Gouvernance

« Nous nous sommes acheté un cloud public »

Par Patrick Brébion, publié le 14 septembre 2021

BNP Paribas suit la voie d’une IT sous contrôle. La banque a choisi IBM comme partenaire afin de développer un cloud dédié, tout en traitant les données sensibles au sein de ses propres datacenters. Même volonté de maîtrise dans le domaine de la cybersécurité, qui reste prise en charge par des équipes internes. Parallèlement, la DSI s’est structurée pour développer l’usage de technologies innovantes, notamment l’intelligence artificielle.

Entretien avec Bernard Gavgani, DSI Groupe de BNP Paribas

Comment se découpent les activités de BNP Paribas ? Quels sont les challenges actuels du secteur et les vôtres en particulier ?

Première banque européenne, BNP Paribas dispose de trois pôles opérationnels : Retail Banking, qui fédère les réseaux des banques de détail du groupe et plusieurs métiers spécialisés ; Investment & Protection Services, qui regroupe des métiers spécialisés offrant un large éventail de solutions d’épargne, d’investissement et de protection ; et Corporate & Institutional Banking, qui propose des solutions financières sur mesure pour les clientèles entreprises et pour les institutionnels.

Nous sommes présents dans 68 pays avec 193 000 collaborateurs, et sur chaque territoire où nous sommes présents, nous travaillons de concert avec les régulateurs locaux.

Ce que nous constatons dans le contexte actuel de crise sanitaire, c’est la confirmation du rôle essentiel tenu par les banques au sein de la société. Par ailleurs, nous assistons dans cette période à une croissance exponentielle des usages digitaux. Nous avons donc accéléré encore en matière d’innovation et de proposition de nouveaux services dématérialisés à nos clients.

Comment est organisé globalement votre SI et la DSI ? Quelles sont les évolutions en cours ?

Compréhension et adaptabilité font partie des maîtres-mots de notre organisation. Nous n’avons pas moins de 20  000 applications en production aujourd’hui ! L’évolution des systèmes d’information doit être opérée en fonction des besoins spécifiques de nos métiers. Chacun d’eux possède sa propre DSI et les équipes de développement leur sont toujours rattachées.

En tant que responsable IT du groupe BNP Paribas, mon rôle est notamment d’assurer que nos équipes – qui comptent 18  000 informaticiens internes et environ 17  000 externes –, partagent une vision commune et que les évolutions globales du système d’information restent rationnelles.

Parmi nos sujets de très grande envergure figure le cloud, qui dépasse la dimension IT et représente un vrai projet d’entreprise. Près de 8  000 collaborateurs du groupe y ont déjà été formés.

Vous avez signé en 2018 avec IBM pour son offre Cloud Financial Services. N’est-ce pas un contrat qui pourrait perturber la relation de confiance avec vos clients, en particulier à cause de la législation américaine du Cloud Act ?

Si l’on regarde le marché du point de vue des usages, force est de constater que notre choix, privilégiant le cloud privé, semble être en rupture avec les positionnements d’autres acteurs mais, pour autant, en adéquation avec les contraintes des secteurs régulés dans lesquels nous évoluons.
D’un point de vue technique, BNP Paribas adopte les standards technologiques du marché, ce qui garantit l’homogénéité sur nos chaînes informatiques.
Du point de vue des usages, c’est en premier lieu la sensibilité de la donnée qui oriente le choix de la localisation des services.
Enfin, les technologies mises en œuvre par ce cloud sont open source (Kubernetes…) ou standard sur le marché (VMware…), nous laissant la latitude pour nous ouvrir au besoin à d’autres fournisseurs.

Aujourd’hui, BNP Paribas considère que certains acteurs, dont IBM, sont assez matures pour compléter l’arsenal technologique du groupe. Tout en respectant les règles sécuritaires de la banque et les aspects réglementaires, notre partenariat noué avec IBM en octobre 2018, nous permet d’utiliser des briques technologiques issues du cloud public dans notre cloud privé. Nos datacenters bénéficient aujourd’hui de la même vitesse d’exécution que les opérateurs de cloud et sont potentiellement ouverts à leurs services.

Ce partenariat n’est pas en rupture avec le développement de notre cloud privé, mais il s’agit plutôt d’une évolution. Une partie de nos applications sont aujourd’hui déjà installées sur celui-ci et nous prévoyons de basculer près de 40 % de celles-ci d’ici 2025. Toutes les nouvelles applications sont d’ailleurs directement développées sur ce cloud. Pour les autres, trois critères demeurent dans la sélection pour être migrées : la facilité de portage, le besoin d’élasticité et le coût.

