Jean-Baptiste Courouble (URSSAF-CN) : « nous associerons les expertises pour mutualiser un cloud »
Par Bertrand Lemaire | Le | Gouvernance
L’URSSAF Caisse Nationale est au coeur des flux de données de la sphère sociale française. Jean-Baptiste Courouble, son DSI, nous en explique l’IT et il revient sur le projet d’un cloud de confiance communautaire mutualisé entre les organismes de protection sociale.
Pouvez-vous nous présenter l’URSSAF Caisse Nationale ?
Nous nous appelions auparavant l’Acoss (Agence centrale des organismes de sécurité sociale) mais cette identité était peu connue et comprise. Nous avons donc, en 2021, adopté un nom construit sur la base de celui des URSSAF dont nous sommes, en quelque sorte, la tête de réseau nationale. Nous sommes un établissement public à caractère administratif sous les tutelles conjointes du ministère des Affaires sociales et du ministère de l’Économie et des Finances. Nous avons trois rôles.
Le premier, issu de la création des URSSAF entre la fin de la deuxième guerre mondiale et 1960, est la collecte des cotisations sociales (de l’ordre de six cents milliards d’euros par an) pour le compte d’environ 800 organismes attributaires couvrant les allocations familiales, le risque maladie, la retraite, etc. En deuxième lieu, nous gérons la trésorerie des régimes de sécurité sociale, à la manière d’une banque. En effet, les encaissements de cotisations ne correspondent pas aux échéances des prestations. Le cas échéant, nous empruntons. Enfin, nous avons un rôle d’accompagnement des entreprises sur toute la durée de leur vie, rôle qui a été très important durant la période de crise sanitaire Covid-19 (report d’échéances, etc.).
Il va de soi que l’on ne s’adresse pas à un particulier-employeur comme à un auto-entrepreneur ou à une multinationale. Nous avons donc des services particuliers et des approches par type d’employeur.
Pour réaliser ces différentes missions, comment se caractérise votre système d’information ?
Les URSSAF et l’URSSAF Caisse Nationale ont une activité unique au monde. Il va de soi que notre système d’information est donc totalement sur mesure.
Les racines du système d’information actuel datent des années 1980. A l’époque, le SI a été construit sur une base de Cobol sur mainframes IBM et Bull. Ce coeur de métier existe toujours et il cohabite avec une myriade d’applicatifs. Dans les années 2010 s’est posée la question de sa refonte complète mais nous y avons renoncé car nous avons pensé que ce chantier serait beaucoup trop risqué. Nous avons opté pour une refonte du socle technique, une isolation du Legacy, une APIsation de ce coeur applicatif et des échanges de données avec le reste.
Dans les années 2000, nous avons migré le socle des mainframes IBM et Bull vers de l’Unix, en l’occurrence de l’AIX sur IBM Power. Simultanément, nous avons remplacé les bases de données hiérarchiques du mainframe par un SGBD-R Oracle. Dix ans plus tard, nous sommes passés à du Linux sur x86. Vers 2015, nous avons massivement virtualisé notre SI avec VMware. Actuellement, nous sommes en train de remplacer le SGBD-R Oracle par PostgreSQL et nous sommes en train de déployer OpenStack pour notre cloud privé. Nous avons comme objectif de passer aux conteneurs.
Même si le noyau reste en Cobol, les modules du SI sont, petit à petit, refondus en Java. Les interfaces homme-machine bascule d’un mode essentiellement texte à des IHM webisées avec Angular.JS.
Il faut être conscient que notre système d’information vit énormément avec les évolutions législatives régulières, au minimum une fois par an via les LFSS [Lois de financement de la sécurité sociale, NDLR]. De plus, depuis plusieurs années, nous recentrons les collectes de multiples régimes (RSI, artistes-auteurs…).
Et l’arrivée de la DSN [Déclaration Sociale Nominative, NDLR] a constitué une très importante évolution.
Précisément, quels sont les flux de données que votre SI voit passer et qu’a changé cette DSN ?
Avec la DSN, les déclarations des entreprises ayant des salariés sont passées d’agrégats à des déclarations individuelles, un peu comme une transcription de l’ensemble des bulletins de paie. La DSN est postée mensuellement sous la responsabilité du GIP-MDS (Groupement d’Intérêt Public Modernisation des Déclarations Sociales) sur un système conçu, opéré et hébergé par l’URSSAF-CN. Les flux de données sont renvoyés vers les différents opérateurs de la protection sociale (caisses de retraite, CNAM, CNAF, etc.). En cas de problème sur les flux de données, nous gérons la relation avec les déclarants. Parfois, ce sont juste des échanges M2M entre nos systèmes et les logiciels de paie.
Les indépendants, les artistes, etc., eux, font une déclaration de revenus auprès de la DGFiP [Direction générale des finances publiques, NDLR] qui nous renvoie les informations nécessaires.
Dans le cas d’une déclaration de revenus, nous faisons les calculs des cotisations. Dans le cas de la DSN, le calcul est fait en amont par les entreprises et nous ne faisons que le contrôler.
Où est actuellement hébergé votre SI ?
Nous disposons de deux datacenters répliqués à Lyon pour la continuité d’activité et d’un troisième datacenter à Toulouse pour le PRA. Les salles comme les machines nous appartiennent.
Pour nos usages internes, nous pouvons utiliser quelques SaaS (bureautique Microsoft Office 365, ToIP avec Orange, Talentsoft…). Nous menons également quelques expérimentations sur AWS. Mais les renouvellements des contrats SaaS ne sont pas nécessairement systématiques. Nous avons à prendre en compte les questions de souveraineté des données et de tarifs. Nous nous posons donc beaucoup de questions.
