Transfert de données, le talon d’Achille des institutions financières

Deux années de crise Covid n’ont fait qu’accélérer la conversion des acteurs bancaires au cloud. Le risque, pour eux, est désormais de se trouver au milieu du gué : en train d’adopter de nouvelles infrastructures de stockage de données, ils ne gagneraient pas suffisamment rapidement en agilité tout en se rendant particulièrement vulnérables pendant une phase de transition. Tout pousse donc à aller vite. Et pour cause ! La connaissance client 360°, réponse exigée par les consommateurs à leur demande de produits et services personnalisés, ne peut s’appuyer que sur le stockage et le traitement d’une quantité importante de données. Il faut également faire preuve d’agilité pour déployer à l’échelle et rapidement de nouveaux services, s’adapter à la collaboration avec des acteurs tiers dans le cadre de l’open banking, et rester compétitifs avec les pure players numériques. Les architectures traditionnelles sont désormais obsolètes et c’est ce qui pousse, par exemple, la Société Générale à miser sur le cloud hybride. La banque a fait de l’accélération de sa migration vers des applications cloud native une pierre angulaire de sa transformation digitale, dans la continuation de sa stratégie « cloud first » lancée en 2017.

Pourtant, ce modèle est loin d’être une évidence pour tout le monde. Certes, les arguments pour l’hybridation du cloud ou le multi-cloud ne manquent pas. De plus en plus de banques transfèrent leurs processus critiques dans le cloud et le faible nombre de fournisseurs de services cloud fait peser un risque sur leur résilience. Mais il y a des enjeux opérationnels au moins aussi lourds à choisir de garder sur ses propres serveurs le core banking tout en allant développer des applications sur le cloud de Microsoft. Le transfert d’actifs d’un fournisseur de cloud à un autre ne se fait pas non plus de manière indolore. S’ajoutent à cela les pressions du régulateur pour défendre la souveraineté numérique de l’Europe. Pour aider à la résolution de cette quadrature du cercle, des institutions financières de plusieurs pays (mais aucune française) se sont réunies dans la European Cloud User Coalition, afin d’édicter des standards communs d’utilisation du cloud, mais cette initiative en est encore à un stade précoce.

Les nécessités de performance et de sécurité qui existent depuis longtemps ont conduit les banques à s’appuyer sur des infrastructures privées, comme le réseau SWIFT. Mais un certain nombre de nouvelles applications en open banking et l’ouverture à des acteurs tiers nécessitent l’utilisation d’internet. Dans ce contexte, les acteurs financiers se sont posé à juste titre la question de la sécurisation du lieu de dépôt de leurs actifs numériques. Les principaux fournisseurs se sont mis au diapason des exigences européennes très élevées en matière de sécurité comme de souveraineté. Qu’il s’agisse d’Amazon, de Microsoft, ou d’autres, on sait que la destination est bien sécurisée. Mais le chemin d’accès à ces clouds et le transfert de données entre eux l’est-il également ?

En d’autres termes, les contraintes du multi-cloud posent la question de la sécurisation des infrastructures de transport de données. Les données des banques sont évidemment critiques. Mais alors qu’elles ont créé SWIFT, un réseau non-internet et sécurisé pour les transferts d’argent, elles n’ont pas eu le même réflexe en matière de transfert de données personnelles. Or la question de l’interface de connexion est centrale, car dans une économie plus connectée, il y aura toujours un moment où la donnée devra circuler d’un point A à un point B. Cette circulation doit être au moins aussi sécurisée. Pour prendre une analogie du monde bancaire, l’existence des coffres-forts n’a jamais dispensé de l’utilisation de convoyeurs de fonds.

Or le choix d’une infrastructure relève de la stratégie de l’entreprise. Il y a encore aujourd’hui certaines applications qui sont accessibles à travers Internet, que ce soit pour des raisons techniques ou par souci de simplicité. Si l’on s’appuie uniquement sur un fournisseur d’accès à internet (FAI), la disponibilité du réseau, sa sécurité, et sa confidentialité échappent à tout contrôle pour l’entreprise. Si des réseaux tiers malveillants arrivent à capter le trafic ou que le réseau subit une attaque de déni de service, il existe un risque que la connexion nécessaire au bon fonctionnement de certaines applications tombe. Privilégie-t-on la flexibilité ? La performance ? La sécurité ? La scalabilité ? En fonction, l’on s’appuiera davantage sur un réseau public ou sur un réseau privé géré par un opérateur, voire l’on passera de l’un à l’autre selon la nécessité du moment. Les besoins étant plus complexes, ils exigent d’emprunter des chemins divers de manière plus dynamique et plus agile. L’enjeu de fond, derrière ce choix, est celui de la confiance, qui demeure la clé de voûte du système bancaire. À cet égard, l’homologation des infrastructures de connexion peut constituer une piste.

C’est un chantier de plus qui s’ouvre pour les institutions financières. Elles doivent dès maintenant mettre en place des interfaces sécurisées pour l’interconnexion : réseaux privés, chiffrement, espaces dédiés, authentification de flux, internet amélioré, contrôle des chemins, maîtrise absolue des destinations cloud, agilité permettant d’adapter cette infrastructure aux nouveaux enjeux business... Le transport des données est clé et devrait bénéficier de la plus grande attention de la part des directions générales. Au risque, sinon, de découvrir très douloureusement que la conformité et les contraintes de sécurité quant au stockage des données sont inutiles si ces préoccupations ne s’étendent pas aussi au chemin qu’elles empruntent.