Jean-Paul Mazoyer
DSI Groupe du Crédit Agricole*

 

L’informatique, un levier de transformation pour les entreprises ? Encore plus à l’heure de la transition numérique, estime le DSI Groupe du Crédit Agricole SA, Jean-Paul Mazoyer. La dynamique doit naître au sein des directions métiers, là où l’apport de la technologie au business est le mieux compris. La DSI contribuera alors d’autant à la diffusion de l’innovation qu’elle aura su évoluer dans son organisation et libérer des ressources en optimisant l’informatique de production.

Quel est votre rôle en tant que DSI Groupe du Crédit Agricole?
JPM : Ma responsabilité, c’est la coordination et l’animation des quinze DSI des filiales composant la partie Crédit Agricole SA (hors Caisses Régionales donc, NDLR), dont LCL, Amundi, Sofinco, Cacib, Predica, Pacifica…. Soit 5 000 informaticiens internes et un budget total de 2 milliards d’euros.
Dans ce groupe très décentralisé, où chaque en-ité définit sa stratégie et possède ses propres moyens, l’informatique est très proche du business et des utilisateurs. C’est un atout. Le DSI Groupe, qui siège au Comité Exécutif du Groupe, travaille à éviter les redondances, à mettre en commun tout ce qui est « business agnostic », en isolant ce qui fait vraiment la différence pour les métiers de ce qui ne leur apporte pas d’avantage concurrentiel. Notamment la partie infrastructures et production, qui représente la moitié du budget, où la factorisation et la standardisation sont essentielles.
Mon travail consiste aussi à diffuser les bonnes pratiques, à définir l’architecture globale, à imposer des normes de sécurité, de qualité, à proposer des actions concertées pour la gestion des compétences. Il y a également la possibilité de proposer le recours à des solutions progicielles pour certaines fonctions régaliennes comme la gestion financière, celle des ressources humaines, celle des risques…
Ce rôle de coordonateur est encore plus important aujourd’hui. Il faut contribuer à permettre aux DSI de devenir « bi-modales », c’est-à-dire à améliorer leur réactivité et leur agilité pour rendre possible la transition numérique, tout en continuant d’assurer leurs missions opérationnelles – le Run – dans des conditions optimisées de qualité, de coûts et de sécurité, évidemment.

L’informatique a toujours été une ressource essentielle de la banque. Y compris pour engager sa transformation numérique ?
JPM : Elle est une ressource, un moyen, elle peut être aussi un accélérateur de la transformation. Lorsqu’il s’agit par exemple de fusionner des entreprises, une étape structurante consiste à marier les systèmes d’information. Ensuite, il sera plus facile d’homogénéiser les procédures, les méthodes de travail, le reporting et le contrôle. Aujourd’hui, la transformation digitale nous confronte encore davantage à cette vérité : ici, ce qui doit changer, ce sont les relations avec les clients, les processus internes… L’IT doit ambitionner d’être un levier de transformation, et non un simple centre de coûts.

La population des informaticiens de la banque est-elle prête à ces évolutions ?
JPM : La réussite de l’entreprise dans la transformation numérique dépend certainement de la capacité d’évolution de sa DSI. Celle-ci va devoir gérer d’un côté des collaborateurs qui maintiennent l’informatique « legacy » en état, sans avoir le sentiment d’être « punis » et d’appartenir au passé. Et de l’autre, des équipes qui travaillent dans un mode très différent, recourant au DevOps, avec d’autres langages, d’autres structures de données, et un rythme de parution des releases beaucoup plus élevé. Ce ne sont pas du tout les mêmes profils. Mais il est très important de les intégrer au sein de la même DSI, de ne pas créer une deuxième DSI ou d’avoir recours à ce que l’on appelle le « shadow IT », et cela afin d’assurer la cohérence du système d’information, sa migration progressive, et surtout sa sécurité.
De fait, une des populations de l’entreprise la plus impactée par la transition numérique, ce sont, avec les commerciaux, les informaticiens eux-mêmes. Leur résistance au changement est compréhensible. Quand vous leur expliquez que vous allez passer en mode « IT as a Service », chacun se demande quel sera son rôle, et par conséquent son avenir. Et c’est la même chose lorsque vous transférez le maintien en condition opérationnelle d’une chaîne applicative complète à une ESN.
C’est pourquoi j’interviens tant sur la gestion des compétences. Car avec une moyenne d’âge élevée de 47 ans, et un faible taux de turn-over à 2 %, 90 % des informaticiens de 2020 travaillent déjà dans mes équipes. Il est donc impératif d’investir massivement dans la formation.

Le thème de la sécurité semble vous tenir particulièrement à cœur, si on en juge par  vos nombreuses interventions publiques sur le sujet
JPM : C’est une obligation professionnelle autant qu’un engagement personnel et citoyen : je suis un  ancien auditeur de l’IHEDN (Institut des hautes études de la défense nationale) et j’ai l’honneur d’être aussi colonel de réserve de l’armée de l’Air. Il m’arrive de collaborer avec les autorités chargées de la cybersécurité, notamment sur les sujets de sensibilisation. Au Cigref avec mes pairs, je préside désormais le cercle cybersécurité.
Ma préoccupation était d’élargir la conscience des enjeux de sécurité. La plupart des DSI se reposaient sur leur RSSI, mais n’étaient pas suffisamment conscients de leurs responsabilités en la matière. Ils minimisaient le problème, en se rassurant d’autant plus facilement qu’ils n’avaient ni budget, ni sponsors internes pour l’affronter. Et pourtant, la transition numérique, dont on leur demande d’être des acteurs clés, ne peut s’accomplir sans confiance dans les systèmes d’information.
Au-delà des DSI, il faut aussi parler aux directions générales. En leur expliquant que la question n’est plus de savoir si leur entreprise a été attaquée, le sera ou encore quand… Mais plutôt dans quel état de préparation elle se trouvera lorsqu’elle sera, inéluc-ablement, attaquée ! Elles doivent notamment assimiler le risque d’image et celui de perte de confiance des clients. Il y a encore trop peu d’entreprises qui ont investi dans la sensibilisation de leurs équipes ou dans la gestion d’une cybercrise.

