Nous, les junkies du SaaS

Difficulté : | 15' Publié il y a 7 mois
Ah ! Elle est loin l'époque où chaque entreprise gérait de A à Z son informatique et ses données. On avait un joli serveur exchange pour les emails et une belle suite Office installée sur chacun des postes. Le marché était sous le monopole de Microsoft et tout le monde paraissait content (ou presque). Pour l'informatique en entreprise c'était le même topo avec toujours un gros chèque à signer chaque année pour la firme de Redmond. Et puis, ça a changé.

À ce moment-là, on avait encore une certaine maîtrise sur ses données et son environnement technique. On achetait des logiciels et non des services que l'on installait sur SES machines. Bref, c'était le temps que les moins de 20 ans ne peuvent pas connaître. L'informatique y était monolithique, peu interconnecté et très rigide.

Mais en l'espace de 10 ans, les choses ont bien évolué avec la dématérialisation des produits et le stockage cloud. Nous n'achetons plus, nous louons du service.

Aujourd'hui, les services proposent de s'adapter à notre consommation en nous affranchissant de toute considération technique et logistique. On veut du flexible, du fonctionnel et du disponible everywhere !

Rêve ou dépendance technologique ?

junkie

Saas : ces services aux pieds d'argile

Malheureusement, depuis quelque temps, nos merveilleux Software as a Service préférés sont dans la tourmente. Nous passerons sur les problématiques de confidentialité des données (qui est aussi un sujet important). Ici nous parlerons d'abord de sécurité et de disponibilité des services.

Tous puissants soient-ils, ces derniers mois nous démontrent que ces leaders des services en ligne sont devenus des cibles privilégiées pour les hackers.

Souvent à travers des prestataires transversaux comme les registrar (domaines), DNS providers ou encore les backbones providers... tous les moyens sont bons pour fragiliser ou faire "tomber" l'internet mondial.

Les attaques actuelles semblent ressembler, d'après les experts, à des tests de résistance du réseau. Les attaques souvent de type DDoS durent quelques heures puis s'arrêtent quelques minutes pour mieux reprendre encore plus fort et ce, pendant plusieurs jours. Le rythme augmente au fur et à mesure et permettent aux attaquants de connaître les points de rupture.

Ces armées de machines zombies (dont beaucoup d'objets connectés mal sécurisés) déversent leurs attaques pour saturer les serveurs cibles.

Quels qu'ils soient, les hackers derrière tout ça préparent sûrement des répliques encore plus puissantes dans les prochains mois. Quelles soient volontaire ou non, nos services sont et seront sûrement sujets à des coupures.

Si la situation actuelle n'a rien d'alarmante, elle mérite d'être comprise pour ensuite être anticipée.

Préparer sa cure

Sans débattre des questions de propriétés des données qui sont stratégiques lors de l'utilisation de services tiers, la vulnérabilité et les indisponibilités successives laissent à réfléchir. Faut-il risquer que nos données fuites ou qu'un service soit indisponible plusieurs jours de suite ?

Si le leak de vos notes internes, vos contrats ou vos codes sources sont des situations délicates, que dire d'une journée de développement perdue car Github est indisponible ? Anecdotique pour des utilisateurs particuliers, cela peut devenir un vrai cauchemar pour une entreprise.

Pourquoi changer?

  • Reprendre le contrôle sur vos données ;
  • Se former à différents produits et langages ;
  • Pouvoir modifier certaines fonctionnalités sans contraintes ;
  • Impliquer vos collaborateurs dans les outils qu'ils utilisent ;
  • Bénéficier des accès aux produits sans restriction.

Pourquoi ne pas changer?

  • Certaines solutions sont difficiles à utiliser sur une grosse volumétrie ;
  • La maintenance peut entraîner des erreurs de manipulations voir des coupures de services ;
  • L'installation et le maintien de ces services prennent du temps ;
  • Certaines alternatives ne sont pas toujours au niveau des versions "payantes".

Les substitutifs

C'est bon ? Vous voulez décrocher ?

Nous avons listé pour vous certaines solutions self-hosted alternatives. Nous avons testé de nombreux outils, présélectionnés les meilleurs et notés ceux que nous utilisons actuellement. Pour les autres, on attend vos feedbacks.

