Système d’information

L’heure du cloud public a-t-elle sonné pour les banques françaises ?

Longtemps frileuses à l’idée de mettre un pied dans les services de cloud public, en arguant de raisons de sécurité et de réglementation, désormais poussées par la réactivité des FinTechs, les grandes banques françaises s’aventurent peu à peu dans ce domaine. Avec deux maîtres mots : prudence et hybridation.

Julien Chamonal

L'auteur

Pour en savoir plus

image
  • David Broc'h

    David Broc'h

Revue de l'article

Cet article est extrait de
Revue Banque n°835

Risque Cyber : Comment coordonner la lutte ?

Longtemps réticentes à aller vers le cloudcomputing et encore plus vers le cloud public (voir Revue Banque n° 748), les banques françaises font désormais leurs premiers pas dans ce nouvel espace virtuel. Le plus souvent, il s’agit d’expérimentation, mais d’autres ont franchi le cap et ont déjà passé une partie de leur infrastructure dans le cloud. Ainsi, David Broc'h, directeur de l’exploitation et des technologies du groupe Crédit Mutuel Arkea, explique utiliser des services de cloud public dans trois situations bien précises.

La première concerne les sites institutionnels du groupe : « On s’appuie à date sur les solutions de cloud public pour répondre aux besoins d’autonomie des équipes marketing des entités du groupe Arkéa dans l’animation et publication des sites institutionnels, pour offrir une flexibilité attendue par les entités distributrices du groupe Arkéa dans certains process de souscription à destination de prospects ou lors de l’élaboration de nouveaux services bancaires. » Et sans accès direct aux données sensibles de la banque.

Le deuxième domaine où le cloud public s’impose est le poste de travail des collaborateurs passé en mode Saas (Software as a service). « Nous avons basculé toute la messagerie et les outils collaboratifs du groupe Arkéa sur les solutions GSuite de Google. Toutes les contraintes réglementaires et sécuritaires ont été prises en compte lors de cette migration en nous appuyant sur nos processus de gestion des risques et de la protection des données de nos clients. » Chez Société Générale, les outils collaboratifs ont été la porte d’entrée de la banque dans le cloud public. Carlos Gonçalves, directeur des Infrastructures informatiques pour le groupe, le raconte très bien : « Nous utilisons le cloud public notamment avec Office 365 avec Exchange Online, Skype sur le poste de travail. Le poste de travail devient virtualisé : le collaborateur peut utiliser son ordinateur n’importe où, pour faire du télétravail ou lors de déplacements en rendez-vous client, ou encore pour circuler dans les différents bâtiments de la banque. Nous avons démarré ce projet début 2017 et une très grande majorité d’utilisateurs bénéficie aujourd’hui de ce poste virtualisé. »

Enfin, Crédit Mutuel Arkea va également s’appuyer sur le cloud public pour s’aventurer dans les domaines à la mode du machine learning et de l’intelligence artificielle. « Nous travaillons avec AWS (Amazon Web Services) et GCP (Google Cloud Platform) pour leurs capacités à proposer des services à valeur ajoutée sur la donnée (Machine learning et ou capacité de calcul) », explique David Broc’h.

Le mode de facturation du cloud public est un frein

Pour Bruno Refoubelet, ingénieur de solution chez Teradata, « les banques cherchent toutes à adopter le cloud et procèdent à des expérimentations. D’abord dans des environnements moins sensibles et sur des services nouveaux avant de le mettre en production. C’est le cas du service AnaCrédit pour le reporting réglementaire. » Le spécialiste constate néanmoins que « parmi les quatre banques systémiques françaises, aucune n’a réellement mis en œuvre de système de base de données massives dans le cloud, alors que dans des pays anglo-saxons, comme en Écosse par exemple, il y a des banques qui ont mis en production des bouts de leur SI dans le cloud public. Les banques françaises, aujourd’hui, n’innovent pas tant que ça, en fait. C’est un peu la particularité de la France, y aller lentement mais sûrement, mais le retard est finalement souvent comblé rapidement. Après se pose également une question de coût. Les banques voient dans le cloud un mode plus rapide, mais la manière de facturer des services dans les clouds basés sur du “pay as you go” leur fait peur. D’autant que ces modèles s’adaptent plus à des usages en dents de scie et non à des activités constantes. Elles se rendent compte aujourd’hui que le cloud n’est pas donné ! »

