Comment la Cnaf s’est débarrassée de ses mainframes

Après deux ans de travaux, la Caisse nationale des allocations familiales a basculé son système d’information porté par des grands systèmes IBM et Bull vers un environnement Open Source. Avec une réduction des coûts et un gain de performances à la clé.

Le 20 mai dernier, avec dix jours d’avance sur le calendrier, l’infrastructure informatique de la Caisse nationale des allocations familiales (Cnaf) a quitté le monde du mainframe pour celui d’un environnement Open Source à base de serveurs Linux et de bases de données PostgreSQL.

Un chantier géant de deux ans évalué à 10 000 jours-homme côté prestataires pour un budget de 22 millions d’euros. Ce projet de transformation est présenté comme « la plus grande migration mainframe réalisée au monde », puisqu’elle porte sur une volumétrie de 55 000 MIPS (millions d’instructions par seconde). Le précédent record homologué par Gartner portait sur ‘seulement’ 25 000 MIPS.

En modernisant son système d’information, la Cnaf répond en grande partie aux critiques de la Cour des comptes. Dans un rapport datant de 2012 (ici en PDF), cette dernière pointait du doigt « une gouvernance inefficiente associée à une stratégie incertaine, une trop grande dispersion des structures et des moyens et, en conséquence, des retards préoccupants de modernisation des systèmes d’information ».

Les conseillers de la rue Cambon soulignaient, par ailleurs, que la coexistence de deux filières de production – avec trois mainframes IBM z/OS et un mainframe Bull GCOS8 – était « une source supplémentaire de complication ».

Portage de 13,5 millions lignes de codes

Fini cette incongruité, le SI de la Cnaf repose aujourd’hui sur une filière unique à base de serveurs x86 Bullion embarquant 160 cœurs. Des serveurs hébergés sur deux sites : Sophia Antipolis et, en back-up, Valenciennes. Tout l’enjeu consistait à migrer quelque 13,5 millions lignes de codes d’un monde à l’autre, à iso-fonctionnalités, en assurant la continuité de service des applications métiers comme Cristal et SDP, qui gèrent les prestations et les dossiers des allocataires.

Il s’agissait aussi de garantir l’intégrité de données particulièrement sensibles. Branche famille de la Sécurité Sociale, la Cnaf gère des données relatives à la vie de millions de Français qu’ils soient bénéficiaires des ‘allocs’, de l’aide au logement ou de la récente prime d’activité qui remplace le RSA et la prime pour l’emploi.

Accenture mène l’industrialisation des tests

Pour relever ce défi, c’est le tandem Bull/Accenture qui a été retenu en 2014 suite à un appel d’offres, face à des consortiums emmenés par IBM, HP et EMC. Bull – devenu Atos suite à son rachat – a développé ses propres outils de portage du code via ses équipes de R&D basées aux Clayes-sous-Bois (78), Grenoble et Phoenix (Etats-Unis). Ce qui a donné naissance à la suite logicielle Liber avec notamment Liber TP, moniteur transactionnel full Java, et Liber Batch qui met en place un environnement batch de type mainframe sous Linux.

L’intégration a, elle, était assurée par les équipes d’Accenture. Pour l’industrialisation des tests, la société de services s’est appuyée sur son centre dédié de Nantes. Cinq caisses pilotes ont participé aux tests et à la validation. A savoir, les CAF de Haute Garonne, du Finistère, des Bouches du Rhône, de l’Aude et des Pyrénées. Depuis la mise en production du 20 mai, c’est l’ensemble des 120 CAF qui accède à la plateforme depuis un environnement virtualisé, signé VMWare.

20 millions d’euros d’économie

Quels sont les gains de cette modernisation du SI ? Directrice générale déléguée à la DSI de la Cnaf, Annie Prévot estime avoir « gagné jusqu’à 30 % de performance sur le déroulement des batchs ». Autre avantage à ses yeux : la scabilité de l’architecture. Il suffira de rajouter des racks dans les armoires pour absorber la croissance annuelle de 15 à 20 % de l’activité de la Cnaf.

De gauche à droite : Christian Nibourel (Accenture), Annie Prévot (DSI de la Cnaf), Daniel Lenoir (DG de la Cnaf), Pierre Barnabé (Atos).
De gauche à droite : Christian Nibourel (Accenture), Annie Prévot (DSI de la Cnaf), Daniel Lenoir (DG de la Cnaf), Pierre Barnabé (Atos).

A titre d’exemple, la prime d’activité a enregistré, depuis son lancement au 1er janvier, 1,5 million de nouveaux allocataires. Actuellement, l’infrastructure est en mesure de délivrer chaque jour plus de 120 millions de transactions et 3 milliards de requêtes SQL.

Par ailleurs – et ce n’est pas le moindre atout – la modernisation du SI conduira à une économie de 20 millions d’euros en année pleine. Soit un retour d’investissement en un peu plus d’un an. Enfin, la Cnaf réduira son empreinte carbone, un critère qui n’était pas spécifié dans l’appel d’offres. La consommation d’énergie de la nouvelle infrastructure a été divisée par près de trois passant d’une puissance électrique de 66 Kilovoltampère à 23 Kva.

Un projet qui pourrait donner des idées à d’autres organisations. La DSI de la Cnaf indique avoir reçu des délégations de Pôle emploi et l’Agirc-Arrco (retraite complémentaire), qui souhaitent conduire ce type de transformation.

L’option Cloud par opportunisme

Les programmes étant toujours écrits en Cobol, Annie Prévot entend poursuivre la transition vers un SI agile en multipliant les API. Côté front office, elle souhaite aussi rendre les services en ligne « plus ergonomiques et intuitifs » à l’image du simulateur de la prime d’activité.

Prise de cours par cette annonce surprise du gouvernement, la Cnaf avait 5 mois pour mettre en place ce simulateur qui calcule les droits des nouveaux allocataires sans connaître à l’avance le trafic généré. Elle a donc eu recours à un prestataire Cloud, en l’occurrence Oracle et ses solutions SaaS et PaaS (Java Cloud Service, Database Cloud Service, OPA Cloud Service)
A l’avenir, l’option Cloud restera limitée en raison des risques liés aux données, même si la Cnaf pourrait retenir une solution de gestion des RH en mode SaaS ainsi qu’Office 365, la suite bureautique en ligne de Microsoft.

Un Cloud privé pour toute la Sécu ?

En revanche, la Cnaf devrait mutualiser son infrastructure avec celles des autres branches de la sécurité sociale pour former une sorte de Cloud privé comme le souhaite la Dinsic, la DSI de l’Etat. En parallèle, signalons que la Cnaf mène une politique active d’open data depuis environ un an.

Directeur général de la Cnaf, Daniel Lenoir entend également s’appuyer sur la nouvelle infrastructure pour « améliorer la qualité des données entrantes » et diminuer les cas de fraude aux allocations. Un autre point noir mis en avant par la Cour des comptes. Le nouveau SI permettra d’accélérer les échanges en temps réel avec les organismes publics comme la DGFIP ou Pôle emploi, afin d’accéder en direct aux revenus des allocataires.

A lire aussi :

IBM livre le Z13s, un mainframe taillé pour la sécurité

Lutte contre la fraude : « des solutions analytiques adoptées timidement en France », selon SAS