Technologies

Intégrer l'Hybride IT : un besoin de méthodologie stricte

Retrouvez cet article dans le CIO FOCUS n°137 !

Choisir l'hybride IT

Le 28 mars 2017, CIO a organisé une Matinée Stratégique consacrée à l'Hybride IT. Pourquoi et comment choisir cette stratégie technique ? Les témoins et experts ont répondu avec précision à cette double question.

Découvrir

---

La table ronde « Intégrer l'Hybride IT » a réuni Alain Merle (DINSIC) et Philippe Sersot (CA-SILCA) lors de la Matinée Stratégique CIO « Choisir l'hybride IT » organisée par CIO le 28 mars 2017.

PublicitéAu cours de la Matinée Stratégique « Choisir l'hybride IT » organisée par CIO le 28 mars 2017, la table ronde « Intégrer l'Hybride IT » a réuni Alain Merle (Directeur du Programme de Transformation des Centres Informatiques à la DINSIC) et Philippe Sersot (DGA de Crédit Agricole SILCA). Leurs témoignages ont permis de dresser les règles méthodologiques pour réussir le passage à l'Hybride IT.
Rappelons tout d'abord que la DINSIC est la Direction interministérielle du numérique et du système d'information et de communication. Elle joue le rôle de « DSI groupe » de l'Etat maintenant que le SI de l'Etat est considéré comme un tout au lieu des x SI de chaque administration, établissement ou ministère. Crédit Agricole SILCA (CA-SILCA) est également une « DSI groupe » mais pour le Crédit Agricole et gère ainsi autant le SI de la holding de tête que de filiales comme le Crédit Lyonnais. Dans les deux cas, il existe un immense Legacy qui ne doit pas empêcher de bénéficier des avancées technologiques.

Le seul bon cloud est le cloud adapté

Si la première table ronde de la Matinée Stratégique a permis de démontrer l'intérêt du cloud, il reste une question essentielle : comment adopter le bon cloud pour le bon usage ? « Il faut être humble et pragmatique, accepter de faire des essais » a répondu Philippe Sersot. Cela implique la capacité de revenir en arrière si une erreur a été commise. Au delà des technologies, l'adoption de l'hybride IT a une conséquence sur l'état esprit de la DSI. Pour Philippe Sersot, « il faut se repositionner en broker de services avec une vue de bout en bout sur la sécurité, l'authentification, la performance... »
L'approche service implique de toujours se demander pourquoi on doit adopter tel ou tel choix. Reprenant l'argument de Carlos Goncalves, grand témoin de la Matinée, Philippe Sersot a confirmé : « si vous avez une taille critique, le choix du IaaS a effectivement peu d'intérêt sauf pour avoir une certaine flexibilité pour les pics de charge, donc en débordement, mais il vaut mieux se diriger vers le PaaS. » Et, toujours, expérimenter. Il faut savoir faire un pas, tirer le bilan, et décider de poursuivre ou bien de reculer pour faire un autre choix. Pour tirer un vrai bilan de chaque test, pour Philippe Sersot, « il faut examiner l'ensemble des problématiques comme la sécurité de bout en bout, la supervision de bout en bout, la facturation des éditeurs de logiciels (avec quelques surprises parfois), etc. Mais tout mettre à plat formellement avant d'avancer un orteil, c'est juste impossible. »

PublicitéLa conformité réglementaire reste une difficulté

Pour l'heure, le Crédit Agricole n'a basculé dans des clouds externes que des systèmes annexes, souvent en SaaS. La conformité réglementaire n'était donc pas un vrai problème jusqu'à présent. Mais, encore une fois, comme Carlos Goncalves, directeur des infrastructures informatiques de la Société Générale, Philippe Sersot aborde maintenant les discussions de fond avec les grands prestataires de Cloud public pour être en mesure de respecter la réglementation, notamment du point de vue de l'auditabilité permanente des infrastructures.
Les obligations réglementaires, notamment en terme de sécurité, sont évidemment également très importantes dans le secteur public et plus spécialement encore dans les administrations d'Etat. Pour l'Etat, l'enjeu est cependant avant tout économique. Il s'agit bien de rationaliser, d'industrialiser et au final d'économiser sur les frais de fonctionnement comme avec le RIE (Réseau Interministériel de l'Etat). Actuellement, l'un des grands chantiers de mutualisation concerne les datacenters, chaque ministère ayant encore souvent sa propre infrastructure. « Le fait que le SI de l'Etat ait été placé il y a deux ans sous la responsabilité du Premier Ministre, dans les services duquel se trouve la DINSIC, nous donne plus de latitude pour engager des transformations » a expliqué Alain Merle.

