« Le libre, clé de voûte de votre SI » : différence entre les versions

Titre : Le libre la clé de voûte de votre système d'information - Table ronde

Intervenants : Olivier Jousselin - Stéphane Dumond - Nicolas Kaiser - Buno Marand

Lieu : Nanres - Rencontre régionales du Logiciel Libre

Date : Septembre 2014

Durée : 47 min 48

Pour visionner la vidéo de la table ronde : Le libre la clé de voûte de votre système d'information

00' transcrit MO

Olivier Jousselin : Bonjour à tous et à toutes. Nous commençons la table ronde intitulée « Le libre la clé de voûte de votre système d'information ». Nous avons trois personnes avec nous qui ont des choses très intéressantes à nous dire sur le sujet. Je vais les présenter rapidement : à ma gauche le chef d'escadron Stéphane Dumond, qui travaille pour la gendarmerie nationale au département du système d'information et qui gère tout ce qui est postes de travail et serveurs locaux. Il a beaucoup de postes de travail dans son périmètre et il a une approche très orientée libre, il nous en parlera. Ça fait cinq ans c'est ça, que vous êtes sur ce projet-là.

À sa gauche Nicolas Kaiser, qui est responsable des systèmes d'information chez Convenant, un groupe articulé autour des véhicules automobiles. Ce n'est pas la gendarmerie nationale en volume, mais c'est quand même 650 collaborateurs et un peu moins de trois cents millions d'euros de chiffre d'affaires. Lui, il est chez Convenant depuis dix ans, c'est lui qui a mis en place tout le système d’information, donc il a une connaissance, évidemment, en profondeur et il vous racontera un peu en détail où est-ce qu'il a utilisé du Libre, pourquoi, comment, et ce qu'il en a retiré.

Et enfin Buno Marand, qui est directeur des études et du développement à la Macif. Je ne vous présente pas la Macif, vous devez connaître. Il est à ce poste depuis, je ne sais plus, j'ai oublié de lui demander

Buno Marand : 27 ans de Macif.

Olivier Jousselin : 27 ans de Macif. Il a parcouru d'autres postes avant, à la production, à l'architecture et aujourd'hui il a tous les projets de système d'information qui passent entre ses mains.

Et moi, donc je suis Olivier Jousselin, je dirige une société de conseil en Systèmes d'Information. On accompagne nos clients dans la maîtrise et l’évolution de leur système d'information à tous les niveaux, notamment libre, mais plutôt hétérogène évidemment.

Alors tout de suite je vais passer la parole à M. Dumond pour qu'il que vous nous disiez pourquoi le Libre et comment la stratégie du Libre, comment vous en êtes venu là, en quelque sorte. Qu'est-ce qui vous a motivé et qu'est-ce que vous en attendez ?

Stéphane Dumond : Merci. Bonjour à tous et à toutes. Avant de commencer ce défi de synthétiser, en moins de cinq minutes, douze ans de stratégie de Libre en gendarmerie, je voudrais rapidement représenter ce que constitue la gendarmerie nationale, que vous connaissez tous. Qui a dit malheureusement ? Non. La police de la route, les PV que vous prenez c'est vraiment une partie très infime du métier de la gendarmerie, on ne fait pas que ça heureusement.

Donc, la gendarmerie, c'est constitué de 95 000 personnes, réparties en métropole et en outremer sur environ 4500/5000 sites distants. Donc ce facteur d'échelle est très dimensionnant quand on parle de stratégie au niveau d'une DSI. Pour résumer en quatre minutes la stratégie du Libre en gendarmerie, ce n'est pas compliqué, il y a juste un seul mot à retenir, c'est indépendance. Voilà ! Une stratégie d'indépendance, une volonté d'indépendance vis-à-vis des éditeurs qui pourraient nous imposer leurs choix techniques et/ou commerciaux et, quelque part, conserver une part de souveraineté numérique chère à la ministre de l’Économie numérique Fleur Pellerin, à l'époque.

