• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Services bancaires > Banque au quotidien > Comment les banques se positionnent-elles face au cloud ?

Comment les banques se positionnent-elles face au cloud ?

Faut-il héberger ses données et ses opérations en interne ou via la puissance de calcul de prestataires externes ? La question se pose aussi bien pour des raisons de coût, d’efficacité que de préservation des données sensibles des acteurs financiers. Tour d’horizon des possibilités et des stratégies adoptées par les banques en matière de cloud.

 

Par . Publié le 03 juin 2019 à 16h11 - Mis à jour le 03 juin 2019 à 16h11
  • Ressources

En 2013, l’Autorité de contrôle prudentiel (ACP, devenue depuis ACPR) a publié un document intitulé “les risques associés au cloud computing”. Elle y définit l’informatique en nuage comme l’activité consistant “à déporter sur des serveurs distants des données et des traitements informatiques traditionnellement localisés sur des serveurs locaux voire sur le poste de l’utilisateur. Il permet l’accès via le réseau, à la demande et en libre-service, à des ressources informatiques virtualisées et mutualisées généralement facturées à l’usage.”

Dans les banques, “les discussions autour du cloud avaient commencé quelques années plus tôt, souvent autour du concept d’agilité, note Carlos Gonçalves, directeur des infrastructures informatiques du groupe Société Générale. Nous-mêmes nous sommes penchés sur la question vers 2011.” La migration, elle, s’amorce en 2014, en collaboration avec plusieurs fournisseurs. Chez BNP Paribas, à la même époque, une discussion s’engage sur la transition d’au moins une partie du “legacy system” vers un cloud privé, avec le partenaire historique IBM. Chez Deutsche Bank, c’est en 2016 que s’enclenche le mouvement, pour répondre aux problématiques du marché : “nous voulions plus d’agilité, un meilleur time-to-market, la possibilité de passer à l’échelle facilement et de la flexibilité”,  énumère Tom Gilbert, directeur monde des technologies PaaS (platform-as-a-service) de la banque allemande.  

Si les acteurs technologiques historiques tels que Microsoft sont des relais de poids, d’autres pistes émergent. Fin 2018, Lloyd’s a annoncé un partenariat stratégique avec la plateforme de core banking nativement dans le cloud Thought Machine. Quelles sont les stratégies qu’adoptent les institutions financières face à ces nouvelles infrastructures, synonymes de souplesse mais aussi d’externalisation d’activités souvent sensibles ? Vers quels prestataires se tournent-elles et pour quels usages ?

Une temporalité bousculée, des coûts maîtrisés

“La vraie question, c’est celle du changement de comportement de nos clients en matière de consommation des services bancaires, assène Carlos Gonçalves. Le cloud est un moyen de s’y adapter.” La Société Générale cherche à fournir aux clients leurs services bancaires n’importe où, n’importe quand, sur n’importe quel terminal, continue-t-il, “mais aussi d’aller en agence et de rencontrer des conseillers quand le besoin s’en fait ressentir”. Les nouveaux modes de consommation font que lorsque le client a besoin d’un service, il doit le recevoir tout de suite.

La vraie question est celle du changement
de comportement de nos clients
Carlos Gonçalves
Directeur des infrastructures informatiques, groupe Société Générale

“Les logiques de livrables fournis en cinq ans ne fonctionnent plus du tout, estime Carlos Gonçalves. Et c’est là que le cloud intervient : c’est la réponse de la partie infrastructure à ce besoin qu’ont les développeurs de fournir des services plus rapidement, pour les adapter ensuite en temps réel, afin que le client puisse accéder à ses services bancaires comme il le souhaite.”

Autre objectif opérationnel : améliorer le time-to-market. “Passer sur le cloud, ça revient à avoir une infrastructure sécurisée, agile, sur laquelle je peux à tout moment appeler des API, un environnement de calcul et même une zone de stockage plus importante pour les opérations les plus lourdes en quelques lignes de commandes”, se réjouit Carlos Gonçalves. Et avec lui, les ingénieurs de BNP Paribas ou de Deutsche Bank citent tous, sans exception, cette rapidité comme un avantage stratégique. Sans oublier les économies réalisées. “La possibilité d’étendre puis réduire notre infrastructure quotidiennement, en fonction des besoins business du jour, cela révolutionne notre structure de coûts”, assure Tom Gilbert. Autre avantage, moins directement visible : le cloud permet aux développeurs de se concentrer sur les “vrais problèmes”  – le développement d’applications permettant de fournir de nouveaux services aux clients – et d’être moins accaparés par des questions de maintenance de l’infrastructure de l’entreprise.

