Les mastodontes de la banque en Espagne ne sont guère différents de leurs pairs européens. Coincés dans une architecture vieillissante complexifiée par les mouvements de consolidation successifs, ces établissements se sont naturellement tournés vers le cloud en quête de solutions pour améliorer leur agilité.
En 2019, près de 65 % des banques espagnoles sondées par la Banque Centrale d’Espagne avaient en effet adopté des technologies cloud, comparé à seulement 31 % au sein des entreprises espagnoles (source Eurostat) en 2021. Or, d’après une étude de Google Cloud publiée l’an dernier, l’adoption des technologies du cloud par les acteurs de la banque en France, en Allemagne et au Royaume-Uni atteignait seulement 45 %. « Les principales banques espagnoles ont développé une approche cloud plus rapidement que leurs paires européennes principalement parce que cette technologie permettait à la fois la réduction des coûts et une accélération de la transformation numérique, explique Josep Gisbert, professeur assistant au sein de l’IE Business School à Madrid. Sans grande surprise : ces établissements ont subi de plein fouet les effets de la crise financière et ont été sous pression pour réduire leurs coûts et changer leur modèle économique. »
Dans ce contexte, les deux principales banques du pays, le numéro un Santander et le numéro deux BBVA ont fait le même choix d’un cloud hybride. « En général, il s’agit d’une très bonne option pour les banques dans la mesure où la migration peut s’opérer au travers d’une série de changements, explique Jost Hoppermann, analyste au sein du cabinet d’études américain Forrester. Ce modus operandi est tout à fait compatible avec la façon dont se transforment ces établissements, généralement par petites touches, ce qui leur permet d’utiliser leurs capacités existantes. »
Pour le numéro deux de la banque espagnole, la migration vers le nuage remonte à 2012 : BBVA annonce alors l’adoption de la suite des outils de productivité de Google (Gmail, Google Chat, Calendar), une expérience d’abord limitée à l’Espagne puis généralisée à l’ensemble des 26 pays d’implantation de la banque et de ses 110 000 collaborateurs d’alors. À l’époque, l’initiative marque la première concrétisation à grande échelle des promesses du cloud computing dans le secteur bancaire européen. Hier comme aujourd’hui, la réduction des coûts comme l’efficacité des salariés ne figurent pas parmi les objectifs mis en avant : « Notre collaboration avec Google Cloud avait démarré parce que nous avions besoin d’une plateforme sûre pour travailler de façon collaborative au niveau mondiav », se souvient-on chez BBVA. La pandémie a d’ailleurs permis de valider ce modèle : dès les premiers jours du confinement, tous les employés des services centraux du siège espagnol de la banque – soit quelque 10 000 personnes – ont travaillé à domicile : « L’accès à distance des employés a été multiplié par sept, par rapport à une semaine de travail normale, explique-t-on chez BBVA. Cette augmentation significative n’a posé aucun problème à la capacité du système de BBVA, qui se situait toujours à 50 %. »
Au fil des années, la collaboration avec Google s’est renforcée et étendue à d’autres domaines : le numéro deux bancaire a ajouté l’an dernier à sa boîte à outils Chronicle, conçu pour permettre aux entreprises de conserver, d’analyser et d’effectuer des recherches dans les quantités massives de données de sécurité et de télémétrie réseau qu’elles génèrent : « Nous ne voyons pas Google Cloud comme un fournisseur mais plutôt comme un allié. Nous travaillons avec l’état d’esprit pour collaborer à la solution aboutie et aux feuilles de route », martèle Ivan Gomez Gonzalez, responsable de la stratégie des fournisseurs chez BBVA.
Grâce à ce partenariat, la banque déclare développer de nouveaux services en tout juste neuf mois alors même que la moyenne dans l’industrie est de deux ans. En banque de détail, BBVA a ainsi utilisé les ressorts du cloud pour améliorer le parcours client, et notamment en développant une application de banque mobile, identifiée depuis plusieurs années parmi les meilleures applications de ce genre en Europe par le cabinet d’études américain Forrester. « La création de plateformes d’engagement à l’image de la banque mobile ou des plateformes numériques marque un véritable bond en avant dans la stratégie cloud des banques, plutôt réticentes à se lancer dans ce genre de services il y a encore quelques années », signale Jost Hoppermann.
