Le Monde Informatique : L'Agence centrale des organismes de sécurité sociale, Acoss, s'appelle désormais l'Urssaf Caisse nationale. Est-ce que la DSI a évolué avec ce changement de nom?

Jean-Baptiste Courouble : La DSI de l'Urssaf a pris un vrai virage ces dernières années. Il n’est pas nécessairement lié au changement de marque, mais il y a néanmoins eu une volonté de recentraliser la DSI. En janvier 2018, nous avons opéré la fusion de sept centres informatiques ainsi que de la DSI de l'Urssaf Ile-de-France, plus le siège, qui étaient auparavant des entités indépendantes sur l’ensemble du territoire. Aujourd’hui, la DSI regroupe 1 200 collaborateurs avec une stratégie nationale.

Depuis 2018, le monde a été marqué par la crise sanitaire, quel a été son impact sur la DSI de l’Urssaf Caisse nationale ?

Entre 2018 et 2022, il y a eu un programme de transformation globale marquée par la crise pandémique, qui a été un accélérateur dans plusieurs domaines. C’est le cas notamment du télétravail dont l’adoption s’est faite à marche forcée, mais qui est entré aujourd’hui dans nos usages et s’impose de manière pérenne. Cette modification implique des changements organisationnels, de management, de la façon de travailler. Par exemple, il y a une réflexion au sein de nos équipes sur le travail réalisé sur site, qui doit être différent de celui que nous avons en distanciel.

Autre point qui a émergé avec la crise, la résilience. Dès le début de la crise, nous avons été en première ligne face aux usagers et aux entreprises. Il a fallu être agiles et réactifs pour suspendre la collecte des cotisations auprès des secteurs en grande difficulté ou mettre en place des formulaires pour les demandes de chômage partiel pour les salariés des particuliers employeurs. Nous avons répondu pendant cette période à des demandes au jour le jour, en faisant preuve de réactivité et de proactivité.

Comment expliquez-vous cette réactivité ?

Il y a des facteurs qui ont permis ces réponses rapides. En premier lieu, la collaboration avec la mise en place de la suite Office 365 de Microsoft. Par ailleurs, nous avons adopté dans les années 2018 et 2019 l’approche DevOps, qui facilite l’agilité. Sans oublier « la fabrique digitale », qui est un véritable laboratoire d’innovations ayant la faculté de structurer les circuits de développement et d’industrialiser l’innovation.

N’avez-vous pas été freiné par votre dette technique ?

Cet existant a pu effectivement nous ralentir sur certains sujets et poser des problèmes d’agilité. La dette technique est un sujet à part entière, qui nécessite un programme dédié. Dans le schéma directeur 2023-2027 que nous sommes en train de finaliser, la dette technique sera un sujet prioritaire et stratégique.

Où en êtes-vous dans la modernisation de votre SI ?

Nous avons rénové les socles techniques autour des serveurs x86, de la virtualisation et du Linux. Par exemple, nous n’avons plus de mainframe, les applications en Cobol sont portées par des environnements Linux et dialoguent avec des conteneurs via des API écrites en Java sur mesure. Nous avons gagné en résilience. Sur la virtualisation, nous disposons de 25 000 VM, un parc aujourd’hui en décroissance, car nous nous sommes engagés dans une approche de conteneurisation. La dernière décennie a été celle de la virtualisation, la prochaine sera celle des conteneurs. Nous avons également rénové de grands secteurs applicatifs en les « désincarcérant » du legacy par le biais de réurbanisation ou parfois de réécriture.

Et le cloud ?

L’open source est dans notre ADN donc nous avons orienté notre choix autour d’OpenStack avec d’autres couches, comme Kubernetes avec une ouverture vers les microservices. Depuis 2019, nous disposons d’un cloud privé au départ expérimental mais qui est maintenant au cœur de notre stratégie. Le cloud est un levier majeur et un enjeu de transformation notamment pour les équipes de développement. Mais il y a deux questions importantes à relever. Tout d’abord nous avons besoin d’industrialiser notre approche cloud, en passant par un intégrateur. Nous n’avons en effet pas vocation à nous substituer au travail colossal d’intégration réalisé par les hyperscalers. Nous sommes en train de regarder pour nous associer à Red Hat avec OpenShift pour faire à terme du conteneur sur bare metal, même si la trajectoire passe nécessairement par une étape OpenStack.

L’autre point est la souveraineté avec une directive claire, il n’y aura pas d’applications critiques sur le cloud public. Pour d’autres applications, nous regardons attentivement les initiatives de Bleu et de S3NS avec une vigilance sur la structure juridique des entreprises et la problématique liée au Cloud Act. Par ailleurs, il existe une réflexion sur la création d’un cloud de la sécurité sociale, l’idée est d’élaborer un cloud communautaire souverain. Nous avons les mêmes exigences pour une informatique sur mesure avec des données critiques : salaires, santé, retraites.

