Vu sur le site legalis.net : le Tribunal de commerce de Lille a mis OVH face à ses responsabilités suite à la perte des données d'un client lors de l'incendie de son datacenter de Strasbourg. Pour résumer (je vous invite à lire l'analyse et l'arrêt sur legalis.net)
Les points à retenir :
- OVH ne peut pas se prévaloir de la force majeure pour se dédouaner de toutes ses obligations
- la clause du contrat limitant la responsabilité d'OVH au montant des sommes versées par le client est rejetée
- prétendre répliquer 3 fois les données alors que celles-ci restent dans le même datacenter est un peu du foutage de gueule (je reformule)
OVH va devoir payer 93 000 euros à son client, mais je pense que ce n'est qu'un début, cela va inspirer d'autres victimes. On peut cependant supposer qu'il va y avoir un appel, une décision définitive n'arrivera pas avant un bon moment.
# La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par GuillaumeLACAN . Évalué à 10.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par mahikeulbody . Évalué à 7. Dernière modification le 10 février 2023 à 19:54.
Moi, je rajoute un quatrième item : deux logiciels de sauvegarde différents (un pour chaque support de sauvegarde). En l'occurrence borg pour le local et restic pour le cloud.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par sobriquet . Évalué à 4.
Pour faire bonne mesure, il faudrait 4 logiciels de sauvegarde différents, du coup.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par gUI (Mastodon) . Évalué à 10. Dernière modification le 11 février 2023 à 08:28.
Sur ce sujet je dirais surtout "un logiciel libre". Si t'as fait ta sauvegarde avec Backup2000 ®™ en 1995 et que le soft n'existe plus, t'as bien l'air d'un con avec tes 36 réplications de sécurité…
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 10.
Sur ces sujets, les groupes de travail comme LOTAR donnent des bonnes pratiques et des standards.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par barmic 🦦 . Évalué à 6.
Je ne sais pas ce que propose LOTAR mais libre n'est pas très pertinent amha. C'est un format de sauvegarde utilisable. Si tu utilise un logiciel abandonné et que tu n'a pas les moyens de financer son développement ou les compétences pour le maintenir t'es face au même problème. L'intéropérabilité est largement plus important que la licence de mon point de vue.
Mais ça ne concerne évidemment que les sauvegardes froides celles que l'on fait pour archives. Les sauvegardes chaudes tu n'a pas vraiment de question de pérennité. Tu fais des sauvegardes régulières et tu ne les gardes pas indéfiniment. Tu peux changer d'outils plus facilement.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par Marotte ⛧ . Évalué à 4.
J’avais testé BURP à une époque, ça marchait pas mal, je ne sais pas si c’est toujours maintenu.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par redo_fr . Évalué à 10.
Et surtout… Tester les sauvegardes !
Parce que sauvegarder c'est bien, pouvoir restaurer c'est mieux :-)
Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par Pol' uX (site web personnel) . Évalué à 5.
Et donc tester les restaurations.
Adhérer à l'April, ça vous tente ?
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par Misc (site web personnel) . Évalué à 10.
En foutant le feu au DC, en conditions réels.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par redo_fr . Évalué à 8.
Une fois, il y a longtemps (autre siècle), on a fait un test de Plan de Reprise d'Activité pour voir… Le type qui devait apporter les bandes… N'avait pas les clefs du bâtiment (qui avait évidemment été fermé à dessein)… FAIL!
Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par claudex . Évalué à 10.
Je dirais plutôt justement que c'est une réussite, vous avez pu mettre en évidence des problèmes avant qu'ils ne surviennent en conditions réelles.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par wilk . Évalué à 5.
4/ ne pas faire confiance aux fournisseurs de services.
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par Christophe B. (site web personnel) . Évalué à 10.
Avec les sauvegardes il ne faut faire confiance en personne …
Cela déclenche de nombreux problèmes :
Les sysadmins crient au loup des que le moindre problème pointe le bout du nez : c'est normal
=> effet pervers : a force de crier au loup plus personne n'écoute
Les volumes de données explosent et la grosse majorité de ces données n'est pas forcément pertinente
=> effet pervers : les systèmes de sauvegardes sont très vite dépassés, le temps de sauvegarde devient astronomique et il est difficile d'effectuer une relecture ou un vérification.
