Comment les banques doivent migrer efficacement vers le cloud ?

Composante incontournable des systèmes d’information, portée par des exigences de transformation, de sécurité, de conformité... et de réalité économique, le cloud dans la banque n’est plus un sujet d’avant-garde. Pourtant, cette migration n’a rien d’évident. Elle impose un niveau de maîtrise et de lucidité inédit. Alors que les néobanques ont bâti leurs modèles sur des architectures cloud-native dès l’origine, les grands groupes bancaires progressent plus lentement. Complexité du legacy, silos organisationnels, gouvernance distribuée : les freins sont structurels.

Pourtant, les enjeux convergent : moderniser des infrastructures vieillissantes, répondre aux attentes d’agilité du marché, garantir une conformité renforcée (NIS2), tout en sécurisant des données sensibles. Résultat : la migration vers le cloud est amorcée partout, mais à des rythmes très variables et ce passage désormais obligé reste timide.

La majorité des grands acteurs adoptent aujourd’hui des approches hybrides, combinant clouds privés, clouds publics et infrastructures on-premise. C’est-à-dire avec du matériel et des logiciels installés et exploités dans les locaux de la banque. Cette hybridation n’est pas un compromis par défaut, mais une réponse ciblée à la diversité des usages bancaires.

Par exemple, côté front office, le cloud public est souvent mobilisé pour trois grands types d’usage : le déploiement de services digitaux évolutifs (app mobile, banque en ligne, services en temps réel), la personnalisation des parcours clients (notamment grâce à l’intelligence artificielle) ou l’accélération du time-to-market des innovations.

Côté back-office, le cloud privé ou hybride est privilégié pour l’hébergement des systèmes cœur (core banking, référentiels clients) avec des contraintes élevées de sécurité, de conformité et de performance, l’optimisation des processus de reporting réglementaire ou permet d’outiller les collaborateurs (analyse de données, outils collaboratifs sécurisés, RPA ou Robotic Process Automation).

Enfin, les infrastructures on-premise continuent de jouer un rôle pour certains systèmes critiques ou historiques, notamment lorsque leur refonte est trop complexe à court terme, ou lorsqu’ils sont soumis à des réglementations spécifiques, comme les traitements localisés sur le territoire national par exemple.

L’enjeu aujourd’hui est de tirer parti de chaque environnement pour maximiser la valeur métier : meilleure performance applicative, réduction du time-to-market, élargissement des services à la clientèle, optimisation des ressources IT... tout en garantissant une gouvernance robuste, notamment sur les données. Mais dans les faits, de nombreux projets bancaires se heurtent à des obstacles techniques, humains ou budgétaires. Et ils ne tiennent pas toujours les promesses initiales en matière de gain de temps, de coûts ou de qualité.

Plusieurs facteurs expliquent cette situation. Le premier de ces facteurs réside dans des migrations Lift & Shift sans refonte des architectures. Une migration Lift & Shift consiste à déplacer, transférer une application d’une ancienne infrastructure, souvent interne à l’entreprise, vers une nouvelle, comme le cloud, sans en modifier – ou presque – le fonctionnement.

Ainsi, de nombreuses banques ont transféré leurs applications vers le cloud sans adapter leur design d’architecture. Les applications n’ont pas été modifiées et leurs comportements n’ont pas été optimisés sur la nouvelle infrastructure du cloud. Or, celui-ci fonctionne différemment d’une infrastructure traditionnelle. Par exemple, chaque appel réseau peut être facturé, les ressources sont plus dynamiques. Les performances s’avèrent alors sous-optimales. En pareille situation, la « dette technique » est finalement déplacée, mais non résolue. Pire, les coûts d’exploitation peuvent parfois se révéler supérieurs à l’hébergement initial.

Une gouvernance inadaptée au modèle cloud est un autre de ces facteurs. Quand une entreprise passe d’un modèle traditionnel, dit « on-premise », où elle possède et gère elle-même ses serveurs, à un modèle de cloud public, où l’infrastructure est louée auprès de fournisseurs comme AWS, Azure ou Google Cloud, cela change profondément la manière dont les ressources informatiques sont utilisées et pilotées. Dans l’ancien modèle, les coûts d’infrastructure sont souvent répartis de façon globale ou estimative entre les services internes, sans lien précis avec l’usage réel. Les équipes ne voient pas donc toujours l’impact financier direct de leurs choix techniques.

À l’inverse, le cloud fonctionne selon un modèle où l’on paie à la consommation. Ce qui induit le suivi de la consommation, la compréhension des coûts, et parfois l’adaptation de son usage pour éviter le gaspillage. Or, dans de nombreux établissements, la gouvernance est inadaptée à cette nouvelle logique de consommation « à l’usage ». Les dépenses IT restent encore planifiées à l’avance, sur la base de forfaits fixes, sans lien direct avec l’usage réel des services cloud. Dans certains cas, les organisations ont même vu leurs coûts augmenter, faute de stratégie cloud claire, ou de pilotage FinOps (contraction de Finance et Operations). Cette démarche vise à mieux maîtriser les coûts liés à l’utilisation du cloud et donc à éviter les gaspillages, avec des appels réseau trop fréquents ou des serveurs tournant inutilement la nuit ou le week-end par exemple. L’idée est d’adapter le fonctionnement de l’application pour qu’elle ne consomme que le strict nécessaire.

