Le libre, clé de voûte de votre SI
Titre : Le libre la clé de voûte de votre système d'information - Table ronde
Intervenants : Olivier Jousselin - Stéphane Dumond - Nicolas Kaiser - Buno Marand
Lieu : Nanres - Rencontre régionales du Logiciel Libre
Date : Septembre 2014
Durée : 47 min 48
Pour visionner la vidéo de la table ronde : Le libre la clé de voûte de votre système d'information
00' transcrit MO
Olivier Jousselin : Bonjour à tous et à toutes. Nous commençons la table ronde intitulée « Le libre la clé de voûte de votre système d'information ». Nous avons trois personnes avec nous qui ont des choses très intéressantes à nous dire sur le sujet. Je vais les présenter rapidement : à ma gauche le chef d'escadron Stéphane Dumond, qui travaille pour la gendarmerie nationale au département du système d'information et qui gère tout ce qui est postes de travail et serveurs locaux. Il a beaucoup de postes de travail dans son périmètre et il a une approche très orientée libre, il nous en parlera. Ça fait cinq ans c'est ça, que vous êtes sur ce projet-là.
À sa gauche Nicolas Kaiser, qui est responsable des systèmes d'information chez Convenant, un groupe articulé autour des véhicules automobiles. Ce n'est pas la gendarmerie nationale en volume, mais c'est quand même 650 collaborateurs et un peu moins de trois cents millions d'euros de chiffre d'affaires. Lui, il est chez Convenant depuis dix ans, c'est lui qui a mis en place tout le système d’information, donc il a une connaissance, évidemment, en profondeur et il vous racontera, un peu en détail, où est-ce qu'il a utilisé du Libre, pourquoi, comment, et ce qu'il en a retiré.
Et enfin Bruno Marand, qui est directeur des études et du développement à la Macif. Je ne vous présente pas la Macif, vous devez connaître. Il est à ce poste depuis, je ne sais plus, j'ai oublié de lui demander
Bruno Marand : 27 ans de Macif.
Olivier Jousselin : 27 ans de Macif. Il a parcouru d'autres postes avant, à la production, à l'architecture et, aujourd'hui, il a tous les projets de système d'information qui passent entre ses mains.
Et moi, donc je suis Olivier Jousselin, je dirige une société de conseil en systèmes d'information. On accompagne nos clients dans la maîtrise et l’évolution de leur système d'information à tous les niveaux, notamment libre, mais plutôt hétérogène évidemment.
Alors tout de suite je vais passer la parole à M. Dumond pour qu'il que vous nous disiez pourquoi le Libre et comment la stratégie du Libre, comment vous en êtes venu là, en quelque sorte. Qu'est-ce qui vous a motivé et qu'est-ce que vous en attendez ?
Stéphane Dumond : Merci. Bonjour à tous et à toutes. Avant de commencer ce défi de synthétiser, en moins de cinq minutes, douze ans de stratégie de Libre en gendarmerie, je voudrais rapidement représenter ce que constitue la gendarmerie nationale, que vous connaissez tous. Qui a dit malheureusement ? Non. La police de la route, les PV que vous prenez c'est vraiment une partie très infime du métier de la gendarmerie, on ne fait pas que ça heureusement.
Donc, la gendarmerie, c'est constitué de 95 000 personnes, réparties en métropole et en outremer sur environ 4500/5000 sites distants. Donc ce facteur d'échelle est très dimensionnant quand on parle de stratégie au niveau d'une DSI. Pour résumer en quatre minutes la stratégie du Libre en gendarmerie, ce n'est pas compliqué, il y a juste un seul mot à retenir, c'est indépendance. Voilà ! Une stratégie d'indépendance, une volonté d'indépendance vis-à-vis des éditeurs qui pourraient nous imposer leurs choix techniques et/ou commerciaux et, quelque part, conserver une part de souveraineté numérique chère à la ministre de l’Économie numérique Fleur Pellerin, à l'époque.
Donc indépendance. Indépendance ça passe par quoi ? L'indépendance passe, déjà, par la maîtrise de l'ensemble des briques logicielles qui constituent le système d'information en gendarmerie. Et ça va du data-center jusqu'au poste de travail, en passant par les relais locaux, les serveurs locaux dont j'ai la charge. Cette indépendance passe par cette maîtrise, à la fois maîtrise technique, d'où le recours au logiciel libre, puisqu'on peut avoir accès au code et donc le modifier pour pouvoir l'adapter à ses besoins. C'est le cas, par exemple de Firefox>ref>Mozilla - Firefox</ref>. À une époque, on a modifié le code de Firefox, on a recompilé Firefox, pour permettre l'accès notamment aux sites https sur Internet via notre passerelle intranet. Voilà. Donc on a eu besoin d'avoir accès au code source pour pouvoir intégrer cette brique logicielle au sein de notre système d'information en fonction du besoin qu'on avait.
Donc cette maîtrise technologique conduit à urbanisation de l'ensemble de ces briques qui doivent être interopérables entre elles, bien sûr, mais surtout interchangeables. C'est-à-dire qu’on peut prendre une brique logicielle, je vais rester sur le cas de Firefox, et de pouvoir être capables de l'enlever et de la remplacer par une brique, sans grande conséquence sur l'ensemble du SI. Le cas de Firefox est intéressant puisqu'à l'époque Mozilla a cherché à suivre le rythme effréné des montées de versions imposées par Google pour Chrome, et donc nous a pondu une nouvelle version tous les deux mois. Dans un grand groupe, c'est impossible à suivre en termes de montée de version. Donc, avant que Mozilla nous fasse un Firefox ESR (NdT, Extended Support Release), on a maquetté le changement de la brique Firefox par Chromium et on s'est aperçus, qu'en fait, en une journée on était capables de le faire, en compilant le code, etc. et en une semaine on pouvait l'intégrer sans problème sur l’ensemble de notre parc informatique. Donc on est capables de prendre une brique logicielle et vraiment de la remplacer. On est toujours indépendants des volontés des éditeurs.
