Derrière l’infrastructure, l’usage et la confiance

La migration vers le cloud n’a cessé d’augmenter ces dernières années. Un mouvement mondial qui a connu une accélération sensible durant la crise sanitaire et qui devrait se poursuivre de façon très marquée cette prochaine décennie. Les services de cloud représentent pour l’heure un marché estimé aux alentours de 400 milliards de dollars (366,5 mds d’euros), selon Gartner qui anticipe que plus de la moitié des dépenses informatiques seront liées au cloud d’ici à 2025. Disponibilité, accès facilité à l’innovation, rapidité d’intégration de nouvelles solutions et de déploiement à grande échelle, mutualisation des capacités de stockage et de calcul, consommation à la demande : le cloud ne manque pas d’attraits.

Pour que le client utilise les produits et les services bancaires, il faut lui offrir la meilleure expérience possible. Et derrière tout cela, c’est une IT agile, fiable, moderne et sécurisée qui œuvre dans les coulisses. C’est pourquoi tous les sujets de transformation numérique ne peuvent être appréhendés sans considérer l’ensemble de la chaîne technologique. Le passage au cloud permet clairement d’accélérer la mise en œuvre des projets, répondant ainsi aux évolutions permanentes des usages digitaux des clients qui requièrent une grande flexibilité pour adapter en temps réel les puissances de calcul, de traitement de données et de stockage, et ce, de façon industrialisée. Et ce n’est évidemment pas la seule vertu à siéger dans les nuages : c’est aussi la possibilité d’accéder rapidement aux technologies les plus performantes. Le cloud se prête en effet très bien à l’innovation puisqu’il favorise, grâce aux API, la collaboration entre IT, métiers et partenaires, fintechs en premier lieu, souvent hébergées dès leur création chez des prestataires. Cela permet d’interagir avec l’existant, d’imaginer et de créer plus rapidement de nouvelles fonctionnalités, de combiner des services ou tout simplement d’itérer, et ainsi, accélérer le développement de nouveaux usages autour de la data ou de l’intelligence artificielle.

Si les acteurs bancaires français ont adopté différemment le cloud computing, tous ont le souci de la sécurité et de l’intégrité des données. Pour une banque, être tiers de confiance, ce n’est pas une incantation, c’est une réalité. Ayant toujours eu à gérer des données sensibles, les grandes banques traditionnelles sont très avancées sur le sujet de la protection des données et y sont extrêmement vigilantes depuis longtemps. Cela ne signifie aucunement qu’elles sont fermées au basculement vers le cloud, preuve en est, elles sont nombreuses à l’avoir fait. Cela montre leur niveau de maturité quant aux dispositions à prendre pour assurer la sécurité des systèmes dans toutes les configurations possibles. Par exemple, le groupe BPCE a toujours été ouvert aux évolutions, à la modernité, aux transformations et ne se ferme aucune porte, en matière de technologies et d’utilisation de ces technologies. Car il s’agit bien avant tout de savoir ce que la banque veut faire d’une part, et ce qu’elle s’autorise à faire ou à ne pas faire, d’autre part. En somme, ce que cela rapporte, non pas seulement en termes économiques, mais en termes d’usages et de valeur pour le métier et le client tout en ayant une utilisation éthique de ses données. Si la sécurité est primordiale, la transparence l’est tout autant. C’est pourquoi il est important que le client accorde sa confiance à sa banque de manière explicite et éclairée, en donnant son consentement sur l’usage qui est fait de ses données, qui, par ailleurs n’ont aucunement vocation à être commercialisées.

Cloud privé ou cloud public ? Le groupe BPCE peut faire appel aux deux : il a naturellement développé le premier avec ses propres datacenters, mais il peut aussi s’appuyer sur différents clouds publics, auxquels il peut faire appel indifféremment si besoin, ayant préalablement créé les conditions de sécurité à leur utilisation. Sa stratégie est résolument orientée vers l’utilisateur. À chaque besoin informatique correspond un choix, l’idée étant de faire du cas par cas, en fonction de l’usage final envisagé et donc de l’application métier à développer. Par exemple, pour la refonte des portails commerciaux de ses réseaux bancaires, BPCE a choisi de le faire entièrement dans l’un des trois grands clouds publics du marché. D’une manière générale, il faut systématiquement passer le projet au tamis d’une série de questions essentielles : les données peuvent-elles transiter ou non vers un cloud public ? Si oui, quel fournisseur est le plus adapté, c’est-à-dire offre la meilleure prestation de services ou les meilleures fonctionnalités pour une application donnée ? Quelle est l’efficacité énergétique de ses datacenters ? Les critères mis dans la balance sont donc loin d’être seulement économiques : les paramètres environnementaux sont, par exemple, devenus incontournables. Si la digitalisation des usages dans tous les secteurs de l’économie est vue comme une contribution positive à la décarbonation de l’économie, son impact propre sur l’environnement est regardé de près. Aussi, le recours exponentiel au cloud fait partie des sujets surveillés avec intérêt par les entreprises utilisatrices et par certains fournisseurs eux-mêmes, mettant en avant dans leurs offres, la provenance de l’énergie servant à la production de l’électricité alimentant leurs data centers. La question du multicloud – la possibilité de gérer une même application sur plusieurs clouds publics en même temps – n’a pas été retenue pour le moment par le groupe BPCE, essentiellement pour des raisons de complexité de mise au point opérationnelle. En revanche, BPCE regarde avec grand intérêt le sujet du cloud hybride, c’est-à-dire la mise en œuvre d’infrastructures informatiques interconnectant des plateformes de cloud publiques et privées, permettant ainsi de passer de l’un à l’autre quasi instantanément. Ce type de solutions permet de couvrir à la fois les enjeux de flexibilité (ajustement des ressources lors de pics de production pour répartir les charges de travail, puissance de calcul...) et les enjeux de gestion des risques ou de conformité, très présents dans le secteur bancaire.

Le sujet de la localisation des données n’est pas pris à la légère en Europe. Et pour cause. Le marché du cloud est largement dominé par les géants américains, Amazon Web Services, en tête, suivi de Microsoft Azure et de Google Cloud Platform. Une hégémonie qui questionne la souveraineté européenne en la matière. Le sujet ne date pas d’hier, mais l’importance stratégique de la souveraineté numérique s’est amplifiée au fil des années et le conflit entre le Cloud Act américain et le règlement général sur la protection des données (RGPD) n’a fait que confirmer ce besoin de clarification des relations entre États. C’est ainsi que l’Europe, après plusieurs tentatives, est revenue avec un projet de cloud souverain, Gaia-X, une initiative imaginée par l’Allemagne et rejointe par la France, dont l’objectif est, non pas de voir émerger un leader européen du cloud mais de créer un écosystème de solutions basées sur des standards de sécurité, d’interopérabilité et de portabilité des données communs établis autour d’une gouvernance européenne. Parallèlement, en mai dernier, la France a annoncé une stratégie nationale pour le cloud, soutenant entre autres, la création d’un label de confiance, dont l’obtention serait conditionnée à l’obligation pour le fournisseur de services de cloud, de localiser ses infrastructures et ses systèmes en Europe tout en étant soumis aux critères de sécurité de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

L’Anssi va même encore plus loin, en exigeant que les sociétés qui exploitent ces futures solutions de cloud public dit « souverain » soient impérativement des sociétés de droit européen. Des initiatives très attendues et que le secteur bancaire français suit de très près en tant que tiers de confiance engagé dans la protection des données de ses clients.