MOVE TO CLOUD Promesses et défis pour les institutions financières
Juin 2020
AILANCYAILANCY I CONFIDENTIELI CONFIDENTIEL Sommaire
1. Présentation du Cloud Computing
2. Pourquoi et comment migrer sur le Cloud ?
3. Les grands enjeux pour les acteurs des services financiers
4. Savoir-faire Ailancy
5. Annexes
AILANCY I CONFIDENTIEL Qu’est-ce que le Cloud Computing ?
Une définition Définition basée sur celle du NIST de l’ACPR (2013) Le Cloud computing consiste à déporter sur des serveurs distants des données et des traitements informatiques traditionnellement localisés sur des serveurs locaux, voire sur le poste de l’utilisateur. Il permet l’accès via un réseau, généralement entendu comme Internet, à la demande et en libre service, à des ressources informatiques virtualisées et mutualisées habituellement facturées à l’usage.
Le Cloud computing permet donc de passer à un modèle où les ressources informatiques (hardware, voire software) peuvent être louées au lieu d’être acquises. • Facilité d’accès - Accès à du stockage, à de la puissance de calcul, à des applications • Scalabilité & Agilité– Accès à ces ressources à la demande, accès à des outils d’intelligence artificielle • Modèle économique – Paiement à l’utilisation: coûts variables plutôt que coûts fixes
1 Public Cloud Private Cloud Le Cloud privé désigne une infrastructure qui est spécifique Le Cloud public désigne une infrastructure gérée par un operateur externe et présente uniquement dans les et gérée par la société elle-même, par un prestataire spécialisé ou une locaux du fournisseur de Cloud. combinaison de ceux-ci. Ce sont les serveurs de la société – qui peuvent exister dans ou hors des locaux -- qui vont gérer l’ensemble des données pour tous les utilisateurs de l’entreprise.
- Scalabilité - Fait sur-mesure pour les besoins de la société - SI plus flexible et agile/adaptation aux besoins immédiats - Maitrise de l’infrastructure - Paiement à l’usage - Sécurité des données
- Pas de maitrise de l’infrastructure - Investissement initial important (infrastructure et mises à jour) - Sécurité des données - Peu flexible/scalable
3 AILANCY I CONFIDENTIEL Les modèles de service du Cloud computing
Applications Applications Applications
OS/Middleware OS/Middleware OS/Middleware
Serveurs Serveurs Serveurs
Serveurs Stockage Réseau IaaS PaaS SaaS ‘Host’ ‘Build’ ‘Consume’
Infrastructure-as-a-service Platform-as-a-service Software-as-a-service
L’IaaS (Infrastructure as a Service) offre une Le PaaS (Platform as a Service) fournit une Le SaaS (Software as a Service) est une solution infrastructure informatique comme de la plateforme de développement et/ou d’exécution applicative répondant à un domaine d’utilisation puissance de calcul, des machines virtuelles intégrée, reposant sur un catalogue de précis supportant une fonction métier (gestion de incluant un système d’exploitation, du stockage, composants logiciels et techniques standardisés la relation clientèle, gestion financière, …) ou un des services de sauvegarde. dont l’infrastructure sous-jacente est transparente service transverse (messagerie, outils pour l’utilisateur. collaboratifs, …).