Mais avant de commencer, il nous semblait important de remercier tous ces contributeurs et ces sociétés qui œuvrent pour l'open source. N'oubliez pas cela quand vous rencontrerez un bug, au lieu de râler, proposez un fix ! Sachez enfin que certaines sociétés adossées à ces produits proposent aussi un mode SaaS.

  • De Github à Gitlab C'est LA solution la plus complète du marché. Développé en Ruby (rails), le projet s'installe facilement grâce à son système omnibus qui package l’ensemble des technos nécessaires à son fonctionnement. En revanche, étant un projet hyper actif, Gitlab doit très souvent être mis à jour en raison d'un rythme de releases soutenu. N'en doutez pas, Gitlab propose autant de fonctionnalités (voir plus) que Github avec un système de déploiement (CI), une intégration d'un slack-like et devient avec le temps une véritable plateforme multi-outils autour du développement. Pour une installation en interne, prévoyez une machine avec du stockage et de la puissance.
    Installation : Maintenance : Equivalence :

  • De Slack à Mattermost : Un outil pour communiquer dans votre équipe ? Slack est aujourd’hui le grand leader du marché et a fait sa force sur sa capacité à s'interconnecter avec de nombreuses autres services (Google Drive, Trello...). Une solution existe depuis quelques années, le dénommé Mattermost, qui est maintenant embarqué dans Gitlab. Un véritable coup de pousse pour cette solution qui progresse aussi très rapidement mais manque encore d'interconnexion. Pour une utilisation simple d'échange entre vos collaborateurs l'outil est parfait, sinon, vérifiez régulièrement cette page pour vérifier les plugins disponibles. Si vous optez pour la solution Gitlab, la mise à jour de mattermost sera embarquée dans les releases. De quoi simplifier grandement votre maintenance.
    Installation : Maintenance : Equivalence :

  • De Skype à Jitsi : Nous avons très récemment testé cette solution. Pas évident à mettre en place, pas toujours performant et difficile à paramétrer pour une utilisation interne, Jisti manque vraiment de souplesse. Malgré tout, le produit semble bien suivi et nous allons approfondir le sujet dans les prochaines semaines. Jistsi est full web, ce qui fait du bien quand on nous propose encore de faire du team viewer ! Stay tuned.

  • De Basecamp à Redmine : Solution très utilisée actuellement, elle propose une stabilité incontestable et des fonctionnalités bien pensées. On est d'accord, Redmine est une solution sobre et pas hyper fun. Il est donc important pour le faire accepter à vos équipes d'appliquer un thème un peu plus 2016 et quelques plugins importants. Ce projet évolue très lentement, ne vous attendez donc pas à des innovations régulières. Développé en Ruby, Redmine est facile à installer mais une plaie à mettre à jour. Pour les plus foufou d'entre vous, regardez aussi du coté d'Open Project, ce produit est plus moderne et cool.
    Installation : Maintenance : Equivalence :

  • De Sentry.io à Sentry : Surveiller vos logs applicatifs est de plus en plus courant pour vous permettre d'être pro-actif. La solution Sentry développée en Python va traiter vos flux de logs avec un système d’agrégation et de groupage très bien pensé. L'installation est facile et la maintenance aussi (merci pip). Toutefois, nous tenons à vous prévenir que la solution traîne depuis son origine une quantité importante de bugs qui ont étés très largement corrigés dans la version 8. Toutefois, vous pourrez parfois rencontrer des problèmes sur les workers qui crashs sans crier gare. À surveiller donc ! Pour les gros bras, vous pouvez tester la solution la plus tendance du moment : ELK (Elastic stack).
    Installation : Maintenance : Equivalence :

  • De Dropbox à Owncloud : Le stockage en ligne est stratégique. Que vous soyez utilisateur de Google Apps avec Drive ou encore Dropbox, vous liez très étroitement votre activité et vos données avec le service Google. Développé en PHP, Owncloud propose une bonne intégration LDAP, WebDav et des clients desktop et mobiles. Malgré un développement chaotique, Owncloud fait son chemin et sa version 9 alliée à PHP7. Cette dernière version gomme considérablement les gros reproches que l'on pouvait lui faire jusqu'à présent. À essayer de toute urgence si a chaque fois que vous déposez un document sur Drive vous avez un petit pincement au cœur !
    Installation : Maintenance : Equivalence :

