Comme beaucoup d'entreprises et d'administrations, l'ADEME (Agence de l'Environnement et de la Maîtrise de l'Energie) doit faire face au partage de documents à la fois volumineux et confidentiels, ce partage pouvant autant être interne qu'avec des partenaires extérieurs. Les collaborateurs sont tentés d'adopter des outils inadéquats dans ce genre de situations et il fallait donc que la DSI reprenne le contrôle de ce type de partages. La bonne pratique traditionnelle est de gérer des espaces en ligne accessibles via FTP. Or la création, la modification ou la suppression d'un espace partagé de ce type suppose l'intervention du service informatique. Du coup, les utilisateurs se plaignent d'un manque de réactivité et de flexibilité face à leurs besoins. Et, à l'ADEME, beaucoup réagissaient avec des méthodes non-conformes. Chef de Projet au Service Infrastructure de la Direction Informatique et Logistique de l'ADEME, Pascal Daudon se souvient : « certains tentaient (sans y arriver) d'envoyer des mails avec de grosses pièces jointes comme des rapports avec de nombreuses images, d'autres partageaient des documents confidentiels via des services grand public comme Dropbox. »
Un frontal open-source pour des utilisateurs autonomes
Au printemps 2012, l'ADEME explore le marché. La solution Pydio (nommée à l'époque Ajaxplorer) est repérée comme pouvant répondre aux attentes, notamment en matière de sécurité et d'ergonomie avec une interface proche de l'explorateur Windows. Ce frontal open-source permet de gérer plusieurs types d'accès, y compris le classique FTP existant. Mais il permet une gestion tant des documents et espaces partagés que des comptes d'externes par les utilisateurs finaux, sans intervention des techniciens. Un millier d'utilisateurs internes était à déployer. Avec Pydio, chacun des mille utilisateurs internes dispose de la capacité de partager des documents avec qui il le souhaite (interne ou externe) et chaque service dispose de répertoires partagés pour les seuls membres du dit service. Un même document peut parfois être partagé avec 200 ou 300 partenaires externes (ministères, collectivités locales, entreprises, consultants...), en plus des utilisateurs internes. « Je peux chercher des gens en fonction de leur rôle mais si le rôle d'une personne change, ses droits sur tel ou tel document ne seront pas changés ; à l'inverse, si quelqu'un quitte un service, il perd les droits associés à ce service » précise Pascal Daudon.
Ajout d'un interfaçage LDAP et respect des impératifs de sécurité
Parmi les besoins impératifs de l'ADEME, il fallait que la solution puisse être hébergée sur les moyens propres de l'agence. En l'occurrence, il s'agit d'un hébergement externalisé chez ITS Integra qui comprend 53 machines virtuelles et 86 sites ou applications. De plus, l'agence utilise, pour gérer les identités de ses collaborateurs, un annuaire OpenLDAP qui devait être interfacé pour permettre une gestion centrale des identités. La technologie Ajax de Pydio permettait son hébergement sur la plate-forme LAMP de l'agence. Mais, par contre, le logiciel n'était pas prévu pour s'interfacer avec un annuaire LDAP. L'ADEME a donc fait réaliser le développement nécessaire, qui a été reversé dans la souche de base selon les principes de l'open-source. Les développements spécifiques et la première année de maintenance ont coûté 21 000 euros à l'agence qui renouvelle son contrat de maintenance chaque année (moins de 10 000 euros). Pascal Daudon relève : « le ROI est très rapide puisque l'agence n'a plus à mobiliser des techniciens pour gérer manuellement les comptes FTP. » Par contre, un audit de sécurité par un auditeur externe avait révélé une faille dans le code installé. Cette faille avait déjà été repérée par l'éditeur mais le déploiement du correctif n'avait pas encore été fait. La correction de l'incident a donc été rapide.
Un projet de moins d'un an
Après la phase de recherche d'outil en Avril-Mai 2012, le choix de la solution Pydio (Ajaxplorer) a été fait en juillet 2012, avec une signature du marché fin juillet. L'implémentation a débuté mi-septembre 2012, les spécifications détaillées étant validées en Octobre. Développement, installation et intégration se sont poursuivis jusqu'à mi Décembre 2012. Après la mise en production pour les utilisateurs pilotes en janvier 2013, la recette définitive est prononcée mi-janvier et l'application est ouverte au millier d'utilisateurs internes en mars 2013. Ceux-ci peuvent gérer autant d'utilisateurs externes qu'ils le souhaitent et ce individuellement.