Incendie d'OVH : une possible « violation de données », d'après la CNIL

Ce n'est plus une nouvelle pour les entreprises du digital : un important incendie s'est déclaré il y a un peu moins de deux semaines chez l'hébergeur OVHCloud, leader européen en la matière. Et les conséquences pourraient être très graves : d'une part la perte de données pour certaines entreprises, d'autre part une possible violation du RGPD si des données venaient à être définitivement perdues.

Un important incendie s'est déclaré chez OVHCloud

Dans la nuit du mardi 9 au mercredi 10 mars, un incendie de grande ampleur s'est déclaré chez OVHCloud, dans l'un des grands datacenters situé à Strasbourg. Le feu a détruit le bâtiment SBG2 ainsi qu'une partie du SBG1. Heureusement, aucun blessé n'a été à déplorer. Mais le sinistre a été suivi d'importantes conséquences : de nombreux sites ont été mis hors ligne et des entreprises ont été gravement touchées. En effet, OVH assurerait la mise en ligne de 3,2 % des sites internet, selon W3Techs, site spécialisé dans les études concernant le web.

Un risque de « violations de données », d'après la CNIL

Mais en dehors de ces premières conséquences directes, le risques est encore plus important pour l'hébergeur. Tel que l'a rappelé la CNIL (Commission nationale informatique et liberté), « La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD. »

Pour le moment, le bilan des dégâts n'a pas encore été entièrement établi par OVH et ses clients. On ne connaît donc pas encore l'ampleur des pertes potentielles de données, alors que doit être documentée «  violation dans un registre tenu en interne », autrement dit dresser un état des lieux ainsi que les mesures pour y remédier. Et cela implique les victimes à toutes les échelles. « Les sous-traitants doivent informer leurs clients de l'incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d'entre eux », explique la CNIL.

Cyber risques, sécurité des serveurs cloud, sauvegarde de données... des enjeux toujours plus prégnants

Cela pourrait notamment poser d'importantes difficultés pour les clients les plus modestes d'OVH ayant perdu leurs données, en particulier si ces dernières représentent des « risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement ». Cela concerne entre autres les données de santé. Mais pour le moment, impossible de savoir quelles données ont été définitivement perdues.

Les enjeux autour des données, des sauvegardes et la sécurité des serveurs cloud en général sont donc clés à notre époque. Ainsi, pour ceux qui ne posséderaient aucune sauvegarde, une perte peut être dramatique : logiciels, services informatiques, données client... L'ensemble des affaires d'une entreprise peut être mis en difficulté.

La sauvegarde de données, autrement nommée création de « back-ups » est donc capitale. Il est également important de souscrire une bonne assurance cyber risques pour anticiper ces sinistres et bénéficier d'indemnisations le cas échéant. En effet, ces assurances ne servent pas uniquement à vous protéger contre des attaques informatiques, comme une attaque par ransomware !