Effectuer des sauvegardes compressées, incrémentales, différentielles: ok on peut gagner en temps et en vitesse
=> effet pervers : complexe a mettre en œuvre, lié a un logiciel
Conséquence : beaucoup se tourne vers le CLOUD et les couts explosent inévitablement
Des solutions, il doit bien y en avoir mais il faudrait repenser beaucoup de choses avec l'ensemble des acteurs … soit tout le monde ( utilisateurs, dev, sysadmin etc … )
[^] # Re: La règle d'une bonne politique de sauvegarde : 3, 2, 1 !
Posté par antistress (site web personnel) . Évalué à 5.
Il va hélas falloir compléter cet item vu ce qu'on a fait de la planete : 1 sauvegarde sur un autre site ne dépendant pas des mêmes risques naturels et climatiques
:/
# Pas si cher
Posté par Florian Hatat . Évalué à 10.
La somme de 6.5 millions d'euros était réclamée par le demandeur, mais ce n'est pas la somme qui a été retenue par le tribunal. La condamnation d'OVH ne porte, que, sur 93 000€.
En revanche, cela ne tient qu'au fait que le tribunal a estimé que la société avait pu récupérer autrement ses données, ce qui limitait le préjudice. Si cette possibilité n'avait pas existé, cela aurait pu coûter plus cher à OVH (autour de 200k€ de plus d'après la décision).
[^] # Re: Pas si cher
Posté par Denis Dordoigne . Évalué à 3.
Effectivement j'ai lu un peu trop vite
Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr
[^] # Re: Pas si cher
Posté par gUI (Mastodon) . Évalué à 4.
Si tu veux reformuler un peu je peux te modifier le Journal.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pas si cher
Posté par Denis Dordoigne . Évalué à 2.
Merci, dans le dernier paragraphe il faudrait remplacer « 6,5 millions d'euros » par « 93000 euros »
Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr
[^] # Re: Pas si cher
Posté par claudex . Évalué à 5.
C'est fait. Merci.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Pas si cher
Posté par tkr (Mastodon) . Évalué à 0.
au vu du tarif je pense que ce n'est pas une condamnation à des D/I mais une amende.
[^] # Re: Pas si cher
Posté par claudex . Évalué à 7.
Pourquoi penser ça alors que l'article dit:
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Responsabilité
Posté par Micromy (site web personnel) . Évalué à 10. Dernière modification le 11 février 2023 à 12:10.
Je ne suis pas pour couler OVH - je suis client -, mais je trouve que c'est bien qu'ils soient condamnés.
Même s'il ne faut pas généraliser je trouve que les fournisseurs de services manquent un peu de sérieux lorsqu'ils doivent mettre en œuvre les moyens entourant les services vendus, ou les dédommagements prévus en cas d'erreur de leur part, en particulier en informatique (cf les FAI, le journal de dark_moule sur NextCloud, les supports éditeurs qui demandent systématiquement de faire une mise à jour avant de daigner faire une analyse, etc.).
C'est lorsque la confiance existe qu'on est plus enclin à être un client fidèle, voir à dépenser plus quand on le peut.
[^] # Re: Responsabilité
Posté par tkr (Mastodon) . Évalué à -1.
Personnellement je suis de l'avis contraire
ils semblent condamnés pour deux raisons :
a/ un incendie c'est pas beau à voir, ca montre une absence de réactivité/moyens adaptés
b/ comme ca touche pas qu'une salle ou qu'une baie mais tout le batiment, ca touche des dizaines/centines de milliers de clients.
(et en plus de ça, il y en a eu un second juste après dans une annexe, quelques jours après)
mais cela m'effrite :
a/ ovh indique bien qu'ils ont des propositions de sauvegarde, en option, lors de la souscription du serveur : les clients étaient donc bien prévenus
b/ c'est le paramètre incendie qui a joué en leur défaveur : qui ici n'a pas perdu un serveur/données, à cause de : 1. un piratage 2. un serveur qui tombe en panne 3. une mauvaise manip'. 4. une autre problématique
en dehors des pb matériels, souvent l'hébergeur n'y est pour rien ; cependant il y a une quinzaine, n'ont ils pas arrosé toute une baie de serveurs à cause d'une canalisation en défaut? Le nombre de plaintes couronnées de succès ne m'a pas paru mirobolant (vu qu'il n'y en a pas eu de déposée)
en complément, tous les autres hébergeurs tournent sur le meme système de sauvegarde optionnel (enfin tous ceux que j'ai essayé, de nos jours, encore)
et pour terminer : il ne s'agit ici que de la condamnation en première instance, appel il y aura surement. Et je suis sincèèrement pas sur qu'il s'agisse du même résultat..
