L’incendie qui a eu lieu la nuit du 9 mars 2021 au Datacenter d’OVHCloud, à Strasbourg, aura un impact sur les clients d’OVH professionnels du numérique : ESN, opérateurs télécoms, hébergeurs, opérateurs cloud/Iaas ainsi que les Éditeurs de logiciel en mode Saas.
Beaucoup d’entre eux, en effet, feront l’amer constat de la destruction de la quasi-totalité de leurs données informatiques ainsi que de leurs backups situés dans le même bâtiment ou le site voisin également touché par l’incendie.
Ce malheureux évènement permettra aux utilisateurs d’infrastructure et de système informatique de prendre conscience des règles de bases de prévention et de sécurité (1) et de réaliser de l’importance d’avoir des contrats d’assurance (RCP Pro et dommages aux biens) adaptés aux risques numériques (2).
1. La prise de conscience des règles de bases de la prévention et de la sécurité informatiques – L’importance d’avoir une Politique de Sécurité du Système informatique (PSSI).
Si ces derniers mois les acteurs du monde numériques se sont focalisés sur la sécurité logique : les risques cyber (les conséquences des tentatives et des atteintes à la sécurité des données – personnelles, confidentielles – et/ ou des systèmes d’information), il n’en demeurait pas moins qu’ils ne devaient pas le faire au détriment des règles de prévention et de sécurité physique.
L’incendie du Datacenter d’OVH vient nous rappeler que les causes matérielles (ex. incendie, explosion, bris de machine, dégâts des eaux, inondation, etc.) restent bien une réalité qu’il faut traiter.
Les mesures indispensables sont : la mise en place de moyens de sécurité physique (anti-intrusion, anti-incendie), la mise en place de plan de reprise d’activité « PRA » ainsi que la mise en place d’une politique de sauvegarde des données régulière, délocalisée, redondante sur plusieurs sites et testée. Les entreprises doivent avoir une réflexion sur la cartographie des données stratégique et sur la protection de ces dernières.
Cette liste des moyens de prévention et de sécurité informatique n’est pas exhaustive. Il est indispensable de remettre la prévention et la sécurité au cœur d’une réflexion globale de la sécurité informatique en renforçant les moyens (internes et externes) et le rôle des responsables de sécurité informatique « RSI » et en mettant en œuvre une PSSI.
2. L’importance d’avoir des contrats d’assurance adaptés aux risques numériques.
Pour tous les prestataires du numérique et les Éditeurs de logiciel, deux contrats d’assurance sont indispensables :
Un contrat de Responsabilité civile professionnelle « RCP » adapté aux risques numériques.
La non-disponibilité de leurs services, de leurs logiciels en mode Saas (déni de service) ou des données applicatives peut causer des dommages à leurs clients et aux clients finaux. Pour répondre aux nombreuses réclamations de leurs clients suite à la défaillance d’un datacenter, il faudra évidemment faire une déclaration auprès de leur assurance de responsabilité civile professionnelle. Un traitement rapide et amiable des réclamations permettra de limiter leurs conséquences et surtout préserver la relation commerciale avec les clients.
Il conviendra de vérifier que les contrats d’assurance de RCP n’excluent pas les conséquences d’une défaillance des fournisseurs d’infrastructure informatique, de service cloud, de réseau télécom et d’énergie, des systèmes d’hébergements de données. Le contrat de RCP proposé aux membres de Syntec Numérique par nos soins (NeoTech Assurances) est l’un des rares à couvrir ce risque.
Par ailleurs, les contrats de RCP prévoient une autre garantie dite « Recours » qui permet de financer les recours judiciaires par l’assuré victime d’une faute dommageable commise par un tiers. Cette garantie est plus efficace que l’assurance de protection juridique (PJ) car son montant est bien supérieur à ceux proposés dans les PJ.
Il s’agit de financer les recours judiciaires permettant aux ESN et aux éditeurs de pouvoir se faire indemniser de leurs préjudices (frais de reconstitution des données, des codes sources, frais de reprise d’activité, frais de mise en œuvre des PRA et PCA, pertes d’exploitations et les réclamations de leurs propres clients) auprès des fournisseurs défaillants et de leurs assureurs.
Un recours ne sera possible qu’à condition que les clauses limitatives de responsabilité présentent dans les CGV du fournisseur (ex. Datacenter) puissent être écartées (manquement à une obligation essentielle, faute lourde ou dol) par les juridictions.
Un contrat de dommages aux biens – frais de restauration des données et de reprise d’activité et pertes de marge brute d’activité
Les prestataires informatiques et les éditeurs devront vérifier au préalable qu’ils ont des contrats d’assurance de dommages aux biens, tous risques informatiques (TRI) et pertes financières, qui couvrent bien les serveurs et matériels en tous lieux donc dans les Datacenters.
Les contrats d’assurance doivent également offrir les garanties suivantes : frais de restauration des données (sans exclusion sur l’absence de backup), frais de reprise d’activité ou frais supplémentaires d’exploitation (surcoût d’exploitation, frais de mise en œuvre de PRA), pertes de marge brute d’exploitation et pertes financières suite à la carence d’un fournisseur.
En effet, si un recours est toujours possible contre le fournisseur ou l’hébergeur, le fait d’avoir des garanties de dommages aux biens adéquates permet d’avoir une indemnité immédiate et d’éviter les lenteurs d’une procédure judiciaire.
Nous invitons donc les ESN et les éditeurs à interroger leur agent/ ou courtier ainsi que leur assureur sur la présence de garantie adaptée aux risques numériques.