Projets

Safran déploie un portail de développement cloud

Dimitri Desbois, directeur platform engineering de Safran, à l'occasion de l'AWS Summit Paris, en avril 2025. (photo ED)

Pour doper l'adoption du cloud dans tout le groupe, Safran a décidé de mettre en place Backstage, un framework de portail de développement AWS. L'industriel a déjà déployé plusieurs services et constaté des gains de déploiement d'environnement de développement de l'ordre de 3 semaines à quelques minutes.

PublicitéDepuis début 2024, le groupe industriel aéronautique et aérospatial Safran a entrepris de mettre en place un portail développeur pour le cloud AWS, accessible par tous ses employés. Dimitri Desbois, directeur du platform engineering du groupe a détaillé les enjeux et les détails du projet à l'occasion de l'AWS Summit Paris le 9 avril 2025. Son équipe platform engineering fait partie du service en charge du cloud au sein de la DSI, avec un cloud business office et un cloud center of excellence (CCOE). Safran ayant opté pour AWS en 2022 pour sa transformation digitale.

« Dans ce contexte, les 12 entreprises du groupe ont constaté tout ce que le cloud peut apporter comme le time-to-market, la mise à l'échelle et la capacité d'innovation, explique Dimitri Desbois, mais aussi à ce qu'il implique. Comme la formation à AWS, mais aussi aux couches indispensables dans une entreprise comme la nôtre, c'est-à-dire, la sécurité et la conformité ». Pour répondre à cet enjeu d'adoption du cloud par tous, le groupe a mis en place de l'information et des programmes de formation, mais il a aussi entrepris de masquer la complexité de l'usage du cloud.

Un accélérateur d'adoption du cloud

« L'idée, ce n'est pas « le cloud pour les nuls », mais bien de disposer d'un accélérateur de l'adoption du cloud chez Safran. Il s'agit de donner les moyens par exemple à un datascientist de déployer un environnement de datascience et d'entraîner des modèles pour exercer son métier, sans pour autant connaître Github pipeline ou Terraform ». Safran voulait que chaque employé puisse appuyer sur un bouton et que tout soit déployé pour qu'il puisse travailler, mais avec la mise à disposition de tout le code source associé. « Nous ne cachons la complexité à personne, poursuit le directeur du platform engineering. Cela permet d'apprendre ».

Au-delà de l'adoption, Safran fait face à un enjeu de standardisation d'accès aux composants de son usine logicielle. « Nous avons du Gitlab, du Nexus, tout ce qui est classique, mais l'onboarding est dispersé ». L'industriel est donc parti sur l'idée d'un portail unique dans lequel tout ce qui est nécessaire à un développement est agrégé. « Or, pour l'instant, nous avons Backstage, mais aussi un portail historique pour les applications on premise, et nous voulons tout fusionner dans Backstage, parce que c'est un projet CNCF [cloud native computing foundation] avec une importante communauté et de nombreux plug ins ». Il s'agit d'un framework open source dédié à la création de portails développeurs. « Il ne bâtit pas votre portail, tient à préciser Dimitri Desbois. Ce n'est pas un IDP [internal developer portal], mais vous pouvez bâtir ce portail à partir du Backstage framework ». Safran a également choisi le plugin Harmonix pour Backstage d'AWS pour créer et gérer des apps et des environnements AWS dans Backstage. « C'est notre pivot pour déployer dans AWS ».

Publicité5 grands principes de déploiement

Pour déployer le framework, Safran s'est fixé cinq grands principes. D'abord, il souhaite autant que possible un couplage faible entre Backstage et le service rendu, via des API pour garder toute son indépendance vis-à-vis de l'outil, et éventuellement en changer s'il ne convenait pas. 2e principe, la stratégie infrastructure as a code (Iac) pour déployer dans AWS s'appuiera sur Terraform plutôt que CDK. Troisième principe, ne pas utiliser les nombreux plugins disponibles dans Backstage pour répondre à toutes sortes de use cases. « Plus vous avez de plug-ins, plus vous devez gérer une matrice de compatibilité compliquée », explique Dimitri Desbois. Quatrième principe, pas d'authentification Gitlab, car cela aurait réservé l'accès du portail aux développeurs. Et comme l'édicte le 5e principe : le portail doit être ouvert à tous par défaut.

Entre janvier 2024 et juin 2024, AWS Professional Services a d'abord développé un prototype de Backstage basé sur Harmonix pour Safran, ce qui a convaincu l'industriel d'utiliser ce plug-in. Entre juin et novembre, il a commencé à implémenter le framework en l'intégrant avec Gitlab, S3, Active Directory, la conteneurisation, etc. Et même si tout le monde a accès au portail, Safran a mis en place une gestion de permissions pour que les ingénieurs plateforme aient un accès à tout, mais que cet accès soit restreint pour les autres employés. L'industriel a également ajouté les plug-ins Feedback pour remonter les problèmes sur le portail et Annoucements pour communiquer sur n'importe quel des composants.

De premiers services présentés en novembre 2024

Les équipes de Dimitri Desbois ont présenté à l'occasion du cloud day de Safran en novembre 2024, les trois premiers services Backstage déployés : le cloud development environment (CDE), les managed namespace sur Rosa (Red Hat openshift service) et le Self Paced Lab, et 3 autres services encore en démonstration : AWS Account factory, EC2 et Lambda. « Le cloud development environment est un environnement de développement, et non de déploiement, pour les développeurs, explique le directeur du platform engineering. Avant que nous disposions de ce service, mettre en place un environnement de développement pouvait prendre jusqu'à 3 semaines. Dans Backstage, c'est du self-service et cela ne prend plus que 2 minutes ». Le Managed namespace est un namespace as a service dans AWS pour déployer en particulier des applications AWS sans avoir d'entités du fournisseur. Enfin, le Self Paced Lab est basé sur le CDE dans lequel on injecte des accréditations AWS pour que les employés apprennent, par exemple, comment créer un compte AWS chez Safran. Du côté des services en preview, outre les déploiements d'EC2 et de Lambda, l'Account factory sert à entrer un compte AWS depuis le portail. « Nous avons mis en place une métrique appelée Time-to-Hello-World, raconte Dimitri Desbois. Si je suis développeur et que j'arrive chez Safran, je veux savoir combien de temps le déploiement d'une application sur AWS va me prendre. Aujourd'hui, nous avons réalisé un tutoriel avec 7 à 8 étapes à suivre pour y arriver en environ 10 minutes ».

En février 2025, Safran disposait déjà de plus de 150 CDE (180 début avril), 100 Namespaces sur Rosa, majoritairement sur le développement et 30 Self Paced Labs. L'ensemble des 12 sociétés de Safran participent et le portail est dimensionné pour un potentiel de 100 000 utilisateurs. Aujourd'hui, en mai 2025, Safran déploie un Cloud Project, l'AWS Account Factory et les onboarding Gitlab et Nexus pour unifier l'accès à son usine logicielle. « Le Cloud Project est une entité que nous avons définie dans Backstage pour agréger tout ce qui correspond à un projet - des CDE, des namespaces, des comptes AWS, précise le directeur du platform engineering. Cela donne une vue topologique de toutes les ressources attachées à un projet, car elles induisent toutes des coûts. Et nous allons créer des liens vers les tableaux de bord finance ».

Un enjeu fort d'observabilité

Safran fait cependant également face à plusieurs enjeux dans le déploiement de Backstage. « Il s'agit d'un projet CNCF open source, et c'est très bien, mais ce n'est pas le champion des logs, constate Dimitri Desbois. Il est donc très difficile de comprendre ce qui se passe à l'intérieur. Nous avons donc un enjeu fort d'observabilité de Backstage ». La feuille de route pour Backstage comprend aussi la mise en place de self service IaaS - autrement dit de self service de VM sur VMware on premise -, le découplage du front et du back-office, la capacité d'une intégration de templates projets décentralisée au niveau des différentes sociétés et non uniquement de templates provenant du groupe, un ticketing automatique vers ServiceNow, etc. Le groupe va également mettre en place une V2 et une V3 de sa mesure Time-to-Hello-World pour l'onboarding sur les composants de l'usine logicielle et pour créer un compte AWS. « Et nous espérons y arriver en moins de 20 minutes », conclut Dimitri Desbois.