Cette indépendance est aussi une volonté d'indépendance des choix non seulement techniques, mais aussi économiques. Je vais prendre l'exemple de la migration, enfin de la fin de support de Windows XP, 8 avril 2014. En gendarmerie, au 8 avril 2014, il nous restait environ une trentaine de milliers de postes de travail sous Windows XP à migrer. Là vous avez deux solutions : soit vous avez anticipé l'affaire et prévu une stratégie qui vous permette de rester indépendant et d’être capable de changer les différentes briques, et donc de passer à un système, un OS alternatif, donc en l’occurrence Ubuntu[1], dont je parlerai plus longuement tout à l'heure.
Olivier Jousselin : On en reparlera un petit peu plus tard, oui.
Stéphane Dumond : Voilà. En l’occurrence passer à Ubuntu, ou bien vous crachez au bassinet et vous installez Windows 7 sur votre parc. Et vous n'avez pas le choix ! L'important, en termes d'indépendance, c'est d'avoir le choix. Ce n'est pas vraiment le choix qu'on fait, quel que soit le produit qu'on rajoute, c'est d'avoir le choix. D’être capable de se dire « Voilà, ce produit-là je le veux, je le mets, mais c'est moi qui décide. Ce n'est pas parce qu'on me l'impose, pour des raisons économiques, pour des raisons technologiques ».
Olivier Jousselin : Merci. Oui, c'est une approche intéressante. C'est un choix délibéré.
Stéphane Dumond : Juste pour terminer, pour conclure. Ça c'est la volonté d'indépendance qui, aussi, a un impact, bien évidemment, on revient sur le choix du Libre, pourquoi le Libre ? Donc pour une raison d'indépendance, mais aussi pour une raison de coûts. Voilà. Ça c'est le second volet, je dirais que c'est la cerise sur le gâteau. On est indépendants, on a acquis notre souveraineté numérique, mais à un coût d'acquisition largement moindre par rapport aux solutions propriétaires.
Olivier Jousselin : Merci. Maintenant, nous passons un peu plus à la mise œuvre. Nicolas, donc on est dans l'infrastructure, le bas de l’infrastructure, c'est de la virtualisation. Aujourd'hui je crois qu'il y en a à peu près partout. Comment est-ce que ça s'est passé chez Convenant ? Pourquoi du Libre à cet endroit-là ? Là aussi c’était un choix délibéré, bien sûr ? Qu'est-ce qui l'a guidé ? Est-ce que c'est la même chose ? C'est plus ancien encore.
8' 27
Nicolas Kaiser : Je reconnais beaucoup de choses dans ce que dit Frédéric (NdT, Stéphane ?). Quand je suis arrivé au niveau du groupe Convenant il y avait neuf ERP (Ndt, Enterprise Ressource Planning), répartis sur nos trente sites, qui étaient tous sur des serveurs propriétaires, avec des systèmes UNIX, soit de l'IBM AIX, soit du Siemens ERM. Et on avait une machine Microsoft SQL avec un CRM dessus, qui était en fin de vie, la machine physique, sous Windows NT, et donc il a été question du renouvellement de cette machine. Parallèlement à ça, j'ai commencé à me poser des questions sur la mise en réseau, puisque je venais d'une formation où on mettait de l'Active Directory. Or, dans le groupe Convenant, les PC étaient en groupes de travail, à l'époque, et j'ai eu une opportunité, lors de l’achat du serveur pour le renouvellement du matériel, de pouvoir bénéficier d'une superbe promotion, à savoir « un serveur acheté, un serveur offert ». Ça s'est arrêté depuis, malheureusement. Et donc j'ai voulu profiter de cette plate-forme pour pouvoir assurer une sécurité maximale et pouvoir mettre de la redondance au niveau de mes serveurs.
Je me suis alors intéressé fortement à la virtualisation. Il y avait, à l'époque, une seule solution propriétaire disponible, c’était VMware, qui était pour des solutions de réplication multi-serveurs à des tarifs totalement inadaptés au budget informatique de mon groupe. Et donc j'ai récupéré un livre blanc qu'avait édité Smile[2] sur les solutions de virtualisation libres, à l'époque, et donc j'ai passé beaucoup de temps à analyser ça. Et à l'époque, il y avait, pour mon besoin, principalement KVM et Xen qui étaient en concurrence. Sachant que KVM était défini comme un produit en devenir, mais pas forcément à déployer en production, on était en 2006, alors que Xen était déjà déployé en production sur beaucoup de sites.
Donc j'ai fait le choix de tester avec Xen, avec XenSource à l'époque, et donc, on a déployé nos premières machines, donc ce fameux serveur Microsoft SQL et en parallèle un émulateur de PDC avec du Samba 3 et un annuaire LDAP. Par la suite, sur ce couple de serveurs, on est venu ajouter, dans les années 2006/2007/2008, toute la brique, toutes les briques d’infrastructure, donc la messagerie, la gestion de parc GLPI, tous nos intranets sous Apache MySQL, également quelques serveurs Microsoft encore pour, entre autres, la console antivirus.
En 2012, il y a eu le rachat de Xen par Citrix, et on a migré de XenSource vers Xen Cloud Platform, XCP, qui nous a apporté un peu plus de souplesse au niveau de la gestion du multi-machines. Et on a fait encore une migration, là, en début 2014, pour passer à nouveau à Xen, puisqu'ils ont libéré la partie XenServer, donc on est aujourd'hui en XenServer 6.2 et on a aujourd'hui cinq pools de serveurs virtualisés, en fonction du type d'activité ou du type de matériel qu'on utilise et on a 80 serveurs virtuels qui tournent sur cet environnement.
