[Le Grand Entretien] Jean-Baptiste Courouble est le directeur des systèmes d’information de l’Urssaf Caisse Nationale. L’entreprise à mission de service public doit recruter 250 talents du numérique en moins d’un an pour respecter ses engagements vis-à-vis de l’État en matière de transformation. Une internalisation des compétences qui ne va pas sans remises en question.

Cet entretien est issu de notre série d’interviews « What’s next, CIO ? » qui revient tout au long de l’année sur les priorités et visions d’avenir des CIO stratèges

Pourquoi avoir lancé une grande campagne de recrutement en 2024 ?

Jean-Baptiste Courouble. Nous avons toujours été dans une logique de recrutement soutenu. Mais ce qui a changé, ce sont les engagements que nous avons pris en matière d’IT et de soutien aux métiers, dans la dernière Convention d’objectifs et de gestion (COG) signée avec l’État pour une durée de 5 ans, jusqu’en 2027. Pour tenir ces engagements, nous avons besoin d’une plus grande maîtrise des sujets technologiques et fonctionnels en interne. Nous voulons nous renforcer sur des profils critiques. Cela a donné lieu à une négociation, avec une diminution du budget consacré à l’externalisation pour augmenter en retour la masse salariale. Nous avons de cette façon obtenu de pouvoir recruter 195 personnes, en 18 mois, dont 150 pour la DSI et le reste en maîtrise d’ouvrage. Nous avons jusqu’à l’été 2024 pour mener ces recrutements. En parallèle, nous devons aussi gérer environ une centaine de turn-over plus classiques. Il faut souligner à quel point il est inédit chez nous de mener autant de recrutements en si peu de temps.

Est-ce qu’il est difficile pour l’Urssaf d’attirer des talents du numérique ?

Ces dernières années, nous avons acquis une conviction. Pour susciter l’intérêt, c’est le premier pas qui est le plus important et aussi le plus difficile pour nous. Spontanément un candidat ne tape pas à la porte de l’Urssaf. Il ne se dit pas : « il y a une opportunité sur le numérique dans cette organisation ». Notre urgence est donc de faire changer notre image. C’est très important, car une fois que le premier pas est franchi, qu’il y a un contact et que nous avons l’occasion de faire passer un entretien, la vision du candidat change. Nos projets, notre organisation, nos valeurs… Sur le reste du processus, nous pouvons être concurrentiels. C’est tout l’intérêt de la campagne que nous avons lancée, mais aussi d’une utilisation plus large de job boards, de partenariats de moyen et long terme avec des écoles… Nous avons ces derniers mois recruté une centaine d’alternants pour les faire grandir et leur faire voir ces opportunités directement.

Quel impact a ce mouvement d’internalisation des compétences pour vos prestataires ?

Nous sommes très dépendants des entreprises de services numériques (ESN) à des niveaux parfois critiques. Il y a un taux d’externalisation pour les métiers du build et du run, qui est régulièrement supérieur à 50%. Dans certains secteurs du build, nous dépassons parfois 70%, voire dans certains cas extrêmes 80%. Cela revient à se mettre en situation délicate. Notre stratégie implique donc de redescendre ce taux en dessous de 50% en moyenne, avec une tolérance à 60% pour le build. Nous assumons de nous être concentrés jusque-là sur des profils « tech lead » ou architecte en interne, pour massifier plutôt les développements en prestation. Cependant, il nous faut maintenant plus d’experts en assistance technique pour encadrer et pérenniser la connaissance sur les enjeux technologiques d’avenir.

Ce n’est pas une remise en cause du principe du centre de services, car à condition de bâtir une proximité avec l’ESN, il est très utile d’avoir de véritables usines de développement et de profiter des gains de mutualisation sectorielle amenés par un prestataire. Plus généralement, cette réflexion de fond sur l’internalisation des compétences se voit d’ailleurs autant au niveau de l’État que pour les DSI du privé. C’est un retour à une volonté de maîtriser son destin.