Il est difficile d’obtenir des chiffres précis sur le retour sur investissement obtenu sur les activités déjà migrées vers le cloud. Mais les grandes banques témoignent toutes d’une efficacité décuplée des processus. “Prenez la question de l’obsolescence, explique Bernard Gavgani, directeur monde des systèmes d’information chez BNP Paribas. Il s’agit d’un effort permanent à gérer dans les grandes organisations telles que la nôtre. Avec le cloud, le processus est plus simple, et automatique : chaque nouvelle version est poussée par le fournisseur et vient remplacer la précédente.” Il n’est pas seulement question d’une suppression des frictions ou de gains matériels sur les processus d’actualisation mais également d’un impact sur l’organisation. “L’IT est désormais obligée de suivre les innovations technologiques en temps réel, et c’est une vraie évolution organisationnelle”, témoigne Bernard Gavgani.

Cloud privé, cloud public ?

“La technologie devient un actif stratégique”, résume Eneric Lopez, directeur IA et développeurs de Microsoft France. “Auparavant, elle n’était gérée que par la direction des services d’information, mais la transformation en cours est si profonde qu’il devient nécessaire pour les comités exécutifs de se saisir de la question.” Car en venant modifier l’infrastructure et la gestion des données, avec en toile de fond la nécessité d’une stratégie produit et business, le passage au cloud implique aussi des mesures relatives à son adoption en interne.

La technologie devient un actif stratégique
Eneric Lopez
Directeur IA et développeurs, Microsoft France

Pour négocier ce virage, BNP Paribas a développé un programme de formation approfondie pour les métiers techniques, qui s’intéresse aussi bien à la gestion des sas de sécurité qu’aux techniques de DevOps. “Nous avons lancé un programme de formation intensive il y a un mois et demi. Il doit continuer jusqu’à juillet 2020, lorsque notre cloud hybride sera totalement opérationnel”, annonce Bernard Gavgani. En parallèle, un programme de niveau plus généraliste est pensé pour habituer les métiers à l’usage du cloud, en présentiel et via des cours en ligne, et un autre est dédié aux développeurs.

BNP Paribas vise 2 000 personnes totalement formées et capables de développer des applications sur le cloud public d’IBM d’ici fin 2020. Car l’option retenue par la banque est celle d’un cloud hybride : public, d’une part, pour développer des applications facilement, à partir de données totalement anonymisées. Et un cloud privé, d’autre part, conçu en partenariat avec IBM, et sur lequel les applications sont mises en production une fois finalisées. “Ce choix est une décision stratégique très structurante, souligne Bernard Gavgani. Elle a été prise pour protéger nos données sensibles, et notamment celles de nos clients.” Quant à la migration dans le nuage, l’objectif est qu’elle concerne les trois quarts des activités du groupe à horizon 2022, le reste n’étant pas directement concerné par les progrès que promettent ces nouvelles infrastructures. “Les activités de salle de marché, explique par exemple le CIO, nous les gardons comme telles pour des raisons de performance. Car le nuage répond à des problématiques de puissance de calcul, mais pas à celle d’une rapidité de traitement. Il ne permet pas la vitesse exigée par le marché.”

Chez Société Générale, la logique est différente et moins centralisée. “Nous avons entamé la transformation agile par la banque d’investissement, parce qu’elle avait le besoin de réactivité le plus fort”, rappelle Carlos Gonçalves. Depuis, l’agilité comme méthode de travail s’est propagée dans l’ensemble du Groupe, “et l’infrastructure cloud avec. On la retrouve dans la banque de détail, dans les services financiers, en Italie comme en Russie…” Le choix s’est porté sur un multicloud, “pour éviter la dépendance à un seul acteur”. Car en restant chez un seul d’entre eux, le risque existe que ce fournisseur décide de changer des fonctionnalités ou d’augmenter les prix sans que son client ne puisse rien faire. La Société Générale joue aussi sur un modèle hybride, public pour les activités les moins sensibles, privé pour celles qui nécessitent une plus grande confidentialité. A l’heure actuelle, 65% des infrastructures de la Société Générale ont été migrées dans le cloud, “dont 60% sur notre cloud privé, et 5% sur le cloud public”.

