Marc Triboulet, NSS : Externaliser la cellule de crise, pas l'informatique
Depuis des années, Non Stop Systems est une entreprise qui nage à contre-courant. Alors que la mode est à l'externalisation sauvage, son fondateur, Marc Triboulet, milite pour une réappropriation du S.I.. Alors que la complexité croissante des méthodes, des normes et des outils pousse les DSI à sous-traiter toute ou partie de la sécurité, il encourage les PME à reprendre en main leur capital-données et les moyens de le défendre. Alors que l'ordinateur personnel est devenu le plus répandu et le plus banal des accessoires de travail, et que les médias, le « Web 2.0 » et les outils collaboratifs creusent la tombe du modèle client-serveur, il explique que rien n'est plus intéressant qu'une bonne centralisation des données sur des serveurs « concentrateurs ». Dans environ un mois, Non Stop Systems inaugure, à Emerainville, un centre de plus de 600 m², avec un laboratoire, trois salles blanches, un plateau technique réunissant une dizaine d'ingénieurs, et un seul but : vendre l'idée que la réorganisation de l'informatique d'une entreprise peut aussi passer par une concentration des services sur un cluster. Une idée strictement identique à celle que prône IBM dans le cadre de sa politique Linux, mais qui s'adresse à des PME, et non pas à des multinationales ou de très grandes entreprises. CSO France : Ce come-back vers l'informatique centralisée, pourquoi ? Marc Triboulet : A la fois pour des raisons culturelles, techniques, économiques, conjoncturelles... Culturelle : j'ai grandi à la fois avec la génération « O-Pers » des ZX-81 et des Oric Atmos et au milieu des systèmes centraux -mon père dirigeait les S.I. de la Marine Nationale-. Ce double héritage m'a convaincu de l'inéluctable suprématie prévisible de la micro-informatique, mais aussi de l'importance capitale des pratiques et méthodes de sécurité -sauvegarde, redondance, reprise après crash- issues de l'informatique avec un « grand I ». Technique ensuite, car bien que travaillant dans le domaine de la permanence de services depuis des années, c'est aujourd'hui seulement que l'on dispose de solutions rôdées, de logiciels de clustering matures, et de plateformes matérielles -notamment avec l'arrivée des processeurs Multicore- capables de répondre aux charges. C'est d'ailleurs le principal déclencheur de la mode actuelle visant à la virtualisation des serveurs. D'un point de vue économique, nous -les utilisateurs de systèmes informatiques- sommes parvenus à un point nécessitant un changement. Des années durant, les salles d'info se sont construites en fonction des aléas de l'offre et de la demande, des nouveautés technologiques, des « ouvertures » vers les Wan. Et les serveurs se sont succédés : bases de données, messagerie, stockage, sauvegarde, communications... donc un coût croissant de maintenance, d'administration, de mise à jour, d'évolution. Le temps de la refonte est venu. Et c'est ce tournant imposé par des considérations gestionnaires qui pousse soit à externaliser le traitement de l'information, soit à la concentrer sur un ou un nombre réduit de serveurs puissants. Conjoncturelles enfin. L'externalisation, l'off-shoring, commence à montrer ses effets pervers dans le domaine de la production des biens. Les actualités regorgent d'histoires d'arroseurs arrosés, de sous-traitants asiatiques devenus leaders mondiaux du secteur, capables ensuite d'imposer leur propre technologie, tarifs et conditions. La perte du coeur de métier dans les industries manufacturières est un exemple à ne pas perdre de vue. En Europe, notre industrie glisse peu à peu vers une économie de services... or, le service repose sur du traitement d'informations. L'information et son traitement d'information deviennent donc la principale richesse de l'entreprise... en la sous-traitant, l'on court le risque d'en perdre la maîtrise, avec les mêmes conséquences que je viens d'évoquer. CSO France : entre un « risque non prouvé et en devenir » et des considérations de rentabilité à court terme, ne pensez vous pas que l'argument « économique » prime toujours sur le « conjoncturel » ? Marc Triboulet : c'est une question d'éclairage. Les arguments des professionnels de l'externalisation sont simples : ils approchent les Directions en leur demandant le coût de leur budget TIC et son évolution, et promettent une baisse de 10 % de ces coûts tous les ans durant trois ans. Personne ne peut résister à une telle proposition. Techniquement parlant, il leur suffit de réorganiser l'informatique de leur client, d'en effectuer une collocation sur des fermes de serveurs, et de facturer au prix convenu. Leur coût de main d'oeuvre technique -qui supervise non plus 15 serveurs mais 400 d'un coup- est amorti par le nombre de clients, tout comme est amorti la base matérielle nécessaire à cette collocation. Les marges sont donc énormes... et ce que je m'efforce de faire comprendre, c'est que le client lui-même aurait pu réaliser cette économie en effectuant un travail strictement identique, mais chez lui, avec plus ou moins les mêmes outils, sans perdre un instant la maîtrise de son bien propre, sans risquer la perte de données critiques. CSO France : Une approche qui peut se justifier pour une grande entreprise, mais est-ce réellement dans les moyens d'une PME ? Marc Triboulet : Nos premiers clients étaient historiquement les grandes entreprises et/ou leurs principaux prestataires de services. Notre expérience en matière de clusters remonte à 1995, tant d'un point de vue technique qu'économique. Et je suis persuadé que même les PME peuvent absorber un tel changement et adopter ces techniques. Bien entendu, pas nécessairement toutes les PME. Mais les communes, les CHU, les industriels de moyenne importance, en bref, toute société possédant un service informatique -donc déjà une structure- de 3 à 10 personnes, autrement dit une taille comparable avec celle de Non Stop Systems. Nous avons les mêmes moyens, les mêmes contraintes et capacités. CSO France : Sans doute, mais l'illusion de la virtualisation sans douleur, cela fait des années qu'on l'attend. Ce sont des systèmes techniquement plus complexes, qui impliquent une réorganisation du S.I., une remise en cause des méthodes, qui présentent des menaces différentes, des « zones d'ombres » concernant les liens de communication internet... Marc Triboulet : C'est précisément notre métier. Non seulement nous apportons notre connaissance de la technologie, notre laboratoire -car il est rare de rencontrer des PME disposant du temps, de l'argent et des moyens humains pour monter une maquette complexe-. Ca, c'est tout ce qui concerne la refonte de l'informatique. Nous les aidons ensuite à établir un schéma directeur. Enfin, nous raccordons le S.I. de l'entreprise sur notre centre pour opérer un plan de secours. Nous clonons leur serveur afin de leur garantir un plan de reprise d'activité rapide, éprouvé, mais nous ne gérons pas sa production. En d'autres termes, nous externalisons sa cellule de crise. Comment ? Principalement en reliant chacun de nos clients à notre centre par une fibre noire, posée par un opérateur avec qui nous collaborons étroitement, puis en signant des accords avec de grands centres de collocation -IBM, Sunguard etc- qui se chargent du stockage des données. Ces grands prestataires ne possèdent pas nécessairement l'organisation leur permettant de répondre aux demandes d'une multitude de PME. En concentrant cette demande, nous servons d'interface entre ces « petites » structures et ces « gros » prestataires. CSO France : Vous affirmez avoir plus de 10 ans d'expérience dans le domaine de la sécurité et de la permanence de service. On était pourtant à l'aube des serveurs micro... Marc Triboulet : cette histoire est même bien plus ancienne. En 92, j'entre dans le domaine des antivirus, avec V.C., Victor Charly, l'un des meilleurs logiciels du moment capable d'éradiquer, à l'époque, les virus situé sur le boot sector. Puis sont venus F-Prot, Trend Micro... et en 95 Vinca, un coup de tonnerre technologique. A l'époque, Novell avait conçu un mécanisme de réplication de serveurs excessivement complexe : SFTIII. C'est alors que le quasi fondateur de Novell, Ray Norda, qui avait quitté la société, lance Standby Server, un programme concurrent, plus simple, qui n'exigeait pas un « clone parfait » d'un point de vue matériel, qui certes n'effectuait pas une synchronisation de la mémoire en temps réel, mais qui assurait une réplication sans problème du contenu des baies RAID. Sa société, Vinca, sort coup sur coup ensuite une édition OS/2, puis NT. J'ai immédiatement compris que plus les serveurs prendraient de l'importance dans les entreprises, plus la « continuité » deviendrait un élément clef de la sécurité. La version NT -et le succès de Microsoft- ont lancé à la fois Vinca et Non Stop Systems, créée en 1999. A l'époque, Sandby Server pouvait synchroniser les données et services sur deux machines reliées par une carte « rapide » (accessoire inutile de nos jours avec les adaptateurs gigabit PCI). En l'absence de problèmes, le serveur secondaire pouvait être utilisé pour des tâches accessoires, et ne représentait pas une « immobilisation » dispendieuse. Si le contrôleur principal tombait, le second serveur, initialement un BDC, effectuait une auto-promotion, récupérait la gestion des comptes utilisateurs, et assurait les fonctions de PDC en attendant la maintenance du serveur initial. Depuis, Vinca s'est fait racheter par Legato, Legato s'est fait reprendre par EMC, géant de la virtualisation du stockage et des processus (ndlr, EMC possède aussi VMWare)... nous sommes d'ailleurs toujours partenaires EMC.