On apprend grâce à l’hébergeur Ikoula que peu de PME savent qu’aucun hébergeur ne garantit la sauvegarde de leurs données stockées, qui est une option. Pire, Elles vérifient rarement leur intégrité pour s’assurer qu’elles sont réutilisables. Un point pourtant très important selon Anthony Collard, responsable Infogérance & SMSI d’Ikoula, dans la mise en œuvre d’un PRA ou si le client décide de changer d’hébergeur, car celui-ci doit l’aider à réinstaller ses données sur un autre serveur.
Olivier Bellin, magazine Solutions Numériques : Comment vos clients ont-ils réagi suite à l’incendie survenu en mars dans le datacentre strasbourgeois d’OVHCloud ?
Anthony Collard, responsable Infogérance & SMSI, Ikoula, un important hébergeur et opérateur de datacentres basé dans le nord de la France :
Les clients ont été nombreux à interroger Ikoula après qu’ils aient pris conscience que même lorsqu’ils louent un serveur dédié, où ils stockent pourtant leurs données et applications, leur contrat ne leur garantissait pas obligatoirement une sauvegarde de celles-ci. Et pour cause, le Cloud leur a donné l’impression qu’il est facile de déployer rapidement des serveurs. De fait, le client oublie ou néglige alors souvent la sauvegarde, pour des questions de budget le plus souvent, mais aussi par méconnaissance des offres. Aujourd’hui encore, il subsiste des clients qui n’ont pas une seule sauvegarde mise en place. Nous prenons alors le temps de leur rappeler l’importance d’une telle option, et de les informer sur les possibilités qui s’offrent à eux pour protéger leurs données et donc leur activité. Car il ne faut jamais oublier qu’une donnée disparue est une donnée que l’on ne pourra pas recréer.
La sauvegarde est-elle a minima en option chez tous les hébergeurs ?
Oui, à ma connaissance. Chez aucun hébergeur, la location d’un serveur dédié n’inclut la sauvegarde des données dans son contrat de base. Mais elle existe en option, au même titre que le Plan de Reprise des Activités (PRA) par exemple. Ikoula indique d’ailleurs clairement l’existence de ces deux options sur ses sites et dans ses conditions commerciales, nous avons un vrai devoir de conseil à l’égard du client.
Connaissent-ils la différence entre stockage et sauvegarde et souscrivent-ils les bonnes options ?
Pas toujours. Les clients les moins informés confondent encore trop souvent stockage et sauvegarde. D’ailleurs, certains pensent que si leurs données sont stockées sur le disque dur de leur serveur, c’est à l’hébergeur de les sauvegarder. Cela peut être effectivement le cas mais uniquement s’ils ont souscrit l’option adéquate. Beaucoup nous disent qu’ils achètent d’abord le serveur et qu’ils géreront la sauvegarde ensuite, tant pour des problèmes de coûts que de méconnaissance des risques. Cette attitude est surtout visible dans les petites structures ne disposant pas de services informatiques. C’est d’ailleurs souvent le responsable marketing ou commercial de ces TPE qui commande directement son serveur via notre site internet, sans avoir pensé au préalable à la sauvegarde des données.
Les clients connaissent-ils au moins a minima les conditions de restoration de leurs données et sauvegardes ?
Là encore cela dépend des clients et de leurs connaissances techniques. Par exemple, les clients qui achètent en direct via Internet ne vont pas forcément rechercher l’information, même si celle-ci est mentionnée sur le site de leur prestataire.Ainsi, peu d’entre eux connaissent l’existence de deux notions importantes : la Délai d’Indisponibilité Maximale Autorisé (DIMA) et la Perte de Donnée Maximale Admissible (PDMA), dont le seuil doit être décidé en amont par le client, selon le degré de criticité de son applicatif et de ses données. Elle contribue à définir le périmètre de protection de ses données, et elle lui indique si la tolérance de leur récupération n’est que de quelques minutes, ou bien si cela se compte en heures ou en journées.