4 AILANCY I CONFIDENTIEL Panorama du marché : principaux fournisseurs & chiffres clés
Panorama des principaux fournisseurs de services d'infrastructure Cloud – Parts de marché IaaS/PaaS
33% ➢ AWS, en tête, maintient une part de marché supérieure à 30 %, tandis que Microsoft, Google et Alibaba gagnent de plus en plus de parts de marché. Lancé 18% en 2006, AWS bénéficie toujours d’une avance historique. ➢ Le reste du marché est composé de services de Cloud privé hébergés et gérés, où 8% IBM est le leader du marché et où des sociétés comme Rackspace et OVH occupent une place plus importante. 6% ➢ Google Cloud Platform (GCP) capitalise sur l’expertise de Google en IA (intelligence artificielle) et sur Kubernetes facilitant ainsi les déploiements multi-cloud. Le 5% lancement de Google Anthos lancé en 2019 répond à cette stratégie. ➢ Microsoft Azure peut s’appuyer sur la forte présence de Microsoft dans les Autres 21% 30% entreprises et l’intégration avec les autres services Microsoft. Source : https://www.statista.com/chart/18819/worldwide-market-share-of-leading-Cloud-infrastructure-service-providers/
Fournisseur Cloud
Développeur Amazon Microsoft Alibaba Cloud Google IBM
1ere version 2006 2010 2009 2008 2009
• CA Amazon : 280 mds $ dont • CA Microsoft : 90 mds $ dont • CA google : 46 mds $ • CA IBM : 77 mds $ dont 5 mds • CA Alibaba Cloud : 5,6 mds $ 27 mds $ AWS 20 mds $ Azure • Dont 8,9 mds $ Cloud $ Cloud Chiffres clés • Croissance : +62%/an
• Croissance* : +49%/an • Croissance : +34%/an • Croissance : +53%/an • Croissance : +11%/an Acteurs clésActeurs
Principaux clients en • - N/A France (secteur financier)
5 AILANCY I CONFIDENTIEL (*) Croissance de l’activité Cloud Principaux fournisseurs en France
Panorama des principaux fournisseurs de services d'infrastructure Cloud français – Parts de marché IaaS/PaaS
Classement fournisseurs de Cloud en France
➢ En France, OVH Cloud et Orange Business Services arrivent en 3ème et 4ème position, respectivement, devant Google et IBM et derrière AWS et Microsoft. En France, Alibaba Cloud n’est pas présent dans le top 6. ➢ OVH Cloud, Online, Orange Business Services et Outscale sont 4 acteurs qui ont développé des offres Cloud à l’échelle internationale.
Fournisseur Cloud
3DS Outscale (filiale Online by Scaleway OVH Orange Business Services Neurones Ikoula Développeur Dassault Systèmes) (filiale Illiad)
1ere version 1999 2006 2010 2010 1998 1999 Acteurs clésActeurs CA OVH Cloud : 530 • CA Orange : 41 mds€ • CA Online Cloud : 71 • • CA Neurones: 510 m€ • CA Ikoula : 10 m€ m€ • Dont 7.3 mds € OBS • CA 3DS Outscale : 25 m€ m € Chiffres clés • Croissance : +10%/an • Croissance : +20%/an • Croissance : +18% /an
6 AILANCY I CONFIDENTIEL Panorama du marché : Cloud public ou privé ? Le marché répond « hybride »
Survey 2019 : Population de 786 Entreprises (456 GE (>1000 employés) et 330 PME)
Entreprises qui déclarent avoir recours au Cloud. 24% de croissance dans l’utilisation du Cloud public 94% 8% de croissance dans l’utilisation du Cloud privé
69% Cloud Privé Cloud Public 22% 3% Hybride uniquement % moyen des données migrées sur un uniquement 38% Cloud public 33% chez les grandes entreprises 43% chez les PME
Total public = 91% Total privé = 72% % moyen des données migrées sur un Cloud privé 41% 46% chez les grandes entreprises 35% chez les PME ➢ Le Cloud public a d’abord été perçu par les entreprises comme étant une solution adaptée à des données peu sensibles et non sujettes à la confidentialité. ➢ Pourtant aujourd’hui le Cloud public s’impose comme la solution la plus Entreprises qui déclarent avoir une équipe adoptée. Cela s’explique principalement par le fait qu’une infrastructure 66% Cloud centrale dédiée au sein de leur DSI de Cloud privé est beaucoup plus couteuse à mettre en place, et que les +21% qui planifient d’en créer une prestataires de Cloud public offrent un niveau de sécurité qui sera prochainement presque toujours supérieur à celui d’une infrastructure locale, chez une entreprise n’ayant pas migré vers le Cloud. Parmi les grandes entreprises 13% présentent plus de ➢ Les services offerts par les prestataires de Cloud public constituent la 12M€ 12M€ de dépenses Cloud par an véritable plus-value d’une migration à l’heure actuelle, et les prestataires 50% des grandes entreprises dépenses plus de 1,2M€ de Cloud privé mettent progressivement en place des solutions hybrides 11% des PME dépenses plus de 1,2M€ dans le Cloud afin d’attirer les clients qui ont choisi la solution Cloud public.
