A la tête de la DSI d'Urssaf Caisse nationale, Jean-Baptiste Courouble s'est lancé dans la construction d'une plateforme de cloud privé à base de conteneurs susceptible de porter la modernisation du système d'information de son organisation... mais aussi celle d'autres organisations de la sphère sociale, comme la CNAM (Caisse Nationale de l'Assurance Maladie) ou la MSA (Mutualité sociale agricole).

Un projet lancé au départ comme une expérimentation technologique mais qui a grandi rapidement, porté par l'appétence des développeurs pour les environnements conteneurisés et par les attentes des pouvoirs publics durant la crise du Covid. Le DSI revient sur les difficultés rencontrées lors de ce projet dont la v1 a été conçue par les équipes internes. Et sur les enjeux de son industrialisation désormais enclenchée.

Comment est née la plateforme de conteneurs de l'Urssaf, orchestrée par Kubernetes ?

Jean-Baptiste Courouble : L'histoire de nos systèmes d'information s'appuyait jusqu'à récemment sur deux plateformes : un Legacy développé essentiellement en Cobol et porté sur Linux d'un côté ; une plateforme Internet, hébergée sur une infrastructure virtualisée VMware de l'autre. En parallèle, poussés par notre volonté d'échapper aux logiques propriétaires, nous avons commencé à tester une technologie comme OpenStack. Nos développeurs nous mettaient aussi une certaine pression du fait de leur appétence pour les approches DevSecOps et les microservices, sans oublier l'apport des ESN travaillant avec nous et poussant les modèles itératifs inspirés par les méthodologies agiles. Cette évolution vers les conteneurs était enfin alignée avec notre volonté de rendre nos SI plus interopérables avec l'ensemble de la sphère sociale et du secteur public au sens large.

Comment a débuté le développement de cette plateforme ?

Rapidement, nous nous sommes tournés vers un modèle de cloud privé, hébergé sur des infrastructures que nous possédions déjà et sur la base de standards open source, tels que Kubernetes, OpenStack ou Docker. Sur ces premières bases établies dès 2018-2019, nous nous sommes lancés, avec une équipe d'une dizaine de personnes, dans la construction d'une première plateforme cloud, baptisée PFS v1 (pour Plateforme de fourniture de services, NDLR). Celle-ci a permis de conteneuriser certaines applications et de fournir quelques services, comme du database-as-a-service ou de la scalabilité. Mais on s'est aussi rendu compte des questions d'intégration et de sécurité que ce modèle soulevait et qu'il s'agissait d'une approche tout à fait nouvelle pour nos exploitants.

Cette plateforme était avant tout pensée comme une expérimentation. Mais nous avons été presque débordés par le succès qu'elle a rencontré du fait de l'appétence des développeurs pour ce modèle. Aujourd'hui, PFS v1 héberge 22 applications, y compris certaines applications critiques comme celle gérant le crédit d'impôt pour les Cesu, ce qui représente 23 clusters Kubernetes, 1810 Namespaces, et 13786 Pods très exactement.

Par ailleurs, s'il s'agissait d'une approche avant tout technologique, avec une volonté d'évolution progressive à l'image de ce que nous mettons en place sur le Big Data autour d'Hadoop, elle a été rattrapée par la crise du Covid. Durant celle-ci, l'Urssaf a joué un rôle d'amortisseur pour éviter un mur de faillites et a mis en place le dispositif de chômage partiel. Des mesures qu'il fallait déployer en urgence, en 15 jours ou 3 semaines. La plateforme PFS v1, qui était alors à peu près prête, a servi d'accélérateur, par exemple pour déployer les formulaires de chômage partiel. Nous en avons alors aussi profité pour rapatrier quelques services qui avaient été déployés sans grand contrôle sur AWS. Aujourd'hui, 98% de notre offre de services est hébergée sur notre cloud privé.

Avec cette montée en charge finalement plus rapide qu'anticipé, quelles évolutions a connu la plateforme ?

D'abord nous avons réalisé combien opérer ce type d'architectures s'avère complexe. Sur PFS v1, nous avons notamment rencontré des problèmes de production et de quotas, autrement dit d'allocation de ressources. Si tout n'a pas été maîtrisé au départ, dans le feu de l'action, nous avons peu à peu mis en place des règles. Et, en 2020, nous avons pris la décision de faire de PFS notre plateforme d'avenir, mais en trouvant un appui extérieur. Nous avons évalué plusieurs offres intégrées, comme Tanzu, Rancher et OpenShift, et également considéré l'option d'un tiers mainteneur, une alternative que nous avons rapidement écartée faute de prestataire offrant toutes les garanties requises. A l'automne 2022, nous avons retenu Red Hat OpenShift, dans le cadre d'un programme visant à construire une plateforme industrielle de conteneurisation. Je parle bien d'un programme se déclinant en toute une série de projets, dont la construction d'un centre de compétences cloud - aujourd'hui composé d'une vingtaine de personnes - visant à accompagner la DSI mais aussi les métiers ou la mise en place d'une chaîne CI/CD. Ce passage de l'artisanat à l'industrialisation s'accompagne d'initiatives visant à assurer la montée en compétences de tous les métiers de l'IT : spécialistes des systèmes, exploitants, développeurs...

Cette plateforme a-t-elle vocation à être mutualisée avec d'autres acteurs du secteur public ?

Très vite, le constat s'est imposé que cette plateforme pouvait servir à d'autres au sein de la sphère sociale. Une approche qui permet de mutualiser des compétences, voire définir une cible commune, dans la limite des régulations qui s'imposent aux uns et aux autres. D'où l'idée de construire ce que je qualifierais de couche Iaas plus - au sens où elle embarque un certain nombre de services -, mutualisée sur les datacenters de l'Urssaf, de l'Assurance Maladie et de la MSA. Trois organismes possédant chacun un datacenter dans la même région géographique, ce qui offre la possibilité de déployer des scénarios de type PRA avec éventuellement des tenants séparés. Et si cette étape fonctionne, pourquoi ne pas aller encore plus loin à l'avenir...

Est-ce une réflexion ou le projet est-il déjà engagé ?

On parle bien d'un projet effectivement lancé, après un état des lieux que nous avons réalisé en 2021 qui nous a permis d'identifier les points forts de tous les acteurs. La Caisse Nationale d'Assurance Maladie et l'Acoss travaillent sur des approches technologiques similaires, autour d'OpenStack et OpenShift. La MSA est très avancée sur le déploiement des méthodes agiles. La CNAV (Caisse Nationale d'Assurance Vieillesse) sur le PRA. Et nous avons acté le déploiement de la couche IaaS plus mutualisée pour 2024, l'Urssaf ayant le leadership de la conduite de ce projet et amenant la solution technique, en l'adaptant aux besoins de tous.

Quels gains espérez-vous de cette mutualisation ?

La mutualisation des compétences d'abord. Un réel sujet d'attention : pour les besoins de l'Acoss, je suis en permanence en recherche de compétences. Par ailleurs, cette mutualisation devrait représenter un gain de temps pour les autres organismes si je me fie aux difficultés que nous avons traversées dans la mise au point de la plateforme PFS. Sans oublier les gains portant sur la mutualisation des outils de supervision ou des mécanismes de déploiement, même si chacun conservera son domaine de responsabilité. En partant de ce cloud privé mutualisé, nous pourrons aussi étudier les scénarios d'hybridation sur des cloud de confiance par exemple et évaluer leur pertinence économique.

Effectuer la transition vers les architectures cloud passe aussi par une transformation des pratiques de la DSI. Quelles actions avez-vous lancé sur ce terrain ?

C'est un sujet d'autant plus important qu'on parle ici d'une DSI importante - 1200 personnes en internes et quelque 800 prestataires - au sein de laquelle existe un certain cloisonnement. Nous voulons intéresser tout le monde au sujet de la transformation des architectures. Même nos développeurs Cobol sont incités à penser ouverture et API. Nous essayons d'aller vers une logique Devops, avec des équipes organisées autour des produits ou services. C'est une tâche immense. Car nous devons non seulement nous écarter de l'organisation actuelle de la DSI, mais aussi parvenir à impliquer les métiers. Or, nos organisations sont très structurées par la séparation MOA/MOE. Il faudra sans doute en passer par une phase d'organisation fonctionnelle, parallèle aux structures traditionnelles. Un de nos objectifs est d'associer dès l'origine des projets les collaborateurs qui intervenaient habituellement uniquement en aval, comme les exploitants et les testeurs. J'observe d'ailleurs que certains progrès se sont produits naturellement avec la mise en place de PFS v1.

Quelles sont les prochaines échéances dans le développement de la plateforme PFS ?

Nous venons de terminer la phase exploratoire avec Red Hat. 2023 sera consacré à la construction de la plateforme cible PFS v2, la migration de la v1 vers cette v2 étant prévue pour mi-2024.