La Tribune Hebdomadaire

Pourquoi les banques cèdent aux sirènes du « cloud »

NUAGE Les établissem­ents français font appel aux géants de la tech afin de dématérial­iser leur informatiq­ue. Leur objectif : innover pour satisfaire leurs clients et réaliser des économies.

- JULIETTE RAYNAL

L’ espace de stockage de votre smartphone est saturé. Impossible de prendre une nouvelle photo, d’ajouter un autre titre à votre bibliothèq­ue de musique ou de télécharge­r une nouvelle applicatio­n. Deux options se présentent alors à vous : l’achat d’un nouveau téléphone dont la capacité de stockage est plus importante, ou le recours à un service comme iCloud d’Apple. Dans ce cas, vos photos ne sont plus stockées physiqueme­nt dans votre appareil, mais dans les nuages ou plus exactement, et dans cet exemple précis, dans un serveur d’un centre de données de l’entreprise californie­nne. Ces informatio­ns deviennent alors accessible­s à la demande et en temps réel via une simple connexion Internet. C’est ce qu’on appelle le cloud compu

ting, ou informatiq­ue dans les nuages en bon français. Cette technologi­e, que, nous particulie­rs, utilisons quotidienn­ement sans même nous en rendre compte, en consultant notre messagerie en ligne, en jouant à des jeux vidéo en réseau ou en visionnant un film en streaming, est également utilisée par les entreprise­s de tous les secteurs industriel­s, attirées par une informatiq­ue moins onéreuse et plus souple, y compris les banques. À l’horizon 2022, BNP Paribas, accompagné­e d’IBM et de Microsoft, entend basculer 80 % de son informatiq­ue dans les nuages. Même trajectoir­e pour la Société Générale, qui prévoit de migrer 80 % de son informatiq­ue d’ici à 2020, contre 65 % aujourd’hui. Les autres grands établissem­ents tricolores restent, eux, beaucoup plus discrets. Crédit Agricole, le groupe BPCE, La Banque Postale et le Crédit Mutuel n’ont pas répondu à nos sollicitat­ions. « Toutes les banques françaises ont engagé des réflexions sur le cloud », assure cependant Philippe Poirot, directeur de la stratégie et des offres du départemen­t industrie financière de Microsoft. « Nous travaillon­s avec chacune d’entre elles »,

poursuit-il.

UN USAGE EXCLUSIF

Cette tendance s’observe également en dehors de nos frontières. 97 % des banques ont entamé une réflexion sur leur stratégie cloud et 57 % d’entre elles ont dépassé le stade de l’expériment­ation, selon l’étude Cloud and Clear d’Accenture, menée auprès de 35 banques de détail dans le monde, dont la moitié se situe en Europe. Rassurez-vous. Selon les affirmatio­ns des deux grandes banques françaises interrogée­s, vos données bancaires ne se trouvent pas dans les centres de données d’un géant du Web américain, mais dans leurs propres centres de données dont elles ont l’usage exclusif. C’est ce qu’on appelle le cloud privé, en opposition au cloud public, qui lui est géré par un fournisseu­r spécialisé pour le compte de plusieurs entreprise­s.

En effet, derrière les objectifs ambitieux affichés par la Société Générale et BNP Paribas se cache une éternelle prudence. À la Soc Gen, seule une part minoritair­e de l’informatiq­ue sera effectivem­ent déléguée en 2020 à un fournisseu­r de cloud, comme Amazon ou Microsoft, ses partenaire­s. La banque privilégie le recours à un cloud privé géré par ses soins depuis ses propres data centers. « Les données des clients restent dans notre propre data center. L’appli Société Générale, par exemple, est hébergée dans notre cloud privé » , précise Carlos Gonçal

ves, directeur des infrastruc­tures informatiq­ues de la banque de La Défense. Même son de cloche chez BNP Paribas. « Nous ne mettrons pas de données sensibles et confidenti­elles des clients dans le cloud public. C’est un choix à la fois de sécurité et d’image »,

explique Bernard Gavgani, Global Chief Informatio­n Officer. Les banques prévoient donc de faire appel au cloud public pour des applicatio­ns moins critiques, comme leur messagerie interne, les outils de bureautiqu­e ou encore des applicatio­ns métiers, notamment pour effectuer des opérations nécessitan­t une importante puissance de calcul, à l’image des reportings réglementa­ires. Ces précaution­s collent à la circonspec­tion de l’Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, qui estimait, dans une note de 2013,

« Nous ne mettrons pas de données sensibles et confidenti­elles dans le “cloud” public. C’est un choix de sécurité et d’image »

BERNARD GAVGANI,

GLOBAL CHIEF INFORMATIO­N OFFICER DE BNP PARIBAS

que le cloud computing présentait des risques supérieurs à l’informatiq­ue classique pour les établissem­ents de crédit et les organismes d’assurance. L’Autorité bancaire européenne (EBA) exige d’ailleurs des banques qu’elles respectent un certain nombre de garde-fous et a émis une série de recommanda­tions en mars 2018. D’abord, les banques sont tenues à des obligation­s d’informatio­n. Elles doivent informer les autorités compétente­s des « activités significat­ives » qu’elles externalis­ent auprès d’un fournisseu­r de cloud et tenir un registre.

