Christophe Chapet (DSI, Nantes Habitat) "Nous testons l'iPad et les tablettes Android"

Parmi ses projets, le DSI de l'Office Public Nantes Habitat a amorcé une vaste démarche orientée qualité en matière de sécurité informatique. Parallèlement, une GED a été déployée.

Se présentant comme le plus important bailleur municipal de France, Nantes Habitat gère entre 23 500 et 24 000 logements, et en construit entre 350 et 400 nouveaux par an. Chaque année, il mène des opérations de rénovation concernant la moitié de ses habitations. Selon les chiffres de cet Office Public de l'Habitat, quelque 46 500 Nantais sont logés au sein de ce parc, soit un habitant de l'agglomération sur six.

JDN Solutions. Comment se structure la DSI de Nantes Habitat ?

Christophe Chapet. La DSI compte 28 personnes. Nous avons un domaine couvrant l'infrastructure : les serveurs, le réseau, la téléphonie fixe et mobile, ainsi que le parc de PC et smartphones. Un domaine Etude et projet est chargé des activités de maîtrise d'œuvre et de maîtrise d'ouvrage. Nous avons également un domaine spécifique en charge de l'harmonisation de nos référentiels de patrimoine.

Vous avez lancé un vaste projet autour de la sécurité de l'informatique. En quoi consiste-t-il ?

Nous gérons un grand nombre d'échanges d'informations, souvent confidentielles, avec les fournisseurs et locataires. Nous sommes donc très sensibles aux questions de sécurité. Pour renforcer nos pratiques dans ce domaine, nous nous nous sommes orientés vers ISO 27001. Devoteam nous a accompagné dans la démarche. En nous appuyant sur les chapitres et questions abordés par cette norme, l'objectif était de définir une grille d'évaluation dans l'optique de mettre en place un plan de progression continue.

"Devoteam nous a accompagné dans notre démarche ISO 27001"

Partant de là, nous avons décidé de lancer tous les six mois en alternance un audit interne mené par quatre salariés formés à la démarche, et un audit externe mené par Devoteam. Une fois les objectifs initiaux atteints, l'idée est de se donner systématiquement de nouvelles priorités à chaque audit, et d'initier un mouvement continu d'amélioration des process de sécurité informatique.

Depuis le lancement de la démarche, nous avons notamment mis en place un Plan de reprise d'activité au niveau de la DSI. Pour chaque application ou nouvelle version de logiciel déployée, un process de qualification via des jeux de tests a aussi été élaboré avec un certain pourcentage de bugs acceptables.

Mais pour qu'un tel projet fonctionne, il est important aussi que toute l'entreprise soit impliquée. Chaque acteur a donc son planning d'objectifs de progression sur un mois. Ce qui permet de sensibiliser les utilisateurs sur l'utilisation des clée USB ou encore sur l'importance de changer régulièrement les mots de passe. Nous avons également défini depuis une charte informatique.

Mais comment faire comprendre aux utilisateurs qu'il est important de suivre ces pratiques de sécurité, pourtant contraignantes ?

Sur cette question, je pense qu'il est plus facile de faire passer ces messages de manière ludique. C'est pourquoi nous envisageons d'utiliser un serious game pour mener des actions de sensibilisation, à la fois d'ailleurs sur plan de la sécurité informatique et physique.

Dans le cadre de cette démarche qualité autour de la sécurité IT, avez-vous initié une analyse de risques ?

ISO 27001 inclut un chapitre complet sur l'évaluation des risques, qui rejoint la méthode Ebios 2010 dont nous nous sommes également inspirés. Ce qui nous a amené à passer en revue tous les composants du système d'information : ERP, messagerie... Puis à estimer le nombre de personnes et le type d'activité touchés en cas d'arrêt de chacun. Nous avons pu ainsi évaluer le coût engendré par ces pannes potentielles de service, ce qui nous a permis de décider des moyens à mettre en place pour y palier.

"Nous dématérialisation factures et courriers entrants"

Cette analyse nous a amené par exemple à conclure qu'on ne pouvait pas se passer du système d'information pendant plus de 8 heures. Notre PRA a donc été conçu pour pouvoir gérer une reprise d'activité dans ce délai.


L'activité d'un bailleur implique de gérer un grand nombre d'équipes nomades. Quid de votre parc de terminaux mobile ?
Nous proposons deux modèles de téléphones portables, que nous proposons en fonction des besoins : un téléphone mobile traditionnel, et un smartphone Blackberry. Nous gérons par ailleurs déjà les états des lieux sur Pocket PC depuis 5 ans. Nous avons également en projet de déployer des tablettes PC pour réaliser les audits mensuels portant sur l'état des parties communes des bâtiments, en termes de propreté, d'état général des matériaux, de respect des normes de sécurité... L'idée étant de mieux gérer les plans d'entretien, et d'accélérer la création et l'envoi des bons de travaux.
Dans cette optique, nous testons l'iPad et des tablettes Android, avec dans l'idée de développer une application HTML5 qui permette de ne pas dépendre de l'OS. Naturellement, il sera important que cette proposition soit en adéquation avec les besoins des utilisateurs.

Avez-vous initié des projets en matière de dématérialisation ?

Nous avons 7 kilomètres d'archives au format papier. Nous avons commencé à les dématérialiser. A terme, l'objectif est de réduire ce stock à 2 kilomètres, certains documents ne pouvant pas être numérisés pour des raisons juridiques. Toutes les factures et le courrier entrant sont désormais dématérialisés. Nous avons investi dans des outils de reconnaissance de documents, mais aussi dans un système de GED basé sur Alfresco pour gérer ensuite les flux de fichiers numériques.