Le territoire bordelais connait une transformation, à la fois administrative et numérique, sans précédent. Jean-Noël Olivier, adjoint au directeur général, en charge de la stratégie et des systèmes d’information de Bordeaux Métropole, décrit l’opportunité de lier innovation et sécurité collective de l’information.
Alliancy. Quel est le principal axe de transformation de Bordeaux Métropole autour du numérique ?
Jean-Noël Olivier. La mutualisation de 28 communes au sein de Bordeaux Métropole a des impacts majeurs sur l’organisation du territoire et sur la vie de 800 000 personnes. C’est aussi une réelle opportunité de repenser la sécurité de l’information à l’échelle d’un territoire, ce qui est un des plus grands enjeux auxquels notre société va devoir faire face. Et cette sécurité doit être pensée à tous les niveaux, sans compromettre la création de nouveaux services pour les citoyens, les élus, les administrations… On comprend la complexité que cela représente quand on voit la diversité des services concernés : transport, gestion de l’eau, assainissement, mais aussi élections, etc.
Comment vous adaptez-vous ?
Jean-Noël Olivier. Nous devons changer nos pratiques liées à chacun de ces métiers pris indépendamment mais aussi notre vision globale à l’échelle des territoires. Nous travaillons depuis plusieurs années avec les services de l’Etat dans le cadre de la Loi de Programmation Militaire car de nombreux services sont vitaux pour notre vie quotidienne. Plus précisément, nous devons être capable d’assurer la continuité de tous les services sans faillir. Si l’on regarde l’actualité, avec les inondations dans l’Aude par exemple, il faut que nous soyons capables d’accompagner efficacement la gestion de crise et de faire en sorte que les communications ne soient pas coupées. Or, il est rare que chaque commune ait pu prendre en compte ce caractère critique que revêt aujourd’hui la continuité du numérique pour les citoyens. Sans même parler de cyberattaques ou d’actes malveillants, il suffit parfois de prendre la foudre pour voir tout un pan d’activité arrêté pendant deux jours, quand rien n’a été pensé pour y faire face.
A quel point cette prise en compte de la « sécurité collective numérique » est-elle nouvelle ?
Jean-Noël Olivier. On assiste à une prise de conscience généralisée sur la nécessité d’avoir une capacité à assurer des services variés, alors que ceux-ci deviennent de plus en plus interdépendants et irriguent tout un territoire. Plus on mutualise, plus on s’expose en quelque sorte, car tout est lié. Or, cette transformation au niveau du territoire doit s’accompagner par des garanties pour conserver la confiance des citoyens dans l’action publique et politique. Le plan de transformation de la métropole s’appuie sur 6 axes et l’un d’entre eux est la sécurité. Cela est parti d’une analyse de risque sur l’ensemble du territoire pour identifier et mieux protéger les services critiques dont nous avons la charge. C’est aussi un travail sur la fondation « hardware » de nos capacités numériques, autant que sur l’émergence d’une nouvelle culture de la sécurité.
Vous avez dû changer vos équipements pour assurer le service numérique à l’échelle du territoire ?
Jean-Noël Olivier. Un deuxième datacenter était effectivement obligatoire, avec une interconnexion redondante croisée avec notre premier centre de données, pour garantir la continuité de services. Mais il a également fallu repenser les réseaux eux-mêmes qui irriguent tous les secteurs. Par ailleurs, les audits ont été présentés aux élus et cela a permis de mieux incarner à leurs yeux la nature du risque sur notre écosystème numérique. En conséquence, nous avons pu mettre en place une Politique générale de la sécurité et d’ici à la fin de l’année se tiendra le premier comité stratégique sur le sujet qui sera directement piloté par le président de la métropole, Alain Juppé. A un niveau plus opérationnel, nous avons restructuré l’ensemble de nos méthodes projets pour pouvoir intégrer la sécurité à chaque étape. On parle énormément de Security by Design depuis l’entrée en vigueur du RGPD notamment, mais il est toujours délicat de mener de telles évolutions structurantes. En ce sens, le chantier de la mutualisation nous a permis de mettre le sujet à plat et de repenser notre fonctionnement collectif pour que cela devienne une réalité.
En ce sens, on a l’impression que vous avez profité d’une configuration exceptionnelle entre tempo politique, réglementaire et technologique, autour de la dynamique de mutualisation ?
Jean-Noël Olivier. On peut vraiment parler d’alignement des planètes car la mutualisation n’a pas été vue comme un pur enjeu administratif ou une contrainte, mais bien comme l’opportunité de structurer tous nos sujets clés pour l’avenir du territoire. Nous avons ressenti que nous avions une occasion rêvée pour aborder des sujets très transverses, d’habitude jetés les uns contre les autres -comme l’innovation, la sécurité, la transformation administrative… – pour enfin pouvoir traiter le tout de façon cohérente. C’est une forme d’intelligence et d’action collective qui manque trop souvent aux actions des grandes organisations. Cela a été renforcé par la possibilité de mutualiser les budgets et les investissements. Un exemple : pour la sécurité de l’information, nous avons pu gérer conjointement notre action sur la Loi de Programmation Militaire, le RGPD, la directive NIS, etc.
