Ces banques qui basculent leur système d'information vers le cloud

Les banques utilisent de plus en plus le cloud pour leur transformation numérique. En France, les autorités réglementaires freinent encore le mouvement. Pour combien de temps ?

On a longtemps cru les banques réfractaires au cloud pour des raisons de sécurité et de conformité. Le paysage concurrentiel les oblige à revoir leur position. Bousculés par les fintech, sommés de se conformer aux nouveaux comportements de leurs clients, soumis à des contraintes réglementaires toujours plus importantes, les établissements bancaires doivent gagner en agilité et en flexibilité.  En dépit des efforts d'"APIsation", leurs systèmes d'information vieillissants, hérités du monde des mainframes, ne leur permettent pas de profiter à plein des opportunités technologiques actuelles dans le mobile, le social ou le Big Data. Le cloud devient par conséquent une question de survie.

Un tiers des banques "historiques" risquent de disparaitre au détriment de banques digitales à horizon 2020 prophétise Accenture. Et selon une étude d'IDC parue l'année dernière, un quart des institutions financières européennes ont mis en place un cloud privé et près de 15% utilisent des services de cloud public. Le mouvement est enclenché et s'accélère même, si on en croit la multiplication des annonces.

Des contrats décennaux de plusieurs milliards de dollars

La banque ABN Amro a ainsi scellé avec IBM un contrat de dix ans et de "plusieurs milliards de dollars" portant notamment sur l'établissement d'un cloud privé. Même durée et même montant astronomique pour la Deutsche Bank qui a confié la "cloudification" de son infrastructure à HP. La banque en ligne ING Direct bâtit, elle, un cloud privé sur les technologies de VMware.

De nombreux projets lancés à travers l'Europe

Côté cloud public, Amazon Web Services (AWS) dispose d'un portefeuille particulièrement garni. Nomment aux Pays-Bas où l'autorité réglementaire nationale, De Nederlandsche Bank (DNB), a desserré l'étau du cloud. La banque de détail néerlandaise Robeco Direct a ainsi pu s'orienter vers le logiciel de gestion bancaire en mode SaaS Ohpen - basé sur le cloud AWS.

Quant à la banque espagnole Bankinter, elle utilise le service de calcul Amazon EC2 pour faire ses simulations de crédits à risques. Dans le même esprit, l'assureur allemand Talanx évalue via des applications en mode cloud son exposition aux risques afin de provisionner les fonds propres en conséquence. En rendant ce calcul plus précis et récurrent, il aurait réduit son immobilisation en fonds propres de cent millions d'euros.

Des données plus sécurisées dans le nuage qu'en interne ?

Hors d'Europe, les stratégies des banques sont encore plus radicales. L'Américain Capitale One va, en montant dans le nuage d'Amazon, réduire la voilure de son infrastructure informatique de 8 à 3 datacenters en 2018. Au-delà de la réduction de coûts, Rob Alexander, son DSI, met en avant le volet sécuritaire. Ce qui peut surprendre de ce côté-ci de l'Atlantique. En travaillant avec AWS, il estime que ses données seront plus sécurisées dans le nuage public que dans ses propres centres de données.

"Beaucoup d'acteurs des fintech démarrent chez nous" (Stephan Hadinger, Amazon)

AWS rappelle à, cet effet, que sa plateforme répond aux normes ISO (27001, 27017 et 27018), SOC 1, 2 et 3 et PCI DSS (pour Payment Card Industry Data Security Standard) pour le stockage des cartes bancaires. Elle respecte, par ailleurs, la directive européenne 95/46/EC sur le traitement et le transfert des données personnelles dans l'Union.

Pour convaincre les banques réticentes, Amazon mise également sur l'effet d'entraînement des fintech qui - n'ayant pas d'existant - démarrent directement leur activité dans le cloud. C'est notamment le cas des start-up françaises Linxo (gestion de comptes bancaires) et PayPlug (paiement en ligne et prédiction de fraude pour les e-commerçants). "Beaucoup d'acteurs des fintech démarrent chez nous", constate Stephan Hadinger, responsable des solutions d'architecture chez AWS. "Ils n'ont pas besoin d'investir dans une infrastructure pour tester de façon itérative leurs algorithmes de calcul de scoring, de détection de la fraude, ou d'anti churn."

Société Générale : du cloud privé au cloud public

Et quid des banques françaises ? AWS dit être en discussion avec des acteurs majeurs de la banque et de l'assurance en France. Parmi eux figure la Société Générale. Le groupe mène des expérimentations et des POC (Proof of concept) avec des fournisseurs de cloud public, tels qu'AWS ou Microsoft Azure, au travers de sa branche GBIS (Banque de Grande Clientèle et Solutions Investisseurs). Une branche qui regroupe la banque de financement et d'investissement, la gestion d'actifs, la banque privée et les services aux investisseurs.

Carlos Gonçalves est  le DSI de la banque d'investissement de la Société Générale (GBIS). Il a initié un vaste chantier de cloud privé.  © JDN

Société Générale GBIS a d'ores et déjà monté un cloud privé sur les technologies VMware (Vcloud). Utilisé aujourd'hui par l'ensemble du groupe, ce cloud interne permet aux équipes IT, dans une approche de PaaS, de provisionner et déprovisionner à la volée des environnements pour faire du développement, du test.

"Avec un même nombre de machines, on peut faire beaucoup plus", se réjouit Carlos Gonçalves, DSI de la Société Générale GBIS. "Aujourd'hui, 40% de nos environnements qui ne sont pas en production et 10% des environnements en production sont dans ce cloud privé. Notre ambition est de porter ces taux à respectivement 60% et 30% d'ici la fin de l'année."

Un POC de cloud privé basé sur Docker

S'orienter vers des clouds publics permettrait à la banque d'aller chercher de la puissance supplémentaire afin d'absorber les pics de charge. Mais avant cela, "il faut d'abord lever les contraintes réglementaires", tempère Carlos Gonçalves. "Nous poursuivons dans ce sens nos échanges avec les régulateurs européens et français, notamment sur les sujets de réversibilité, d'auditabilité, de sécurisation et de localisation des données."

En 2013, l'Autorité de contrôle prudentiel (ACP) de la Banque de France avait exposé, dans un document largement commenté, les risques du cloud liés à l'intégrité et à la confidentialité des données ou à l'indisponibilité des services. L'autre risque perçu par la Société Générale GBIS réside dans le fait d'être attaché technologiquement à un fournisseur. C'est pourquoi l'établissement financier explore la piste du container virtuel. Un POC avec Docker s'achèvera fin juin. Il a pour "executive sponsors" Carlos Gonçalves et Solomon Hykes, le fondateur de Docker lui-même.

Cloud public / Big Data