Décryptage Sécurité : que retenir de l'incendie d'un datacenter OVH ?

En mars dernier, l’incendie du Datacenter de OVH a secoué le monde informatique. Près de 3,6 millions de sites web et sous-domaines, hébergés chez le n°1 du cloud européen, se sont retrouvés indisponibles pendant plusieurs jours. Pour certains, c’est l’ensemble de leurs données qui a été perdu.

Cet événement a ainsi mis en exergue le besoin pour les entreprises, petites comme grandes, de se munir d’un plan de continuité (PCA) pour éviter un arrêt d’activité soudain. Pour cela, il est important d’en comprendre les objectifs, les actions à entreprendre pour le définir et les avantages que cela apporte à terme.

#1 - Quels sont les objectifs d’un PCA ?

Un Plan de Continuité d’Activité a pour objectif de garantir le maintien de l’activité de l’entreprise en cas de sinistre majeur (cyberattaque, catastrophe naturelle, incendie, pandémie…), et plus particulièrement, de maintenir le fonctionnement du système d’information. Il permet de réduire les risques d’arrêt d’activité et de préparer l’entreprise à des événements imprévus.

Il se formalise par la réalisation d’un document référentiel regroupant un ensemble de procédures à mettre en place, d’une analyse de risques à laquelle on associe un plan d’action, des rôles et des niveaux de responsabilités.

Ce référentiel nécessite du temps, mais peu d’investissement en fonction de l’internalisation ou externalisation de l’étude. Le choix d’un prestataire se décide en fonction de l’appétence aux risques de l’entreprise. Si le risque est une notion nouvelle, il peut être intéressant d’externaliser.

#2 - Comment mettre en place un PCA ?

Dans un premier temps, il est indispensable de définir une gouvernance sécurité comprenant un·e responsable, avec des connaissances en termes de sécurité, qui pilotera ce projet.

Sa première tâche est d’identifier tous les actifs critiques de l’entreprise :  une donnée, une application ou un logiciel, une ressource humaine – dont l’indisponibilité impacterait fortement l’activité de l’entreprise.

Pour cela, il faut réaliser une analyse de risques qui intègre une analyse d’impact, une définition des niveaux de risques, un inventaire de l’ensemble des facteurs de risques pouvant impacter l’entreprise et les moyens disponibles pour mitiger ces risques.

A l’issu de cette analyse, il est nécessaire de valider les plans de mitigation[1] associés à chaque risque en les alignant à la stratégie globale et aux moyens réels de l’entreprise. Pour rappel, un PCA a pour objectif de maintenir l’activité essentiel de l’entreprise, il n’a pas vocation à maintenir l’entièreté des activités.

Enfin, l’ensemble de ces informations doivent être inscrits dans le document référentiel dans lequel on intègre également des rôles, des niveaux de responsabilités pour chaque plan de mitigation ainsi qu’un planning. Ce planning doit intégrer à minima les futurs tests de gestion de crise en réel, les fréquences de mise à jour des procédures et les dates de revue de l’analyse de risques.

#3 – Pourquoi mettre en place un PCA ?

Définir un PCA représente un avantage stratégique pour l’entreprise sur plusieurs aspects :

  • Le maintien de l’activité opérationnelle : Grâce au PCA, l’activité critique peut continuer de fonctionner, même en mode dégradé[2], et ainsi permettre de réduire les pertes de marché, l’immobilisation des équipes, et les incidents contractuels.
  • Un avantage concurrentiel : Face à des concurrents moins bien préparés, qui seraient dans une situation similaire, le PCA représente une opportunité de rassurer les clients acquis sur la stabilité de l’entreprise mais aussi d’en attirer de nouveaux.
  • Une opportunité RH : Les salariés sont sensibilisés aux sujets sécurité et risques. Ils sont également rassurés par la fiabilité de leur organisation en cas de crise ou de situations imprévues qui viendrait à impacter leur activité.

L’incendie malheureux d’OVH démontre l’importance de se munir d’un PCA en cas de défaillance d’un de ses prestataires ou de l’apparition d’un sinistre majeur. Le PCA est considéré comme un surcoût pour l’entreprise, pourtant des actions simples et peu onéreuses permettent de garder une bonne maîtrise des risques impactant l’entreprise. Ainsi, que l’on soit une TPE ou une PME, on s’assure de réduire les risques lié à un arrêt d’activité. Concernant les actions plus complexes à mettre en œuvre, ils doivent s’inscrire dans la stratégie globale de l’entreprise afin d’en accepter les risques en cas de non-réalisation.


[1] Définition « Plan de mitigation » : Plan de mise en œuvre de mesures destinées à atténuer les conséquences d’un risque

[2] Définition « Mode Dégradé » : Situation où tout ou partie d’une entité organisée doit fonctionner sans ses ressources habituelles, humaines et matérielles