Maîtrisez mieux vos technologies IT : le plaidoyer du DSI de l’Insee
Pour prévenir les risques de dépendance technologique et les boîtes noires néfastes à la sécurité, Jean-Séverin Lair, DSI de l’Insee, plaide pour une stratégie IT axée sur la maîtrise IT. Une ligne qu’il a suivie sur le collaboratif, le cloud et à présent sur la data Science – en se séparant de SAS.
Communicant, gestionnaire de risques, auditeur, doté « d’une culture minimale en sécurité des systèmes d’information ». Le délégué à la protection des données personnelles, le DPO, doit réunir des compétences multiples, résume lors de l’université de l’AFCDP son président Paul-Olivier Gibert (ex-CISO d’AG2R La Mondiale).
Pour remplir ses missions, il est préférable qu’il soit sensibilisé aux enjeux de la maîtrise IT, ajoute le DSI de l’Insee, Jean-Séverin Lair.
L’Insee « temple de la donnée personnelle »
Au sein de l’Institut, sécurité et protection des données sont notamment justifiées par la volumétrie et la sensibilité des données traitées.
L’Insee gère ainsi « le totem de la donnée personnelle », le NIR, c’est-à-dire le numéro de sécurité sociale. Au sein du « temple de la donnée personnelle », le patron des SI revendique donc une stratégie informatique axée sur la maîtrise technologique.
Et attention, en la matière, il ne faut pas confondre solution et technologie, prévient-il. Jean-Séverin Lair oppose ainsi maîtrise IT et discours commercial. « On nous vend beaucoup de rêve. Il faut savoir sortir de ce rêve. »
« On nous vend beaucoup de rêve. Il faut savoir en sortir. »
Jean-Séverin LairDSI de l’Insee
Une technologie n’est donc pas une solution – un terme qui rimait systématiquement avec discours commercial. Une technologie cloud sera par exemple la conteneurisation et non les offres de tel ou tel fournisseur cloud.
Pourquoi ces précisions sémantiques ? Parce qu’elles permettraient de clarifier le domaine auquel s’appliquera précisément la maîtrise, ce qui permettrait de mieux connaître et de mieux contrôler ses dépendances. Des problématiques que les clients de VMware ont pu réinvestir suite au rachat par Broadcom.
Sur cet enjeu de la maîtrise, le DSI appelle les décideurs à se référer à l’effet Dunning-Kruger traitant d’un biais cognitif bien connu, relatif à la différence entre compétence réelle et confiance de l’individu dans sa propre compétence.
Maîtriser, c’est descendre de « la montagne de la stupidité »
En résumé, il est essentiel de s’extraire de la phase dite « de la montagne de la stupidité », puis de celle de « la vallée de l’humilité » afin de gravir « le plateau de la connaissance ».
« Inutile de vous dire que ceux qui vous apportent des solutions adorent que vous soyez en haut de la montagne », ironise le DSI.
Jean-Séverin Lair regrette que la maîtrise technologique soit aussi peu explorée. Il reconnaît cependant qu’elle présente une certaine complexité, à commencer par le recrutement de compétences et des profils rares, dont les architectes.
« Assurer la sécurité est très compliqué si une boîte noire est installée au milieu du SI. »
Jean-Séverin LairDSI de l’Insee
« D’autres experts peuvent être utiles, comme les experts poste de travail. Je ne dis pas “experts Windows Microsoft”, mais “poste de travail”. Cela signifie un profil capable d’aller au-delà de la solution pour s’intéresser à la technologie et à sa compréhension », détaille-t-il.
Les applications ont en effet leurs spécificités en matière de traitement des données personnelles, ce qui est le cœur de l’activité d’un DPO. Mais la maîtrise IT permet aussi d’agir au niveau de la dépendance technologique (qui présente des « inconvénients énormes ») et de la sécurité informatique, souligne le DSI de l’Insee.
« Lorsqu’on fait des analyses de sécurité, on s’arrête souvent aux bornes de ces boîtes noires », poursuit-il. À titre d’illustration, l’institut de la statistique a approfondi ses analyses et mis au jour une importante faille au sein d’un produit de détection des vulnérabilités qu’il avait déployé.
« Assurer la sécurité est très compliqué si une boîte noire est installée au milieu de son SI ». La problématique de la maîtrise technologique, l’Insee a eu l’occasion de l’aborder dans d’autres domaines que la détection de CVE.
