L-CRI : Orange va-t-il inventer la norme Itil de l’ère Devops ?

Reynald Fléchaux,

Des ingénieurs de la DSI d’Orange ont développé une méthode pour réduire les risques de mises en production des applications. Cette méthode, L-CRI, va dans quelques jours entamer un processus de normalisation auprès de l’ISO.

En finir avec le ‘Devoups’, l’expression qu’emploie Igor Saglier dans ses présentations pour parler des mises en production chaotiques, rapidement suivies d’un retour arrière. Ce phénomène, que ne connaissent que trop bien les utilisateurs en entreprise, l’ingénieur d’Orange tente de le maîtriser depuis 2010 et a développé pour ce faire une méthode, baptisée L-CRI. Une méthode qui pourrait bien devenir la norme internationale en la matière. « En déployant L-CRI, on s’est aperçu qu’il existait de nombreuses zones non couvertes par les processus de qualification des applications », explique Igor Saglier (en photo ci-dessus), qui travaille à la direction de l’exploitation du SI d’Orange France. Avec le soutien de quelques parrains, dont l’Afnor, Microsoft ou le ministère de la Défense, Orange présentera le brouillon de ce qu’il espère devenir une norme internationale lors d’un congrès qui se tiendra du 16 au 20 mai à Suzhou, en Chine. « Ce sera l’équivalent en mieux d’Itil. Actuellement, les projets sont pilotés par les actions et on perd le lien entre les services et les besoins de départ », assure David Elias, responsable de la maîtrise des risques techniques pour le système d’information d’Orange France.

Si Orange s’apprête à ouvrir à commentaires les spécifications de ce qui pourrait devenir une norme ISO d’ici 18 à 24 mois, pas question toutefois de partager les outils qui sont en passe de s’imposer au sein de ses équipes. « La phase pilote s’est terminée au début 2016, aujourd’hui, nous sommes entrés dans une phase de généralisation en France. Tout nouveau service doit passer par L-CRI », assure Igor Saglier.

Avant tout un modèle prédictif

L’histoire de cette méthode démarre en 2010 quand cet ingénieur venant de Steria est embauché par l’opérateur. « Je me suis vite aperçu que se répétaient les mêmes problèmes entre applications et entre versions d’une même application », explique le principal architecte du procédé L-CRI (acronyme de Life Cycle Reliability Improvement). D’où la conception, au départ, d’une simple checklist des risques techniques, permettant de calculer une note sur 20 évaluant l’intensité des risques. « Si une application est déjà instable, elle a plus de chances de provoquer des dysfonctionnements lors d’une mise à jour », illustre l’ingénieur, ancien de l’Esiee Amiens.

Mais L-CRI franchit réellement un palier quand vient s’y greffer l’analyse de plus de 3 200 incidents, permettant de relier l’absence de basiques au sein des applications (par exemple l’absence de timeout) avec les incidents survenus et leur gravité pour les utilisateurs. Une association qui tranche avec l’approche habituelle basée la plupart du temps sur des seuils. « C’est réellement l’idée innovante de L-CRI, estime David Elias. En restant à haut niveau, on parvient à bâtir un modèle prédictif. C’est une approche plus physique et moins mathématique. » Concrètement, les responsables d’applications peuvent effectuer une photo des risques sur leur version en production, afin d’identifier les points d’amélioration et mesurer les risques d’une future montée de version.

Des success stories ont porté L-CRI

L-CRI
Un tableau de bord L-CRI.

« Et le processus est aujourd’hui outillé, précise Igor Saglier. Un simulateur permet de mesurer les gains si tel ou tel risque vient à être levé, avec le calcul des nouveaux scores. Ce qui permet de prioriser les actions. » La méthode vise tous types de profils, y compris des non-techniciens. Un nouveau portail L-CRI, permettant d’industrialiser les déploiements, vient d’ailleurs de voir le jour. En parallèle, la DSI d’Orange France a déployé, au sein de ses directions techniques, des centres de compétences L-CRI, s’appuyant sur des relais locaux (tant côté développement que production). Objectif de cette structure : capitaliser sur les connaissances engrangées via la méthode. Un enjeu central dans un système d’information très étendu : environ 1 500 applications pour la France, plus de 4 000 applications à l’international.

Si la DSI du groupe a pris la décision de généraliser l’initiative L-CRI, c’est grâce, selon Igor Saglier, à quelques success stories. Comme ces nouveaux services, qui ont connu zéro incident visible par l’utilisateur dès leur première version. Ce fut notamment le cas d’une application permettant d’éviter, via des propositions adaptées, le départ de clients (le churn en jargon) au moment de Noël, une période clef pour les opérateurs télécoms. « La première version de L-CRI date de 2012. Et, dès l’année suivante, nous croulions sous les demandes, dit Igor Saglier. L’industrialisation de la méthode et la mise en place des formations, pour amener développeurs et personnes de la production au même niveau, nous a demandé 2 à 3 ans. » L-CRI a également reçu en 2013 une récompense interne sur les innovations techniques et SI, remise par le comité de direction de l’opérateur.

Le coût de la non qualité logicielle

Si Orange mise sur L-CRI, c’est aussi que cette méthode serait hautement rentable. En plus de la sécurisation des nouveaux services, Igor Saglier et David Elias assurent qu’elle permet de réduire de 40 % le nombre d’incidents dans un délai de 2 à 3 mois sur les applications existantes. Or, ces incidents ont un impact financier important. Lors de la Devops Connection, une série de conférences organisées par CA Technologies, Igor Saglier estimait que le coût des problèmes de qualité de services pour une grande entreprise comme Orange pouvait être estimé à un montant de l’ordre d’une centaine de millions d’euros par an. Mais ces coûts sont rarement évalués avec précision, sauf en cas d’événement suffisamment grave pour avoir une répercussion publique (comme la chute du cours de bourse). C’est ce ‘trou dans la raquette’ que cherche à combler la méthode mise au point par les ingénieurs de l’opérateur historique.

Au-delà de l’évolution des applications internes, L-CRI est aussi employée pour « assurer un suivi des relations avec les fournisseurs, sur l’atteinte des objectifs fixés contractuellement », dit David Elias. Autrement dit, la méthode pourrait servir à objectiver les relations contractuelles entre un donneur d’ordre et un prestataire : si le score L-CRI est inférieur à un ratio fixé à l’avance par contrat, un prestataire se verrait soumis à une pénalité par son donneur d’ordre. Des SSII travaillant pour l’opérateur ont ainsi été formées à la méthode. Par ailleurs, Orange Business Services (OBS), la propre société de services du groupe, utilise déjà L-CRI pour fidéliser ses clients et réfléchit à l’insertion d’une offre dédiée dans son catalogue. « Toute la boîte à outils est compatible Cloud, observe Igor Saglier. Donc une offre Saas proposée par OBS est de l’ordre du possible. » Orange a même reçu des propositions de rachat de L-CRI par des sociétés américaines !

A lire aussi :

Devops : la France devance ses partenaires européens

Devops : les DSI français se voient trop beaux