Quels sont les sujets qui se prêtent encore bien à l’externalisation ?

On a besoin de distinguer les sujets sur lesquels nous avons acquis une certaine maturité : cloud privé, apisation, analyse de la data… Sur ces éléments structurants, nous avons un intérêt très net à avoir plus de compétences internes au plus vite. Pour les sujets plus neufs, la question se pose différemment. Sur l’IA générative typiquement, nous avons besoin de nous nourrir d’idées… Nous nous posons encore beaucoup de questions. Nous faisons donc « pitcher » toutes les ESN pour parler des cas d’usages mais aussi des streams d’architecture possibles… Pour construire une feuille de route crédible, nous avons besoin de l’externe. Mais il faut reconnaître que les cabinets de conseil et les ESN sont eux-mêmes encore très jeunes sur ces sujets !

Ces choix ont-ils un impact sur vos ambitions en matière de numérique responsable ?

La RSE est un élément important de la COG passée avec l’État. En tant qu’acteur de la protection sociale, nous jouons un rôle majeur dans l’inclusion et la responsabilité sociétale et cela a été gravé dans le marbre de notre stratégie. La première étape que nous devons mieux maîtriser, c’est de mesurer avec exactitude la nature et le périmètre de nos impacts. En parallèle, nous devons aussi lancer les actions pour entrer dans un cercle vertueux. Nous parlons de choix très concrets, par exemple la transformation de notre politique d’achat ou encore comment nos conceptions et designs de services numériques doivent devenir plus responsables. Sur le run, nous devons aussi réduire de plusieurs points de pourcentage notre consommation énergétique chaque année. Nous changeons donc progressivement les baies de stockage de nos datacenters : à elles-seules les plus récentes consomment 40% de moins d’électricité que les précédentes ! Cela entraînera des conséquences en chaîne.

Nous menons aussi une action sur les comportements au quotidien de nos équipes. Comment bien mieux superviser les machines virtuelles, et comment éviter l’inflation de leur utilisation ; ou encore généraliser le fait d’éteindre systématiquement ce qui n’est pas en production. Cela relève aujourd’hui du bon sens. Nous essayons systématiquement de chiffrer combien de vols « Paris-New-York » nous économisons de la sorte en termes d’impact carbone, afin de mieux faire comprendre l’impact de ces choix.

Cela fait-il partie des exigences des talents du numérique que vous recrutez ?

Ils attendent effectivement que nous soyons sérieux et qu’il ne s’agisse pas seulement d’un axe de communication. Je dois trouver de nouveaux axes significatifs d’action… tout en sachant que nous ne pourrons pas non plus refaire intégralement le système d’information pour qu’il soit vraiment « green ». En ce sens, nous avons un groupe de travail spécifique, dont le pilotage dépasse la seule DSI, pour être assumé à un niveau transverse par la Caisse nationale. Parmi les nouveautés que nous avons mises en œuvre, nous avons ainsi pu relever les seuils de températures dans les datacenters, sans compromettre les garanties d’usages. Nous avions l’habitude de garder des marges de sécurité très importantes, mais dans ce cas-là, il s’agissait aussi de beaucoup de gaspillage. De même, nous prolongeons la durée de vie des devices et amortissons différemment leur utilisation, tout en cherchant à développer des axes de sorties des matériels beaucoup plus vertueux. Il y a beaucoup à faire.

Vous portez depuis 2021 le sujet du cloud communautaire de la sphère sociale. Où en êtes-vous ?

C’est toujours une forte actualité et je ne lâche rien sur le sujet. L’enjeu est de mettre d’accord des organisations « cousines » au sein de la sphère sociale, qui ont pu certes déjà mener des projets en communs, mais qui doivent dans le cas du cloud passer à l’étape supérieure d’une vraie mutualisation. En 2023, nous avons montré à partir d’un démonstrateur technique, à quoi pourrait ressembler un IaaS commun, après avoir connecté les différents systèmes d’informations. Il s’agissait de prouver qu’avec quelques clics, il pouvait facilement fonctionner sur nos différents datacenters. En 2024, la deuxième étape est de mettre en place une application emblématique sur ce cloud commun, comme le portail national des droits sociaux aujourd’hui géré par la iMSA.

Le sujet technologique n’est pas le plus compliqué. Il s’agit surtout de trouver la bonne gouvernance et d’harmoniser les niveaux de sécurité, tout en trouvant un équilibre économique acceptable pour tous. Nous regardons donc avec intérêt les possibilités d’hybridation, que ce soit par l’intermédiaire d’un acteur bien établi comme OVHcloud, ou naissant comme Numspot. Et bien sûr, nous savons que nous n’atteindrons jamais le niveau de services managés d’un hyperscaler. Mais j’estime que nous pouvons sans doute servir 80% de nos besoins métiers quoiqu’il en soit… Pour ensuite aller chercher des services spécifiques complémentaires. Mais pour ces 20% supplémentaires, il faudra également un cadre souverain. Si demain nous devons monter un Large Language Model pour l’intelligence artificielle… j’aimerais aller chercher cela chez un acteur français.

Il faut aussi noter que cette démarche communautaire se fait en parallèle de l’objectif de faire émerger en interne au sein de l’Urssaf un cloud privé souverain avec un niveau de sécurité et de confidentialité suffisant. Nous avons sorti une première version et nous en sommes à la montée en gamme sur la deuxième version, pour élargir les services portés. Mais ce projet de cloud privé n’aboutira qu’au travers d’une transformation profonde de la DSI.

L’élan réglementaire sur le numérique au niveau européen vous satisfait-il ?

Il y a des motifs de satisfaction, mais également beaucoup de frustrations. Sur le schéma de certification européen des clouds, EUCS, par exemple. De même, autour de l’AI Act, la structuration est très longue. Quant à la directive NIS 2, elle change vraiment la donne. Mais appliquer de nouvelles règles de cette ampleur, ce n’est pas gratuit ! Pour la mise en conformité avec NIS 1, on parle déjà de millions d’euros d’investissement. Il faut pouvoir absorber ces changements.

Dans ce contexte, quel est votre sujet prioritaire en 2024 ?

Vous me demandez de n’en choisir qu’un, alors que j’en mène 150 en parallèle ! Je vais donc en mettre deux en avant. D’abord, la prise en compte et la fiabilisation des Déclaration sociale nominatives (DSN) pour les entreprises. C’est un projet métier lancé il y a deux ans, mais qui entraîne énormément de sujets IT dans son sillage. Tout le monde est engagé, depuis nos autorités de tutelles jusqu’à la DSI, en passant par notre direction générale. C’est pour nous une preuve de l’intérêt de toutes les évolutions technologiques dont on parle depuis des années notamment autour des transformations data.

Ensuite, nous avons ce sujet de transformation interne de la DSI, que j’évoquais en parlant du cloud. L’Urssaf avait une DSI assez traditionnelle, organisée autour d’entités classiques. La transformation cloud a un impact sur les compétences, les organisations, les processus…. Car sans DevSecOps, sans agilité, elle ne pourra pas rendre le service que l’on attend d’elle. Nous entrons donc dans des logiques de filières applicatives différentes, avec une gestion de bout en bout qui vont de la conception jusqu’au maintien en condition opérationnelle. On verticalise. Et cette nouvelle organisation sera servie par un centre de ressources internes. Nous souhaitons ainsi sortir de l’organisation hiérarchique qui a prévalu, pour être capable de fournir les bonnes compétences en transverses en fonction des besoins et enjeux. Nous posons actuellement les fondations avec les métiers et nous allons progressivement déconstruire le modèle actuel, avec un rythme de changement semestriel sur les filières cibles. Sans sponsoring fort des métiers, cela ne marchera pas, car cette nouvelle organisation en écosystème met clairement en lumière le fait que le numérique et l’IT, c’est bien plus que la DSI.