Un sinistre chez un hébergeur de site Internet est-il une catastrophe ?

Les incendies successifs des 10 et 19 mars chez OVH à Strasbourg ont fait éclore une crainte raisonnable chez tous les propriétaires, exploitants et clients de sites en ligne. Malgré les efforts de cette société, des sites entiers ont été perdus et des bases de données de personnes ont été effacées à tel point que la CNIL s’en est inquiétée.

Parmi les sites impactés, alors que certaines enseignes ont perdu leur site et les données stockées, d’autres avaient pris les précautions nécessaires pour que leur activité en ligne reprenne au plus tôt. Ces précautions de base doivent être rappelées à toutes les enseignes faisant du commerce, de la gestion ou du suivi de clientèle sur des supports numériques et particulièrement en ligne.

Parmi ces activités, nous pensons surtout aux diagnostiqueurs immobiliers qui ne peuvent plus raisonnablement se passer d’Internet et encore moins perdre les données de leur site.

L’incendie moins grave que le piratage ?

L’incendie dans les installations d’OVH aurait impacté près de 3,6 millions de produits et de services web, y compris des administrations publiques, des institutions de financement et bien d’autres plateformes notamment de e-commerce.

Nota : Certains, en haut de l’Etat, ont relayé que ce même incendie chez OVH aurait été la cause des difficultés de ‘Ma classe à la maison’. Un peu plus tard, selon les mêmes sources, c’est une cyberattaque venue de l’étranger qui en aurait été la cause.

S’il est difficile, voire impossible de chiffrer les pertes financières, on considère que pour une entreprise du secteur du traitement de données, une interruption de service peut s’estimer jusqu’à 300 000€ par jour.

Pour les petites structures et notamment les PME, on ne peut estimer d’autre montant que le prix du temps passé à récupérer des données et les migrer sur un autre site ainsi qu’une quasi inévitable perte de données qu’il faudra tenter de reconstruire. La bonne nouvelle pour ces structures est qu’il vaut mieux voir ce type de données détruites plutôt qu’usurpées et publiées à des fins malveillantes.

En outre, dans le cas d’un tel sinistre chez l’hébergeur, aucune responsabilité du propriétaire du site ne peut être invoquée par rapport aux Règlement Général sur la Protection des Données (RGPD).

Par contre face au piratage, un chef d’entreprise est tenu à une obligation de sécurité renforcée que ce soit au plan du civil (article 1240 du Code civil) pour l’indemnisation des préjudices, ou au plan pénal où les sanctions à son égard peuvent aller jusqu’à cinq ans et trois cent mille euros d’amende (article 226-17 du Code pénal).

A savoir : L’article 34 de la Loi informatique et libertés impose au responsable du traitement des données de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment éviter qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ». De fait en cas de piratage, la justice peut aller jusqu’à investiguer une entreprise afin de déterminer si celle-ci a rempli ses obligations de moyens face à un tel risque.

Eviter ou limiter les conséquences d’un sinistre

La même prudence s’applique face aux deux risques que sont le sinistre et le piratage. Cette prudence minimale est celle des sauvegardes régulières des sites et des données qu’ils renferment. Or, la règle en matière de sauvegarde qui semble assez mal respectée notamment chez les petites structures est la règle 3/2/1.

La règle 3/2/1 est simple : Il s’agit de 3 copies d’un même fichier, sur 2 supports différents dont 1 hors site. Si cela peut sembler compliqué à mettre en place, il faut juste savoir employer les bonnes technologies afin de mettre la sauvegarde 3/2/1 en place.

Des outils de sauvegarde régulière existent sur la plupart des ordinateurs. Il suffit de programmer ces logiciels pour lancer une sauvegarde de tout ou partie de ses fichiers (dont ceux du site web) chaque semaine ou chaque jour selon le niveau d’activité.

Cette sauvegarde régulière se fera en miroir d’une part sur l’ordinateur lui-même (partition ou dossier dédié) puis aussi sur un disque externe. De là si nous avons bien deux sauvegardes il reste à en créer une supplémentaire hors-site (hors locaux de l’entreprise) soit sur le cloud, soit sur un disque NAS accessible en ligne ou de procéder régulièrement à sa copie sur une clé USB ou un disque externe qu’on conservera à son domicile.

A savoir : En entreprise, il est recommandé de disposer d'un Plan de Continuité et de Reprise de l'Activité (PCA/PRA). C’est le seul moyen efficace de pouvoir reprendre rapidement l‘activité en cas d’attaque par rançongiciel (‘ransomware’ qui crypte les données et réclame une rançon pour (tenter) le décryptage).

Et chez nous ? En fait chez vous, pour nos clients

De notre côté, chez Arobiz, puisque nous construisons et rénovons les sites Internet de nos clients, nous avons à cœur de privilégier des hébergeurs métropolitains qui garantissent les mesures de protection, de confidentialité et de sécurité des données édictées par la CNIL.

Mais comme un incendie de datacenter peut survenir ailleurs qu’à Strasbourg, nous privilégions les hébergeurs appliquant la virtualisation des données et leur sauvegarde quotidienne.

Ainsi un site et sa sauvegarde ne sont pas seulement sur un seul support physique mais peuvent être déplacés immédiatement sur un autre datacenter sans une manipulation de matériel devenue impossible lors d’un incendie. Et puis, pour nos clients nous proposons également des solutions clés- en-main de mise en conformité de leur site et des données avec le RGPD.

Alors si personne n’est à l’abri d’un sinistre, il appartient à chacun de se prémunir des conséquences. Si les précautions à prendre face aux risques existent pour l’immobilier (ERRIAL) pourquoi ne pas les appliquer à nos sites internet ?