Donc indépendance. Indépendance ça passe par quoi ? L'indépendance passe, déjà, par la maîtrise de l'ensemble des briques logicielles qui constituent le système d'information en gendarmerie. Et ça va du data-center jusqu'au poste de travail, en passant par les relais locaux, les serveurs locaux dont j'ai la charge. Cette indépendance passe par cette maîtrise, à la fois maîtrise technique d'où le recours au logiciel libre, puisqu'on peut avoir accès au code et donc le modifier pour pouvoir l'adapter à ses besoins. C'est le cas, pare exemple de Firefox. À une époque, on a modifié le code de Firefox, on a recompilé Firefox, pour permettre l'accès notamment aux sites https sur Internet via notre passerelle intranet. Voilà. Donc on a eu besoin d'avoir accès au code source pour pouvoir intégrer cette brique logicielle au sein de notre système d'information en fonction du besoin qu'on avait.

Donc cette maîtrise technologique conduit à urbanisation de l'ensemble de ces briques qui doivent interopérables entre elles, bien sûr, mais surtout interchangeables. C'est-à-dire qu’on peut prendre une brique logicielle, je vais rester sur le cas de Firefox, et de pouvoir être capables de l'enlever et de la remplacer par une brique, sans grande conséquence sur l'ensemble du SI. Le cas de Firefox est intéressant puisqu'à l'époque Mozilla a cherché à suivre le rythme effréné des montées de versions imposées par Google pour Chrome, et donc nous a pondu une nouvelle version tous les deux mois. Dans un grand groupe, c'est impossible à suivre en termes de montée de version. Donc, avant que Mozilla nous fasse un Firefox ESR, on a maquetté le changement de la brique Firefox par Chromium et on s'est aperçus, qu'en fait, en une journée on était capables de le faire, en compilant le code, etc. et en une semaine on pouvait l'intégrer sans problème sur l’ensemble de notre parc informatique. Donc on est capables de prendre une brique logicielle et vraiment de la remplacer. On est toujours indépendants des volontés des éditeurs.

Cette indépendance est aussi une volonté d'indépendance des choix non seulement techniques, mais aussi économiques. Je vais prendre l'exemple de la migration, enfin de la fin de support de Windows XP, 8 avril 2014. En gendarmerie, au 8 avril 2014, il nous restait environ une trentaine de milliers de postes de travail sous Windows XP à migrer. Là vous avez deux solutions : soit vous avez anticipé l'affaire et prévu une stratégie qui vous permette de rester indépendant et d’être capable de changer les différentes briques, et donc de passer à un système, un OS alternatif, donc en l’occurrence Ubuntu, dont je parlerai plus longuement tout à l'heure.

Olivier Jousselin : On en reparlera un petit peu plus tard, oui.

Stéphane Dumond : Voilà. En l’occurrence passer à Ubuntu, ou bien vous crachez au bassinet et vous installez Windows 7 sur votre parc. Et vous n'avez pas le choix ! L'important, en termes d'indépendance, c'est d'avoir le choix. Ce n'est pas vraiment le choix qu'on fait, quel que soit le produit qu'on rajoute, c'est d'avoir le choix. D’être capable de se dire « Voilà, ce produit-là je le veux, je le mets, mais c'est moi qui décide. Ce n'est pas parce qu'on me l'impose, pour des raisons économiques, pour des raisons technologiques ».

Olivier Jousselin : Merci. Oui, c'est une approche intéressante. C'est un choix délibéré.

Stéphane Dumond : Juste pour terminer, pour conclure. Ça c'est la volonté d'indépendance qui, aussi, a un impact, bien évidemment, on revient sur le choix du Libre, pourquoi le Libre ? Donc pour une raison d'indépendance, mais aussi pour une raison de coûts. Voilà. Ça c'est le second volet, je dirais que c'est la cerise sur le gâteau. On est indépendants, on a acquis notre souveraineté numérique, mais à un coût d'acquisition largement moindre par rapport aux solutions propriétaires.

Olivier Jousselin : Merci. Maintenant, nous passons un peu plus à la mise œuvre. Nicolas, donc on est dans l'infrastructure, le bas de l’infrastructure, c'est de la virtualisation. Aujourd'hui je crois qu'il y en a à peu près partout. Comment est-ce que ça s'est passé chez Convenant ? Pourquoi du Libre à cet endroit-là ? Là aussi c’était un choix délibéré, bien sûr ? Qu'est-ce qui l'a guidé ? Est-ce que c'est la même chose ? C'est plus ancien encore.