Comment s’y retrouver dans l’échelle des responsabilités quand il y a externalisation de données ou d’application hébergées chez un tiers qui n’est pas le contractant initial ?
Là encore, c’est contractuel et clairement mentionné dans les CGV, avec des conditions parfois particulières pour les services de type Saas ou Paas par exemple…, mais malheureusement peu de monde prend le temps de les lire. Je conseille donc aux clients de bien demander à l’éditeur de logiciels, ou à son prestataire, voire à son hébergeur où sont stockées ses données ? En France ? Même un hébergeur tiers intervenant en tant que sous-traitant a l’obligation de leur communiquer l’information.
Qui est responsable en cas de perte des données sur un serveur externalisé chez un prestataire ?
Il est inscrit dans les conditions Générales de Vente (CGV) d’Ikoula que le client est seul responsable de ses données. Par défaut, l’hébergeur n’est pas tenu de réaliser ses sauvegardes, mais il se doit de lui proposer au moins en option.
Et si le client souscrit l’option Sauvegarde des données ?
L’hébergeur doit alors bien réaliser la sauvegarde sur le plan technique, mais il n’est pas responsable de l’intégrité des données. Sont-elles viables ou réutilisables après « X » sauvegardes ?
Pourquoi l’hébergeur ne peut-il alors garantir l’intégrité des données du client ?
L’hébergeur ne peut pas le garantir au client car il ne connait ni les données, ni leur nature. Ikoula indique donc dans ses CGV au client de vérifier l’intégrité de ses données en réalisant régulièrement des tests de restoration. C’est un point très peu compris car le client part souvent du postulat erroné que ses sauvegardes sont toujours bonnes, avec des données non corrompues. Du coup, il ne les vérifie pas régulièrement pour s’assurer du caractère réutilisable de ses données sauvegardées. Or, une donnée corrompue, même si sauvegardée, ne peut pas être restaurée correctement.
Quand le client souscrit la sauvegarde de ses données, sont-elles obligatoirement hébergées en miroir sur un second site et récupérables en cas de catastrophe ?
La sauvegarde en miroir sur nos deux datacentres – distants l’un de l’autre d’une cinquantaine de kilomètres – est proposée en option chez Ikoula. Nous la conseillons à tous nos clients, mais elle n’est pas obligatoire sur nos offres de serveurs. En revanche, Ikoula la propose automatiquement sur ses services professionnels de classe Entreprise (niveaux Business & First).
Les responsabilités sont-elles les mêmes en matière de réversibilité des données si le client change de prestataire ?
La clause de réversibilité est un point très important, qui oblige l’hébergeur à rendre ses données au client, et même à l’aider à tout remettre en état et à redémarrer ses applications dans le cadre d’une prestation d’infogérance. Cette remise en service peut se faire dans de bonnes conditions grâce à un package complet comprenant outils et documentation.
Un client peut-il demander à l’hébergeur ou à son prestataire de vérifier son dispositif de sauvegarde et ses niveaux de service (SLA) ?
Oui. Le prestataire ou l’hébergeur ont l’obligation d’accepter des tests sur leur installation. Mais peu de clients savent comment les réaliser, avec quels types d’outils et sur quels serveurs le faire ? Il peut aussi nous demander la restauration de sa sauvegarde sur un serveur similaire. Cette prestation lui sera facturée car l’hébergeur n’a pas l’obligation de lui fournir l’infrastructure gratuitement. Elle permet toutefois au client de tester son installation et de valider son test via un PV dans lequel nous lui suggérons les éventuelles améliorations ou actions à réaliser. En effet, l’évolution des systèmes d’exploitation, des logiciels ou du matériel nécessite parfois d’opérer des modifications techniques sur la plateforme. C’est pour cela que nous conseillons d’effectuer ces tests de restoration de manière périodique.
Le risque 0 existe-t-il ?
Non malheureusement, il n’existe pas de risque 0, quels que soient les redondances installées au niveau des systèmes de sécurité, incendie, climatisation, etc.
