Etape 1: sensibilisation aux enjeux/risques des mutations du numérique (et en quoi suis-je concerné?)
Présentation de sensibilisation
Les ressources mises à disposition ici répondent aux questions relatives au enjeux de Cloud PI Native et à leurs implications pour le numérique public:
- Pourquoi parle-t-on d'un "nouveau monde numérique" et quelle place y tient "le Cloud" ? Quels enjeux cela pose t-il pour le numérique public?
- Qu'est ce que la doctrine « cloud au centre »? A quelles problèmes répond-elle et avec quels leviers?
- Qu'appelle-t-on les technologies "cloud native"? Quel lien avec "le cloud"? Qu'est ce que permettent ces technologies?
- Que contient l'offre "Cloud Pi Native" du MIOM? Que peut-elle apporter à mon organisation/mon portefeuille de produits numériques?
Usager, citoyen, agent, responsable politique, se mobilisent pour que les services numériques publics soient aussi simples d'accès et d'utilisation, fiables et évolutifs que ceux que proposent (souvent "gratuitement") les grands acteurs privés du numérique. "Cloud Pi Native" est une offre de services du MIOM, ouverte à l'interministériel, visant à fournir les moyens de produire des applications de qualité, sécurisées et souveraines (au sens de "l'autonomie stratégique").
Conformement à la doctrine "cloud au centre", cette offre vise à tirer la pleine puissance du Cloud pour transformer le numérique public. Elle s'appuie sur un socle technologique, véritable "usine logicielle" à l'état de l'art, conçue pour le cloud (i.e. "cloud native") permettant la maitrise des standards des produits numériques (sécurité des données, RGPD, accessibilité, impact environnemental... ).
A travers un parcours unique, les produits numériques existants ou en cours de conception, pourront bénéficier: de l'hébergement sécurisé sur le Cloud Pi souverain, d'une usine logicielle permettant de déployer et gérer des produits "sans frictions" et d'un cadre normalisant la gestion des produits tout au long de leur cycle de vie. Les équipes minstérielles utilisatrices de l'offre bénéficieront d'un accompagnement adapté, jusqu'à l'autonomie. L'offre participe ainsi de la maitrise du patrimoine numérique en gagnant en intégration, visibilité, rationnalité.
Tous les jours de nouveaux domaines d’activités se font « disrupter » par de nouveaux acteurs du numérique: banques, information, transports, sociabilité, hotellerie/tourisme... Le paysage d'un "nouveau monde numérique" a émergé, en évolution rapide générant une complexité croissante. Paradoxalement, cette complexité technique s'accompagne d'une grande simplicité d'accès et d'une qualité technique des produits proposés qui les rendent extrèmement concurentiels. Les utilisateurs de Facebook, Google Docs, Netflix, ... ont pris l'habitude de cette simplicité d'utilisation (outils sans mode d'emploi), de cette fiabilité (pas d'interruption de service) et de cette continuité de l’expérience (pas de "Facebook 2.0" ou de "gmail 2.0: leurs fournisseurs améliorent en continu le service rendu).
Les usagers, dont les agents du service public, s'attendent logiquement à ce que leurs outils de travail soient au niveau de ceux qu'ils utilisent comme particuliers. Ils ont d'ailleurs tendance à faire rentrer les outils qu'ils pratiquent et apprécient dans leur sphère professionnelle (ex: Télégram ou Whatsapp). C'est ce qui explique que les acteurs du "nouveau monde numérique" ont peu à peu imposé leurs standards "de fait" y compris sur des points relevant de domaines régaliens (statut des données personnelles, certification de l'identité, émission de monnaie...). Pour cela les acteurs du "nouveau monde numérique" se sont appuyé sur:
- de nouvelles technologies de passage à l'échelle;
- de nouveaux modes de production plus efficace;
- de nouvelles normes culturelles portées par: le modèle commercial (ex: modèle "service contre données"), les choix techniques (ex: informatique ubiquitaire), des incitations comportementales (ex: partage de photos/informations pouvant être considérées comme relevant de la vie privée contre gain de notoriété) ou la captation de l'attention.
