Suite Ă  l’incendie survenu sur le site Strasbourgeois de la sociĂ©tĂ© OVH, de nombreuses entreprises ont vu leur site internet hors ligne. Elles s’interrogent aujourd’hui sur la capacitĂ© qu’elles auront Ă  rĂ©cupĂ©rer leurs donnĂ©es et sur les moyens leur permettant de limiter et de compenser les pertes financiĂšres subies. Les assurances souscrites par les entreprises impactĂ©es pourront elles intervenir ? Si oui, dans quelles mesures et quelles sont les dĂ©marches Ă  effectuer ?

Nous tĂącherons dans cet article de rĂ©pondre Ă  ces questions tout en apportant notre point de vue de spĂ©cialiste en assurances. Nous tĂącherons Ă©galement d’apporter quelques conseils afin d’Ă©viter aux entreprises de se retrouver dans une situation similaire.

Un bref rappel des faits 🧑‍🚒

Mercredi 10 mars dernier, peu aprĂšs minuit, un violent incendie a touchĂ© le site Strasbourgeois de la sociĂ©tĂ© française OVH. Ce site est composĂ© de 4 Datacenters. Selon les informations communiquĂ©es par la sociĂ©tĂ©, le SBG 2 a entiĂšrement brĂ»lĂ©, le SBG 1 a Ă©tĂ© partiellement touchĂ©s avec 4 salles dĂ©truites et les SBG3 et 4 n’ont pas Ă©tĂ© endommagĂ©s par les flammes. Le directeur gĂ©nĂ©ral d’OVH Cloud estimae le nombre des entreprises partiellement ou totalement affectĂ©es entre 12 000 et 15 000.

Repartir au plus vite pour limiter l’impact financier 🚀

Cela peut paraĂźtre Ă©vident mais la premiĂšre chose Ă  faire est de relancer votre activitĂ© au plus vite pour rĂ©duire l’impact financier. Vous estimerez les pertes dans un second temps.

Si vous disposiez d’un « back-up » de vos donnĂ©es ou de votre site internet, rapprochez-vous de vos prestataires informatiques afin qu’ils activent le plan de continuitĂ© d’activitĂ©.

Si vous n’aviez pas de back-up, le plus important est d’identifier sur quel(s) serveur(s) Ă©taient stockĂ©es vos donnĂ©es. OVH communique trĂšs rĂ©guliĂšrement sur son plan de reprise d’activitĂ© et les dates auxquelles il relancera les serveurs SBG1 3 et 4. Vous pouvez trouver toutes leurs annonces en cliquant ici

Si vos donnĂ©es se trouvaient sur les Datacenter dĂ©truits, il faut vous rapprocher d’OVH afin de savoir si une sauvegarde existe.

🚹Attention🚹, d’aprĂšs les informations (Ă  confirmer) communiquĂ©es par le journal du net, il semble que les sauvegardes du SBG1 Ă©taient dans une autre salle du mĂȘme datacenter qui aurait Ă©galement brĂ»lĂ©. 

Estimer les pertes financiùres de ce sinistre pour votre entreprise 📉

Les consĂ©quences financiĂšres de ce sinistre seront importantes pour les entreprises ne disposant pas d’une sauvegarde et donc d’un plan de continuation d’activitĂ©. Nous en avons identifiĂ© quatre types:

La reconstitution des données:

Il s’agit du coĂ»t nĂ©cessaire pour re-construire l’ensemble de vos donnĂ©es et ou l’architecture de ces derniĂšres. Ce coĂ»t est particuliĂšrement difficile Ă  mesurer car il s’agit, le plus souvent, de prestations intellectuelles. Par exemple le temps nĂ©cessaire pour qu’un dĂ©veloppeur rĂ©Ă©crive les lignes de code de votre programme informatique ou de votre site internet, le temps nĂ©cessaire Ă  vos Ă©quipes pour intĂ©grer Ă  nouveau l’ensemble des donnĂ©es dans votre systĂšme informatique 


La perte d’exploitation consĂ©cutive Ă  l’interruption de vos services :

Cette perte correspond Ă  la perte de chiffre d’affaires (ou marge brute) engendrĂ©e par le sinistre. Le calcul de ce montant est bien connu des assureurs car nous le retrouvons dans beaucoup de sinistres. Pour simplifier le calcul, il est possible d’estimer le CA journalier moyen sur une pĂ©riode passĂ©e et le multiplier par le nombre de jours d’interruption de vos services.

Les frais consécutifs suite au sinistre:

Il s’agit des frais que vous aurez dĂ» assumer consĂ©cutivement au sinistre. Il peut s’agir, par exemple, de l’achat d’un nouveau serveur, des frais d’interventions d’urgence de vos prestataires informatiques afin d’actionner votre plan de continuitĂ© d’activitĂ© 


Les pertes financiĂšres de vos clients:

Ces frais sont probablement les plus difficiles Ă  estimer. Il s’agit des frais que pourraient vous rĂ©clamer vos clients dans l’éventualitĂ© oĂč vous ne pouvez plus leur assurer le service pour lequel vous Ă©tiez engagĂ© contractuellement. Par exemple, si vous ĂȘtes Ă©diteur de logiciel et que, suite Ă  l’incendie, une fonctionnallitĂ© de votre logiciel n’est plus opĂ©rationnel  (par exemple, la prise de commande pour un site de e-commerce).

