Incendie d’OVH : les enseignements de l’enquête du BEA-RI
Le Bureau d’enquêtes et d’analyses sur les risques industriels (BEA-RI) a publié, le 27 mai 2022, son rapport d’enquête sur l’incendie au sein du centre de stockage de données OVHcloud à Strasbourg, le 10 mars 2021. Les deux enquêteurs en charge du dossier, Laurent Olivé et Aurélie Papes, nous expliquent les principaux enseignements.
OVH, quelles leçons ?
Dans la nuit du 9 au 10 mars 2021, un incendie se déclare au sein du data center d’OVHcloud, situé dans la zone industrielle du port de Strasbourg. Le site est constitué de 5 bâtiments indépendants (SBG1 à SBG5). Le sinistre s’est déclenché au rez-de-chaussée du SBG2 et s’est rapidement propagé à tout le bâtiment et aux bâtiments voisins. Vers 10 h, l’incendie est maîtrisé après coupure du réseau électrique et intervention d’un bateau-pompe. L’intervention est considérée comme terminée à 18 h 13. Près de 4 000 litres d’émulseurs sont utilisés.
Si l’incendie n’a fait aucune victime, il a occasionné des dégâts importants sur les plans matériels et financiers. Le bâtiment SBG2 est totalement détruit et 4 salles du SBG1 le sont également. L’inter-bâtiment entre SBG2 et SBG3 est lui aussi impacté. Environ 3,6 millions de sites internet correspondant à 464 000 noms de domaine auraient été indisponibles au plus fort de la crise.
Le BEA-RI
Les enquêteurs techniques du BEA-RI se sont rendus sur place le 11 mars 2021. Ils n’ont pas pu accéder au bâtiment SBG2, dont la structure métallique, très atteinte par l’incendie, ne présentait plus les garanties suffisantes en matière de stabilité, mais ont eu accès au bâtiment SBG3. Ils ont échangé avec des représentants de la société OVHcloud, du service d’incendie et de secours du Bas-Rhin et de l’Inspection des installations classées.
Par la suite, ils ont pu échanger à distance avec les différentes parties prenantes, dont notamment le gestionnaire du réseau électrique de la ville de Strasbourg ou l’équipementier de l’ASI (alimentation sans interruption).
Des expertises ont par ailleurs été engagées dans le cadre de procédures civiles menées par des experts judiciaires désignés par le tribunal de Strasbourg. Le BEA-RI n’a pas eu accès aux éléments et conclusions de ces expertises, ne disposant pas, à la date de l’accident, des prérogatives aujourd’hui fixées par la loi (dispositions créées aux articles L.501-1 à L.501-19 du code de l’environnement en août 2021).
« La loi articule désormais les procédures judiciaires avec l’enquête technique du BEA-RI, ce qui n’était pas le cas avant et qui nous a probablement manqué dans la procédure OVH, explique Laurent Olivé, co-enquêteur du Bureau sur le sujet. Nous n’avons pas pu avoir accès à la totalité des informations en dépit de la bonne volonté de tous, contraints à des règles de confidentialité. Depuis, les choses ont été clarifiées et l’ensemble des rapports établis dans le cadre de l’enquête judiciaire sont désormais accessibles au BEA, qui pourra aussi lancer ses propres investigations. »
Laurent Olivé,
enquêteur du BEA-RI.
Le site d’OVH à Strasbourg
Le site OVHcloud de Strasbourg a connu plusieurs phases d’agrandissement depuis 2012, chacune se concrétisant par la construction de nouveaux bâtiments (SBG1 à SBG5) destinés à héberger les équipements électriques et informatiques de la société. Chaque bâtiment adopte des options structurelles et architecturales très différentes.
En matière de sécurité incendie, le site est équipé d’un système de détection combiné à la présence permanente de personnel formé à la manipulation des extincteurs. La défense extérieure contre l’incendie est assurée par le réseau public constitué d’une unique ligne d’alimentation et d’un poteau incendie.
