Depuis longtemps, la DGFiP a mis en place une culture de sécurité by design et du zéro défaut. Plus récemment, elle a intégré le respect RGPD dans ses processus avec la même rigueur. Les derniers projets mettent à profit l’IA ou encore les API. Dans ce contexte, l’administration ouvre plus largement ses portes à des ressources externes. Reste un défi de taille déjà lancé : effacer la dette technique.

Entretien avec Bruno Rousselet, chef de service des systèmes d’information à la Direction générale des finances publiques 

Best Of 2021 : du 27 juillet au 31 août, IT for Business met un coup de projecteur sur certains des articles publiés depuis le début de l’année et qui ont connu une forte audience…
Cet article a été publié à l’origine le 2 février 2021.

Quelle est le périmètre couvert par le système d’information de la DGFiP ? Comment la DSI estelle organisée ?

Le système d’information de la direction générale des finances publiques, c’est plus des trois-quarts de l’informatique du ministère de l’Économie, des finances et de la relance, soit plus de 700 applications.

Son histoire est ancienne puisqu’elle remonte à la mécanographie, et il est donc, avec le temps, devenu très couvrant : rares sont les processus non informatisés, et le système est largement décloisonné, en particulier autour de référentiels.

De ce fait, la plus grande masse de notre activité de développement est constituée de maintenances, parfois très profondes et complexes – le prélèvement à la source ! – souvent sur des rythmes annuels, pour la mise en œuvre d’évolutions réglementaires.

En termes d’organisation, la DGFiP se structure entre des équipes d’administration centrale, essentiellement consacrées au développement (maîtrise d’ouvrage et maîtrise d’œuvre) et au pilotage de l’exploitation, et des services sur le territoire, animés par sept directions territoriales, qui assurent des fonctions d’exploitation système, d’exploitation applicative, de pré-production, d’éditique, d’assistance à distance et locale…

Au total, environ 5 000 agents, pour l’essentiel des fonctionnaires – c’est près du tiers des informaticiens d’État.

Il s’agit d’ailleurs d’une spécificité de la DGFiP, et d’un choix ancien, visant à assurer nos missions dans la continuité, avec une connaissance profonde des processus métiers par ceux qui gèrent leur informatique.
Bien entendu, nous combinons ce choix avec un recours très important aux ESN, mais toujours avec un soin jaloux de conserver la maîtrise de ce qui est développé pour nous.

Par définition, l’absence de bogues est un impératif pour vos applications. Comment, surtout quand l’époque pousse à l’agilité et à l’ouverture des SI, prenez-vous en charge cette contrainte ?

Nous sommes au service du citoyen, et nos coûts sont supportés par le contribuable. Nous leur devons, autant que c’est possible, le zéro défaut au moindre coût.

Cette qualité n’est pas vécue comme un ralentisseur pour les développeurs, qui situent leur travail dans une chaîne de tests très approfondie, jusqu’à des tests systématiques de performance. Pour les productions allant jusqu’à l’usager, nous réalisons même des sondages de vérification tout en bout de chaîne : les plis de 100 millions d’avis d’impôt doivent tous être exacts, pas un seul ne doit être perdu, mal imprimé… Dans cet esprit, la culture du zéro défaut fait intrinsèquement partie de notre fonctionnement.

Il faut souligner que, comme notre SI est structuré autour de référentiels et d’une urbanisation très serrée, cela implique des phases d’intégration très poussées. Mais nous devons tout autant être agiles : depuis le printemps dernier, le développement des formulaires d’accès au fonds de solidarité, qui changent et se complexifient pratiquement chaque mois, en est un bon exemple. Là aussi, pas de droit à l’erreur…

Nous développons également progressivement une culture DevOps : par exemple, la rénovation récente du Bulletin officiel des finances publiques a été menée en Scrum-DevOps sur notre cloud.

En outre, la loi Lemaire de 2016 vous impose de publier les algorithmes à la base des calculs fiscaux et les codes sources. Cela soulève-t-il des problèmes de sécurité particuliers ?

Même s’il faut être humble dans cette matière, nous tâchons de penser la sécurité « by design ». Par exemple, aucun flux sur un serveur en production n’est ouvert par défaut. Ceci entraîne les contraintes de rigueur qu’on peut imaginer, et d’éventuels petits désagréments transitoires à la mise en production… Un prix à payer plutôt modique pour la garantie que cela offre.

