Nicolas Fournier (DGNUM, Ministère des Armées) : « nous choisissons nos combats pour garantir notre souveraineté »


Adopter la bonne stratégie pour les métiers
Etre un stratège, c'est choisir. Etre un bon stratège, c'est donc faire les bons choix au bon moment. Et, le cas échéant, il faut savoir changer de choix si la situation évolue. Lorsque les métiers réclament une IT agile, c'est cela : une IT qui s'adapte à leurs besoins, même lorsque leurs...
DécouvrirAyant succédé en août 2020 au vice-amiral d'escadre Arnaud Coustillière, l'ingénieur général de l'armement Nicolas Fournier est aujourd'hui le directeur général du numérique et des systèmes d'information et de communication du Ministère des Armées. La souveraineté est évidemment un sujet majeur pour les armées françaises mais elle doit être bien comprise, avec des choix pertinents, en se concentrant sur les vraies problématiques sans s'attacher à des questions secondaires.
PublicitéCIO : Quelle est aujourd'hui la place de la DGNUM [Direction Générale du Numérique] au Ministère des Armées ?
Nicolas Fournier : La DGNUM est une véritable « DSI groupe » du Ministère des Armées. Elle constitue un « étage stratégique » car elle est en charge de la définition de la stratégie IT en concertation avec ceux que nous nommons nos « grands actionnaires », c'est à dire le « Top 3 » du ministère que forment le chef d'état-major des armées [CEMA], le délégué général pour l'armement et la secrétaire générale pour l'administration. Si la DGNUM est elle aussi directement rattachée à la ministre, rien ne se fait sans concertation avec ce Top 3 afin que la stratégie IT soit bien commune.
La DGNUM propose la stratégie, anime la gouvernance et vérifie que les consignes données sont bien appliquées (et applicables, grâce à une boucle de rétro-action dans une logique d'amélioration continue). Nous avons aussi une mission d'assistance et de conseil autant aux armées qu'à la DGA [Direction Générale de l'Armement], au SGA [Secrétariat Général pour l'Administration] et à la Ministre.
Enfin, en tant que directeur général du numérique, je suis aussi l'administrateur ministériel des données, des algorithmes et des codes sources, c'est-à-dire le « Group CDO » du Ministère des Armées.
En somme, nous fonctionnons comme une DSI groupe d'une grande entreprise civile avec les mêmes degrés de complexité des process et des organisations.
En termes de ressources humaines, je m'appuie sur une équipe d'une cinquantaine de collaborateurs avec des parcours variés et complémentaires, constituée de militaires des armées, d'ingénieurs et de cadres administratifs.
CIO : Du coup, si vous êtes « DSI groupe », il existe donc des « DSI métiers »...
Nicolas Fournier : Nous sommes au service de tous les métiers du ministère. Notre objectif est de permettre à tous les domaines de remplir au mieux leurs missions grâce à une IT adaptée. Pour cela Nous avons mis en place en 2021, sous l'impulsion de la ministre Florence Parly, une nouvelle organisation, qui se veut plus simple et plus lisible, notamment en terme de responsabilité, à l'instar des modèles les plus courants des grandes entreprises.
Outre la « DSI Groupe », il y a donc un niveau « DSI domaine », au plus près des métiers. C'est à dire une DSI par grands domaines, en support du métier ou d'un groupe cohérent de métiers comme par exemple la DSI RH, la DSI de la maintenance terrestre, etc. Ils maîtrisent le portefeuille applicatif et fournissent les services attendus par les métiers dans une démarche produit, c'est-à-dire sur tout le cycle de vie. Les évolutions mineures du SI sont réalisées en interne des « DSI domaine ». Quand les évolutions sont plus structurantes, le projet est mené par l'AND (Agence du Numérique de Défense).
Celle-ci utilise, consomme, le « socle » qui est un ensemble de « biens communs » au niveau ministériel et lui-même porté par une « DSI socle », tout simplement. Nous avons en effet notre propre réseau télécom, y compris au-delà de la Métropole, nos propres hébergements et services utilisateurs, mis en oeuvre par un opérateur ministériel militaire. Ce socle est mutualisé mais aussi optimisé autant que de besoin pour chaque usage. Et, bien entendu, il est sécurisé.