Montée en puissance sur les technologies cloud
C’est aussi le cas dans le cloud, qui englobe virtualisation, stockage objet, conteneurs, etc.
La question de l’adoption du cloud s’est posée pour l’Insee, qui est ainsi « monté en puissance sur les technologies cloud. »
Cela s’est traduit par le déploiement d’une infrastructure de conteneurisation, hébergée en interne. « Je vais être honnête, on peut se le permettre, car la DSI chez nous, c’est plus de 400 personnes », concède Jean-Séverin Lair.
Cet effectif et ces ressources garantissent à l’Insee une taille suffisante pour internaliser des compétences rares. Ces expertises ont été exploitées pour développer en interne via « des souches open source […] Nous sommes revenus à la techno de base. »
Grâce à la maîtrise acquise sur le cloud, la DSI s’attelle à présent à la mise en place de PCA/PRA sur le cloud interministériel et à des expérimentations sur un cloud commercial. Mais cela intervient « dans un deuxième temps, c’est-à-dire après s’être vraiment fait une opinion et une représentation complète de la technologie. »
SAS remplacé par Python et R
Cette politique de maîtrise, l’Insee l’a aussi appliquée à la construction de sa plateforme de Data Science.
Le résultat, c’est Onyxia, un produit open source pour la construction d’environnements conteneurisés de data Science. Les premières réalisations ont toutefois été menées dans le contexte de l’open data afin de minimiser les contraintes SSI et réglementaires.
Ultérieurement, le service open data (SSPCloud) a été doublé d’une plateforme « fortement sécurisée » et « enrichie progressivement » du nécessaire (authentification, traçabilité, confidentialité, etc.).
« Il y a quelques années, SAS a fait x4 sur ses tarifs. »
Jean-Séverin LairDSI de l’Insee
Dans le domaine du développement logiciel, le but premier de la maîtrise est celui du contrôle de la complexité, juge Jean-Séverin Lair. Car le foisonnement d’outils et de librairies impacte fortement le maintien en condition de sécurité.
Mais la maîtrise du développement a aussi des implications financières en matière d’innovation. Historiquement tourné vers SAS (« merveilleux langage statique sur une solution propriétaire dont l’éditeur a fait x4 sur le tarif il y a quelques années ») et Java, l’Insee a pris un virage sur les langages R et Python.
D’ici fin 2025, l’Insee aura en principe rompu totalement avec SAS. Mais pour le DSI, le choix des langages répond aussi à des enjeux de spécialisation… et donc de maîtrise. Il est en outre clé pour favoriser d’autres usages. Avec Python, l’Insee répond ainsi à ses besoins sur la valorisation des données.
En ce qui concerne enfin les services collaboratifs, l’Institut a opté pour du « best of breed » plutôt que du « clé en main », c’est-à-dire du tout intégré dont le principal inconvénient est « le verrouillage » des organisations clientes.
Small ESN are beautifull
Sur le collaboratif, l’Insee combine ainsi, grâce au SSO, différents produits du marché : Outlook comme client de messagerie, Exchange (mais la sortie est en cours « pour des raisons financières »), Zoom sur la visioconférence (« choisi au moment du Covid »), Jalios sur l’intranet.
« Aller sur des solutions indépendantes permet de les mettre en concurrence, de juger de leur pertinence, de leurs risques et donc aussi de pouvoir améliorer, même en termes SSI, les traitements », note le DSI.
Jean-Séverin Lair admet que la maîtrise technologique n’est pas seulement une question de volonté. Des compétences adéquates sont indispensables en interne. De quoi exclure nombre de candidats ?
Pas forcément. Des remèdes sont possibles, dont le recours à des sociétés de conseil, « mais de petite taille » pour la qualité de leurs expertises, suggère le DSI sur la base de sa propre expérience. Les grands cabinets en prennent pour leur grade.
Les organisations ont cependant aussi besoin d’une « bonne personne, une personne clé » pour interagir avec ces compétences externes, au risque, sinon, d’être maintenu au sommet de la montagne de la stupidité. Et de faire les mauvais choix technologiques et d’abandonner toute maîtrise.
Pour approfondir sur Data Sciences, Machine Learning, Deep Learning, LLM