La DSI de l’Urssaf sur tous les fronts : conteneurs, IA, cloud, dette technique

Une plateforme de cloud privée industrielle en service

Or, très manuelle et basée sur des composants assemblés par l’IT (conteneurs, Kubernetes, IaaS, etc.), la PFSv1 n’avait pas été pensée pour l’industrialisation. « Ce n’était pas tenable dans la durée compte tenu de la complexité d’une plateforme de cette nature et de la rareté de nos ressources internes. »

« Il s’agissait de gérer le volet conteneurs et PaaS, tout en conservant notre IaaS OpenStack. »

Les besoins des développeurs n’en demeurent pas moins réels. La DSI a donc « rapidement » pris la décision de se doter d’une nouvelle plateforme (la PFSv2), conçue, elle, nativement, pour être industrialisée tout en restant open source.

« Nous étions sur de l’open source communautaire pour PFSv1. Avec la V2, nous avons fait le choix de basculer sur de l’open source managé (Openshift de Red Hat). Il s’agissait de pouvoir gérer le volet conteneurs et PaaS, tout en conservant notre IaaS OpenStack », justifie Jean-Baptiste Courouble.

La mise en production de la PFSv2 reste à finaliser. À ce stade, trois projets pilotes sont en cours de migration vers la nouvelle architecture. Avec cette dernière, la DSI prévoit « à l’occasion de la mise en place de la plateforme de cloud privé d’opérer une véritable transformation cloud [qui] reste à mener chez nous. »

Cette « transformation » (sic) englobe toutes les populations de la DSI (intégration, développement, tests…). Et elle n’est pas que technologique. Elle comprend aussi un volet FinOps.

Une quarantaine d’applications migrées sur PFSv2 en 2025

Disponible en interne depuis début 2024, la plateforme accueillera progressivement les applications. Les projets s’échelonneront au long de l’année pour héberger, en 2025, la quarantaine d’applications exécutées actuellement sur la PFSv1. Quant aux nouveaux produits, ils sont développés sur la base de la V2.

Jean-Baptiste Courouble
DSI de l’Urssaf

Ces chantiers IT s’inscrivent dans un cadre plus large qui vise à transformer la DSI elle-même, jusqu’alors « assez traditionnelle » (avec études & développement, production, intégration, etc.). « Notre objectif est d’accompagner la transformation cloud avec une organisation adaptée et des méthodes agiles à l’échelle. »

Ce second pan, conduit en parallèle du programme cloud, démarre avec une consultation en cours en interne. La première marche consistera à créer des filières applicatives de bout en bout, chacune gérant ses produits, l’intégration, la production et son backlog. Et cette création de filières doit en plus embarquer les métiers dans la démarche agile.

« Nous essayons de synchroniser l’approche technologique avec l’approche Process-Organisation-Méthodes, mais aussi d’y intégrer nos partenaires. Nombre d’ESN collaborent avec nous. Mais cela ne peut se faire que si nous avons réellement industrialisé la partie technologique », explique Jean-Baptiste Courouble.

« Cela représente une bascule par rapport à ce que nous avons connu par le passé. » Le domaine de l’agile en est une illustration. « Nous faisons de l’agile déjà, mais sans être une organisation agile. »

Des méthodes à une véritable organisation Agile

Scrum ou SAFe sont associés à la majorité des projets, « mais nous nous arrêtons au niveau de la méthode ». L’Urssaf veut franchir un cap « qui va au-delà de la DSI pour englober les utilisateurs et les maîtrises d’ouvrage. Sur ces populations, nous irons très progressivement. Les métiers ne vont pas rejoindre la DSI. En revanche, dans nos zones de contact, il est nécessaire de se doter des dispositifs permettant un fonctionnement en agile. »

Pour convaincre les métiers et les rallier à l’agilité, la DSI doit d’abord « faire ses preuves et servir de terrain d’expérimentation ». Les métiers, « déjà là aux moments clés des différentes cérémonies agiles », pourront faire un premier pas en direction de la DSI dans cette transformation, en participant à la conception « des produits ».

FinOps

La DSI de Caisse nationale avance sur d’autres fronts comme le FinOps, mis en place pour assurer le suivi de la performance économique des actions prises et « justifier tous les investissements réalisés. »

Le FinOps est aussi au service des arbitrages entre environnements de production. Hormis pour le SaaS, l’administration est peu utilisatrice de cloud public.