8' 27

Nicolas Kaiser : Je reconnais beaucoup de choses dans ce que dit Frédéric (NDT, Stéphane ?). Quand je suis arrivé au niveau du groupe Convenant il y avait neuf ERP, répartis sur nos trente sites, qui étaient tous sur des serveurs propriétaires, avec des systèmes UNIX, soit de l'IBM AIX, soit du Siemens ERM. Et on avait une machine Microsoft SQL avec un CRM dessus, qui était en fin de vie, la machine physique, sous Windows NT, et donc il a été question du renouvellement de cette machine. Parallèlement à ça, j'ai commencé à me poser des questions sur la mise en réseau, puisque je venais d'une formation où on mettait de l'Active Directory. Or, dans le groupe Convenant, les PC étaient en groupes de travail, à l'époque, et j'ai eu une opportunité, lors de l’achat du serveur pour le renouvellement du matériel, de pouvoir bénéficier d'une superbe promotion, à savoir « un serveur acheté, un serveur offert ». Ça s'est arrêté depuis, malheureusement. Et donc j'ai voulu profiter de cette plateforme pour pouvoir assurer une sécurité maximale et pouvoir mettre de la redondance au niveau de mes serveurs.

Je me suis alors intéressé fortement à la virtualisation. Il y avait, à l'époque, une seule solution propriétaire disponible, c’était VMware, qui était pour des solutions de réplication multi-serveurs à des tarifs totalement inadaptés au budget informatique de mon groupe. Et donc j'ai récupéré un livre blanc qu'avait édité Smile sur les solutions de virtualisation libres, à l'époque, et donc j'ai passé beaucoup de temps à analyser ça. Et à l'époque, il y avait, pour mon besoin, principalement KVM et Xen qui étaient en concurrence. Sachant que KVM était défini comme un produit en devenir, mais pas forcément à déployer en production, on était en 2006, alors que Xen était déjà déployé en production sur beaucoup de sites.

Donc j'ai fait le choix de tester avec Xen, avec XenSource à l'époque, et donc, on a déployé nos premières machines, donc ce fameux serveur Microsoft SQL et en parallèle un émulateur de PDC avec du Samba 3 et un annuaire LDAP. Par la suite, sur ce couple de serveurs, on est venu ajouter, dans les années 2006/2007/2008, toute la brique, toutes les briques d’infrastructure, donc la messagerie, la gestion de parc GLPI, tous nos intranets sous Apache MySQL, également quelques serveurs Microsoft encore pour, entre autres, la console antivirus.

En 2012, il y a eu le rachat de Xen par Citrix, et on a migré de XenSource vers Xen Cloud Platform, XCP, qui nous a apporté un peu plus de souplesse au niveau de la gestion du multi-machines. Et on a fait encore une migration, là, en début 2014, pour passer à nouveau à Xen, puisqu'ils ont libéré la partie XenServer, donc on est aujourd'hui en XenServer 6.2 et on a aujourd'hui cinq pools de serveurs virtualisés, en fonction du type d'activité ou du type de matériel qu'on utilise et on a 80 serveurs virtuels qui tournent sur cet environnement.

Olivier Jousselin : À l'origine c'était un choix financier. C'était « on n'a pas les moyens d'acheter VMware, donc on va voir autre chose », mais maintenant, huit plus tard, est-ce que tu as des regrets ?

Nicolas Kaiser : Non. Par rapport à nos besoins, je ne suis pas spécialiste des produits VMware, j'en entends plutôt du bien par les gens qui les utilisent. Par contre, tout le monde est d'accord pour dire que les coûts de licence sont très importants.

Olivier Jousselin : Sont élevés, oui.

Nicolas Kaiser : Et puis, également, ce qui m'a conforté dans mon choix, c'est que, à chaque fois qu'on a eu des migrations à faire, on a fait trois grosses migrations de l’environnement de virtualisation, ça c'est fait de manière extrêmement facile, extrêmement souple, sans perte de productivité, sans trop de stress pour l'équipe informatique, etc. Donc beaucoup de souplesse et sans avoir besoin d'aller demander des budgets pour avoir des nouvelles versions.

Olivier Jousselin : Oui. Donc il y a une très bonne réponse aux attentes. Sans pouvoir vraiment faire une comparaison, au moins la solution qui a été retenue répond parfaitement à toutes les attentes.

Nicolas Kaiser : Sur du multi, enfin tel qu'on utilise, donc de la réplication multi-serveurs, c'est tout à fait fonctionnel et XenServer est un produit tout à fait professionnel.