Quelle est votre position sur le cloud souverain en général et sur Gaia-X en particulier ?

BNP Paribas vient justement d’intégrer le conseil d’administration de Gaia-X. Cette décision est en parfaite adéquation avec nos convictions sur le cloud, notamment en matière de gestion des données.
Nous devons – et les spécificités du partenariat avec IBM l’illustrent bien – garder la main, d’une part sur la manière dont sont gérées nos données et, d’autre part, sur la technologie qui y est associée. Il s’agit pour nous d’une conviction forte et d’un levier indispensable pour maîtriser les coûts.

Globalement, nous pensons dans le même temps que le marché européen du cloud doit être régulé et s’orienter, dans le futur, vers une mutualisation de certaines ressources dans le secteur financier. D’ailleurs, le cloud dédié BNP Paribas est du point de vue technologique un cloud public. Cela signifie que le partage et la mutualisation d’une partie des moyens avec d’autres acteurs est possible, ce qui inclut la re-facturation, le support des dispositifs nécessaires aux régulateurs bancaires, mais aussi la sécurité.

Que pouvez-vous mutualiser en matière de sécurité ? De manière générale, quelle organisation avez-vous mise en place dans ce domaine ?

Certaines fraudes peuvent être réalisées au travers de virements bancaires via des comptes « mules ». Les banques échangent entre elles à ce sujet, ce qui permet de mieux contrer ces délits et de le faire rapidement. Nous partageons déjà des informations et échangeons beaucoup avec nos pairs sur ce thème, notamment à travers les CERT (Computer emergency response team). En interne, chaque RSSI est rattaché à un DSI et nous comptons 2  500 collaborateurs spécialisés dans la cybersécurité. Cette organisation et cette force de frappe font partie des éléments-clés qui nous ont permis de traverser la crise.

Dans le cadre du télétravail, nous avons déployé le même poste de travail pour l’ensemble de nos collaborateurs. Les données y sont cryptées et des outils permettent une prise en main à distance avec une mise en sécurité de nos données.
Si nous recourrons à des fournisseurs, la sécurité reste une activité interne. Par exemple, le SOC (Security operations center) est 100 % interne et l’une de nos équipes est spécialisée en APT (Advanced persistent threat). Nous utilisons de plus en plus de technologies innovantes, notamment l’intelligence artificielle, pour la détection de fraudes. Nous avons un accord avec IBM Watson, le superordinateur d’IBM combinant IA et big data. Un impératif au vu des volumes de données à traiter, toujours plus complexes et plus importants.

Comment vous êtes-vous organisés pour développer l’utilisation de l’IA et, plus globalement, pour innover ?

Nous sommes membre d’une fondation américaine spécialisée, ce qui permet de travailler sur le sujet de l’IA avec de nombreux experts. Nous collaborons aussi avec le monde académique : MIT aux États-Unis, Polytech en France… En ce qui concerne l’IA, l’un de nos engagements vis-à-vis de nos clients porte sur la transparence et la pédagogie. Une équipe dédiée dépendant du CDO (Chief data officer) est chargée de surveiller les résultats suite à la mise en production de tout nouvel algorithme et de garantir sa transparence. Dans ce domaine, nous avons également investi dans des start-up. En interne, une « IT marketplace » rassemble et expose notamment les API et modules disponibles.

Parmi les pistes et POC en cours, la blockchain fait bien entendu l’objet d’une attention particulière. Elle devrait continuer de faciliter, par exemple, l’automatisation de la traçabilité des transactions. Un POC est également en cours sur l’onboarding des clients, un autre sur le Know Your Customer. Pour accélérer ces démarches, un espace va être réservé à l’innovation dès cet automne sur notre cloud. Une innovation dynamique, mais qui reste sous contrôle.

Propos recueillis par Patrick Brébion / Photos :  Mélanie Robin

Parcours de Bernard Gavgani

Chez BNP Paribas:
Depuis 2021 : Membre du comité exécutif du groupe BNP Paribas.
Depuis 2018 : directeur des systèmes d’information du groupe 
2009 – 2018 : Responsable informatique et opérations de CIB
2003 – 2009 : Directeur général des Dérivés Actions 
2000 – 2003 : Secrétaire général de BNP Paribas Arbitrage

Formation : 

> HEC - Paris
> Sloan School of Management - MIT (Massachusetts)

Dans l'actualité