7 AILANCY I CONFIDENTIEL Source : https://resources.flexera.com/web/media/documents/rightscale-2019-state-of-the-Cloud-report-from-flexera.pdf Panorama du marché : la finance en retard
La réticence initiale des institutions financières est aujourd’hui remise en cause par l’émergence Le panorama des secteurs ayant le plus adopté le Cloud met en évidence le retard des de nouveaux acteurs. Les Fintech ne sont en grandes institutions financières qui ont, dans un premier temps, rejeté l’idée de transférer effet pas freinés par des systèmes « legacy » leur données sur le Cloud, pour des raisons de sécurité, de fiabilité et de conformité à la entravant leur agilité, et s’appuient largement réglementation. sur le Cloud pour développer de nouveaux Une différence notable se remarque entre le taux d’adoption du Cloud IaaS/PaaS services plus rapidement et à des coûts (migration des activités « core » sur le Cloud) et celui de l’adoption du Cloud SaaS inférieurs. Elles bénéficient aussi parfois d’un (utilisation de messageries/bureautique). environnement réglementaire favorable, DSP2 par exemple. D’une manière générale, le recours au Cloud leur permet de s’inscrire parfaitement 1 2 3 4 5 dans le mouvement d’ouverture du secteur financier (open banking notamment) et de bénéficier des dernières technologies comme l’IA (intelligence artificielle). Les acteurs traditionnels recourent donc de plus en plus au Technologie Télécommu Gouvernement Finance Manufacture Cloud pour pouvoir faire face à cette nouvelle nications concurrence. IaaS/PaaS 32% 27% 19% 17% 14% SaaS 80% 75% 70% 82% 82% La crise du COVID-19 va sans aucun doute développer plus encore le recours au Cloud. Le Dans ce cas spécifique, les chiffres IaaS/PaaS correspondent aux taux de migration vers AWS et les CTO de Goldman Sachs, Atte Lahtiranta, chiffres Saas correspondent aux taux d’utilisation de Office 365. explique ainsi que l’adoption récente du Cloud public a donné aux entreprise une « base En ce qui concerne l’adoption de services Cloud IaaS/PaaS, les institutions financières se technologique très polyvalente » qui leur montrent réticentes à migrer leurs activités de « core banking » sur le Cloud, permettra de mettre en œuvre des principalement pour des raisons de sécurité et de gouvernance des données. changements rapides et importants dans la Dans un sondage de l’American Bankers Association de 2018, 50% des acteurs bancaires façon de fonctionner des entreprises dans les interrogés ont déclaré ne pas être sûr de migrer leurs activités principales sur le Cloud et années à venir. 21% ont même déclaré qu’ils étaient contre. Plus de 95% des équipes de Goldman Sachs ont Les chiffres vu ci-dessus démontrent donc que les acteurs financiers prennent du retard pu télétravailler pendant la crise et absorber par rapport aux autres secteurs dans la course au Cloud (seulement 17%) des volumes exceptionnels de transactions sur les marchés financiers.
8 AILANCY I CONFIDENTIEL *Source : Bitglass Cloud Adoption 2019 Sommaire
1. Présentation du Cloud Computing
2. Pourquoi et comment migrer sur le Cloud ?
3. Les grands enjeux pour les acteurs des services financiers
4. Savoir-faire Ailancy
5. Annexes
AILANCY I CONFIDENTIEL Quels sont les principaux avantages du Cloud Computing ?
Coût : Passer dans le Cloud élimine la nécessité d’investir dans une infrastructure propre (matériel et logiciels) de même que les coûts liés à la maintenance (alimentation, entretien matériel). Le Cloud offre une structure de coûts essentiellement variable. Réduction du coûts opérationnels IT estimée entre 15% et 40%. Attention toutefois, le passage dans le Cloud n’est pas une garantie systématique de baisse des coûts, et demande de nouvelles compétences pour suivre au plus près les coûts variables facturés par les fournisseurs.
Sécurité et fiabilité : Les fournisseurs de services Cloud se portent garants de la sauvegarde et de la sécurité des données et des infrastructures contre les menaces externes. Ils assurent la mise à jour systématique de leurs systèmes et investissent massivement pour sécuriser au mieux leurs infrastructures. Les institutions financières doivent évidemment rester attentives aux services et garanties apportées par leurs fournisseurs notamment dans le cadre de PSEE. Si le niveau de sécurité offert par les fournisseurs est bien souvent supérieur à celui possible dans des institutions financières, des fuites de données sont toujours possibles, même pour celles hébergées dans le Cloud.
