Interviews

Patrice Germain, DSI de la Cipav : « Nous avons externalisé le recouvrement tout en rebâtissant le SI prestations »

Patrice Germain, DSI de la Cipav, a fait le choix d'une infrastructure moderne pour le SI prestations adaptée au cloud. (Crédit Photo : Cipav)

La principale caisse de retraite des professions libérales a vu son système d'information se transformer, une partie étant transférée à l'Urssaf. Patrice Germain, DSI de la Cipav, revient sur les défis posés par cette migration et la création d'un SI prestations moderne et agile.

PublicitéQue gère la Caisse interprofessionnelle de prévoyance et d'assurance vieillesse ?

Patrice Germain : La Cipav est la principale caisse des professions libérales. Elle compte aujourd'hui 1,6 million d'assurés, 500 000 cotisants actifs et 170 000 retraités. Notre caisse - et c'est l'une de ses spécificités - représente des professionnels libéraux de secteurs d'activité très variés : architectes, moniteurs de ski, activités de conseil y compris en informatique, ostéopathes...

À votre arrivée en 2021, quelle a été votre feuille de route ?

Elle a coïncidé avec l'arrivée d'un nouveau directeur général qui a lancé des chantiers structurels pour que la Cipav puisse se concentrer sur l'amélioration de la qualité de service offerte à ses assurés. La caisse a ainsi transféré le recouvrement de ses cotisations à l'Urssaf, bien mieux armée que nous ne l'étions nous-mêmes pour cette tâche ; ce transfert a largement simplifié la vie des 190 000 professionnels libéraux relevant de la Cipav qui n'ont plus recours qu'à un interlocuteur unique pour la collecte et les services liés au paiement de leurs cotisations et contributions sociales personnelles. Ce chantier a réduit le personnel de la Cipav avec un transfert vers l'Urssaf. Pour la partie IT, il a par ailleurs fallu construire un nouveau SI de gestion des prestations pour s'adapter à cette nouvelle stratégie. Extrêmement performant, celui-ci a ainsi pu accompagner la migration du recouvrement, en s'appuyant sur le SI Carrière de la CNAV (caisse nationale d'assurance vieillesse). Aujourd'hui, complété par la refonte de la gestion des personnes, mis en production en mars 2024, ce SI est à l'état de l'art est mutualisable avec d'autres caisses de retraite.

Est-ce que ces projets se sont bien déroulés ?

C'était un beau challenge pour une DSI de 50 personnes qui avait plusieurs gros chantiers à mener de front. A partir de 2021, nous avons eu 2 ans de projets intensifs qui ont abouti - entre septembre 2022 et mars 2023 - à une mise en production successive de 3 projets majeurs. En septembre 2022, nous avons mis en place notre nouveau "SI prestations", construit de A à Z à partir d'analyses rigoureuses qui avaient été réalisées avant mon arrivée. Il fallait faire preuve d'un grand professionnalisme, se montrer rapide et agile puisque nous avons retenu, pour sa mise en oeuvre, une méthode "big bang" : en août, nous avions versé les prestations avec l'ancien système et, au mois de septembre, avec le nouveau. Changer la méthode de versement pour le compte de 170 000 personnes, représentant 60 millions d'euros, est un véritable challenge que nous avons relevé grâce à des efforts collectifs considérables ; mais cela en valait la peine !

PublicitéLe transfert du recouvrement vers l'Urssaf a, quant à lui, eu lieu le 1er janvier 2023. Certes, cet autre challenge informatique était moins lourd que le premier, mais il constituait néanmoins un vrai défi, car notre équipe DSI n'était plus composée que de 35 personnes (contre 50). Il a fallu rendre des arbitrages sur le plan des RH : par exemple nous avions deux DBA et il était difficile de n'en garder qu'un seul sans impacter le travail de notre service. Nous avons donc décidé de les transférer à l'Urssaf et d'externaliser cette fonction.

Ce volet organisationnel a-t-il été mené en parallèle de l'évolution technique ?

Oui, et c'était très important. Il y avait notamment 2 adjoints au DSI dans l'organisation, ce qui a permis à chacun de se concentrer sur un projet. Le premier s'est occupé de la refonte du "SI Prestations" et l'a menée jusqu'au bout. L'autre s'est davantage focalisé sur la production, sur les sujets de transformation ou encore sur l'adaptation de notre organisation à la nouvelle infrastructure qui rendait nécessaire une réorganisation interne (soit le renforcement des équipes, soit l'externalisation de certains métiers). J'ai rendu les arbitrages en prenant soin de donner de la visibilité aux collaborateurs sur notre vision et sur nos objectifs. Dans une petite DSI, clarté et transparence sont essentielles.