Publicité
CIO : Du coup, vous avez déjà évoqué l'AND, quels sont les autres acteurs de l'IT au sein du ministère ?
Nicolas Fournier : Le premier, je viens de l'aborder est la Dirisi [Direction interarmées des réseaux d'infrastructure et des systèmes d'information]. Cette direction mise en place depuis 2004 est l'opérateur ministériel et le maître d'ouvrage du socle. C'est un organisme inter-armées, sous l'autorité du CEMA et au service de tous les métiers du ministère.
Le Commandement de la Cyberdéfense, ComCyber, est responsable de la lutte informatique défensive. Il définit les moyens de protections, comme par exemple l'architecture d'interconnexion entre notre infrastructure réseau et les réseaux externes (Internet, Réseau Interministériel de l'État...), qu'il surveille et protège. Si le ComCyber détecte un événement anormal, il peut décider seul de tout couper, sans avoir à attendre mon avis ou celui de quelqu'un d'autre, et enquête sur les événements en partenariat avec l'ANSSI [Agence nationale de la sécurité des systèmes d'information].
L'Agence du Numérique de Défense [AND] est sous l'autorité du DGA et sa gouvernance est réalisée en commun avec tous les domaines. Elle conduit les projets comme maîtrise d'ouvrage déléguée des DSI domaines et gère la totalité du cycle de vie des applications, de l'expression de besoins au décommissionnement. C'est une différence importante avec les systèmes d'armes, pour lesquels la responsabilité de la DGA s'arrête généralement à la livraison aux forces des systèmes conçus et réalisés. L'AND est aussi la maîtrise d'ouvrage déléguée de la Dirisi pour les projets du socle (réseaux, hébergements, passerelles, intranets, etc.).
Outre la conduite des projets, l'AND a également une mission de conseil au profit des domaines et métiers du ministère. Cela doit permettre de mutualiser les efforts et les investissements. Par exemple, si deux domaines ont des besoins proches, l'AND va essayer de rapprocher les architectures IT choisies pour répondre aux besoins des deux domaines.
Un de mes objectifs est de limiter le foisonnement des projets et d'opter autant que possible pour la mutualisation des solutions. Il y a bien évidemment une motivation économique pour négocier des contrats plus avantageux avec nos fournisseurs mais également une motivation de maîtrise, de modernisation et de remplacement du parc SI.
CIO : Avec vos contraintes, notamment de sécurité, optez-vous pour le cloud ?
Nicolas Fournier : Bien entendu, nos datacenters sont dans des bases militaires et connectés via notre réseau propre.
Quand je parle de cloud, je parle de technologies que l'on peut consommer en tant que services et que nous pouvons déployer dans nos propres infrastructures. Sous l'égide de la Dirisi, la colonne vertébrale du réseau et nos datacenters ont bénéficié depuis le début des années 2000 de très importants investissements, y compris en termes de bâtiments, d'électricité, de climatisation.
Pour le cloud, une question qui s'est posée était de savoir s'il valait mieux repartir de zéro ou investir à partir des offres disponibles. Nous avons choisi de réinvestir sur nos infrastructures en les cloudifiant et les modernisant progressivement puis en migrant les applicatifs en environnement cloud au fur et à mesure, tout en formant progressivement les personnels à ces nouvelles approches.
L'un de nos objectifs est de généraliser de plus en plus l'usage du DevSecOps, que nous devons adapter à nos contraintes de sécurité.
CIO : Justement, comment gérez-vous la confidentialité ?
Nicolas Fournier : Nous possédons des réseaux (Intranet) de différents niveaux de protection en fonction des usages. Le plus commun et le plus diffusé est notre intranet « DR » [« Diffusion Restreinte », NDLR], apte à gérer des informations pour les activités courantes et de soutien. C'est un grand réseau d'entreprise de 200 000 utilisateurs, offrant une connectivité sécurisée de la métropole jusqu'aux théâtres d'opérations, et un hébergement de données résilient (datacenters).
