Comment CMS Bureau Francis Lefebvre transforme son SI avec le IaaS
Qui dit cabinet d'avocats, dit données hautement confidentielles. C'est pourtant vers le Cloud que le DSI de CMS Bureau Francis Lefebvre s'est tourné pour rénover son système d'information. Un Cloud néanmoins très privé et taillé sur mesure pour ses avocats.
C'est à l'occasion du déménagement de son siège parisien, en mars 2015, que Philippe Agazzi, le DSI de CMS Bureau Francis Lefebvre a étudié les différentes options qui s'offraient à lui : construire une nouvelle salle informatique ou externaliser son informatique. Ce cabinet d'avocats compte 580 collaborateurs, dont 104 associés. Il fait partie du réseau CMS qui réunit dans 53 bureaux dans le monde plus de 3 000 avocats pour un effectif total qui dépasse 5 500 personnes. Migrer l'ensemble de son infrastructure informatique était un projet à haut risque.
Plusieurs options s'offraient alors à Philippe Agazzi, le DSI : "nous avons mené deux réflexions de front. D'une part, nous réfléchissions à comment améliorer la sécurité et la disponibilité de notre infrastructure et d'autre part, nous devions mener à bien le déménagement qui s'annonçait." Le cabinet disposait d'un datacenter installé dans ses locaux mais ce dernier ne garantissait pas le niveau de sécurité des datacenters actuels des opérateurs Cloud : "nous avons connu quelques arrêts de production par le passé. Ceux-ci étaient exclusivement dus à des problèmes de climatisation avec des alarmes de température qui n'ont pas été relayées par la société de gardiennage, ainsi que des problèmes électriques provenant du réseau EDF."
Rapidement, l'option de rebâtir une salle blanche dans les nouveaux locaux est écartée, car outre une infrastructure qui arrivait en fin d'amortissement et qu'il fallait renouveler, Philippe Agazzi voulait améliorer la disponibilité des applications ainsi que la sécurité du système d'information avec la mise en place d'un vrai PCA (Plan de Continuité d'Activité). Toute l'infrastructure était déjà virtualisée sous VMware et redondée, mais physiquement, tous les serveurs étaient placés dans la même salle. Le DSI veut désormais deux datacenters pour supporter la production informatique du cabinet. "Très vite, nous avons pris la décision de ne pas créer de datacenter dans nos nouveaux locaux et d'externaliser notre production informatique pour n'avoir absolument aucun serveur dans le nouvel immeuble."
Provadys est choisi pour imaginer une alternative Cloud
Pour mener à bien cette remise à plat de l'architecture de son système d'information, le DSI s'est tourné vers Provadys, un cabinet de conseil préféré pour son approche pragmatique : "Ils ont à la fois une approche stratégique pour parler avec notre board et technique pour aborder les solutions opérationnelles". Le projet a été mené de manière assez classique avec l'analyse du besoin, la rédaction du cahier des charges. "Un point important des discussions menées avec les prestataires auprès desquels nous allions externaliser notre système d'information, était de savoir qui allait le manager, comment allait être réalisée l'infogérance. Avoir une meilleure disponibilité, cela voulait dire plus de surveillance de l'environnement technique et applicatives, donc soit des astreintes chez nous, soit nous appuyer sur un tiers mainteneur. C'est là que l'idée du Cloud s'est imposée à nous."
Bien entendu, en tant que cabinet d'avocats, les données stockées sont hautement confidentielles et l'option du Cloud public n'avait pas lieu d'être, le DSI lui préférant l'idée d'un Cloud privé sur mesure. "L'objectif était que personne ne puisse accéder à nos données. Nous voulions à la fois pouvoir bénéficier des avantages financiers qu’offre le cloud mais avec une sécurité personnalisée (tiroirs de disques et serveurs lames qui nous soient totalement dédiés). Cette approche est plus coûteuse qu'un Cloud totalement mutualisé, mais ainsi nous pouvons être certains que nos données ne peuvent pas être accessibles par un tiers."
Avec de telles exigences, plutôt que d’opter pour les grands opérateurs Cloud aux offres de services standardisées, Philippe Agazzi a préféré se tourner vers des intégrateurs qui se positionnent aujourd'hui sur le marché Cloud. "Nous avons sélectionné Veepee car ils bénéficient de la solidité financière du groupe Spie. En outre, ils ont proposé une infrastructure cible s'appuyant sur NetApp, VMware et Cisco. Nous sommes partenaires NetApp depuis de nombreuses années et totalement satisfaits de leurs solutions. Mes équipes sont formées sur leurs produits, et même si c'est aujourd'hui Veepee qui assure la gestion de notre infrastructure, dans la construction de la solution et la validation de l'architecture technique, mon équipe était totalement partie prenante. Ce fut, selon moi, l'une des clés du succès de ce projet."
L'architecture cible issue de ce travail de conception met en œuvre 2 datacenters accessibles via deux liens Internet physiquement indépendants. Les ingénieurs se sont assurés que ces liens ne se croisent jamais entre les locaux du cabinet et les deux datacenters. Ainsi, il y a bien deux arrivées réseaux différentes dans le nouvel immeuble. Outre le cluster VMware, l'infrastructure hébergée dans ces deux datacenters met en œuvre l'architecture MetroCluster de NetApp. Cette architecture de stockage assure une réplication en permanence des données sur les deux datacenters. Une configuration qui assure une continuité de service en cas de défaillance sur l'un des deux sites.
Un contrat Cloud sur-mesure
Une fois le choix du prestataire arrêté, il a fallu environ 3 mois à CMS Bureau Francis Lefebvre et Veepee pour contractualiser la prestation. "Nous avons écarté le contrat type tel qu'il nous avait été proposé par Veepee et avons voulu réécrire un contrat avec le service juridique de Spie et Maître Anne-Laure Villedieu, associée du cabinet spécialiste en IT. Nous voulions à la fois un contrat qui réponde aux engagements sur la qualité de service et qui nous assure une réversibilité. C'est bien d'aller dans le Cloud, mais c'est mieux de savoir comment on peut en sortir dès la signature du contrat si l’on ne veut pas que cela devienne compliqué et couteux."
En outre, le DSI a exigé que Veepee soit certifié ISO 27001 afin d'être certain que le prestataire mette tout en place en termes de processus internes afin d'assurer la sécurité de son infrastructure. Cette certification figure parmi les clauses de résiliation du contrat.
En termes de SLA, le contrat comporte des métriques classiques dont un taux de disponibilité à 99,999 % (« cinq neuf ») mais les discussions ont été plus compliquées quant aux pénalités associées aux SLA. "Comme tout opérateur Cloud, ils ont proposé 4 h d'indisponibilité avant pénalité", explique Philippe Agazzi. "J'ai préféré que nous cumulions ces 4 h sur l'année, car avoir 8 fois une demi-heure d'indisponibilité peut être très pénalisant pour nos utilisateurs. En outre, on souhaite pouvoir prendre en compte, non pas de la disponibilité technique, mais de la disponibilité perçue par les utilisateurs. Un temps qui inclut notamment le temps nécessaire à remonter les applications en cas d'incident. Nous ferons un point en fin d'année pour analyser l'impact réel des indisponibilités et voir quelles pénalités appliquer."
Sur le volet réversibilité du contrat, le DSI s'est montré intraitable : "Nous pouvons sortir du contrat à tout moment, sans justification. L'opérateur s'est engagé à nous remettre toutes nos données sans coût associé et dans un délai très court. S'il y a des fautes constatées, non-respect des engagements, le contrat prend fin immédiatement, mais nous pouvons aussi y mettre fin quand nous le décidons."
Devant une telle exigence qui peut sembler très déséquilibrée vis-à-vis du prestataire qui a réalisé l'acquisition des équipements, le contrat prévoit le calcul des compensations pour ce dernier en cas de sortie prématurée du contrat. "Nous ne paierions alors que ce que nous devons pour la fin du contrat, mais sans la marge de l'opérateur ni le service de maintenance pour la fin de contrat, soit entre 70 à 80 % des pénalités", précise le DSI.
Un déménagement réalisé le jour J... grâce au Cloud
La phase de préparation du projet a pris plusieurs mois lors desquels les équipes de la DSI ont travaillé avec les équipes de Veepee afin de préparer puis mener à bien la phase migration. "Vu les volumes de données, notamment les bases Microsoft Exchange, nous avons réalisé les transferts lors des week-ends du mois d'août et la nuit pour qu'il y ait le moins de coupures possibles pour les utilisateurs. Nous avons réussi à ne pas pénaliser les utilisateurs lors de cette phase délicate".
Septembre 2014, l'infrastructure Cloud était en place, bien avant le déménagement prévu pour mars 2015. En décembre 2014, les équipes de Philippe Agazzi commençaient à installer les switches dans le nouvel immeuble et testaient les accès Internet et le réseau Wi-Fi. "Fin janvier 2015, Nous étions pleinement opérationnels, tout avait été testé et recetté. Lorsqu'ils sont arrivés le premier jour, les avocats pouvaient connecter leurs ordinateurs au réseau exactement comme ils le faisaient dans l'ancien bâtiment. C'est a posteriori que nous avons constaté que si nous n'avions pas mené ce projet d'externalisation de l'informatique, nous n'aurions jamais pu déménager la salle informatique dans les temps. En effet, il y a toujours des aléas en cours de travaux et une nouvelle salle informatique n'est exploitable qu'à partir du moment où elle est hors poussière. Elle aurait donc du être achevée bien avant le déménagement, ce qui n'aurait pas été possible dans le calendrier initial."
Après quelques ajustements, la nouvelle architecture Cloud de CMS Bureau Francis Lefebvre fonctionne désormais de manière optimale. Le DSI travaille maintenant au pilotage du contrat. Un comité de pilotage trimestriel est réalisé afin de faire un point sur les problèmes rencontrés, un point financier et afin de gérer les évolutions du contrat (nouveaux besoins de stockage, stockage low cost pour du test, etc.).
"Ce projet de migration des infrastructures est un vrai succès et nous réfléchissons maintenant comment aller plus loin. Nous étudions désormais une possible hybridation entre Veepee et Microsoft Azure sur des données non stratégiques. Nous songeons aussi à migrer notre messagerie vers Office 365...", conclut Philippe Agazzi. L'année 2016 sera une nouvelle fois marquée du sceau du Cloud pour CMS Bureau Francis Lefebvre.