L’une de mes assurances peut elle intervenir dans ce sinistre ? 📑

Il va s’en dire que ce sinistre est extraordinaire tant par son envergure que par la complexitĂ© que prendra  l’indemnisation. En effet, si les donnĂ©es disparues appartenaient bien aux entreprises clientes d’OVH, leur “perte” fait suite Ă  un Ă©vĂšnement qui n’est pas couvert par les contrats d’assurance traditionnels.

Multirisque entreprise:

L’assurance multirisque couvre les biens immobiliers, mobiliers ainsi que la perte d’exploitation consĂ©cutive Ă  un sinistre. Cette couverture est quasi systĂ©matiquement localisĂ©e gĂ©ographiquement et les donnĂ©es hĂ©bergĂ©es sur le « Cloud » sont exclus de ces contrats. En consĂ©quence, cette assurance, et hors contrat spĂ©cifique, ne pourra pas intervenir.

Responsabilité Civile:

L’assurance de responsabilitĂ© civile professionnelle couvre les consĂ©quences pĂ©cuniaires que l’activitĂ© d’une entreprise pourrait entraĂźner. Dans le cas du sinistre OVH, et comme Ă©voquĂ© ci-dessus, certaines entreprises pourront se voir rĂ©clamer un prĂ©judice financier de la part de leur(s) client(s). DĂšs lors et sous rĂ©serve que le contrat ait bien prĂ©vu ce cas de figure, l’assureur pourra prendre en charge les pertes financiĂšres de vos clients.  

Cyber:

L’assurance Cyber couvre les consĂ©quences pĂ©cuniaires d’une atteinte à vos donnĂ©es ou Ă  la sĂ©curitĂ©Ì du systĂšme informatique. C’est ce contrat qui sera le plus susceptible d’intervenir. Deux impĂ©ratifs doivent au prĂ©alable ĂȘtre vĂ©rifiĂ©s avec votre assureur: 1) Votre contrat Cyber doit couvrir une atteinte à la sécurité du système informatique du prestataire d’externalisation et non uniquement Ă  votre entreprise. C’est le cas de la plurpart des contrats Cyber.  2) La dĂ©finition de “l’atteinte à la sécurité du système informatique du prestataire d’externalisationdoit intĂ©grer le risque incendie. Sur ce point nous avons contactĂ© plusieurs assureurs pour connaĂźtre leur point de vue. Nous n’avons pas encore leur retour Ă  l’heure ou nous Ă©crivons ces lignes. L’article sera mis Ă  jour rĂ©guliĂšrement. Update (15/03/2021) – Plusieurs assureurs nous ont confirmĂ© que les contrats Cyber ne couvrent pas ce type d’Ă©vĂšnements. En effet, les sinistres consĂ©cutifs Ă  un dommages matĂ©riel (dans ce cas l’incendie) sont exclus des contrats Cyber).  

Si aucune assurance ne peut intervenir, un recours contre OVH est-il envisageable ?Â đŸ‘šâ€âš–ïž

Dans le code civil, il est stipulĂ© que “Tous les actes qui causent un prĂ©judice Ă  autrui obligent leur auteur Ă  rĂ©paration“. Une entreprise ayant suibi une perte financiĂšre suite Ă  l’incendie devrait donc, lĂ©gitimement, pouvoir demander Ă  ce que son prĂ©judice financier soit rĂ©parĂ©. 

Ce n’est malheureusement pas si simple. En effet, en assurance, le concept de force majeure dĂ©finit un Ă©vĂšnement imprĂ©visible, irrĂ©sistible, insurmontable et Ă©tranger Ă  l’auteur du dommage. En rĂšgle gĂ©nĂ©rale, un cas de force majeure a pour effet d’exonĂ©rer la personne mise en cause de sa responsabilitĂ©.

Dans leur CGV, consultable ici , OVH prĂ©cise bien qu’Aucune des Parties ne peut voir sa responsabilitĂ© engagĂ©e sur le fondement d’une dĂ©faillance rĂ©sultant, directement ou non, d’évĂ©nements non prĂ©visibles ayant les caractĂ©ristiques de la force majeure telle que dĂ©finie par l’article 1218 du Code Civil. Les Parties dĂ©clarent que la force majeure inclut notamment les grĂšves y compris la grĂšve du personnel d’un sous-traitant de l’une des Parties, les actes de vandalisme, de guerre ou de menace de guerre, le sabotage, les actes terroristes, les incendies, les Ă©pidĂ©mies, … ” 

En consĂ©quence, Ă  la lecture de ces conditions gĂ©nĂ©rales de vente, la responsabilitĂ© d’OVH ne devrait pouvoir ĂȘtre engagĂ©e suite Ă  l’incendie. Il est vraissemblable qu’un juge ait Ă  se pronocer sur cette question dans les mois qui viennent. 

Comment protĂ©ger mon entreprise d’une situation similaire ? 

Comme nous avons pu le voir, face Ă  ce type de sinistre, il n’existe pas de solution assurancielle “clef en main”. En consĂ©quence, la mise en place d’un systĂšme de sauvegarde (idĂ©alement chez un autre prestataire) et d’un plan de continuitĂ© d’activitĂ© sont les actions Ă  mettre en place prioritairement pour protĂ©ger votre entreprise. 

Nous espĂ©rons que cet article vous a plu. Si vous avez une question ou une remarque n’hĂ©sitez pas Ă  nous les indiquer en commentaire (en toute bienveillance bien entendu) 😇.

Vous pouvez Ă©galement partager  cet article aoutour de vous🙏et suivre nos diffĂ©rentes actualitĂ©s postĂ©es sur notre page Linkedin

Pour nous contacter c’est par ici