qui demandent systématiquement de faire une mise à jour avant de daigner faire une analyse, etc.).
    C'est lorsque la confiance existe qu'on est plus enclin à être un client fidèle, voir à dépenser plus quand on le peut.

    • [^] # Re: Responsabilité

      Posté par  . Évalué à -1.

      Personnellement je suis de l'avis contraire

      ils semblent condamnés pour deux raisons :
      a/ un incendie c'est pas beau à voir, ca montre une absence de réactivité/moyens adaptés
      b/ comme ca touche pas qu'une salle ou qu'une baie mais tout le batiment, ca touche des dizaines/centines de milliers de clients.

      (et en plus de ça, il y en a eu un second juste après dans une annexe, quelques jours après)

      mais cela m'effrite :
      a/ ovh indique bien qu'ils ont des propositions de sauvegarde, en option, lors de la souscription du serveur : les clients étaient donc bien prévenus
      b/ c'est le paramètre incendie qui a joué en leur défaveur : qui ici n'a pas perdu un serveur/données, à cause de : 1. un piratage 2. un serveur qui tombe en panne 3. une mauvaise manip'. 4. une autre problématique
      en dehors des pb matériels, souvent l'hébergeur n'y est pour rien ; cependant il y a une quinzaine, n'ont ils pas arrosé toute une baie de serveurs à cause d'une canalisation en défaut? Le nombre de plaintes couronnées de succès ne m'a pas paru mirobolant (vu qu'il n'y en a pas eu de déposée)

      en complément, tous les autres hébergeurs tournent sur le meme système de sauvegarde optionnel (enfin tous ceux que j'ai essayé, de nos jours, encore)

      et pour terminer : il ne s'agit ici que de la condamnation en première instance, appel il y aura surement. Et je suis sincèèrement pas sur qu'il s'agisse du même résultat..

      • [^] # Re: Responsabilité

        Posté par  . Évalué à 10. Dernière modification le 13 février 2023 à 13:12.

        ovh indique bien qu'ils ont des propositions de sauvegarde, en option, lors de la souscription du serveur : les clients étaient donc bien prévenus

        C'est justement l'option qui a été prise par la société:

        La SAS FRANCE BATI COURTAGE a, en complément du contrat de location de serveur, souscrit auprès de la SAS OVH une option contractuelle complémentaire de « sauvegarde automatisée »

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Responsabilité

        Posté par  (Mastodon) . Évalué à 10. Dernière modification le 13 février 2023 à 16:41.

        Je pense que tu n'as pas lu l'arrêt.

        ils semblent condamnés pour deux raisons
        a/ un incendie c'est pas beau à voir, ca montre une absence de réactivité/moyens adaptés
        b/ comme ca touche pas qu'une salle ou qu'une baie mais tout le batiment, ca touche des dizaines/centines de milliers de clients.

        Non, ils ne sont pas condamnés à cause de l'incendie.

        En conséquence, le Tribunal dit que la SAS OVH n’a pas commis de faute lourde ou de graves manquements à la sécurité anti incendie de son datacenter de Strasbourg.

        Mais plutôt à cause de leur système de sauvegarde qui était dans le même bâtiment (et qui donc a brûlé au passage)

        De tout ce que dessus, il ressort que la SAS OVH avait pris l’engagement auprès de la SAS FRANCE BATI COURTAGE de faire des sauvegardes des données de son serveur dans un espace de stockage physiquement isolé du serveur principal, de sorte à ce qu’en cas de perte de données du serveur principal, la SAS FRANCE BATI COURTAGE puisse restaurer les données depuis les sauvegardes.

        En stockant les 3 réplications de sauvegardes au même endroit que le serveur principal, la SAS OVH n’a pas respecté ses obligations contractuelles vis-à-vis de la SAS FRANCE BATI COURTAGE.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # OVH ;: On va Hailleurs.

    Posté par  (site web personnel) . Évalué à 2.

    • prétendre répliquer 3 fois les données alors que celles-ci restent dans le même datacenter est un peu du foutage de gueule (je reformule)

    Par défaut sur Azure (Microsoft) on vous propose le moins cher le sotckage LRS (local redondant Storage), à savoir 3 copies différentes dans un même datacenter. Cela prévient contre les pannes disques c'est tout.
    La redondance datacenter et régionale ça se demande et ça se paie.

    Il faudrait lire le détail du SLA et du niveau demandé par le demandeur lors de la contractualisation du service.

    Aaaaah ben il n'y a pas à lire tant que ça pour comprendre :

    "Les dispositions relatives au service de backup automatisé indiquent que la SAS OVH s’engage à ce que l’espace de stockage alloué à l’option de backup soit physiquement isolé de l’infrastructure dans laquelle est mis en place le serveur privé virtuel du client."
    Et plus loin :
    "La SAS OVH soutient que la SAS FRANCE BATI COURTAGE aurait mal compris ou mal interprété le contrat relatif à la sauvegarde automatique. La mauvaise foi et le manque de loyauté de la SAS OVH sont ici patents."

    Le point positif que je vois en me basant seulement sur la note, c'est que les tribunaux dénoncent les clauses abusives.
    Aussi je vois que lorsqu'il y a un enjeu sur le contrat, il vaut mieux se mettre d'accord en amont sur le dédommagement, ou s'y préparer. Il y a un gros gap entre la demande et la décision de justice.

    Maintenant je me demande quel niveau de sécurité offre OVH sur son backup. C'est tellement plus simple de le définir avec Azure.
    Je pense qu'OVH a perdu de la clientèle pro en plus de cette somme.

    • [^] # Re: OVH ;: On va Hailleurs.

      Posté par  (site web personnel) . Évalué à 2.

      A noter que "physiquement isolé" c'est plus que vague : isolé par … une mince couche d'air ? Une cloison ? Un porte anti-feu ? Etc.

      Autant je ne ferai jamais de pub pour les GAFAM, autant il faut dire que niveau technique et contractuel on sait exactement sur quoi compter et à quel coût chez eux - alors que chez OVH c'est d'une opacité et d'un approximatif technique (pour être poli), même après avoir régulièrement cherché à obtenir des clarifications auprès du service commercial. C'est d'autant plus dommage que je pense qu'ils n'ont aucun problème technique pour fournir des services bien cadrés.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.