Jean-Baptiste Courouble (URSSAF-CN) : « nous devons transformer la DSI pour gérer tous nos projets »
Par Bertrand Lemaire | Le | Gouvernance
L’URSSAF Caisse Nationale est engagée dans de vastes transformations tant de son système d’information que du fonctionnement de sa DSI. Jean-Baptiste Courouble, DSI de l’URSSAF-CN, nous explique ses approches et projets.
Pouvez-vous nous présenter l’URSSAF Caisse Nationale ?
L’URSSAF a comme rôle principal d’être le financeur de la protection sociale au bénéfice d’environ 800 organismes (assurance maladie, allocations familiales, assurance chômage, etc. de nombreux régimes). La collecte de cotisations sociales auprès des employeurs et indépendants permet d’ouvrir des droits aux salariés et indépendants.
En tout, nous collectons environ 600 milliards d’euros par an. C’est la plus grande collecte de flux financiers en France et probablement l’une des plus importantes au monde.
Depuis une dizaine d’années, nous avons pris un virage en développant l’accompagnement des entreprises. Par exemple, nous proposons les titres emplois, ce qui nous amène dans les faits à éditer la paie de TPE, d’associations ou de particuliers-employeurs. Lors de l’utilisation de ces titres, les déclarations sociales et les paiements afférents sont automatiquement effectués, de même que la prise en compte de l’avance immédiate du crédit d’impôt ou aides diverses. Cela nécessite une intégration forte avec les SI de l’écosystème fiscal et social.
L’URSSAF est un établissement public administratif constitué de 21 caisses régionales, de cinq caisses générales mutualisées avec les organismes sociaux pour des collectivités d’outre-mer et de la Caisse Nationale. En tout, le réseau comprend environ 16 000 collaborateurs dont 2000 au national.
Comment est organisée l’IT de l’URSSAF ?
Depuis 2018, la DSI est intégrée uniquement à la Caisse Nationale. Nous avons environ 1200 collaborateurs internes auxquels s’ajoutent un millier d’externes d’ESN. Ces personnels sont répartis sur une dizaine de sites comprenant de 60 à 300 personnes. Le siège de l’établissement public est situé à Montreuil mais les ressources IT sont pour une grande partie réparties sur nos sites provinciaux avec par exemple un centre de développement / Intégration à Sophia Antipolis et des Datacenters à Lyon et Toulouse. Avec le développement du télétravail, même les Parisiens ne sont plus ensemble (au plus trois jours par semaine). Garder les différents sites historiques des anciennes DSI n’est donc pas un problème.
En plus de la DSI a été créée en 2019 une Direction Innovation et Digital. Elle couvre tout le champ de l’innovation, pas seulement au niveau IT. Elle gère notre intrapreneuriat, la collecte bottom-up des idées, etc. Mais, par contre, la réalisation concrète des outils associés à chaque innovation demeure dans le périmètre de la DSI où, en son sein, il existe une Fabrique Digitale. Nous avons créé un Hub Digital qui réunit la Fabrique Digitale de la DSI et le LabURSSAF de la Direction de l’Innovation et du Digital.
Retrouvez Jean-Baptiste Courouble au Disruptiv’Summit
Jean-Baptiste Courouble, DSI de la Caisse Nationale de l’URSSAF, est membre du Comité de Pilotage du Disruptiv’Summit qui se déroulera les 10 et 11 décembre 2024 au Royal Barrière de Deauville. Il participera donc à l’événement et aux ateliers.
Aujourd’hui, quelle est l’architecture du SI de l’URSSAF ?
Nous avons toujours du Legacy sur le plan applicatif mais nous n’avons plus du tout de mainframe IBM/Bull. Certaines des applications anciennes en Cobol sont toujours maintenues mais sont désormais en environnement x86/Linux.
Notre patrimoine Legacy est hébergé sur deux socles que nous avons conçus sur la base de composants open-source. L’un (SX) héberge notre application cœur de métier (SNV2, Système National v2, déployé en 1982) et comporte encore des modules Cobol, l’autre (Hawai) embarque une grande partie de notre SI front et back-office développés en Java autour de Linux, Tomcat, Apache et PostGreSQL.
Une refonte totale aurait été extrêmement risquée alors qu’il gère les 600 milliards d’euros de collecte. Il a cependant beaucoup évolué pour être totalement APIsé et déployé sur le socle moderne, SX.
Nous avons également un autre socle technique destiné au Big Data. Actuellement sur HortonWorks, il est en cours de migration vers Cloudera. Cet environnement Big Data permet notamment de traiter les 27 millions de bulletins de salaires déclarés sous forme de DSN (Déclarations Sociales Nominatives) mensuelles par les entreprises, avec un historique de douze mois en ligne afin de traiter les régularisations.
