La nécessité se fait de jour en jour plus pressante ; c’est un enjeu de souveraineté, mais aussi un enjeu de compétitivité. Longtemps, les banques ont basé leurs systèmes informatiques sur des infrastructures dites « legacy ». Et elles sont encore aujourd’hui nombreuses dans ce cas. Les banques traitent des données personnelles et sensibles depuis des décennies et les clouds dits privés présentent l’avantage de garder le contrôle sur la conformité et la protection des données.
Mais voilà que les comportements des clients intègrent de plus en plus le digital, l’open banking n’est désormais plus une option et de nouveaux acteurs, les fintechs, ont fait leur entrée sur le marché du service bancaire. À cela s’ajoutent les GAFAM, géants mondiaux de la tech, qui tentent de diversifier leur offre en fournissant eux aussi des services digitaux. Bref, les besoins de la banque se sont largement déplacés dans l’écosystème digital.
Difficile d’envisager de réécrire des lignes et des lignes de code pour s’adapter à ces nouveaux usages, et pour rivaliser avec des sociétés dont l’informatique est le cœur de métier. Les banques doivent gagner en agilité et en efficacité. Le recours a un cloud dit « public » apparaît comme une solution, avec une intégration réputée plus simple et plus rapide des API.
Mais ce recours soulève des questions et des défis : quel est le niveau de protection de données hébergées par un tiers qui fournit ce même service à d’autres entités ? quelle législation appliquer à un hébergeur de nationalité différente ou extra-européen ? comment garder la main sur cette montagne de data si le cloud est opéré par un nombre très restreints d’acteurs, majoritairement extra-européens ?
Des réponses commencent à se dessiner. La première consiste en la création d’un cloud dit « souverain ». À cet égard, l’initiative Gaia-X, au niveau européen, ne semble pour l’heure pas répondre à toutes les exigences d’une infrastructure agile et qui puisse proposer des services performants. Plus récemment, Docaposte – également engagé dans le projet Gaïa-X –, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires se sont alliés pour créer une « offre cloud » de référence en Europe, NUMSPOT. La nomination de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pendant huit ans, à la tête notamment des activités cloud de Docaposte, n’est sans doute pas anodine.
La piste du cloud hybride
D’autres ont suivi la piste du cloud dit « hybride », avec une partie des données et processus informatiques en interne et une autre partie hébergée par un tiers.
Du côté de la protection des données et de la conformité, les législations française et européenne se sont largement étoffées. S’il ne fallait citer qu’un seul texte, DORA, qui entre en vigueur cette année, exige dorénavant que les tiers fournisseurs de services critiques aient à répondre de leur fiabilité, à la fois en termes de sécurisation de données mais aussi de conformité.
Souveraineté numérique et souveraineté financière sont aujourd’hui étroitement liées. Les banques opèrent au cœur de cet enjeu. Elles doivent à présent procéder à des choix fondamentaux pour l’avenir de cette problématique, mais il est probable qu’elle n’en maîtrisent pas encore tous les tenants et aboutissants.