  • De Google Analytics à Piwik : Avoir un outil d'analyse du trafic sur son site est synonyme à 80% de Google Analytics. Comme toujours avec Google et son service Analytics, les fonctionnalités et la prise en main sont excellentes. Le seul regret : partager l'intégralité de vos données (et donc de votre business) avec eux. Piwik, le petit pousset, est toutefois une alternative des plus sérieuses avec plusieurs années d'évolutions. Malgré une technologie PHP qui semble peu adaptée à cette utilisation, Piwik s’avèrera rapidement démunie pour l'analyse d'un ou plusieurs sites à fort trafic.

  • De Wetransfer à Lufi : Outil incontournable en entreprise, les transferts de gros fichiers demeurent la plupart du temps improvisés. Nous faisons donc transiter des fichiers souvent sensibles à travers des "send box" sur internet sans aucune garantie de protection et de sécurisation. Mettre en place une solution de transfert de fichier en interne n'est pas complexe et la solution Lufi répond exactement à ce besoin. A travers une interface simple, vous pourrez échanger vos fichiers et gérer vous-même la durée d'expiration. En utilisant un outil de ce type, vous gagnerez en sérieux et en crédibilité auprès de vos clients ou partenaires. Lufi est développé en Perl et réalise l'upload via Websocket.
    Installation : Maintenance : Equivalence :

  • Gestionnaires de packets : Les dépendances font partie de notre écosystème de développement depuis maintenant un certain temps. Certain langages sont plus consommateurs que d'autres et la question de notre relation envers ces services centralisés se pose. Pour des projets critiques, il est inconcevable de ne pas pouvoir déployer un projet pour des raisons d’indisponibilité d'un registry ou d'un hub de packets. Voici des solutions alternatives par type de langage :

Mais bien sûr, mettre en place un système de cache des librairies langage par langage est fastidieux. Des nouvelles solutions émergent pour vous permettre de contrôler plus facilement vos bibliothèques multi-langage comme Artifactory.

Pour ou contre la désintox ?

Mais quels sont les vrais impacts d'une réappropriation de ces services ? Quel temps à consacrer ? Combien cela va coûter ?

Il n'y a pas de réponse toute faite car cela dépend de beaucoup de facteurs dans votre entreprise. Par exemple, pour notre agence, nous avons toujours aimé regarder "sous le capot" des produits que nous utilisons.

C'est donc très naturellement que nous avons mis en place des solutions en internes au cours des années. De plus nous avions déjà une infrastructure serveur homogène et flexible qui nous permettait de déployer rapidement des serveurs et donc des services.

Si vous souhaitez passez le cap, vérifiez en amont l'état de motivation de vos collègues. L'installation et la mise à jour demande un travail hebdomadaire. Il faut en être conscient.

Enfin, car ce travail est parfois fastidieux, déléguez à chacun la responsabilité d'un ou de plusieurs services.

En résumé, il n'y a pas d'urgence à changer mais il peut être intéressant d'amorcer une réflexion sur vos dépendances technologiques. Cette introspection peut être l'occasion de réfléchir sur vos méthodes de travail liées à chacun de ces outils.

Prenez le temps de regarder avec lucidité vos pratiques et vos outils actuels pour mieux repérer les points critiques. Vérifiez aussi que le fonctionnement même de votre entreprise et sa taille est compatible avec les objectifs que vous vous êtes fixés.

Chez Wanadev, même si nous utilisons de moins en moins de services tiers (pour notre plus grand plaisir) certains résistent par leurs qualités et leurs fonctionnalités encore inégalées. En effet, un point doit vous guider dans vos décisions : le confort d'utilisation.

Pour les curieux, Framasoft propose déjà depuis quelques années des bons outils alternatifs. Autre ressource intéressante, alternativeto pour la découverte de nouveaux outils, libres ou non.

Et vous ? Quelles sont vos meilleures alternatives ?

Je tiens aussi à remercier Baptiste Donaux et Corentin Baur qui ont installé et maintiennent certaines des solutions évoquées dans cet article. Leurs retours m'ont été précieux.

Tags de l'article :

bonnes pratiques git mattermost redmine Trello open source Sécurité

Commentaires