Olivier Jousselin : D'accord. Merci. Je vais demander maintenant à Bruno Marand de nous parler de son expérience avec DNS et DHCP, qui sont des briques auxquelles on ne pense pas toujours quand on monte une infrastructure, mais, malgré tout, c'est utile.

13' 47

Bruno Marand : C'est vrai. Alors je ne vais pas refaire l'historique, puisqu'on n'a pas le temps et ce n’était pas le sujet, de la stratégie « logiciel libre » à la Macif, simplement pour éclairer quand même le choix DNS, DHCP, la stratégie favorisant le logiciel libre à la Macif a été mise en avant en 2004. Mais pour pouvoir vraiment établir et, comment dire, mettre en avant cette stratégie il a bien sûr fallu quelques essais. Et notamment DNS/DHCP en était un.

C'est-à-dire que la stratégie est arrivée, on va dire, plutôt par quelques techniciens qui ont découvert les avantages d'indépendance du logiciel libre, ça c’était très important pour nous, dès le départ. D'interopérabilité aussi, pour tous les informaticiens et pour un groupe comme la Macif il est important que toutes les briques techniques logicielles applicatives fonctionnement entre elles, et le logiciel libre le permet puisque c'est le logiciel libre qui, en premier, implémente, on va dire de façon parfaite, les protocoles et les standards.

DNS/DHCP c'en est un. C'était donc, là on remonte au début des années 2000, 2001, nous avions, à la Macif, dans toutes les régions des serveurs DNS/DHCP, quand il y en avait, ce n'était pas encore obligatoire, on va dire, on pouvait se débrouiller sans à l'époque, vu le nombre de PC et de serveurs. Mais le nombre de PC montant il fallait mettre en place des services DHCP et DNS. Ça paraissait évident.

Quand on m'a contacté c’était pour montrer, donc pour ce colloque, que les grands groupes utilisaient du logiciel libre. Au départ je me suis dit « mais oui, c'est évident, enfin tous, je ne vois pas pourquoi je vais communiquer là-dessus, tous les grands groupes utilisent du logiciel libre ». Et puis, bien sûr, après, je me suis dit que non ce n’était pas si simple que ça, et qu'il était toujours bien de communiquer là-dessus.

Donc DNS/DHCP, deux protocoles standards, ça aide beaucoup, parce que quand on met quelque chose en place dans une entreprise, respecter les protocoles et respecter les standards c'est important. Et là, à cette époque, donc en 2000, c'est bien deux services standardisés.

Pour rappel, DHCP, sans un serveur DHCP, je n'ai pas d'adresse IP, je ne peux pas me connecter. Sans serveur DNS, je n'ai pas de résolution de nom, donc je ne sais même pas atteindre une machine. Donc là on est bien sur deux services qui sont la clé de voûte, je crois que c'est le titre, la clé de voûte du SI, sans ces deux services-là il n'y a rien qui marche.

À l'époque, 2000, on a regardé ce qui existait. Il y avait donc le seul, je crois, d'ailleurs à l'époque en Libre, c'était ISC, de isc.org, donc c'est BIND, qui était très utilisé un peu partout, mais pas dans les grands groupes, qui avaient plutôt des systèmes propriétaires. Nous, on l'a mis en place, en apportant des nouveautés. C'était ça aussi qui nous a permis, c'est qu'on n'avait pas de dynamique, DNS dynamique, BIND l'implémentait, etc. Donc on est arrivé avec une solution qui permettait de centraliser les choses, sur deux serveurs, en failover en plus, donc avec une technologie qui fonctionnait par rapport à notre besoin de sécurité, qui implémentait des protocoles standards, donc qui était interopérable, et qui apportait de la nouveauté. Qui remplaçait un existant qui était assez faible.

Donc un choix. Alors ce sont des techniciens qui ont amené ça, ça n'a pas été, au départ, un choix stratégique en l'an 2000. Dans certains esprits c'était déjà une stratégie, mais c'est arrivé par les techniciens. On a prouvé que le logiciel libre pouvait supporter ce genre de service fondamental pour une entreprise. Ce qui nous a permis ça, plus du MySQL et puis de la page pour les serveurs web. C’était les grands exemples qui nous ont permis après d'établir une stratégie.

Olivier Jousselin : C'est vraiment ça qui a servi de point d'entrée, en quelque sorte. Ça a été vraiment les premiers services qui ont été confiés à du Libre et puis, après, ça a permis de critiquer aussi.

