L’AIFE prend la PISTE des API

L’Agence pour l’Informatique Financière de l’État (AIFE) a déployé une plateforme de management des API avec Axway. Elle est aujourd’hui au cœur des mécanismes de facturation électronique avec les Administrations, mais aussi de la commande publique, de la gestion des demandes d’urbanisme et, demain, de la facturation électronique B to B. Une démarche qui impose une gouvernance et une sécurité renforcées.

La Plateforme d’Intermédiation des Services pour la Transformation de l’État, alias PISTE, est aujourd’hui sur de bons rails. Elle expose en effet 58 API développées par l’AIFE elle-même et 31 autres produites par dix partenaires externes ayant choisi d’y publier leurs services.

L’ensemble ainsi constitué est appelé par plus de 11 000 applications, générant entre 20 et 30 millions de requêtes quotidiennes de la part d’environ 10 000 utilisateurs.

Mais pour en arriver là, le chemin a été long. Il faut rappeler tout d’abord que l’AIFE, service à compétence nationale, est née au moment du projet Chorus en 2005. Il s’agit alors de prendre en charge les échanges de données entre les ministères, qui doivent communiquer avec le cœur comptable sous SAP. L’éditeur Axway est déjà présent avec son progiciel Règles du Jeu (rebaptisé ultérieurement XIP pour Axway Integration Platform), mais on parle alors plutôt d’EAI (intégration d’applications d’entreprise) que d’API.

Le projet Chorus se termine au début l’année 2012 et l’AIFE est alors chargée de son maintien en conditions opérationnelles. Mais sa mission première, l’urbanisation du système d’information financier de l’État, reste sous-jacente. Le lancement de Chorus Pro, la plateforme de dématérialisation des factures des fournisseurs (privés comme publics) des services publics va alors lui fournir l’occasion de tester les API, d’abord dans une stratégie de développement ad hoc et ponctuelle, puis dans une approche plus résolument « API first ». Axway est toujours là et le projet se déploie avec succès, de 2017 à 2020, à mesure que l’obligation de dématérialisation de ces factures s’étend aux différentes catégories d’entreprises, selon leur taille.

Une plateforme agnostique des types de services délivrés

Les différentes API développées dans le cadre de Chorus Pro sont exposées sur une plateforme de l’AIFE qui leur est dédiée. Progressivement, et alors que des demandes de partage émanent d’autres administrations, des questions d’interopérabilité surgissent. En particulier, le projet DUME (Document unique de marché européen) de l’AIFE est à la recherche d’une solution pour exposer ses API, et la réponse proposée ne convient pas entièrement.

« Nous avons alors eu l’appui du Fonds de transformation ministériel pour créer les conditions d’une mutualisation de la plateforme. Cela rejoignait nos réflexions en cours autour de l’APIM [API management platform, NDLR]. Et cela accompagnait aussi l’évolution de l’offre de progiciels d’Axway. Au bout de six mois de projet en 2018, une nouvelle génération d’outils avait émergé [la gamme Amplify en version 7.7, NDLR] », se souvient Michel Traisnel, responsable de la division Système d’échanges de l’AIFE.

La cible, baptisée PISTE, s’élabore avec Axway. L’objectif est de créer une plateforme qui hébergera l’ensemble des API de plusieurs structures ou ministères, en plus de celui de l’Économie et des Finances auquel est rattachée l’AIFE. Sont notamment concernés les ministères de la Transition Écologique, de la Culture, de la Justice, mais aussi la Cour de cassation et la DILA (Direction de l’information légale et administrative).

L’originalité de l’approche tient à l’unicité de la plateforme développée, tout en préservant les spécificités et les périmètres de chaque acteur. « Il s’agissait de construire une plateforme agnostique des types de services délivrés, avec cependant une gouvernance et une sécurité partagées. » Il était également important de tenir compte des différences de maturité technologique des fournisseurs de ces API.

« Nous avons opté pour une architecture unique et partagée, plutôt qu’un déploiement multitenant, continue Michel Traisnel. Le cloisonnement s’opère au niveau de chaque fournisseur d’API, qui gère les autorisations de ses “clients”, en l’occurrence les développeurs internes ou externes qui souhaitent utiliser ses API. Quant à l’utilisateur final, il se voit proposer les applications utilisant ces API à travers un portail unique, mais avec là-aussi des droits différenciés. »

À LIRE AUSSI :

Gouvernance

Un Magic Quadrant 2022 sur l’APIM sans surprise mais instructif

Laurent Delattre

29 Nov

Une sécurité à plusieurs étages

Avec une telle architecture fonctionnelle, et même si PISTE est pour l’instant entièrement opérée on-premise, la question de la sécurité interpelle forcément. Et les réponses sont à plusieurs étages.

D’abord au niveau de l’administration de la plateforme, puisque c’est l’AIFE qui maintient la chaîne d’authentification (référentiel des utilisateurs, authentification, gestion des identifiants, génération de mots de passe, etc.). « Nous sommes également en capacité de diffuser très rapidement, et en une seule fois, les patches de sécurité, lorsqu’une vulnérabilité est détectée », ajoute le responsable de l’AIFE.

Par ailleurs, PISTE est homologuée RGS (le Référentiel général de sécurité de l’Anssi). La résistance des API est en revanche du ressort de leurs fournisseurs. L’AIFE leur fournit des guides pour les aider à une conception sécurisée « by design », inspirée des meilleures pratiques RESTful. Mais elle garde la possibilité, sur la base de revues régulières, de rendre inaccessible un service qui présenterait des fragilités. « Et de toutes façons, le cloisonnement applicatif lié à l’architecture limite la propagation d’une intrusion par l’intermédiaire d’une API. »

Les éditeurs de solutions métiers peuvent, d’ores et déjà, choisir d’intégrer certaines API de PISTE à leurs progiciels pour offrir à leurs clients des services à valeur ajoutée, tels que l’intégration d’un dépôt en ligne de demande d’urbanisme, sur la base des API publiées par le ministère de l’Écologie.

Avec la facturation électronique interentreprises (B to B), dont l’obligation va progressivement s’appliquer à partir de juillet 2024 jusqu’en janvier 2026, PISTE va se retrouver au centre de toutes les attentions. « Nous n’aurons toutefois pas, comme dans le cadre de Chorus Pro, à concentrer l’ensemble des factures sur le Portail Public de Facturation, car il y aura aussi de nombreuses plateformes privées de dématérialisation », prévient Michel Traisnel.

Tout ceci pose évidemment avec acuité la question de la gouvernance de ces API. C’est au niveau de l’AIFE qu’elle s’organise là-aussi, avec notamment une approche DevOps du déploiement : sur un rythme trimestriel pour les versions logicielles successives, sur une fréquence à la demande pour les publications des services. Reste que, pour l’instant, la politique d’évolution des API relève du ressort de chacun de leurs fournisseurs. L’AIFE leur assure certes un accompagnement (bonnes pratiques, exemples de CGU…), mais selon l’ampleur que prendra PISTE en termes de mutualisation, cette approche pourrait bien un jour devoir évoluer.

---

LE PROJET EN CHIFFRES

90 API exposées

11 000 applications consommatrices

10 000 utilisateurs

20 à 30 millions de requêtes quotidiennes

---

L’ORGANISATION

Secteur : Administration
Effectif : 150 collaborateurs
CA : Sans objet

---

À LIRE AUSSI :

Data / IA

Engie éclaire sa stratégie avec la data

Marie Varandat

9 Nov