Olivier Jousselin : À l'origine c'était un choix financier. C'était « on n'a pas les moyens d'acheter VMware, donc on va voir autre chose », mais maintenant, huit plus tard, est-ce que tu as des regrets ?
Nicolas Kaiser : Non. Par rapport à nos besoins, je ne suis pas spécialiste des produits VMware, j'en entends plutôt du bien par les gens qui les utilisent. Par contre, tout le monde est d'accord pour dire que les coûts de licence sont très importants.
Olivier Jousselin : Sont élevés, oui.
Nicolas Kaiser : Et puis, également, ce qui m'a conforté dans mon choix, c'est que, à chaque fois qu'on a eu des migrations à faire, on a fait trois grosses migrations de l’environnement de virtualisation, ça c'est fait de manière extrêmement facile, extrêmement souple, sans perte de productivité, sans trop de stress pour l'équipe informatique, etc. Donc beaucoup de souplesse et sans avoir besoin d'aller demander des budgets pour avoir des nouvelles versions.
Olivier Jousselin : Oui. Donc il y a une très bonne réponse aux attentes. Sans pouvoir vraiment faire une comparaison, au moins la solution qui a été retenue répond parfaitement à toutes les attentes.
Nicolas Kaiser : Sur du multi, enfin tel qu'on utilise, donc de la réplication multi-serveurs, c'est tout à fait fonctionnel et XenServer est un produit tout à fait professionnel.
Olivier Jousselin : D'accord. Merci. Je vais demander maintenant à Bruno Marand de nous parler de son expérience avec DNS et DHCP, qui sont des briques auxquelles on ne pense pas toujours quand on monte une infrastructure, mais, malgré tout, c'est utile.
13' 47
Bruno Marand : C'est vrai. Alors je ne vais pas refaire l'historique, puisqu'on n'a pas le temps et ce n’était pas le sujet, de la stratégie « logiciel libre » à la Macif, simplement pour éclairer quand même le choix DNS, DHCP, la stratégie favorisant le logiciel libre à la Macif a été mise en avant en 2004. Mais pour pouvoir vraiment établir et, comment dire, mettre en avant cette stratégie il a bien sûr fallu quelques essais. Et notamment DNS/DHCP en était un.
C'est-à-dire que la stratégie est arrivée, on va dire, plutôt par quelques techniciens qui ont découvert les avantages d'indépendance du logiciel libre, ça c’était très important pour nous, dès le départ. D'interopérabilité aussi, pour tous les informaticiens et pour un groupe comme la Macif il est important que toutes les briques techniques logicielles applicatives fonctionnement entre elles, et le logiciel libre le permet puisque c'est le logiciel libre qui, en premier, implémente, on va dire de façon parfaite, les protocoles et les standards.
DNS/DHCP c'en est un. C'était donc, là on remonte au début des années 2000, 2001, nous avions, à la Macif, dans toutes les régions des serveurs DNS/DHCP, quand il y en avait, ce n'était pas encore obligatoire, on va dire, on pouvait se débrouiller sans à l'époque, vu le nombre de PC et de serveurs. Mais le nombre de PC montant il fallait mettre en place des services DHCP et DNS. Ça paraissait évident.
Quand on m'a contacté c’était pour montrer, donc pour ce colloque, que les grands groupes utilisaient du logiciel libre. Au départ je me suis dit « mais oui, c'est évident, enfin tous, je ne vois pas pourquoi je vais communiquer là-dessus, tous les grands groupes utilisent du logiciel libre ». Et puis, bien sûr, après, je me suis dit que non ce n’était pas si simple que ça, et qu'il était toujours bien de communiquer là-dessus.
Donc DNS/DHCP, deux protocoles standards, ça aide beaucoup, parce que quand on met quelque chose en place dans une entreprise, respecter les protocoles et respecter les standards c'est important. Et là, à cette époque, donc en 2000, c'est bien deux services standardisés.
Pour rappel, DHCP, sans un serveur DHCP, je n'ai pas d'adresse IP, je ne peux pas me connecter. Sans serveur DNS, je n'ai pas de résolution de nom, donc je ne sais même pas atteindre une machine. Donc là on est bien sur deux services qui sont la clé de voûte, je crois que c'est le titre, la clé de voûte du SI, sans ces deux services-là il n'y a rien qui marche.
À l'époque, 2000, on a regardé ce qui existait. Il y avait donc le seul, je crois, d'ailleurs à l'époque en Libre, c'était ISC, de isc.org, donc c'est BIND, qui était très utilisé un peu partout, mais pas dans les grands groupes, qui avaient plutôt des systèmes propriétaires. Nous, on l'a mis en place, en apportant des nouveautés. C'était ça aussi qui nous a permis, c'est qu'on n'avait pas de dynamique, DNS dynamique, BIND l'implémentait, etc. Donc on est arrivé avec une solution qui permettait de centraliser les choses, sur deux serveurs, en failover en plus, donc avec une technologie qui fonctionnait par rapport à notre besoin de sécurité, qui implémentait des protocoles standards, donc qui était interopérable, et qui apportait de la nouveauté. Qui remplaçait un existant qui était assez faible.
Donc un choix. Alors ce sont des techniciens qui ont amené ça, ça n'a pas été, au départ, un choix stratégique en l'an 2000. Dans certains esprits c'était déjà une stratégie, mais c'est arrivé par les techniciens. On a prouvé que le logiciel libre pouvait supporter ce genre de service fondamental pour une entreprise. Ce qui nous a permis ça, plus du MySQL et puis de la page pour les serveurs web. C’était les grands exemples qui nous ont permis après d'établir une stratégie.
Olivier Jousselin : C'est vraiment ça qui a servi de point d'entrée, en quelque sorte. Ça a été vraiment les premiers services qui ont été confiés à du Libre et puis, après, ça a permis de critiquer aussi.