Réalisant ses propres développements, elle tend à privilégier le cloud privé. L’Urssaf conserve des habitudes, notamment en termes de provisionning d’infrastructure sur ses legacy. Le cloud est une rupture de ce point de vue puisque la consommation s’effectue à la demande.

« Nous devons adapter nos mécanismes. Et d’autre part, nous ne nous interdisons pas d’hybrider une partie du SI, avec des clouds publics, dès lors qu’ils répondent aux exigences. Nous nous préparons de plus à la possibilité de mutualiser ces moyens avec d’autres acteurs de la sphère sociale. Dans cette perspective, le logiciel FinOps doit être initialisé, pour rendre des comptes, mesurer et arbitrer en connaissance. »

Cloud mutualisé et hybridation du SI

Le cloud mutualisé est aussi toujours d’actualité. Un démonstrateur IaaS a été mis en place au travers de l’interconnexion de trois datacenters de la sphère sociale (Urssaf, Assurance Maladie et MSA), composant ainsi « une région à trois zones de cloud ».

« Nous ne nous interdisons pas d’hybrider une partie du SI, avec des clouds publics, dès lors qu’ils répondent aux exigences. Et nous nous préparons à la possibilité de mutualiser ces moyens avec d’autres acteurs de la sphère sociale. »

Le démonstrateur a permis d’établir la capacité à instancier des couches logicielles sur un ou plusieurs des datacenters.

L’étape suivante vise à exploiter cet environnement pour mettre en œuvre une application existante (commune à tous). Les trois partenaires se sont fixé comme objectif de concrétiser ce projet d’ici fin 2024.

« Ce serait une démonstration d’un premier fonctionnement en mode mutualisé. Nous menons cette initiative sur la base de l’adhésion. La concrétisation réclame une contribution de chacune des branches pour amener de l’expertise. Une de nos difficultés, ce sont les compétences. La gouvernance est donc à construire. Après, nous pourrons progresser pas à pas avec un déploiement d’applicatifs », confie la DSI.

Le IaaS constitue la première couche d’une offre de services commune. Le PaaS est visé pour 2025. Ensuite ? « Nous commencerons à monter des services managés ».

L’Urssaf « très attachée à la souveraineté » sur le cloud et l’IA

Le communautaire n’est pas le seul axe d’hybridation. En particulier pour l’Intelligence artificielle (dont l’IA générative, mais pas que), l’Urssaf anticipe ses besoins en matière de ressources externes.

Quels pourraient être ces fournisseurs de cloud public ? Des initiatives sont en cours sur l’IA. Pour acculturer et avec des données non sensibles, l’Urssaf teste les technologies OpenAI sur des instances Azure mais se déclare toutefois « très attachée à la souveraineté ».

« Nous travaillons actuellement au montage d’un environnement bac à sable d’IA dans un cloud souverain. »

« Nous travaillons actuellement au montage d’un environnement bac à sable d’IA dans un cloud souverain », poursuit-il. Pour ce projet, l’administration examine des fournisseurs comme OVH, NumSpot ou Cloud Temple.

Le Big Data constitue un autre des grands chantiers de l’Urssaf. Depuis 2023 et la mise en place de la DSN (déclaration sociale nominative), des centaines de millions de bulletins de salaire sont traités mensuellement.

« C’est sur les rails et complètement industrialisé. En termes d’infrastructures, nous sommes sur du Hortonworks, que nous migrons sur Cloudera. Mais nous avons pris conscience que nous sous-exploitions ce patrimoine de données », indique le DSI.

C’est le motif pour lequel l’Urssaf a lancé la création d’une Data Fabric qui doit offrir des espaces d’expérimentation et de développement pour les Data Scientists et un pipeline d’industrialisation pour le passage en production des cas d’usage.

« Au fil du temps, les outils de data visualisation, les ETL, etc. se multiplient. Nous souhaitons rationaliser ces outils et que les applicatifs Data soient portés sur la plateforme cloud PFSv2. »

OpenAI en généraliste, mais aussi d’autres LLMs sur le spécifique

Les applications plus traditionnelles de l’IA (ML, deep learning, etc.) sont connectées à la plateforme et ses données. Mais L’Urssaf s’intéresse aussi à l’IA générative. Ce sujet dépasse l’IT et implique toute l’entreprise autour d’un dispositif de définition des cas d’usage, d’éligibilité de ces applications et de test. « Nous progressons assez rapidement », assure le DSI.

Si OpenAI est cité comme fournisseur, l’Administration n’entend cependant pas s’enfermer dans une approche mono-LLM. Les grands modèles correspondent mieux aux usages « généralistes et pas trop attachés à nos spécificités métiers ». Des LLMs différents, « plutôt open source et de petite taille », sont visés pour le spécifique.

À ces projets d’innovation s’ajoute la problématique de la réduction de la dette technique.

80 000 jours/homme pour s’attaquer à la dette technique

Les stratégies « API first » et « cloud first » constituaient une réponse à cet enjeu. Mais fin 2023, la DSI a mis « le doigt sur la nécessité de flécher des moyens sur le traitement de l’importante dette technique ».

Les ressources seront consacrées à la rationalisation et au décommissionnement d’applications, entre autres pour des raisons de cybersécurité. Mises à jour et retraits de socles, d’applications et de composants (Java par exemple) sont sur la feuille de route.

« Nous ne souhaitons pas être trop captifs vis-à-vis d’un certain nombre de fournisseurs de composants. La dette technique, c’est aussi cela. »

Pour le DSI, ces démarches sont aussi une réponse à la dépendance à l’égard de certains éditeurs. Fin 2023, l’Urssaf disait adieu à Oracle, remplacé dans le parc applicatif par du PostgreSQL. « Les investissements sont assez conséquents, mais le ROI est évident ».

Le sujet VMware est aujourd’hui sur la table compte tenu de la politique de son propriétaire, Broadcom.

« Nous ne souhaitons pas être trop captifs vis-à-vis d’un certain nombre de fournisseurs de composants. La dette technique, c’est aussi cela, c’est-à-dire notre capacité à maîtriser notre destin sur nos choix et notre stratégie ».

Cela ne signifie pas nécessairement d’évincer complètement ces éditeurs. « C’est à la fois se diversifier et être vigilant sur notre capacité à pouvoir en sortir si jamais cela s’avérait une nécessité. »

Pour conduire la réduction de cette dette technique, plusieurs trajectoires sont possibles. Les projets peuvent être menés par opportunité, par exemple dans le cadre de refontes métiers. Mais les décisions peuvent aussi être prises d’autorité.

Sur cinq ans, 80 000 jours/homme ont été alloués par la DSI au sujet. Ce budget isolé est affecté à des projets divers, de refonte, de mise à jour de socles, de décommissionnement, de sécurité, etc. Un tableau de bord global « dette technique » permet de suivre l’avancement.

Mais l’Urssaf a besoin de compétences et de recruter, pour compenser les départs en retraite (plus importants cette année), mais aussi par sa volonté de réinternalisation.

« Une part très forte de nos projets et de notre build est externalisée avec des partenaires ESN. Nous avons obtenu de notre tutelle de transformer du budget d’assistance technique en masse salariale. » Ce sont ainsi 150 personnes qui peuvent être internalisées.

Réinternaliser des compétences IT et attirer les talents

Pour pourvoir ses postes, l’Urssaf a lancé une vaste campagne de recrutement – une opportunité « de dépoussiérer son image ». En 2024, au total, ce sont 250 professionnels de l’IT qui sont recherchés.

Jean-Baptiste Courouble le reconnaît, recruter n’est pas simple sur un marché très concurrentiel, en particulier sur les technologies cloud, IA et Big Data. Le DSI estime cependant que l’organisation a des atouts à faire valoir auprès des candidats, parmi lesquels « le terrain de jeu proposé, vaste et varié. Et l’objectif de la transformation DSI, c’est aussi de proposer des parcours aux nouveaux arrivants. »

L’Urssaf veut attirer, et idéalement fidéliser, même si les métiers de l’IT sont habitués à une certaine volatilité. « Si nous arrivons à séduire ces talents et à les conserver quelques années, bien sûr c’est profitable pour l’organisation. Mais c’est aussi une belle ligne pour eux sur leur CV. Les projets sont d’envergure, comme les enjeux qui s’y rattachent, et sur des environnements technologiques motivants », plaide Jean-Baptiste Courouble.