Incendie d'OVH à Strasbourg : la Cnil monte au créneau
Un nouveau départ de feu a éclaté sur le site d'OVHCloud à Strasbourg le 19 mars, avant d'être rapidement maitrisé. Après à ce nouveau rebondissement, la Cnil publie une note concernant les données perdues sur le campus.
[Mise à jour le mardi 23 mars 2021 à 16h13] Dans la foulée du second incendie qui a touché le site d'OVHCloud à Strasbourg, la Cnil publie sur son site web une note ce lundi 22 mars. Son titre est sans équivoque : "Incendie OVH : faut-il notifier à la CNIL ?" . Dans ce document, la commission rappelle qu'une notification est nécessaire "si des données personnelles ont été définitivement perdues ou si elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes." Elle ajoute : "Si la violation est susceptible d'engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement." L'information intervient alors qu'un grand nombre de serveurs n'ont pas encore été relancés par OVH suite au premier incendie qui s'est déclaré sur son campus alsacien le 10 mars dernier, et que beaucoup de backups de données sont irrécupérables.
Suite à un premier incendie le 10 mars qui a détruit un des datacenters d'OVHCloud à Strasbourg et endommagé un second, un nouveau feu a pris vendredi 19 mars à 19h sur l'implantation. Il s'est déclaré au sein d'un conteneur hors tension du centre de données Strasbourg 1 (SBG 1), faisant office de local de stockage de batteries. 300 batteries de 25 kg ont été impactées. "Aucun blessé n'est à déplorer parmi les équipes d'OVHcloud ou de ses partenaires. Deux personnes de la sécurité ayant été incommodées par les fumées ont été examinées par des professionnels de santé", précise le groupe. L'incendie a été rapidement maitrisé par les pompiers. Mobilisant 130 personnes, les opérations visant à remettre les infrastructures en production suite au premier incendie ont été interrompues pour la nuit. L'alimentation de SBG 1 dont les serveurs étaient en cours de redémarrage, a été coupée par mesures de précaution. Dans la foulée, OVHCloud a annoncé que tous les serveurs SBG 1 seront finalement déplacés sur d'autres datacenters situés sur le site de Strasbourg, ou sur ses campus de Gravelines et Roubaix, avec un passage par son usine de Croix pour être dépollués suite au dégagement de fumée. Une décision qui a semble-t-il été prise en lien avec son assureur. L'origine de ce nouvel incident est pour l'heure indéterminée.
OVH avait commencé dans la nuit du 17 mars à rebooter progressivement les machines encore fonctionnelles sur Strasbourg 3 après vérification de l'état de chacune. Le 22 mars à 13h 72% des services de serveur privé virtuel (VPS), 79% des serveurs bare metal et 86% des services PCI avaient été réactivés. L'entreprise fournit une console pour suivre en temps réel le redémarrage de chaque serveur.
Six mois offerts en cas de perte de données
Le 22 mars dans l'après-midi, Octave Klaba a posté une troisième vidéo sur Twitter pour faire le point sur la situation. Le PDG indique que 5000 serveurs ont été livrés depuis l'incident. Ils sont mis à la disposition des clients impactés sans frais pendant plusieurs mois. "Nous assemblons actuellement 450 serveurs par jour dans notre usine de Croix. L'objectif étant d'en construire 15 000 dans les trois à quatre prochaines semaines pour compenser entièrement les machines détruites", précise Octave Klaba.
Concernant l'enquête en cours sur l'incendie, le CEO insiste sur le nombre d'intervenants : police judiciaire, BEA, assureurs, experts indépendants, huissiers... "Cette enquête va prendre plusieurs mois. Nous en partagerons évdemment toutes les conclusions", insiste le PDG. Mais Octave Klaba entend tirer les enseignements du sinistre sans attendre. "Nous avons décidé de créer un laboratoire pour travailler sur les différents cas de départ de feu au sein d'un datacenter, sur la capacité des portes et cloisons à maintenir le feu, et sur les méthodes d'extinction les plus efficaces selon les cas de figure. Nous comptons publier ces méthodes en open source pour en faire bénéficier le maximum d'entreprises".