Philippe Catirane, EVAM: «L’IT doit être au service du métier, et non l’inverse»

Philippe Catirane, Directeur informatique de l’Établissement vaudois d’accueil des migrants (EVAM).

Philippe Catirane, Directeur informatique de l’Établissement vaudois d’accueil des migrants (EVAM).

Pour commencer, pouvez-vous présenter l’EVAM et le rôle qu’y joue l’informatique?

L’EVAM, l’Établissement vaudois d’accueil des migrants, est une institution parapublique chargée d’accompagner les requérants d’asile et les personnes admises à titre provisoire dans le canton de Vaud. L’institution a connu une forte croissance ces dernières années, passant d’environ 477 collaborateurs à plus de 1200 aujourd’hui, notamment en lien avec l’arrivée de nouveaux flux migratoires. Notre mission repose sur trois axes principaux: l’accompagnement financier, la gestion de l’hébergement et l’intégration. L’IT est au cœur de ces activités. Elle soutient une grande diversité de métiers, avec des besoins applicatifs très variés: gestion des aides financières, suivi du parc immobilier, outils liés à la formation et à l’intégration.

Quelle est la taille et l’organisation de votre département IT?

Nous sommes une équipe de 29 personnes, organisée en trois pôles: un pôle chefferie de projets qui m’est directement rattaché, un pôle infrastructure couvrant l’ensemble de la chaîne de support, du niveau 1 (support utilisateur) au niveau 3 (expertise et ingénierie) et enfin un pôle développement, avec des profils .NET, PHP et Business Intelligence. C’est une équipe relativement restreinte au regard des enjeux. Nous devons gérer un nombre important d’applications, souvent spécifiques, tout en maintenant un niveau de service élevé.

Quelles sont les spécificités de votre système d’information?

Elles sont nombreuses. Sur la partie hébergement, nous gérons notamment des foyers collectifs et des appartements loués auprès de particuliers ou d’entreprises. Cela implique des outils pour piloter un parc immobilier complexe. Ces modèles répondent à des logiques différentes, à la fois en termes de coûts et de conditions de vie pour les bénéficiaires. Les foyers permettent par exemple une densité plus élevée, mais impliquent des coûts de fonctionnement importants, tandis que les appartements offrent souvent de meilleures conditions, notamment pour les familles. Cette complexité se reflète directement dans le système d’information, qui doit permettre de suivre les affectations, les coûts, mais aussi les parcours des bénéficiaires dans ces différents dispositifs. Nous disposons d’applications développées en interne pour gérer ces aspects, mais certaines sont aujourd’hui en fin de vie. L’une d’elles, stratégique, ne répond plus aux besoins et repose sur des technologies obsolètes. Sa réécriture est en cours de réflexion. De manière générale, notre SI s’est construit par accumulation au fil des années, avec beaucoup de développements spécifiques dont la maintenance devient aujourd’hui trop chronophage.

Vous êtes arrivé il y a environ cinq ans. Quelles priorités avez-vous définies pour faire évoluer le système d’information?

À mon arrivée, l’une des priorités a été de redonner une dynamique à des projets stratégiques. Par exemple, le projet Basyl, notre outil central pour le suivi des bénéficiaires, avait été lancé auparavant, mais sans cadre ni échéancier clairement définis, ce qui avait freiné sa progression. Nous avons donc choisi de concentrer les efforts de l’équipe de développement sur ce chantier, avec un engagement fort et des arbitrages assumés. Plus largement, j’ai souhaité structurer davantage le système d’information. Celui-ci s’était construit progressivement, au fil des besoins, sans toujours s’inscrire dans une vision globale clairement partagée. Nous avons donc travaillé à définir des priorités communes, en concertation avec la direction et les métiers, afin de mieux aligner les projets avec les besoins du terrain et de donner plus de clarté sur les objectifs du SI. L’IT doit être au service du métier, et non l’inverse. Cela peut paraître évident, mais ce n’était pas toujours le cas. Il fallait rétablir cette relation.

Quels résultats avez-vous obtenus avec cette approche?

Nous avons élaboré un schéma directeur sur quatre ans, couvrant l’ensemble des besoins identifiés. À ce jour, environ 90 % des objectifs ont été atteints, voire dépassés. Cette démarche a également permis de mieux structurer la prise de décision autour des projets, avec une priorisation plus claire et partagée avec la direction. Cela facilite l’arbitrage entre les initiatives et renforce l’adhésion des différents acteurs.

Parmi les projets en cours, quels sont ceux que vous jugez les plus stratégiques aujourd’hui?

Notre projet IAM (Identity and Access Management) est particulièrement critique. La croissance rapide de l’EVAM et les réorganisations successives ont entraîné une dilution des droits d’accès, avec des rôles parfois mal définis ou utilisés de manière inadéquate. À terme, cela posait des enjeux importants en matière de sécurité et de gouvernance des accès. Le projet vise donc non seulement à mettre en place un nouvel outil, mais aussi à revoir en profondeur les modèles de rôles et les processus associés, en collaboration étroite avec les ressources humaines. Nous avons retenu une solution du marché, intégrée par un partenaire local. Notre projet SIRH s’inscrit dans une même logique. Nous avons choisi une solution externe capable de couvrir l’ensemble de nos besoins, avec un intégrateur également local. Nous privilégions désormais les solutions du marché, dès lors qu’elles couvrent environ 80% des besoins. Le reste peut être adapté, soit par des développements complémentaires, soit par une évolution des processus métier. Le développement interne de solutions stratégiques est devenu trop risqué: c’est long, coûteux et conditionné par la disponibilité des ressources. Or, dans un marché de l’emploi tendu, il est difficile de garantir la pérennité des compétences.

