Un bref rappel des faits 🧑‍🚒

Mercredi 10 mars dernier, peu après minuit, un violent incendie a touché le site Strasbourgeois de la société française OVH. Ce site est composé de 4 Datacenters. Selon les informations communiquées par la société, le SBG 2 a entièrement brûlé, le SBG 1 a été partiellement touchés avec 4 salles détruites et les SBG3 et 4 n’ont pas été endommagés par les flammes. Le directeur général d’OVH Cloud estimae le nombre des entreprises partiellement ou totalement affectées entre 12 000 et 15 000.

Repartir au plus vite pour limiter l’impact financier 🚀

Cela peut paraître évident mais la première chose à faire est de relancer votre activité au plus vite pour réduire l’impact financier. Vous estimerez les pertes dans un second temps.

Si vous disposiez d’un « back-up » de vos données ou de votre site internet, rapprochez-vous de vos prestataires informatiques afin qu’ils activent le plan de continuité d’activité.

Si vous n’aviez pas de back-up, le plus important est d’identifier sur quel(s) serveur(s) étaient stockées vos données. OVH communique très régulièrement sur son plan de reprise d’activité et les dates auxquelles il relancera les serveurs SBG1 3 et 4. Vous pouvez trouver toutes leurs annonces en cliquant ici

Si vos données se trouvaient sur les Datacenter détruits, il faut vous rapprocher d’OVH afin de savoir si une sauvegarde existe.

🚨Attention🚨, d’après les informations (à confirmer) communiquées par le journal du net, il semble que les sauvegardes du SBG1 étaient dans une autre salle du même datacenter qui aurait également brûlé. 

Estimer les pertes financières de ce sinistre pour votre entreprise 📉

Les conséquences financières de ce sinistre seront importantes pour les entreprises ne disposant pas d’une sauvegarde et donc d’un plan de continuation d’activité. Nous en avons identifié quatre types:

La reconstitution des données:

Il s’agit du coût nécessaire pour re-construire l’ensemble de vos données et ou l’architecture de ces dernières. Ce coût est particulièrement difficile à mesurer car il s’agit, le plus souvent, de prestations intellectuelles. Par exemple le temps nécessaire pour qu’un développeur réécrive les lignes de code de votre programme informatique ou de votre site internet, le temps nécessaire à vos équipes pour intégrer à nouveau l’ensemble des données dans votre système informatique …

La perte d’exploitation consécutive à l’interruption de vos services :

Cette perte correspond à la perte de chiffre d’affaires (ou marge brute) engendrée par le sinistre. Le calcul de ce montant est bien connu des assureurs car nous le retrouvons dans beaucoup de sinistres. Pour simplifier le calcul, il est possible d’estimer le CA journalier moyen sur une période passée et le multiplier par le nombre de jours d’interruption de vos services.

Les frais consécutifs suite au sinistre:

Il s’agit des frais que vous aurez dû assumer consécutivement au sinistre. Il peut s’agir, par exemple, de l’achat d’un nouveau serveur, des frais d’interventions d’urgence de vos prestataires informatiques afin d’actionner votre plan de continuité d’activité …

Les pertes financières de vos clients:

Ces frais sont probablement les plus difficiles à estimer. Il s’agit des frais que pourraient vous réclamer vos clients dans l’éventualité où vous ne pouvez plus leur assurer le service pour lequel vous étiez engagé contractuellement. Par exemple, si vous êtes éditeur de logiciel et que, suite à l’incendie, une fonctionnallité de votre logiciel n’est plus opérationnel  (par exemple, la prise de commande pour un site de e-commerce).

L’une de mes assurances peut elle intervenir dans ce sinistre ? 📑

Il va s’en dire que ce sinistre est extraordinaire tant par son envergure que par la complexité que prendra  l’indemnisation. En effet, si les données disparues appartenaient bien aux entreprises clientes d’OVH, leur “perte” fait suite à un évènement qui n’est pas couvert par les contrats d’assurance traditionnels.