Enfin, nous avons un socle Cloud Privé. La version 1 était en full open-source communautaire, intégrée totalement en interne. Mais, devant le succès de cet environnement pour déployer nos applications, nous avons décidé de recourir à des solutions maintenues par un éditeur. A l’OpenStack, nous avons donc adjoint OpenShift de Red Hat. En dehors du Big Data, tout nouvel applicatif est déployé sur le cloud privé.
La version de PostGreSQL que nous utilisons est communautaire. Par contre, nous avons opté pour la distribution Linux de Red Hat car nous voulions réellement sécuriser le système d’exploitation, ce que nous n’avions pas nécessairement la possibilité de réaliser en interne. PostGreSQL est moins exposé et nous disposons d’une très forte maîtrise historique interne.
La place de VMware est-elle maintenue dans votre SI malgré le rachat par Broadcom ? Qu’avez-vous prévu à ce sujet ?
Nous avions en effet déployé du VMware vers 2010 avec des contrats très larges pour nos environnements Hawaï et SX. Si tous les grands éditeurs ont des attitudes agressives, VMware est caricatural. Cet éditeur veut m’imposer des solutions dont nous n’avons pas besoin mais, bien sûr, en nous les facturant.
Le renouvellement de nos contrats sera à conclure en 2025. Selon nos discussions actuelles, nous devrions bien subir une augmentation. Mais nous cherchons des solutions de désengagement. Notre stratégie majeure reste le cloud privé. Des alternatives open-source ou commerciales existent. Nous avons ainsi des pilotes avec Nutanix. A ce stade, nous ne sommes pas en guerre mais je prépare l’avenir. Si vis pacem, para bellum…
Vous avez remplacé les bases de données Oracle par du PostGreSQL. Pourquoi et comment ce précédent désengagement vis-à-vis d’un éditeur a-t-il eu lieu ?
Le pourquoi est simple à comprendre. Nous avions un contrat captif très cher pour la seule base de données. Nous avons subi un audit de licences avec des menaces de redressement élevé. Nous avions le sentiment d’être traités comme des vaches à lait. Le budget consacré à Oracle était tel que ça bloquait des investissements faute de financement.
Pour sortir d’Oracle, il nous a fallu investir. Nous avons dû dépenser quatre millions d’euros en investissement. Le retour sur investissement est de 2,3 millions d’euros par an. Cela implique donc un amortissement en moins de deux ans. Il nous reste quelques bases de données anciennes pour certains progiciels qui ne fonctionnent qu’avec cette base de données mais en recourant à une tierce-maintenance.
Le comment est nettement plus complexe. C’est un projet qui a nécessité un peu d’ingénierie, en particulier pour SNv2. Mais SNv2 étant bien construit, cela n’a pas été si compliqué. Nous avons eu recours à l’ESN lyonnaise MoveSolutions, spécialisée dans le refactoring/replatforming. Il y avait, dans les bases Oracle, des vues, des procédures stockées, etc. Nous avons profité du projet pour nettoyer le code des portions qui n’étaient plus exploitées.
La partie la plus lourde du projet relevait du test de non-régression car il est absolument impossible de rater quand on parle de collecter des centaines de milliards d’euros.
L’enjeu concernait surtout les performances car nos fenêtres de batchs nocturnes sont très limitées. Avec PostGreSQL, nous arrivons à faire un peu mieux qu’avec Oracle.
D’une manière générale, quelle est la place du logiciel libre dans votre approche ?
Le logiciel libre n’est pas un dogme mais, depuis une vingtaine d’années, quand on le peut, nous préférons choisir une solution open-source, qu’elle soit managée ou communautaire.
Cependant, ce n’est pas systématique. Avant le Covid, nous utilisions encore Lotus Notes. Juste avant, nous avions adopté Microsoft Office 365 qui a été une révolution plébiscitée. Durant la crise sanitaire, Teams a été un miracle. Il y a deux ans, le renouvellement de notre contrat avec Microsoft a été très compliqué. De ce fait, malgré le fort soutien à cette solution propriétaire de la part des utilisateurs, nous assurons une veille sur des alternatives possibles.
L’un des principaux problèmes est le Cloud Azure. Si nous maîtrisons nos applications métiers, nous ne pouvons pas maîtriser les documents bureautiques hébergés sur Azure. Adopter une solution de type Bleu risquerait d’entraîner un surcoût.
Il existe des solutions collaboratives alternatives : NextCloud, LinShare… Elles peuvent s’interfacer avec de la bureautique telle que Collabora ou OnlyOffice. Si nous migrons, il nous faudra éviter toute régression fonctionnelle.
Vous aviez évoqué plusieurs fois un projet de cloud commun à la sphère sociale, souverain et mutualisé. Où en est ce projet ?
