Arnaud Barbosa Leclercq (DT groupe Bel) "Nos sites Web sont désormais 100% Open Source"
Le groupe Bel ne cache de fortes ambitions pour sa dizaine de sites Web. Plusieurs changements techniques majeurs ont déjà été opérés, à commencer par un nouvel hébergeur.
Le groupe Bel est un des leaders mondiaux du secteur des fromages. Son portefeuille de produits comprend notamment La vache qui rit, Kiri, Mini Babybel, Leerdammer ou Boursin. Pour les sites liés, Le groupe ne cache de fortes ambitions pour que sa dizaine de sites Web gagnent en visibilité. Divers changements techniques majeurs ont déjà été opérés, à commencer par un nouvel hébergeur. Arnaud Barbosa Leclercq, responsable Changement et Industrialisation à la DSI du groupe Bel, explique ces modifcations, leurs raisons et leurs enjeux.
JDN Solutions. Quels CMS et technologies utilisez-vous pour les sites du groupe Bel ?
Arnaud Barbosa Leclercq. Nous avons désormais opté pour des CMS Open Source, qui varient selon le type de site. Nous en utilisons actuellement quatre : eZ Publish, Joomla, Dupral et Magento. Ce dernier étant notamment utile pour les sites faisant du e-commerce.
L'ensemble des sites fonctionne grâce aux technologies PHP/MySQL. C'est en suivant les conseils de notre nouvel hébergeur, Interoute, que nous avons mis en place un clustering de bases de données MySQL. Nous sommes donc désormais 100% Open Source.
Auparavant, nous fonctionnions avec un CMS sous licence reconnu sur le marché, couplé à Java et Windows, mais ce mélange ne fut pas toujours une réussite. Cette architecture supportait mal les pics de charge et les plantages étaient top fréquents
Lavachequirit.com a déjà vu son trafic se multiplier par 50 en 48h
Comment avez-vous changé d'hébergeur ?
Plusieurs raisons nous ont poussées à changer. Nous n'étions pas pleinement satisfaits de notre ancien hébergeur. De plus, nous avons été victimes d'une attaque de hackers, par injection SQL, qui conduisait à des redirections et la propagation de trojans. Cela nous a évidemment profondément atteints. Il a fallu s'en remettre et changé notre façon de faire.
Nous avons d'abord décidé de mandater un expert indépendant pour auditionner la sécurité de nos sites. Toute une panoplie de protection a été décidée à cette occasion. Cet audit nous a aussi permis de rédiger un Guide des bonnes pratiques du développement. Ce guide nous a servi lors de l'appel d'offres pour trouver un nouvel hébergeur. Une architecture cible était aussi définie à l'intention des hébergeurs voulant répondre à l'appel.
De plus, les sites du groupe Bel peuvent connaitre de gros pics d'activité, suite à des publicités ou à des campagnes d'e-mailing. Par exemple, lavachequirit.com a déjà vu son trafic se multiplier par 50 en 48h. Ajouté à nos projets de développements, il nous fallait pouvoir disposer de ressources flexibles et à la demande. Cela faisait aussi partie du cahier des charges.
Qui a finalement été retenu ?
Nous avons finalement opté pour Interoute. Nous avons utilisé la technologie de VMWare pour la virtualisation. Le système "On Demand" nous permet de savoir précisément et à l'avance le montant de la facture pour l'hébergement. Presque tous nos sites sont désormais hébergés chez Interoute, avec cette technique et ce mode de facturation.
Suite à nos attaques, nous avons décidé de plus employer le protocole sécurisé https et SSL.
Faites-vous souvent appel à des tiers, comme des éditeurs, pour vos sites ?
Nous utilisons plusieurs solutions éditées par des tiers. Par exemple, IP-Label nous aide à connaître et mesurer le taux de disponibilité des sites. Les outils de Google, comme Analytics, ou encore Médiamétrie-eStat, nous guident pour notre référencement naturel. Cela fait l'objet d'attention, mais surtout par le service marketing, qui suit attentivement les visiteurs et de leurs comportements.
D'ailleurs, suite à nos attaques, nous avons décidé d'employer le protocole sécurisé HTTPS et SSL pour tous les contenus protégés par une identification. Or, cela a parfois compliqué le référencement naturel car Google n'indexe pas ou mal ce contenu.
Que sous-traitez-vous d'autres ?
Sans compter les contributions éditoriales, seules 3 personnes s'occupent du Web ; nous sous-traitons donc un ensemble d'opérations.Tout l'aspect créatif est attribué à des agences Web. Ensuite, nous faisons appel à des SSII, comme Infotel, qui prennent le relai en pré-production avant la livraison.
Je pense que c'est un bon modèle : il nous permet aussi de tester les développements, notamment de chasser les bugs ou les vulnérabilités, avant la production. Interoute nous aide aussi beaucoup pour cela, à trouver les failles, ou en faisant de la veille avant de nous sensibiliser aux problématiques de sécurité. Ce cycle de a d'ailleurs été pensé lors de la rédaction de notre guide des bons développements.
Ce guide semble avoir beaucoup d'importance pour vos sites, notamment en termes de sécurité...
Ce guide est fondamental, et il nous est encore aujourd'hui très utile puisque tous les prestataires avec lesquels nous travaillons, agences de création ou SSIII, doivent respecter ces bonnes pratiques.
C'est l'audit de sécurité qui nous a aussi permis de le rédiger, et il impacte fortement donc ce domaine. Il a aussi orienté notre choix pour l'hébergeur. Interoute nous a proposé une offre alliant firewall approprié et sonde de détection et de prévention d'intrusion. L'outil de son partenaire Qualys, permet aussi de tester les vulnérabilités et trouver les failles dans le code ou et les mises à jour des applications.
Arnaud Barbosa Leclercq est depuis 2007 responsable Changement et Industrialisation à la DSI du groupe Bel. Il travaille pour ce groupe depuis 2001, et y a occupé plusieurs postes : d'abord responsable Micro (jusqu'en-2003) puis Responsable de Production (jsqu'en 2005), puis du support Responsable Support utilisateurs (2005), avant d'occuper son actuelle fonction. Il est aujour'd'hui en charge de la coordination de toutes les évolutions vers les environnements de production entre les équipes Projet et Production (interne et infogérance), avec pour objectifs de garantir leur exploitabilité et le respect des engagements de service vis-à-vis des métiers.