Systèmes d’information

Le télétravail transforme en profondeur l’infrastructure informatique des banques

Même si, avant 2020, de nombreuses sociétés du secteur financier avaient déjà adopté une organisation du travail plus flexible, la crise sanitaire les a forcées, quelle que soit leur taille, à adopter le travail à distance à grande échelle. Quelles sont les conséquences pour leurs systèmes informatiques ?

Fabrice Mazars

Y aura-t-il un avant et un après 2020 dans la façon dont le secteur financier envisage le travail ? Si, à l’heure où nous écrivons ces lignes, des questions se posent encore sur l’émergence du « monde d’après » au niveau humain, économique ou sociétal dans la période à venir post-pandémie, il n’en est pas de même pour la partie technique de l’activité. Contraintes d’accélérer à marche forcée leur avancée vers le télétravail, les banques traditionnelles ont dû donner plus de souplesse à leurs organisations et à leurs systèmes d’information, tout en respectant les contraintes réglementaires et les impératifs de sécurité propres à leurs domaines d’activité. Les FinTechs, pourtant plus habituées à une grande utilisation du cloud et plus de flexibilité d’organisation, ont dû également faire des ajustements. Et que l’on se penche du côté des utilisateurs ou des prestataires, la vision des choses diffère.

Au début du confinement : parer au plus pressé

Côté prestataire, Fabrice Mazars, consultant stratégie IT de VMware France auprès du secteur financier, constate que si les banques françaises avaient déjà expérimenté un télétravail « limité à des postes administratifs ou centraux, sans les agences ni les salles de trading », lors du premier confinement, elles ont choisi de parer au plus vite. « Je prends ce que j’ai comme solution et je réplique à plus grande échelle. Globalement, elles avaient des VPN [1]et elles ont rajouté de la bande passante et des connexions VPN pour tous. Elles avaient d’autres solutions dans les cartons, mais elles ont pris ce qu’elles avaient déjà en place. » Du coup, il y a eu des tâtonnements avec, dans certaines banques, la mise en place d’une équipe bleue et d’une équipe rouge, pour éviter les saturations de bande passante. Il fallait également équiper beaucoup de collaborateurs, donc les commandes de PC portables ont été plus importantes, avec un lourd travail d'alignement sur les standards de la banque. Et maintenant ? Pour Fabrice Mazars, « l’entreprise est beaucoup plus ouverte et les solutions VPN qui ont été conçues il y a dix ans, voire plus, ne conviennent plus. Les banques travaillent à fournir un accès à leurs collaborateurs et partenaires sans contrainte tout en respectant la conformité. De plus, elles délèguent désormais une partie du contrôle à d’autres sociétés via les services cloud et SAAS qu’elles utilisent. Il faudra aussi repenser cette collaboration avec les éditeurs. » Ce qui se résume pour lui en une question : comment sécuriser et maîtriser l’environnement des utilisateurs (salariés, partenaires ou clients) pour limiter la surface d’attaque ? De son côté, Jean-Michel Tavernier, directeur régional pour la France d’Ivanti, une plate-forme d’automatisation pour la sécurisation des infrastructures, appareils et personnes, fait un constat assez similaire : « L’an dernier, les banques ont pris zéro risque : elles ont utilisé les solutions existantes en augmentant le débit », avec, comme pour tout le monde, des problèmes d’engorgement des réseaux que ce soit par la 4G ou l’ADSL. Problème décuplé par les différentes couches de sécurité nécessaires pour accéder aux données sensibles. Une fois le premier confinement passé, ses clientes sont passées en présentiel partiel : « Une grande banque française fait une semaine sur deux en équipes décalées, d’autres clients une journée par semaine au bureau. » Et prépare la suite. « Aujourd’hui, elles gardent le VPN car même si elles veulent passer leurs applications dans le cloud, elles travaillent d’abord sur un cloud privé dans ce domaine (voir pages suivantes, ndlr). Nous finissons la sécurisation des données et des applications sur les appareils personnels et professionnels des utilisateurs. Ensuite, les banques passeront dans le cloud et rechangeront la façon dont leurs collaborateurs s’y connectent. Je vois une troisième étape qui est de repenser la globalité de la sécurité pour n’avoir qu’à sécuriser l’application dans le cloud. Mais là, on est tributaire de l’opérateur qui sera derrière le cloud privé. »

