Assurance / Incendie/explosion / Industrie/ICPE

Incendie d’OVH : les enseignements de l’enquête du BEA-RI

30 mai 202216 min

Le Bureau d’enquêtes et d’analyses sur les risques industriels (BEA-RI) a publié, le 27 mai 2022, son rapport d’enquête sur l’incendie au sein du centre de stockage de données OVHcloud à Strasbourg, le 10 mars 2021. Les deux enquêteurs en charge du dossier, Laurent Olivé et Aurélie Papes, nous expliquent les principaux enseignements.

Ceci est une légende Alt

Dans la nuit du 9 au 10 mars 2021, un incendie se déclare au sein du data center d’OVHcloud, situé dans la zone industrielle du port de Strasbourg. Le site est constitué de 5 bâtiments indépendants (SBG1 à SBG5). Le sinistre s’est déclenché au rez-de-chaussée du SBG2 et s’est rapidement propagé à tout le bâtiment et aux bâtiments voisins. Vers 10 h, l’incendie est maîtrisé après coupure du réseau électrique et intervention d’un bateau-pompe. L’intervention est considérée comme terminée à 18 h 13. Près de 4 000 litres d’émulseurs sont utilisés.

Si l’incendie n’a fait aucune victime, il a occasionné des dégâts importants sur les plans matériels et financiers. Le bâtiment SBG2 est totalement détruit et 4 salles du SBG1 le sont également. L’inter-bâtiment entre SBG2 et SBG3 est lui aussi impacté. Environ 3,6 millions de sites internet correspondant à 464 000 noms de domaine auraient été indisponibles au plus fort de la crise.

Le BEA-RI

Les enquêteurs techniques du BEA-RI se sont rendus sur place le 11 mars 2021. Ils n’ont pas pu accéder au bâtiment SBG2, dont la structure métallique, très atteinte par l’incendie, ne présentait plus les garanties suffisantes en matière de stabilité, mais ont eu accès au bâtiment SBG3. Ils ont échangé avec des représentants de la société OVHcloud, du service d’incendie et de secours du Bas-Rhin et de l’Inspection des installations classées.

Par la suite, ils ont pu échanger à distance avec les différentes parties prenantes, dont notamment le gestionnaire du réseau électrique de la ville de Strasbourg ou l’équipementier de l’ASI (alimentation sans interruption).

Des expertises ont par ailleurs été engagées dans le cadre de procédures civiles menées par des experts judiciaires désignés par le tribunal de Strasbourg. Le BEA-RI n’a pas eu accès aux éléments et conclusions de ces expertises, ne disposant pas, à la date de l’accident, des prérogatives aujourd’hui fixées par la loi (dispositions créées aux articles L.501-1 à L.501-19 du code de l’environnement en août 2021).

« La loi articule désormais les procédures judiciaires avec l’enquête technique du BEA-RI, ce qui n’était pas le cas avant et qui nous a probablement manqué dans la procédure OVH, explique Laurent Olivé, co-enquêteur du Bureau sur le sujet. Nous n’avons pas pu avoir accès à la totalité des informations en dépit de la bonne volonté de tous, contraints à des règles de confidentialité. Depuis, les choses ont été clarifiées et l’ensemble des rapports établis dans le cadre de l’enquête judiciaire sont désormais accessibles au BEA, qui pourra aussi lancer ses propres investigations. »

Laurent Olivé, enquêteur du BEA-RI
Laurent Olivé,
enquêteur du BEA-RI

Le site d’OVH à Strasbourg

Le site OVH de Strasbourg est composé de cinq bâtiments. Photo Sdis67/BEA-RI
Le site OVHcloud de Strasbourg a connu plusieurs phases d’agrandissement depuis 2012, chacune se concrétisant par la construction de nouveaux bâtiments (SBG1 à SBG5) destinés à héberger les équipements électriques et informatiques de la société. Chaque bâtiment adopte des options structurelles et architecturales très différentes.

En matière de sécurité incendie, le site est équipé d’un système de détection combiné à la présence permanente de personnel formé à la manipulation des extincteurs. La défense extérieure contre l’incendie est assurée par le réseau public constitué d’une unique ligne d’alimentation et d’un poteau incendie.

Le bâtiment SBG2 est un bâtiment modulaire sur six niveaux. Les caissons sont constitués de parois béton préfabriquées adossés à une ossature acier qui assure la stabilité, notamment en cas d’aléa sismique ou météorologique. Les planchers sont réalisés en bois brut avec traitement intumescent et les parois extérieures en bardage simple peau ou en bardage en lame d’aluminium, peut-on lire dans le rapport du BEA-RI. Les choix architecturaux favorisent les échanges thermiques avec l’extérieur pour réduire la consommation de l’énergie consacrée au refroidissement des équipements informatiques ou électriques.

