L’opération Stormbreaker a aidé le Marine Corps à fournir des services numériques modernes et modernes aux Marines et à leurs familles.
Le US Marine Corps est célébré pour sa précision et sa capacité à s’adapter sur le champ de bataille. Mais derrière les scènes informatiques, une autre bataille se déroulait contre des systèmes informatiques obsolètes qui ont rendu plus difficile le service des Marines et de leurs familles.
C’est là que les services communautaires du Marine Corps ont pris le commandement. L’organisation est le département au sein de l’USMC responsable des programmes qui améliorent la qualité de vie marine, des services de garde d’enfants et des conseils familiaux aux centres de fitness, aux magasins de détail et aux installations de restauration.
Pourtant, les MCC ont été enlisés par des processus informatiques lents. Les approbations de nouveaux systèmes – connus sous le nom d’autorisations d’exploiter (ATOS) – pourraient prendre des années et coûter plus d’un million de dollars par système. Ces obstacles ont rendu difficile le rythme des besoins modernes.
«Avec la prestation de services informatiques, il existe de nombreuses contraintes qui créent des temps de cycle très longs», explique David Raley, directeur de programme numérique chez MCCS. «Il peut prendre cinq ans pour que la capacité soit disponible en raison des pratiques« cascade »et de la conformité héritée autour de la sécurité.»
Cette frustration a préparé le terrain pour Operation Stormbreaker, une initiative révolutionnaire qui a utilisé DevOps et des pratiques de développement agile pour redéfinir la façon dont les systèmes informatiques sont développés, testés pour la sécurité et approuvés.
Opération Stormbreaker repense le livre de jeu de développement
D’ici 2023, MCCS avait manqué de patience avec le développement rigide et séquentiel de la cascade et avait décidé de construire l’opération Stormbreaker autour de DevOps et des pratiques agiles qui reposent sur l’automatisation, les itérations courtes et la rétroaction constante.
Raley et son équipe ont commencé par créer une zone d’atterrissage autorise du Corps des Marines dans les services Web d’Amazon, permettant aux contrôles de sécurité d’être hérités sur plusieurs systèmes. Ils ont ensuite associé cette fondation à la plate-forme du ministère de la Marine (évaluation rapide et incorporent le génie logiciel), qui applique des pratiques agiles et DevSecops pour intégrer la sécurité tout au long du cycle de vie du logiciel. Avec des directives supplémentaires des partenaires externes RegScale et Raven Solutions, les MCC ont radicalement réduit les temps d’approbation de l’ATO.
« Avec ces outils et partenaires, nous avons pu construire un processus ATO Agile et un pipeline CI / CD pour construire, sécuriser et déployer des systèmes plus rapidement », a expliqué Raley.
L’impact a été immédiat. Plutôt que de traiter des systèmes informatiques comme des chars – achetés une fois, puis entretenu pendant des décennies – Raley et son équipe pouvaient désormais constamment pousser les mises à jour logicielles via un pipeline qui a automatiquement vérifié la conformité à la sécurité en temps réel.
Les services technologiques sont rendus plus sûrs et plus efficaces par l’opération Stormbreaker, notamment:
- Tous les sites Web du Marine Corps
- Système de livraison de contenu
- Systèmes de gestion des événements et de rendez-vous
- Systèmes de commerce électronique et de point de vente
- Système de ressources humaines
Le défi de l’innovation technologique dans une bureaucratie
Selon Raley, la plus grande barrière pendant l’opération Stormbreaker a été la nature bureaucratique du travail à l’intérieur du gouvernement.
Les MCC ont dû faire face à ce que Raley a appelé le «Middle Frozen», un réseau de gardiens déconnectés et d’inertie systémique qui a ralenti l’innovation. En conséquence, Raley était systématiquement contre les longs retards qui sont trop courants avec les processus d’autorisation traditionnels qui dépendent de lots massifs de contrôles de sécurité.
Pour dépasser ces limites, l’opération Stormbreaker a séparé le travail en «tailles de lots d’un», validant chaque contrôle de sécurité étape par étape au lieu d’attendre jusqu’à la fin. Ce nouveau processus, bien que très efficace, a été un choc culturel pour les équipes habituées au travail linéaire basé sur des projets.
«Nous avons dû aider les équipes à comprendre la différence entre être une organisation de projet Waterfall et une culture d’équipe basée sur les produits», explique Raley. «Maintenant, nous livrons dans des sprints de deux semaines, nous nous concentrons sur des produits minimaux viables et traitons chaque système comme un produit vivant et respirant qui évolue.»
