À l’occasion de nos missions en tant qu’AMOA ou lors de la mise en oeuvre de solutions techniques, nous avons constaté un réel besoin chez nos clients, et notamment dans les structures de taille modeste, de disposer de référents pour les guider dans le déploiement et la gestion de leur système d’information, sans toutefois que cela ne justifie l’ouverture d’un poste de Directeur ou de Reponsable des Systèmes d’Information (DSI / RSI) à part entière.
Constatant ce besoin récurrent, nous avons décidé d’élargir notre offre de service pour proposer à nos clients un service de “DSI partagée” que l’on peut également voir comme une externalisation de la gestion du système d’information. C’est cette offre de service que nous nous proposons de décrire ici.
Les enjeux de la bonne gestion d’un système d’information
Le système d’information (SI) est constitué de la totalité des ressources utilisées pour traiter/collecter/communiquer des informations. Les outils numériques s’étant au fil du temps rendus quasiment indispensables, il joue un rôle critique dans le bon fonctionnement de toute organisation (entreprise, association, administration) quelle que soit sa taille.
L’organisation mise en place pour gérer ce système présente des enjeux stratégiques que nous allons tâcher de résumer ci-après.
Apporter le meilleur service aux utilisateurs…
Le premier objectif d’un système d’information est de répondre à un besoin. Il peut s’agir des besoins d’une entreprise pour son propre fonctionnement (gestion dématérialisée des salaires, des factures, des congés, etc.), pour répondre à une problématique métier spécifique (gestion d’adhérents, gestion de marchés publics, etc.) ou bien d’un moyen de développer son chiffre d’affaire / d’atteindre ses clients (site internet, boutique en ligne, etc.).
La réponse au besoin doit en outre s’accompagner de la prise en compte de réglementations (RGPD pour les données à caractère personnel, par exemple), de normes (comptable, code des marchés publics) et de bonnes pratiques (en matière de cybersécurité, d’architecture du SI).
Un système d’information qui apporte de la valeur ajoutée aux utilisateurs permet à la DSI de ne pas être simplement considérée comme une fonction support ou un centre de coût, ce qui est plutôt agréable et confortable pour mener de nouveaux projets.
… en optimisant les ressources (humaines, énergétiques,…)
L’optimisation des ressources passe tout d’abord par une bonne connaissance de ses besoins. Ceux-ci constituent des problématiques auxquelles la mise en place de solutions techniques doivent apporter des réponses. L’interrogation sur ses besoins réels est une étape fondamentale pour réussir la construction, la refonte ou la maintenance de son SI. Il convient de choisir des solutions permettant de répondre à ses besoins et non pas des solutions apportant des réponses à des besoins que l’on n’a pas. Cela paraît évident, mais il est fréquent de constater la construction, au fil du temps, d’un SI ayant sa propre vie totalement déconnectée et en inadéquation avec les besoins “métiers”. Cela implique d’avoir la curiosité, la possibilité et l’envie de regarder la totalité des solutions du marché et pas uniquement les mieux vendues et/ou les plus chères.
L’optimisation des ressources SI passe également par la maximisation de l’automatisation des tâches en commençant par les plus “simples” ou celles présentant le moins de valeur ajoutée (comme la surveillance par exemple) avant de monter sur des sujets plus complexes (CI/CD).
Les domaines d’intervention de Libre Logic
Pour répondre à ces enjeux, Libre Logic réalise le type d’actions décrites dans le présent chapitre.
Savoir de quoi on parle : l’inventaire
La première étape, qui réserve parfois des surprises, pour (re)prendre en main son système d’information consiste à disposer d’un inventaire fiable et à jour de son système d’information. C’est un pré-requis avant d’envisager toute action pertinente sur le SI : si l’on ne sait pas d’où l’on part, difficile de tracer la route vers la cible que l’on souhaite atteindre.
Un inventaire, pour être exploitable, doit recenser les informations suivantes (liste non-exhaustive) : Nom d’hôte de la machine, type de machine (physique / virtuel), modèle (pour les machines physiques), informations de garantie, hyperviseur, adresses IP/masques de sous-réseau, ressources (Stockage, RAM, CPU), nom et version du système d’exploitation, etc.
L’élaboration de l’inventaire peut se baser sur les documentations existantes ou des entretiens avec des acteurs du SI. S’il existe déjà, la mission d’un cabinet comme Libre Logic peut consister à valider la cohérence de l’inventaire avec le “réel”, à savoir traquer d’éventuels écarts entre la documentation et l’existant d’une part (conformité documentation / réel), et entre l’existant et les bonnes pratiques en vigueur d’autre part (conformité à l’état de l’art).
