L'incendie OVH de Strasbourg : quelques remarques
L'incendie du Data Centre (DC) d'OVH rappelle ce que l'on savait déjà : tout DC peut brûler.
Cela peut être l'occasion de réfléchir aux risques des DC "entrée de gamme" et à l'adaptation des Plans de Continuités et Reprises (PCA/PRA) à ces risques.
Le risque incendie existe, il faut en réduire l'impact et la vraisemblance
Photo by Cullan Smith on Unsplash
Le risque incendie est largement dépendant des aménagements et des pratiques sur site, citons quelques pistes :
- l'isolement des éléments à risques : un onduleur avec batteries ne doit pas être en salle mais dans un local spécial, aéré et isolé des serveurs
- une maintenance rigoureuse : s'assurer que l'intervention terminée, il ne traîne pas des cartons, des emballages, des matières inflammables...
- s'assurer aussi que les systèmes de détection incendie, si par hasard ils ont été déconnectés pour l'intervention, sont bien reconnectés et fonctionnent, intervention finie
- avoir une détection incendie efficace : avec des sondes de température, des détecteurs de fumée ou des analyseurs d'ambiance suffisamment nombreux et bien placés
- avoir un ou des systèmes d'extinction qui marchent et limitent les dégâts qu'ils feront en cas d'activation (sprinklers gaz inerte, brumisateurs d'eau, etc.)
- cloisonner les salles par des systèmes coupe-feu efficaces sur une durée suffisante (deux heures ?)
Après analyse, l'entreprise doit savoir quelles sont ses activités prioritaires et combien de temps il est toléré qu'elles s'arrêtent. Sachant cela, elle détermine alors combien de temps elle peut se passer des éléments matériels informatiques et classer en catégories comme par exemple :
- Des matériels très critiques qui ne doivent pas subir d'interruptions supérieures à 10mn / 2h et qui seront donc aménagés avec des redondances de type actif-actif haute disponibilité sur deux salles disjointes en terme de risques (pas dans le même bâtiment, pas sur le même site par exemple mais assez proches pour être synchrones).
- Des matériels assez critiques qui devront pouvoir reprendre en 4h/2j et devront donc être aménagés en "secours chaud" avec des réplications assez proches capables de reprendre dans les délais exigés, à partir de points de reprises étudiés.
- Des matériels moyennement critiques qui nécessitent un redémarrage en moins d'une semaine.
- Des matériels non critiques qui peuvent être absents plus d'une semaine.
- La réplication permet de tenir à jour en continu une copie très fraîche des données ailleurs (dans une autre salle, un autre site, etc.) ; les serveurs qui continuent ailleurs accèderont à ces données
- La sauvegarde permet de prendre une photo des données à un instant précis intéressant pour redémarrer en cas de problèmes ultérieur.
- Une cyber attaque commence à vous chiffrer vos données : la réplication vous produit une copie des données tout aussi chiffrées et donc inutilisable. Dans ce cas vous ne pouvez que recourir à la dernière sauvegarde avant l'arrivée de l'attaque (à condition qu'elle soit à l'abri du malware chiffreur !)
- Vous avez une panne partielle sur votre baie de disque : basculer sur la réplication vous permet de continuer sans trop de difficulté, alors que recourir à la sauvegarde vous remet en arrière (au moment de la sauvegarde) et vous perdez des données non sauvegardées.
- A priori le recours à des données répliquées serait utile : mais où sont-elles ? si elles sont trop proches, elles ont aussi brûlé !
- Dans ce cas, il reste les sauvegardes : mais sont-elles faites correctement ? suffisamment souvent ? et n'ont-elles pas brûlé aussi ?
- Qui doit s'en occuper (ou qui aurait dû) ? souvent la réplication et la sauvegarde sont des options dans les contrats : est-ce que le client l'a bien compris ainsi ? et OVH a-t-il bien respecté les points ci-dessus ?
Commentaires
Enregistrer un commentaire
Si vous avez des idées constructives ou des avis d'expérience, laissez un commentaire.