Projets

L'Urssaf mise sur les APIs pour transformer ses services

Jean-Baptiste Courouble, DSI Urssaf Caisse Nationale : « L’API management permet de garder la stratégie d’ouverture sous contrôle. »

Pour accompagner la digitalisation croissante de ses services, l'Urssaf Caisse Nationale a engagé une démarche d'ouverture de son patrimoine applicatif, s'appuyant pour cela sur la plateforme d'API Management d'Axway.

PublicitéL'Urssaf a plusieurs missions : en tant qu'opérateur de référence du financement social, elle assure le recouvrement des cotisations salariales et patronales ainsi que la redistribution des fonds aux différentes caisses prestataires. Elle fournit également des services d'assistance aux entreprises. À ce titre, elle dispose notamment des données de salaire pour l'ensemble de la population active française. Autour du système national version 2, le coeur historique du système d'information Urssaf, viennent se greffer beaucoup d'applications périphériques, Web et mobiles, qui s'ajoutent au fur et à mesure du déploiement des démarches en ligne et de l'assistance aux entreprises. Pour accompagner cette digitalisation croissante de ses services, l'Urssaf Caisse Nationale a choisi en 2018 d'engager une démarche d'ouverture de son patrimoine applicatif, pour plusieurs raisons. « Nous nous sommes demandé s'il valait mieux refondre ou bien ouvrir l'existant », explique Jean-Baptiste Courouble, DSI de l'Urssaf Caisse Nationale. « Rapidement, il nous a semblé illusoire de vouloir refondre tout le système d'information historique, car il s'agissait d'un legacy complexe, en Cobol, qui avait intégré au fil du temps de nombreuses évolutions réglementaires. Nous avons préféré l'ouvrir grâce aux APIs (Application Programming Interfaces). »

L'Urssaf Caisse Nationale a alors initié une stratégie de transformation digitale autour de quatre grands piliers : tout d'abord, une stratégie de cloud affirmée ; ensuite, un accent sur le big data, afin d'exploiter les immenses quantités de données disponibles. L'opérateur a également travaillé sur la digitalisation de la relation avec les cotisants, à travers des technologies comme les chatbots, voicebots ou encore la RPA, actuellement en phase d'expérimentation. « Ces nouveaux canaux se sont révélés précieux pendant la pandémie, où nos services ont été très sollicités à certains moments », souligne Jean-Baptiste Courouble. Enfin, le dernier pilier était l'APIsation, pour laquelle l'opérateur a décidé de s'appuyer sur la plateforme Amplify d'Awxay, une solution d'API Management. « Nous avons retenu la solution à la fois pour son évolutivité et pour l'accompagnement proposé. Le fait qu'Axway soit un éditeur français a également joué, car nous cherchons à soutenir ces acteurs et à faire émerger un écosystème technologique français », confie le DSI.

Une interopérabilité essentielle

Pour l'Urssaf, la mise en oeuvre d'API répondait à plusieurs problématiques. Elle s'inscrit tout d'abord dans une trajectoire plus globale d'évolution de la sphère publique. « Pour aller vers l'État plateforme, l'interopérabilité est essentielle. Nous travaillons par exemple avec la DGFiP (Direction générale des Finances publiques) et les douanes sur le projet Portail Pro, afin que toutes les entreprises puissent accéder à leur situation fiscale, sociale et douanière », illustre le DSI. Ce portail, dont la première version est prévue fin 2021, repose sur plusieurs APIs. Le deuxième volet adressé par les APIs est d'ordre social : celles-ci servent en effet à échanger des données avec les différentes caisses chargées de distribuer des prestations : retraite, assurance chômage, assurance maladie... « Il faut donner à chacun une visibilité de bout en bout sur l'usage qui est fait de ses cotisations. À travers FranceConnect, tout le monde peut se connecter au portail Mes droits sociaux », indique Jean-Baptiste Courouble. Un troisième enjeu concerne l'interopérabilité avec la sphère privée. « Nous travaillons de plus en plus avec des startups, qui mettent par exemple en relation des autoentrepreneurs avec des particuliers employeurs. Ces acteurs intègrent directement nos services dans leur offre, pour faciliter les déclarations sociales. Nos APIs permettent de garantir à leurs clients des échanges sécurisés, et de notre côté ces partenariats contribuent à limiter les sous-déclarations », observe le DSI. Les données de l'Urssaf sont également mises à disposition d'autres organismes, privés ou publics, en open data sur open.urssaf.fr. Enfin, en interne, les APIs assurent également l'interopérabilité entre les différentes applications - pas moins de 758 recensées à l'heure actuelle, selon Jean-Baptiste Courouble.

