Vous êtes dans : Accueil > Tribunes libres >

OVH, crépuscule de l’externalisation ?

Cédric Cartau , MARDI 23 MARS 2021 Soyez le premier à réagirSoyez le premier à réagir

L’actualité cyber de ce début 2021 a été particulièrement chargée : outre les cyberattaques dans le monde de la santé (dont certaines sont toujours en cours), nous avons assisté à un énorme incendie chez OVH, doublé d’une faille majeure dans Exchange, qui a donné quelques sueurs froides aux adminsys. Pour OVH, on en est au second incendie en à peine 15 jours[1], ça commence à faire beaucoup, on est d’ailleurs en droit de se demander s’il ne s’agit pas d’une sombre affaire de barbouzes (« Un barbu, c’est un barbu, trois barbus, c’est des barbouzes », comme disait Michel Audiard).

Ce qui est intéressant, c’est la compilation des remarques et commentaires sur les réseaux sociaux professionnels concernant l’affaire OVH : questionnements sur la « légèreté » de l’entreprise qui aurait placé data et sauvegardes sur le même site, qui n’aurait pas respecté les bases de la protection incendie[1], questionnements également sur la « légèreté » des clients qui auraient accordé une confiance aveugle à OVH et n’auraient prévu ni PRA ni sauvegarde externalisée, mais dans le même temps personne n’a vu les contrats (en tout cas pas moi) ni l’engagement de services d’OVH (qui au demeurant a toujours axé sa com marketing sur « on est les plus gros, on est les meilleurs »). Apparemment, 16 000 clients auraient tout perdu, et la seule certitude, c’est que les avocats et les experts en assurance vont s’enrichir, tandis que l’image d’OVH en sera durablement affectée.

Ce qui est encore plus intéressant, c’est la réflexion de fond qui en résulte sur la notion même d’externalisation (qui est du reste une vaste fumisterie, comme le dit mon ami Charles, le Cloud, ce sont juste les ordinateurs de quelqu’un d’autre[2]). Le Cloud, c’est de l’externalisation, et externaliser revient à faire faire par une tierce partie ce que l’on pourrait faire soi-même (pour des raisons stratégiques, financières ou par simple crétinerie managériale, c’est selon). Mais comme on l’assène dans toutes les écoles de cadres, il n’y a pas de délégation sans contrôles : si vous confiez une tâche simple ou complexe à une tierce partie – votre belle-mère, votre subordonné ou la PME du coin –, il faut contrôler le boulot : sans quoi, en cas de dysfonctionnement grave, je rappelle que vis-à-vis de votre propre client (ou patient, ou usager) il n’y a qu’un seul responsable : vous.

Et c’est là que le débat prend une tournure très drôle : qui, j’aimerais qu’on me le dise, qui est allé voir si son hébergeur de datacenter, ou son hébergeur HDS, respecte les canons de la profession en matière de protection incendie, de localisation physique des données/sauvegarde, des dispositifs d’intrusion, des logins admin de ses propres équipes, etc. ? Les certifications ISO derrières lesquelles s’abritent ces professionnels et qu’ils brandissent comme la garantie ultime ne valent pas réponse : une certification ISO ne donne en rien l’assurance que vous faites bien le job, elle est juste la garantie que quelqu’un dans la boutique s’occupe du bazar et veille à améliorer les choses de jour en jour. Autrement dit, on peut produire de la bouse de vache et être certifié ISO : il suffit de continuer à produire de la bouse, mais mieux.

Sans parler du fait qu’une certification ISO contraint à réaliser une appréciation des risques, mais n’oblige nullement l’hébergeur à communiquer son analyse de risques au client : beaucoup d’hébergeurs certifiés se contentent de donner aux clients qui le demandent leur certificat ISO – et beaucoup de clients ne vont pas plus loin. Certains prestataires – par exemple un grand nom français de la prise de rendez-vous médicaux – se font d’ailleurs un chic de refuser de produire plus que le certificat (ISO ou RGPD), et encore il faut le demander très fort. On appréciera la transparence.

On m’objectera qu’une certification vaut mieux que pas de certification du tout, et c’est exact. Mais une certification n’est en rien un transfert de responsabilité du client vers le prestataire certifié et encore moins vers l’organisme de certification ; en cas de gros pépin genre OVH, les 16 000 clients ne pourront de toute manière que s’en prendre à eux-mêmes.

Dans son incontournable ouvrage majeur[3], Robert Reix avait théorisé la question de l’externalisation et l’avait conditionnée à plusieurs prérequis : on n’externalise que des fonctions secondaires du SI, auprès de professionnels sur un marché concurrentiel, avec un pilotage serré de la qualité et une réversibilité étudiée.

La phrase est progressivement devenue :

  • on n’externalise que des fonctions secondaires du SI, auprès de professionnels sur un marché concurrentiel ;
  • on externalise auprès de professionnels sur un marché concurrentiel ;
  • on externalise.

[1]   https://www.ouest-france.fr/faits-divers/incendie/un-nouvel-incendie-sur-le-site-ovh-de-strasbourg-7193625 

[2]   https://datacenter-magazine.fr/incendie-6-erreurs-dovhcloud/ 

[2]   https://www.dsih.fr/article/4159/cloud-derriere-le-nuage-merveilleux-se-cachent-les-ordinateurs-de-quelqu-un-d-autre.html 

[3]   https://www.amazon.fr/Syst%C3%A8mes-dinformation-management-organisations-Robert/dp/2711743810/ref=sr_1_2?__mk_fr_FR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&dchild=1&keywords=Robert+Reix&qid=1616335672&sr=8-2 

hébergeur, RGPD, cloud