Thomas Reimer - Fotolia

La Poste : le dur labeur d’une transformation numérique en profondeur

A l’occasion des Assises de la Sécurité, Patrick Langrand, RSSI groupe de La Poste, est revenu sur les importants efforts récemment consentis par l’entreprise pour effectuer sa mue numérique.

Le contexte ne surprendra plus personne : face à la démocratisation d’Internet, la Poste a dû évoluer. Elle a donc engagé, il y a quelques années, un vaste plan de transformation numérique. Intervenant lors d’un atelier organisé aux Assises de la Sécurité, début octobre dernier, Patrick Langrand, RSSI groupe de l’entreprise, appelle tout de suite à la prudence : « cela peut paraître très simple », exprimé ainsi, mais une telle transformation a d’importantes implications, tant organisationnelles que techniques.

Début 2010, Patrick Langrand décrivait ainsi Internet : « la pire des choses qui nous soit arrivée depuis 10 ans ». Un boîte de Pandore, en somme : « en l'ouvrant, on s'est créé du business mais on s'est créé aussi beaucoup de soucis ». Fidèle à son ambition de « travailler dans l'anticipation », dans la mesure du possible, mais toutefois contraint par la réalité, il a donc posé la question, il y a deux ans, avec ses équipes, de l’évolution des infrastructures du groupe, pour arriver à un constat : l’impératif d’une rupture, du passage à un modèle qu’il définit comme celui d’un « opérateur ».

De fait, la Poste était confrontée à une croissance importante de ses flux réseaux, mais aussi des interactions avec ses partenaires ou encore ses clients pour finalement se retrouver avec ce dont de plus en plus d’entreprises font régulièrement l’expérience : la connexion avec beaucoup de choses « en dehors de l’entreprise ». De quoi faire émerger le « besoin de repenser l’accès et la circulation des flux », explique Patrick Langrand.

La recherche de partenaires, fiables

Pour concevoir et déployer sa nouvelle architecture, le RSSI groupe de la Poste a voulu trouver des partenaires fournisseurs fiables et aux offres solides. C’est Fortinet qu’il a retenu pour adresser « la couche frontale », seul selon lui répondant à ses besoins – et qui a su faire la démonstration d’une forte réactivité lors des démonstrateurs, notamment pour les développements additionnels requis.

« Nous devions adresser le monde de l’entreprise étendue », comprendre : « pouvoir gérer une multitude d’accès différenciés », qu’il s’agisse de mobilité, de partenaires de confiances connectés en point à point, ou encore d’Internet en entrée, mais aussi de publication de services Web accessibles de l’extérieur.

Sans oublier bien sûr les services Cloud utilisés en interne : « des partenaires capables de nous accompagner dans ce domaine-là, il n’y en a pas tant que ça […] Sur les bancs de test, beaucoup ne passent pas, que ce soit en qualité de services ou en performances ».

Tout cela avec des niveaux de sécurité « plus ou moins sophistiqués en fonction de la provenance des flux et de la criticité », mais sans sacrifier les performances et la qualité de service et surtout pas – autant que possible – l’expérience utilisateur. Car, souligne Patrick Langrand, « il faut rendre la sécurité de plus en plus transparente – moins on en parle et mieux on se porte. Les clients ne veulent pas en entendre parler ; ce n’est pas leur problème. Ils veulent consommer et c’est à nous qu’il revient de garantir que cela se fait en sécurité ». Mais cette transparence, côté consommateur des services numériques, se traduit, côté producteur, par une complexité accrue : « il faut embarquer des fonctions de sécurité dans les couches de transports et applicatives ».

Faire adhérer les métiers

Mais un projet d’une telle ampleur ne va pas sans douleur. Et cela commence par un important travail d’inventaire avec, à la clé, des surprises : « vos maîtrises d’ouvrage, métiers, n’hésitent pas à faire des raccordements que vous ne connaissez pas et que vous n’avez pas vus, et peuvent parfois présenter de sérieux risques ». Et la commence la difficulté : définir les façons de « nettoyer » tout cela, avec les acteurs concernés : « nous avons beaucoup de métiers différents, cela n’aurait pas de sens de mettre tout au même niveau d’exigence que la banque. Aucun métier n’y adhèrerait ».

La question de la qualité de service s’est également vue accorder une grande importance, précisément pour renforcer les chances d’adhésion des métiers au programme.

Mais ce n’est pas tout. L’une des clés de sa réussite se trouve dans ses origines : « c’est un projet co-construit avec les métiers », explique Patrick Langrand. Si la vision avait été clairement posée – et l’agenda rigoureusement défendu par les équipes du RSSI –, c’est bien cette co-construction qu’identifie Patrick Langrand comme déterminante. D’autant plus qu’un projet d’une telle ampleur n’induit pas des investissements à trois ans, mais à bien plus longue échelle.

Des regrets et des projets

Mais tout n’est pas rose, et le RSSI groupe ne manque pas de regrets, dont un en particulier, qu’il évoque avec modestie : « je ne pas su vendre l’idée d’embarquer l’infrastructure des centres de calcul en même temps ». Mais voilà, désormais, ses équipes réalisent qu’il faut gérer l’interface entre la nouvelle architecture et le patrimonial : « cela pose de vraies questions d’urbanisation des moyens d’accès dans les centres de calcul », explique-t-il.

Si les économies liées à la mise au rebut de technologies empilées « sur 10 ans – dont on ne sait pas toujours si c’est optimal – » semblent là, elles pourraient être plus complètes. En particulier, les équipes de production, « obligées de maintenir des compétences sur des technologies diverses et variées » pourraient être « décongestionnées ».

Mais pour aller plus loin, il faudra donc désormais convaincre chaque responsable de production. Alors à l’audience de l’atelier durant lequel il s’exprimait, Patrick Langrand adresse un conseil, un seul : « si vous avez à faire ça dans votre entreprise, pensez à ce que je viens de vous dire. Il faut absolument embarquer toute la chaîne ».

Ce programme a également été l’occasion de poser de nombreuses questions, en particulier sur le choix d’externaliser ou internaliser certaines compétences. D’ici la fin de l’année, le débat sera d’ailleurs tranché pour la protection des postes utilisateurs : « je ne suis pas sûr que l’on soit les plus performants aujourd’hui pour cela », reconnaît Patrick Langrand, tout en défendant l’internalisation de certaines compétences clés en matière de sécurité.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close