Des prestataires qui se mettent en conformité avec la réglementation bancaire

Le choix des prestataires s’est fait en fonction des garanties que chacun d’entre eux pouvait proposer : « Cela fait plus de trois ans, au travers des échanges avec AWS que nous avons mis en place des conditions particulières contractuelles pour pouvoir répondre aux exigences réglementaires bancaires. Pour GCP (Google Cloud Platform), nous avons là aussi retravaillé le contrat avec Google pour qu’il respecte les exigences réglementaires de nos instances de tutelles. Dans notre domaine, tout changement devant être tracé, auditable, il est nécessaire d’investir sur une forge de développement [système de gestion de configuration, construction des livrables et déploiement, ndlr] permettant de mettre à jour en parallèle le cloud public et notre système d’information (SI). Ce besoin de cohérence de déploiement entre le cloud public et le SI existant est lié à la construction des nouveaux services bancaires proposés aux clients qui peuvent s’appuyer sur des solutions cloud public tout en utilisant les applications du SI existant (installées sur un cloud privé). Dans ce cas, nous parlons de cloud hybride. »

Chez Société Générale, outre le poste de travail, le cloud public sert aussi pour l’hébergement applicatif. « C’est une stratégie que nous avons démarrée en 2014 avec l' objectif d'avoir 80 % de nos infrastructures dans le cloud (public comme privé) en 2020 » se souvient Carlos Gonçalves. « Aujourd’hui, 65 % de la migration est effectuée dont 5 % dans le cloud public. Je ne pense pas, pour ma part, que les deux s’opposent. Nous utilisons le cloud public pour des débordements ou des applications aujourd’hui qui n’ont pas de données clients, car nous voulons vérifier que l’ensemble des promesses faites dans le cloud public par AWS et Azure en matière de sécurité et de conformité sont tenues. Ainsi, l’application ou le site Société Générale pour nos clients tournent sur nos infrastructures internes, mais si je fais une campagne marketing ou un site institutionnel, ils peuvent être placés dans le cloud public. »

Comme son collègue de Crédit Mutuel Arkea, Carlos Gonçalves a été attentif à la sécurité que lui garantissent ses fournisseurs : « Nous avons choisi deux prestataires, AWS et Azure, et nous avons travaillé avec eux et notre régulateur, la BCE, pour établir un contrat juridique avec quatre grandes clauses : la sécurité des données, la réversibilité des données, l’auditabilité des données et la localisation des données. Ne pas être dans le cloud public, c’est se couper de nouveaux services innovants. Le cloud (public ou privé) est un élément différenciant en matière d’agilité. Cloud public et cloud privé répondent à des besoins très différents. Sur Office 365, vous avez le système AIP ; les documents sont classés chez nous en C1, C2 ou C3. Les documents C3 (ceux qui contiennent par exemple des données clients) sont chiffrés et les clés de chiffrement sont stockées chez nous. La raison pour laquelle nous avons pris un certain temps pour faire la migration était que nous avions détecté quelques failles potentielles de sécurité qui n’étaient pas acceptables. En travaillant pendant plusieurs mois avec Microsoft sur le sujet, elles ont été réglées dans les dernières versions d’Office 365. » La Société Générale ira-t-elle plus loin sur le cloud ? « Il y a beaucoup de discussions sur l’analyse des données ou l’intelligence artificielle avec les différents fournisseurs. Nous en sommes au stade de POC (Proof of Concept) avec eux, mais pour l’instant nous n’avons pas de business case avéré », reconnaît Carlos Gonçalves.