Des projets nombreux

Rationaliser, cela implique de nombreux projets. Alain Merle a indiqué : « nous allons passer d'environ 160 datacenters à moins d'une vingtaine à l'horizon de dix ans. » Et comme tout projet qui dépasse un certain seuil budgétaire réglementé suppose l'intervention de la DINSIC pour avis ou audit, celle-ci sera aussi en mesure d'en vérifier la conformité aux règles, notamment de sécurité mais aussi de recours à la mutualisation. La diminution du nombre de datacenters va d'ailleurs se traduire surtout par une concentration sur quelques sites, ce qui suppose la mise en place d'une offre de service du « propriétaire » de l'infrastructure pour ses « clients », même si l'un et les autres sont des administrations d'Etat.
Mais la suppression de certains sites ne se fera pas de manière isolée. « Tout décommissionnement de datacenter sera l'occasion de transformer le SI » a jugé Alain Merle. Ce sera en effet parfois l'occasion de changer les technologies obsolètes du Legacy pour adopter de nouvelles technologies. Pour Alain Merle, ce chantier est « l'occasion de décider ce qui va rester du Legacy, ce qui va basculer en mode cloud, etc. ». D'ores et déjà, il existe une offre de service interministérielle, en mode baies nues alimentées, sur quatre plates-formes techniques, disponibles pour chaque administration qui voudrait fermer un datacenter. Simultanément, une offre cloud hybride a été créée.

Le recours de l'Etat au cloud public

Qui dit cloud hybride, dit cloud privé et cloud public. La refonte des datacenters ministériels va permettre la création d'une offre de cloud privé. Mais que va-t-il en être en matière de cloud public ? Peut-on y mettre la gestion des impôts ou des permis de conduire ? « Nos systèmes métier seront destinés à rester dans des clouds privés ou privatifs mais pour des systèmes non-sensibles, il peut être pertinent de recourir à du cloud public, donc externe » a observé Alain Merle. Ce sont les maîtrises d'ouvrage qui vont garder la responsabilité du choix.
Le choix est aussi un soucis au Crédit Agricole mais les règles posées ne sont pas forcément toujours très claires. Philippe Sersot a relevé : « très souvent, c'est une interprétation de la réglementation par nos services internes de contrôle de conformité plus qu'une politique explicite imposée par les autorités de tutelle. Beaucoup veulent toujours laver plus blanc alors que des portes pourraient être ouvertes que nous n'ouvrons pas. Pour notre performance, c'est l'IT qui pousse les responsables conformité à accepter une externalisation, ce qui est paradoxal quelque part. »

Savoir classer dans la bonne catégorie

Globalement, avant de faire un choix précis, il faut classifier les briques de l'IT. Il y a les briques sans valeur ajoutée qui gagnent à être externalisées pour coûter moins cher. A l'inverse, il y a les éléments trop sensibles pour être externalisés mais avec lequel il n'y a pas grand chose à faire si ce n'est le conserver en tentant d'en limiter les coûts. Dans ce cas, il faut « faire avec » et, selon le mot de Philippe Sersot, « essayer de limiter le désavantage concurrentiel ». Enfin, il y a les briques les plus évoluées et sensibles où il faut investir massivement pour en tirer un maximum de valeur et qui, bien sûr, ne peuvent pas du tout être externalisées.
En termes de méthodologie, a insisté Philippe Sersot, « il ne faut pas avoir d'approche par couche technique mais par tranches de SI. »

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article