Quelles actions peut mener, concrètement, le DSI d’une grande banque ?
JPM : Affronter le sujet, c’est d’abord un travail de sensibilisation de tous dans l’entreprise : managers, collaborateurs, partenaires sociaux, administrateurs…
Ensuite, sur un plan technique, il faut passer d’une protection périmétrique, avec des pare-feu et des solutions d’habilitation assez statiques, à des solutions de surveillance en temps réel de ce qui se passe dans les systèmes d’information. Car ils sont tous victimes d’intrusions, puisque les antivirus ne suivent pas le rythme des innovations des hackers ! Et alors que 97 % des entreprises en ont été victimes, elles mettent en moyenne 6 à 12 mois pour s’en apercevoir…
Enfin, il y a aussi une mission de sensibilisation du grand public. Nous venons, avec l’aide d’entreprises du Cigref, avec le sponsoring de plusieurs acteurs de la cybersécurité, et avec le soutien de Guillaume Poupard, le directeur général de l’ANSSI, ainsi que de Jean-Yves Latournerie, le Préfet Cyber auprès du Ministre de l’Intérieur, de sortir une série de vidéos humoristiques qui empruntent les codes de la téléréalité pour dévoiler quatre techniques frauduleuses. Ce sont des hackers qui présentent leurs « œuvres » à un jury de mafieux, et cela s’appelle la hack-academy. fr. Je suis très fier de cette action !

Comment votre DSI travaille-t-elle avec les métiers ?
JPM : C’est aux métiers qu’incombe de tirer la transition numérique, de comprendre en quoi la technologie peut leur servir, et les rendre plus efficaces dans leurs relations avec les clients ou dans leurs processus internes. La mission de la DSI est de leur fournir les moyens d’aller vite. Dans l’idéal, elle est une source d’inspirations et d’innovation pour les métiers. Mais ce n’est pas un rôle de chef d’orchestre ! C’est au dirigeant de sentir la déformation de l’organisation, l’impact sur les comportements commerciaux, les profonds changements de culture interne à gérer. Si le numéro un n’engage pas la transition numérique, elle a peu de chance de réussir. De même s’il n’investit pas résolument dans son IT !

Face aux « pure players » qui menacent les acteurs traditionnels de la banque sur des segments aussi rémunérateurs que les technologies de paiement par exemple, que pouvez-vous faire pour dégager les moyens de cette innovation ?
JPM : Dans le monde bancaire, la révolution digitale a pour effet spectaculaire de fragmenter l’offre et les besoins de la clientèle. Aujourd’hui, je prends mon crédit ici, ma carte de paiement ailleurs, mon crédit à la consommation dans un magasin. À l’inverse, les banques traditionnelles ont assis leur légitimité sur leur capacité de proposer, avec des conseillers, des solutions globales et complètes à leurs clients. Et, tandis que les acteurs du numérique progressent très vite en rendant des services ultrapersonnalisés à leurs clients, les banques doivent adapter leurs systèmes legacy et développer de nouvelles applications. Ce n’est pas dans ces environnements legacy, conçus pour exécuter des milliards d’opérations, correctement et au meilleur coût, que vous allez produire de l’agilité et des couches de personnalisation hyper réactives !
Le risque, c’est d’abandonner le terrain de la relation directe avec le client à ces pure players, et de se trouver réduit à un rôle de « commodité ». Pour contrer la menace représentée par ces nouveaux entrants, il faut de l’agilité et du budget. Notre choix, au Crédit Agricole, a été, par exemple, de créer des API pour l’accès aux données, regroupées dans un entrepôt nommé CA Store, puis de proposer à des structures petites et agiles, des start-up, de développer ces couches de présentation. La valeur ainsi créée se partage.

Ne faudra-t-il pas aller plus loin, en changeant profondément la structure même de la dépense informatique ?
JPM : Vous avez raison. Une banque consacre à peu près 70 % de son budget IT au « Run ». Le reste est dépensé pour les deux tiers dans des mises à jour, essentiellement réglementaires et normatives. Il reste donc 10 % du budget pour produire de la valeur ajoutée. Et encore, tout n’est pas consacré à la transition numérique. Les banques ont décidé de faire baisser le coût des infrastructures et de la production. Ce n’est pas trop douloureux, tant que vous ne touchez pas au patrimoine applicatif. BNP Paribas, en créant BP2i avec IBM il y a dix ans, a adossé une grande partie de son infrastructure à celle d’IBM. De la même façon, j’ai rapproché en 2014 notre entreprise de production interne, SILCA, de Capgemini.
Cela entérine le fait que la production informatique d’une banque est de moins en moins un métier bancaire, et qu’il est légitime de s’appuyer sur des industriels. Mais pour que ceux-ci baissent encore leurs prix, et contribuent à descendre la part de notre Run à 50 %, il faudra qu’ils puissent opérer plusieurs clients sur les mêmes infrastructures. À la banque, pour rentrer dans ce schéma et bénéficier des économies liées à la mutualisation, de procéder à l’indispensable standardisation de ses actifs informatiques ! 

Propos recueillis par François Jeanne

(*) en janvier 2016, Jean-Paul Mazoyer prendra la direction générale du Crédit Agricole Pyrénées Gascogne.