Saint-Gobain élargit sa stratégie multi-Cloud
Saint-Gobain va élargir sa stratégie IaaS. Jusqu’ici limitée au développement et aux tests, celle-ci va s’étendre aux applications de production à la rentrée. Originalité de cette stratégie, elle s’appuie à la fois sur Amazon Web Services et Numergy
Comme toutes les grandes entreprises françaises, Saint-Gobain est en train de mener ce que l’on appelle aujourd’hui sa transformation numérique. Pas simple pour celle-qui fut la Manufacture Royale des Glaces créée par Colbert en 1665.
Aujourd’hui, le groupe s’est positionné sur l’habitat durable et compte plus de 180 000 personnes. Il est présent dans 64 pays. « Pierre-André de Chalendar [NDLR : L’actuel PDG de l’entreprise] considère que nous sommes dans une ère de révolutions qui est équivalente à celle de l’arrivée de l’imprimerie en son temps », souligne Eric Merlateau, responsable du catalogue de services IT à la DSI du groupe. « Au cours des 350 dernières années, Saint-Gobain a toujours su évoluer, se transformer, et nous sommes aujourd’hui à un nouveau moment clé dans l’histoire de l’entreprise ».
L’infrastructure IT doit gagner en agilité
L’informatique du groupe est bien évidemment aux avant-postes de cette transformation, et pas uniquement ses développeurs. Côté exploitation informatique, les choses s’accélèrent.
« Pour les équipes IT cela signifie beaucoup de projets de transformation des processus, de nouvelles technologies embarquées qui arrivent, et faire preuve d’une plus grande agilité dans les projets. Pour nous, côté infrastructure, nous avons besoin d’aller plus vite, faire preuve de plus de souplesse pour répondre à ces enjeux. Le Big Data est, avec la sécurité, l’un des éléments sur lesquels nous investissons beaucoup aujourd’hui, mais le Big Data est associé très étroitement à la notion de Cloud ».
Au niveau IT, l’entreprise s’est très largement mondialisée. Le groupe compte une centaine de centres de développement, des centres de tailles très diverses et répartis dans le monde entier. Certains comptent plusieurs centaines de développeurs, d’autre ne comptent que 2 ou 3 développeurs qui travaillent sur une seule application.
Pour servir ces centres de développement, Saint-Gobain a mis en place une organisation régionale composée d’une dizaine de centres qui assurent le support avec des call-center et qui gèrent des datacenters locaux pour certains, même si la stratégie a été de concentrer les ressources au niveau groupes dans un datacenter infogéré à Paris.
Une stratégie de concentration de moyens qui permet d’atteindre une certaine excellence opérationnelle reconnue en interne, comme le souligne le responsable, mais qui implique des contraintes et des délais relativement longs lorsqu’il s’agit de déployer de nouvelles machines pour réaliser un démonstrateur, par exemple. C’est la raison pour laquelle Eric Merlateau s’est intéressé à la solution SelfDeploy de LinkByNet.
Ne plus avoir de 1 à 3 mois d’engagement pour réserver des serveurs auprès de nos infogérants
Eric Merlateau, Saint-Gobain
« Nous avions 4 objectifs. Il y avait bien sûr l’agilité et répondre au besoin des projets qui requièrent de pouvoir tester rapidement des concepts. Nous devions leur livrer plus rapidement des serveurs. Nous devions être flexibles et ne plus avoir de 1 à 3 mois d’engagement pour réserver des serveurs auprès de nos infogérants, rester performants d’un point de vue financier tant du point de vue des coûts d’investissement que des coûts récurrents. Enfin, notre dernier objectif était d’atteindre une certaine simplicité. Nous avons une centaine de centres de développement et nous voulions proposer à nos développeurs une plateforme où souscrire simplement à des serveurs, et ainsi faire face au phénomène du Shadow IT où ces développeurs iraient louer leurs serveurs directement dans le Cloud public. Il nous fallait donc une interface simple et ergonomique qui ne soit pas réservée à nos administrateurs systèmes mais ouverte à une population diverse de développeurs ».