Et nous avons des équipes dédiées à la sécurité, à la fois un SOC qui monte en puissance et des équipes aguerries pour éprouver nos systèmes. S’agissant de la publicité des codes sources, même si le défi culturel n’est pas mince, nous publions le code source des principaux algorithmes de calcul d’impôt (impôt sur le revenu, taxe d’habitation, taxes foncières, bientôt impôt sur les sociétés).

La loi Lemaire prévoit que cette publication peut être restreinte pour des raisons de sécurité, et c’est pour cette raison que, lorsque le moteur de calcul est exposé sur internet (c’est le cas pour l’impôt sur le revenu), nous publions un pseudo-code décrivant en détail la logique du calcul.

Comment conciliez-vous l’utilisation des données que vous gérez et la réglementation, en particulier le RGPD ? Plus globalement, comment prévoyez-vous d’utiliser ces données ?

Nous étions, dans la réglementation antérieure, un des plus grands « clients » de la CNIL, et donc le RGPD ne nous a pas pris au dépourvu.
Concrètement, une équipe dédiée à la question et intégrée dans les équipes informatiques assiste à la naissance des projets, et peut ainsi poser les bonnes questions : quelles données pour quels usages ?
Ensuite, des points d’étape permettent de ne pas négliger des aspects si faciles à oublier : durées de conservation, traçabilités d’accès, purges…

Cette démarche sera plus importante encore avec l’ouverture prochaine de notre lac de données, dédié à la valorisation de notre très important patrimoine de données. La multiplication des API permettant d’accéder à ces données, dans le strict respect de règles de dérogation au secret fiscal, sera un facteur majeur de simplification des démarches des usagers intégrant le quotient familial, le revenu fiscal de référence… si l’écosystème des partenaires s’en empare.

Nous créons d’ailleurs, au sein de la DGFiP, une délégation à la transformation numérique, qui doit permettre une accélération de ces changements.

À part cette utilisation, utilisez-vous l’IA, et plus largement les technologies innovantes et pour quels usages ?

Les technologies de data mining sont utilisées depuis plusieurs années en matière de recherche de la fraude, et nous avons diversifié ces usages, par exemple en termes de détection des difficultés des entreprises.
Nous développons par ailleurs un cas d’usage avec du deep learning en matière d’assistance de nos agents dans la réponse aux questions fiscales des usagers.
Et nous lançons un projet important d’utilisation des données de photos aériennes pour relever des incohérences avec les constructions connues dans nos fichiers, ceci afin de parfaire les bases fiscales.

Des expériences variées, donc, tout comme l’intensification de l’usage du cloud. Comme vous le savez, nous avons été chargés de la construction d’une des instances du cloud d’État de cercle 1, selon la doctrine fixée par la Dinum. De nombreux projets, de la DGFiP comme d’autres administrations, y sont hébergés, en développement ou en production, avec exposition sur le RIE (réseau interministériel de l’État) ou sur internet, et nous souhaitons intensifier ces usages, ce qui suppose beaucoup d’accompagnement des équipes projets : ce sera un autre des chantiers prioritaires confiés à notre délégation à la transformation numérique.

La DGFiP est connue pour être une grande utilisatrice de l’open source. Où en êtes-vous aujourd’hui ?

Nous bénéficions sur ce point des options, à l’époque novatrices et courageuses, prises par certains de mes prédécesseurs, et effectivement de nombreuses briques de notre système d’information reposent sur des logiciels libres. Nous sommes guidés dans cette démarche par l’équation classique de maîtrise des coûts et de recherche de l’indépendance technologique.

Les contributions réalisées à notre demande, dans le cadre des marchés interministériels de support, dont nous assurons désormais la gestion pour compte commun, ont bien sûr vocation à être reversées. Je peux vous citer quelques réalisations importantes : la mise au point du cœur de la MCE (messagerie collaborative de l’État) qui est en cours de généralisation pour nos 100 000 utilisateurs, le déploiement de Samba4 comme contrôleur de domaine Active Directory pour l’ensemble de nos postes de travail, ou encore un usage très important de PostgreSQL pour environ la moitié de nos bases de données.

