François Ossama
Chef de la Cellule Informatique du MINDUH http://www.minduh.gov.cm
http://www.francoisossama.org francois.ossama@riddac.org
LES LOGICIELS LIBRES
L’expérience du Ministère du Développement urbain et de l'Habitat (Cameroun)
23 septembre 2010, Yaoundé – Palais des Congrès
1. Présentation du MINDUH
2. Problématique des logiciels libres au MINDUH (Motivations) 3. Projets mis en œuvre avec les logiciels libres
4. Leçons tirées – Bénéfices 5. Leçons tirées – Contraintes
SOMMAIRE
2PRESENTATION DU MINDUH
Le Ministère du Développement urbain et de l'Habitat (MINDUH) est chargé de l'élaboration, de la mise en œuvre et de l'évaluation de la politique gouvernementale en matière de développement des villes et d'habitat au Cameroun. Sur le plan opérationnel, il s'occupe notamment des voiries urbaines, de l'assainissement, de l'habitat
Il s'appuie sur un effectif d'environ 600 cadres et personnels d'appui (secrétaires, agents) déployés dans 5 directions centrales (chacune comportant en moyenne 4 services) auxquelles s'ajoutent le Cabinet du ministre, le Secrétariat général et les services déconcentrés.
PRESENTATION DU MINDUH
Sur le plan informatique, en l'absence d'un schéma directeur (prévu pour 2010) un plan d'informatisation a été élaboré et est mis en œuvre par la Cellule informatique.
Il se décline en trois axes principaux :
l’appui à la modernisation de l’administration, par la mise sur pied des applications de gestion et de collaboration internes (courrier, budget, communication interne, etc.) ;
l’appui à la réalisation des missions opérationnelles du MINDUH, à travers le développement des outils d’aide à la décision en matière de planification et de gestion urbaine
l’appui à la communication externe du ministère grâce à l’Internet.
4
PRESENTATION DU MINDUH : INFRASTRUCTURE ET APPLICATIONS
Pour mettre en œuvre le plan élaboré des réseaux ont été déployés sur les deux sites géographiques qu’occupent les services centraux du ministère : Immeuble ARMP et Immeuble ministériel N°2.
Le réseau informatique des services situés à l'immeuble ARMP est constitué de 71 postes de travail, répartis sur 4 sous-réseaux (1 par étage occupé dans l'immeuble) fédérés par une dorsale Ethernet de 100 Mbts/s.
Le réseau informatique des services situés à l'immeuble ministériel N°2 comporte 35 postes de travail, répartis sur 2 sous-réseaux (1 par étage occupé) et reliés par une dorsale Ethernet de 100 Mbts/s
Depuis quelques mois les deux sites sont interconnectés via un réseau privé virtuel (VPN)
PRESENTATION DU MINDUH : INFRASTRUCTURE ET APPLICATIONS
SERVICES/FONCTIONNALITÉS INTRANET IMPLÉMENTÉES DNS, DHCP
Annuaire
Groupware (Messagerie électronique, Agenda, Porte-document, Chat) APPLICATIONS INFORMATIQUES INTERNES
Gestion du courrier Gestion du Budget Suivi des projets
Système de contrôle biométrique des présences SERVICES INTERNET
Site web (http://www.minduh.gov.cm) FTP
6
PRESENTATION DU MINDUH : INFRASTRUCTURE ET APPLICATIONS
Au départ cette infrastructure a été essentiellement construite avec des systèmes propriétaires :
Windows 2000 server : Services réseau (DHCP, DNS, Annuaire Active Directory) Lotus Domino (Messagerie électronique et GED)
IIS (Serveur web pour l’hébergement du site)
PROBLEMATIQUE DES LOGICIELS LIBRES AU MINDUH
D'une manière générale, les budgets informatiques des administrations restent orientés presque totalement vers l'achat des matériels informatiques (micro- ordinateurs et imprimantes essentiellement), laissant peu de place à l'acquisition de logiciels aussi bien d'infrastructure et de développement que de gestion interne et de collaboration. Cette situation s'explique par deux raisons principales :
Le faible niveau d'équipement des services tant au niveau central que déconcentré, qui conduit à prioriser l'achat des équipements ;
Une culture qui s'est développée laissant penser que les logiciels ne s'achètent pas et doivent directement être présents dans une machine à l'achat.
