L’industrie financière est historiquement méfiante vis-à-vis du cloud. Cette relation complexe est liée au poids de la réglementation dans le secteur financier, mais aussi aux contraintes du legacy. Il est important de mieux comprendre ces freins à l’adoption du cloud, pour mieux nous entendre, entre fournisseurs de services cloud et décideurs IT. En tant qu’acteur de la RegTech, nous avons conscience de ces freins. Mais nous voyons aussi les lignes bouger en faveur du cloud.

Crise de confiance et poids du réglementaire

En 2002, la loi Sarbanes-Oxley (SOX) a été adoptée en réaction aux scandales comptables et financiers Enron, WorldCom, ou encore Global Crossing. Cette loi visait à améliorer la précision et la fiabilité des publications financières des entreprises cotées aux Etats-Unis. En Europe aussi les départements IT des entreprises ont dû adapter leurs exigences de sécurité et de traçabilité dans le stockage des données et les communications. Le cloud étant alors une technologie balbutiante, avec les premiers essais d’Amazon Web Services en 2002 et son lancement en 2006. On comprend donc qu’à l’époque les professionnels de la finance aient fait preuve de défiance.

Entre 2011 et 2016, ce mille-feuille réglementaire s’est épaissi, avec un triplement des changements réglementaires imposés aux institutions financières (source BCG Global Risks 2017). D’autres obligations se sont depuis ajoutées avec PRIIPs, MiFID2, RGPD, IDD, DSP2, et la lutte renforcée contre le blanchiment d’argent. La conformité représente aujourd’hui pour les institutions financières un coût annuel mondial de 780 milliards de $, soit 5% à 10% de leur PNB (Source « Regulatory Divergence: Costs, Risks, Impacts – BIAC », 2018).

Ces enjeux de conformité et la sécurité restent aujourd’hui la principale préoccupation des entreprises vis-à-vis du cloud. En conséquence, en 2019 encore 61 % des entreprises des services financiers excluaient d’adopter une stratégie de stockage de données dans le Cloud (étude Cloud Security Alliance). Mais la finance ne rejette pas totalement le cloud. 39 à 41 % de ces entreprises étudient plutôt des approches hybrides, avec stockage cloud et informatique interne, et 18 % du cloud privé.

La sécurité du cloud continue d’inquiéter

Les grands fournisseurs de cloud public comme Microsoft, Amazon, Google et en France OVH (notre partenaire local) renforcent donc constamment leurs infrastructures et outils de contrôle. La plupart des entreprises n’auraient d’ailleurs pas les mêmes moyens financiers, ni la taille critique pour investir dans la sécurité de leur cloud. Ce principe de mutualisation du cloud et d’économies d’échelle permet aux entreprises de payer à la consommation leur infrastructure (Iaas) ou leurs services (Saas).

Pourtant, la révélation fréquente de failles de sécurité du cloud public alimente la méfiance du marché. Comme le cas récent de Capital One, où la sécurité du cloud public AWS avait été pointée du doigt. La faille ne provenait en fait pas des infrastructures Amazon, mais d’un pare-feu mal configuré chez Capital One. Un exemple qui alerte sur la complexité du pilotage du cloud et de sa sécurité.

Des contrats cloud nébuleux

L’excellence technologique des acteurs du cloud est malheureusement éclipsée par la complexité de leurs contrats et tarifs. Depuis quelques années, les grandes entreprises du Cigref alertent sur la difficulté à obtenir une négociation équilibrée avec les GAFAM. Dans le secteur financier français également, l’AMF relaie des témoignages sur « l’asymétrie du pouvoir de négociations entre le client et le fournisseur de services informatiques de cloud, de type GAFAM ». Les conditions contractuelles sont pointées du doigt, ainsi que la difficulté pour changer de fournisseur de cloud (le « lock-in »). Pour équilibrer cette relation, l’AMF recommande donc une standardisation des clauses contractuelles.

Enfin, face au Cloud Act américain, la riposte s’organise en Europe. Régulateurs et entreprises collaborent à une alternative aux clouds américains. En France, le Cigref a été mandaté pour piloter le hub local du projet Gaia-X de cloud de confiance européen. Les acteurs européens de la finance sont bien sûr directement concernés par cette initiative. Ils sont invités à collaborer au sein du Financial Big Data Cluster (FBDC) aux côtés notamment de la Deutsche Börse. Le renforcement des critères environnementaux, sociaux et de gouvernance (ESG) fait donc bouger les lignes en faveur d’un cloud plus maîtrisé et aligné avec les enjeux de conformité.

Pas de cloud sans gouvernance des données

En attendant, cette mauvaise réputation du cloud se traduit par des cycles de vente longs et complexes, qui impactent directement la durée des projets. Oui choisir les bonnes technologies et partenaires prend du temps. Mais c’est surtout la gouvernance des données et la maîtrise du cycle des données qui est en jeu.

Ainsi lorsque Scaled Risk présente à des professionnels de la finance, des risques et de la conformité son offre Data Hub, une plateforme évènementielle prépackagée dans le cloud, nous passons naturellement sur le grill. Pourquoi avons-nous choisi une base de données non relationnelle pour stocker les données financières ? Comment gérons-nous le versioning et la bi-temporalité des données pour l’auditabilité ? Quel modèle nous permet de garantir un parfait  data lineage ? Quelle sécurité garantissons-nous pour le stockage? Ensuite nous entrons dans un cycle d’analyse des risques et opportunités de l’intégration de la solution au SI existant (via API Rest et Connecteur ODBC). Le déploiement lui-même sur site, ne représente que 6 mois de ce long processus et environ un mois en SaaS

Nos interlocuteurs IT pourraient aussi faire le choix de développer leur propre plateforme big data d’analyse de données et de reporting. Nos développements ont nécessité plus de 10 millions d’euros d’investissement, avec des spécialistes de la finance, du big data, de l’IA et du cloud. Mais s’ils font le choix d’une solution disponible sur le marché, c’est parce que leur mission va bien au-delà de la niche RegTech sur laquelle nous nous concentrons. Ils doivent inventer de nouveaux services qui créeront de la valeur pour leurs clients et partenaires. C’est la même logique financière et RH du « faire » ou « faire-faire », qui justifie de basculer une infrastructure IT dans un cloud public ou en mode hybride « public-privé ». 

Un modèle axé sur la création de valeur

C’est le choix par exemple de JPMorgan Chase, pour que ses équipes IT gagnent en agilité en focalisant les efforts de développement sur ses applicatifs métiers. Lors de la conférence Amazon « AWS Re-invent » 2020, la DSI globale de JPMorgan Chase, Lori Beer, a ainsi indiqué avoir 35 000 développeurs en interne. Soit 14% des effectifs de la banque. Ils développent et maintiennent 6000 applications, en priorité sur AWS, et gèrent 450 PB de données.

Pour l’expert cloud Louis Naugès, qui a relayé ces chiffres auprès des DSI du Cigref, ce pourcentage de 14% devrait être la cible à atteindre dans toutes les grandes organisations. Quel que soit leur métier. Car dans la finance aussi il faut garder des compétences fortes de développement. Pas pour maintenir un cloud ou des solutions technologiques de niche, mais pour créer de la valeur cœur de métier.

Pour conclure, je dirais qu’il reste à accompagner cette transformation du côté des organisations. Le cloud est la solution de préférence pour opérer la dernière génération de technologies de gestion de données en général et Scaled Risk Data Hub en particulier. Les changements en cours doivent s’accélérer, tout autant chez les fournisseurs de solutions que les fournisseurs cloud, pour que cette promesse devienne une réalité.