Comment adressez-vous la question de la cybersécurité ?

Nous sommes OSE, opérateur de service essentiel, à ce titre il y a des investissements très conséquents dans la sécurité (cloisonnement, ségrégation des réseaux, etc.) avec une révision de l’urbanisation des datacenters. La cybersécurité est une question extrêmement importante que nous prenons très au sérieux. Nous sensibilisons constamment nos collaborateurs aux bonnes pratiques avec des campagnes de phishing ou des exercices de crise. Bien évidemment, il y a de l’outillage que je ne peux pas détailler, mais nous disposons d’un SOC hybride (interne et externe) pour une surveillance 24/24. A noter aussi que le RSSI est directement rattaché au directeur général, donc en lien direct avec le Codir.

Le sujet de la sobriété numérique s’est invité auprès des DSI, comment répondez-vous à cette exigence ?

Dans le prochain schéma directeur, il y a une réflexion autour de trois volets d’actions. Le premier est de travailler sur les utilisateurs et les comportements : éteindre les ordinateurs, les écrans, ne pas laisser l’alimentation des PC portables. En second lieu, nous intégrons des clauses dans les marchés publics passés sur le choix des matériaux, la capacité de recyclage, etc. Enfin, le dernier volet concerne l’IT et par exemple les datacenters, aujourd’hui les normes nous obligent à climatiser les salles à 19 degrés alors que cela peut fonctionner à 26 degrés. Nous devons aussi être vigilants sur l’utilisation des VM et éteindre celles qui ne sont pas utilisées. Enfin, une réflexion doit être menée sur la mutualisation des datacenters notamment à travers le cloud communautaire souverain cité précédemment.

Vous avez évoqué le schéma directeur 2023-2027, quelles en sont les autres grandes orientations ?

Les missions de l’Urssaf s’élargissent dans le cadre d’un grand mouvement de rationalisation de la collecte sociale. Cela nécessite de structurer des programmes importants comme l’intégration des cotisations de retraites complémentaires gérées par l’Agirc-Arco, le transfert des cotisations Cipav, le champ des cotisations artistes auteurs ou encore celui des marins. L’activité de la DSI s’est enrichie pour notamment accompagner cet élargissement du champ d’action. L’objectif est d’industrialiser ces transferts. Nous avons l’expérience dans ce domaine depuis plusieurs années, il faut maintenant en augmenter la cadence.

Le second volet du schéma directeur est la digitalisation de nos offres de services. Nous voulons nous appuyer sur l’architecture de marque pour proposer à la fois un point d’accès unique à nos usagers, mais également des services sur mesure et adaptés à leurs besoins et leurs parcours. Ce projet se nomme Inspire. Il va mobiliser des équipes UX, architecture et favoriser le développement en « API first ». Nous travaillerons avec les usagers pour avoir des services personnalisés.

Et la data ?

Il s’agit du troisième volet de notre stratégie IT. Nous avons eu un changement de paradigme avec le lancement de la DSN (déclaration sociale nominative), qui concentre les données salariés et entreprises. Pour fiabiliser les informations de 25 millions de salariés, nous avons une approche big data. Ce travail s’inscrit dans la logique de faire du contrôle déclaratif, mais aussi de créer pour nos usagers des parcours d’aide à la correction des déclarations. Sur le plan technologique, nous nous appuyons sur un socle BigData basé sur du Hadoop, un stockage Hive/Hbase et un framework Spark.

Dernière question sur la partie ressources humaines, comment l’Urssaf peut attirer les talents ?

Comme dans d’autres secteurs, nous sommes confrontés à la pénurie des talents, mais il faut savoir que l’Urssaf est un excellent tremplin pour les métiers de la tech et de l’innovation. Il existe beaucoup de champs novateurs autour de l’IA, du big data, des API. Pour quelqu’un qui débute chez nous, il existe une vraie richesse de parcours et cela représente une bonne carte de visite pour la suite d’une carrière. J’ajoute que nous favorisons des parcours internes diversifiés et évolutifs, qu’ils soient fonctionnels ou géographiques.

Nous menons différentes campagnes sur les réseaux sociaux, auprès des écoles et lors de salons pour expliquer aux jeunes diplômés que la DSI de l’Urssaf est un lieu de développement professionnel. Outre la richesse des métiers, nous travaillons avec les plus grands éditeurs de logiciels américains, européens et français et avec les plus grandes entreprises de services numériques du monde. De plus, nous sommes implantés sur 13 sites et proposons des postes partout en France. Actuellement, nous recrutons entre 100 et 150 personnes par an, et encourageons les talents, notamment ceux sur la partie architectes, infrastructure, cloud et cybersécurité, à venir nous voir.