Production Perig - stock.adobe.c

Comment la branche Services-Courrier-Colis de La Poste gère ses API à l’échelle

Comme les autres branches de La Poste, la BSCC a adopté, il y a près de huit ans, une stratégie d’APIsation de ses SI. Cette approche a prouvé son efficacité opérationnelle, mais entraîne de nouveaux défis en matière de gouvernance, de sécurité et d’observabilité.

La branche Services-Courrier-Colis (BSSC) de La Poste le répète depuis quelques années. Elle fait face à une « baisse structurelle » de l’envoi de courrier. En 2024, cette activité n’a représenté que 15 % des revenus de la Poste.

Dans un même temps, le flux de colis demeure stable – avec un volume en hausse de 2,7 % en 2024 –, après une légère baisse en 2022 et 2023. Le groupe subit en partie la concurrence de grandes plateformes comme Amazon.

Pourtant, il a terminé l’année 2024 avec des résultats positifs : un chiffre d’affaires en progression de 1,5 % (34,6 milliards d’euros) et un résultat net de 1,4 milliard, contre 896 millions d’euros en 2023.

La Poste explique en grande partie ce phénomène par la diversification de ses activités. Son volet bancassurance – avec la Banque Postale et CNP Assurance – est moteur. Le groupe développe également des services numériques pour les particuliers et les professionnels à travers les entités Docaposte ou La Poste Santé & Autonomie.

En outre, le groupe mise sur une plus grande spécialisation de ses services logistiques. En sus de Colissimo, La Poste a mis en place Geopost pour les livraisons transfrontalières, ChronoFresh pour la livraison alimentaire, ou encore les relais Pickup.

Cette diversification ne date pas d’hier. Et elle a nécessité une refonte IT impliquant la mise en place de divers socles techniques. L’objectif était de dé-siloter les SI au sein des branches de La Poste.

La gestion d’API, un volet critique pour la BSCC

En 2017, le groupe français a mis en place une stratégie d’APIsation de ses systèmes d’information. Chaque branche dispose de sa gouvernance API et a déployé différentes solutions, mais il fallait aussi que les éléments transverses puissent être connectés.

Aujourd’hui, l’équipe responsable de la gestion d’API chez la Poste BSCC orchestre quatre « canaux » liés à des typologies de processus métiers.

Il y a donc un canal « principal » lié à la prise en charge des fonctions support de la branche et du groupe (RH, par exemple), un canal pour les services mobiles et de livraison manipulé par les facteurs, un autre pour le suivi industriel des courriers et des colis, et un dernier pour les ventes et les partenaires, dont Leboncoin, Nespresso et Vinted.

Qualification d’adresse, paiement en ligne et facturation, notification et données CRM, calcul des taxes, suivi des colis, connaissances des territoires, affranchissement…, voilà quelques-unes des informations qui circulent à travers les API.

Les SI associés sont forcément très divers. « Nous avons proposé différents modèles, à savoir des méthodes standards de consommation d’API pour les applications Web, mobiles, les serveurs, ainsi que pour divers services internes et externes, dont des flux Apache Kafka », explique Jean-Marc Dagorne, responsable des socles API Management et système d’échanges de fichiers de la BSCC.

En 2020, la Poste BSCC évoquait son choix de la solution WSO2 API Manager sur deux tenants : l’un interne, l’autre pour les partenaires. Elle a également mis à la disposition des gestionnaires du SI centralisé un tenant pour des besoins mutualisés. L’entité Colis n’avait pas encore déployé la solution APIM.

Des exigences élevées de qualité de service dans un contexte de prolifération des API

La plateforme mise en place par la BSCC sert à protéger les API et les back-end, à sécuriser les accès, à gérer les autorisations. La fédération d’entités est effectuée à travers des IDP tiers internes. Les responsables contrôlent le trafic des API, les quotas, les erreurs et les potentielles latences.

En 2020, cette plateforme supportait plus de 230 API et 600 abonnés, entre 3 et 5 millions de requêtes par jour, avec des pics à 500 requêtes par seconde vers 9 h le matin.

Cinq ans plus tard, les responsables de cette suite comptent plus de 600 API, 600 applications et 2 500 souscriptions. Elle prend en charge 50 millions de requêtes quotidiennes, plus d’un 1 milliard par mois et des pics matinaux dépassant les 2 000 requêtes par seconde du fait de l’activité des 65 000 facteurs.

Cette hausse serait due à la numérisation des services de livraison et au tracking des plis et colis.

Les responsables de la gestion API à la BSCC maintiennent un taux de disponibilité de 99,9 %, 24 heures sur 24 et sept jours sur sept. Ce SLA est obtenu par le déploiement d’une architecture hautement disponible selon un schéma actif/actif. La suite de gestion d’API est déployée sur une PaaS OpenShift répartie sur deux data centers. L’architecture permet d’orchestrer trois tenants WSO2 APIM (API Manager) en lien avec une base de données MySQL.

