Dans le secteur bancaire suisse, la modernisation de l'infrastructure IT n'est pas un simple projet technique. C'est un exercice d'équilibre entre innovation, conformité réglementaire et sécurité. Quand une banque privée genevoise a décidé de repenser sa manière de construire et de distribuer ses applications, elle a fait appel à Hidora pour l'accompagner dans cette transformation.
Cette mission de conseil, menée sur plusieurs mois, illustre comment une petite équipe IT motivée peut adopter les pratiques DevOps dans un environnement aussi exigeant que celui de la banque privée.
Le contexte : une équipe IT réduite face à des ambitions techniques
La banque disposait d'une équipe informatique de quatre personnes. Malgré sa taille modeste, cette équipe portait l'ensemble des responsabilités techniques : développement applicatif, maintenance des systèmes, gestion de l'infrastructure, support aux utilisateurs internes.
L'infrastructure en place reposait sur des méthodes traditionnelles. Les déploiements étaient manuels, les environnements de test n'existaient pas formellement, et chaque mise en production représentait un risque non négligeable. Les applications internes, bien que fonctionnelles, souffraient d'un manque de standardisation dans leur cycle de vie.
Thibault Fouache, Software Engineer au sein de la banque, était le moteur de ce projet de modernisation. Passionné par le DevOps, il avait identifié les limites de l'approche existante et souhaitait mettre en place une infrastructure plus robuste, plus automatisée et plus professionnelle.
"J'étais passionné par le DevOps et j'ai voulu trouver une nouvelle façon de construire et distribuer les applications au sein de la banque. Hidora nous a accompagnés sur toute la mise en place." -- Thibault Fouache, Software Engineer
Les défis spécifiques au secteur bancaire
Moderniser l'infrastructure d'une banque privée ne se résume pas à installer Kubernetes et déployer des conteneurs. Plusieurs contraintes spécifiques devaient être prises en compte dès le départ.
Sécurité et conformité
Dans l'univers bancaire, chaque composant technique doit répondre à des exigences de sécurité strictes. Les données sensibles des clients, les flux transactionnels, les communications internes : tout doit être chiffré, auditable et conforme aux régulations en vigueur. L'infrastructure cible devait intégrer ces contraintes nativement, sans compromis.
Certificats SSL non standard
L'un des défis techniques les plus significatifs de cette mission concernait la gestion des certificats SSL. Contrairement aux environnements classiques qui utilisent des autorités de certification publiques (Let's Encrypt, DigiCert, etc.), la banque imposait l'utilisation de certificats émis par des autorités de certification internes, propres au secteur bancaire.
Cette contrainte a impacté l'ensemble de la chaîne : le cluster Kubernetes, les registres d'images Docker, les pipelines CI/CD, les outils de monitoring. Chaque composant devait être configuré pour reconnaître et accepter ces certificats non standard, ce qui représentait un travail de configuration méticuleux sur chaque brique de l'architecture.
Environnement isolé
L'infrastructure devait fonctionner dans un réseau partiellement isolé, avec des accès internet restreints et des politiques de pare-feu strictes. Télécharger des images Docker depuis le Docker Hub public ou installer des paquets depuis des dépôts externes n'allait pas de soi. Tout devait passer par des miroirs internes ou des registres privés.
La solution mise en place
La mission s'est déroulée de mai à septembre, à raison de deux à trois jours par semaine chez le client. Cette présence régulière permettait de travailler en étroite collaboration avec l'équipe interne, de former les développeurs au fur et à mesure, et d'adapter les choix techniques en fonction des retours terrain.
Rancher sur Kubernetes
Le coeur de la nouvelle infrastructure reposait sur Rancher, une plateforme de gestion de clusters Kubernetes. Rancher a été choisi pour plusieurs raisons. D'abord, son interface graphique permettait à l'équipe, qui découvrait Kubernetes, de visualiser et comprendre les concepts d'orchestration de conteneurs sans maîtriser immédiatement toute la complexité de kubectl en ligne de commande. Ensuite, Rancher offrait des fonctionnalités de gestion multi-cluster et de contrôle d'accès basé sur les rôles (RBAC), essentielles dans un contexte bancaire.
Le cluster Kubernetes a été déployé on-premise, sur l'infrastructure physique de la banque. Pas de cloud public ici : les données devaient rester dans les murs de l'institution.
GitLab CI/CD
Pour automatiser les déploiements, GitLab a été mis en place avec ses pipelines CI/CD intégrés. Chaque application disposait désormais d'un pipeline complet : compilation, tests unitaires, analyse de qualité de code, construction de l'image Docker, publication dans le registre privé, et déploiement sur le cluster Kubernetes.
Ce pipeline représentait un changement fondamental pour l'équipe. Fini les déploiements manuels via FTP ou SSH. Chaque modification de code passait par un processus automatisé, reproductible et traçable.