En parallèle, le numéro deux espagnol a construit depuis 2016 un réseau d’alliances avec des partenaires technologiques clés à l’image de Cisco, Red Hat, Salesforce, Amazon Web Services, IBM, Intel, ou encore Netapp : « Nous avons réalisé qu’une plateforme mondiale hybride permettrait aux développeurs de BBVA de construire facilement, déployer mais aussi opérer de multiples services bancaires », relate un porte-parole de BBVA. L’une des applications directes de ce maillage mondial s’est notamment matérialisée par le lancement fin 2020 de BBVA C-Fit. En collaboration avec Amazon Web Services et Bloomberg, la banque a développé une technologie basée sur le cloud destinée à ses activités de banque de financement et d’investissement. Objectif : renforcer l’efficacité de la gestion des risques de l’équipe actions et élargir de manière significative la gamme des services. « Une stratégie multi-fournisseurs permet à un établissement bancaire de réduire son risque opérationnel, estime Juliette Macret, vice-présidente chez IBM en charge du déploiement cloud dans la région EMEA. L’arrivée imminente de la réglementation Dora va pousser les banques à diversifier leur portefeuille de fournisseurs et à s’assurer de leur parfaite interopérabilité de façon à pouvoir changer de prestataires et trouver une offre équivalente. »
Cette stratégie de partenariats multiples a d’ores et déjà porté ses fruits : depuis fin 2015, le nombre des clients de BBVA a progressé à hauteur de 23,8 % en passant de 66 millions à 81,7 millions à l’heure actuelle. Les clients numériques représentent désormais 69,4 % du total, soit 41,8 millions de personnes.
Plateforme OHE et clouds publics
Chez Santander, la digitalisation est aussi loin d’être un simple slogan marketing. Et, comme chez sa concurrente, le cloud constitue un moyen de passer à l’ère numérique. 2019 marque un tournant : alors que l’établissement avait développé par le passé différentes stratégies cloud, il décide cette année-là de fédérer l’ensemble de ses initiatives autour d’un programme interne OHE (Optimized Hosting Environment) associé à différents clouds publics à l’image d’Amazon et de Microsoft : « Notre engagement dans une solution globale nous permet d’assurer la convergence avec la même plateforme et de fournir un service homogène à presque tout le monde à travers l’ensemble des géographies dans lesquelles nous opérons, comme One Santander », explique Eric Cambos, responsable mondial cloud au sein de Santander.
One Santander est un modèle commercial commun de collaboration entre les différents pays dans lesquels l’entité est présente (Espagne, Portugal, Royaume-Uni, États-Unis, Mexique, Brésil, Pologne, Chili, Argentine), ce qui lui permet de tirer parti de la taille du groupe pour stimuler sa croissance et gagner en efficacité et en rentabilité. « Nous avons travaillé à la définition de nos principes de cloud certifiés Santander, y compris notre architecture de référence, et aussi à la définition d’un modèle fédéré travaillant avec toutes les entités, ce qui nous a permis d’améliorer considérablement nos niveaux de service », poursuit le dirigeant.
Depuis la mise en œuvre de cette nouvelle architecture, les principales applications de l’entreprise fonctionnent sur le cloud. Les améliorations sont aussi palpables sur un plan environnemental : le groupe évoque une réduction de l’ordre de 70 % de la consommation énergétique de ses centres d’appels et de 50 % pour l’espace occupé. « Dans certains cas, les temps de réponses aux guichets automatiques sont passés de 10 à 20 secondes à presque instantanément aujourd’hui », détaille aussi Eric Cambos. Pour le responsable de Santander, le succès d’une formule de cloud hybride réside dans l’existence d’un cadre réglementaire très strict où les données sont sanctuarisées, « par exemple, nous pouvons avoir un front end (partie client) dans le cloud public et l’ensemble du back end (partie serveur) dans le cloud privé, signale-t-il. Le cloud privé nous permet de créer rapidement des environnements de test à faible coût et d’accélérer la prise de décision. »
La rentabilité, élément crucial
Professeur spécialisé en sciences des données à l’ESADE à Barcelone, Jordi Nin ne voit pas que des avantages à cette formule : « En interne, le groupe estime qu’il possède une meilleure maîtrise des données et que la formule facilite aussi les retours en arrière si nécessaires dans la mesure où il n’y a pas de verrouillage de la part des prestataires de cloud. La lenteur et la difficulté de gestion peuvent néanmoins constituer de vrais freins. » Chez Santander, on préfère égrener les bienfaits apportés aux développeurs informatiques (agilité, flexibilité et liberté de choix…) et l’impact sur l’innovation : la migration vers le cloud a ainsi tout particulièrement bénéficié à PagoNxt, lancée par le groupe fin 2020 pour réunir l’ensemble des activités de paiement du groupe.
Cette plateforme internationale, dont les revenus ont bondi l’an dernier de 47 % à 495 millions d’euros est « cloud native ». Elle est donc conçue spécialement pour offrir une expérience cohérente de développement et de gestion automatisée dans les différents : « grâce à cette technologie, PagoNxt construit des plateformes mondiales de manière plus sécurisée, ce qui permet de mieux servir nos clients », souligne Eric Cambos. La rentabilité du processus de migration vers le cloud est évidemment un élément crucial dans la stratégie du groupe : « Il faut s’assurer que les plans de migration sont bien liés aux plans de démantèlement et qu’ils sont réalisés en parallèle », souligne le responsable de Santander.