Selon les porte-parole de la BSCC, l’observabilité est cruciale dans ce processus. Ainsi, ils ont déployé la suite ELK (Elasticsearch, Logstach, Kibana) et Grafana. « Tout dépend des logs », affirme Ian Swindley, Ingénieur Innovation à la BSCC.

Des logs à analyser en libre-service

Ainsi, certains logs sont conservés pendant deux semaines. « Ce type de données permet donc d’aller très loin dans la compréhension des détails de ce qui se passe, de ce qui s’est passé exactement et de l’endroit où cela s’est produit », relate Ian Swindley.

D’autres, moins détaillés, sont conservés à plus long terme. « L’idée est de donner une vision globale. Pas de détails, il s’agit juste de savoir : “est-ce que tout va bien ou dois-je être conscient de quelque chose qui se passe ?” », poursuit l’ingénieur Innovation.

Ces logs sont gérés par l’équipe APIM et peuvent être mis à disposition des responsables des applications et des API, des métiers et des partenaires à travers différentes interfaces.

« Les “product owners” des applications et des API sont autonomes, ils peuvent consommer ces données, les classifier, les agréger et, bien sûr, effectuer des recherches. »
Ian SwindleyIngénieur Innovation, BSCC

« Les produits owners des applications et des API sont autonomes, ils peuvent consommer ces données, les classifier, les agréger et, bien sûr, effectuer des recherches », avance Ian Swindley. « Nous fournissons quelques tableaux de bord pour commencer, mais ils peuvent être adaptés ».

Concrètement, ces logs sont utilisés pour identifier les problèmes de performances et les potentiels incidents. « Nous pouvons par exemple identifier les goulets d’étranglement quand trop de requêtes ciblent une API et prévenir les personnes concernées », illustre l’ingénieur Innovation. Un service de machine learning intégré à Kibana a été mis en place pour effectuer en partie ce travail.

Ce partage des données avec les équipes de développement permet aux responsables APIM de se concentrer sur les tâches plus complexes associées à la performance et à la sécurité.

Ainsi, les problèmes de sécurité sont détectés en agrégeant les données différemment pour comprendre si un incident est lié au vol d’authentifiants ou à l’erreur d’une équipe qui aurait mal paramétré une API.

Sécurité et gouvernance des API : la Poste BSCC soupèse l’intérêt de l’observabilité augmentée à l’IA

Justement, après avoir migré de WSO2 API Manager 2.6 vers 4.0 en 2024, l’objectif principal de l’équipe est désormais d’adopter une solution propulsée à l’IA qui pourrait l’aider à gérer la sécurité et la gouvernance API.

« Avec l’intelligence artificielle, nous cherchons à identifier et à corriger les erreurs en temps réel tout en améliorant la gestion et la sécurité de nos API », annonce Ian Swindley.

« Avec l’intelligence artificielle, nous cherchons à identifier et à corriger les erreurs en temps réel tout en améliorant la gestion et la sécurité de nos API. »
Ian SwindleyIngénieur Innovation, BSCC

Pour l’instant, la solution évoquée est efficace pour suivre une API de manière isolée, mais elle ne permet pas de cartographier de manière holistique les interdépendances entre les API, les systèmes et les applications. L’équipe APIM étudie donc les offres d’observabilité augmentées à l’IA, dont celle de Dynatrace.

Cette vue à la fois globale et précise est d’autant plus importante que les API de la BSCC font transiter des adresses postales. « Une API qui reçoit un nombre d’appels moyen journalier constant, mais qui rencontre des erreurs de temps en temps doit être vérifiée », informe l’ingénieur Innovation.

Or, « 75 % des 50 millions de requêtes quotidiennes sont concentrés sur douze à quatorze grandes API », note-t-il. « Nous les suivons de près et nous sommes prévenus rapidement si une erreur se produit ». Dans un même temps, le partage de données tient sur la myriade d’interfaces qui recueillent moins de 20 000 appels par jour. « Les erreurs sur ces API moins populaires sont plus difficiles à observer, mais les propriétaires peuvent nous avertir et être acteurs directs de la qualité du système ».

Et, enfin, il faut pouvoir identifier les API qui ne sont pas ou plus utilisées afin de les supprimer. Pour autant, l’équipe APIM n’a pas le pouvoir de décision.

« La gouvernance que nous avons mise en place consiste simplement à publier et à s’abonner aux API pour les autres », nuance Ian Swindley. Les indications de la direction technique ont largement été suivies et ont mené à cette prolifération des API.

L’identification des API inusitées est pour l’instant manuelle. « C’est en partie le rôle des données conservées à long terme ». Lors de sa conférence, WSO2 a présenté la version 4.5 de son API Manager. Celui-ci commence à infuser l’IA dans son système de gouvernance et pourrait justement alléger cette gestion. « Nous venons de migrer vers la version 4.0 et nous n’avons pas prévu de réitérer l’opération dans l’immédiat ».

Ce sont donc les outils d’observabilité qui seront mis à contribution pour faciliter ce travail.

Propos recueillis lors de l’événement WSO2Con 2025 à Barcelone, en mars 2025.

Pour approfondir sur API