Bruno Marand : Ça a permis de prouver que ça marchait.

Olivier Jousselin : Voilà. De prouver que c’était viable. D’accord merci. Donc, on a monté une infra, on a mis des choses. La question suivante, naturellement, c'est « comment est-ce que je sécurise tout ça ? ». Et là, je me retourne vers Nicolas qui est un spécialiste.

Nicolas Kaiser : La sécurité, bien sûr, c'est un vaste périmètre. Là je vais parler plus spécifiquement de l'accès entre l'entreprise et l'extérieur, donc les firewalls et les VPN. On avait, à l'époque où je suis arrivé dans le groupe, un accès Internet centralisé sécurisé par un firewall PIX, de chez Cisco, qui était une technologie que je connaissais bien, puisque j'ai suivi également un cursus chez Cisco, avec quelques avantages et, selon moi, beaucoup d'inconvénients. Le principal étant un manque de souplesse au niveau des plateformes supportées, puisqu'on a eu un besoin, à ce moment-là, de pouvoir se connecter en VPN depuis l'extérieur, à la fois sur une plateforme Microsoft Windows XP, sur des PC sous Linux, GNU/Linux, mais également sur des terminaux Windows CE, Windows mobile ancienne génération. C’était avant Android, avant les iPhones et les smartphones nouvelle génération.

Donc, eh bien on a cherché dans le monde propriétaire des solutions qui répondaient à ces contraintes et on n'en a pas trouvées. On a quand même testé deux outils génériques, donc celui de Cisco et celui de SonicWALL, sur les plateformes Microsoft Windows XP, et on a constaté un deuxième problème, c'est qu'ils étaient extrêmement intrusifs en termes de routage et, un particulier, une fois qu'il avait monté son VPN, utilisait systématiquement l'accès à Internet de l’entreprise et plus du tout son accès à Internet pour aller sur Internet. Je ne sais pas si c'est clair ce que je dis, mais ceux qui veulent des explications seront bienvenus après éventuellement.

Olivier Jousselin : Oui. Ce qui est couplé avec les interventions de la NSA, ne fait pas forcément envie, disons.

Nicolas Kaiser : À l'époque on avait un accès Internet limité dans l'entreprise donc il était hors de question que des gens qui avaient déjà un accès à Internet chez eux viennent consommer notre bande passante pour accéder à de l’Internet standard. Donc on a testé OpenVPN, sur conseil d'un prestataire du groupe Alliance Libre, LAN2Net, et on a pu donc le déployer sur nos trois plates-formes et gagner ces quelques kilos de bande passante qui nous étaient si chers à l'époque. On en a profité, donc en passant sur ce module OpenVPN, pour revoir toute la stratégie de sécurité et donc on a remplacé le Cisco PIX qu'on avait, qui était, pour ceux qui connaissent les Cisco PIX qui sont assez compliqués à gérer en termes de règles, principalement pour tout ce qui est nattage, avec un système de logique un petit peu inversé, et on est passés sur une interface au-dessus d'IPtap qui s'appelle Sharewall, qui nous a énormément simplifié. Donc là, c'est pareil, on était en 2007, début 2007, et on est aujourd'hui en 2014, donc ça fait sept ans qu'on l'exploite. On a fait une refonte, depuis, pour des raisons de réorganisation de l'accès Internet et de l'infrastructure et un déménagement de site. Mais les fichiers de configuration sont restés les mêmes, et on a là, encore une fois, une énorme souplesse puisqu'il suffit de récupérer le fichier etc Sharewall d'une machine et de le redéployer sur l'autre, et on a un firewall opérationnel.

Olivier Jousselin : Sur du matériel générique en plus ? On n'est pas obligé d'avoir du matériel ??? pour monter cette sécurité.

Nicolas Kaiser : Absolument. On a aujourd’hui virtualisé toutes les couches firewall également.

Olivier Jousselin : Oui. Donc un gain de facilité en gestion, gain de coûts. On s'y retrouve partout.

Nicolas Kaiser : Absolument.

Olivier Jousselin : Beaucoup de souplesse. D'accord. Et donc puisqu'on parle de gestion, de supervision, Bruno quelques mots sur la partie supervision à la Macif ?

22' 44

Buno Marand : Oui, alors c'est pareil, en préparant un petit peu l'intervention