A quel point pensez-vous que cette « intelligence collective » est clé dans le développement du territoire bordelais ?
Jean-Noël Olivier. Elle doit se ressentir dans tout ce que l’on construit pour une simple et bonne raison : éviter de reconstruire des systèmes fermés à tous les étages. C’est un pilier pour espérer innover et introduire de nouveaux services utiles et sécurisés aux citoyens, autour de l’IoT par exemple, sans qu’ils soient fragiles et risqués. Cette intelligence collective, nous devons la nourrir en interne, mais pas seulement. Elle doit être développée dans notre collaboration avec les services de l’Etat, vu la dimension clé de sécurité des territoires dont il est question, mais aussi dans notre collaboration avec de nouveaux acteurs innovants.
Avez-vous un exemple d’une telle collaboration ?
Jean-Noël Olivier. Pour adresser les sujets complexes autour de la sécurité du système d’information nous avons mis en place un partenariat de co-innovation avec une société bordelaise innovante, Tehtris, une pépite reconnue internationalement pour ses travaux sur l’intelligence artificielle en sécurité. De manière globale, notre objectif est de résoudre l’équation qui voudrait qu’on oppose cloud et souveraineté. De mon point de vue, c’est possible si on arrête de croire que la souveraineté est seulement un sujet de localisation des données, ce qui est le dogme classique dans de nombreuses collectivités. Cette culture conduit à la multiplication des systèmes fermés que je dénonçais plus tôt. Or, l’important c’est de garder la maîtrise des données, de l’information et de la confiance vis-à-vis des citoyens. Quel territoire peut espérer reproduire avec ses propres applications un service comme Waze ? Notre enjeu c’est de construire des modèles qui vont pouvoir s’étendre entre les territoires, profiter de l’ouverture et des innovations permises par le numérique, et non pas nous refermer sur nous-mêmes. Derrière le système d’information des métropoles, la mission est celle de la garantie de l’ouverture, de la fiabilité et de la neutralité des systèmes. C’est d’autant plus important aujourd’hui alors que les tensions politiques et les manipulations se multiplient, ce qui inquiète à la fois les élus et les citoyens.
Par quoi passe cette maîtrise que vous appelez de vos vœux ?
Jean-Noël Olivier. Il n’y a pas de réponse toute faite à cette question. L’idée est de ne pas abdiquer ou de s’enfermer dans des dogmes. Un exemple : au niveau de nos datacenters, nous avons voulu construire un cloud hybride qui permette de lier les bienfaits de l’automatisation à une réelle maîtrise de nos actifs numériques. Avec des acteurs bien connus comme VMware, il est possible de mettre en place des systèmes qui nous permettent à tout moment de décider où sont chacun de nos actifs, en cloud public ou cloud privé, et surtout d’assurer la réversibilité de ces choix, selon l’évolution de notre analyse de risque. Nous avons donc construit cela avec eux et ils sont aujourd’hui au cœur des datacenters et de notre plan de reprise d’activité. Un autre exemple sur un sujet complètement différent : avec l’IoT notre mission est de ramener l’intelligence au plus près des objets que l’on connecte.
Pouvez-vous expliquer ce que cela implique ?
Jean-Noël Olivier. Nous devons atteindre pour les services numériques de demain le niveau de confiance et de praticité que les citoyens perçoivent aujourd’hui dans l’électricité. C’est-à-dire une banalisation de l’énergie numérique : cela fonctionne sans que l’on ne cherche à comprendre. Mais pour parvenir à ce niveau-là, les services vont devoir embarquer à la fois l’intelligence, pour la praticité, et la sécurité, pour la confiance. Et un acteur seul ne pourra jamais réussir cela. Il faut donc travailler de façon intelligence avec d’autres collectivités pour ouvrir les portes d’une véritable normalisation qui va rendre cela possible sur nos territoires. Dans le cas d’loT, il y a encore beaucoup trop de verticalités, alors que nous avons besoin de systémique, d’horizontal, seuls moyens de gérer l’afflux monumental d’objets et de services qui vont arriver.
Concrètement qu’est-ce que cela pourrait permettre ?
Jean-Noël Olivier. On voit aujourd’hui des constructeurs de lampadaires intégrer dans leurs produits des caméras à des fins de maintenance par exemple. A nos yeux, ce lampadaire devient dès lors un objet connecté qui va être potentiellement au cœur de nouveaux usages « multi-services » que nous devons rendre cohérents. En effet, cette caméra pourra peut-être également être utilisée à des fins de sécurité ou même de repérage statistique…. C’est une révolution d’un point de vue technologique, car cela unifie des systèmes auparavant complètement cloisonnés. C’est aussi une révolution à venir en matière de compétences pour les personnes qui vont devoir s’occuper de sujets aussi différents. Ils devront apporter cette cohérence et surtout ils devront éviter de subir la course qui se joue entre sécurité et innovation… Qui sait ? Peut-être que demain des « directions des objets connectés » naîtront dans les Métropoles pour fédérer ces enjeux !