Performance et vitesse : Les capacités peuvent être rapidement mises à l’échelle («scalability»), parfois automatiquement, pour évoluer rapidement et être disponible dans un temps réduit. Pour le client de services Cloud, les capacités disponibles pour l’approvisionnement semblent souvent illimitées et peuvent être achetées en n’importe quelle quantité et à tout moment.
Service mesuré : Les systèmes de Cloud contrôlent et optimisent automatiquement l’utilisation des ressources en exploitant une capacité de mesure à un niveau d’abstraction approprié au type de service (par exemple stockage, traitement, bande passante et comptes d’utilisateurs actifs).
Productivité : Les tâches liées à la maintenance du matériel et à la mises à jour des logiciels sont totalement supprimées, ce qui permet un gain important en temps et en productivité. Les équipes IT peuvent ainsi passer plus de temps sur des tâches à plus forte valeur ajoutée et travailler plus étroitement avec le business.
Evolutivité: Les fournisseurs de Cloud mettent à disposition de larges catalogues de services permettant de mettre en œuvre simplement de nouvelles fonctionnalités. Le fait d’avoir son infrastructure et ses données sur le Cloud permettra par exemple un recours facilité aux outils d’intelligence artificielle mis à disposition par ces fournisseurs.
10 AILANCY I CONFIDENTIEL Focus sur les coûts
Le Cloud modifie en profondeur la structure des coûts de l’IT
Les centres de coûts en capital pour l’installation et l’entretien ➢ La mise en place d’une infrastructure réseau locale est très coûteuse et d’une infrastructure locale représente un investissement important pour toute entreprise, quelle que soit sa taille. En plus de cet investissement viennent s’ajouter les charges de maintenance du matériel. Les coûts fixes, dans le cas d’une structure on- ▪ Coûts liés à l’acquisition, l’alimentation, à la réparation et au premise, sont importants et les coûts variables négligeables. Serveurs remplacement de serveurs physiques situés sur site. ➢ Migrer sur le Cloud consiste à remplacer un investissement en capital lourd ▪ Coûts liés à l’achat et à l’entretien du matériel de stockage. Ils peuvent par une charge variable maîtrisée. En effet le modèle économique des Stockage être optimisés en fonction de l’importance des données stockées, avec fournisseurs de services Cloud consiste à fournir une infrastructure virtuelle des charges plus élevées pour les données plus sensibles. via Internet, qui remplacera totalement l’infrastructure locale des entreprises ▪ Ces coûts incluent tous les composants matériels locaux comme les clientes, pour une performance, une sécurité et une flexibilité accrue. Dans Réseau câbles, commutateurs, points d’accès et routeurs. Ils englobent le cas d’une migration dans le Cloud, les coûts fixes deviennent minimes. également le réseau étendu (WAN) et les connexions Internet. ➢ Les coûts d’investissement (CapEx) sont donc remplacés par des coûts Sauvegarde et ▪ Cette catégorie englobe également le coût de la maintenance des opérationnels (OpEx). Ce changement a un impact important d’un point de archivage données sauvegardées. vue du résultat comptable : contrairement aux charges CapEx, les charges OpEx ne sont pas amortissables Continuité et ▪ Coûts liés à la tolérance de panne, la reprise d’activité après sinistre, la récupération des données, ce qui peut comprendre notamment des ➢ Le déploiement d’une offre Cloud vient s’accompagner d’une formule de reprise d’activité générateurs de secours. paiement à l’utilisation (IaaS et PaaS) ou formule d’abonnement (SaaS), qui, Infrastructure du lorsqu’elle est adaptée à l’organisation, peut réduire fortement les coûts ▪ Il s’agit de l’alimentation, de l’occupation d’espace, du refroidissement, centre de opérationnels IT. de la maintenance des bâtiments, etc… données
Les coûts liés au Cloud sont les suivants :
Coûts du fournisseur Coûts du Continuité et • Paiement à l’utilisation : Payer à l’utilisation permet de s’adapter plus facilement à l’évolution des réseau reprise d’activité besoins du clients et ainsi minimiser les risques de sur ou sous-capacités. • Réserver des ressources pour économiser : Certains fournisseurs proposent des remises sur des Lien télécom vers le Simplification des PCA grâce à la engagement d’utilisation. fournisseur de Cloud redondance et résilience offerte • Tarifs dégressifs sur l’utilisation nativement par le Cloud
11 AILANCY I CONFIDENTIEL Comment mener à bien un projet de migration vers le Cloud ? (1/2)
Effort d’adaptation
Lift and Shift Move and improve Transform Déplacer les applications Adapter les applications au Adopter une infrastructure d’une infrastructure à une nouvel environnement IT « Cloud-native » autre Management, contrôle
Intergiciels, applications
Bases de données SaaS / PaaS Coûts (Google App Engine, Amazon Systèmes opérationnels, virtualisation IaaS + Redshift) (bases de données Cloud- Stockage IaaS native) Serveurs physiques (développement et test)