Cette interface baptisée CloudInfra4SG par Saint-Gobain, c’est en fait la solution SelfDeploy développée par LinkbyNet.
Johnny Da Silva, CEO SelfDeploy et directeur de la division Cloud de LinkbyNet explique ce qui a poussé le prestataire à développer ce portail : « On est aujourd’hui à un moment pivot. On ne se pose plus la question de savoir si on va aller dans le Cloud, mais plutôt comment on va l’utiliser. Le Cloud Service Brokerage, c’est aider nos clients à sélectionner puis utiliser les services cloud de la meilleure façon possible en fonction de leurs besoins ».
Le prestataire s’est appuyé sur une étude Rightscale de 2015 sur les entreprises de plus de 1000 employés qui montre que plus de 3% des répondants affirment ne pas avoir de stratégie Cloud.
La majorité a fait état d’une stratégie multi-Cloud. Face à ce besoin, le prestataire se positionne avec un portail qui se place en écran entre l’entreprise et les multiples services IaaS qu’elle peut utiliser.
« Le multi-cloud implique de devoir manipuler des interfaces d’administration différentes, appeler des API, des métriques différentes. La difficulté devient forte et c’est un frein à l’adoption de cette stratégie multi-cloud. Dans un contexte multi-cloud, on a besoin d’interfaces communes, on a besoin de pouvoir gérer un ensemble de services chez des prestataires différents, c’est pourquoi nous avons développé l’outil SelfDeploy, notre portail de Cloud Service Brokerage ».
« Très tôt, notre vision s’est rapprochée de ce que l’on nomme aujourd’hui le Cloud Service Brokerage », commente Eric Merlateau « pour répondre aux nouveaux besoins, étendre notre « legacy » infogéré avec les avantages du Cloud tout en permettant à nos utilisateurs de s’y connecter via l’intranet. Nous voulions qu’ils bénéficient des avantages de divers services Cloud, sans être lié à un seul fournisseur Cloud. »
Avec la solution SafeDeploy de LinkbyNet, les développeurs de Saint-Gobain peuvent obtenir des VM immédiatement. Ils disposent de templates Windows, Linux Red Hat, CentOS conçue par la DSI du groupe, ainsi que des instances SQL Server et prochainement Oracle.
Nous voulions continuer sur le mode infogéré, mais sur le Cloud
Eric Merlateau, Saint-Gobain
« Une des contraintes fortes de ce projet était que l’administration des OS est réalisée au niveau de la DSI groupe. Nous ne voulions pas que cette responsabilité bascule chez les développeurs. Nous avions donc besoin d’une couche de services managés qui contiennent cette administration OS, et ne pas nous contenter de fournir de l'IaaS pur et laisser les développeurs seuls avec leurs VM pour se dépanner. Nous voulions continuer sur le mode infogéré tel qu’il existe pour notre legacy, mais sur le Cloud avec Linkbynet qui assure ce support via un ticketing accessible dans le portail Cloud ».
Les machines virtuelles Cloud sont créées par les développeurs dans un VPC (Virtual Private Cloud) lui-même connecté au SI interne Saint-Gobain par liaisons VPN. « Ce VPC n’est pas ouvert sur Internet et cela permet de faire des PoC, et surtout tester les interfaces entre applications. Beaucoup d’applications Saint-Gobain sont interfacées les unes avec les autres et pour les développeurs, il était vital de disposer de ces interconnexions ».
Cette intégration au réseau du groupe permet au portail d’être connecté à l’Active Directory Saint-Gobain et ainsi bénéficier du SSO. « L’utilisateur peut ainsi accéder au portail sans devoir s’authentifier. C’est comme cela que nous gérons finement les droits d’accès aux VM. Le développeur d’un centre de développement peut accéder à n’importe quelle VM créée par son centre de développement. Cela semble assez simple comme cela, mais ce n’est pas si simple que cela à mettre en œuvre ».