Bruno Marand : Ça a permis de prouver que ça marchait.
Olivier Jousselin : Voilà. De prouver que c’était viable. D’accord merci. Donc, on a monté une infra, on a mis des choses. La question suivante, naturellement, c'est « comment est-ce que je sécurise tout ça ? ». Et là, je me retourne vers Nicolas qui est un spécialiste.
Nicolas Kaiser : La sécurité, bien sûr, c'est un vaste périmètre. Là je vais parler plus spécifiquement de l'accès entre l'entreprise et l'extérieur, donc les firewalls et les VPN. On avait, à l'époque où je suis arrivé dans le groupe, un accès Internet centralisé sécurisé par un firewall PIX, de chez Cisco, qui était une technologie que je connaissais bien, puisque j'ai suivi également un cursus chez Cisco, avec quelques avantages et, selon moi, beaucoup d'inconvénients. Le principal étant un manque de souplesse au niveau des plates-formes supportées, puisqu'on a eu un besoin, à ce moment-là, de pouvoir se connecter en VPN depuis l'extérieur, à la fois sur une plate-forme Microsoft Windows XP, sur des PC sous Linux, GNU/Linux, mais également sur des terminaux Windows CE, Windows mobile ancienne génération. C’était avant Android, avant les iPhones et les smartphones nouvelle génération.
Donc, eh bien on a cherché dans le monde propriétaire des solutions qui répondaient à ces contraintes et on n'en a pas trouvées. On a quand même testé deux outils génériques, donc celui de Cisco et celui de SonicWALL, sur les plate-formes Microsoft Windows XP, et on a constaté un deuxième problème, c'est qu'ils étaient extrêmement intrusifs en termes de routage et, un particulier, une fois qu'il avait monté son VPN, utilisait systématiquement l'accès à Internet de l’entreprise et plus du tout son accès à Internet pour aller sur Internet. Je ne sais pas si c'est clair ce que je dis, mais ceux qui veulent des explications seront bienvenus après éventuellement.
Olivier Jousselin : Oui. Ce qui est couplé avec les interventions de la NSA, ne fait pas forcément envie, disons.
Nicolas Kaiser : À l'époque on avait un accès Internet limité dans l'entreprise donc il était hors de question que des gens qui avaient déjà un accès à Internet chez eux viennent consommer notre bande passante pour accéder à de l’Internet standard. Donc on a testé OpenVPN, sur conseil d'un prestataire du groupe Alliance Libre, LAN2Net, et on a pu donc le déployer sur nos trois plates-formes et gagner ces quelques kilos de bande passante qui nous étaient si chers à l'époque. On en a profité, donc en passant sur ce module OpenVPN, pour revoir toute la stratégie de sécurité et donc on a remplacé le Cisco PIX qu'on avait, qui était, pour ceux qui connaissent les Cisco PIX qui sont assez compliqués à gérer en termes de règles, principalement pour tout ce qui est nattage, avec un système de logique un petit peu inversé, et on est passés sur une interface au-dessus d'IPtap qui s'appelle Sharewall, qui nous a énormément simplifié. Donc là, c'est pareil, on était en 2007, début 2007, et on est aujourd'hui en 2014, donc ça fait sept ans qu'on l'exploite. On a fait une refonte, depuis, pour des raisons de réorganisation de l'accès Internet et de l'infrastructure et un déménagement de site. Mais les fichiers de configuration sont restés les mêmes, et on a là, encore une fois, une énorme souplesse puisqu'il suffit de récupérer le fichier etc Sharewall d'une machine et de le redéployer sur l'autre, et on a un firewall opérationnel.
Olivier Jousselin : Sur du matériel générique en plus ? On n'est pas obligé d'avoir du matériel ??? pour monter cette sécurité.
Nicolas Kaiser : Absolument. On a aujourd’hui virtualisé toutes les couches firewall également.
Olivier Jousselin : Oui. Donc un gain de facilité en gestion, gain de coûts. On s'y retrouve partout.
Nicolas Kaiser : Absolument. Beaucoup de souplesse.
Olivier Jousselin : D'accord. Et donc puisqu'on parle de gestion, de supervision, Bruno quelques mots sur la partie supervision à la Macif ?
22' 44
Buno Marand : Oui, alors c'est pareil, en préparant un petit peu l'intervention, on s'est dit qu'on allait faire, quand même, un focus sur quelques solutions. Donc je vais parler de DNS, supervision. Il faut savoir, à la Macif, depuis la stratégie, effectivement, on a beaucoup de banques d’infrastructures qui reposent sur du Libre. Celles les plus connues c'est du MySQL, JBoss, Tomcat pour les serveurs d'applications. On utilise du PHP, on utilise ??, je vois Smile là-bas, donc on en utilise pas mal. Rassurez-vous, on utilise aussi beaucoup de propriétaire.
Olivier Jousselin : Ça ne rassure pas !
Buno Marand : Oui. Voilà. Par choix, parfois. Par obligation, souvent. Mais bon ! Donc 2004, on établit une certaine stratégie visant à favoriser l'adoption de logiciels libres et de favoriser, aussi et surtout, j'allais dire, l'adoption de standards. De standards, pas de standards de fait, mais de standards ouverts et de protocoles ouverts. Au-delà même du logiciel, ce qui nous semble important c'est de respecter et d'implémenter des protocoles ouverts. Il faut juste se rappeler qu'Internet existe parce que TCP-IP a été mis en tant que standard ouvert et a pu être, donc, utilisé par tous, implanté par tous. Donc ça, ça nous semble très important.
