Comment Bureau Veritas a migré 85 % de ses applications vers le cloud
En six ans, le spécialiste des tests et des certifications a migré plus de 115 applications vers le cloud en s’appuyant majoritairement sur son expertise interne. Pour ce faire, Bureau Veritas recourt massivement aux services cloud de son fournisseur AWS.
Bureau Veritas, BV pour les intimes, fait partie des plus anciennes entreprises encore en activité. Créée en 1828, la société française compte 75 000 employés à travers 1 500 bureaux répartis dans 150 pays. Elle s’est spécialisée dans les essais, les inspections et la certification. Ciblant d’abord le domaine maritime avec une méthodologie d’évaluation des risques, Bureau Veritas s’est peu à peu tourné vers le secteur automobile, l’industrie ferroviaire, le BTP, le transport et la supply chain, l’énergie, l’agroalimentaire, la santé, le secteur public et bien d’autres. Présent sur les cinq continents, le groupe a généré 4,6 milliards d’euros de chiffre d’affaires en 2020, soit 6 % de moins qu’en 2019, mais dans sa moyenne haute depuis cinq ans.
En 2015, BV entame sa transformation numérique, par le truchement du « plan stratégique 2015-2020 ». « L’accélération de la digitalisation est un des piliers de ce plan », confirme Jean-Marc Devos Plancq, Directeur livraison, architecture et innovation technologique chez Bureau Veritas. « Ce pilier comprenait deux aspects : la fourniture de services numériques à nos clients, ainsi que la numérisation et l’amélioration de nos processus internes ».
La DSI scrute donc les offres des fournisseurs de cloud public. « Historiquement, nous nous appuyons sur des datacenters privés pour héberger nos applications. Les investissements sous forme CAPEX étaient importants, alors que nous souhaitions disposer davantage d’agilité au niveau financier sans procéder à des plans d’amortissement à 3, 4, 5 ans en fonction de la solution choisie », ajoute le responsable.
Jean-Marc Devos Plancq montre également du doigt l’aspect chronophage de cette activité. « Vous devez réaliser un appel d’offres pour remplacer un SAN qui va coûter plusieurs centaines de milliers d’euros, voire de millions d’euros. Cela va vous prendre plusieurs mois pour sélectionner le candidat, le matériel, le livrer, l’installer. Et vous avez occupé une bonne partie de vos équipes pendant 18 mois simplement pour augmenter votre espace de stockage. Nous voulions éviter cette inertie ».
Outre les investissements et le temps nécessaire aux déploiements de nouvelles infrastructures sur site, la direction souhaitait réduire « la charge importante que représentait la gestion de l’ensemble des éléments » tels le réseau ou le brassage. La DSI a été séduite par l’agilité induite de cette approche IaaS, PaaS et SaaS du cloud.
« Nous voulons vraiment nous orienter vers ce qui apporte de la valeur à nos clients, […] c’est-à-dire les applications et les services traditionnellement hébergés par nos soins. »
Jean-Marc Devos PlancqDirecteur livraison, architecture et innovation technologique, Bureau Veritas
« Nous voulons vraiment nous orienter vers ce qui apporte de la valeur à nos clients, que ce soit externe ou interne, c’est-à-dire les applications et les services traditionnellement hébergés par nos soins », renchérit le responsable. Bureau Veritas comptait alors sur des produits Iaas et PaaS avec lesquels les équipes IT pouvaient bâtir ces applications, ce que le dirigeant traduit par « la mise en valeur de la connaissance des métiers de la DSI », 130 collaborateurs environ.
Il y a six ans, BV a estimé qu’AWS était « la solution la plus mature, car il s’agissait de la plateforme qui disposait d’un plus grand nombre de services directement utilisables », rappelle Jean-Marc Devos Plancq.
En février 2021, Bureau Veritas hébergeait 85 % de ses applications sur AWS, mais il serait bien trop beau d’écrire que tout s’est déroulé en un jour.
Trois phases pour adopter le cloud
« Nous avons commencé par une phase de découverte afin de comprendre le fonctionnement du cloud et comment nous pouvions l’intégrer dans notre paysage applicatif. De plus, nous devions préparer l’accompagnement de nos équipes pour finalement leur changer complètement leur outil de travail », explique le responsable.
Cette période d’exploration, d’une durée approximative de 18 à 24 mois, s’est matérialisée au gré des opportunités. « Nous mettions sur AWS les applications simples à déployer, notamment celles déjà administrées selon l’approche DevSecOps, de manière automatisée, sécurisée sur des technologies Java, par exemple », raconte-t-il.
Avec le temps, la confiance et les connaissances acquises ont permis d’adopter une démarche « Cloud First ». « Selon ce principe, toute nouvelle application devait être développée dans le cloud, sauf raison particulière ; quand cela n’était techniquement pas possible ». Là encore, cette période a duré près de deux ans avant de démarrer une troisième étape.
« Une fois que nous avons estimé disposer d’une très bonne connaissance de la plateforme AWS, nous avons décidé de migrer l’ensemble de nos serveurs de nos solutions corporate vers le cloud public, afin de pouvoir fermer les infrastructures sur site ».
