petzshadow - Fotolia
Incendie OVHcloud : qu’attendre de son assureur lorsque l’on a été affecté ?
L’incendie survenu début mars dans le centre de calcul SBG2 d’OVHcloud a affecté de nombreuses organisations, publiques et privées. Pour celles-ci se pose désormais la question de ce qu’elles peuvent attendre de leur assureur.
Dans la nuit du mardi 9 au mercredi 10 mars 2021, à minuit passé de 47 minutes, un incendie s’est déclaré sur le site strasbourgeois SBG de l’hébergeur OVHcloud. Malgré l’intervention rapide des pompiers, le feu a détruit l’intégralité de l’un des quatre bâtiments opérationnels, dit SBG2 (5 étages, 500 m2 de surface au sol, 12 000 serveurs), et la moitié d’un autre, dit SBG1.
Face à ce sinistre, toutes les organisations clientes concernées n’ont pas été affectées de la même manière, notamment selon qu’elles disposaient, ou non, de sauvegardes disponibles et de plans de reprise de l’activité rodés. Mais cela va valoir également en fonction de leurs garanties assurantielles. L’occasion pour certains de (re)découvrir une extension de garanties venue d’un autre temps, et pourtant bien utile dans pareil cas.
LeMagIT a sollicité plusieurs professionnels de l’assurance sur ce sujet. Deux d’entre eux ont accepté de nous répondre, sous couvert d’anonymat.
Pas de cyberassurance
Pas question, tout d’abord, de faire jouer sa cyberassurance : celle-ci ne couvre pas les sinistres ayant pour origine des dommages matériels, comme des incidents. C’est donc vers des contrats plus classiques qu’il faut aller chercher la solution, en particulier les polices dommages, pour couvrir la perte d’exploitation. Mais… la police dommages ne couvre que les biens déclarés à l’assureur. Et c’est le premier hic : « en général, les données stockées chez un tiers, tel qu’OVHcloud dans le cas présent, ne sont pas déclarées au titre de la police dommages ». Sauf à disposer d’une extension de garanties dite carence de fournisseur.
Cette extension permet d’obtenir une indemnisation, pour la perte d’exploitation et les éventuels frais de remédiation engagés, lorsqu’un fournisseur – ou un sous-traitant – est affecté par un sinistre de la nature de ceux couverts par le contrat d’assurance dommages. Mais là encore, le fait que cette extension fonctionne pour des données détruites dans l’incendie d’OVHcloud dépend de la manière dont le contrat est rédigé, nous explique l’un des deux experts.
La rédaction de cette extension n’est en effet pas forcément homogène entre assureurs, en raison notamment du fait de sa nature optionnelle. Et son origine historique est susceptible de conduire à des débats sur la couverture, ou non, des conséquences d’un sinistre comme celui qui a touché OVHcloud.
L’espoir d’une extension de garantie
De fait, l’extension carence de fournisseurs a originellement été pensée pour protéger des acteurs en milieu ou en fin de chaîne logistique (comme des industriels de l’automobile ou du textile), pour qui l’arrêt temporaire de l’activité d’un fournisseur de pièces détachées ou assemblées – voire de matières premières – pouvait être susceptible de paralyser la production et d’engendrer des pertes d’exploitation. On peut donc imaginer que cette extension aurait pu être invoquée par l’industrie informatique, à la suite des inondations de 2011 en Thaïlande qui avaient fortement affecté la production de disques durs.
Mais la question de la dépendance aux données était bien moins présente lors de la création de cette extension qu’aujourd’hui, et les données étaient majoritairement stockées et traitées en interne. Bien loin de l’externalisation dans le cloud, donc. L’extension de garantie carence de fournisseur n’a ainsi pas été pensée pour l’ère du cloud… « mais peut quand même fonctionner ». Sous réserve, donc, de la manière dont elle est rédigée. Et souscrite.
Car les incidents comme celui qui est survenu sur le site de Strasbourg d’OVHcloud apparaissent en définitive relativement rares, dans un secteur habitué à afficher des taux de disponibilité remarquablement élevés. Dans ce contexte, il y a fort à parier que peu de PME et TPE connaissent même l’existence de l’extension carence de fournisseur, avance l’un des experts qui ont accepté de nous parler. Pour lui, l’incendie d’OVHcloud relève presque de la bonne nouvelle, rappelant à tous qu’il existe d’autres menaces d’atteintes aux données que les seules cyberattaques. À charge pour les entreprises, voire les assureurs dans leurs offres, d’en tenir compte.
Les dommages aux tiers
Néanmoins le risque ne se limite pas à la perte d’exploitation. Il faut aussi compter des tiers, notamment les clients, se retournant contre l’entreprise hébergée chez OVHcloud et affectée par l’incendie parce qu’elle s’est trouvée dans l’impossibilité de délivrer le service commandé. Là, c’est la garantie responsabilité civile professionnelle, ou exploitation, qui pourrait être invoquée.