Sur le transfert, le choix du big bang n'était-il pas audacieux avec du legacy ?

J'ai été habitué à porter des projets aux démarrages progressifs, mais le mode "big bang" a des avantages : pas de cohabitation à gérer et donc moins d'interfaces, gain de temps pour la mise en production... Par ailleurs, comme nous avions séquencé les projets de telle façon qu'ils étaient tous dépendants du projet précédent, nous ne pouvions pas nous permettre de retard. Pour mener à bien ce type de bascule, nous avons pu compter sur de bons collaborateurs et de bons partenaires. Sur ce point, je suis adepte de la massification et réfractaire au forfait : je pense que l'on perd plus de temps à discuter des avenants qu'à être réellement opérationnel. Il faut qu'une relation de confiance se crée.

A-t-il été nécessaire de réécrire ou de créer des connecteurs ?

Nous utilisions des frameworks telles que Java et Angular ; même si ce n'était pas les versions les plus à jour, nous n'avons pas rencontré de difficulté de compatibilité, notamment dans la création du "SI Prestations". Nous avons travaillé par phase avec des sprints de deux semaines, puis des sprints d'un mois depuis la mise en production. Ce rythme était nécessaire pour assurer le bon déroulement de l'opération : nous gérons des applicatifs de gestion importants ce qui implique de faire des tests de non-régression. Je suis un fervent partisan de l'agile même si, depuis quelques années, son décorum a pris le dessus sur l'esprit de la méthode.

Sur le SI Prestation, vous indiquez qu'il est à l'état de l'art. Qu'est-ce que cela signifie ?

Tout est dockerisé. Nous sommes restés sur des technologies que l'on connaissait bien comme Angular ou Java, mais avec les dernières versions (21 pour Java et 15 pour Angular), idem sur Oracle avec la version 19 de la base de données. Dans le même temps, nous avons revu nos infrastructures en utilisant des outils ultra performants (2 fois 8 serveurs hyperconvergés chez Dell, VXrail au sein de 2 datacenters, un historique dans nos locaux et l'autre externalisé chez Equinix). L'objectif était de rendre toutes nos infrastructures redondantes avec deux sites actif/actif. En 2023, nous avons, enfin, finalisé des travaux sur la partie redondance du réseau électrique en cas d'incident majeur.

Êtes-vous touchés par les évolutions tarifaires de VMware après son rachat par Broadcom ?

Nous avons contractualisé avec VMware il y a seulement un an. Nous avons donc quelques années devant nous. Pour autant, c'est une question qui nous préoccupe. Nous observons et discutons du sujet avec nos pairs. Quand nous avons fait le choix de refondre notre infrastructure, la question du cloud s'est posée. Je pense qu'il y a un fossé entre la promesse théorique de grandes économies et la pratique qui rend impérative l'obtention des compétences Finops. À ceci s'ajoute l'enjeu essentiel de la confidentialité des données dans le monde de la protection sociale. Je serai certainement plus ouvert dans quelques années lors du renouvellement des contrats. Et si Jean-Baptiste Courouble [DSI de l'Urssaf, NDLR] poursuit son projet de cloud mutualisé de la Sécurité Sociale que je trouve excellent, je serais ravi d'y souscrire.

Plus globalement, avez-vous vu depuis quelque temps les factures de vos partenaires et fournisseurs augmenter ?

Nous avons fait de la massification avec des appels d'offres dès mon arrivée et négocié des accords-cadres. Nous avons capé l'augmentation à 3% et cela nous préserve de la hausse des tarifs. S'appuyer sur les TJM [taux journaliers moyens, NDLR], qui restent le principal moyen d'avoir un prestataire de bon niveau, est une idée que j'ai toujours à l'esprit. De mon point de vue, payer plus cher un bon prestataire avec lequel on entretient de bonnes relations est un pari gagnant, plutôt que de recourir à un mauvais prestataire que l'on paierait 20 ou 50% de moins. L'état du marché dicte évidemment aussi les règles en la matière. Pour être transparents, nous avons dû accepter un peu d'inflation sur la sauvegarde, car les motifs étaient justifiés.

Qui dit sauvegarde, dit sécurité : quelle est votre stratégie en la matière ?

La sécurité est un sujet majeur évidemment. Au quotidien, nous travaillons sur trois sujets concomitants. Le premier est le plan de défense des SI avec la mise en place d'un EDR [endpoint detection response, NDLR] ou d'un XDR [Extended Detection and Response, NDLR], le durcissement des sauvegardes et un SOC externalisé auprès d'Orange. L'objectif est de verrouiller au maximum, sachant qu'aujourd'hui, la grande difficulté pour moi est de disposer de solutions cohérentes. Le deuxième sujet est la formation des collaborateurs. Le RSSI a organisé un webinaire à l'attention de l'ensemble des employés de la Cipav pour leur donner des exemples très concrets des risques auxquels nous sommes confrontés avec notre SI. Cette formation permettait à la fois de leur expliquer l'intérêt des mesures de sécurité que nous mettons en place, comme le verrouillage des port USB, par exemple, et de leur transmettre quelques bonnes pratiques.