Cette phase de migration vers le cloud AWS impliquait de passer de la base de données Oracle et de SQL Server vers les SGBD Amazon RDS, mais les équipes de Bureau Veritas ne se sont pas arrêtées à un simple « lift and shift ». « Nous avons intégré la montée de version de nos bases de données dans notre “move to cloud” », indique Jean-Marc Devos Plancq.
« Il était d’ailleurs beaucoup plus simple pour nous de migrer nos bases de données dans le cloud que de réaliser une mise à jour sur site, qui implique généralement de modifier l’infrastructure. Puis, nous nous sommes limités à la création de backups, de partitions de restauration sur des instances que nous avons montées sur AWS et c’était fini ». Il faut bien évidemment effectuer des tests de non-régression, « s’assurer que tout fonctionne bien, qu’il n’y a pas de problème de connectivité ».
Réussir sa migration réclame quelques astuces
Migrer des SGBD vers RDS peut parfois entraîner quelques surprises. Les équipes de BV n’ont pas eu ce type de soucis. « La plupart des fonctionnalités des bases de données SQL sont prises en charge par RDS. Il y a quelques capacités qui peuvent ne pas être reprises par AWS ; effectivement si vous les utilisiez il faut trouver une solution pour faire autrement, sinon un backup et une restauration suffisent », estime notre interlocuteur. Toutefois, c’est l’une des quelques opérations qui ont nécessité une aide externe. En l’occurrence, Bureau Veritas a souscrit au programme AWS d’accélération des migrations (MAP).
Les bases de données gérées par RDS communiquent avec Elastic BeanStack, l’un des plus vieux services fournis par AWS, mais aussi le service le plus massivement utilisé par Bureau Veritas. Ce PaaS « permet de déployer des applications et de bénéficier d’autoscaling de la plateforme. Vous gérez des environnements plutôt que des serveurs, puisque c’est la plateforme qui les gère elle-même en fonction de la charge des utilisateurs à un moment T ». L’équipe IT administre ainsi une cinquantaine d’applications sur un total de 115. Ce sont ici des applications spécifiques. « Pour les développements “custom”, les briques de la PaaS nous permettent de garantir un niveau de performance, quel que soit le moment de la journée et le nombre d’utilisateurs connectés, mais également d’optimiser fortement nos coûts quand l’activité est beaucoup plus faible ou inexistante », vante Jean-Marc Devos Plancq.
Il faut dire que la majorité des applications personnalisées de BV sont développées en Java ; Elastic BeanStack a été pensé pour accueillir ce type de technologie, puis a rapidement bénéficié de support pour les langages .NET, Node.js, PHP, Python, Go et Ruby.
En revanche, Elastic BeanStack demande de prendre en compte quelques particularités, prévient le responsable. « Il est important que vos applications ne dépendent pas de sessions d’utilisateur. Comme la plateforme décide quel serveur doit rester actif ou non, si vous ne le faites pas, vos usagers peuvent perdre leur progression dans une tâche. Il faut mutualiser la gestion des sessions dans un cache », recommande-t-il.
Pour cela les équipes de Bureau Veritas s’appuient sur le service Amazon ElastiCache, qui est ni plus ni moins un service managé consacré aux bases de données in-memory Redis et Memcached. « Cela demande une petite manipulation dans l’application pour externaliser les sessions d’utilisateurs dans le cache, mais il faut également que les sessions n’aient pas une trop forte empreinte au moment de la sérialisation des sessions. Idéalement, il faut disposer d’applications stateless ».
Une approche « Cloud First » qui porte ses fruits
De même, le dirigeant loue la rapidité à laquelle il est possible de développer et de déployer une solution avec les services AWS. Il donne l’exemple de Restart your Business, une plateforme web d’aide à la reprise d’activité post-confinement permettant de gérer la réouverture des bureaux, par exemple. L’application a été développée en 14 jours et déployée dans 85 pays en « trois ou quatre jours ».
Ainsi, la DSI de Bureau Veritas observe assidûment les nouveaux services régulièrement annoncés par AWS. Certaines des capacités proposées par le géant du cloud la poussent à embrasser l’approche serverless. « Nous passons le niveau supérieur au PaaS avec des services tels lambda, qui permet d’utiliser quelques millisecondes de processeurs pour exécuter un traitement ».
L’automatisation des traitements est également en bonne voie. Les équipes IT s’appuient sur l’Infrastructure as code pour « déployer et versionner les infrastructures techniques », mettre à jour les OS, les applications et d’autres services.
À ce sujet, le dirigeant explique que ses équipes observent les services pour automatiser certaines remédiations après des notifications d’alertes, par exemple enclencher le déploiement d’un bucket supplémentaire quand un espace de stockage S3 atteint sa capacité maximale.
« Nous travaillons également à ouvrir notre système d’information grâce aux API. Nous utilisons API Gateway permettant de faire communiquer des applications locales avec celles du groupe, mais également d’ouvrir notre SI à nos clients et à nos partenaires », envisage Jean-Marc Devos Plancq.
API Gateway est déjà utilisé pour faire communiquer Code’n’go, l’application de passage du code de la route proposée par Bureau Veritas avec les SI des auto-écoles, entre autres.
Bien évidemment, adapter l’ensemble de ces services demande une certaine vigilance financière. Bureau Veritas adopte petit à petit une approche FinOps, qui passe par la réservation d’instances EC2 Savings Plans, mais aussi par l’automatisation du démarrage et de l’arrêt des environnements de développement et de tests utilisés par les développeurs.
Après six ans, s’adapter à ces services et à leurs limites est le lot quotidien des équipes de Bureau Veritas. Elles font parfois face à d’autres difficultés.
« Nous sommes davantage contraints par les prérequis techniques des progiciels », constate le responsable. Bureau Veritas emploie Documentum pour la GED, Sybele pour la planification des interventions, Tableau pour la BI et le reporting ou encore SAP pour la planification financière. « Nous employons beaucoup de produits disponibles sur le marché ».
Cybersécurité : le chiffrement des données, une obligation chez Bureau Veritas
Afin de surveiller ces infrastructures cloud et les différents services, BV emploie – encore – un outil fourni par AWS : Amazon CloudWatch. « Cela nous permet d’obtenir une vision très fine de ce qui se passe dans nos environnements. Nous utilisons également le SIEM AWS Config afin de tracer des événements et les actions des utilisateurs à un instant T », liste Jean-Marc Devos Plancq.
Au vu des activités critiques de certification et de tests, Bureau Veritas porte sur les épaules une forte responsabilité quant à la sécurité des données de ses clients.
« Il faut bien comprendre le modèle de responsabilités partagées entre AWS et le client. À partir du moment où vous savez quels éléments sont votre charge et ceux qu’AWS administre, il est assez aisé de définir le périmètre de sécurité, et pour ce faire vous avez beaucoup de services AWS disponibles », considère le directeur.
Du fort cloisonnement au niveau du réseau des applications et des environnements, en passant par l’isolation des applications entre elles jusqu’au chiffrement des données, l’équipe de sécurité de BV manipule les outils AWS à sa disposition. « Nous avons des règles de sécurité très strictes chez Bureau Veritas, que ce soit de sécurisation réseau, de cryptage de données en transit et au repos ou de déploiement des couches de protection dédiées aux applications comme le WAF », liste Jean-Marc Devos Plancq.
Parmi ces services chez AWS, citons Amazon VPC ou encore AWS Key Management Service (KMS). « C’est de la responsabilité de notre sécurité informatique de bien définir les règles pour pouvoir mettre en place ces briques et de mettre toutes les mesures d’audit, de monitoring pour s’assurer de leur application », ajoute le responsable.
Comme toute entreprise installée en Europe, Bureau Veritas entend respecter le RGPD. « En dehors du fait que nos données sont hébergées en Europe chez AWS, nous mettons en place toutes les demandes spécifiques au RGPD : le registre des traitements, la classification des données, etc. », précise notre interlocuteur. Les clients sont également prévenus que les données qui les concernent sont hébergées sur les infrastructures d’Amazon.
Cependant, avec un fournisseur cloud américain, l’entreprise s’expose aux lois extraterritoriales éditées par les États-Unis. La plus célèbre d’entre elles n’est autre que le CLOUD Act, mais le Patriot Act ou Fisa représentent un risque pour certains clients de Bureau Veritas. À ce titre, BV semble avoir retenu la recommandation répétée à maintes reprises par AWS.
« Nous avons fait très simple : absolument tout est chiffré, pas de question possible, pas de débat, c’est la règle, on l’applique », tranche Jean-Marc Devos Plancq.
Pour autant, tous les dossiers de certification ne vont pas dans le cloud. Les quelques exceptions concernent les clients de Bureau Veritas soumis à des règles et des lois particulièrement strictes les empêchant tout simplement de passer par AWS ou ses compétiteurs. « Si nous travaillons avec un ministère de la défense dans un pays particulier ou un client ayant des sujets très spécifiques, leurs besoins sont adressés localement », rappelle le responsable sans entrer dans les détails.
Le multicloud ne sied guère à Bureau Veritas
Aujourd’hui, Bureau Veritas n’envisage pas d’adopter plusieurs clouds et maintient une approche hybride à la marge, quand des applications « corporate » doivent communiquer avec des outils déployés localement, dans certains pays. « Nous n’avons pas choisi une approche multicloud, parce que si vous n’utilisez que les briques “communes” des différents fournisseurs de cloud, vous perdez en optimisation », justifie Jean-Marc Devos Plancq.
« Deuxièmement, cela réclame des équipes de tailles relativement importantes ou plusieurs organisations capables de maîtriser les autres technologies. Dernier élément nous avons toute satisfaction avec les services d’AWS, nous ne voyons pas l’intérêt d’adopter le multicloud. Et si un jour la relation entre nous et AWS venait à se dégrader, nous n’avons pas d’engagement contractuel hormis à l’usage, ce qui nous permettrait en cas de problème de lancer un programme de migration pour déplacer progressivement nos applications », conclut-il.