Se doter des moyens de produire et diffuser un numérique public souverain nécessite de s'appuyer sur deux leviers:
- Par la législation, en régulant les activités générées par le numérique;
- Par la puissance technique, en se dotant d'outils permettant de maitriser la qualité technique et les standards (SSI, RGPD, accessibilité, impact environnemental... ) des produits numériques fabriqués, sous-traités ou acquis par l'Etat en vue d'être intégrés au son patrimoine numérique national.
Pour comprendre comment tout ceci est supporté par le cloud, rappelons que pour exister et fonctionner les applications, données et briques techniques qui sont à la base d'un "produit numérique" nécessitent d'être hébergées et exécutées par des serveurs. Ces serveurs, ces ressources peuvent être:
- Publiques: c'est à dire partagé avec des utilisateurs qui ne sont pas propriétaires des machines;
- Privées: c'est à dire partagé au sein de l'organisation propriétéaire des machines;
- Hybrides: utilisant des ressources publiques et privés;
Le "cloud" est une façon de gérer dynamiquement et à distance l'allocation des ressources que nécessitent un service numérique. C'est en ce sens que l'on parle de nuage: les données et la puissances de calcul faisant tourner un service proviennent bien des serveurs, mais pas d'un matériel bien précis et contingenté. Les ressources sont donc diffuses, à la manière d'un nuage. Plus précisément les services "cloud" se distinguent des serveurs traditionnels par 5 caractéristiques qui constituent la définition posée par le National Institute of Standards and Technology (équivalent du Laboratoire national de métrologie et d'essais, LNE):
- Accès aux services à la demande, ergonomique et facile pour l’utilisateur;
- Accès techniquement performant via un réseau large bande;
- Mise à disposition d'un large réservoir de ressources (notamment par l'implantation géographique);
- Redimensionnement rapide (élasticité) en adaptant "instantanément" la puissance de calcul au trafic;
- Facturation à l’usage: l'utilisateur paie le "cout marginal" d'utilisation des ressources (pas la mise en service);
Pour réaliser ces caractéristiques, il existe différents modèles de partage reponsabilités entre le fournisseur Cloud et l'utilisateur: ce sont les types IaaS, PaaS, Saas (ex: en IaaS, c'est un fournisseur qui gère toute l'infrastructure. En Saas, il gère tout de l'infrastructure au logiciel). C'est en s'appuyant sur ce haut niveau de qualité et de fiabilité des services cloud que les acteurs du "nouveau monde numérique" dominent le monde numérique et ont imposé leurs sandards (ex: sécurité, régime juridique, protection des données, ...). L'offre Cloud Pi Native est une offre PaaS qui vise à permettre la maitrise des technologies du cloud computing par la puissance publique.
Il est important de se rappeler que le Cloud fourni une sécurité "as-a-service" (comprendre ici: assumée par le fournisseur et mutualisée) supérieure au on-premise (hébergement par l'organisation cliente). Ceci est permis par les capcités du fournisseurs cloud en termes de: mise à jour, résilience, etc. mais ceci est valable seulement à condition que la protection des données et le partage des responsabilités soient bien pris en compte et assumés par l'entreprise ou l'administration cliente.
La crise covid l'a montré: sans la puissance du cloud, la bascule massive vers les outils numériques ayant permis l'essor du télétravail aurait été impossible. Dans le même temps, des millions d'utilisateurs se sont posé des questions sur le devenir de leur données personnelles. Il y a donc des opportunités, mais aussi des enjeux très forts autour du cloud.
La doctrine « cloud au centre » vise à fournir un cadre pour moderniser l'action publique par une nouvelle génération de services numériques répondant aux enjeux de :
- Transformation : pour pouvoir réaliser un passage à l’échelle fiable des services numériques à un coût marginal faible, mettre en place de nouvelles approches focalisées sur l'usager et permettant l'évolutivité (DevOps et mode produit) en facilitant l'accès/expérimentation, rationnaliser les ressources pour la sobriété numérique, innover en mettant en intégrant l'IA et le big data dans les services numériques...
- Souveraineté: pour atteindre la sécurité et l'immunité aux droits extra-UE en augmentant la marge de négociation avec ses fournisseurs, réduire les dépendances et les verrouillages en facilitant le fait d'en changer (réversibilité), faciliter l'accès aux technologies les plus récentes en restant ouverts (services cloud innovants)...