Nexus : registre d'artefacts privé
Nexus Repository Manager a été déployé comme registre central pour tous les artefacts de l'infrastructure : images Docker, bibliothèques Java, paquets npm, dépendances diverses. Dans un environnement bancaire où l'accès internet est restreint, Nexus jouait un rôle de proxy et de cache pour les dépôts publics, tout en servant de registre privé pour les artefacts internes.
SonarQube : qualité de code
SonarQube a été intégré dans les pipelines CI/CD pour analyser automatiquement la qualité du code à chaque commit. Détection de bugs potentiels, vulnérabilités de sécurité, dette technique, couverture de tests : l'équipe disposait désormais de métriques objectives sur la santé de leur code.
Pour une équipe réduite, cette visibilité automatisée sur la qualité du code était particulièrement précieuse. Elle permettait d'identifier les problèmes avant qu'ils n'atteignent la production.
Monitoring : Centreon, Rudder et Graylog
La supervision de l'infrastructure a été construite avec trois outils complémentaires.
Centreon assurait le monitoring de l'infrastructure physique et des services : disponibilité des serveurs, utilisation CPU et mémoire, espace disque, état des services critiques. Les alertes étaient configurées pour notifier l'équipe en cas de dégradation avant que les utilisateurs ne soient impactés.
Rudder prenait en charge la gestion de configuration et la conformité des serveurs. Dans un contexte bancaire, pouvoir prouver que chaque serveur respecte les politiques de sécurité définies n'est pas optionnel. Rudder permettait d'appliquer et de vérifier automatiquement ces politiques.
Graylog centralisait les logs de l'ensemble de l'infrastructure. Applications, services système, composants Kubernetes : tous les logs convergeaient vers Graylog pour être indexés, recherchés et corrélés. En cas d'incident, l'équipe pouvait retracer précisément la chaîne d'événements.
Le transfert de compétences
Au-delà de la mise en place technique, une partie essentielle de la mission concernait le transfert de compétences. L'objectif n'était pas que Hidora reste indéfiniment : il fallait que l'équipe de la banque soit autonome sur sa nouvelle infrastructure.
Chaque composant installé était documenté. Chaque choix d'architecture était expliqué. Les développeurs de la banque participaient activement à la configuration, posaient des questions, faisaient des erreurs et apprenaient. Les sessions de travail régulières, deux à trois fois par semaine, permettaient un apprentissage progressif et ancré dans la pratique.
À la fin de la mission, l'équipe de quatre personnes était capable de gérer son cluster Kubernetes via Rancher, de créer et modifier des pipelines CI/CD dans GitLab, de publier des images Docker dans Nexus, de monitorer son infrastructure et de réagir aux alertes.
Les résultats
La transformation de l'infrastructure a produit des résultats concrets pour la banque.
Déploiements fiabilisés. Les mises en production, autrefois source de stress et de risque, sont devenues des opérations routinières. Le pipeline CI/CD garantissait que chaque version déployée avait passé les tests, l'analyse de qualité et la construction automatisée.
Visibilité accrue. L'équipe disposait pour la première fois d'une vue complète sur l'état de son infrastructure et de ses applications. Les tableaux de bord Centreon, les rapports SonarQube, les logs Graylog : chaque aspect était couvert.
Confiance renforcée. L'équipe IT a gagné en confiance dans sa capacité à gérer une infrastructure moderne. La peur du déploiement a laissé place à une approche méthodique et maîtrisée.
Gestion professionnelle des applications. Le passage aux conteneurs Docker orchestrés par Kubernetes, combiné avec Rancher comme interface de gestion, a permis une gestion bien plus professionnelle du cycle de vie des applications.
Les enseignements de cette mission
Cette mission illustre plusieurs points importants pour les entreprises qui envisagent une modernisation similaire.
Premièrement, la taille de l'équipe n'est pas un obstacle. Avec quatre personnes motivées et un bon accompagnement, il est possible d'adopter des outils et des pratiques DevOps professionnels.
Deuxièmement, le secteur bancaire, malgré ses contraintes, n'est pas incompatible avec Kubernetes et les pratiques modernes. Il faut simplement prévoir du temps supplémentaire pour la configuration liée à la sécurité, notamment la gestion des certificats SSL non standard.
Troisièmement, le transfert de compétences est aussi important que la mise en place technique. Une infrastructure moderne sans les compétences pour la maintenir ne sert à rien. La présence régulière sur site, le travail en binôme et la documentation sont essentiels.
Enfin, un bon accompagnement externe permet d'éviter les pièges classiques et d'accélérer considérablement l'adoption. L'expérience de Hidora sur des projets Kubernetes dans des contextes sécurisés a permis de gagner un temps précieux sur la résolution de problèmes qui auraient pu bloquer l'équipe pendant des semaines.
Cette mission reste l'un des projets les plus enrichissants qu'Hidora ait menés. Voir une équipe passer de déploiements manuels à une infrastructure Kubernetes complète avec CI/CD, monitoring et gestion de configuration, le tout dans un environnement bancaire sécurisé, c'est exactement le type de transformation que nous aimons accompagner.