Comment faites-vous face aux enjeux de recrutement dans votre département IT?

Le recrutement est un défi, comme partout dans l’IT, mais encore davantage dans une structure parapublique. Les salaires sont moins attractifs que dans le privé. En revanche, nous avons un atout majeur: le sens de la mission. Nous travaillons pour des personnes en situation de vulnérabilité, ce qui donne une dimension humaine forte à notre activité. Cela attire certains profils et favorise l’engagement. Nous devons également anticiper les départs à la retraite. Une partie de nos collaborateurs arrivera en fin de carrière dans les prochaines années. Cela nécessite une planification à long terme.

Sur un plan plus technique, comment se structure aujourd’hui votre infrastructure?

Nous avons renouvelé notre infrastructure il y a deux ans, avec des résultats satisfaisants. Nous disposons de deux sites d’hébergement en Suisse, permettant d’assurer la continuité d’activité. Nous avons fait le choix de garder la maîtrise de nos serveurs, tout en externalisant certains aspects, notamment via des contrats de support. Cela nous permet de combiner autonomie et expertise. Sur le réseau, nous sommes encore partiellement dépendants de l’infrastructure cantonale, mais nous envisageons de reprendre le contrôle à terme.

Et le cloud?

Nous restons prudents. Après un engouement initial, les coûts ont fortement augmenté, ce qui remet en question certains modèles économiques. Nous privilégions aujourd’hui une approche hybride. Nos applications stratégiques restent on-premise, tandis que certaines solutions collaboratives sont dans le cloud. Le cadre légal évolue également. Des avis récents montrent que le cloud n’est pas incompatible avec des données sensibles, à condition de prendre les précautions nécessaires. Mais cela nécessite une réflexion approfondie et une coordination avec les autorités.

Menez-vous des projets autour de l’intelligence artificielle? Si oui, quels enseignements en tirez-vous?

L’IA est un sujet clé, mais il faut l’aborder avec pragmatisme. Beaucoup de projets échouent parce que les besoins sont mal définis. Nous avons choisi de commencer par des cas d’usage simples. Par exemple, l’un de nos projets dans ce domaine vise à simplifier des documents administratifs pour les rendre accessibles aux bénéficiaires. Cette solution, relativement modeste techniquement, a permis de réduire plusieurs centaines d’heures de travail. C’est un excellent retour sur investissement. Cela montre qu’il est préférable de commencer petit, de comprendre les technologies et d’en maîtriser les enjeux, avant d’aller vers des projets plus ambitieux.

Comment gérez-vous les risques liés à l’IA, notamment le ­«shadow AI»?

C’est un vrai défi. Certains collaborateurs utilisent des outils d’IA sans toujours mesurer les risques, notamment en matière de données sensibles. Nous avons défini une charte, mais cela ne suffit pas. Nous privilégions une approche basée sur la sensibilisation et la formation plutôt que sur la contrainte. Bloquer les accès serait contre-productif. Il faut accompagner les usages, expliquer les risques et instaurer une culture de responsabilité.

J’imagine que la cybersécurité est également un enjeu majeur?

Oui, et elle concerne tout le monde. Nous avons mis en place plusieurs dispositifs: EDR, SIEM, SOC. Cela nous permet d’avoir une vision globale des menaces et de réagir rapidement. Nous avons également mené des actions de sensibilisation, notamment des simulations de phishing. Mais la formation reste un défi: les collaborateurs se sentent parfois dépassés. Ce sentiment peut freiner l’adhésion à des formats perçus comme longs ou difficiles à assimiler. Nous privilégions donc des approches itératives, avec des rappels réguliers et des actions concrètes, par exemple via des communications internes ciblées. L’objectif est d’ancrer progressivement les bons réflexes, car la sécurité repose aussi sur des gestes simples du quotidien.

Avez-vous été confrontés à des attaques?

Nous avons été relativement épargnés jusqu’à présent, notamment grâce à une exposition limitée. Mais cela ne doit pas nous conduire à relâcher nos efforts.

Sur quels axes souhaitez-vous particulièrement faire évoluer votre IT dans les prochaines années?

Ils sont multiples. Nous devons poursuivre la transformation numérique, réduire la dette technique, maîtriser les coûts et renforcer la sécurité. La question de la souveraineté numérique va également devenir centrale, tout comme celle des alternatives européennes aux grands fournisseurs. Enfin, il y a des enjeux liés au numérique responsable. Nous avons obtenu un premier niveau de certification et souhaitons aller plus loin. Il est possible d’innover tout en limitant l’impact environnemental et en respectant des principes éthiques.

Un dernier mot?

Aujourd’hui, il est essentiel de disposer d’une vision claire et d’établir une stratégie structurée et structurante. On ne peut plus être uniquement dans la réaction: il faut être proactif, anticiper les évolutions technologiques et les attentes métier afin de conserver un certain contrôle sur son environnement, notamment financier, et rassurer ainsi l’ensemble des acteurs.

L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!