L’édition 2018 de la manifestation clients «L’OFIT en action» était entièrement placée sous le signe du numérique. Outre la méthode agile appliquée aux projets et à DevOps, la centaine de participants a pu découvrir le quotidien professionnel du Computer Security Incident Response Team ou s’informer sur le lancement imminent de MDM version 2.
«L’OFIT en action»: méthode agile, sécurité et MDM
Le 26 avril, l’OFIT a invité ses clients à sa manifestation annuelle «L’OFIT en action» dans l’aula de l’Office fédéral du personnel (OFPER). En guise d’introduction, Markus Hänsli, responsable de la division Gouvernance, a évoqué les instruments de travail numériques. Le passage au numérique est un processus de développement et d’apprentissage qui se déroule en plusieurs étapes: «Il arrive encore fréquemment que l’on scanne des formulaires papier puis qu’on les traite et qu’on les archive sous forme de document PDF», a déclaré Markus Hänsli. Il s’agit là de la première étape du passage au numérique: plutôt que de voir monter la pile de dossiers sur son bureau, on voit se remplir sa boîte de messagerie. On arrive à l’étape suivante quand les données sont saisies par voie électronique dès le départ, sur un formulaire en ligne, par exemple. Le processus est entièrement informatisé mais suit encore la logique des processus papier.
«La troisième étape, c’est celle où les processus sont totalement intégrés et fondés sur des données», a poursuivi Markus Hänsli. Exemple: le service financier d’une entreprise utilise un logiciel qui établit le décompte d’impôt sur la base des données comptables avant de transmettre ces informations à l’administration fiscale par voie électronique. L’administration fiscale vérifie les données, transmet à l’entreprise la décision fiscale et perçoit l’impôt, le tout par voie électronique également.
«Plus vos processus sont intégrés, plus il est facile d’utiliser aussi des appareils mobiles dans votre quotidien professionnel», a conclu Markus Hänsli. «Au lieu d’avoir à traiter un document entier, vous ne voyez s’afficher que les informations dont vous avez besoin pour l’étape du processus où vous vous trouvez. Pour cela, vous n’avez pas besoin du grand écran d’un PC: celui de votre smartphone ou de votre tablette suffit.» Il a ajouté qu’il appartenait à l’OFIT de fournir l’infrastructure et les technologies nécessaires pour que l’administration fédérale puisse prendre la voie des processus pleinement intégrés fondés sur des données.
La méthode agile selon Scrum
Il fut ensuite question de la méthode agile dans le projet «Services de recherche centraux pour le dossier électronique du patient» de l’Office fédéral de la santé publique (OFSP). Le dossier électronique du patient (DEP) est une plateforme sur laquelle les citoyens peuvent accéder à tout moment aux données médicales les concernant telles que radiographies, carnet de vaccination, comptes rendus de laboratoire, etc. Il peut aussi être consulté par les professionnels de la santé (p. ex. médecins, personnel soignant ou pharmacies. Pour en savoir plus sur le DEP: www.e-health-suisse.ch). Thorsten Kühn, collaborateur scientifique à la section Cybersanté et registres des maladies à l’OFSP, et Daniel Creus, responsable de l’unité Développement en technologies Microsoft, ont exposé les modalités de la collaboration entre le bénéficiaire de la prestation et l’OFIT dans le projet géré de manière agile «Services de recherche centraux pour le DEP».
«À propos des processus agiles selon Scrum, un cliché très répandu veut qu’il n’y ait pas de consignes», a déclaré Daniel Creus. «C’est faux: Scrum donne de nombreuses consignes et définit très précisément les différents rôles et étapes du processus.» Le «product owner» joue un rôle majeur. Il est le représentant du client, et c’est lui qui définit quelles tâches du «product backlog» (référentiel des exigences initiales) il souhaite voir accomplies au cours du prochain «sprint» de trois semaines. Un rôle difficile, que Thorsten Kühn a assumé pour la première fois dans ce projet. «Au début, c’était passionnant et motivant de multiplier les réunions avec de nouvelles personnes, dans un environnement nouveau, a-t-il confié. Mais assumer les nombreuses tâches du product owner en plus du travail quotidien n’a rien d’évident. Je me suis parfois demandé s’il n’aurait pas été plus judicieux de développer le projet sur le modèle de la cascade. En tout cas, plus mon rôle de product owner se prolongeait, plus je voyais les avantages de Scrum pour le mandant.» Les échanges permanents impliquent davantage le client dans le projet et permettent de régler rapidement les incompréhensions ou les malentendus. Ils favorisent aussi la compréhension mutuelle: celle des développeurs pour les exigences techniques, et celle du product owner pour les restrictions imposées par la technologie. Ces avantages, a conclu Thorsten Kühn, l’ont convaincu de l’intérêt de la méthode agile et ont fait de lui un adepte de Scrum
Démarrage réussi pour DevOps
