Le répartiteur pharmaceutique CERP Rouen engage une stratégie « Move to Cloud »
Filiale du groupe coopératif de pharmaciens Astera, CERP Rouen reste fidèle à IBM pour mener à bien la migration de son système d’information, qui s’appuie sur des mainframes, vers le cloud public. Une étape clé dans sa transformation digitale.
Grossiste répartiteur, CERP Rouen assure la distribution au quotidien de 32 000 produits pharmaceutiques auprès de 7 500 officines en France. L’entreprise a dû faire face à une brusque augmentation de son activité au début de la pandémie de COVID-19 et au début du confinement, notamment pour assurer la distribution des masques chirurgicaux à destination des professionnels de santé.
Ce surcroît d’activité a été plutôt bien absorbé par les systèmes informatiques de la DSI. Comme l’explique Christophe Plessis, DSI du groupe Astera, « une grande partie du surplus d’activité a été supportée par nos applications “core business” sur IBM System Z et System I. Il s’agit d’infrastructures mutualisées hébergées chez IBM, qui, avec le mécanisme d’overcapacity, nous ont permis de passer ce cap sans soucis ».
En effet, le SI de CERP Rouen est essentiellement construit autour d’applications mainframe développées il y a une trentaine d’années – des applications Cobol, RPG, sur IBM Z et I – et de quelques ERP dans les Business Units, comme Infor M3 pour la plus grosse société du groupe et Sage pour les plus petites.
Le dépassement de capacité initial lors de l’épisode du COVID-19 s’est traduit par quelques ajustements, notamment un surcoût lié à l’utilisation de ressources matérielles supplémentaires. Mais ces ajustements sont restés à la marge. Les applications x86 n’ont pas été impactées par ce coup de chaud sur l’activité du répartiteur. « Si le confinement a représenté de grosses journées de travail pour les équipes logistiques, ce ne fut qu’une formalité pour l’équipe informatique », ajoute le DSI.
Une migration vers le cloud public pour réduire les coûts d’infrastructure
Si l’infrastructure « legacy » qui porte les applications critiques du répartiteur a tenu le choc, le DSI a néanmoins finalisé ses réflexions sur un projet de type « Move to Cloud » à l’issue du premier confinement.
Christophe PlessisDSI du groupe Astera
L’objectif numéro 1 de ce chemin vers le cloud public est de tailler dans les coûts de production de l’infrastructure. « Nos plateformes IBM nous coûtent bien évidemment de l’argent, mais surtout, notre plan de reprise d’activité nous demande d’avoir une infrastructure en double. Le cloud donne l’opportunité de mettre en place un PRA sans cette contrainte d’avoir deux infrastructures identiques, avec la possibilité d’avoir une infrastructure qui représente environ 1,3 fois notre besoin et de provisionner dans le cloud des machines pour démarrer notre PRA, en cas de besoin ».
Le DSI estime que ce changement d’approche va permettre d’épargner de 50 % à 60 % des ressources IT qui n’étaient pas utilisées. Soit un gain financier de l’ordre de 15 % du budget infrastructures.
L’autre avantage de mettre en place un PRA dans le cloud, c’est que celui-ci est désormais à plusieurs centaines de kilomètres de distance (une bonne pratique dans le PRA étant d’optimiser la distance entre les sites), contre seulement 30 km aujourd’hui entre le datacenter de Montpellier et celui de Grabels. Demain, il sera entre Clichy et Francfort.
Migrer ces infrastructures IT vers le cloud a aussi une raison purement « démographique » pour CERP Rouen. « Nos développeurs Z et I sont très expérimentés, ils s’approchent de la retraite et trouver des ressources Cobol devient de plus en plus difficile et de plus en plus onéreux. Ce projet va nous permettre d’aller vers un replatforming de ses applications sous forme de microservices et, à moyen terme, de déporter certains microservices vers le cloud ainsi que de basculer progressivement vers des technologies plus actuelles ».
Christophe PlessisDSI du groupe Astera
Actuellement, l’ensemble des infrastructures du groupe coopératif sont hébergées chez IBM à Montpellier et à Grabels, pour les infrastructures I-Series et Z Series Mutualisé. Les infrastructures x86/Linux sont provisionnées en mode IaaS, mais dans une approche de cloud privé, les machines appartenant à CERP. « Notre volonté est d’aller aujourd’hui vers le cloud public et notamment de migrer une partie de nos infrastructures x86 Windows et Linux vers le cloud public d’IBM, pour aller chercher des services PaaS ou SaaS au-delà du IaaS ».
Le DSI a fait le choix de rester fidèle à IBM dans son projet de « Move to Cloud », l’ESN ayant à la fois une bonne connaissance de l’environnement IT existant, mais en proposant des modalités techniques de migration bien plus simples que celles proposées par les autres acteurs du cloud consultés.
« La création d’environnement cloud est quasi transparente pour nous, de même que le déplacement des machines virtuelles, alors que cela représentait un projet bien plus conséquent avec d’autres acteurs cloud et donc une prise de risque plus élevée pour nous », résume le DSI.
Agnieszka Bruyère, Vice-Présidente Cloud & Cognitive Software chez IBM France ajoute que « CERP Rouen avait un vrai besoin de flexibilité vis-à-vis de l’activité de l’entreprise et un vrai enjeu financier avec une forte pression sur les coûts dans un secteur où le prix des médicaments est réglementé. Outre des instances x86 et VMware, nous avons la capacité de supporter des environnements I-Series dans notre cloud, dans un continuum avec les infrastructures Z mutualisées, et de garder une maîtrise end-to-end de l'infrastructure ».
La cybersécurité de l’infrastructure hybride au cœur du projet
Cette ouverture sur le cloud public du SI n’est pas neutre en termes de sécurité, et la protection du système d’information a dû être revue de fond en comble. « Une infrastructure hybride induit de nouveaux risques. Nous les avons identifiés et nous y avons répondu avec l’offre IBM, mais aussi des actions menées en interne comme la sensibilisation de nos administrateurs sur les risques cyber du cloud », explique Christophe Plessis.
Le groupe a renforcé ses processus d’habilitation. Par ailleurs, le cloisonnement des réseaux a été revu de même que le filtrage applicatif entre ces réseaux a été renforcé.
Christophe PlessisDSI du groupe Astera
Agnieszka Bruyère ajoute : « Une attention toute particulière a été apportée au volet cybersécurité du projet. Nous avons mis en place des dispositifs de protection réseau de type IPS, renforcé la gestion des vulnérabilités, mis en place des puits de logs ».
La sécurité du système d’information a été notoirement renforcée et un autre aspect de la sécurité des données a été repensé : la gestion des sauvegardes, que l’on considère souvent comme le dernier recours en cas d’attaque avérée. « Le cloud nous a permis de moderniser notre politique de backup et de sauvegardes », explique le DSI. « Nous disposions jusqu’à maintenant d’une réplication des machines en quasi-temps réel, ce qui posait le problème de la compromission d’une ou plusieurs machines de production. Les données infectées pouvaient être instantanément répliquées sur les machines de PRA. Désormais, nos backups sont transférés sur le PRA de Francfort, sur des machines non actives. Cette nouvelle architecture de sauvegarde nous permet de conserver un état initial et de redémarrer assez rapidement en provisionnant de nouvelles machines, avec un temps de provisioning de l’ordre de 4 heures ».
Cette approche serait moins coûteuse que de maintenir des machines de secours en parallèle à la production. Mais « nous perdons en délai, car notre PRA était pratiquement un PCA. Néanmoins, une poignée de serveurs à Francfort nous permettront de redémarrer très rapidement les services essentiels, si ceux-ci ne sont pas compromis, et de disposer d’un historique de backup nous permettant de redémarrer l’ensemble des applications à un état antérieur. On perd un peu en délai, mais on gagne beaucoup en sécurisation de nos données ».
Ce nouveau PCA dans le cloud constitue un moyen d’améliorer la résilience du système d’information d’Astera face aux cyberattaques, car, comme le souligne Agnieszka Bruyère, « le risque cyber est aujourd’hui bien plus élevé que celui de l’inondation d’un datacenter ».
Du « Lift and Shift », avant un replatforming progressif des applications critiques
Le plan de migration élaboré par la DSI et IBM inclut dans un premier temps un volet « Lift and Shift » des applications métiers et des machines d’un environnement à l’autre. Mais à moyen terme, le DSI ne veut pas s’en contenter. Il envisage un vrai replatforming pour bénéficier de ressources PaaS.
« Sur quelques applications métiers, nous n’avons ni les moyens ni le temps de mener de grands projets de replatforming, donc on se contentera de Lift & Shift. Mais nous avons établi une roadmap de transformation de notre existant, avec une phase d’APIsation de notre patrimoine applicatif par pôle d’activité ».
Christophe PlessisDSI du groupe Astera
Cette approche va permettre à CERP Rouen de mixer les développements avec du Cobol exposé sous forme d’API et des nouvelles applications x86 qui vont consommer ces API. « À l’avenir nous redévelopperons ces API afin de passer progressivement de COBOL à Java, mais uniquement lorsque ce sera nécessaire. Nous adoptons donc une approche de migration lente et contrôlée de notre patrimoine applicatif pour converger vers une architecture cible à base de microservices ».
Pour mener à bien cette transformation du système d’information, Astera vient d’inaugurer un nouveau pôle numérique à Rouen. Sa vocation est transverse à la DSI. Cette nouvelle structure va porter les projets numériques du groupe coopératif en méthodes agiles et DevOps. Cette structure démarre ses activités avec une dizaine de personnes formées à Scrum et montera à entre vingt et trente personnes, dans les quatre années à venir.
La coopérative va ainsi pouvoir mener ce plan de transformation digitale et notamment faire face aux futures échéances réglementaires, comme la directive sur la dématérialisation fiscale de l’ensemble des factures clients qui entrera en vigueur en 2023. Un projet important pour Astera, qui génère 25 millions de factures par an.