En s’appuyant sur le cloud, les FinTechs sont prêtes

Et côté institutions financières ? Tout dépend de la taille et de l’ancienneté. Plus agiles et plus récentes, la plupart des FinTechs n’ont pas eu de problèmes particuliers pour passer au télétravail. Comme l’explique Maxime Laot, responsable Risques chez Qonto : « Nos salariés sont en télétravail conceptuellement même quand ils sont dans les locaux de Qonto. Ce qu’il leur faut, c’est un ordinateur sécurisé et des services sécurisés. » Plus précisément, la société a une approche classique avec comme principale couche de défense, la gestion des droits des utilisateurs qui détermine qui peut faire quoi avec quelles données et dans quelle application. « Nous avons un outil SSO (Single Sign-On, ndlr) qui centralise la gestion des droits utilisateurs qui gère l’enrôlement des nouveaux employés et les changements de poste au sein de Qonto. » Toutes les applications de l’entreprise, qu’elles soient développées en interne ou par des services tiers, y sont référencées. De plus, outre un VPN classique pour sécuriser la connexion entre le terminal du collaborateur et le serveur hébergeant les données chez Amazon Web Services, la société utilise des outils d’analyse comportementale pour vérifier que les comptes des salariés comme des clients n’ont pas été usurpés. Il faut dire que Qonto était déjà bien préparé. Selon Sarah Ben Allel, sa DRH, la société avait déjà, avant la pandémie, des développeurs un peu partout dans le monde à 100 % en télétravail, et les autres collaborateurs avaient un jour par semaine en télétravail. Aujourd’hui, au début de l’année 2021, la FinTech conserve un fonctionnement hybride, même si le télétravail à 100 % est la norme : « Nos 300 collaborateurs travaillent le plus possible de chez eux depuis le début de la pandémie du Covid. Seules quelques fonctions se voient délivrer une attestation pour venir au bureau comme le back-office pour réceptionner les courriers ou accueillir les huissiers par exemple, ou encore le service IT. Nous faisons aussi attention à délivrer des dérogations exceptionnelles aux salariés qui ne sont pas dans de bonnes conditions (matériel) ou isolées (bien-être psychique).

Avant la pandémie, nous avions 10 % de l’équipe globale sous des contrats 100 % en télétravail. Le reste bénéficiait d’au moins un jour de télétravail par semaine. Désormais, nous savons que cette tendance va s’accentuer et nous allons continuer à développer des modes de travail flexibles pour répondre aux attentes des équipes. »

Autre FinTech et même ambiance convaincue, chez Revolut : la situation instaurée par la pandémie est en passe d’être pérennisée. La FinTech va transformer ses locaux en Rev Labs, des espaces collaboratifs pour les employés qui souhaiteront tout de même se retrouver en équipe de temps en temps pour des travaux de groupe ; le reste du temps, hors postes indispensables (comme l’accueil ou certaines maintenances IT), la norme sera le télétravail. Comme l’explique Georges Nilles, DG France et Benelux chez Revolut : « Avant la pandémie, nous avions une politique où un jour par semaine, tout le monde pouvait travailler de chez soi. Pendant le confinement, nous étions prêts. De plus nos interactions sont déjà internationales. » Les visioconférences et les outils collaboratifs font déjà partie des packs logiciels manipulés au quotidien par les équipes comme Jira pour la gestion de projet, Slack pour la messagerie directe, la suite Google, Confluence, Figma, Sketch ou GitHub… S’y ajoutent des outils maison comme RevoLearn, une plate-forme de formation interne (y compris sur la cybersécurité, les crimes financiers ou la protection des données) ou le service client. « La pandémie n’a pas trop changé notre façon de travailler. Quand il est apparu que le Covid allait rester, nous avons équipé tous nos employés : tout le monde a un budget à dépenser en écrans, chaises, etc. Et nous avons fait en sorte que nos salariés aient des interactions similaires aux interactions de bureau. Par exemple, nous avons mis en place des guildes pour que les personnes puissent échanger sur des sujets habituellement discutés à la machine à café. Tous les employés reçoivent un ordinateur de la part de Revolut préparé à Londres puis envoyé avec toutes les mesures de sécurité. Tout ce qui touche à la sécurité et à l’infrastructure émane de Revolut. » Comme les autres, la FinTech gère les droits d’accès aux données en fonction de la position de chaque salarié dans l’entreprise, avec un renouvellement tous les mois. De plus, toutes les connexions sont enregistrées dans des logs. La formation et la sensibilisation aux risques des équipes passent également par de la formation en ligne : une période de trois semaines au moment de l’embauche, puis une formation continue mensuelle. Et comme le constate Georges Nille, ça marche : « Nous avons recruté beaucoup de collaborateurs pendant le confinement. Nous essayons de faire en sorte que tout le monde soit maître de son propre travail, et sache se manager. Et les chiffres sur la productivité montrent que nous avons réussi à maintenir tous nos objectifs. »

Une accélération de la transformation numérique pour les banques traditionnelles

Les banques traditionnelles ne sont pas en reste. Beaucoup, parmi les plus grandes, avaient déjà envisagé le télétravail quelques jours par mois pour une partie de leurs services avant la crise. Et toutes, de la plus petite à la plus importante, ont pris la mesure des avantages de cette flexibilité en 2020. Nombre d’entre elles ont refusé de prendre part à ce dossier, précisément parce que des négociations sont en cours pour revoir les accords de télétravail dans leurs réseaux post-Covid. Même les plus petites négocient d’arrache-pied : faut-il deux ou trois jours de télétravail ? Comment choisir les dates ? Peut-on imposer un débit minimal et comment le vérifier ? Le budget alloué pour l’équipement du salarié (hors PC et smartphones toujours fournis par la banque) doit-il être considéré comme des frais, une prime ou passe par une augmentation de salaire ?