Et cette politique en faveur du logiciel libre concerne tous nos agents, puisque nous avons généralisé l’usage de LibreOffice sur les postes de travail.

Le cas de Samba4 est éclairant sur les méthodes que nous pouvons utiliser dans ce domaine : les fonctionnalités développées par une équipe de « core developers » en matière de passage à l’échelle et de sécurité, et financées sur fonds publics, ont vocation à être intégrées dans les versions courantes pour servir à la communauté.

En profitez-vous pour effacer la dette technique ?

C’est un sujet de particulière attention pour nous. Compte tenu de nos moyens budgétaires et de l’intensité des besoins en matière de développement de fonctionnalités nouvelles au cours des dernières années, nous avions laissé s’accumuler une dette technique importante, qui pouvait fragiliser Bull GCOS7, pourtant au cœur de nombre des grandes applications de la fiscalité, la modernisation de nos salles d’hébergement, mais aussi une kyrielle de chantiers techniques plus modestes d’upgrades de systèmes d’exploitation et d’intergiciels (middlewares), de convergences d’ordonnanceurs de production…
La concurrence avec les besoins fonctionnels reste rude dans nos processus d’arbitrages, mais nous progressons vite et bien dans ces chantiers techniques.

En juillet dernier, un rapport de la Cour des comptes a pointé certaines dérives des grands projets IT de l’État. Parmi ses préconisations, la Dinum devrait intervenir pour superviser les plus importants. Comment travaillez-vous avec elle et est-ce que ce mode de fonctionnement va changer ?

La taille moyenne de nos projets fait que, le plus souvent, ils sont d’ores et déjà suivis de près par la Dinum. Nous avons donc des relations très régulières et de confiance.

Compte tenu de son importance stratégique, de sa complexité et des délais impératifs qui lui étaient fixés, le projet de prélèvement à la source a ainsi été l’objet d’une attention particulière, et je crois qu’on peut dire que le succès est au rendez-vous.

Plus récemment, la maîtrise d’œuvre du projet de portail commun du recouvrement a été confiée à la DGFiP, après avis de la Dinum : ce projet est, pour sa partie de pur portail, développé en Agile-DevOps sur notre cloud, avec une participation de coaching de la Dinum. Je ne doute donc pas que nous travaillerons également de concert dans d’autres occasions à venir.

Toutes ces évolutions supposent des compétences assez nouvelles. Comment faites-vous pour recruter des « talents » ?

Fort heureusement, nous comptons déjà dans nos équipes quelques « pointures » reconnues, spécialisées dans la sécurité, le cloud ou encore la messagerie. Depuis plusieurs années, nous accueillons en permanence quelques dizaines d’étudiants en alternance, soit universitaires soit d’écoles d’ingénieurs, ce qui est très enrichissant pour eux comme pour nous, et peut susciter des vocations à nous rejoindre.

L’accélération de la transformation numérique que nous lançons va reposer sur un très fort développement de nos compétences, par un recours accru à des contractuels, et ceci n’est pas un affaiblissement, mais un enrichissement du modèle qui est celui de la DGFiP dont je vous parlais tout à l’heure.

Nous sommes en train de travailler notre visibilité de recruteur, comme le font d’autres administrations. Des projets techniquement stimulants, souvent à forte visibilité publique, dans un environnement professionnel très organisé : nous avons beaucoup à offrir, et nous attendons beaucoup ! Au vu des retours que j’en ai, cette démarche est bien reçue. Qui sait, peut-être, certains de vos lecteurs…


Propos recueillis par Patrick Brébion
Photos de Mélanie Robin

PARCOURS DE BRUNO ROUSSELET

Depuis 2008 : DGFiP, Chef du service des SI Chef du service de la gestion fiscale Sous-directeur des particuliers 
  1997-2008 : DGI, Sous-directeur (IR, affaires foncières...) Chef de bureau (IR...) 
  1994-1997 : Ambassade de France à Moscou, Attaché financier 
  1990-1994 : DGI, Chef de bureau (informatique foncière...)

FORMATION

  1988-1990 : ENA 
  1985-1987 : Sciences Po 
  1982-1986 : ENS Mathématiques