L'espace de stockage de votre smartphone est saturé. Impossible de prendre une nouvelle photo, d'ajouter un autre titre à votre bibliothèque de musique ou de télécharger une nouvelle application. Deux options se présentent alors à vous : l'achat d'un nouveau téléphone dont la capacité de stockage est plus importante, ou le recours à un service comme iCloud d'Apple. Dans ce cas, vos photos ne sont plus stockées physiquement dans votre appareil, mais dans les nuages ou plus exactement, et dans cet exemple précis, dans un serveur d'un centre de données de l'entreprise californienne. Ces informations deviennent alors accessibles à la demande et en temps réel via une simple connexion Internet. C'est ce qu'on appelle le cloud computing, ou informatique dans les nuages en bon français.
Informatique moins onéreuse et plus souple
Cette technologie, que, nous particuliers, utilisons quotidiennement sans même nous en rendre compte, en consultant notre messagerie en ligne, en jouant à des jeux vidéo en réseau ou en visionnant un film en streaming, est également utilisée par les entreprises de tous les secteurs industriels, attirées par une informatique moins onéreuse et plus souple, y compris les banques.
À l'horizon 2022, BNP Paribas, accompagnée d'IBM et de Microsoft, entend basculer 80% de son informatique dans les nuages. Même trajectoire pour la Société Générale, qui prévoit de migrer 80 % de son informatique d'ici à 2020, contre 65% aujourd'hui. Les autres grands établissements tricolores restent, eux, beaucoup plus discrets. Crédit Agricole, le groupe BPCE, La Banque Postale et le Crédit Mutuel n'ont pas répondu à nos sollicitations. « Toutes les banques françaises ont engagé des réflexions sur le cloud », assure cependant Philippe Poirot, directeur de la stratégie et des offres du département industrie financière de Microsoft. « Nous travaillons avec chacune d'entre elles », poursuit-il.
Cette tendance s'observe également en dehors de nos frontières. 97% des banques ont entamé une réflexion sur leur stratégie cloud et 57% d'entre elles ont dépassé le stade de l'expérimentation, selon l'étude Cloud and Clear d'Accenture, menée auprès de 35 banques de détail dans le monde, dont la moitié se situe en Europe.
Rassurez-vous. Selon les affirmations des deux grandes banques françaises interrogées, vos données bancaires ne se trouvent pas dans les centres de données d'un géant du Web américain, mais dans leurs propres centres de données dont elles ont l'usage exclusif. C'est ce qu'on appelle le cloud privé, en opposition au cloud public, qui lui est géré par un fournisseur spécialisé pour le compte de plusieurs entreprises.
--
[Cliquez sur l'image pour l'agrandir plein écran]
Éternelle prudence
En effet, derrière les objectifs ambitieux affichés par la Société Générale et BNP Paribas se cache une éternelle prudence. À la Soc Gen, seule une part minoritaire de l'informatique sera effectivement déléguée en 2020 à un fournisseur de cloud, comme Amazon ou Microsoft, ses partenaires. La banque privilégie le recours à un cloud privé géré par ses soins depuis ses propres data centers. « Les données des clients restent dans notre propre data center. L'appli Société Générale, par exemple, est hébergée dans notre cloud privé », précise Carlos Gonçalves, directeur des infrastructures informatiques de la banque de La Défense. Même son de cloche chez BNP Paribas. « Nous ne mettrons pas de données sensibles et confidentielles des clients dans le cloud public. C'est un choix à la fois de sécurité et d'image », explique Bernard Gavgani, Global Chief Information Officer.
--
[Cliquez sur l'image pour l'agrandir plein écran]
Les banques prévoient donc de faire appel au cloud public pour des applications moins critiques, comme leur messagerie interne, les outils de bureautique ou encore des applications métiers, notamment pour effectuer des opérations nécessitant une importante puissance de calcul, à l'image des reportings réglementaires. Ces précautions collent à la circonspection de l'Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, qui estimait, dans une note de 2013, que le cloud computing présentait des risques supérieurs à l'informatique classique pour les établissements de crédit et les organismes d'assurance. L'Autorité bancaire européenne (EBA) exige d'ailleurs des banques qu'elles respectent un certain nombre de garde-fous et a émis une série de recommandations en mars 2018. D'abord, les banques sont tenues à des obligations d'information. Elles doivent informer les autorités compétentes des « activités significatives » qu'elles externalisent auprès d'un fournisseur de cloud et tenir un registre.