PublicitéPour mettre en musique cette stratégie d'APIsation, une organisation spécifique a été prévue. En amont, une cellule d'ingénierie se charge de la mise en oeuvre technique de la plateforme et de l'architecture de médiation. Des architectes travaillent quant à eux sur les anciens systèmes Cobol, pour voir quelles briques peuvent être transformées en microservices. Enfin, chaque équipe de développement, aussi bien front-end que back-end, dispose de frameworks qui lui permettent de consommer ou de publier des APIs. « Un programme de formation interne a accompagné le projet. Cela n'a pas toujours été simple, car parfois les APIs apportent des contraintes supplémentaires aux équipes, en termes de sécurité, de formats et nomenclatures », confie Jean-Baptiste Courouble, qui souligne cependant la nécessité de la solution d'API management pour cadrer la démarche. En aval, l'Urssaf Caisse National s'appuie également sur le cockpit de supervision d'Amplify. « Une fois les services en production, quelques réglages sont toujours nécessaires pour améliorer les performances ou veiller à la sécurité », précise Jean-Baptiste Courouble. Ce dispositif permet à la fois d'offrir la souplesse nécessaire au déploiement d'APIs, tout en prévoyant des garde-fous pour que l'architecture reste sous contrôle.

Une stratégie d'APIsation se prépare

Plus de trois ans après le choix de la solution d'Axway, une grande partie du système d'information de l'Urssaf Caisse National est désormais ouvert grâce à des APIs, ce qui a rendu possible la mise en oeuvre de nombreux services en ligne. Dans la sphère privée, le DSI cite notamment les Cesu (chèque emploi service universel), Pajemploi ou le site destiné aux autoentrepreneurs. Dans la sphère publique, le projet Portail Pro est en cours, tandis que sur le volet social, plusieurs services sont déjà en place sur le suivi des droits sociaux ou les allocations. Si l'Urssaf alimente de nombreux services à travers ses APIs, elle consomme également les APIs de certains de ses partenaires. « Nous utilisons par exemple des APIs d'authentification, ou bien certains services de Net-entreprises.fr, à qui nous fournissons également des données », illustre Jean-Baptiste Courouble. Selon les partenaires concernés, des sécurités supplémentaires peuvent être mises en place, en fonction du niveau de confiance de la relation. « Nous sommes soumis au RGPD ainsi qu'aux contraintes des opérateurs de services essentiels. Quand nous fournissons des données à des opérateurs tiers, elles sont anonymisées », illustre le DSI.

Pour Jean-Baptiste Courouble, une stratégie d'ouverture à travers les API est un projet qui nécessite une vraie préparation, et pas seulement à l'échelle interne. « Un certain nombre d'éléments préalables doivent être en place. Il faut des référentiels, il faut recruter pour acquérir certaines compétences, et il faut veiller à ce que les partenaires et ESN avec lesquels nous travaillons soient en phase avec cette approche. » Pour lui, la mise en oeuvre d'une brique de médiation se gère au niveau stratégique, surtout pas « sur un coin de table » : « Il faut mettre les moyens pour pouvoir concevoir, déployer et superviser le dispositif. »