Le déficit de compétences en interne représente un troisième facteur. Adopter le cloud ne se limite pas à un changement d’infrastructure. Cela exige de nouvelles expertises (SRE, ou ingénierie de la fiabilité des sites, DevSecOps, ou Développement, Sécurité et Exploitation, architectes cloud natifs...), souvent absentes ou trop rares au sein des directions des systèmes d’information (DSI). Certaines équipes ont donc eu du mal à exploiter pleinement les capacités offertes par les services managés.

Vient aussi s’ajouter le risque de la migration sans changement de culture, c’est-à-dire sans adapter l’organisation de l’entreprise aux nouveaux outils et aux nouvelles fonctionnalités. Sans une approche transverse, les projets se heurtent à des zones grises de responsabilité, des blocages réglementaires ou des retards dus à des validations éclatées. Migrer sans changer de culture et sans adapter l’organisation, c’est souvent reproduire les mêmes blocages sur un nouvel environnement. Or, plusieurs métiers (IT, sécurité et conformité) doivent coopérer pour mener à bien la migration vers le cloud.

En résumé : le cloud n’est pas déceptif par nature, mais il le devient sans adaptation organisationnelle ni montée en compétences. Le cloud n’est pas une solution miracle. Mais c’est clairement un passage obligé pour rester compétitif et innovant. L’enjeu n’est pas de choisir entre cloud privé ou public, mais de construire une architecture hybride cohérente, résiliente, évolutive – et gouvernée. C’est aussi une question de souveraineté, de sécurité et de robustesse économique. À condition de ne pas se tromper de combat : ce n’est pas le cloud qui est risqué, ce sont les projets mal préparés. Alors, comment réellement réussir sa migration cloud ?

La première chose à savoir : l’enjeu n’est plus technique : il est stratégique, organisationnel, budgétaire. Les DSI, CTO et RSSI du secteur bancaire l’ont bien compris et ont gagné en maturité. Ils ne cherchent plus à « faire du cloud », mais à intégrer ces technologies comme des enablers, au service de priorités métiers. Dans la pratique, s’il fallait dresser un mode d’emploi garantissant le succès, il faudrait, dans un premier temps, prendre en considération l’humain.

Les projets cloud bien conduits embarquent les trois profils principaux. D’abord, des profils FinOps, pour piloter les coûts réels et optimiser les consommations et dépenses liées au cloud. Ils travaillent étroitement avec les équipes techniques et financières pour s’assurer que les ressources cloud sont utilisées efficacement, sans gaspillage, tout en maîtrisant les coûts. Ensuite, des architectes cloud natif, capables de repenser les applicatifs, pour concevoir des applications spécialement pensées pour le cloud. Ils ont recours à des technologies modernes (Docker, Kubernetes) pour créer des systèmes flexibles, rapides et faciles à adapter. Enfin, des data stewards, profils experts garants de la qualité, de la traçabilité et de l’usage des données. Elles doivent rester fiables, bien organisées, compréhensibles et utilisables correctement par tous.

Il est également recommandé d’intégrer des référents cybersécurité dès les premières phases des projets cloud, afin de garantir que les exigences de sécurité soient prises en compte de manière proactive et continue. Les banques qui investissent sur ces expertises, en interne ou en externe, s’assurent une transformation durable, et non subie.

Par ailleurs, en tant que « projet technologique », une migration réussie comporte plusieurs étapes. Tout d’abord, un cadrage clair des cas d’usage visés : innovation, performance applicative, ouverture API, traitement temps réel, IA, etc. Un travail précis sur la nature et la sensibilité des données migrées, avec une politique de classification, de chiffrement et de gouvernance adaptée.

Ce travail doit être suivi d’un choix éclairé du type de cloud : public pour la scalabilité et les services managés ; privé pour les charges réglementées ou critiques ; hybride pour combiner les deux. Enfin, comme évoqué plus tôt, la sécurité doit être pensée dès la conception, intégrée aux architectures (security by design) et partagée entre acteurs (modèle de responsabilité partagée).

La migration vers le cloud ne marque pas la fin d’un chantier technologique, mais le début d’une nouvelle phase stratégique pour les banques. L’enjeu désormais est de structurer la prochaine génération de projets cloud autour de véritables leviers de valeur : modularité des architectures, intelligence artificielle intégrée, gouvernance data renforcée, optimisation des coûts via le FinOps... autant de priorités essentielles à la compétitivité du secteur. L’avenir ne sera pas cloud ou non-cloud, mais composable, hybride, et résolument piloté. Pour innover sans se fragiliser, les banques devront renforcer la collaboration entre IT, métiers et sécurité, investir sur les compétences, à l’interne ou en soutien externe, et intégrer les technologies comme des catalyseurs de performance, pas comme des objectifs en soi.