Retex : pourquoi la Cnav développe son cloud privé
Depuis 2018, la Cnav déploie un cloud privé développé en interne et qui va évoluer vers davantage de services PaaS, la gestion de conteneurs et une offre « infrastructure as a code ». Explications avec Bruno Delibanti, directeur des opérations et services informatiques.
La démarche Cloud de la Cnav
« À partir de 2018, nous nous inscrivons dans une trajectoire qui nous mène vers le cloud, passant de 17 datacenters dans les années 2000 à 3 aujourd'hui.
Le principal, situé à Tours, abrite nos applications métiers, nos services en ligne et nos plateformes d'échanges sécurisés avec nos partenaires. Celui-ci est redondé en « RPO zéro » avec un second datacenter dans la même région.
Un troisième, localisé à Lyon, est dédié aux environnements des projets et des régions. Notre stratégie peut être qualifiée d'hybride.
Lire aussi : Budgets, délais, legacy... Air France-KLM, Amadeus et Coopérative U face à la réalité du move-to-cloud
Nous avons créé un cloud interne dédié à nos applications et données métiers, des données personnelles sensibles que la CNAV ne souhaite pas confier à un tiers.
Le choix d'un cloud privé
La version 1 de ce cloud privé offre aux exploitants, intégrateurs, testeurs et développeurs un portail sur lequel ils peuvent rapidement provisionner des VM avec un OS en mode IaaS et des services PaaS comme JBoss, PostgreSQL ou Oracle.
Cette ressource est mise à disposition dans un délai très court, de l'ordre de l'heure. Nous avons développé ce cloud interne nous-mêmes à base de scripts Ansible/AWX. Pour obtenir des composants d'infrastructure non standards, le processus de provisioning reste classique et manuel.
Une V2 avec des services PaaS et une offre « infrastructure as a code »
Un premier bilan du fonctionnement de ce cloud a montré le succès de l'initiative et a confirmé la stratégie cloud interne dans notre prochain schéma directeur pour la période 2023/2027.
Dans une version 2, nous allons enrichir le portefeuille de services PaaS avec d'autres middlewares, la gestion de conteneurs et une offre « infrastructure as a code » en soutien d'une démarche DevSecOps. Cette approche cloud privé ne signifie pas que nous avons fermé la porte au cloud public.
En dehors de nos applications métiers où l'enjeu de souveraineté et de confidentialité est très fort, nous avons des besoins génériques, comme la bureautique et le collaboratif, qui sont couverts par Microsoft Office 365.
Pour des usages transversaux, hors de notre coeur de métier, nous pouvons utiliser des ressources du cloud public en mode SaaS : nous nous appuyons sur la gestion de projet Orchestra de Planisware, le SIEM avec Rapid7, ou la solution Security Service Edge de Netskope.
À moyen terme, les acteurs de l'écosystème ont commencé de réfléchir à un cloud » Sécurité sociale? » appuyé sur les fournisseurs de cloud souverains. Nous aurons peut-être matière à exploiter de telles offres pour une partie de nos activités. Nous sommes encore au début des réflexions sur ce que sera, à l'avenir, ce cloud communautaire.»
Propos recueillis par Alain Clapaud
Périmètre de la DSI de la Cnav
Activités
> Gestion des infrastructures
> Intégration
> Mise en production,
> Exploitation des applications
> Support utilisateurs
Effectif
> Plus de 350 collaborateurs internes
> Une centaine d'externes, soit environ 30 % des ressources de la DSI.
Image illustration : © Cnav
Sur le même thème
Voir tous les articles Cloud