La problématique des logiciels libres s’est ainsi posée par rapport à trois types de contraintes résultant de cette situation :
Accroissement du parc informatique (Problème des licences) Evolutivité
Sécurité
8
PROBLEMATIQUE DES LOGICIELS LIBRES AU MINDUH
1- Accroissement du parc informatique et licences Windows : La licence Windows 2000 server acquise en 2002 était limitée à une vingtaine de postes clients. Or, le réseau est passé à 66 postes en 2004. Ce qui induisait un coût d'acquisition de licences clients supplémentaires estimé à plus de 20 000 dollars (12 millions de FCFA).
PROBLEMATIQUE DU LOGICIEL LIBRE AU MINDUH
2- Le problème de l'évolutivité de l'Intranet : Avec les systèmes propriétaires, l’intégration de nouvelles fonctionnalités implique généralement l'achat de modules spécifiques voire même de nouvelles versions. Or, les organisations disposant de faibles moyens peuvent difficilement suivre le rythme de renouvellement des produits commerciaux. Ce qui pose le risque de se retrouver avec une infrastructure figée, obsolète, ne pouvant bénéficier des innovations importantes ou répondre à de nouveaux besoins.
Par exemple, l'ajout d'un module webmail sur le système de messagerie installé (Lotus Domino) n'était pas possible, car il n'était pas intégré nativement dans la version de lotus domino utilisée. Pourtant, cette fonctionnalité s'avérait importante, du fait que la plupart des utilisateurs préféraient le navigateur web (client léger) au client lotus ou même Outlook pour accéder à leurs courriers.
De même, les systèmes de messagerie électronique ont progressivement intégrés des fonctionnalités de collaboration et de publication, mais celles-ci n'étaient pas disponibles avec la version de Domino utilisée.
10
PROBLEMATIQUE DU LOGICIEL LIBRE AU MINDUH
3- Environnement de développement : La Cellule informatique souhaitait mener certains projets d'applications en interne. Dans ce cas également, il fallait disposer d'un environnement de conception et de développement, dont le choix devait se faire en fonction du critère coût, mais aussi des technologies (langages, bases de données, etc.) orientées Internet/Internet.
PROBLEMATIQUE DU LOGICIEL LIBRE AU MINDUH
4- Connexion à Internet, hébergement du site du MINDUH et sécurité. En 2003, le réseau a été connecté à Internet. Cette connexion devait non seulement desservir les postes clients internes, mais aussi être utilisée pour l’hébergement des services Internet du ministère (une circulaire du Premier ministre demandait que les sites institutionnels ne soient pas hébergés chez des fournisseurs d'accès privés), en particulier le site web et la messagerie électronique.
Cependant l’architecture initiale mise en place n’était pas sécurisée. C’est ainsi que le serveur Windows 2000 du MINDUH a été victime à plusieurs reprise de hackers qui en ont pris le contrôle. Le SMTP intégré à IIS a servi à notre insu de relaie pour des spams. Il y avait pas conséquent une exigence plus forte de sécurité pour protéger le réseau local des attaques externes.
12
PROBLEMATIQUE DU LOGICIEL LIBRE AU MINDUH
En résumé, le choix des logiciels libres au MINDUH, à travers des projets menés dès 2004, a été dicté par la nécessité de répondre aux besoins suivants avec un budget limité :
Réduction des coûts d'informatisation Architecture sécurisée du réseau
Evolutivité de l'Internet (Implémentation de nouvelles fonctionnalités) Environnement de développement pour mener des projets en interne
PROJETS REALISES AVEC DES LOGICIELS LIBRES
1- Mise en place d’une architecture réseau sécurisée
La contrainte d'hébergement interne des services Internet combinée au problème de la sécurité imposaient la mise en œuvre d'une nouvelle architecture du réseau.
L'architecture retenue consistait à mettre en place une DMZ pour isoler la partie interne de la zone d’hébergement des services Internet du MINDUH, et de l’Internet lui-même
14
PROBLEMATIQUE DU LOGICIEL LIBRE AU MINDUH
RESEAU INTERNE
DMZ
Linux Debian Etch - Web (Apache)
- Accélérateur web (Squid) - Bases de données (Mysql) - Relais Messagerie (Postfix) - Routeur/Par-feu
(Netfilter) - DNS (Bind)
Internet Routeur SMC
Barricade
Figure A Linux Debian
Etch
Linux Centos
Messagerie/groupware (Zimbra)
PROJETS REALISES AVEC DES LOGICIELS LIBRES
1- Mise en place d’une architecture réseau sécurisée
Nous avons donc eu recours au Routeur/Pare-feu logiciel Netfilter (Iptables) sur une machine Linux Debian Etch pour réaliser la passerelle filtrante entre la DMZ et l’Intranet.