À la date de l’accident, le site OVHcloud de Strasbourg fonctionnait au bénéfice d’une déclaration en date du 5 août 2016, archivée à la Dreal au titre de deux rubriques :

  • 2910 A2 (groupes électrogènes) : 12,5 MW,
  • 2925-1 (installations de charge de batteries) : 153 kW.
Aurélie Papes, enquêtrice du BEA-RI
Aurélie Papes,
enquêtrice du BEA-RI

« Au fil du temps le site a grandi, les installations se sont renforcées et il y avait un dossier de régularisation en cours (enregistrement) mais qui n’avait pas encore été transmis à l’Administration pour tenir compte de l’augmentation de capacité du site », nous explique Aurélie Papes, co-enquêtrice du BEA-RI. Consécutivement à l’incendie, l’Inspection des installations classées a demandé à OVHcloud une actualisation administrative de son site prenant en compte l’ensemble des extensions opérées.

Pour rappel, les data centers ne sont pas soumis dans leur globalité à la réglementation des ICPE, mais certaines installations peuvent l’être au-delà d’un certain seuil : les groupes électrogènes et les stockages d’hydrocarbures nécessaires à leur fonctionnement, les groupes de production de froid, les locaux de charges de batteries.

L’origine du sinistre

L’incendie a pris au sein des locaux qui abritent les batteries au plomb et les ASI nécessaires au fonctionnement des serveurs. Ces salles, appelées aussi « salles énergie », étaient équipées d’une détection incendie mais ne disposaient d’aucun système d’extinction automatique. Le système de vidéosurveillance et le monitoring de la centrale incendie du site montrent qu’un défaut électrique et des départs de feu se produisent quasi-simultanément au niveau d’un ASI et au niveau des batteries qui lui sont reliées par câbles électriques, expliquent les enquêteurs dans le rapport. L’onduleur et les batteries associées n’étaient pas dans la même salle.

Les causes précises des départs de feu, qui font l’objet d’une expertise judiciaire, n’étant pas connues à la date du rapport, le Bureau ne se positionne pas sur ce point. Il émet cependant plusieurs hypothèses : présence de liquide ou d’humidité liée à la présence du système de refroidissement situé à proximité, dysfonctionnement lié à l’opération de maintenance réalisée le matin même sur un onduleur, exploitation de l’onduleur en dehors des plages normales de fonctionnement…

Les facteurs de propagation de l’incendie

Incendie d'OVH : embrasement généralisé de SBG2. Photo Sdis67
La conception du bâtiment, l’absence d’extinction automatique dans les salles énergie, le délai nécessaire à la sécurisation électrique du site et le manque de moyens en eau ont conduit à l’embrasement généralisé de SBG2, une heure et demie après le déclenchement de la première alarme.

Malgré l’arrivée rapide des secours, plusieurs éléments ont participé à l’embrasement généralisé et la propagation aux bâtiments voisins :

Le BEA-RI a exploité les données issues de la centrale de sécurité incendie et notamment la chronologie des déclenchements des détecteurs incendie. « Quinze minutes après le départ de l’incendie, des capteurs avaient déclenché à tous les niveaux du bâtiment, ce qui montre une incroyable perméabilité aux fumées de l’incendie, remarque Laurent Olivé. Le choix d’avoir un bâtiment le moins énergivore possible s’est retourné contre l’exploitant dans le cadre de l’incendie. On a perdu les critères de tenue au feu des matériaux par la présence des ouvrants qui servaient à l’aération du bâtiment. » Près d’une heure et demie après le déclenchement de la première alarme, les sapeurs-pompiers rapportaient l’embrasement généralisé de SBG2.

Le rapport rappelle qu’OVHcloud a choisi de n’équiper aucun des cinq bâtiments de son data center de Strasbourg de système d’extinction automatique.

Le Sdis ne disposait pour cette intervention que d’un poteau incendie qui délivrait un débit insuffisant (inférieur aux 60 m3/h que demande la réglementation). L’exploitant ne disposait pas non plus de réserve d’eau d’extinction en propre, ni de moyen de pompage dans le canal du Rhin, tout proche.

Les data centers sont conçus pour garantir une conservation et une accessibilité de la donnée à son propriétaire 24 h/24 et 7 j/7. Face à cette exigence de disponibilité, la rupture d’alimentation électrique constitue le risque majeur principal auquel doit faire face un exploitant de data center.