Pour le « secret défense », qui concerne quelques milliers d'utilisateurs, nous utilisons un intranet spécifique avec un chiffrement souverain, c'est à dire dont nous maîtrisons la cryptographie. C'est un réseau qui nous permet aussi d'échanger avec nos partenaires tels que l'OTAN.
Concernant les hébergements ne nécessitant pas de protection particulière, nous pouvons recourir à du cloud externe, conformément à la récente doctrine cloud de l'État.
CIO : Vous pilotez un ensemble assez complexe et avec des situations de terrain très variées. Du coup, quelle est l'autonomie IT locale ?
Nicolas Fournier : Le socle est basé sur une architecture d'hébergement « centralisée » autour de datacenters nationaux. Mais il y a d'évidents besoins de stockage local. Du fait de la topologie de nos déploiements, nous avons des capacités réseaux hétérogènes, de la fibre à la radio tactique en passant par des activités sans connectivité permanente. Nos flux ne passent pas par Internet et nous avons d'importantes contraintes de « transmissions ». Du coup, il existe des datacenters locaux, dit « métiers », qui sont des essaimages des technologies déployées centralement. Nous avons aussi des « hubs » de données sectoriels.
Sur les théâtres d'opérations, nous visons à mettre en place progressivement des « clouds de combat », par exemple au niveau d'un groupe aéronaval. L'un des enjeux majeurs est la connectivité : il est compliqué d'avoir des intranets sécurisés quand on n'a pas de ressources télécoms abondantes. Les réponses techniques aux problèmes seront variées selon les situations. Par exemple, au niveau d'un groupe aéronaval, nous pouvons mettre en place des boucles IP radio avec transfert à vue directe ou avec rebond satellitaire, avec des protocoles d'échange spécifiques. Mais l'usage d'un rebond satellitaire n'est pas toujours pertinent face à certains usages car il entraîne une latence. De plus, certains outils IT ont une adhérence forte aux systèmes d'armes.
CIO : Concernant les grands projets, avez-vous tiré les leçons de l'échec de la paye Louvois ?
Nicolas Fournier : De ce point de vue, nous sommes dans la même situation que nos confrères des autres ministères. Tous les grands projets de SI d'administration et de gestion de l'Etat sont désormais sous le contrôle de la Dinum [Direction Interministérielle du Numérique]. Les bonnes pratiques de pilotage (bien définir les besoins, les priorisations, procéder par incréments, etc.) sont souvent rappelées et sont désormais systématiques. Ce sont peut-être de vieilles recettes mais elles ont fait leurs preuves.
Tout cela a été intégré pour le programme de paye Source Solde. Celui-ci est aujourd'hui livré et opérationnel. L'enjeu est aujourd'hui de conserver l'approche produit dans son maintien en conditions opérationnelles et ses évolutions.
Le succès de Source Solde a d'ailleurs servi de modèle lors de la création de l'AND qui, aujourd'hui, en a récupéré la maîtrise d'ouvrage déléguée. Le prochain gros chantier du domaine RH a d'ailleurs été confié à l'AND : il s'agit de réaliser un SIRH ministériel. Les retours, positifs avec Source Solde et négatifs avec Louvois, ont servi de leçons pour l'AND et pour la conduite des grands projets.
CIO : Une informatique collaborative dans le secteur de la défense est-elle un oxymore ?
Nicolas Fournier : Non, pas du tout ! Au sein du Ministère des Armées, nous avons tout fait pour développer les outils collaboratifs tels que le partage de documents, la messagerie instantanée, la visioconférence, etc. et pour faciliter le télétravail. Ces outils sont très opérationnels et très utilisés. Concernant le télétravail, un de nos défis a été l'usage du VPN « diffusion restreinte ». L'objectif est de disposer des mêmes droits d'accès chez soi et au bureau sur les ordinateurs portables dédiés.
Malgré tout, certaines choses ne sont pas permises sur les PC nomades « diffusion restreinte » et ne sont possibles que sur des postes dédiés fixes, dont la mobilité est interdite, et situés dans des locaux sécurisés.
CIO : En particulier pour la bureautique collaborative, mais généralement pour tous les applicatifs, comment réalisez-vous vos choix afin de garantir la souveraineté numérique ?