Pour que la RSSI autorise cette extension du SI vers le cloud public, il a fallu intégrer ces contraintes.
Tous les templates des machines virtuelles à disposition des développeurs sont dotées de l'anti-virus standard Saint-Gobain, font l’objet un patching critique automatique.
Des centaines de points de sécurité ont été vérifiés avant la mise en production de la plateforme Cloud. « Nous avons de très bons retours des utilisateurs de ce portail, et nous avons même pu le tester depuis smartphone et cela fonctionne très bien. Cette simplicité est un gros facteur de succès de CloudInfra4SG. Les promesses sont tenues sur les 4 points clés de départ. Les développeurs disposent de VM en moins de 20 minutes, sans engagement avec un usage à l’heure, économiquement, c’est très intéressant avec un prix de la VM « Small » de l’ordre d’un euro par jour en utilisation heures ouvrées. Enfin, nous avons l’intégration au SI qui leur permet de se connecter au portail en SSO ».
Des applications de production à partir de septembre 2015
Alors que l’idée d’ouvrir ce cloud date du début de l’année 2014, celui-ci est opérationnel dans sa première phase depuis septembre 2014.
L’usage est encore limité aux développements et tests et mise en place de « proof of concept » par les développeurs. « Nous avions notamment à gérer la fin de support de Windows 2003 qui nous a imposé de tester rapidement nos applications sous Windows 2008 et Windows 2012. Cela a été notre première utilisation de notre plateforme Cloud. La deuxième ligne de service sur laquelle nous sommes en train de travailler apportera plus de services d’administration, avec notamment des SLA sur le redémarrage en cas d’incident. Ce service d’exploitation est prévu pour la fin de l’été 2015 ».
Les applications non-critiques de Saint-Gobain pourront être portées par des services de Cloud public Car si CloudInfra4SG a démarré avec Amazon Web Services, l’offre a été depuis complétée par des instances Numergy.
« Nous avons fait le choix de partir sur Amazon Web Services car la localisation de leurs datacenters correspondait assez bien à la localisation de nos métiers. Le Cloud souverain Numergy vient compléter Amazon sur certaines applications critiques du groupe Saint-Gobain ». En outre, la mise en place d’une DMZ sur cette offre managée permettra notamment la mise en place de sites Internet.
Sur ce sujet
Au niveau de la criticité des données, c’est à chaque métier de Saint-Gobain d’estimer si ses données sont éligible ou pas au Cloud, celles qu’ils vont placer chez Amazon celle qui iront chez Numergy et celles qui doivent absolument rester sur les serveurs Saint-Gobain.
« C’est un sujet qui a beaucoup évolué depuis le démarrage du portail en septembre. Amazon a obtenu des certifications, l’arrivée de Numergy va permettre d’élargir le périmètre d’applications, c’est certain. L’exposition au Patriot Act reste un sujet et c’est à chaque métier d’estimer si c’est un problème pour lui ou pas. Nous avons rédigé un document, le « Management of Risk for Using Cloudinfra4SG» dans lequel on explique les risques auxquels on s’expose. Au métier de décider si la donnée qu’il compte y mettre présente un risque en termes de criticité par rapport au métier ou par rapport à des clauses légales, notamment sur les données personnelles que l’on n’a pas le droit de mettre n’importe où ».
Pour l’heure, le portail CloudInfra4SG a atteint ses premiers objectifs, notamment celui de simplifier l’accès au Cloud par tous les développeurs. Plus simple à manipuler que les interfaces d’administration d’Amazon ou de Numergy, il permettra aux développeurs de créer de la même façon des machines virtuelles sur Microsoft Azure ou sur Softlayer si jamais la DSI décide d’ajouter ces fournisseurs cloud à son portefeuille de services. La force d’une stratégie multi-cloud, sans ses inconvénients.