- Accélération: pour alimenter le catalogue de solutions UE en facilitant le regroupement de clients partageant des intêrets et valeurs communes, soutenir les industriels et renforcer l'autonomie des filières UE en choisissant les meilleurs normes et standards...
Pour répondre aux enjeux, cette "posture cloud" doit être déclinée comme un "mode par défaut" dans la stratégie numérique des ministères. C'est à dire être répercutée dans l'ensemble des opérations touchant aux services/produits numériques:
- Acquisition et consommation;
- Développements internes;
- Développements externatisés (sous-traitance).
Pour concrétiser DANS LES FAITS les promesses portées par le Cloud, les infrastructures et applications doivent être pensées pour le cloud dès leur conception. D'ou le terme de technologies "cloud native" (née du cloud). Schématiquement on met essentiellement l'accent sur les technologies qui permettent de:
- Consommer du cloud de facon très automatisée avec un maximum d'autonomie et de fiabilité: "kubernetes" et les conteneurs;
- Interconnecter les applications entre elles pour augmenter la valeur des données et fonctionnalités: les API;
- Rendre les applications plus modulaires et indépendantes pour l'évolutivité, la résilience: les microservices;
- Standardiser et automatiser des approches de co-construction entre clients/métiers, Dev, Ops, Sec, ... pour mettre en place un meilleur partage des responsabilités et une meilleure autonomie d'utilisation: les usines logicielles DevOps (ou DevSecOps);
Par extension, les leviers méthodologiques et culturels mobilisés autour de ces technologies sont qualifiés de "cloud native". C'est pourqui on l'utilise aussi comme un nom: "LE cloud native", pour désigner le paradigme dans lequel s'inscrivent ces technologies.
Par le numérique, le monde est en transformation et il est nécessaire de remettre le "cloud au centre" pour maitriser la complexité générée. "Cloud Pi Native" est l'offre du MIOM qui vise à mettre les leviers technologiques, méthodologiques et culturels du « cloud native » à portée des acteurs interministériels. Celle-ci comprend :
- Le Cloud souverain "Pi", adapté à l’hébergement de données sensibles jusqu’au niveau diffusion restreinte grace à des infrastructures opérées par le ministère de l’Intérieur. Il est aussi plus souple et résilient dans son utilisation grace à kubernetes;
- Un cadre de normes qui s'impose à tous pour guider la mise en place des principes du "cloud native" tout au long du cycle de vie des produits numériques. Il vise à mettre en cohérence l'ensemble des principes, normes et exigences applicables aux produits numériques, dès leur conception;
- Une usine logicielle "DevSecOps", qui orchestre et standardise les opérations allant de l'écriture du code d'une application à un produit numérique hébergé sur le cloud, qui "tourne" pour de "vrais" usagers. Celle ci permet de réduire les frictions et assurer une continuité tout au long du cycle de vie des produits en facilitant la coordination des acteurs impliqués dans la fabrication: developpeurs, responsables de sécurité, opérateurs. D'où sa designation: DevSecOps.
- Un accompagnement pour l'embarquement et la montée en compétence des équipes afin atteindre un degré le plus d'autonomie possible dans la maitrise de son périmètre de responsabilités;
L'offre permet que tous les produits numériques sortent d'une même usine, soient gérés selon un flux standardisé et bénéficient d'un herbergément adatapé à leur niveau de sensibilité. Ceci permet:
- Une meilleure maitrise du patrimoine numérique
- Une plus grande intégration du patrimoine numérique: via l'observabilité et la cartographie, il est possible d'avoir une vision "tour de controle" de la santé du patrimoine et de son évolution sur la base de métriques techniques et d'usage. Le cadre de normes fourni en outre des lignes directrices pour orienter les décisions et anticiper leurs conséquences (ex: envisager un décommisionnement et anticiper ses impacts);
- Une rationalisation des couts: en offrant la possibilité de choisir un fournisseur cloud adapté ("inutile de prendre du cloud souverain pour des données ouvertes"), en mutualisant les capacités (réutilisation d'un projet à l'autre et ouverture à l'interministériel) ainsi qu'une fiabilisation des développements. Ceci est notamment important pour les développement externalisés qui représentent 80% du numérique public et sont assortis de la facturation du montage d'une usine logicielle ad hoc (~ 60k euros). Grace à l'usine logicielle DevSecOps, ces coûts deviennent un investissement dans le développement et la maitrise des standards du service public.