Nous avons également mis en place la possibilité de recourir à un agent conversationnel dans Teams qui propose des petites séquences de formation de 3 à 4 minutes pour expliquer ce qu'est le phishing, pourquoi il faut renforcer son mot de passe, comment il faut gérer son compte LinkedIn, etc. Cela nous parait essentiel. À date, 1 800 cours ont été dispensés soit en moyenne 10 cours par personne. Nous réalisons aussi des tests de phishing pour lesquels le RSSI a imaginé 5 scénarios aléatoires qui permettent aux collaborateurs d'affûter leurs réflexes en matière de sécurité. Les résultats de ces tests sont de plus en plus concluants puisque les collaborateurs se font de moins en moins piéger.

Peut-on tout demander à l'utilisateur ou avez-vous mis en place des protections supplémentaires comme l'authentification multifacteurs ?

C'est un sujet en réflexion. Nous avons mené un test de double authentification sur le périmètre de la DSI. Ce test s'est avéré laborieux, avec les collaborateurs qui travaillent à distance comme avec ceux présents dans nos locaux. Pour l'instant, nous n'avons donc pas poursuivi son déploiement.

Et le troisième sujet de sécurité ?

Le troisième volet réside évidemment dans notre capacité à réagir. Nous avons imaginé un scénario dans lequel la Cipav et l'un de ses partenaires sont attaqués pour déterminer le meilleur plan à mettre en place pour garantir la sécurité des données de nos assurés. Si notre principale préoccupation est le versement de la retraite de nos assurés à la fin de chaque mois, nous mettons aussi tout en oeuvre pour que la Cipav soit protégée en cas de cyberattaque. Nous sommes membres d'un club de DSI des régimes spéciaux et nous avons récemment participé au lancement d'un club de RSSI. Par ailleurs, nous participons aux réunions sécurité du GIP Union des retraites. Nous sommes donc armés pour réagir, même si le risque de passer à côté d'une alerte ou d'une faille nous préoccupe. C'est la raison pour laquelle nous travaillons aussi avec des partenaires comme le SOC d'Orange qui nous remontent des informations.

Pour revenir sur la partie cloud, on voit le développement des solutions de cloud de confiance : est-ce une orientation pour vous à l'avenir ?

Dès lors que l'on aura sécurisé la conformité RGPD et que les aspects économiques seront au rendez-vous, je ne vois pas de raisons d'y renoncer. C'est un sujet porteur d'économie et de qualité. Cela aurait du sens puisque nous arrivons à absorber de plus en plus de dossiers (+30%). Par ailleurs, après des investissements importants, il faut que nous tenions compte de la baisse de notre budget IT qui passera en dessous des 10 millions d'euros l'année prochaine.

Avec cette baisse de budget, quid de l'innovation ?

Nous sommes très attentifs à ne pas faire de l'informatique paillette qui consisterait à ne mettre en avant que de l'ITIL pour nos assurés. Aujourd'hui, il y a un sujet d'innovation qui nous intéresse, c'est l'IA. Nous y travaillons avec deux axes prioritaires : le développeur augmenté et l'assistance auprès des gestionnaires, en contact avec les assurés.

Dans ce cadrage, quels sont les choix en termes de modèle, de sécurité ?

Nous privilégions l'intelligence artificielle en circuit fermé sur notre base documentaire. La base n'est pas nominative ce qui limite les difficultés liées au RGPD. En la matière, je préfère la politique des petits pas pour ne pas embrasser trop de problèmes en même temps.

En termes de recrutement, prévoyez-vous des embauches ?

Nous recrutons peu. Sur nos activités de développement, nous avons tout externalisé. Notre DSI garde la main sur le savoir-faire fonctionnel avec des techlead qui maîtrisent les applications. Nous avons choisi de sous-traiter le développement. En revanche, nous recrutons pour remplacer les départs. Nous avons notamment recours à la cooptation et nous ne transigeons pas sur les profils que nous recrutons : nous attendons d'eux qu'ils soient parfaitement à jour technologiquement, qu'ils sachent se servir de Java 17 ou 21, pour le portail notamment. En matière informatique, l'environnement de la protection sociale est aussi très attractif pour les candidats. Enfin, l'esprit Cipav est très porteur : la communication et les arbitrages en interne sont rapides et faciles.