[^] # Re: Responsabilité
Posté par claudex . Évalué à 10. Dernière modification le 13 février 2023 à 13:12.
C'est justement l'option qui a été prise par la société:
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Responsabilité
Posté par gUI (Mastodon) . Évalué à 10. Dernière modification le 13 février 2023 à 16:41.
Je pense que tu n'as pas lu l'arrêt.
Non, ils ne sont pas condamnés à cause de l'incendie.
En conséquence, le Tribunal dit que la SAS OVH n’a pas commis de faute lourde ou de graves manquements à la sécurité anti incendie de son datacenter de Strasbourg.
Mais plutôt à cause de leur système de sauvegarde qui était dans le même bâtiment (et qui donc a brûlé au passage)
De tout ce que dessus, il ressort que la SAS OVH avait pris l’engagement auprès de la SAS FRANCE BATI COURTAGE de faire des sauvegardes des données de son serveur dans un espace de stockage physiquement isolé du serveur principal, de sorte à ce qu’en cas de perte de données du serveur principal, la SAS FRANCE BATI COURTAGE puisse restaurer les données depuis les sauvegardes.
En stockant les 3 réplications de sauvegardes au même endroit que le serveur principal, la SAS OVH n’a pas respecté ses obligations contractuelles vis-à-vis de la SAS FRANCE BATI COURTAGE.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# OVH ;: On va Hailleurs.
Posté par Selso (site web personnel) . Évalué à 2.
Par défaut sur Azure (Microsoft) on vous propose le moins cher le sotckage LRS (local redondant Storage), à savoir 3 copies différentes dans un même datacenter. Cela prévient contre les pannes disques c'est tout.
La redondance datacenter et régionale ça se demande et ça se paie.
Il faudrait lire le détail du SLA et du niveau demandé par le demandeur lors de la contractualisation du service.
Aaaaah ben il n'y a pas à lire tant que ça pour comprendre :
"Les dispositions relatives au service de backup automatisé indiquent que la SAS OVH s’engage à ce que l’espace de stockage alloué à l’option de backup soit physiquement isolé de l’infrastructure dans laquelle est mis en place le serveur privé virtuel du client."
Et plus loin :
"La SAS OVH soutient que la SAS FRANCE BATI COURTAGE aurait mal compris ou mal interprété le contrat relatif à la sauvegarde automatique. La mauvaise foi et le manque de loyauté de la SAS OVH sont ici patents."
Le point positif que je vois en me basant seulement sur la note, c'est que les tribunaux dénoncent les clauses abusives.
Aussi je vois que lorsqu'il y a un enjeu sur le contrat, il vaut mieux se mettre d'accord en amont sur le dédommagement, ou s'y préparer. Il y a un gros gap entre la demande et la décision de justice.
Maintenant je me demande quel niveau de sécurité offre OVH sur son backup. C'est tellement plus simple de le définir avec Azure.
Je pense qu'OVH a perdu de la clientèle pro en plus de cette somme.
[^] # Re: OVH ;: On va Hailleurs.
Posté par zerodeux (site web personnel) . Évalué à 2.
A noter que "physiquement isolé" c'est plus que vague : isolé par … une mince couche d'air ? Une cloison ? Un porte anti-feu ? Etc.
Autant je ne ferai jamais de pub pour les GAFAM, autant il faut dire que niveau technique et contractuel on sait exactement sur quoi compter et à quel coût chez eux - alors que chez OVH c'est d'une opacité et d'un approximatif technique (pour être poli), même après avoir régulièrement cherché à obtenir des clarifications auprès du service commercial. C'est d'autant plus dommage que je pense qu'ils n'ont aucun problème technique pour fournir des services bien cadrés.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.