Sécurité des données, réversibilité et auditabilité du service de cloud
Ensuite trois grands principes relatifs à la sécurité des données, à la réversibilité et à l'auditabilité du service de cloud doivent être respectés. Les banques doivent s'assurer que les données qui transitent dans le cloud public sont bien protégées. Toutes les données concernées doivent ainsi être chiffrées, c'est-à-dire rendues incompréhensibles pour toute personne ne disposant pas de la clé de chiffrement, détenue uniquement par la banque.
« Cela signifie que même si un pirate informatique parvenait à accéder aux données, il ne pourrait pas les lire », explique Julien Maldonato, directeur industrie financière du cabinet Deloitte. Par ailleurs, en vertu du nouveau règlement européen relatif à la protection des données personnelles (RGPD), si une personne malveillante parvenait à accéder à des données à caractère personnel, qu'elles soient dans le cloud ou non, l'établissement bancaire doit le signaler à la Commission nationale de l'informatique et des libertés (Cnil). Ensuite, en cas de défaillance du dispositif, les banques doivent être en capacité de faire tourner les services affectés dans leur propre infrastructure ou chez un autre fournisseur de manière à en assurer la continuité. C'est ce qu'on appelle le principe de réversibilité. Enfin, elles doivent pouvoir auditer le data center du fournisseur choisi. « Une autre contrainte liée à la localisation des données sur le territoire devrait bientôt voir le jour », avance Carlos Gonçalves.
Outre ces questions de sécurité des données, le recours des banques au cloud public soulève des problématiques de souveraineté. Aujourd'hui, tous les grands établissements français se sont rapprochés de géants américains. Aucun ne travaille avec un acteur européen, encore moins français. Quelles conséquences au regard du Cloud Act ? Adoptée en mars 2018 par l'administration Trump, cette législation confère aux autorités américaines le droit d'exiger des entreprises américaines le transfert de données vers les États-Unis lorsque celles-ci sont stockées à l'étranger. « La plupart des fournisseurs de cloud sont étrangers et, globalement, il faut rester vigilant quant à une éventuelle dépendance à une solution », reconnaît Bernard Gavgani. Julien Maldonato regrette qu'un acteur français, comme le lillois OVH, ne soit pas sollicité : « Les banques sont des sociétés de gestion de flux d'informations beaucoup plus interconnectées que les entreprises d'autres industries. Elles sont naturellement prêtes pour un cloud commun. Ce serait intéressant d'avoir un acteur du cloud national dont la taille, poussée par le besoin des banques, deviendrait critique », estime-t-il.
Énorme retard
Une telle configuration pourrait alors accélérer leur usage du cloud public. « Les banques françaises accumulent un énorme retard par rapport aux banques américaines, qui toutes, ou presque, utilisent des solutions de cloud public, comme l'éditeur de logiciels Salesforce, pour la gestion de leur relation client, indique Julien Maldonato. Mais elles savent que le recours au cloud public est inéluctable. C'est le sens de l'histoire informatique. »
Cette réticence à adopter le cloud public trouve sa source dans le modèle économique même des banques. « Leur métier consiste à collecter de l'épargne pour faire du crédit. La confiance des clients à leur égard est donc fondamentale », explique Philippe Poirot. Or, recourir à un fournisseur de cloud implique d'externaliser la gestion des flux d'informations, par nature sensibles dans ce secteur. D'où la défiance des banques, qui se sont construites comme de véritables sociétés informatiques, vis-à-vis de cette technologie. Malgré ces craintes, les choses sont en train de changer.
« L'évolution technologique est tellement rapide qu'il est important pour une banque de s'adosser à des fournisseurs de cloud pour ne pas se sentir dépassée », admet Bernard Gavgani. « Il y a aujourd'hui un sentiment d'urgence, poussé par une nouvelle concurrence qui oblige les banques à innover toujours plus vite », observe Julien Maldonato. « Les fintechs [startups de la finance, ndlr] ont imposé de nouveaux niveaux de services. Désormais, il faut être en mesure de proposer, en premier, un service innovant aux clients. Cette agilité est vitale. C'est un élément différenciant qui nous permet d'enrichir et de conserver notre relation avec nos clients », confirme Carlos Gonçalves. Or, pour gagner en agilité, le cloud est indispensable.
