Le DSI de l’Agence centrale des organismes de Sécurité Sociale (Acoss), Jean-Baptiste Courouble, s’est vu confier la mission d’animer une démarche cloud pour l’ensemble des entités de la sphère sociale. Un « cloud hybride » maison pour mieux travailler en écosystème. Retour sur chantier 2021.
Alliancy. Quel a été le chemin de transformation cloud de l’Acoss ?
Jean-Baptiste Courouble. Les organisations publiques et parapubliques sont de manière générale restées un peu en retrait de la première vague cloud, qui a été jugée très marketing. Le sujet s’est imposé à nous au travers des offres SaaS sur les progiciels de gestion et de bureautique, qui sont rapidement devenus la seule alternative. Comme pour beaucoup, Office365 a été notre premier contact important avec le cloud. C’est à partir de là que nous avons dû forger nos convictions en matière de stratégie, de sécurité et de modèle économique.
En effet, nos modèles comptables sont assez « figés », car ils sont traditionnellement basés sur l’investissement… La bascule vers des budgets de fonctionnement n’est pas facile à prendre en compte dans les schémas de nos institutions de tutelle. Ces dernières années, il a donc fallu porter un véritable discours explicatif auprès d’elles. Heureusement, le passage au cloud sur le collaboratif a beaucoup joué pour faciliter la gestion de la crise sanitaire l’an dernier et cela a facilité la compréhension du cloud par l’ensemble des parties prenantes , pour qui c’était autrement très abstrait.
Quelles ont été les autres accélérations ?
Jean-Baptiste Courouble. La deuxième étape depuis 2 ans a été d’aller plus profondément voir en quoi le cloud est un vrai catalyseur de l’activité de la DSI et du métier, en permettant de développer de nouvelles offres différemment et plus vite. La DSI a évidemment été très sollicitée par nos partenaires métiers ces dernières années pour faire émerger très vite des offres digitales. Or, le seul moyen de tenir le rythme est évidemment de passer à des fonctionnements agile et au DevOps, mais aussi en parallèle de s’appuyer sur le cloud pour favoriser cette dynamique faite de cycles de vie différents, grâce à des infrastructures plus adaptées… Avant même de la question de l’hébergement, c’est le build et l’exploitation liés aux besoins métiers qui ont tiré le cloud dans l’organisation. Nous avons alors utilisé du IaaS et du PaaS beaucoup plus fortement. Toutefois, rapidement, nous nous sommes rendu compte que ce mouvement généralisé était trop désordonné et qu’il fallait une vraie stratégie cloud globale. L’enjeu économique n’était pas neutre, de même que celui de protection des données.
Comment résumez-vous cette stratégie ?
Je me suis donc très tôt intéressé aux initiatives publiques, notamment la typologie des clouds C1, C2 et C3 de l’UGAP. Le C1 hyper sécurisé est réservé aux ministères et le C3 beaucoup plus ouvert n’est pas si différent des clouds publics disponibles pour les acteurs privés. Le cloud C2 intermédiaire repose sur la promesse de services managés où est injecté une dose de souveraineté. Cela correspondait bien à nos besoin. Mais malheureusement, cette proposition est encore virtuelle. Le calendrier ne correspond pas à mes besoins immédiats. C’est exactement la même chose avec GaiaX d’ailleurs.
Qu’est-ce que cela implique pour vos chantiers 2021 ?
Jean-Baptiste Courouble. Je me suis ouvert de cette problématique il y a quelques semaines à la Direction de la Sécurité Sociale. Et en retour, elle m’a confié la mission d’animer une démarche pour l’ensemble de la sphère sociale, afin de caractériser les besoins et de faire émerger des réponses appropriées. Des réponses qui pourraient converger avec celles en train d’être mises en place par l’Etat et proposées par l’UGAP, ou dans le cas de contraintes véritablement trop importantes, de permettre aux organismes de Sécurité Sociale d’avancer seuls le cas échéant.
Qui y a-t-il derrière ce chantier d’animation cloud ?
Jean-Baptiste Courouble. Déjà, je veux être clair : l’idée est bien de travailler avec l’écosystème, il ne s’agit pas d’être plus royaliste que le roi en voulant proposer des centaines de services managés comme peuvent le proposer les grands opérateurs de cloud public. Nous ne voulons pas réinventer la roue. Mais nous voulons aussi nous appuyer sur un cloudeur européen, certifié Anssi avec SecNumCloud. 2021 sera vraiment l’année qui permettra de définir la chaine cloud complète qui répondra à nos besoins en matière de transformation digitale.
S’agit-il pour autant de trouver le partenaire parfait ?