2007, on a revu un peu nos architectures techniques et, dans ce cadre-là, on a changé quelques logiciels que l'on avait, par du Libre et notamment tout ce qui était la supervision. Donc supervision de toute l’infrastructure. Nos milliers de serveurs, nos centaines et milliers de points réseau, les postes de travail, etc. Donc à base, à l'époque, de Nagios, maintenant complété, on va migrer, je pense plus vers la solution Centreon, avec la société Meritis qui va nous accompagner là-dessus.
Et donc, voilà, depuis 2007, il y a eu une longue migration parce qu'on avait un poids de l'existant, on avait un outil de supervision existant à l'époque, donc la migration a été longue. C'est des fois très difficile, parfois difficile, de mettre toute l'énergie pour enlever, dé-commissionner, comme on dit, un logiciel pour en mettre un autre à la place. Maintenant c'est derrière nous. On en est maintenant sur les évolutions, donc quelque chose qui correspond parfaitement à nos besoins, hormis, je dirais, derrière la supervision, ce qui, deuxième phase, c'est la gestion de capacité. Là les produits comme Nagios et Centreon ont des choses embryonnaires, on va dire, sur la gestion de capacité, qui permettent d'historiser, d'avoir des tendances et des analyses, surtout sur la gestion de capacité. Ça reste embryonnaire, c'est quelque chose là où le Libre, à mon avis, il faut agir vite.
Olivier Jousselin : Oui. Effectivement, je n'ai pas connaissance. Nicolas, c'est quelque chose que tu as regardé ? Gestion de capacité, ce genre de choses ? Une idée ? Vous n'avez pas regardé spécialement ce genre de logiciel, non. La gendarmerie non plus, vous n'avez pas ? Non. Ce n'est pas de chance ! Pas de chance ! On va quand même revenir à vous. On a vu la partie vraiment infrastructure, le cœur du truc. Maintenant, côté postes de travail, puisque c'est ça qui est dans votre périmètre, vous avez, vous m'avez dit, 150 000 postes de travail ?
Stéphane Dumond : 150 000 c'est si on cumule, effectivement, le volet gendarmerie et police. Puisque STSI au carré, donc le service des technologies et des systèmes d'information de la sécurité intérieure, s'occupe des systèmes d’information à la fois de la police et de la gendarmerie. Historiquement, je vais vous parler plus du volet gendarmerie nationale, puisque, en termes de logiciels libres, la police nationale, on commence à s'en occuper, voilà, à peine.
Pour ce qui concerne la gendarmerie, au niveau postes de travail, c'est simple, j'ai 75 000 PC qui sont sous ma responsabilité et, sur ces 75 000, j'en ai actuellement 65 000, et on est à la cible, 65 000 qui sont sous Linux/Ubuntu, la version 12.04 LTS, le tout géré par une équipe en centrale de deux personnels et ça marche très bien. Pour arriver à ça, ça prend du temps. Ça prend du temps. On part en 2004, à peu près, avec la mise en place de briques libres, de manière progressive. L'idée ce n'est pas de faire du big bang, ça ne marchera pas le big bang, ça n'a jamais marché, en fait, avec le Libre, en tout cas en ce qui concerne le système d'exploitation. Tout changer d'un seul coup ce n'est pas possible et ça ne marchera pas. Ceux qui vous disent ça sont des menteurs et j'en suis convaincu.
Donc on est en 2004, on passe d'un périmètre de 20 000 personnes, 20 000 privilégiés qui avaient un accès à intranet et donc à l'ensemble des outils, messagerie collaborative UNO, partages de fichiers, ce genre de choses. 20 000 privilégiés qui sont situés au niveau des états-major des départements et des régions, on passe à un volume global de 70 000 personnes, pardon de plus de 70 000, donc ça fait 90 000 personnes. Donc là, il y a un facteur d'échelle différent. On a mis en place, à cette occasion, toute la stratégie que je vous ai présentée tout à l'heure, l'indépendance, réduction de coûts, etc. Donc on passe sur des briques progressives, libres, pour les raisons évoquées tout à l'heure. Donc on passe, en 2004, sur la messagerie service IMAP, avec le client de messagerie Thunderbird. En 2005, on passe la suite bureautique donc de Microsoft Word, pour l'ensemble des gendarmes avec que Word, et Microsoft Office complet pour les 20 000 « privilégiés » entre guillemets, on passe de cet environnement à 90 000 à l'équipement de 80 000 personnes avec la suite bureautique à l'époque OpenOffice. Je dis 80 000 personnes parce qu'à l'époque on avait 80 000 PC, donc on a réduit un peu la fenêtre de tir.
Un point important, en fait, au cours ce cette migration, qui est donc très progressive, c'est qu'aussi, à chaque fois qu'on amène en place un logiciel libre, on remplace une brique visible de la part de l'utilisateur, le client Thunderbird[3] d'accord, la suite bureautique Microsoft Office, à chaque fois, cela s'accompagne d'une nouvelle fonctionnalité, ou, en tout cas, de fonctionnalités améliorées. Pour la messagerie, par exemple, on a ouvert le service à 70 000 personnes de plus. Donc c'est un nouveau service. Pour la suite bureautique, ça s'est accompagné et mon collègue, M. Cuvillier, pourra en parler tout à l'heure plus longuement s'il le souhaite, ça s'est accompagné de la mise en place d'un logiciel d'aide à la rédaction de procédure, basé sur le format XML, qui est employé par la suite bureautique OpenOffice. Donc on a la maîtrise, parce que c'est logiciel libre. À tous les coups en fait. Donc on a amené une homogénéisation et un service nouveau à l'ensemble des gendarmes : la capacité à rédiger des PV à partir d'un outil qui utilise OpenOffice.
Olivier Jousselin : C'est une façon d'améliorer, enfin de faciliter l’acceptation du changement ?
Stéphane Dumond : Tout à fait.
Olivier Jousselin : On parlera de la conduite du changement dans la table ronde suivante.