Dans le cas du site OVHcloud, la fourniture d’électricité est assurée par :

  • deux liaisons HTA 20 kV redondantes ;
  • des groupes électrogènes fuel qui permettent de subvenir aux besoins électriques du site en cas d’interruption des liaisons HTA ;
  • des salles de stockage d’énergie contenant une grande quantité de batteries au plomb.

« Les data centers sont secourus électriquement de tous les côtés. Il y a plusieurs alimentations électriques, les groupes électrogènes et les batteries dans les bâtiments, souligne Laurent Olivé. Il faut attendre que toutes les sources soient déconnectées ou épuisées pour pouvoir intervenir. » Lors de l’incendie, la présence d’un risque électrique a empêché la mise en œuvre de moyens importants en eau. Plusieurs points se sont révélés problématiques, comme l’absence de dispositif de coupure générale du site facilement accessible (le gestionnaire du réseau électrique a donc dû intervenir) ou encore les postes secondaires inaccessibles car à proximité de la zone d’intervention des secours.

Les facteurs qui ont limité la propagation

Les enquêteurs du BEA-RI mettent également en avant plusieurs points qui ont fonctionné et permis de limiter les conséquences du sinistre. D’abord, la détection incendie (détecteurs automatiques optiques et détecteurs par aspiration) a permis une alerte rapide du gardien et des deux techniciens présents sur site et des personnels d’astreinte qui ont rapidement réagi.

Ensuite, le Sdis67 a pu avoir recours au bateau-pompe franco-allemand Europa, basé à Strasbourg, qui a joué un rôle déterminant dans la gestion de l’incendie. Sans lui, les dégâts auraient probablement été bien plus importants sur les bâtiments voisins.

Enfin, la présence de murs coupe-feu et d’une zone inter-bâtiment entre SBG2 et SBG3 a permis de préserver ce dernier. Même si les services de secours ont rapporté aux enquêteurs que des portes coupe-feu avaient été maintenues ouvertes lors de l’évacuation, ce qui a impacté l’efficacité du dispositif.

Incendie OVH, vue aérienne. Photo Sdis67
Lors de l’incendie de SBG2, le bâtiment SBG1, plus petit et construit par superposition sur 3 niveaux de conteneurs, a directement été exposé aux flux thermiques. SBG3, construction béton en R+5, séparé par une construction avec mur et portes coupe-feu, et de taille comparable, a été davantage protégé de l’incendie.

Les enseignements de sécurité

« Le premier enseignement de cet incendie, c’est de constater qu’un data center, qui dans l’esprit général est une boîte dans laquelle on trouve des matériels informatiques, peut brûler de manière aussi importante et violente que des entrepôts de matières combustibles et classés en raison du risque incendie, souligne Laurent Olivé. Les data centers peuvent être sujets à des incendies de grande ampleur. »

Pour les enquêteurs, la maîtrise du risque incendie doit être prise en compte et contrôlée pour ces installations. « On émet la possibilité que l’Anssi puisse s’y intéresser dans le cadre de la certification. On sait que des data centers peuvent héberger des données sensibles pour des OIV ou des OSE. La certification s’intéresse aux notions de cybersécurité et de sûreté de l’installation, ce qui est primordial. Mais on pense aussi que c’est peut-être dommage de regarder les problèmes de malveillance sans s’intéresser à la sécurité incendie du bâtiment. »

Concernant la détection et la protection contre l’incendie

Les enquêteurs rappellent qu’une détection incendie efficace constitue un préalable incontournable pour garantir la mise à l’abri des personnels. Ils ajoutent qu’un système d’extinction automatique, dans les salles énergie, « permettrait de mettre en oeuvre des moyens en eau très tôt dans la séquence accidentelle, sans même attendre l’arrêt de la fourniture d’électricité, et sans exposer de personnel à un risque d’électrocution ».

Ils citent par ailleurs le Livre blanc sur la sécurité incendie des data centers, réalisé par France Datacenter, qui recense les différents systèmes de détection et d’extinction automatique qui peuvent être déployés dans les data centers.

Concernant la conception des bâtiments

Les enquêteurs tirent deux enseignements. Premièrement, les prescriptions applicables aux locaux de charges de batteries (arrêté du 29 mai 2000 relatif aux ateliers de charge d’accumulateurs), qui prévoient des locaux coupe-feu 2 h et une extraction en partie haute pour prévenir le risque de production d’hydrogène, sont pertinentes. Les enquêteurs pointent toutefois deux configurations qui doivent être regardées avec attention : le cas des batteries lithium, insuffisamment traitées par la réglementation mais qui font l’objet d’un travail actuel, et le cas du local de charge situé en extérieur, sur lequel le BEA-RI a déjà établi un rapport.