Carsten Plum, responsable de l’unité Program Alignment & Coaching, a donné un aperçu des premiers pas qu’a faits l’OFIT avec DevOps, lors du développement de l’application Document d’accompagnement électronique pour l’Administration fédérale des douanes (AFD, voir «Eisbrecher» no 69). DevOps est un mot-valise construit à partir des termes développement et opérations, et désignant un rapprochement entre le développement de logiciels et l’exploitation d’applications. «Ce n’est évidemment pas tout, a précisé Carsten Plum. DevOps, c’est une culture de coopération fondée sur la technologie et sur des processus.» L’image du fleuve illustre à merveille le concept: le but est de fournir continuellement aux clients de nouvelles fonctions plutôt que de leur remettre un produit fini développé sur une longue période. Il s’agit là d’une idée fondamentale chez Scrum aussi, mais DevOps va plus loin que la phase du développement du logiciel. L’équipe DevOps comprend des experts, des développeurs et des spécialistes de l’exploitation. Elle reste responsable de son application y compris sur les systèmes productifs, sur le mode «You build it, you run it» (vous l’avez construit: à vous de le faire fonctionner). En pratique, cela signifie que les spécialistes de l’exploitation sont déjà impliqués dans la phase de développement et que les développeurs de logiciels restent responsables en cas de défaillance sur les systèmes productifs. Mais la technologie et les optimisations de processus sont elles aussi capitales: l’application Document d’accompagnement électronique a été développée sur une plateforme en nuage dédiée, où elle est aussi exploitée. Cette plateforme permet une forte automatisation des tests et du déploiement, un atout majeur pour offrir continuellement et rapidement aux clients de nouvelles fonctions
Un aperçu de la cyberdéfense
Les participants avaient ensuite le choix entre deux sessions parallèles sur des thèmes différents. L’une d’elles proposait une plongée dans l’univers mystérieux de la cyberdéfense. Le Computer Security Incident Response Team (CSIRT) de l’OFIT y montrait comment les criminels utilisent des documents Word à des fins de hameçonnage. Le but est généralement de récupérer des données de connexion et des coordonnées de carte de crédit, mais un ordinateur infecté peut aussi servir de point d’entrée dans un réseau comme celui de la Confédération. Lors d’une démonstration, un analyste de la sécurité a montré ce qui se passe lorsque le destinataire d’un courriel de hameçonnage clique sur le lien contenu dans le message. Un document Word préparé, avec des macros, s’ouvre. Lorsque l’utilisateur active les macros, un fichier appelé «dropper» s’enregistre sur le disque dur. À ce moment-là, la plupart des antivirus sont incapables d’identifier le maliciel ainsi téléchargé. Le dropper télécharge à son tour d’autres codes. L’OFIT dispose heureusement d’instruments permettant de protéger le réseau fédéral contre ce genre d’attaque. Et ces instruments sont indispensables: environ 10 % des destinataires de la campagne de hameçonnage montrée dans l’exemple ont cliqué sur le lien. Dans une seconde démonstration en direct, les participants ont découvert combien il est facile de prendre le contrôle d’un ordinateur au moyen de l’exploit zero-day EternalBlue. Les exploits zero-day exploitent des failles qui n’ont pas encore été découvertes. Le transporteur maritime Maersk a subi l’an dernier une attaque de ce type qui illustre bien leur dangerosité: il a dû se passer de ses systèmes informatiques pendant dix jours et a enregistré une perte de près de 300 millions de dollars. Les participants ont été particulièrement impressionnés de voir avec quelle facilité un collaborateur du CSIRT a réussi à s’emparer d’un système non protégé au moyen d’EternalBlue, en quelques minutes à peine. Les outils nécessaires à ce type d’attaque sont en accès libre sur Internet.
Pour se protéger, il est essentiel d’effectuer les mises à jour de sécurité sur tous les systèmes de l’administration fédérale sans exception. Un seul appareil privé de correctif suffit pour causer des dégâts immenses. Il faut aussi remplacer à temps les systèmes vieillissants, dont certains n’acceptent même pas les derniers correctifs de sécurité.
MDM version 2: AppStore et libre-service
Dans l’autre session, Nico Massi, responsable du domaine Traitement des commandes, a exposé les avantages de MDM version 2 (MDM désignant la gestion des appareils mobiles [mobile device management]). Les applications MDM sont déjà installées sur les téléphones mobiles des utilisateurs. Elles leur permettent de traiter sur smartphone des données professionnelles telles que courriels, calendrier et contacts dans un environnement sûr (sandbox) sans devoir renoncer aux applications qu’ils aiment utiliser à titre privé. «La version 2 de MDM contient un AppStore spécial Confédération», a expliqué Nico Massi. Cet AppStore permettra de se procurer des applications professionnelles. Il proposera à terme trois types de produits: les applications de base qui sont déjà disponibles aujourd’hui, d’autres applications standardisées, qui elles seront payantes, et des applications spécialisées de certains offices. Lorsque la migration vers MDM V2 commencera, après les vacances d’été, les utilisateurs devront se réenregistrer. Ils auront pour cela à leur disposition un portail en libre-service sur lequel ils pourront choisir leur date de migration et trouver toute l’aide nécessaire pour la procédure d’enregistrement. Les fonctions du portail en libre-service ont été présentées dans une démonstration en direct de Daniel Steiner, ingénieur système en informatique.
Texte: Daniel Wunderli
Abonnez-vous gratuitement à l'«Eisbrecher»
Tous les trois mois, recevez les dernières nouvelles sur des thèmes informatiques au sein de l'administration fédérale et des projets actuels de l'OFIT.