Le bâtiment SBG2 est un bâtiment modulaire sur six niveaux. Les caissons sont constitués de parois béton préfabriquées adossés à une ossature acier qui assure la stabilité, notamment en cas d’aléa sismique ou météorologique. Les planchers sont réalisés en bois brut avec traitement intumescent et les parois extérieures en bardage simple peau ou en bardage en lame d’aluminium, peut-on lire dans le rapport du BEA-RI. Les choix architecturaux favorisent les échanges thermiques avec l’extérieur pour réduire la consommation de l’énergie consacrée au refroidissement des équipements informatiques ou électriques.
À la date de l’accident, le site OVHcloud de Strasbourg fonctionnait au bénéfice d’une déclaration en date du 5 août 2016, archivée à la Dreal au titre de deux rubriques :
- 2910 A2 (groupes électrogènes) : 12,5 MW,
- 2925-1 (installations de charge de batteries) : 153 kW.
« Au fil du temps le site a grandi, les installations se sont renforcées et il y avait un dossier de régularisation en cours (enregistrement) mais qui n’avait pas encore été transmis à l’Administration pour tenir compte de l’augmentation de capacité du site », nous explique Aurélie Papes, co-enquêtrice du BEA-RI. Consécutivement à l’incendie, l’Inspection des installations classées a demandé à OVHcloud une actualisation administrative de son site prenant en compte l’ensemble des extensions opérées.
Pour rappel, les data centers ne sont pas soumis dans leur globalité à la réglementation des ICPE, mais certaines installations peuvent l’être au-delà d’un certain seuil : les groupes électrogènes et les stockages d’hydrocarbures nécessaires à leur fonctionnement, les groupes de production de froid, les locaux de charges de batteries.
Aurélie Papes,
enquêtrice du BEA-RI.
L’origine du sinistre
L’incendie a pris au sein des locaux qui abritent les batteries au plomb et les ASI nécessaires au fonctionnement des serveurs. Ces salles, appelées aussi « salles énergie », étaient équipées d’une détection incendie mais ne disposaient d’aucun système d’extinction automatique. Le système de vidéosurveillance et le monitoring de la centrale incendie du site montrent qu’un défaut électrique et des départs de feu se produisent quasi-simultanément au niveau d’un ASI et au niveau des batteries qui lui sont reliées par câbles électriques, expliquent les enquêteurs dans le rapport. L’onduleur et les batteries associées n’étaient pas dans la même salle.
Les causes précises des départs de feu, qui font l’objet d’une expertise judiciaire, n’étant pas connues à la date du rapport, le Bureau ne se positionne pas sur ce point. Il émet cependant plusieurs hypothèses : présence de liquide ou d’humidité liée à la présence du système de refroidissement situé à proximité, dysfonctionnement lié à l’opération de maintenance réalisée le matin même sur un onduleur, exploitation de l’onduleur en dehors des plages normales de fonctionnement…
Les facteurs de propagation de l’incendie
La conception du bâtiment, l’absence d’extinction automatique dans les salles énergie, le délai nécessaire à la sécurisation électrique du site et le manque de moyens en eau ont conduit à l’embrasement généralisé de SBG2, une heure et demie après le déclenchement de la première alarme.
Malgré l’arrivée rapide des secours, plusieurs éléments ont participé à l’embrasement généralisé et la propagation aux bâtiments voisins :
Les facteurs qui ont limité la propagation
Les enquêteurs du BEA-RI mettent également en avant plusieurs points qui ont fonctionné et permis de limiter les conséquences du sinistre. D’abord, la détection incendie (détecteurs automatiques optiques et détecteurs par aspiration) a permis une alerte rapide du gardien et des deux techniciens présents sur site et des personnels d’astreinte qui ont rapidement réagi.
Ensuite, le Sdis67 a pu avoir recours au bateau-pompe franco-allemand Europa, basé à Strasbourg, qui a joué un rôle déterminant dans la gestion de l’incendie. Sans lui, les dégâts auraient probablement été bien plus importants sur les bâtiments voisins.