Nicolas Fournier : Le premier principe est celui de l'autonomie d'emploi. C'est à dire que nous devons pouvoir utiliser l'applicatif à tout moment, indépendamment d'internet, ce qui exclut totalement le recours au cloud Azure par exemple (comme AWS ou autres)... Nous avons aussi des maîtres-mots : la sécurité, l'intégrité, la résilience, la confidentialité... Quand nous parlons de « confidentialité », cela implique de savoir quel est l'effort à fournir par un attaquant pour accéder aux données. Nous maîtrisons par exemple les choix d'algorithmes de chiffrement (les algorithmes de chiffrement des intranets « secret défense » sont conçus en interne et sont spécifiques) ainsi que les architectures des éléments clés de conception du SI. Nous devons également connaître les conditions de réversibilité de nos choix d'approvisionnement.
Nous choisissons donc nos combats pour garantir notre souveraineté : si sur certains sujets, peu nombreux mais stratégiques, nous pouvons choisir de maîtriser tout de A à Z, pour d'autres nous ne menons pas certains combats qui n'en valent pas la peine au regard des coûts en jeu. Clairement, nous voulons maîtriser certaines couches basses mais les systèmes d'exploitation, ce n'est pas la peine. Et nous n'avons pas de réticence à utiliser des logiciels d'éditeurs comme Microsoft, Oracle ou VMware (en dehors de considérations tarifaires).
Mais, par contre, nous maîtrisons totalement l'hébergement des données. Le vrai combat n'est pas le logiciel mais les données. Elles ne doivent pas être stockées et traitées n'importe où...
Par exemple, pour l'usage par les métiers des clouds externes, la DGNUM est donneur d'autorisation. Ainsi, nous vérifions régulièrement qu'il n'y a pas de dérive dans les attributions de visas d'utilisation, de syndrome de glissement en quelque sorte, par soucis de facilité.
Notre position est cependant plus pragmatique que dogmatique. Mieux vaut fabriquer des microprocesseurs plutôt que des systèmes d'exploitation. Il faut être conscient de nos dépendances véritables.
Je salue la position courageuse de la Dinum sur Office 365. Microsoft a du mal à comprendre que l'on veuille conserver nos données sur nos réseaux. Même si, parfois, c'est moins confortable ou cela nous oblige à recourir à des anciennes versions de logiciels.
Le ministère a pris à bras le corps le « fait numérique », c'est une sorte de révolution. Les chefs militaires ont pris réellement conscience des enjeux du numérique et de l'importance de sa maîtrise.
CIO : Pour atteindre tous les objectifs que vous avez évoqués, vous avez besoin de ressources humaines. Est-ce un défi particulier pour le Ministère des Armées ou avez-vous la même situation que les autres administrations ?
Nicolas Fournier : Nous disposons, pour concevoir et opérer le système d'information et de communication des armées, de 17 000 militaires et de 5000 civils. Développer l'attractivité et la fidélisation sont évidemment des enjeux pour ces deux populations. Nous recrutons énormément au ministère des Armées en termes d'IT : cyberdéfense, projets, développement, opérateurs IT...
Côté attractivité, clairement, nul ne rentre dans la fonction publique ou au ministère des Armées dans le domaine numérique uniquement pour l'argent. La singularité des missions et la quête de sens sont des facteurs évidents d'attractivité. Cependant, les talents se paient et il faut éviter le décrochage au niveau de la rémunération. Aussi, des efforts importants ont été faits et continuent. En parallèle, nous développons une offre de formation interne de reconversion pour les personnels des autres métiers intéressés par le numérique.
Un autre facteur d'attractivité est notre choix de ne pas hypertrophier la taille de nos équipes en région parisienne. Lors de sa mise en place, l'un des enjeux de l'AND a d'ailleurs été de répartir ses équipes, au plus près des métiers et donc en régions. Du coup, nous offrons ainsi de meilleures conditions de vie à nos personnels. Pour fidéliser, nous développons des parcours professionnels intéressants. Nous alternons par exemple les parcours entre des postes opérationnels et des postes plus sédentaires.
Avis aux intéressés : les métiers de l'IT au ministère des armées sont variés et passionnants, et les défis ne manqueront pas dans les prochaines années !
Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire