Normation, la société à l’origine de la solution Rudder, a été fondée par trois amis : François Armand, actuellement directeur technique de l’entreprise, Nicolas Charles, consultant senior responsable de l’accompagnement des clients, et Jonathan Clarke, qui s’occupe aujourd’hui de la conférence DevOps Rex. « Nous voulions créer une société, mais en produisant quelque chose de tangible », raconte François Armand. Les fondateurs partagent un même background technique autour de l’administration systèmes. En 2009, au moment où leur projet prend forme, le Cloud commence à se développer, et le mouvement DevOps est en pleine émergence. « Avec le Cloud, il ne s’agissait plus de gérer quelques serveurs, mais des centaines de machines à la fois. Le besoin d’automatisation allait donc s’accroître très fortement », explique le CTO.

Après une étude du marché, les fondateurs constatent qu’il existe deux grandes catégories de solutions pour gérer les configurations. « D’un côté, il y avait des logiciels historiques, portés par des éditeurs comme BMC, HP ou IBM. Ces solutions, propriétaires, étaient surtout destinées aux grands départements informatiques », se souvient François Armand. De l’autre existaient plusieurs outils open source d'infrastructure-as-code, comme Puppet ou Chef. « Ceux-ci s’adressaient à un public restreint : pour bien les utiliser, il fallait à la fois être un expert de l’administration systèmes, comprendre le métier et avoir des connaissances en développement », estime le directeur technique.

La gestion des configurations pour tous

Les associés, familiers du logiciel libre, souhaitaient créer une solution open source. Pour se différencier des outils existants, décision est prise de faire une solution plus accessible, qui ne soit pas réservée à des experts. « Notre but était de faire un outil utilisable par l’ensemble des administrateurs systèmes, ainsi que par des managers, des responsables de la sécurité ou encore des directeurs de la production », illustre François Armand. Cette volonté de toucher un public plus large est à l’origine de l’une des spécificités de Rudder : des tableaux de bord, permettant de vérifier à tout moment et de façon visuelle dans quelle mesure les règles internes sont appliquées, à la fois pour s’assurer de la conformité et de la sécurité des infrastructures. « Nous avons intégré dès le départ une interface graphique, qui fournit un aperçu en temps réel de l’application des règles », souligne le CTO. « L’objectif est de fournir une assurance en continu, car il suffit d’une intervention externe, d’une mise à jour pour modifier la configuration d’un serveur. L’automatisation n’est qu’un moyen, pas une fin. La finalité, c’est la conformité et la stabilité des infrastructures », ajoute-t-il.

Une fois le positionnement de l’outil établi, la question du modèle économique s’est naturellement posée. « Nous avons choisi de proposer du support, ainsi que des garanties pour les systèmes en production », raconte François Armand. La jeune entreprise a ensuite rejoint l’incubateur de Télécom Sud Paris (aujourd’hui IMT Starter). Pendant deux ans, Normation développe sa solution, Rudder, et collabore avec CFEngine, autre projet libre lancé par Mark Burgess. « Nous avons rencontré ce dernier pour lui expliquer notre idée. Celle-ci lui a plu, il a même fait partie pendant un moment de notre comité de conseil », se souvient le CTO.

D’un point de vue technique, la solution est développée avec le langage Scala. Depuis quelques années, ses développeurs utilisent également Rust. Les bibliothèques de bas niveau de Rudder sont proposées sous licence Apache Software, et le cœur de métier est sous licence GPLv3. « Nous avons également mis en place deux modèles de contrats pour les contributeurs, pour éviter les zones de flou sur la propriété intellectuelle », précise François Armand.

En 2011, un premier client retient la solution : l’opérateur de satellites Eutelsat. « En raison de son domaine d’activité, Eutelsat fait l’objet d’audits de sécurité réguliers. Même avec des processus de configuration automatisés, il fallait initialement plusieurs semaines de préparation avant chaque audit, afin de vérifier que ce qui avait été fait était conforme », relate François Armand. Depuis la mise en place de Rudder, ces audits sont devenus des non-événements.

Se développer sans levée de fonds, un choix assumé

Jusqu’en 2015, l’entreprise poursuit son développement sur le même modèle. Lauréate du concours PM'UP 2014 de la région Île-de-France, labellisée « Entreprise innovante de Pôles » par le pôle de compétitivité Systematic, elle est également soutenue par Bpifrance. « Au cours de cette période, nos concurrents ont réalisé d'importantes levées de fonds », se rappelle François Armand. La société se lance alors dans une démarche semblable, mais elle décide de s’arrêter en cours de route. « Nous nous sommes rapidement aperçus que ce n’était pas dans notre culture. Pour les capital-risqueurs, la principale métrique, c’est la valorisation. Ils veulent retrouver leur mise à court terme, ce qui force les entreprises à rechercher une croissance rapide », observe le CTO. A la place, les fondateurs de Normation décident de développer leur entreprise à leur rythme, sans échéance-couperet.

En 2016, la société traverse une nouvelle phase d’interrogations sur son modèle économique. « Nous passions l’essentiel de notre temps à faire évoluer le produit, alors que nos revenus provenaient du support », pointe François Armand. Les fondateurs voulaient éviter de tomber dans les travers de l’Open Source à deux vitesses, où toutes les fonctionnalités qui rendent une solution plus attractive sont payantes. « « Nous voulions faire un logiciel ‘civique’, qui reste accessible à tous. Nous avons beaucoup d’utilisateurs dans le monde associatif, l’Education Nationale, les collectivités, qui ont tout autant besoin d’automatisation que les grandes organisations, afin de gagner du temps, mais sans avoir forcément les mêmes besoins que les très grandes organisations », souligne Alexandre Brianceau.

Pour répondre aux besoins de ces différentes populations d’utilisateurs, l’entreprise adopte un modèle basé sur les plugins, assez similaire à celui choisi par Automattic (NDLR : la société qui édite le moteur Wordpress). Avec Rudder 5 sont ainsi proposés différents plugins payants, qui couvrent des besoins présents seulement dans les organisations d’une certaine taille : intégration avec les solutions d’ITSM, workflows de validation des changements, rapports de conformité par rapport à certaines normes, intégration dans des réseaux complexes ou encore gestion des failles de sécurité.

Rendre visible le travail des « SecOps »

Trois ans après ce changement de cap, le pari s’est avéré payant. Rudder fait partie des rares éditeurs sur le marché de la gestion continue des configurations à être rentable, et c’est également l’un des derniers acteurs européens sur ce créneau. « Nous misons notamment sur nos partenaires pour nous développer », précise Alexandre Brianceau. Normation travaille actuellement à renforcer sa présence européenne, réfléchissant à une implantation en Allemagne.

L’entreprise veut maintenant se faire connaître davantage auprès des professionnels de la conformité et de la sécurité. « Dès qu’il s’agit de respecter une norme, il faut être en mesure de le prouver. Le problème, c’est que bien souvent les équipes opérationnelles n’ont pas les outils disponibles pour les assister dans cette tâche », relève François Armand. « Tous comme les équipes de production, les équipes de sécurité souffrent souvent d’un biais lié au manque de visibilité sur ce qu’elles font. Avec nos rapports, elles peuvent montrer les résultats de leur travail, à travers des mesures factuelles et compréhensibles par des non-spécialistes ».