Trois approches pour migrer vers le Cloud : ➢ L’approche « Lift and shift » consiste à simplement déplacer l’ensemble des données telles quelles depuis un serveur physique, vers un serveur Cloud. Cette approche est la moins couteuse en termes de frais de migration, mais entraîne généralement des coûts supplémentaires post- migration. ➢ L’approche « Move and improve » consiste à effectuer un travail d’adaptation avant de faire migrer des applications qui ne sont pas totalement aptes à fonctionner sur le Cloud. Les centres de coûts peuvent englober, en plus du stockage et de la location des serveurs, la mise en place de bases de données, ou encore la virtualisation de certains logiciels et systèmes opérationnels. ➢ L’approche « Transform » est une refonte globale des outils pour un fonctionnement optimal sur le Cloud, et nécessite non seulement une prestation technique, mais aussi un accompagnement spécialisé (monitoring, advisory). Il s’agit de la solution la plus coûteuse mais qui maximisera par la suite l’efficience opérationnelle.
12 AILANCY I CONFIDENTIEL Comment mener à bien un projet de migration vers le Cloud ? (2/2)
Une migration réussie vers le Cloud doit être accompagnée d’une stratégie de transformation organisationnelle, et d’optimisation de l’infrastructure IT
1 Définir la stratégie 2 Définir la stratégie IT globale Cloud 3 Développer le Modèle opérationnel Cloud 4 Définir les exigences Compliance , Sécurité et le 5 Elaborer la modèle de Gouvernance de Roadmap de mise données en œuvre
Définition de la stratégie IT Définition de la stratégie de Compliance , Sécurité et Modèle opérationnel Cloud Roadmap de mise en œuvre globale migration vers le Cloud Gouvernance de données
• Établir une vision et une stratégie • Fournir une stratégie approfondie • Développer une vision Cloud ainsi • Définir les principes et les • Faire une sélection des premiers globale orientée métier intégrant les pour la migration vers le Cloud en qu’un modèle opérationnel adapté à considérations clés pour la définition éléments et applications à migrer différents aspects : business, tenant compte de la préparation des la stratégie de l’entreprise cible de l'architecture et la stratégie de vers le Cloud processus et IT applications, des directives • Définir les impacts organisationnels migration • Mettre en place un plan de • Evaluer l’environnement SI afin de réglementaires et de sécurité et des et principalement la transformation • Respecter les différentes exigences transformation et entamer une déterminer la maturité des principes d'architecture de la DSI : nouveau rôle, réglementaires, de sécurité et de migration en plusieurs phases applications, pour une migration vers • Mettre en place une méthodologie compétences à développer, profils à gouvernance des données • Décliner les différents chantiers de la le Cloud standardisée et structurée pour servir recruter.. • Mettre en place des mesures stratégie de migration vers le Cloud • Fournir un Business Case approprié l’organisation cible • Mettre en place des procédures tangibles ainsi que des instruments en tenant compte de la préparation afin d’illustrer et de justifier la • Identifier les outils et applications adaptées à l’évolution du rôle des gravitants autour de l’organisation des applications, des directives nécessité de l’investissement adaptés à l’environnement actuel collaborateurs, et visant à une suite à la migration, et permettant de réglementaires et de sécurité et des • Identifier les fournisseurs clés à mais aussi aux changements que va utilisation plus efficiente des remonter rapidement les succès et principes d'architecture solliciter connaitre cet environnement ressources. échecs. • Fournir une estimation des coûts • Identifier les fournisseurs et les • Définir les rôles et les responsabilités • Développer des chemins d’escalade (analyse du TCO, ROI,..) services adaptés aux besoins de • Établir un alignement clair entre et de remontée de l’information afin • Pour le TCO, fournir un modèle pour l’entreprise l'architecture d'entreprise, de minimiser les impacts envers le une vue du coût total de possession l'informatique et le fournisseur de business dans le Cloud services Cloud
13 AILANCY I CONFIDENTIEL Les points d’attention à prendre en compte
Projet complexe Gouvernance des données La transition vers le cloud représente un grand Les données les plus sensibles ne peuvent changement dans l’organisation d’une être migrées sur le Cloud et certains entreprise. Cela implique un grand acteurs, par précaution, préfèrent voir leur investissement mais aussi un travail en données hébergées en France ou en profondeur pour définir de nouvelles méthodes Europe. En effet, l'inquiétude quant à la de travail. Cette transition requiert donc une sécurité reste vive en raison fuites de mobilisation de ressources importante. données toujours possibles.