Enfin, la présence de murs coupe-feu et d’une zone inter-bâtiment entre SBG2 et SBG3 a permis de préserver ce dernier. Même si les services de secours ont rapporté aux enquêteurs que des portes coupe-feu avaient été maintenues ouvertes lors de l’évacuation, ce qui a impacté l’efficacité du dispositif.
Lors de l’incendie de SBG2, le bâtiment SBG1, plus petit et construit par superposition sur 3 niveaux de conteneurs, a directement été exposé aux flux thermiques. SBG3, construction béton en R+5, séparé par une construction avec mur et portes coupe-feu, et de taille comparable, a été davantage protégé de l’incendie.
Les enseignements de sécurité
« Le premier enseignement de cet incendie, c’est de constater qu’un data center, qui dans l’esprit général est une boîte dans laquelle on trouve des matériels informatiques, peut brûler de manière aussi importante et violente que des entrepôts de matières combustibles et classés en raison du risque incendie, souligne Laurent Olivé. Les data centers peuvent être sujets à des incendies de grande ampleur. »
Pour les enquêteurs, la maîtrise du risque incendie doit être prise en compte et contrôlée pour ces installations. « On émet la possibilité que l’Anssi puisse s’y intéresser dans le cadre de la certification. On sait que des data centers peuvent héberger des données sensibles pour des OIV ou des OSE. La certification s’intéresse aux notions de cybersécurité et de sûreté de l’installation, ce qui est primordial. Mais on pense aussi que c’est peut-être dommage de regarder les problèmes de malveillance sans s’intéresser à la sécurité incendie du bâtiment. »
Concernant la détection et la protection contre l’incendie
Les enquêteurs rappellent qu’une détection incendie efficace constitue un préalable incontournable pour garantir la mise à l’abri des personnels. Ils ajoutent qu’un système d’extinction automatique, dans les salles énergie, « permettrait de mettre en oeuvre des moyens en eau très tôt dans la séquence accidentelle, sans même attendre l’arrêt de la fourniture d’électricité, et sans exposer de personnel à un risque d’électrocution ».
Ils citent par ailleurs le Livre blanc sur la sécurité incendie des data centers, réalisé par France Datacenter, qui recense les différents systèmes de détection et d’extinction automatique qui peuvent être déployés dans les data centers.
Concernant la conception des bâtiments
Les enquêteurs tirent deux enseignements. Premièrement, les prescriptions applicables aux locaux de charges de batteries (arrêté du 29 mai 2000 relatif aux ateliers de charge d’accumulateurs), qui prévoient des locaux coupe-feu 2 h et une extraction en partie haute pour prévenir le risque de production d’hydrogène, sont pertinentes. Les enquêteurs pointent toutefois deux configurations qui doivent être regardées avec attention : le cas des batteries lithium, insuffisamment traitées par la réglementation mais qui font l’objet d’un travail actuel, et le cas du local de charge situé en extérieur, sur lequel le BEA-RI a déjà établi un rapport.
« Ces prescriptions ont toute leur utilité pour contenir un feu qui se déclencherait au niveau de la charge et doivent être respectées par les data centers », rappelle Aurélie Papes. Ce qui n’était vraisemblablement pas le cas pour le local de batteries du SBG2. « Il est néanmoins difficile de dire quel impact auraient eu des locaux de charge de batteries conformes à la réglementation dans l’incendie de Strasbourg compte tenu par ailleurs du départ de feu quasi simultané dans la salle des onduleurs, qui n’est pas explicitement visée par la réglementation ICPE », ajoute-t-elle.
La réglementation ICPE a été construite au départ pour les locaux de charge de chariots élévateurs dans des entrepôts, nous explique Laurent Olivé. « Dans cette configuration, la batterie et le système de charge se situent au même endroit. On ne s’était jamais posé la question de savoir quelles sont les limites de l’atelier de charge. Le retour d’expérience d’OVH montre que, par connexité électrique, il peut y avoir des incidences simultanées, des départs de feu électriques sur les deux équipements en même temps. Il faut donc traiter les deux, sinon on ne traite qu’une source sur deux de l’incendie. »
La notion d’atelier de charge mentionnée dans la réglementation doit donc être entendue au sens large et englober, par connexité, l’ensemble des équipements électriques et locaux associés qui concourent à la charge des batteries.
Deuxièmement, pour faciliter l’intervention des secours, les salles énergie devraient être idéalement dans un bâtiment distinct. « On sait que les contraintes de construction entraînent des projets les plus denses possibles. Dans ces cas-là, les salles énergie doivent être facilement accessibles, au rez-de-chaussée, et dans des locaux coupe-feu et suffisamment résistants pour contenir l’incendie », remarque Laurent Olivé.
Par ailleurs, pour assurer la continuité d’activité, « les salles serveurs devraient être recoupées par des murs et des planchers coupe-feu, surtout si elles assurent des fonctions redondantes ou de sauvegarde entre elles», conseillent les enquêteurs.
Les dispositions constructives de SBG2, conçu pour favoriser les échanges thermiques avec l’extérieur et ainsi réduire la consommation de l’énergie utilisée pour refroidir les équipements, se sont retournées contre l’installation lors de l’incendie.
Concernant l’élaboration des plans d’urgence
Le rapport insiste sur le fait que les exploitants doivent prévoir la mise en sécurité électrique du site. « En l’absence de recoupement suffisamment dimensionné, ils doivent aussi prévoir l’incendie généralisé comme un scénario plausible et prévoir de manière théorique les besoins en eau suffisants. S’ils n’ont pas les réserves nécessaires, ils peuvent en discuter avec le Sdis », conseille Laurent Olivé.
La liaison avec les services d’incendie et de secours gagnerait d’ailleurs à être renforcée d’après les enquêteurs. Le rapport insiste également sur la maintenance préventive des batteries et la nécessité d’avoir une stratégie globale. « Les enseignements de sécurité ne sont pas à prendre individuellement les uns des autres mais dans une approche globale et cohérente », précise Aurélie Papes.
Les recommandations
En fin de rapport, le BEA-RI formule des propositions d’amélioration de la sécurité. La première s’adresse à la Direction générale de la prévention des risques (DGPR) et concerne la définition étendue de l’atelier de charge (locaux qui abritent les batteries et également les équipements qui servent à la charge).
Les deux autres s’adressent à OVHcloud : les enquêteurs recommandent à l’exploitant de tenir compte du retour d’expérience dans la reconstruction ou construction de ses installations, avec notamment des procédures d’urgence de mise en sécurité électrique. Le rapport recommande enfin à OVHcloud de procéder à un audit de l’ensemble de ses installations pour étudier leur vulnérabilité au risque incendie.
Les personnes qui font l’objet de recommandations disposent d’un délai de deux mois, après la publication du rapport, pour faire part au BEA-RI des suites qu’elles entendent y donner. Les réponses seront publiées sur le site. On ne manquera pas d’en faire écho.
Article extrait du n° 583 de Face au Risque : « OVH, Quelles leçons ? » (juin 2022).
Gaëlle Carcaly – Journaliste
Les plus lus…
La profession est sur le chemin de la maturité, comme le montre le défi relevé avec succès pour les prestations…
Cet automne, Nedap France annonce l’acquisition de la société suisse NSP Security Management SA (plus couramment appelée « NSP…
Le 7 février 2023, l'Echa (l'Agence européenne des produits chimiques pour l'UE et les pays de l'EEE - Islande,…
L’Association française pour la prévention des catastrophes naturelles et technologiques (AFPCNT) a présenté, le 26 septembre 2024, les résultats…
La 9e édition du baromètre BDO relatif à la gestion des accidents du travail et des maladies professionnelles s’intéresse…
Entreprise française familiale établie en 1789, Rostaing est reconnue pour la qualité et la durabilité de ses gants, conçus pour…