Multirisque entreprise:

L’assurance multirisque couvre les biens immobiliers, mobiliers ainsi que la perte d’exploitation consécutive à un sinistre. Cette couverture est quasi systématiquement localisée géographiquement et les données hébergées sur le « Cloud » sont exclus de ces contrats. En conséquence, cette assurance, et hors contrat spécifique, ne pourra pas intervenir.

Responsabilité Civile:

L’assurance de responsabilité civile professionnelle couvre les conséquences pécuniaires que l’activité d’une entreprise pourrait entraîner. Dans le cas du sinistre OVH, et comme évoqué ci-dessus, certaines entreprises pourront se voir réclamer un préjudice financier de la part de leur(s) client(s). Dès lors et sous réserve que le contrat ait bien prévu ce cas de figure, l’assureur pourra prendre en charge les pertes financières de vos clients.  

Cyber:

L’assurance Cyber couvre les conséquences pécuniaires d’une atteinte à vos données ou à la sécurité́ du système informatique. C’est ce contrat qui sera le plus susceptible d’intervenir. Deux impératifs doivent au préalable être vérifiés avec votre assureur: 1) Votre contrat Cyber doit couvrir une atteinte à la sécurité du système informatique du prestataire d’externalisation et non uniquement à votre entreprise. C’est le cas de la plurpart des contrats Cyber.  2) La définition de “l’atteinte à la sécurité du système informatique du prestataire d’externalisation” doit intégrer le risque incendie. Sur ce point nous avons contacté plusieurs assureurs pour connaître leur point de vue. Nous n’avons pas encore leur retour à l’heure ou nous écrivons ces lignes. L’article sera mis à jour régulièrement. Update (15/03/2021) – Plusieurs assureurs nous ont confirmé que les contrats Cyber ne couvrent pas ce type d’évènements. En effet, les sinistres consécutifs à un dommages matériel (dans ce cas l’incendie) sont exclus des contrats Cyber). 

Si aucune assurance ne peut intervenir, un recours contre OVH est-il envisageable ? 👨‍⚖️

Dans le code civil, il est stipulé que “Tous les actes qui causent un préjudice à autrui obligent leur auteur à réparation“. Une entreprise ayant suibi une perte financière suite à l’incendie devrait donc, légitimement, pouvoir demander à ce que son préjudice financier soit réparé. 

Ce n’est malheureusement pas si simple. En effet, en assurance, le concept de force majeure définit un évènement imprévisible, irrésistible, insurmontable et étranger à l’auteur du dommage. En règle générale, un cas de force majeure a pour effet d’exonérer la personne mise en cause de sa responsabilité.

Dans leur CGV, consultable ici , OVH précise bien qu’“Aucune des Parties ne peut voir sa responsabilité engagée sur le fondement d’une défaillance résultant, directement ou non, d’événements non prévisibles ayant les caractéristiques de la force majeure telle que définie par l’article 1218 du Code Civil. Les Parties déclarent que la force majeure inclut notamment les grèves y compris la grève du personnel d’un sous-traitant de l’une des Parties, les actes de vandalisme, de guerre ou de menace de guerre, le sabotage, les actes terroristes, les incendies, les épidémies, … ” 

En conséquence, à la lecture de ces conditions générales de vente, la responsabilité d’OVH ne devrait pouvoir être engagée suite à l’incendie. Il est vraissemblable qu’un juge ait à se pronocer sur cette question dans les mois qui viennent. 

Comment protéger mon entreprise d’une situation similaire ?

Comme nous avons pu le voir, face à ce type de sinistre, il n’existe pas de solution assurancielle “clef en main”. En conséquence, la mise en place d’un système de sauvegarde (idéalement chez un autre prestataire) et d’un plan de continuité d’activité sont les actions à mettre en place prioritairement pour protéger votre entreprise. 

Nous espérons que cet article vous a plu. Si vous avez une question ou une remarque n’hésitez pas à nous les indiquer en commentaire (en toute bienveillance bien entendu) 😇.

Vous pouvez également partager  cet article aoutour de vous🙏et suivre nos différentes actualités postées sur notre page Linkedin

Pour nous contacter c’est par ici