- Concilier ouverture et sécurisation
- Une plus grande transparence et ouverture: nous avons opté pour une approche open source car nous pensons que la complexité doit être dévoilée de facon adaptée à la montée en compétences de toutes les parties prenantes et faciliter l'appropriation des outils par les producteurs du numérique public. En effet, l'un des inconvénients de la concentration dans le « cloud » est l'invisibilisation : rares sont ceux pervenant à comprendre ce qu'il y a derrière (d'où conséquences politiques, sur la sécurité ou sur l'écologie).
- Une meilleure interopérabilité des fabriques étatiques avec l'industrie numérique: en fluidifiant l'intégration et le déploiment, la coopération entre fabriques publiques et acteurs privés est facilitée. L'ouverture en open source de l'offre favorise l'appropriation des technologies « Cloud Native » et l'émergence de standards du numérique public interopérables avec la production industrielle, qui soient véritablement alignés avec les valeurs du service public.
- Une plus grande agilité et sécurité
- Une augmentation de la proximité entre usagers et producteurs du numériques publique: La levée des frictions le long de la chaine permet l'accélération des cycles de développement/déploiement, les tests intégrés permettent de détecter les problèmes AVANT la mise en production et la possibilité d'expérimenter rapidement les produits permet de réajuster (sur les plans technique ET métier);
- de maîtriser la confiance au sein de son organisation en automatisant autant que possible et au plus tot l'examen des garanties nécessaires AVANT de déployer (vérification des certificats, homologation continue,...) tout en sectorisant données et traitements une fois sur le cloud. En pouvant évoluer et corriger en continu à moindre coût (retour arrière, correctifs, interconnexions entre SI, …).
L'offre est actuellement destinée aux nouveaux projets et aux projets souhaitant basculer leur hébergement vers le Cloud Pi. Elle est en construction en agilité, de facon incrémentale mais d'ores et déja disponible sous 3 formes pour les projets clients qui souhaitent l'expérimenter:
- « DSO », ouverte à tous : le code, « les plans » de l’usine logicielle, publiés en open-source permettant de monter sa propre plateforme pour déployer et gérer des produits numériques de qualité, de façon sécurisée;
- « DSO as-a-service » ouverte aux clients ministériels: une usine logicielle installé sur le Cloud Pi qui permet de déployer des produits numériques sans frictions vers l'herbergementd de son choix;
- « Cloud Pi Native » ouverte aux clients ministériels: une offre complète associant l’usine logicielle installé sur le Cloud Pi et l’hébergement en production sur le Cloud Pi.
Seules les équipes ministérielles constituées qui souhaitent expérimenter et contribuer à l'offre pourront bénéficier de l'accompagnement technique du programme Cloud Pi Native. Le code source est cependant ouvert à tous, y compris aux acteurs privés souhaitant participer à l'émergence des standards du numérique public.
La mutualisation d'infrastructures coûteuses, portées par un ministère et mise à la disposition de tous les ministères, amènent des questions nouvelles sur le partage des coûts des investissements que ces infrastructures nécessitent pour être pérénisées. Les expérimentations en cours doivent affiner le modèle économique qui permettra à l'offre d'être et rester concurrentielle.
- Les technologies cloud-native sont une clef de l'adaptation au "nouveau monde logiciel", un monde plus incertain soumis à des bouleversements rapides. Dans ce contexte, Cloud Pi Native vise à faire émerger des standards du numérique public, condition de la pérénisation d'un patrimoine numérique public;
- L'offre s'appuie sur 1) l’adoption du cloud et des technologies "cloud native" comme enablers de la sécurité 2) une usine logicielle pour réduire la distance entre usagers et agents tout en maitrisant la qualité du code 3) un cadre de normes pour rester en maitrise du patrimoine numérique;
- Elle est d'ores et déja disponible à l'expérimentation, en construction selon une approche opensource et incrémentale. Partenaires ministériels et industriels: venez la challenger et contribuer.