Puisque vous parlez souveraineté, quelle est votre stratégie en matière de cloud ?
Nous sommes dans une logique de cloud privé depuis 2017. Pour le IaaS, nous nous basons sur OpenStack et, pour les conteneurs, sur Kubernetes. Nous avons eu cette approche d’abord à titre expérimental mais nous avons connu un très grand succès interne auprès des développeurs. Parmi les récents développements, notons l’avance de crédit d’impôt pour les particuliers-employeurs qui a entièrement été développé sur notre cloud interne avec des flux de données avec la DGFiP.
Mais nous ne sommes pas des spécialistes du cloud, ce n’est pas notre métier. Pour la deuxième version, dont nous prévoyons la mise en production en 2023, nous avons choisi une plate-forme dont l’intégration est gérée par un éditeur, en l’occurrence Red Hat OpenShift.
Pour tout ce qui est nouveau développement, nous adoptons une démarche « cloud first ». Mais bien entendu sur un cloud de confiance. Je préfère éviter le terme « souveraineté » qui est galvaudé, d’autant que nous n’avons pas de souci à travailler avec des éditeurs américains pourvu que les données soient chez nous.
Si le cloud d’OVH est déjà opérationnel, nous attendons les offres d’acteurs tels que Bleu, NumSpot, S3NS (Google/Thalès)… Nous regardons tout cela avec attention.
Du coup, vous avez déjà évoqué publiquement la possibilité de créer un cloud commun à toute la sphère sociale. Que pouvez-vous nous dire de ce projet ?
La Direction de la Sécurité Sociale au Ministère des Affaires Sociales, notre autorité de tutelle, élabore le schéma directeur de l’ensemble des acteurs de la sphère sociale. C’est là qu’est née l’idée d’un cloud communautaire de confiance dont l’objet serait de mutualiser les infrastructures, les expertises, les PRA/PCA… La guerre des talents n’est pas sans nous poser de problèmes pour recruter les ressources utiles et associer les expertises pour mutualiser ce cloud est, de ce seul point de vue, déjà une bonne idée. Les caisses de retraite sont plutôt en avance au niveau du PRA, iMSA dans l’agilité et le DevSecOps, la CNAM et nous sur le cloud avec des choix technologiques assez proches.
Nous devrions monter un IaaS commun en 2023 et monter progressivement dans les couches en tenant compte de contraintes telles que l’agrément HDS [Hébergeur de données de santé]. L’idée est également de ne rien imposer aux différents organismes mais de susciter l’adhésion.
Pour garantir la continuité d’activité, il faut au moins trois datacenters. Nous allons mutualiser nos locaux et peut-être déborder sur des hébergeurs louant des surfaces équipées de datacenters. Mais chaque acteur de la sphère sociale a des infrastructures, des ressources internes pour les gérer et des surfaces de datacenters, sans réel besoin d’une quelconque externalisation. Cependant, pour innover, nous pourrions utiliser des services chez OVH, Outscale, Numspot…, services que nous ne saurions pas apporter nous-mêmes.
Face aux défis énergétiques, il y a aussi une évidente nécessité d’optimiser nos architectures en urbanisant nos datacenters respectifs.
Au-delà de ces évolutions, quels défis voyez-vous avoir à relever dans les prochains mois ?
Dans le schéma directeur informatique issu de notre convention d’objectifs et de gestion signée avec l’État pour la période 2023-2027, la sobriété énergétique est évidemment un sujet. A court terme, il s’agit surtout de miser sur des évolutions de comportements, sur les écogestes du quotidien après la sensibilisation des personnels (éteindre son PC le soir…), notamment des équipes IT (éteindre les machines virtuelles inutilisées…). Dans nos appels d’offres d’achats de matériels, des critères tels que la durée d’usage et le recyclage sont désormais des critères systématiques. Nous avons également réduit la climatisation de nos datacenters avec une température de fonctionnement passée de 19 à 25°C. Et nous veillons à éteindre les machines virtuelles inutilisées (nous avons 25 000 machines virtuelles allumées en continu !), par exemple le week-end, et nous avons activé les fonctionnalités d’économie d’énergie proposées par VMware. Nous avons conscience que l’optimisation des datacenters est très loin d’être achevée et nous essayons de réduire les consommations énergétiques des infrastructures au fil des renouvellements de matériels. Nous avons des indicateurs clé de performance sur ce sujet de la sobriété énergétique que nous suivons avec attention.
Au delà de cette seule question énergétique, le sujet de la dette technique est récurrent. Il y a une telle accélération des technologies que tout devient Legacy rapidement ! Et l’obsolescence technologique a évidemment des impacts en matière de cybersécurité.
L’évolution technologique doit aussi viser à une véritable interopérabilité globale de la sphère sociale, y compris avec l’État et les entreprises, notamment les plates-formes de mises en relation entre entreprises et candidats ou indépendants avec déclarations sociales.
Les évolutions récentes (comme la DSN) et futures entraînent un enjeu autour du patrimoine data. La volumétrie de données a été décuplée avec la DSN puisque nous sommes passés d’agrégats par entreprise à des détails individuels. Pour fiabiliser ces données massives, une approche par l’IA va sans doute s’imposer.
Enfin, la question des compétences et du recrutement des talents, cela ne vous surprendra pas, constitue chez nous aussi un défi. Nous disposons, à la DSI, de 1200 internes et 800 externes sur toute la France. Pour nous, le turn-over est une nouveauté : la sécurité de l’emploi n’est plus une source de séduction. Nous pouvons, par contre, proposer aux talents de venir travailler chez nous trois ou quatre ans sur des missions intéressantes, offrant des lignes pertinentes sur des CV, et au service d’une mission de solidarité nationale.