Le CA Store, annoncé en mars 2012 par le groupe Crédit Agricole, est né d’un constat : l’apparition d’applications bancaires pour smartphones, développées en cycle rapide par des tiers extérieurs et non contrôlés, en général sans volonté malveillante et dans un certain respect des obligations légales.
Ces applications, auxquelles les clients Crédit Agricole remettaient leurs mots de passe, induisaient des risques élevés par l'échange et le stockage de données sensibles, le comportement intrinsèque des applications, la tenue en charge des services en ligne, avec in fine une atteinte potentielle à l’image du groupe Crédit Agricole.
Plutôt que d’engager un combat à l’issue incertaine contre de telles applications, le Crédit Agricole a adopté une approche innovante pour se positionner en leader de confiance :
- mise au point d’un framework Web Services sécurisé by design (sélection des données accessibles, anonymisation, « tampon » de protection, possibilité d’isolation) ;
- constitution d’une communauté de développeurs (les digiculteurs) en capitalisant sur le potentiel de créativité externe au groupe ;
- mise à disposition d’un toolkit de développement ou d’exemples de codes ;
- proposition d’un modèle de rémunération.
Quelques leçons tirées de cette expérience :
- l’innovation et la sécurité se complètent et ne doivent pas s’opposer ;
- l’analyse de risque reste le nerf de la guerre ;
- le risque résiduel lié à l’audace est plus faible que celui lié à l’inaction ;
- l’innovation permet de conserver le bénéfice client.