Stéphane Dumond : C'est primordial, en fait, l'acceptation du changement par l’utilisateur final. Donc il y a deux aspects : l'aspect apporter de nouvelles fonctionnalités, ou en tout cas améliorer le service sur les fonctionnalités existantes, et faire en sorte que ça se passe dans la durée. Donc là on est en 2006. On continue bon an mal an. On passe ensuite à Mozilla Firefox comme navigateur, en apportant comme service supplémentaire, l'accès direct depuis le poste de travail à Internet. Donc nouvelle fonctionnalité. Ceux qui continuent à vouloir passer par Internet Explorer n'ont pas à accès à Internet.
Olivier Jousselin : C'est un peu paradoxal !
Stéphane Dumond : Je vous garantis que ça accélère énormément le passage à Mozilla Firefox. Et ça s'est fait comme ça pour chaque brique. Donc on a mis le navigateur, après donc VLC, The Gimp, etc, et progressivement on a introduit sur le poste Windows XP à l'époque, l'ensemble des briques logicielles, libres, multiplate-formes, qui pourront permettre par la suite le passage à un OS libre. Et cette décision est intervenue en 2008. 2008, pour la petite histoire, on a la fin de Microsoft XP qui nous pend au nez, avant que Microsoft décide de faire un support étendu, d'étendu d'étendu, et le passage à Vista. On fait une étude, assez rapide, on s'aperçoit que Vista ne convient pas et qu'on est capables, à plus ou moins brève échéance, deux/trois ans, de se libérer des dernières adhérences résiduelles à Microsoft pour pouvoir migrer en masse le poste de travail sous Linux/Ubuntu. Donc là on est en 2008, et on décide d'y aller toujours progressivement, on y va toujours tout doucement.
On met un PC Linux dans chaque brigade de gendarmerie. Donc on a 4500 brigades en métropole et en outremer. On y déploie, dans chacune de ces brigades, un PC Linux/Ubuntu, à l'époque 8.04, sur lequel, toujours la notion d'agréger du service, on ajoute un partage de fichiers, au profit de l'unité, ainsi qu’un proxy, ce qui permet d'accélérer grandement, en tout cas d'avoir une expérience utilisateur largement améliorée pour tout ce qui est service de « cartos », ce genre de choses. Donc ça, on est en 2008. En 2009, on laisse tourner un petit peu, aussi pour laisser le temps aux gens. J'accélère si vous promets, mais après je serai disponible si vous voulez pour réponde. C'est une petite histoire, ce n'est pas une anecdote, en fait, un projet comme ça. J'en parle avec conviction et passion, parce que j'ai vécu l'aboutissement, j'en parle à droite à gauche, c'est mon truc, j'aime bien. Et puis je suis convaincu, surtout.
Olivier Jousselin : Ça se voit, ça s'entend.
Stéphane Dumond : Et donc on profite tranquillement. On a une année budgétaire nulle pour le renouvellement des postes de travail en 2009. Ça me laisse le temps, moi, mon équipe, et quelque part c'était bien, ça me laisse le temps de gérer toute l'infra qu'il faut pour gérer des dizaines de milliers de machines, à partir d'un échelon central avec deux ou trois personnels. Ça c'est possible, mais il faut ce qu'il faut au niveau central, au niveau back office.
On arrive en 2010, on achète une vingtaine de milliers de machines, de mémoire, et on les installe progressivement dans les unités avec Linux/Ubuntu pré-installé, dans une version « gendarmisée », bien sûr, qui permet d'avoir accès à l'ensemble des applications utilisées au quotidien par les gendarmes, de manière vraiment très intuitive et très rapide.
Ça se passe de manière progressive. Là encore, arrivée du changement, l'acceptation du changement c'est d'avoir fourni des nouvelles machines. C'est tout bête, mais fournir des nouvelles machines avec un OS dessus, avec un écran 16/9ème, de 21 pouces et demi je crois, à des gens qui avant avaient un XP avec un 17 pouces, c'est un facteur d’acception du changement et énorme facteur d'acceptation du changement. D’autant plus que le patron de chaque unité, lui, était contraint, pour des raisons d'adhérence, à un logiciel Windows, de rester sur son vieux PC. Donc il voyait tous ses gars qui avaient ces PC Linux qui arrivaient, des bêtes de « compet » pour lui, avec des écrans géniaux, alors que lui il restait sur son vieux PC. Généralement ce sont des anciens, les patrons d'unités, plutôt réfractaires à l'informatique, ils ont été un des leviers du changement. Donc de favoriser l'émergence de Linux, en tout cas de dire au chef, quand est-ce qu'on a nos Linux aussi ?
Et on est montés donc bon an mal an comme ça, jusqu'à 30/35 000 PC. On a fait la migration de 8.04 vers 10.04, puis 12.04. J'en parlerai en aparté pour préciser comment techniquement ça été possible par le réseau et sur décision unique de l'utilisateur final, qui a migré, comme un grand, tout seul, sans impact sa version majeure et on est arrivés donc, finalement, je dirais grâce ou à cause, ça dépend, il faut voir après sept ans, comment vous voyez votre verre, à moitié vide ou à moitié plein, si vous êtes optimiste ou pessimiste, grâce à la fin de support de Microsoft Windows XP, en avril 2014, on a accéléré notre migration et on a terminé, donc, au mois de juin 2014, avec 65 000 PC Ubuntu sur un parc de 75 000 machines. En sachant qu'on n'est pas dogmatiques, bien sûr, on a toujours des adhérences à Windows XP résiduelles, pour lesquelles on laisse au moins un PC Windows au sein de chaque unité, plus quelques unités exotiques pour des besoins très particuliers, comme la direction générale ou bien nos experts. Experts mi-amis, ils sont à Rosny, donc ce sont les experts Rosny. Pour des besoins très particuliers en termes de police technique et scientifique.
35' 54
Olivier Jousselin : Ça, on n'y échappe nulle part. Il y a quand même toujours des domaines très précis dans lesquels il y a des logiciels propriétaires quasi uniques, pas possibles à remplacer par du Libre, en tout cas aujourd’hui. Merci beaucoup. Un tout dernier mot, je voudrais laisser quelque temps, s'il y a des questions dans la salle, un tout dernier mot peut-être chacun. Le Libre, un point fort, un point faible. Ou un bon côté, un mauvais côté, une mise en garde. Bruno, premier peut-être.
Buno Marand : Un point fort, il n'y en a pas, il n'y a que des points forts. Je plaisante un peu, mais c'est vrai qu'une fois qu'on a fait les choix, le logiciel libre reste du logiciel, donc avec des bugs et ce n'est pas parfait. Donc une fois qu'on est passé là-dessus en se disant le logiciel libre ce n'est pas miraculeux, on n'y voit que les points forts. Donc on peut rappeler, nous dans la stratégie c’était vraiment l'indépendance ; la maîtrise des coûts, enfin la diminution des coûts, ça reste pour tous les groupes, enfin toutes les entreprises, un levier important. La gestion du changement c'est très important. Il faut absolument réussir, on va dire, chaque migration. Les points faibles, c'est le poids de l'histoire. Dans les entreprises, quand on démarre de zéro, je crois que ça a été dit ce matin, un Google qui a démarré de zéro, d'ailleurs sans le logiciel libre, il n’aurait pas démarré, mais c'était évident qu'ils allaient démarrer qu'avec du logiciel libre.
Nous ce qui nous contraint souvent c'est le poids de l'histoire. Quand on a des migrations fortes à faire, ça a un coût important et souvent une acceptation du changement par les utilisateurs qui est difficile. Les écueils c'est certainement ceux-là : le poids de l'histoire, le poids du pourquoi on ne met pas plus de logiciels libres alors qu'il y a des solutions vraiment mâtures ? C'est donc ce poids de l’histoire. Le lobbying des entreprises propriétaires, qui est très fort dans les entreprises. Je ne sais pas comment ça marche dans les TPE/PME, mais nous, dans les grands groupes, tous nos utilisateurs, jusqu'au plus haut niveau, sont harcelés par ça. Et il n'y a pas de force commerciale, enfin les forces commerciales du logiciel libre ne sont pas du même niveau. C'est important. Dans Paris-Match informatique on voit très rarement parler de logiciel libre. Mais ce sont ces magazines-là que nos dirigeants lisent. Donc voilà, les écueils c'est la force de l'habitude, on va dire, et la force commerciale des propriétaires.
Olivier Jousselin : Merci. Nicolas, très rapidement s'il te plaît.
Nicolas Kaiser : Oui. Toujours la même chose. Il y a des bons logiciels et des mauvais logiciels. Le fait qu'ils aient une licence libre, ou pas, ne vient pas impacter ça. Ce qui est important, quand on choisit un logiciel libre dans l'entreprise, c'est de s'assurer que c'est un projet qui est actif, qui est vivant, qui est pérenne, et faire attention de ne pas choisir un projet qui n'a pas d'avenir, parce qu'il y en a, malheureusement !
Olivier Jousselin : Oui, surtout au niveau de l’infrastructure, dont on parle là.
Nicolas Kaiser : Surtout au niveau de l’infrastructure.
Olivier Jousselin : Si, sur un poste de travail, on installe un truc qui meurt deux ans après, ce n’est pas très grave, mais pas pour ce truc-là.
Nicolas Kaiser : Et une erreur et un mauvais choix sur un logiciel peut impacter très facilement ou donner une mauvaise image au Libre en général, et donc il faut faire bien attention à ça. Rester sur des projets connus et établis.
Olivier Jousselin : Sûr. Projets approuvés, d'ailleurs. Merci.
Stéphane Dumond : Je crois que tout a été dit, en fait, sur les points forts, les points faibles. Au niveau des points forts, effectivement, sur les grands classiques du Libre, il n'y a pas de soucis à se faire. Sur les points faibles, c'est vrai qu'effectivement, je rejoins votre analyse sur la fragmentation des communautés. Et le risque, en fait, qu'on prend lorsqu'on choisit un logiciel libre qui n'est pas forcément connu ou qui s'amorce, voilà. Donc c'est quelque part un pari sur l'avenir, mais c'est aussi un pari sur lequel on va avoir le plus de retours sur investissement par la suite. C’est-à-dire que, généralement, l'adage veut que « à vaincre sans péril, on triomphe sans gloire », c'est-à-dire que quelque part si on ne prend pas de risques, on aura un retour sur investissement qui sera minime. Quelque part il faut prendre du risque. Pour contrebalancer ce risque, ou en tout cas le faire diminuer, il y a des pistes de réflexion, notamment d'associer des équipes en interne aux communautés qui travaillent sur le logiciel qui vous intéresse. Donc ça a été fait en gendarmerie notamment sur OCS Inventory, qui est devenu OCS Inventory NG. C'est le cas sur la mode MDAP, donc le Web SSO. D'autres exemples qui ne me viennent pas forcément en tête de suite. Mais voilà, on est capables d'injecter de la compétence et de la ressource dans des projets qui sont peut-être, au départ, minimes ou en tout cas risqués, mais qui après peuvent pérenniser parce que vous avez une influence sur la roadmap, en fait. Donc on peut limiter le risque.
Olivier Jousselin : La gendarmerie est un, je l’ignorais encore il n'y a pas longtemps, contributeur important sur tout ce qui est open source, mouvement libre au sens large. Et donc, évidemment, c'est une façon de pérenniser les logiciels quand on s'investit dedans soi-même, parce qu'on est sûr que ça ne va pas disparaître.