Iptables a plusieurs avantages :
Gratuit : présent dans tous les noyaux Linux Rapide : directement intégré sur le noyau Linux
Ne nécessitant que très peu de ressources (Même un Pentium II avec 32 Mo de RAM est suffisant)
Performant : stateful
16
PROJETS REALISES
2- Mise en place de la plate-forme d’hébergement web de type LAMP Linux Debian Etch 5.0
Bind (DNS Zone minduh.gov.cm)
Apache + PHP (Serveur Web + PHP) Mysql (SGBD)
Squid (Reverse proxy ou Accélérateur web) OpenSSL (Certifcat serveur)
Joomla (CMS)
Ostube (Plate-forme Multimédia)
Cette plate-forme assure l’hébergement du site web du MINDUH (http://www.minduh.gov.cm)
PROJETS REALISES
2- Utilisation d’OpenVPN pour réaliser un VPN
Avec OpenVPN sous Linux Debian, les applications internes du MINDUH, hébergées sur les site ARMP sont accessibles à d’autres services localisés sur des sites éloignés. Ce qui permet notamment aux utilisateurs des services de l’immeuble ministériel N°2, et ceux des projets sous-tutelle d’avoir accès aux applications internes de manière sécurisée (courrier, budget, projets).
PROJETS REALISES
3- Mise en place d’un système de collaboration (Groupware) avec Zimbra sur un serveur Linux Centos (dérivé de Redhat)
Certaines solutions libres de messagerie électronique et de travail collaboratif arrivent à maturité et deviennent, en terme de fonctionnalités et de performances, des alternatives sérieuses aux logiciels propriétaires tels que Exchange et Lotus. On peut notamment citer Zimbra (racheté par Yahoo! pour 350 millions de dollars en 2007).
Considéré comme l'un des meilleurs projets Open source actuels (Award sourceforge 2006 – Entreprises) Zimbra est basé sur les technologies AJAX, les mêmes qu’utilisent les messageries publiques comme Yahoo. Il intègre les principales fonctionnalités d’un groupware :
Messagerie électronique Agenda partagé
Porte-documents Chat
Synchronisation avec les plateformes mobiles comme le Blackberry
20
PROJETS REALISES
4- Applications internes
La Cellule informatique a adopté un environnement de développement basé sur Posgresl/Mysql, PHP et Java. Au départ, il s'agissait des développements web, mais par la suite, des projets plus importants ont été réalisés et fonctionnent sur cet environnement.
Application de gestion du courrier (Linux Debian/Postgresql/PHP) Application de suivi du budget (Linux Debian/Postgresql/PHP) Application de suivi des projets (Linux Debian/Mysql/PHP) Porte-documents (Linux Debian/Mysql/PHP)
22
SOLUTIONS LIBRES IMPLEMENTEES
5- Postes de travail
L’utilisation des logiciels libres sur les postes de travail reste limitée à la Cellule Informatique. Ubuntu est la distribution la plus utilisée.
LEÇONS TIREES - AVANTAGES
Juridiques (Contraintes de licences)
Les solutions implémentées permettent au ministère de s'affranchir de la contrainte de licences pour son infrastructure réseau, dans un contexte où le système de licences Windows est de plus en plus verrouillé, tant sur le plan juridique que technologique. Sur le plan juridique, le contrôle et les actions juridiques de Microsoft s'intensifient. Par exemple le ministère a reçu plusieurs lettres des entités mandatées par Microsoft pour demander la régularisation du parc logiciel. Sur le plan technologique : impossibilité d'installer des correctifs (patchs) sur les copies illégales (Win 2003 server), IE7 n'est installable que sur les copies légales de XP, etc. Ce verrouillage sera plus systématique avec Vista.