Parmi les grandes banques traditionnelles ouvertes sur le télétravail et plus généralement sur une approche flexible du travail, deux tendances se distinguent. Celle de la Société Générale d’un côté, qui expérimente le télétravail depuis 2016 et avait déjà 12 500 collaborateurs en télétravail en Europe avant la crise sanitaire, principalement dans les services généraux. Mais Carlos Gonçalves, directeur des infrastructures du groupe Société Générale, le rappelle : « Techniquement, il n’y a plus aucun secteur au sein du Groupe qui ne peut télétravailler. Ce qui est fait en agence pourrait se faire en télétravail, la plupart des documents peuvent être signés électroniquement. Notre modèle relationnel reste basé sur un dispositif qui allie le meilleur de l’humain et du digital. Or, durant le confinement, nos clients ont eu besoin d’aller en agence pour bénéficier de l’accompagnement de nos conseillers, car tout le monde n’est pas digital native. C’est pourquoi 80 % de nos agences sont demeurées ouvertes pendant le confinement. Nous avons été l’une des premières banques à déployer massivement le télétravail en un temps record, y compris dans les salles de marché : nous avons permis à l’intégralité de nos traders de travailler à distance. Pour assurer la connectivité, nous avons mis en place une plate-forme dédiée pour les salles de marché avec un débit adapté (notamment concernant la latence entre l’affichage à l’écran et ce qui se passe dans les serveurs), en conservant la capacité d’enregistrer totalement les conversations pour être conforme à la réglementation. » La banque disposait déjà de procédures fiables pour le contrôle des droits d’accès, le déploiement des PC, et les mesures de sécurité adéquates. Comme l’utilisation de solutions DLP analysant tous les mails et autres opérations pour éviter que des informations sensibles ne quittent le réseau de l’entreprise, la fermeture des prises USB sur les portables fournis par la banque, la sécurisation des accès multifacteurs et la possibilité d’accéder à un poste déporté dans une bulle Citrix pour les salariés non encore équipés. Il a surtout fallu adapter rapidement l’échelle pour passer 55 000 salariés (pour l’Europe) en télétravail, « et mettre en place des processus de double validation pour certaines opérations. » Près d’un an après le début de la crise, il fait un constat : « La Covid a accéléré une conduite du changement dont on pensait qu’elle serait beaucoup plus difficile. Nous venons de signer un nouvel accord de télétravail, applicable aux 40 000 collaborateurs en France qui entrera en vigueur après le 1er juin 2021 si la situation sanitaire le permet. Il prévoit en moyenne de 1 à 2 jours par semaine, avec un jour de télétravail supplémentaire possible par mois. Dans la banque de détail, une expérimentation est en cours pour décider des modalités d’application du télétravail et organiser son déploiement progressif à partir de 2022. »

Autre banque où le télétravail existait déjà avant la pandémie : La Banque Postale. La société avait environ 39 % de télétravailleurs partiels avant le premier confinement, principalement côté service informatique. Ce qui fait que, selon Philippe Cuvelier, DSI de La Banque Postale et du réseau La Poste : « Nous avions les infrastructures qui permettaient de télétravailler et un déploiement assez fort de terminaux portables. » Pour autant, la situation lors du premier confinement n’était pas simple. « Nous avions une population d’à peu près 60 000 à 70 000 personnes à adresser, dont 20 000 à part, car ils sont dans le réseau des bureaux de poste à l’accueil, à des postes qui ne sont pas télétravaillables. Il en reste 43 000 qui devaient être en mesure de télétravailler. Il fallait fournir le matériel, mais également obtenir l’autorisation de la part des métiers et du risque. Une cellule dédiée a été chargée de donner l’autorisation sur l’accès au VPN. Dans certains métiers il a fallu réduire les droits d’accès : certaines activités ne se font que sur le lieu de travail. » Outre la fourniture d’outils, il a fallu mener une vaste campagne d’accompagnement dans l’usage des outils, comme ceux de visioconférence assez peu utilisés auparavant. Cela s’est fait par des communications sur l’intranet et par mail, avec beaucoup de cas pratiques pour répondre aux questions concrètes des utilisateurs. Il faut aussi penser à la coordination avec les autres membres de l’écosystème bancaire. Ainsi si « l’outil pour continuer à fonctionner a été la plate-forme collaborative de Microsoft, utilisée sur tout le groupe La Poste, nous continuons à avoir des réunions avec nos partenaires en Webex, notamment les missions avec le régulateur (BCE ou APCR) » précise Philippe Cuvelier. Et maintenant ? L’infrastructure continue à évoluer avec une augmentation des postes de travail virtualisés, comme le poste commercial par exemple. Et « toutes les procédures dérogatoires sont suivies mensuellement, comme l’authentification par token logique mise en œuvre lors de la crise, mais une version plus sécurisée avec un token physique est en cours de déploiement. » Peu à peu, les innovations apportées lors de cette crise sanitaire se pérennisent dans l’infrastructure, tout en évoluant pour, maintenant que l’urgence est passée, gagner en sécurité et en efficacité.

 

[1] Virtual Private Network ou réseau privé virtuel : tunnel de connexion sécurisée, ici entre le poste des salariés et le système d’information bancaire.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet