Que se passe-t-il quand tu effaces tout ? Trois minutes, ou trente heures.

L'année dernière, lors de la conférence annuelle d'un framework open source dont tu as sûrement entendu parler, je me suis approché du fondateur dans une salle à l'écart de la scène principale. Il était penché sur son ordinateur portable, complètement stressé. On se connaît depuis quelques années.

« Qu'est-ce qui se passe ? Tout va bien ? »

Il a levé les yeux avec cette expression que seuls les Blancs ont quand ils réalisent qu’ils ont fait une grosse erreur.

« J’ai tout effacé. »

Pas « quelque chose ne marche plus ». Pas « je crois qu’il y a un problème ». Il avait effacé l’environnement qu’il avait mis un temps fou à préparer. La version qu’il s’apprêtait à lancer en direct depuis la scène dans trente minutes, devant quelques milliers de développeurs, sans compter le livestream.

Puis son visage s’est détendu. Il a dit : « Attends. Upsun a des sauvegardes automatiques. »

Un seul bouton. Trois minutes plus tard, tout était de retour. La démo, les données, la configuration. Il a eu le temps, avant de monter sur scène, d’ajouter une diapositive à la présentation pour nous remercier de lui avoir sauvé la mise.

Je raconte souvent cette histoire. D'habitude, comme un moment marrant d'une conférence. Cette semaine, ça a cessé d'être marrant.

Nouvelle semaine, un autre fondateur

Un fondateur nommé Jer Crane dirige une entreprise SaaS appelée PocketOS. Vendredi dernier, comme l’a rapporté The Register, son agent de codage IA, Cursor fonctionnant sous Claude Opus 4.6, a décidé de corriger une incompatibilité d’identifiants en supprimant sa base de données de production sur Railway. Ça a pris neuf secondes. L’agent a trouvé un jeton API sans rapport avec le sujet mais doté de larges autorisations, a accédé à un point de terminaison de Railway et a supprimé le volume. Les sauvegardes au niveau du volume ont disparu avec, car Railway les stocke dans le même volume.

Crane a ensuite attendu environ trente heures, principalement pendant le week-end, avant que le PDG de Railway n'intervienne personnellement dimanche soir pour récupérer les données.

Lis le compte-rendu. Crane a bien géré la situation. Il est honnête quant aux erreurs humaines en cause. Le PDG de Railway, Jake Cooper, a été direct sur ce qui s’est passé : « si toi (ou ton agent) t’authentifies et appelles delete, on honorera cette requête. » Leur API suivait la sémantique classique de l’ingénierie. Tu appelais destroy, ça détruisait.

Crane a résumé ce qui a changé : « Une clé API ne devrait être accessible qu’à un humain, ce qui est vrai et a toujours été le cas. Maintenant, quand un ordinateur prend le contrôle et que tu ne sais pas ce qu’il fait, que se passe-t-il ? »

Ce que signifient vraiment les « mesures de sécurité d'entreprise »

L'architecture de sauvegarde est le point fort, et pas seulement un argument marketing. Upsun effectue par défaut une sauvegarde automatisée par jour pour les environnements de production, avec un calendrier configurable qui permet d'en faire plus si tu le souhaites. Ces sauvegardes automatisées sont toujours en direct, elles ne mettent donc pas ton site en pause pour s’exécuter. Et voici la partie qui importe dans cette situation, citée directement de la section sur l’emplacement de stockage physique de la documentation : « Les sauvegardes sont stockées sous forme de grands objets binaires séparés de tes environnements. Ce stockage est répliqué sur plusieurs centres de données situés à différents endroits au sein de la région où ton projet est hébergé. »

Relis ça. Séparément de tes environnements. Répliqué à travers les centres de données. C’est là la différence structurelle. Le « tout supprimer » des fondateurs du framework était une opération destructrice visant son environnement. L’instantané de son environnement ne se trouvait pas dans le même stockage, il a donc survécu.

Il existe une deuxième couche de protection en dessous. Lorsqu’un projet est supprimé sur Upsun, la plateforme effectue une dernière sauvegarde « tombstone » des environnements actifs et du dépôt Git, conservée entre 7 jours et 6 mois. Même une suppression complète du projet laisse une piste de récupération.

Le clonage d’environnement au niveau des octets est la fonctionnalité associée pour les travaux de prévisualisation et de mise en place. Chaque branche Git ou pull request peut générer un clone au niveau des octets de l’environnement de production, données et services compris, afin que ton environnement de test corresponde à ton environnement de production. L’architecture qui rend cela rapide est la même que celle qui rend la restauration rapide.

Conformité et certifications détenues directement par Upsun : ISO 27001, SOC 2 Type 2, PCI DSS Niveau 1, HIPAA et TX-RAMP, ainsi que la validation pour IBM Cloud Financial Services. C’est la raison pour laquelle ton équipe de sécurité te laissera déployer.

Rien de tout cela n’est nouveau. Chacune de ces fonctionnalités existe parce que quelqu’un, quelque part, il y a dix ans, a passé un vendredi soir comme celui de Crane et que nous avons construit ce qui aurait permis d’éviter que cela se produise.

Le compromis révélé par l'ère de l'IA

Les plateformes de codage augmentées par l’IA sont optimisées pour une seule chose : la vitesse à laquelle un développeur (ou un agent) passe de l’intention au code exécuté. Elles le font bien. Le coût, jusqu’à récemment, était que la surface d’« action destructrice » était suffisamment petite pour qu’un humain attentif puisse la surveiller.

L’agent a changé la donne. Un agent de codage autonome peut émettre plus d’appels API en neuf secondes qu’un humain n’en émettrait en une semaine. Il trouvera des jetons que tu avais oublié avoir générés. Il lira de la documentation que tu avais oublié avoir écrite. Et il décidera, de temps à autre, de supprimer ta base de données de production pour corriger une faute de frappe.

La question n’est pas de savoir si le marketing de ta plateforme affirme qu’elle est sûre. La question est de savoir si l’API de la plateforme traite un appel destructeur de ton agent de la même manière que la politique de sécurité de ton entreprise traite un appel destructeur d’un stagiaire. Si la réponse est « de la même manière », tu as un problème dont ton contrat ne t’a pas averti.

Upsun gère des charges de travail de production pour des entreprises depuis plus de dix ans. Si nous avons mis en place des sauvegardes automatisées, un stockage isolé des snapshots, un clonage octet par octet et une infrastructure définie en YAML, ce n’est pas parce que ça faisait bien dans un pitch deck. C’est parce que nous avons vu suffisamment de vendredis soirs tourner au cauchemar pour savoir ce qui te protège contre eux.

Trois minutes

Le fondateur du framework est monté sur scène ce jour-là. Il a lancé son projet. Il nous a remerciés depuis la scène devant sa communauté. L’anecdote sur la suppression a été intégrée à son discours d’ouverture car, selon lui, la récupération était la chose la plus ennuyeuse qui pouvait arriver. Appuie sur le bouton, attends trois minutes, continue.

C'est ça, la norme. Pas zéro panne, parce que quiconque te promet zéro panne essaie de te vendre quelque chose. La récupération est tellement ennuyeuse qu'elle devient une diapositive.

Crane a dit quelque chose à la fin de son bilan qui me trotte dans la tête. « L'apparence de sécurité, grâce à l'hyperbole marketing, n'est pas la sécurité. » Il a raison. Les mesures de sécurité sont des mesures de sécurité, ou elles ne le sont pas. Elles fonctionnent un vendredi à 17 h, ou elles ne fonctionnent pas.