Utilisation de machines de bas de gamme (faible puissance)
Les solutions déployées sont peu gourmandes en ressources. Une distribution comme la Débian peut bien tourner sur un Pentium III avec moins de 128 Mo pour réaliser les services décrits plus haut. Ce qui nous a permis d'utiliser des machines non dédiées comme serveurs (notons ici que l'interface graphique de Linux est débrayable ; on peut choisir de pas la démarrer pour préserver les ressources)
24
LEÇONS TIREES - BENEFICES
Stabilité : Après plus d'un an et demi d'exploitation, la distribution Linux Debian s'est avérée particulièrement stable, aucun incident notable n'a été signalé, même après les coupures récurrentes prolongées d'électricité qui conduisent souvent à l'arrêt brutale des ordinateurs.
Sécurité : Aucune incident de sécurité sérieux n'a été signalé depuis la mise en place de la DMZ sous Linux.
Support : les communautés autour des logiciels libres choisis sont très actives. Ce qui permet de trouver une aide précieuse pour les installations et des solutions aux problèmes rencontrés.
OPPORTUNITES
COMPARATIF DES COÛTS
Source : http://www.microsoft.com/
26
Qté PU PT
Windows 7 185 170 495 31 541 575
Windows 2008 server R2
Enterprise 1 serveur + 25
licences 2 199 450 2 199 450
Windows 2008 sever CAL 160 21 973 3 515 680
Office Pro 2010 185 274 995 50 874 075
TOTAL 88130780
SIMULATION DES COUTS DE REGULATION DES LICENCES WINDOWS – CAS DU MINDUH
- 200 ordinateurs dont 15 disposent de licences - Un domaine Windows server
Ubuntu 185 0 0
Red Hat Enterprise 1 serveur 191 950 191 950
CAL 185 0 0
OpenOffice 185 274 995 0
Formation Ubuntu + OO 185 150 000 27 750 000
TOTAL 27 941 950
60 188 830
BENEFICES
COMPARATIF DES COÛTS
0 5 760 700
Total
0 3 561 250
Licences clients
0 2 199 450
Serveur
Zimbra Opensource Exchange Enterprise
Edition
28
0 4 437 950
Total
Mysql Community Edition ou Postgresql Sql Server Standard
Edition (licence processeur)
LEÇONS TIREES - CONTRAINTES ET RISQUES
Le temps de mise en œuvre des solutions libres a été assez important (par rapport à Windows 2000 serveur). En effet, Debian, contrairement à RedHat, dispose de peu d'outils d'administration graphiques. La plupart des configurations (DNS, routeur, pare-feu, apache, etc.) doivent être faites à la main, en éditant les fichiers de configuration. Disposer de compétences sur les logiciels libres en interne est donc un préalable pour mettre en place une infrastructure à base de ces logiciels.
Evolutivité : Une infrastructure déployée avec les logiciels libres fait appel à plusieurs outils qui n'évoluent pas de manière intégrée et cohérente. Il faut par conséquent évaluer le risque du changement de version d'une couche de l'infrastructure, pour ne paralyser tout ou une partie du système d'information. Par exemple, il peut arriver que le passage à une version supérieure de PHP bloque plusieurs applications.
La question de la pérennité de certains projets libres se pose (même si elle concerne aussi des logiciels propriétaires). Il existe de nombreux projets libres qui deviennent inactifs au bout de quelques années voire quelques mois. D'autres peuvent connaître des changements structurels ou technologiques majeurs (exemple Joomla/Mambo, passage de CPS de Python-Zope à Java, etc.).
LEÇONS TIREES - CONTRAINTES ET RISQUES
Pour les projets libres qui ne sont portés par des entreprises, comme Debian, il n'existe pas d'interlocuteur légal, qui puisse répondre des cas litigieux. Cette question est accentuée par les débats sur la valeur juridique de certaines licences libres.
Quelques experts estiment par exemple que la licence GPL viole le droit d'auteur (dans le contexte juridique français), car, selon leur interprétation, elle entraîne l'abandon des droits moraux prévus par le Code de propriété intellectuelle.
L'adoption des logiciels libres au MINDUH s'est limité pour l'essentiel à l'infrastructure et à la Cellule Informatique pour ce qui concerne les postes de travail. Malgré un effort de sensibilisation et de vulgarisation, la plupart des utilisateurs, qui maîtrisent déjà assez mal l'environnement Windows, ne sont pas prêts à passer de Office à OpenOffice (sous Windows), encore moins à migrer complètement sous Linux. Firefox a été installé sur plusieurs machines, mais le réflexe Internet Explorer demeure. Il y a donc ici un problème de barrière psychologique accentuée par le manque de formation.
30