« Ces prescriptions ont toute leur utilité pour contenir un feu qui se déclencherait au niveau de la charge et doivent être respectées par les data centers », rappelle Aurélie Papes. Ce qui n’était vraisemblablement pas le cas pour le local de batteries du SBG2. « Il est néanmoins difficile de dire quel impact auraient eu des locaux de charge de batteries conformes à la réglementation dans l’incendie de Strasbourg compte tenu par ailleurs du départ de feu quasi simultané dans la salle des onduleurs, qui n’est pas explicitement visée par la réglementation ICPE », ajoute-t-elle.

La réglementation ICPE a été construite au départ pour les locaux de charge de chariots élévateurs dans des entrepôts, nous explique Laurent Olivé. « Dans cette configuration, la batterie et le système de charge se situent au même endroit. On ne s’était jamais posé la question de savoir quelles sont les limites de l’atelier de charge. Le retour d’expérience d’OVH montre que, par connexité électrique, il peut y avoir des incidences simultanées, des départs de feu électriques sur les deux équipements en même temps. Il faut donc traiter les deux, sinon on ne traite qu’une source sur deux de l’incendie. »

La notion d’atelier de charge mentionnée dans la réglementation doit donc être entendue au sens large et englober, par connexité, l’ensemble des équipements électriques et locaux associés qui concourent à la charge des batteries.

Deuxièmement, pour faciliter l’intervention des secours, les salles énergie devraient être idéalement dans un bâtiment distinct. « On sait que les contraintes de construction entraînent des projets les plus denses possibles. Dans ces cas-là, les salles énergie doivent être facilement accessibles, au rez-de-chaussée, et dans des locaux coupe-feu et suffisamment résistants pour contenir l’incendie », remarque Laurent Olivé.

Par ailleurs, pour assurer la continuité d’activité, « les salles serveurs devraient être recoupées par des murs et des planchers coupe-feu, surtout si elles assurent des fonctions redondantes ou de sauvegarde entre elles», conseillent les enquêteurs.

Incendie d'OVH : les dispositions constructives de SBG2 ont contribué à l'embrasement généralisé. Photo Sdis67
Les dispositions constructives de SBG2, conçu pour favoriser les échanges thermiques avec l’extérieur et ainsi réduire la consommation de l’énergie utilisée pour refroidir les équipements, se sont retournées contre l’installation lors de l’incendie.

Concernant l’élaboration des plans d’urgence

Le rapport insiste sur le fait que les exploitants doivent prévoir la mise en sécurité électrique du site. « En l’absence de recoupement suffisamment dimensionné, ils doivent aussi prévoir l’incendie généralisé comme un scénario plausible et prévoir de manière théorique les besoins en eau suffisants. S’ils n’ont pas les réserves nécessaires, ils peuvent en discuter avec le Sdis », conseille Laurent Olivé.

La liaison avec les services d’incendie et de secours gagnerait d’ailleurs à être renforcée d’après les enquêteurs. Le rapport insiste également sur la maintenance préventive des batteries et la nécessité d’avoir une stratégie globale. « Les enseignements de sécurité ne sont pas à prendre individuellement les uns des autres mais dans une approche globale et cohérente », précise Aurélie Papes.

Les recommandations

En fin de rapport, le BEA-RI formule des propositions d’amélioration de la sécurité. La première s’adresse à la Direction générale de la prévention des risques (DGPR) et concerne la définition étendue de l’atelier de charge (locaux qui abritent les batteries et également les équipements qui servent à la charge).

Les deux autres s’adressent à OVHcloud : les enquêteurs recommandent à l’exploitant de tenir compte du retour d’expérience dans la reconstruction ou construction de ses installations, avec notamment des procédures d’urgence de mise en sécurité électrique. Le rapport recommande enfin à OVHcloud de procéder à un audit de l’ensemble de ses installations pour étudier leur vulnérabilité au risque incendie.

Les personnes qui font l’objet de recommandations disposent d’un délai de deux mois, après la publication du rapport, pour faire part au BEA-RI des suites qu’elles entendent y donner. Les réponses seront publiées sur le site. On ne manquera pas d’en faire écho.

Article extrait du n° 583 de Face au Risque : « OVH, Quelles leçons ? » (juin 2022).

Gaëlle Carcaly – Journaliste

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.

Je m’inscris

À lire également