À la tête de la DSI de l'Urssaf, qui compte environ 1200 personnes en interne auxquelles s'ajoutent environ 800 prestataires, Jean-Baptiste Courouble détaille les avancées de son chantier de transformation vers les architectures cloud. Un programme, doté de 6 M€ sur 3 ans, qui vise à doter l'organisme d'une plate-forme industrielle à base de conteneurs, tout en remodelant en profondeur les modes de fonctionnement de la DSI. Ce développement jette également les bases d'un cloud privé commun à plusieurs acteurs de la sphère sociale, tournant sur trois datacenters interconnectés.

Dans la modernisation de vos systèmes d'information, vous avez prévu de migrer vers une nouvelle génération de cloud privé à base de conteneurs, dénommée PFSv2 et plus industrialisée que la première version. Quel est l'état d'avancement de ce projet ?

Jean-Baptiste Courouble : Cette v2 de notre plate-forme de services à base de conteneurs existe, mais elle n'est pas encore en production. Pour l'instant, c'est la v1 qui supporte toujours les applications et conteneurs en production. Cette première mouture de notre plate-forme de fourniture de services (PFS) demande beaucoup de travail manuel, car elle est assemblée à partir de composants open source et reste peu industrialisée. La v2, qui combine OpenShift et OpenStack, doit améliorer l'exploitabilité de la plate-forme, via davantage d'automatisation et une observabilité accrue, tout en amenant une chaîne CI/CD aux développeurs en interne. L'objectif est de faciliter le provisioning, la gestion des quotas (des ressources allouées, NDLR), l'accès aux fonctions de database as-a-service ou encore les transitions entre le développement, l'intégration et la production.

Ce qui signifie aussi que la mutation technologique s'accompagne d'une transformation des méthodes et de l'organisation. Au sein de la DSI, nous allons mettre en place des filières applicatives assurant une gestion de bout en bout, de la maîtrise d'ouvrage, à l'exploitation en passant par les projets, la conception d'architecture ou la gestion de la sécurité. Même si nous n'irons pas jusqu'à un vrai mode produit, il s'agit d'une transformation importante et difficile du fait du poids du legacy. PFS v1 était plutôt une expérimentation. La v2 vise à transformer l'essai, mais pour y parvenir, il faut que tous les chantiers avancent de concert. Notre plan de transformation vers le cloud en compte 9, dont un seul concerne la plate-forme technique PFS.

Quel niveau de maturité technique présentera cette seconde mouture ?

Nous voulons aller vers l'orchestration de nos services, même si nous n'atteindrons évidemment jamais le niveau d'un AWS. Nous concentrons donc nos efforts sur les services managés les plus demandés, comme les composants essentiels que sont la base de données, l'environnement de développement, l'observabilité ou la sécurité. Sur ce dernier sujet, nous devons nous conformer aux directives NIS 1 et, demain, NIS 2.

Quel est le calendrier de mise en production de cette plate-forme PFS v2 ?

Quatre ou cinq applications démarreront en 2024 sur cette plate-forme. Et début 2025, nous enclencherons une importante opération de migration des applications hébergées sur la v1, afin de la décommissionner. Une quarantaine d'applicatifs, représentant 17 000 pods en production, sont concernés. En parallèle, d'ores et déjà, tous les développements sont initiés pour tourner sur l'architecture de PFS v2. Ce qui signifie qu'en 2025, tous les services sous-jacents à une plate-forme de microservices devront être disponibles, car il ne s'agit pas de construire des conteneurs monolithes.

Ce virage vise aussi à rendre notre DSI plus attractive pour des candidats à l'embauche et à aligner nos pratiques sur celles que privilégient de plus en plus nos partenaires ESN. Dans le cadre d'une politique de réinternalisation des compétences IT, nous visons le recrutement de 150 personnes à la DSI et de 50 supplémentaires au sein des maîtrises d'ouvrage. En plus des 100 recrutements visant à couvrir le turnover.

Quels sont les principaux freins à cette transformation ?

Ils résident avant tout dans la conduite du changement. L'ADN de notre DSI, c'est celui d'une organisation hiérarchique. Or, il s'agit désormais de mettre en place une organisation fonctionnelle dynamique dont chaque composante va aller piocher des éléments dans les entités historiques de la DSI. En parallèle, nous voulons déployer un centre de ressources au sein de la DSI, qui agirait comme une ESN interne pour servir les besoins des différentes lignes applicatives. Nous sommes donc à un tournant. Après l'introduction des méthodes agiles, qui sont désormais majoritaires en interne, il nous faut transformer l'essai en alignant l'organisation, les socles technologiques, la chaîne CI/CD, les mécanismes d'intégration, etc. Nous allons commencer en créant une filière applicative pilote, puis en procédant par extension de ce premier périmètre.

Quel impact le lancement de cette plate-forme PFS aura-t-il sur l'équilibre de vos SI, entre legacy et environnements cloud-natifs ?

La v1 de PFS n'héberge qu'une partie minoritaire de notre système d'information, qui comprend une part importante de Legacy, avec du code Cobol et J2EE en particulier. On y trouve des applications qui ont plus de 40 ans d'âge. Même si ce socle technique n'est pas facile à transformer, un chantier de réduction de la dette technique a été lancé depuis l'an dernier. Doté de 80 000 jours homme sur 4 ans, ce programme vise à garantir la maintenabilité du SI et sa sécurité. Cet effort passe par le décommissionnement de certains services, la refonte d'autres, mais aussi la mise à jour des socles techniques. C'est par exemple le cas pour notre plate-forme virtualisée appelée Hawaï, qui héberge une large part de notre Legacy.

« Je demande à mes équipes de limiter l'empreinte de VMware au sein de nos SI, via la migration vers le cloud et les conteneurs ou via l'usage de technologies open source comme Xen pour les environnements hors production. » (Photo : Thomas Léaud)

Est-ce que le rachat de VMware par Broadcom et les récentes annonces de ce dernier changent les équilibres quant au rythme d'évolution du Legacy ?

Sur Hawaï, mais aussi sur notre système plus ancien, nous exploitons plus de 25 000 VM sur la base des technologies de cet éditeur. Aujourd'hui, b pour nous comme pour de nombreuses autres DSI. Je demande aujourd'hui à mes équipes de limiter l'empreinte de VMware au sein de nos SI, via la migration vers le cloud et les conteneurs ou via l'usage de technologies Open Source comme Xen pour les environnements hors production. En s'attachant à éteindre les VM inutilisées, notre programme de réduction de l'empreinte carbone de l'IT pousse également dans la même direction. Si nous avons accéléré sur les nouveaux développements, avec le choix des architectures en conteneurs par défaut, nous n'en sommes pas encore à migrer des applications tournant sur VMware vers PFS. Mais, si dans le cadre du programme de réduction de la dette technique, je suis en mesure de le faire, je le ferai.

Quel rôle jouent les API dans la modernisation de votre système d'information ?

Nous avons une politique API first, qui s'appuie sur une plate-forme de gestion des API. Dans notre écosystème complexe, le dialogue entre les services applicatifs est essentiel. C'est donc d'abord un chantier très parlant pour les métiers, qui doivent de plus en plus s'interfacer avec d'autres acteurs publics, mais aussi privés. Nous exploitons des guichets multiplates-formes dialoguant les uns avec les autres. Par ailleurs, sur le plan technologique, le recours aux API est aussi un moyen d'éviter les 'refontes cathédrales' (visant une refonte totale, NDLR). APIser le Legacy est également une manière réduire graduellement la dette technique.

Envisagez-vous l'hybridation de votre plate-forme PFS avec un cloud public, en particulier avec un cloud dit de confiance ?

Ce n'est pas une priorité du moment, car l'Urssaf possède ses propres infrastructures IT que nous nous devons d'amortir. Mais, sur de nouveaux besoins - comme de la puissance de calcul CPU et GPU pour des applications d'IA -, cette option peut faire sens pour éviter d'avoir à réinvestir.

Dans le prolongement de PFS v2, vous prévoyez également de créer un cloud mutualisé avec d'autres acteurs de la sphère sociale. Où en êtes-vous de ce projet ?

Avec la Cnam et la MSA, nous avons désormais trois datacenters interconnectés, au sein desquels tourne une couche Iaas. Et nous avons mis en place un démonstrateur pour tester le fonctionnement de l'ensemble, sur le principe d'une zone cloud. Notre objectif consiste à mettre en production deux applications métiers emblématiques de la sphère sociale sur cette couche Iaas mutualisée dès cette année. Et, en parallèle, de s'attaquer au développement d'une offre CaaS, qui devrait entrer en production fin 2025. Chacune des entités mène par ailleurs son propre chantier de développement d'une plate-forme cloud. Il faut avant tout éviter la tentation de vouloir imposer telle ou telle solution. L'essentiel est de susciter l'adhésion afin de mutualiser nos ressources, notamment en matière de compétences. Nous devons aussi nous mettre d'accord sur les règles de gouvernance de ce cloud mutualisé, un sujet que nous venons tout juste d'ouvrir.

Quelles sont vos priorités pour 2024 ?

D'abord, nous voulons enrichir et fiabiliser le dispositif de DSN (déclaration sociale nominative), essentiel dans la création des droits des salariés. Ce projet de restructuration des SI embarque des dimensions big data, cloud et de gestion des API. Nous avons deux autres chantiers métier majeurs, autour des systèmes pour les particuliers employeurs d'une part et pour les autoentrepreneurs d'autre part. J'y ajouterai un travail important réalisé dans le domaine de la digitalisation de la relation avec les usagers, un chantier baptisé Urssaf Digitale. Sur le plan technologique, après avoir beaucoup investi sur le big data, nous voulons désormais transformer l'essai auprès des métiers. Enfin, nous avons ouvert un chantier autour de l'IA générative, avec l'appui du comité de direction. Une charte encadrant les usages a été mise en place. Et de premiers cas d'usage seront déployés dès cette année, pour proposer de nouveaux services aux utilisateurs ou usagers, mais aussi au sein de la DSI elle-même.

En complément : 
Jean-Baptiste Courouble, DSI de l'Urssaf : « vers un cloud privé mutualisé pour la sphère sociale » (mars 2023)