DONNÉES CHIFFRÉES

Ensuite trois grands principes relatifs à la sécurité des données, à la réversibil­ité et à l’auditabili­té du service de cloud doivent être respectés. Les banques doivent s’assurer que les données qui transitent dans le cloud public sont bien protégées. Toutes les données concernées doivent ainsi être chiffrées, c’est-à-dire rendues incompréhe­nsibles pour toute personne ne disposant pas de la clé de chiffremen­t, détenue uniquement par la banque. « Cela signifie que même si un pirate informatiq­ue parvenait à accéder aux données, il ne pour

rait pas les lire », explique Julien Maldonato, directeur industrie financière du cabinet Deloitte. Par ailleurs, en vertu du nouveau règlement européen relatif à la protection des données personnell­es (RGPD), si une personne malveillan­te parvenait à accéder à des données à caractère personnel, qu’elles soient dans le cloud ou non, l’établissem­ent bancaire doit le signaler à la Commission nationale de l’informatiq­ue et des libertés (Cnil). Ensuite, en cas de défaillanc­e du dispositif, les banques doivent être en capacité de faire tourner les services affectés dans leur propre infrastruc­ture ou chez un autre fournisseu­r de manière à en assurer la continuité. C’est ce qu’on appelle le principe de réversibil­ité. Enfin, elles doivent pouvoir auditer le data center du fournisseu­r choisi. « Une autre contrainte liée à la localisati­on des données sur le territoire devrait bientôt voir le jour », avance Carlos Gonçalves.

Outre ces questions de sécurité des données, le recours des banques au cloud public soulève des problémati­ques de souveraine­té. Aujourd’hui, tous les grands établissem­ents français se sont rapprochés de géants américains. Aucun ne travaille avec un acteur européen, encore moins français. Quelles conséquenc­es au regard du Cloud Act&? Adoptée en mars 2018 par l’administra­tion Trump, cette législatio­n confère aux autorités américaine­s le droit d’exiger des entreprise­s américaine­s le transfert de données vers les

États-Unis lorsque celles-ci sont stockées à l’étranger. « La plupart des fournisseu­rs de

cloud sont étrangers et, globalemen­t, il faut rester vigilant quant à une éventuelle dépendance à une solution », reconnaît Bernard Gavgani. Julien Maldonato regrette qu’un acteur français, comme le lillois

OVH, ne soit pas sollicité : « Les banques sont des sociétés de gestion de flux d’informatio­ns beaucoup plus interconne­ctées que les entreprise­s d’autres industries. Elles sont naturellem­ent prêtes pour un cloud commun. Ce serait intéressan­t d’avoir un acteur du cloud national dont la taille, poussée par le besoin des banques, deviendrai­t critique », estime-t-il. UN ÉNORME RETARD

Une telle configurat­ion pourrait alors accélérer leur usage du cloud public. « Les banques françaises accumulent un énorme retard par rapport aux banques américaine­s, qui toutes, ou presque, utilisent des solutions de cloud public, comme l’éditeur de logiciels Salesforce, pour la gestion de leur relation client, indique

Julien Maldonato. Mais elles savent que le recours au cloud public est inéluctabl­e. C’est le sens de l’histoire informatiq­ue.» Cette réticence à adopter le

cloud public trouve sa source dans le modèle économique même des banques. « Leur métier consiste à collecter de l’épargne pour faire du crédit. La confiance des clients à leur égard est donc fondamenta­le », explique Philippe Poirot. Or, recourir à un fournisseu­r de

cloud implique d’externalis­er la gestion des flux d’informatio­ns, par nature sensibles dans ce secteur. D’où la défiance des banques, qui se sont construite­s comme de véritables sociétés informatiq­ues, vis-à-vis de cette technologi­e.

Malgré ces craintes, les choses sont en train de changer. « L’évolution technologi­que est tellement rapide qu’il est important pour une banque de s’adosser à des fournisseu­rs de cloud pour ne pas se sentir dépassée » ,

admet Bernard Gavgani. « Il y a aujourd’hui un sentiment d’urgence, poussé par une nouvelle concurrenc­e qui oblige les banques à innover toujours plus vite », observe Julien Maldo

nato. « Les fintechs [startups de

la finance, ndlr] ont imposé de nouveaux niveaux de services. Désormais, il faut être en mesure de proposer, en premier, un service innovant aux clients. Cette agilité est vitale. C’est un élément différenci­ant qui nous permet d’enrichir et de conserver notre relation avec nos clients », confirme Carlos Gonçalves. Or, pour gagner en agilité, le cloud est indispensa­ble. Il permettrai­t de diviser les temps de développem­ent de nouveaux services par trois ou quatre, selon Philippe Poirot, de Microsoft.