Stéphane Dumond : Oui, et on a une influence aussi sur la roadmap du produit. Ça c’est quand même intéressant.
Olivier Jousselin : Oui. Je sais que les trois intervenants restent encore un peu, vous ne partez pas tout de suite ni les uns ni les autres. Donc, si vous avez des questions à leur poser vous pourrez le faire après. S’il y en a une ou deux qu'on peut case là, dans les trois minutes qui nous restent. S'il y a des questions dans la salle ? Mais tu n'es pas dans la salle toi !
Public :La question que je voulais poser, en fait, concerne un petit peu un commentaire que Bruno Marand avait fait et ça concerne en fait M. Dumond. Bien sûr, on est filmés donc vous avez le droit de ne pas répondre non plus. M. Marand a parlé de lobby des éditeurs, de pressions. Est-ce que, par exemple, la gendarmerie nationale a subi de telles pressions ?
Stéphane Dumond : Je vais vous répondre. Vous allez en déduire ce que vous en déduirez. Non, je vais dire ce qui s'est passé, ce qui se passe. Les pressions sont à la fois externes et internes. Il y a des pressions, en fait c'est comme partout. On est un grand groupe, il y a des pressions. Les pressions internes sont, pour moi, plus contraignantes que les pressions externes, pour la simple et bonne raison que les pressions externes, c'est ce que j'ai expliqué à quelques personnes dans la salle tout à l'heure, à partir du moment où on ne communique pas, où on fait notre travail de manière simple, régulière et qu'au profit de notre institution on met en place des solutions qui fonctionnent, qui rendent un service de qualité, eh bien, on n'est pas embêté, en fait. Notre direction générale valide, d'autant plus que le ROI (NdT, retour sur investissement) est carrément intéressant. Ce n'est pas à l'assistance que je vais démontrer ça. On n'a pas communiqué, au niveau gendarmerie, sur le poste de travail notamment, sur le projet Ubuntu, de 2008 à 2013, si je ne me trompe pas, septembre je suis à Lisbonne pour faire une présentation. C'est à ce moment, en fait, qu'on a considéré que communiquer sur le projet Ubuntu était pertinent, était possible, parce qu'on avait atteint une certaine masse critique qui nous permettait de nous prémunir contre toute velléité de retour arrière. Tout simplement.
Olivier Jousselin : Il faut faire de la politique en plus de la technique !
Nicolas Kaiser : Moi j'ai deux questions également pour vous. La première : est-ce que vous avez du support avec Canonical pour Ubuntu ?
Stéphane Dumond : Oui.
Nicolas Kaiser : Merci. Et la deuxième : on peut qualifier votre migration de succès. Qu'attendent les autres ministères et d'une manière générale le monde du public pour basculer, pour suivre votre chemin, selon vous ?
Stéphane Dumond : Pour la question sur Canonical, on a un contrat de support avec eux, qui se termine bientôt d'ailleurs, qu'on va renouveler, enfin, en tout cas renouveler ! On va passer un appel d’offres pour renouveler ce support. Donc il pourra être remporté soit par Canonical soit par une autre société de services ce qui ne me pose absolument aucun souci d'ailleurs. Le tout étant d'avoir un service de support de qualité, même si nos équipes sont suffisamment retaillées pour traiter 99 % des problématiques.
Maintenant pour la question sur la vocation interministérielle à migrer vers les logiciels libres. Il y a déjà des travaux qui existent en fait. Pas mal de travaux qui existent. Il y a eu la création récente de la DISIC[4], donc la Direction interministérielle des systèmes d'information et de communication, avec M. Marzin, qui est un préfet, il me semble, qui est à sa tête, qui commence à faire pas mal de recommandations pour l'instant, qui ne restent que des recommandations, mais qui auront vocation, je le suppose et j'espère en tout cas, à s'imposer à l'ensemble des ministères pour l'emploi progressif également, je crois que la stratégie est la bonne, progressif de briques logicielles open source dans, je dirais, la ligne directrice de la circulaire de Jean-Marc Ayrault[5] de 2011 si je ne me trompe pas (NdT, 2012).
Ça c'est une première chose. Maintenant il y a aussi des groupes de travail, qui existent au niveau interministériel, MIMO[6], par exemple, pour le plus connu, qui est groupe interministériel auquel je participe, qui traite essentiellement de la suite bureautique, mais également, à terme, des OS, etc. Il y a des représentants de chaque ministère qui viennent dans ces groupes-là de travail, pour partager leur expérience, pour partager leurs solutions techniques, voire un peu les contraintes, les avantages et communiquer, auprès des autres de leurs entités, communiquer aussi auprès de la DISIC pour dire voilà nous on promeut tel type de logiciel pour tel usage. Et, très récemment, je ne sais plus quand, mais je crois que c’était l'été dernier, la DISIC a publié ce qu'on appelle le SILL, je ne sais pas si ç avous parle, le socle interministériel de logiciels libres qui est, en gros, une matrice de référence entre chaque besoin identifié et chaque souche logicielle libre qui est préconisée par l'ensemble des ministères donc par l’État, en fait, quelque part. Pour l'instant ça reste de la préconisation, de la recommandation. Je dirais que c'est une première démarche, en tout cas ça prend un bon sens, ça prend une bonne tournure.
Olivier Jousselin : Je crois qu'on va être obligés de libérer la place pour la table ronde suivante. Je vous remercie beaucoup, tous les trois, pour cet intéressant témoignage. Merci à ceux qui sont venus de loin, en plus, il y en a. Je pense que c'est un exemple à suivre. Moi, en tant que partisan du Libre, c'est vrai que quand quelqu'un vient de me dire j'ai 80 000 PC qui tournent sur du full open source, on se dit qu'on est sur la bonne voie et qu'il faut continuer. Merci beaucoup.
Merci.
Applaudissements