Pour l’heure, le numéro un espagnol a migré 79 % de son infrastructure dans le cloud fin 2021 et vise à atteindre 90 % d’ici à la fin de cette année.
Santander comme BBVA restent néanmoins discrets lorsqu’il s’agit de chiffrer l’étendue des économies de coûts consécutives à la mise en place d’une stratégie cloud : « Les établissements bancaires parviennent à réaliser des économies sur les nouveaux besoins lors de leur recherche d’agilité, de même celles-ci peuvent être vérifiées lorsque les volumes sont importants, estime Juliette Macret. Le retour sur investissement des projets de migration cloud s’opère en général après 18 mois et les bénéfices de cette industrialisation se manifestent notamment au niveau de la gestion des différentes versions et du maintien en condition opérationnelle. »
Preuve de l’intérêt économique de cette migration, les projets de Santander se poursuivent : « Nous avons un certain nombre de projets aux États-Unis et au Royaume-Uni et travaillons sur notre projet de nouvelle génération destiné à mettre à jour l’infrastructure et à continuer à offrir des services innovants, souligne son responsable mondial cloud. La qualité de service à nos clients est au cœur de nos priorités, au même titre que la rentabilité. »
« La Banque d’Espagne ne se conforme que partiellement aux lignes directrices européennes »
Où en est-on de l’encadrement réglementaire des banques européennes en matière de cloud ?
L’Autorité bancaire européenne (ABE) et l’Autorité européenne des marchés financiers (AEMF) ont publié, en 2019-2020, des lignes directrices destinées à être reprises par le projet de règlement européen sur la résilience opérationnelle et numérique du secteur financier (DORA), publié par la Commission européenne en septembre 2020.
Schématiquement, le premier volet de ce projet de règlement prévoit des obligations à la charge des entités réglementées concernées en matière de maîtrise des risques liés à leurs dispositifs de aux technologies de l’information et de la communication (TIC).
Le deuxième volet, plus novateur, soumet les prestataires de services de TIC considérés comme critiques à une obligation de s’établir dans l’Union et à une surveillance directe par les trois autorités de supervision européenne coordonnées par l’une d’elles désignée comme superviseur principal. Pour l’heure, le projet de règlement est en cours de discussion. En décembre dernier, le Parlement européen en a substantiellement modifié le texte en première lecture. Son adoption définitive devrait intervenir au cours de l’année 2022.
Quelle était la situation de départ au niveau européen ?
En l’absence de règles contraignantes spécifiques, la réglementation au niveau national et européen est lacunaire et hétérogène. Le risque sur les prestataires de cloud a été avant tout appréhendé sous l’angle de l’externalisation. En matière bancaire, ce sont des règles nationales, plus ou moins contraignantes, qui régissent l’externalisation. Ce n’est que très récemment que les autorités européennes ont tenté d’harmoniser ces règles grâce à des lignes directrices ; en matière bancaire, l’ABE a toutefois mis à jour les lignes directrices émises en 2006 par son prédécesseur, le Committee of European Banking Supervisors (CEBS), qui n’avaient pas de valeur normative). Mais les autorités de certains États membres n’ont pas souhaité y adhérer pleinement, comme par exemple, la Banque d’Espagne qui a indiqué qu’elle ne se conformerait que partiellement à ces lignes directrices, en raison de leur incompatibilité avec la réglementation espagnole concernant la réception des dépôts et les services de paiement, ou encore le régulateur polonais qui ne les appliquera pas aux services de cloud.
À quelle réglementation une banque européenne possédant des activités aux États-Unis, comme c’est le cas de Santander, devra-t-elle se conformer ?
À l’heure actuelle, les autorités américaines ont le dernier mot. Ces derniers temps, on a beaucoup parlé du CLOUD Act (Clarifying Lawful Overseas Use of Data Act), dont l’objectif est de permettre aux autorités américaines d’obtenir de la part de tout prestataire de services informatiques ou de communication électronique la communication des informations dont ils sont détenteurs. Du fait de la nationalité des GAFAM, l’efficacité de ce texte ne fait aucun doute. Toutefois, ses conditions d’application sont très encadrées. En revanche, d’autres textes plus anciens, comme le FISA, sont bien plus intrusifs. Or, DORA n’a pas pour objectif de restreindre l’accès des autorités de pays tiers à l’information détenue par un fournisseur de services TIC soumis à ce règlement. D’ailleurs, DORA n’impose pas que les données détenues par les prestataires soient stockées dans l’Union. n
Propos recueillis par Stéphanie Salti.