Jean-Baptiste Courouble. On identifie un jeu de contraintes qui doivent être acceptables pour les partenaires du marché. Mais nous sommes réalistes : l’idée n’est pas de chercher un mouton à cinq pattes. Nous allons avoir un arbre d’éligibilité cohérent et une trajectoire de move to cloud réaliste, compatible avec le fait que nous n’allons pas transformer 100% du legacy en mode cloud. Nous allons donc identifier plusieurs partenaires qui vont nous permettre d’emblée de mieux définir et parcourir ce chemin. Quand on embarque dans un tel projet à la fois des données de recouvrement et des données de santé, vu les différentes branches de la Sécurité Sociale mobilisée, il est d’ailleurs évident que nous allons rester très attachés à une forme d’indépendance vis-à-vis des données, avec un énorme sujet de réversibilité. L’optique de marché public renouvelable sous 4 ans, implique des changements potentiels de partenaires technologiques réguliers. En parallèle, nous voulons sélectionner des partenaires qui nous aident aussi sur la construction du cloud interne, pour avoir une vision cohérente globale, et pas seulement du service managé à la carte.
Quel est le calendrier ?
Jean-Baptiste Courouble. La priorité immédiate de ce début d’année est déjà de faire un état des lieux de tout ce qui a déjà été réalisé par les différentes branches. Chacune a pu mener par le passé des initiatives avec des opérateurs extérieurs mais aussi en concevant des plateforme internes. Nous allons identifier les sujets qui se prêtent bien à la mutualisation et ceux pour lesquels ce n’est pas le cas. Nous ne voulons pas nous substituer à tout ce qui fonctionne déjà bien. Notre conviction c’est que nous pouvons être dans une logique de distribution intégrée, sans repartir de zéro pour tout reconstruire par nous-mêmes. Un aspect qui ne changera pas, par exemple, ce sont les choix SaaS, pour lesquels il n’y aura pas d’ambiguïté sur la liberté d’usage, une fois qu’est traité le sujet de la confidentialité des données et de la sécurité. En 2021, nous allons donc multiplier les contacts avec des partenaires sur le marché autour de cette philosophie.
A lire aussi : Stratégie cloud : la sécurité comme chantier 2021 après Sunburst
Quel est votre défi le plus important ?
Jean-Baptiste Courouble. Il y a surtout un modèle économique à trouver. Je ne pourrai tout simplement pas maintenir des investissements massifs dans des datacenters, des baies stockages, pour répondre à des besoins actuels, et aller massivement en parallèle sur le cloud. C’est une contrainte majeure à laquelle sont confrontées de nombreuses organisations. Nous allons être très vigilants sur les modèles de facturation et les modèles économiques proposés. Nous ne voulons pas être embarqué dans des schéma délirants sans même nous en apercevoir, comme en ont témoigné certaines entreprises. Il faut donc que nous montions un pôle de compétences cloud, qui permette de recruter des expertises techniques certes, mais aussi FinOps pour suivre ces sujets.
Quels sont les tendances que vous surveillez et qui pourraient avoir un impact sur votre stratégie cloud ?
Jean-Baptiste Courouble. On s’intéresse de près à des technologies complémentaires sur la blockchain, la data et l’IA dans le cadre de la lutte contre la fraude, la détection d’anomalies, etc. Ces technologies peuvent être liées ou pas au cloud en tant que telles. Beaucoup d’offreurs nous font par exemple des appels du pied pour proposer des solutions globales dans le cloud, avec des moteurs d’analyse de règles et de données qui soient entièrement cloudifiés… C’est intéressant, mais trop souvent il s’agit de concepts très généralistes. Il manque encore aux acteurs du marchés le fait de proposer des approches personnalisées. De manière générale, le marché est encore trop technique et ne s’intéresse pas assez aux spécificités des métiers et des activités. Or, ce sont eux qu’il faut convaincre. C’est un travail très important d’associer les métiers aux décisions grâce à l’agile et par ailleurs de porter un discours très persuasif auprès des dirigeants inquiets sur la dimension sécurité. En 2021, plus que jamais il faudra avoir le bon discours métier. Je pense sincèrement que le marché gagnerait beaucoup à être plus pointu sur ses démarches d’avant-vente, en parlant au métier et pas qu’au DSI.
Sur un plan plus technologique, j’ajoute que les sphères publique et sociale ont une longue tradition d’utilisation de solutions Open Source. Nous serons donc particulièrement vigilants au respect de certains standards et aux propositions de solutions basées sur des noyaux Open Source
Quels sont vos autres vœux vis-à-vis du marché pour cette année à venir ?
Jean-Baptiste Courouble. C’est lié, mais il est vraiment important faut qu’il y ait plus de transparence sur le modèle économique sous-jacent du cloud pour les organisations. Il faut également que soit mis beaucoup plus l’accent sur le modèle de transition à adopter, étape par étape, entre le modèle actuel et le modèle cible. Les acteurs du marché parlent toujours trop de la cible. Donc, j’espère que 2021 sera une véritable année de pédagogie sur la transformation en elle-même. Il faut parler aux dirigeants directement, notamment sur les sujets de sécurité.
Un dernier point, et c’est un vœu pour nous-mêmes également, serait d’ouvrir les écosystèmes pour faire plus de place aux acteurs plus petits. Nous avons toujours sur le sujet du cloud tendance à avoir seulement les géants en face de nous. Mais nous devons tous apprendre à travailler efficacement avec des partenaires variés. L’accès au monde public, comme à celui des grandes entreprises, est une vraie question essentielle pour de nombreux savoir-faire de pointe présents dans des petites structures. Rendre plus accessibles ces compétences est aussi un chantier pour 2021.