Comme le souligne un expert d’Atos, l’un des enjeux du passage au cloud est aussi de centraliser les outils disponibles, et de faire du département des systèmes d’information la pierre angulaire des services proposés en nuage. C’est le point de vue de Deutsche Bank, qui a créé un Cloud Centre of Excellence “pour éviter d’avoir à résoudre le même problème plusieurs fois”, comme l’explique son responsable Tony Pearson. L’un des enjeux de la migration est d’assurer un niveau d’adoption relativement élevé. “C’est pourquoi nous essayons de regarder les usages les plus étendus. Il y a évidemment des cas d’usages spécifiques à la banque d’investissement, ou d’autres à l’activité retail, mais toutes ces entités peuvent partager des plateformes similaires”, explique Tony Pearson. Là encore, et bien qu’elle ne cite que Microsoft Azure, la banque explique avoir fait le choix d’un multicloud pour éviter, dit-elle, de se retrouver pieds et poings liés.

Les fournisseurs en ordre de bataille

Un choix qui s’entend, mais dont la logique n’est “pas intéressante d’un point de vue technique”, selon Bernard Gavgani. “L’un des intérêts du cloud est de pouvoir utiliser les toutes dernières technologies qui y sont disponibles. Sauf que si vous ne parvenez pas à les exploiter partout dans votre banque, ça complique tout”, estime-t-il. Il est par ailleurs difficile d’avoir des équipes spécialisées dans les produits de chaque fournisseur de cloud, ajoute le CIO monde de BNP Paribas. “Pour avoir la meilleure expertise possible, il vaut mieux se concentrer sur un seul d’entre eux.” 

Une liberté que les fournisseurs laissent peu ou prou à la discrétion de leurs clients. Quoique l’on note que certains se spécialisent plus que d’autres. Google et surtout Amazon – leader du marché du cloud avec Amazon Web Services, une activité qui a généré 25,65 milliards de dollars de revenus nets en 2018 (soit 11% du chiffre d’affaires total) – proposent tous les deux des services assez généralistes, en Infrastructure-as-a-Service. “Leurs angles de spécialisation résident dans les briques technologiques d’analyse génériques, de calcul, d’intelligence artificielle, qui s’appliquent à peu près de la même manière à d’autres industries”, explique le directeur du département technologie d’Amazon Web Services Stephan Hadinger. Alexandra Syrovatski, la directrice commerciale de Google Cloud, ajoute par mail que la plateforme de son entreprise vise à améliorer “trois points clés : la transformation numérique au service des collaborateurs, l’amélioration de la relation client et l’analyse de volumes de données importants”.

IBM, de son côté, joue la flexibilité. Le groupe propose des solutions pour gérer les outils des autres, et donc profiter d’un multicloud efficace, mais aussi de quoi se fournir entièrement auprès de lui, en utilisant sa Platform-as-a-Service pour profiter des capacités de Watson, voire de ses premières tentatives d’application de l’informatique quantique. Le chiffre d’affaires annualisé de ces activités “as a service” représentait à fin 2018 un total de 12,2 milliards de dollars. Mais ce qui séduit un client comme BNP Paribas, selon Bernard Gavgani, c’est surtout qu’IBM “est une société informatique, c’est leur coeur de métier. Ce qui n’est pas le cas des autres fournisseurs de cloud.”

Il est vital que les métiers fassent partie
de la transformation que représente le cloud
Eneric Lopez
Directeur IA et développeurs, Microsoft France

Néanmoins, si l’on se penche sur le cas de Microsoft (dont le chiffre d’affaires annualisé d’Azure est estimé par Macquarie à 11 milliards de dollars), sa plateforme propose des services de cloud computing mais elle a fait le choix de développer des écosystèmes spécialisés par industrie, pour être “au plus près des besoins des métiers”, selon les mots de Philippe Poirot (ex-BPCE), directeur de la stratégie, marketing et offres du segment “Financial Services”. Toujours dans la logique d’”asset stratégique” soulignée par son collègue Eneric Lopez, “il est vital que les métiers fassent partie de la transformation que représente le cloud, que l’on ne considère pas simplement l’évolution de la technologie, mais aussi celle des métiers”, explique-t-il. C’est pourquoi Microsoft s’entoure de Finastra, qui développe toute une série d’applications en Software-as-a-Service basées sur Azure, ou bien de Zelros, qui propose par exemple des assistants conversationnels adaptés au monde de l’assurance. D’autres cas d’usages d’intelligence artificielle sont eux aussi basés sur le cloud du géant informatique.