Il était tout aussi important de renforcer la confiance entre les départements. L’opération Stormbreaker a réuni des agents de conformité, des chefs de file de la cybersécurité et du personnel d’acquisition. Avec persévérance et transparence, Raley et l’équipe ont aidé à transformer les sceptiques en collaborateurs.
Augmenter la vitesse, renforcer la sécurité, économiser de l’argent
Depuis son lancement en 2023, l’opération Stormbreaker a considérablement réduit l’ATO Times et réduit des millions de dollars en coûts gaspillés.
«Le changeur de jeu pour les MCC est que nous pouvons désormais offrir une capacité logicielle et obtenir un ATO en une journée au lieu de 18 mois», explique Raley.
« Lorsque vous faites du développement avec un pipeline CI / CD, le processus d’augmentation a une désignation pour confirmer que la charge de travail répond aux exigences de sécurité (ministère de la Défense).
De plus, en changeant la cybersécurité «vers la gauche», les développeurs obtiennent désormais des commentaires instantanés, apprenant à coder en toute sécurité dès le début. Cette approche a considérablement diminué les vulnérabilités de sécurité ainsi que les temps d’approbation.
En termes d’impact financier, chaque système approuvé par le biais du nouveau processus de développement de DevOps et Agile permet d’économiser environ 1 million de dollars par MCC par ATO, explique Raley. En deux ans, le programme a éliminé plus de 10 millions de dollars en coûts liés aux retards.
Sur le plan opérationnel, les Marines et leurs familles connaissent désormais des services numériques plus conviviaux. L’une des premières victoires du projet a été la consolidation des sites Web des installations dans 17 installations du Marine Corps. Avant Stormbreaker, chaque installation avait son propre site Web, ce qui le rend déroutant pour les Marines de passer d’une station à une autre.
« Maintenant, ils ont une expérience unifiée », a déclaré Raley. «Il est plus facile de trouver des informations, de naviguer sur des sites Web et, surtout, ces sites répondent désormais tous aux exigences de sécurité du DOD.»
Briser le moule: leçons de l’opération Stormbreaker
Pour les DSI du secteur public et les dirigeants de la sécurité, l’opération Stormbreaker offre un cas classique pour moderniser les services informatiques sans sacrifier la sécurité.
Voici trois leçons que Raley a apprises pendant le projet:
Reconsidérez la façon dont vous pensez au risque
Trop souvent au gouvernement, le risque de conformité éclipse le risque de mission. Raley exhorte les dirigeants à penser au-delà des cases à cocher.
«Lorsque vous vous concentrez uniquement sur l’élément de conformité, la mission ou le résultat commercial finit par servir la conformité», dit-il. « Mais ce n’est pas le point de conformité. Il existe une conformité pour garantir que les risques de mission et de sécurité sont pris en compte. Cela ne devrait pas éclipser les résultats commerciaux réels que vous essayez de réaliser. »
N’acceptez pas «non» à sa valeur nominale
Les bureaucraties ont tendance à mettre en garde par défaut, mais Raley souligne que les progrès nécessitent une persistance.
«On me dit souvent« non »à mes demandes de projet informatique, mais il n’y a pas de vraie raison autre que de dire« non »est l’option la moins risquée. J’ai donc dû faire passer et demander:« Pourquoi est-ce un non? Quel est le problème? Est-ce quelque chose que nous pouvons surmonter? »»
Comprendre que la vitesse et la sécurité peuvent coexister
Se déplacer plus vite ne signifie pas couper les coins. En fait, soutient Raley, la vitesse rend les systèmes plus sécurisés.
«Il y a un terme impropre à ce que le ralentissement et la méthode entraîne une meilleure sécurité, mais il ne doit pas y avoir de compromis entre la sécurité et la vitesse», dit-il.
« Avec DevOps et Agile Development, nous exécutons des charges de travail via un pipeline CI / CD tous les soirs. Si une nouvelle vulnérabilité apparaît, nous la tuons immédiatement. Le processus surveillait en permanence et affichant une vue en temps réel de votre posture de sécurité. C’est la preuve que vous pouvez déplacer plus rapidement être plus sécurisé. »
Des goulots d’étranglement aux percées agiles
L’opération Stormbreaker est une réussite informatique, mais elle valide également que les changements culturels sont possibles dans une bureaucratie. En démolissant les silos et en embrassant DevOps et en développement agile, les MCC ont montré que même les procédures gouvernementales enracinées peuvent être réinventées.
Et le timing ne pourrait pas être mieux. Avec 14 000 employés et 1,2 milliard de dollars de revenus soutenant les Marines et leurs familles, MCCS a désormais les outils pour fournir des services à la vitesse de la vie moderne.