Choix technique et méthodologie

Et au point de vue technique, qu’implique cette évolution ? Pour David Broc'h, « la première action technique consiste à avoir des interconnexions entre nos data centers et ceux des fournisseurs de cloud public pour nous assurer de la performance des temps de réponses. Nous utilisons des solutions de type nuage privé virtuel qui nous garantissent un temps de latence minimum dans le lien entre la partie du traitement sur le cloud public et la partie sur le cloud privé. Deuxièmement, il a fallu revoir la conception et l’architecture des applications. Nous avons besoin d’avoir des applications conçues pour limiter les allers/retours entre le cloud public et notre SI, d’adapter les applications historiques de notre SI pour qu’elles soient accessibles en API nécessitant de mettre l’accent sur la sécurité sur la partie applicative (et non plus faire porter la sécurité uniquement sur la segmentation réseau de notre SI) et surtout, pousser la stratégie de containérisation pour avoir des applications éligibles à tout cloud (chez nous au sein du cloud privé, AWS ou GCP).»

Pour Bruno Rey, responsable du secteur banque assurance chez Oracle, « il faut une méthodologie, tout ne peut pas aller dans le cloud : il faut faire un catalogue applicatif pour voir ce qui doit aller dans le cloud ou non, en tenant compte de l’interdépendance des applications. » Et voir ainsi ce qui gagne à aller dans le cloud public, ce qui doit rester en interne pour des raisons de sécurité, de réglementation ou même d’obsolescence. Mais également pouvoir mieux estimer les coûts qu’une migration vers un cloud hybride ou public entraînerait.

Accompagner les métiers dans le cloud

Un point de vue que partage Julien Chamonal, directeur commercial grand compte pour Varonis : « il y a deux volets à prendre en compte [dans le domaine de la sécurité dans le cloud] : la solution technologique, avec des investissements logiciels et technologiques à mettre en place et rapidement, et la partie méthodologique. On ne peut pas migrer quelque chose que l’on ne connaît pas. Aujourd’hui, nous avons beaucoup de clients qui commencent leur phase de migration par auditer leur existant : savoir ce qui est sensible, ce qui ne l’est pas, ce qui est soumis à réglementation… Une des grosses erreurs serait de déplacer un problème dans le cloud. Si vous avez des problèmes dans vos données dans vos data centers et que vous les déplacez dans le cloud, vous ne faites qu’aggraver le problème. Et il faut accompagner les métiers dans l’usage du cloud. »

Patrick Rohrbasser, vice-président régional France Afrique de Veeam, constate que « les banques sont en train de rénover leurs infrastructures en tenant compte du cloud, mais nous ne voyons pas une migration massive aujourd’hui. Ce sont des migrations ponctuelles, mais les banques rénovent tout du sol au plafond, pour être “cloud ready”, pour pouvoir s’hybrider avec du cloud public. Ce qui veut dire beaucoup d’automatisation pour avoir la capacité de bouger d’un cloud à l’autre, et créer des API pour se connecter à différents environnements… Et nous, nous intervenons sur la protection des données qui sont un petit peu partout. » C’est le cloud data management. Si les grands prestataires de cloud public ont une offre, des tiers comme Veeam ou Palo Alto Networks (avec son offre Prisma) et bien d’autres proposent des services similaires en offrant une vue globale sur l’ensemble de ses données. D’autres acteurs apparaissent, comme les CASB (Cloud Access Security Brokers), mais eux se concentrent sur le cloud public et sur l’envoi des données internes vers un service de cloud public, qu’il soit autorisé par l’IT ou non. « Nous intervenons également pour lutter contre le shadow IT, c’est-à-dire comment s’assurer que la politique mise en place par mon DSI et mon RSSI soit bien respectée », estime Karim Bouamrane, VP France et Europe du Sud de Bitglass, l’un des principaux fournisseurs de CASB. En pratique, les CASB bloquent la sortie des données considérées comme sensibles vers des services non autorisés ou si elle est demandée par un utilisateur ne disposant pas des droits. Ils vont également chiffrer les données. Encore une fois, si Bitglass et d’autres proposent un service unique, de nombreux prestataires vont quant à eux les intégrer à leurs offres de sécurité vers le cloud. Et dans tous les cas, cela ne remplacera pas le besoin de formation des gens du métier sur les risques et le bon usage du cloud public dans un cadre professionnel.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet