« Le plan d’assurance sécurité réalisé pour l’Armée de Terre contribue à notre dynamique d’amélioration continue »
Dans le cadre de sa publication spéciale sur la souveraineté numérique, idruide a interviewé Caroline Clabaut Castell et Arnaud Fargier, Responsable juridique et Directeur des opérations chez idruide.
AF → Il s’agit d’un document de cadrage qui vise à répondre aux exigences de l’Armée de Terre. idruide, en tant que fournisseur de services et de logiciels, s’attache à respecter les directives ministérielles, que l’on peut résumer ainsi : les solutions en mode Cloud doivent être adossées à des serveurs français. Ce n’était pas le cas jusqu’à présent, notre précédente version logicielle était hébergée en Belgique, chez Google Cloud Partner. Nous avons donc opéré une transition visant l’hébergement de notre solution, et de l’intégralité des données qu’elle manage, par un fournisseur français, et avec des serveurs situés en France.
C’est dans ce cadre que nous avons construit ce plan d’assurance sécurité, dont la finalité est à la fois externe – rassurer le MINARM sur les conditions d’hébergement et d’exploitation de l’information – et interne – profiter de ces exigences, qui nous tirent vers le haut, pour mettre en place des process toujours plus rigoureux. Le PAS traite aussi bien du recrutement que de l’intégration des collaborateurs, des modalités d’accès aux différents logiciels ou aux bureaux, etc.
AF → Ce n’est pas surprenant compte tenu du caractère potentiellement sensible des données à gérer. Pour idruide, répondre à ces attentes légitimes était un enjeu de pérennisation du contrat avec l’Armée de Terre et la Marine nationale. Le respect de ce cahier des charges s’inscrit de fait dans les ambitions du gouvernement français : la désadhérence envers les GAFAM, une réelle protection de l’information traitée par les éditeurs de logiciels, et le respect de la souveraineté de l’hébergement et de la localisation des données.
AF → Ce projet, qui implique de grands changements techniques et opérationnels, est effectivement une première, mais son impact va au-delà du MINARM. En effet, de plus en plus de collectivités s’engagent dans ce type de réflexion quand elles doivent faire un choix entre plusieurs solutions logicielles ; la primeur sera accordée à l’éditeur français en mesure de respecter la souveraineté du Cloud. Si le MINARM nous a poussés à revoir l’architecture de gestion des données, il a surtout ouvert la voie à d’autres clients publics qui auront sans doute les mêmes exigences à l’avenir. C’est donc une manière, pour les équipes d’idruide, de miser sur le futur. La labellisation « Cloud souverain » par le MINARM, qui acte notre haut niveau de conformité, va nous offrir un axe fort de différenciation sur le marché.
CCC → Ce document a été réalisé de manière collaborative, en mobilisant plusieurs directions – générale, opérationnelle, R&D, juridique… Plusieurs réunions d’équipe nous ont permis d’avancer, en identifiant les écueils à éviter et les gaps à franchir pour répondre aux exigences du cahier des charges. La principale difficulté a porté sur l’hébergement des données. Nous avons petit à petit levé les barrières qui nous séparaient de la pleine conformité, mais aussi mis en place de nouvelles procédures internes. Ensuite, tout a été formalisé par écrit.
AF → Au niveau technique, le changement d’hébergeur a nécessité un travail de rapprochement avec OVH, de discussions sur les services et de tarifs, et de mise en place de la solution – en nous attachant à prendre en charge les services non portés par l’hébergeur. L’évolution d’architecture a impliqué de multiples opérations : stockage du code, mise en place de plans de sauvegarde de la donnée, vérification de la bonne tenue des services, sachant que notre suite logicielle doit marcher 24 h/24 et 7 J/7. Nous avons dû repartir de zéro, mais nos langages de développement et la façon dont notre produit est architecturé, en services et micro-services, bénéficient des dernières technologies. La mise en œuvre avec OVH n’a donc pas représenté de complexité particulière. Le réel défi a consisté à maintenir le même niveau de services, la même garantie de bon fonctionnement opérationnel, ce qui a pris quelques mois. À la même époque, notre solution a été redesignée ; le PAS a donc été l’occasion de faire d’une pierre deux coups, en la sortant dans les bons serveurs.
CCC → L’étape suivante a été dédiée à l’appropriation, par les équipes d’idruide, du plan d’assurances sécurité. Notre approche de co-construction a facilité cette étape. Il a fallu communiquer sur le sujet afin que chacun comprenne son propre rôle dans cette dynamique, pour respecter nos engagements envers les clients et la conformité au RGPD.
AF → Les discussions ont notamment porté sur la bonne adéquation à trouver entre leur proposition contractuelle et nos attentes. Contrairement à Google Cloud Partner, qui propose une offre all inclusive, les services complémentaires correspondent à des briques tarifaires. Nous avons donc dû opérer le juste choix entre les services à prendre, le budget alloué et notre capacité à internaliser les services annexes. Par exemple, la partie « duplication de la donnée » a été gérée par nos équipes. Avec OVH, nous avons privilégié une démarche itérative, en différentes étapes progressives, notamment pour gérer le flux de données au quotidien et définir le fonctionnement le plus opérationnel possible.
CCC → Principalement, le fait d’être une petite équipe agile, motivée, ce qui favorise la réactivité. Nous sommes capables de nous remettre en question pour prendre les mesures adéquates, rectifier ce qui ne fonctionne pas, mobiliser rapidement les ressources et compétences internes – en réattribuant si besoin les priorités pour mettre au premier plan le PAS. C’est en se mettant, ensemble, autour de la table que l’on peut répondre aux problématiques.
AF → L’équipe commerciale y gagne aujourd’hui en termes d’arguments de vente. La labellisation « Cloud souverain » est un gage intéressant pour les acteurs publics, tous plus ou moins au fait des exigences des ministères. C’est une garantie supplémentaire, qui est un pas vers l’assurance qualité. Demain, idruide devra peut-être aller plus loin, pour intégrer les évolutions règlementaires du RGPD au bénéfice de ses clients, publics comme privés.
CCC → Nous sommes pleinement dans une logique d’amélioration continue, en adaptant ou en renforçant les process en place, aussi bien pour gagner en efficacité opérationnelle qu’en qualité de gestion des données.