Optimisation du SI
Nous dressons ici quelques-unes des pistes “classiques” à explorer pour optimiser le système d’information d’une entité. Bien entendu, chaque client a ses propres problématiques et contraintes et la meilleure solution pour l’un ne sera pas forcément duplicable à l’autre.
Virtualisation
Le passage sur des systèmes de virtualisation open-source est susceptible d’améliorer les possibilités d’automatisation, de réduire la complexité du système, et ainsi réduire la dérive de configuration et le temps nécessaire à l’administration des hyperviseurs.
Automatisation
Les systèmes Linux bénéficient d’une conception se prêtant naturellement à l’automatisation par le biais de scripts, systèmes de gestion de configuration (Ansible) et divers outillages établis, matures et flexibles. Ces outils peuvent être couplés à des systèmes de gestion de révision pour un déploiement progressif et maîtrisé des changements, et assurant l’existence d’une “source de vérité” pour la configuration du SI. Ceci permet à son tour des déploiements et configuration entièrement reproductibles et “auto-documentés”. Le temps nécessaire à l’administration courante est ainsi fortement réduit, une fois l’investissement/automatisation initiale réalisé, le temps ainsi dégagé peut être consacré à l’optimisation et la mise en place progressive de nouveaux services.
Auto-hébergement vs. Externalisation
La possibilité d’une externalisation de la gestion de l’infrastructure (IaaS, Infrastructure as a service), même partielle, vers un hébergeur professionnel est également à envisager. Cette solution permet de reporter la charge d’entretien du matériel et de l’infrastructure physique vers un prestataire spécialisé, pour des coûts généralement compétitifs vis à vis une solution d’auto-hébergement. Cette spécialisation du métier de l’hébergement permet également de disposer de garanties de disponibilité et de temps de rétablissement (notamment l’existence de site de secours) en cas de panne sans commune mesure avec les possibilités en mode auto-hébergé, à fortiori dans le contexte d’une équipe ne comptant que quelques intervenants. Un avantage supplémentaire consiste à l’accès potentiel à des services et technologies les plus récents, à un coût compétitif.
Enfin, l’externalisation de l’hébergement permet de libérer des locaux, du temps homme qui peut être réaffecté sur des missions à plus forte valeur ajoutée, et plus globalement de s’affranchir de problématiques telles que les risques liés à la climatisation ou à d’autres risques naturels et technologiques.
Sécurisation du SI
La cybersécurité est un concept mutil-dimensionnel, qui ne s’arrête pas uniquement aux données numériques. Elle concerne en effet les aspects logiques (logicielle), physiques (accès aux serveurs) et organisationnels (ressources humaines).
Libre Logic attache une attention particulière aux aspects relatifs à la cybersécurité. L’actualité apporte chaque jour son lot de nouvelles actions malveillantes opérées dans le cyberespace. Cette problématique concerne tous les acteurs, y compris ceux qui ne représenteraient pas, en apparence, un intérêt stratégique. L’interconnexion grandissante des systèmes d’information fait de chaque partie prenante un acteur d’une politique de sécurité globale. La politique de cybersécurité de Libre Logic, en interne et vis-à-vis des missions qui nous sont confiées par nos clients se veut avant tout pragmatique et s’appuie sur plusieurs axes. On peut notamment citer :
- Maîtrise des technologies
- Sécurisation des serveurs
- Sensibilisation permanente des consultants et des clients
- Gestion renforcée des postes utilisateurs
- Système de sauvegardes éprouvés
Pour évaluer le niveau de sécurisation d’un système d’information, des tests réguliers doivent être réalisés, par exemple des tests de restauration de sauvegarde, des simulations d’interception de données, des campagnes de hameçonnage/harponnage fictives, etc.
Pilotage et réalisation de migration du SI
Libre Logic est intervenu sur plusieurs projets de migration de système d’information, pour passer d’un hébergeur à un autre sur un rôle de :
- Organisateur : pour concevoir et planifier la migration, assurer l’interface entre les parties prenantes, assurer le pilotage du projet et valider le déploiement réalisé (tests) ;
- Réalisateur : commander les machines nécessaires chez un nouvel hébergeur, réaliser le déploiement des applications, etc.
Conclusion
L’offre de service de Libre Logic pour la gestion d’un système peut être résumée comme suit : une approche guidée par le pragmatisme et l’efficience, rendue possible par :
- L’intervention en tant que DSI déléguée (stratégie, vision long terme)
- La maintenance en condition opérationnelle voire l’optimisation du système d’information existant