Il permettrait de diviser les temps de développement de nouveaux services par trois ou quatre, selon Philippe Poirot, de Microsoft.
Des mises à jour à un rythme très soutenu
Les néo-banques, comme l'allemande N26 ou sa concurrente britannique Revolut, se sont tout de suite emparées de cette opportunité. Leur informatique entièrement dématérialisée leur permet d'effectuer des mises à jour à un rythme très soutenu. Même approche pour l'appli bancaire française Xaalys dédiée aux adolescents, qui s'appuie sur le cloud du lillois OVH, ou pour Qonto, la néobanque des PME, qui s'est tournée vers Amazon Web Services, la branche informatique de l'e-commerçant, pour « accompagner sa croissance et itérer rapidement ».
De fait, cette quête de la meilleure expérience proposée aux clients porte ses fruits. En France, ces nouveaux acteurs bancaires sont parvenus à gagner 6,5 % des parts du marché. Et surtout, un tiers des conquêtes clients ont été réalisées par ces nouveaux acteurs en 2017, selon une étude de l'ACPR.
En ayant recours aux plateformes cloud des géants de la tech, les banques bénéficient également de services supplémentaires, notamment autour de l'analyse de données, leur permettant de gagner en productivité. « Ce sont des acteurs qui dépensent plusieurs milliards de dollars dans l'IA et dont les moteurs d'analyse permettent de mieux comprendre les données », indique Carlos Gonçalves. Microsoft, par exemple, propose des solutions qui permettent de retranscrire automatiquement la voix, d'identifier instantanément des informations sur un document, comme le montant d'une facture et l'identité de son émetteur, ou encore d'évaluer le montant exact de la réparation d'un véhicule endommagé à partir d'une photo.
Un rôle clé pour basculer dans l'ère de la banque ouverte
Le cloud joue aussi un rôle clé pour basculer dans l'ère de la banque ouverte où les données de compte (avec l'accord préalable des clients) circulent d'un acteur à un autre, favorisant le développement de nouveaux services, comme des scoring de crédit plus fins ou des recommandations de produits plus pertinentes.
Dernier avantage non négligeable d'une informatique dématérialisée : les réductions de coûts offertes par la mutualisation des équipements informatiques. Le cloud permet, en effet, de sortir d'une logique binaire : plus besoin de lier systématiquement une application à une machine pour la faire tourner. Il suffit de faire appel, à un instant T, à de la puissance de calcul disponible.
« Nos dépenses annuelles IT au niveau groupe représentent 4 milliards d'euros. La capacité à mutualiser la dépense informatique est donc très importante pour une banque », relève Carlos Gonçalves.
Importantes économies
Grâce au plan de transformation de l'entité Global Technology Services, le centre de services partagés interne au groupe, la Soc Gén espère dégager 100 millions d'euros d'économies chaque année.
« La totalité des gains ne provient pas uniquement du cloud, mais il y participe indirectement », précise Carlos Gonçalves.
--
[Cliquez sur l'image pour l'agrandir plein écran]
Au-delà des économies réalisées, une stratégie cloud permettrait même à une banque de générer des revenus supplémentaires. C'est le choix qu'a fait Ping An, un assureur et banquier chinois qui compte quelque 800 millions d'utilisateurs. Ce mastodonte a dépensé 6 milliards de dollars pour basculer tous ses systèmes informatiques sur une plateforme cloud et a décidé de monétiser cette nouvelle infrastructure en permettant à d'autres entreprises d'utiliser sa puissance de calcul, reproduisant ainsi le schéma d'Amazon. Cette activité, baptisée Ping An Technology, devrait bientôt représenter la moitié des profits du groupe. En Europe, certaines institutions financières testent déjà ses services.
Juliette Raynal
___
> Lire les autres articles dans La Tribune HEBDO n°297, en kiosque le 21 juin 2019, et disponible à l'achat sur notre site au format PDF.
[Cliquez sur l'image pour l'agrandir plein écran]
[Cliquez sur l'image pour l'agrandir plein écran]
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés