Publicité en cours de chargement...
OVH, crépuscule de l’externalisation ?
Ce qui est intéressant, c’est la compilation des remarques et commentaires sur les réseaux sociaux professionnels concernant l’affaire OVH : questionnements sur la « légèreté » de l’entreprise qui aurait placé data et sauvegardes sur le même site, qui n’aurait pas respecté les bases de la protection incendie[1], questionnements également sur la « légèreté » des clients qui auraient accordé une confiance aveugle à OVH et n’auraient prévu ni PRA ni sauvegarde externalisée, mais dans le même temps personne n’a vu les contrats (en tout cas pas moi) ni l’engagement de services d’OVH (qui au demeurant a toujours axé sa com marketing sur « on est les plus gros, on est les meilleurs »). Apparemment, 16 000 clients auraient tout perdu, et la seule certitude, c’est que les avocats et les experts en assurance vont s’enrichir, tandis que l’image d’OVH en sera durablement affectée.
Ce qui est encore plus intéressant, c’est la réflexion de fond qui en résulte sur la notion même d’externalisation (qui est du reste une vaste fumisterie, comme le dit mon ami Charles, le Cloud, ce sont juste les ordinateurs de quelqu’un d’autre[2]). Le Cloud, c’est de l’externalisation, et externaliser revient à faire faire par une tierce partie ce que l’on pourrait faire soi-même (pour des raisons stratégiques, financières ou par simple crétinerie managériale, c’est selon). Mais comme on l’assène dans toutes les écoles de cadres, il n’y a pas de délégation sans contrôles : si vous confiez une tâche simple ou complexe à une tierce partie – votre belle-mère, votre subordonné ou la PME du coin –, il faut contrôler le boulot : sans quoi, en cas de dysfonctionnement grave, je rappelle que vis-à-vis de votre propre client (ou patient, ou usager) il n’y a qu’un seul responsable : vous.
Et c’est là que le débat prend une tournure très drôle : qui, j’aimerais qu’on me le dise, qui est allé voir si son hébergeur de datacenter, ou son hébergeur HDS, respecte les canons de la profession en matière de protection incendie, de localisation physique des données/sauvegarde, des dispositifs d’intrusion, des logins admin de ses propres équipes, etc. ? Les certifications ISO derrières lesquelles s’abritent ces professionnels et qu’ils brandissent comme la garantie ultime ne valent pas réponse : une certification ISO ne donne en rien l’assurance que vous faites bien le job, elle est juste la garantie que quelqu’un dans la boutique s’occupe du bazar et veille à améliorer les choses de jour en jour. Autrement dit, on peut produire de la bouse de vache et être certifié ISO : il suffit de continuer à produire de la bouse, mais mieux.
Sans parler du fait qu’une certification ISO contraint à réaliser une appréciation des risques, mais n’oblige nullement l’hébergeur à communiquer son analyse de risques au client : beaucoup d’hébergeurs certifiés se contentent de donner aux clients qui le demandent leur certificat ISO – et beaucoup de clients ne vont pas plus loin. Certains prestataires – par exemple un grand nom français de la prise de rendez-vous médicaux – se font d’ailleurs un chic de refuser de produire plus que le certificat (ISO ou RGPD), et encore il faut le demander très fort. On appréciera la transparence.
On m’objectera qu’une certification vaut mieux que pas de certification du tout, et c’est exact. Mais une certification n’est en rien un transfert de responsabilité du client vers le prestataire certifié et encore moins vers l’organisme de certification ; en cas de gros pépin genre OVH, les 16 000 clients ne pourront de toute manière que s’en prendre à eux-mêmes.
Dans son incontournable ouvrage majeur[3], Robert Reix avait théorisé la question de l’externalisation et l’avait conditionnée à plusieurs prérequis : on n’externalise que des fonctions secondaires du SI, auprès de professionnels sur un marché concurrentiel, avec un pilotage serré de la qualité et une réversibilité étudiée.
La phrase est progressivement devenue :
- on n’externalise que des fonctions secondaires du SI, auprès de professionnels sur un marché concurrentiel ;
- on externalise auprès de professionnels sur un marché concurrentiel ;
- on externalise.
[2] https://datacenter-magazine.fr/incendie-6-erreurs-dovhcloud/
Avez-vous apprécié ce contenu ?
A lire également.

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.