Les néo-banques, comme l’allemande N26 ou sa concurrent­e britanniqu­e Revolut, se sont tout de suite emparées de cette opportunit­é. Leur informatiq­ue entièremen­t dématérial­isée leur permet d’effectuer des mises à jour à un rythme très soutenu. Même approche pour l’appli bancaire française Xaalys dédiée aux adolescent­s, qui s’appuie sur le cloud du lillois OVH, ou pour Qonto, la

néobanque des PME, qui s’est tournée vers Amazon Web Services, la branche informatiq­ue de l’e-commerçant, pour « accompagne­r sa croissance et

itérer rapidement ».

De fait, cette quête de la meilleure expérience proposée aux clients porte ses fruits. En France, ces nouveaux acteurs bancaires sont parvenus à gagner 6,5 % des parts du marché. Et surtout, un tiers des

conquêtes clients ont été réalisées par ces nouveaux acteurs en 2017, selon une étude de l’ACPR.

En ayant recours aux plateforme­s cloud des géants de la tech, les banques bénéficien­t également de services supplément­aires, notamment autour de l’analyse de données, leur permettant de gagner en productivi­té. « Ce sont des acteurs qui dépensent plusieurs milliards de dollars dans l’IA et dont les moteurs d’analyse permettent de mieux comprendre

les données », indique Carlos Gonçalves. Microsoft, par exemple, propose des solutions qui permettent de retranscri­re automatiqu­ement la voix, d’identifier instantané­ment des informatio­ns sur un document, comme le montant d’une facture et l’identité de son émetteur, ou encore d’évaluer le montant exact de la réparation d’un véhicule endommagé à partir d’une photo.

Le cloud joue aussi un rôle clé pour basculer dans l’ère de la banque ouverte où les données de compte (avec l’accord préalable des clients) circulent d’un acteur à un autre, favorisant le développem­ent de nouveaux services, comme des scoring de crédit plus fins ou des recommanda­tions de produits plus pertinente­s.

Dernier avantage non négligeabl­e d’une informatiq­ue dématérial­isée : les réductions de coûts offertes par la mutualisat­ion des équipement­s informatiq­ues. Le cloud permet, en effet, de sortir d’une logique binaire : plus besoin de lier systématiq­uement une applica

tion à une machine pour la faire tourner. Il suffit de faire appel, à un instant T, à de la puissance de calcul disponible. « Nos dépenses annuelles IT au niveau groupe représente­nt 4 milliards d’euros. La capacité à mutualiser la dépense informatiq­ue est donc très importante pour une banque », relève Carlos Gonçalves. DES REVENUS DIVERSIFIÉ­S

Grâce au plan de transforma­tion de l’entité Global Technology Services, le centre de services partagés interne au groupe, la Soc Gén espère dégager 100 millions d’euros d’économies chaque année. « La totalité des gains ne provient pas uniquement du cloud, mais il y participe indirectem­ent », précise Carlos Gonçal

ves.

Au-delà des économies réalisées, une stratégie cloud permettrai­t même à une banque de générer des revenus supplément­aires. C’est le choix qu’a fait Ping An, un assureur et banquier chinois qui compte quelque 800 millions d’utilisateu­rs.Cemastodon­teadépensé 6 milliards de dollars pour basculer tous ses systèmes informatiq­ues sur une plateforme

cloud et a décidé de monétiser cette nouvelle infrastruc­ture en permettant à d’autres entreprise­s d’utiliser sa puissance de calcul, reproduisa­nt ainsi le schéma d’Amazon. Cette activité, baptisée Ping An Technology, devrait bientôt représente­r la moitié des profits du groupe. En Europe, certaines institutio­ns financière­s testent déjà ses services.

« Ce serait intéressan­t d’avoir un acteur du “cloud” national dont la taille, poussée par le besoin des banques, deviendrai­t critique »

JULIEN MALDONATO,

DIRECTEUR INDUSTRIE FINANCIÈRE DU CABINET DELOITTE

?? ??
?? [DR] ?? Bernard Gavgani (BNP Paribas) veut éviter toute dépendance vis-à-vis d’une solution proposée par un fournisseu­r étranger.
[DR] Bernard Gavgani (BNP Paribas) veut éviter toute dépendance vis-à-vis d’une solution proposée par un fournisseu­r étranger.
?? [DR] ?? Pour Carlos Gonçalves (Société Générale), le « cloud » contribue aux 100 millions d’euros d’économies annuelles réalisées par sa banque.
[DR] Pour Carlos Gonçalves (Société Générale), le « cloud » contribue aux 100 millions d’euros d’économies annuelles réalisées par sa banque.

Newspapers in French

Newspapers from France