Nous avons déjà réalisé notre cloud privé et d’autres organismes de la sphère sociale en ont fait autant.
Nous avons réalisé, dans la région de Toulouse, un démonstrateur de capacité de provisionning sur un IaaS commun, fédérant trois datacenters (ceux de l’iMSA, de l’Assurance Maladie et de l’URSSAF). Pour l’heure, il n’y a pas d’investissement réel. Pour créer un vrai cloud souverain, il faudrait installer un réseau dédié entre les trois datacenters, mieux sécurisé. De même, il faudrait créer une gouvernance commune. Tout cela n’est pas encore fait.
Ceci dit, connecter des clouds cousins a du sens pour assurer un PRA à trois sites. De même, ce cloud commun pourrait héberger les SI de petites caisses de régimes spéciaux (la caisse des cultes par exemple). Autre idée, nous pourrions mutualiser des investissements en GPU pour nos applications à base d’IA car ces investissements sont vite considérables.
Enfin, la souveraineté et la sécurité du cloud sont des préoccupations fortes. Actuellement, notre trajectoire est de migrer deux applications en 2025 sur ce cloud commun. Ensuite, il faudra prendre des décisions stratégiques, engager des budgets, pour aller plus loin. L’analyse à faire ne sera pas que technique ; elle sera aussi économique.
L’intelligence artificielle (IA) est-elle un sujet pour l’URSSAF ?
Oui ! Nous nous y intéressons depuis des années et un peu plus d’un an pour l’intelligence artificielle générative (IAG). Pour l’instant, nous réalisons beaucoup d’expérimentations et d’acculturation. La Direction Innovation et Digital a réalisé une exposition itinérante de découverte qui a circulé sur tous nos sites.
Nous avons créé une charte d’usage qui traite notamment des problèmes de confidentialité, d’hallucinations, etc.
Nous expérimentons des cas d’usages avec des LLM sécurisés. Nous avons notamment un travail en cours avec OVH, SopraSteria et Mistral.ai pour un LLM installé sur cloud privé afin de juger du modèle le mieux adapté et le plus performant sur nos usages. Les LLM généralistes donnent, de toutes façons, des résultats peu pertinents dans nos contextes très spécifiques. Il nous faut entraîner les IA sur des données restreintes, maîtrisées et fiables. A cette fin, nous sommes en train de créer une IA Factory.
Nous avons un CNIAG (Comité national de l’IAG) qui étudie les cas d’usages proposés par les services métiers. Dans certains cas, il faudrait mener de vrais projets pour avoir un retour fiable or la certitude de fiabilité est une absolue nécessité pour nous.
Avez-vous actuellement d’autres grands projets et des défis à relever ?
Nous devons transformer la DSI pour gérer tous nos projets. Notre plan de transformation couvre la période 2023-2026.
En 2018, nous avions fusionné plusieurs DSI en une seule DSI traditionnelle avec études, développement, etc. avec une organisation à base de tickets entre les couches.
Notre objectif est d’adopter l’agilité à l’échelle et affecter nos effectifs à tel ou tel sujet selon les besoins. Nous voulons donc développer des filières de produits autonomes en fonctionnement (logique de verticalisation). Nous ne voulons plus de hiérarchisation avec des personnes bloquées. Nous voulons former et définir des trajectoires en affectant les ressources humaines là où elles sont utiles. Nous avons achevé la première étape et nous menons actuellement la deuxième.
Nous avons également de nombreux enjeux métiers.
La DSN va continuer d’évoluer. De la même façon, les applications dédiées aux auto-entrepreneurs, aux particuliers-employeurs, aux associations, etc. nécessitent des améliorations.
Nous travaillons aussi sur une digital workplace.
Et tout cela, bien entendu, en poursuivant le travail sur nos missions quotidiennes.
Un défi est également d’attirer les talents quand on s’appelle URSSAF… Alors même que nous proposons un panel de technologies très large, des missions très larges et que nous internalisons énormément. Actuellement, 150 ETP d’ESN sont en cours de remplacement par des ETP internes (notons que les budgets sont non-fongibles entre les salaires et les prestations).
Podcast - Comment l’URSSAF a migré d’Oracle vers PostgreSQL
L’URSSAF collecte environ 600 milliards d’euros par an pour financer la protection sociale. Jean-Baptiste Courouble, DSI de la Caisse Nationale de l’URSSAF, présente d’abord cet organisme avant de revenir sur un grand chantier : la migration des bases de données Oracle vers PostgreSQL. Ce chantier pourrait en inspirer un autre à venir puisque l’URSSAF va devoir renouveler (ou pas) son contrat avec VMware en 2025. La migration Oracle vers PostgreSQL a été amortie en deux ans malgré un budget de quatre millions d’euros pour deux ans de travail.