En ce qui concerne le type de cloud, l’entreprise a prévu de quoi répondre aussi bien aux scénarios privés, avec des données stockées on premise, que hybrides ou publics. Mais s’il a conscience des problématiques de confidentialité et de réglementation propres au secteur, Eneric Lopez fait tout de même la promotion de la version publique : “tant que les clients n’ont pas vu un data center en mode hyperscale, ils n’en réalisent pas le potentiel. L’avantage en termes de passage à l’échelle, de redondance, de sécurité, même, est énorme, car le niveau d’investissement est incomparable avec celui de n’importe quelle entreprise qui n’est pas spécialisée dans l’informatique.”

Réglementation et sécurité

Il revient donc aux banques de trancher sur ce qu’elles laisseront faire dans un nuage public, ou ce qu’elles garderont dans la version privée, dont elles s’occuperont (souvent) des serveurs et de la sécurité. Mais dans tous les cas, la responsabilité sera partagée, au moins pour les applications et données développées côté public. “C’est ce nouveau modèle de responsabilité partagée entre nous et nos fournisseurs de cloud, de logiciels embarqués, que ces nouvelles problématiques rendent complexes”, explique Tom Gilbert. En plus de transformer l’infrastructure, les manières de s’organiser, de travailler, d’arrivée sur le marché, le cloud “oblige à repenser la manière dont on supervise nos prestataires, continue-t-il, de façon à ce que nos opérations restent efficaces, sans que les contrôles ne disparaissent”.

En 2013, pour sécuriser l’usage du cloud, l’ACP conseillait de mesurer les risques et la sécurité en veillant à six points : l’aspect juridique (contrat), l’aspect technique (chiffrement), le contrôle du prestataire, la continuité de prestation, la réversibilité, ainsi que l’intégration et l’urbanisme du système d’information, de manière à ce qu’ils soient adaptés au nuage. Ces conseils ne sont qu’une liste parmi de multiples réglementations, mais selon Philippe Poirot, ces dernières ont un vrai effet sur l’adoption de ces nouvelles technologies : “l’assurance, par exemple, est moins contrainte que la banque en matière de régulation, et donc plus en avance sur le cloud.” Carlos Gonçalves l’a constaté : “les questions de conformité ont pris énormément de temps lorsque nous avons établi le contrat.”

La régulation influence même le déploiement du nuage à travers les différents pays dans lesquels exercent les grands groupes bancaires : “la question de la résidence des données est la plus surveillée par le régulateur”, rappelle Tony Pearson. Au point que Société Générale ne peut absolument pas utiliser son cloud public en Russie, par exemple. Pour pallier le problème, “nous avons pris la plateforme, et nous l’avons installée sur place, avec des data centers dédiés”, explique son DSI.

Le passage au cloud est aussi un moyen de placer
plus haut la barre de nos habitudes en matière de sécurité
Tom Gilbert
Directeur monde des technologies PaaS, Deutsche Bank

La problématique est connue de tous, au point qu’il arrive de travailler “en termes de plus petit dénominateur commun – ou en l’occurrence de plus haut dénominateur de sécurité”, selon Tom Gilbert. C’est-à-dire que ses ingénieurs travaillent à intégrer dans l’architecture de leur cloud et de ses applications de quoi pouvoir échanger des données protégées, en respectant les régulations. Il voit même une forme d’opportunité à ce que d’autres décrivent comme un casse-tête : “le passage au cloud représente une transformation pour la totalité de l’entreprise, ainsi qu’un moyen de placer plus haut la barre de nos habitudes en matière de sécurité.”

Stephan Hadinger (AWS) corrobore : “nous investissons énormément dans la sécurité pour répondre à des normes importantes, comme la PCI DSS pour la gestion des numéros de cartes bancaires. Cela permet mêmes à des fintech comme Payplug de bénéficier de ce type de standard alors qu’elles n’ont encore que des équipes d’à peine dix personnes.”

Bernard Gavgani ajoute une dimension temporelle qui ne correspond pas nécessairement à la vitesse d’évolution des technologies. “La régulation nous impose d’avoir la souveraineté des données pour les trente ans qui viennent”, déclare-t-il ainsi. Ces données doivent ainsi rester accessibles et opérables aujourd’hui et pour trois décennies. “Pour moi, cette question-là est primordiale, c’est là-dessus que la réglementation est et va rester la plus forte, donc il faut réfléchir tout de suite à comment envisager la question”. Mais ces questions de conformité demandent les moyens d’être traitées.

“À mon avis, poursuit Bernard Gavgani, l’alourdissement de la réglementation va nous forcer à concevoir des clouds communautaires spécialement conçus pour les acteurs bancaires.” Les fournisseurs auraient alors à plancher ensemble sur une infrastructure cloud respectant les réglementations locales propres au marché. “Toutes les banques ne peuvent pas se payer un cloud privé. Pour allier performance et respect de la règle, il faudra donc mutualiser”, conclut Bernard Gavgani.

lexique

Méthodes Agiles : l’approche agile ou les méthodes agiles sont autant de pratiques qui permettent de piloter et de réaliser des projets en fixant des objectifs successifs, de court terme. Le but est de prendre le contre-pied des méthodes traditionnelles, dans lesquelles le client fournit une expression détaillée de ses besoins et ne retrouve son fournisseur qu’au moment de la recette, ce qui peut créer un effet tunnel pendant lequel les deux acteurs ne communiquent pas. Le manifeste agile, publié en 2001 par dix-sept développeurs, promeut notamment la collaboration, la réponse aux évolutions nécessaires plutôt que le respect strict du plan de départ,  et les solutions opérationnelles. 

DevOps : contraction des termes développement (dev) et exploitation (ops pour operations). Mouvement d’ingénierie informatique dont le nom a été inventé en 2009 par le consultant informatique Patrick Debois. Il est né de la volonté d’appliquer les méthodes agiles à la totalité des systèmes d’information, et utilise techniques, personnes et outils adaptés pour, par exemple, tester des infrastructures et des applications au fil de leur développement et les adapter en cas de besoin plutôt que d’attendre qu’elles ne soient livrées pour modifier ce qui pourrait l’être.  

DevSecOps : intégration des problématiques de sécurité informatique au cycle de vie des applications. Cette démarche automatise par exemple certains points de sécurité dans les processus DevOps. 

Cloud computing : ou informatique en nuage, consiste à livrer des services informatiques via Internet, ou, côté client, à utiliser les capacités de calcul et de stockage de serveurs distants, à la demande ou au forfait. Il peut s’agir d’Infrastructure-as-a-Service (IaaS, services de machines virtuelles sur lesquelles il est possible d’installer un système d’exploitation et des applications, plutôt que d’acheter ses propres serveurs), de Platform-as-a-Service (PaaS, dans le cas duquel le fournisseur gère lui-même le système d’exploitation. Le client gère les applications et ses propres outils) ou de Software-as-a-Service (SaaS, où le consommateur peut passer par un navigateur web pour profiter de logiciels mis à disposition par le fournisseur). 

Cloud public : les services sont fournis en ligne, le matériel, le stockage et les équipements sont partagés avec d’autres entreprises clientes du fournisseurs de cloud. Souvent moins cher, il permet notamment de s’éviter les coûts de la maintenance, assumés par le fournisseur. 

Cloud privé : rassemble toutes les capacités de calcul et de stockage propres à une entreprise, hébergés soit dans les data centers de l’organisation, soit chez ceux du fournisseur. Dans ce dernier cas, infrastructure et maintenance sont gérés sur un réseau privé, et le matériel est dédié à une seule entreprise. “L’intérêt principal à continuer d’utiliser des clouds privés réside dans la sauvegarde des données critiques”, note Eneric Lopez, directeur IA et développeurs de Microsoft France. 

Cloud hybride : combine un cloud privé – pour la sauvegarde et l’usage de données critiques notamment – et un cloud public – pour l’usage de capacités de calcul décuplées, par exemple. 

Multicloud : cloud qui s’appuie sur différents types de cloud (public et privé) et sur les services de fournisseurs différents. 

 


Pour consulter le tableau dans son intégralité, cliquez sur l’image (PDF)

 

  • cloud
  • transformation digitale

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Tribune gratuit

Cloud dans la finance : vers la fin des réticences ?

De la blockchain au cloud, IBM occupe le terrain

NAB veut déployer 35% de ses applications IT dans le cloud
Mouvement gratuit

Santander engage un ancien de Google Cloud comme directeur plateforme
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025