Projet long Pour tirer tout le profit du Cloud, il est préférable de Dépendance au fournisseur modifier la conception et l’architecture des La réversibilité (c’est-à-dire la capacité à applications migrées. Une migration d’envergure changer de fournisseur de Cloud) paraît très implique le décommissionnement d’infrastructures difficile. La migration dans le Cloud est une existantes (cf l’exemple plus bas d’un projet décision stratégique qui engage fortement. ambitieux pour décommissionner un data center ayant pris trois ans au total).
Législation de certains pays Mise en place de liens réseau Dans certains pays, la loi interdit ou restreint performants fortement la possibilité de stocker des données Le recours au Cloud implique des bancaires en dehors des frontières. C’est le cas échanges de données importants avec notamment de la Suisse, du Luxembourg et de la les data centers des fournisseurs. La Russie en Europe, de l’Algérie, de la Tunisie et de migration de certains services doit donc quelques pays de l’Afrique subsaharienne en bien prendre en compte cette dimension Afrique. et son coût.
14 AILANCY I CONFIDENTIEL Use Cases : Assurance (1/3)
Société & Pourquoi? Comment? Résultats Fournisseur
Les nouvelles fonctionnalités majeures sont Avec ses 17 millions de police d’assurance, Geico Plutôt qu’un simple « lit and shift », Geico a désormais disponibles en 3 semaines au dispose d’une masse considérable de données. Outre choisi de solder sa dette technique en lieu de 6 et les mises à jour mineures son coût, l’architecture mainframe utilisé pour ses GEICO – deuxième modernisant près d’un million de lignes peuvent être effectuées sans interruption de applications commerciales ne permettait pas à Geico assureur automobile écrites en COBOL. Les applications ont été service. La mise en place de services d’adopter une approche CI/CD (intégration continue / réécrites en .NET. Ce sont au total 16 sous- « Cloud natif » une approche agile et nord-américain avec déploiement continu) et de livrer de nouvelles systèmes utilisés par la direction DevOps. Les capacités de reprise après 17 millions de police fonctionnalités rapidement. Geico peinait également à commerciale qui ont été migrés vers le sinistre estimées à un à deux jours dans en attirer les meilleurs talents IT plus tournés vers le Cloud. environnement mainframe ont aussi été Cloud que les systèmes mainframe. réduites drastiquement.
ASI fournit aux assureurs une solution de risk Le recalcul des polices prend quelques management (PathWise) pour leurs investissements. minutes plutôt que des heures voire des PathWise utilise notamment des méthodes Monte- jours. Un reporting financier trimestriel qui ASI peut utiliser des centaines de Aon Securities Inc. Carlo nécessitant de recalculer des millions de fois des pouvait prendre deux semaines à être processeurs graphiques (GPU) pour réaliser (ASI) – filiale d’Aon simulations en parallèle. Cela requiert une puissance généré peut l’être en quelques heures. La ses calculs et ne payer que pour les fournissant des de calcul phénoménale qui doit aussi idéalement solution permet aussi à prendre des ressources consommées. ASI a pu pouvoir absorber d’énormes pics d’activité (périodes décisions de trading dans des solutions de risk bénéficier de ces ressources rapidement de reporting trimestriel). ASI souhaitait pouvoir utiliser environnements de marché mouvants en
Acteurs management pour 5 sans avoir eu à construire une novelle des processeurs graphiques (GPU), actuellement les permettant de faire des calculs, s’appuyant millions de police infrastructure. plus performants pour bénéficier de cette puissance, sur des données de marché, en quelques et disposer de suffisamment de scalabilité sans minutes. ASI peut aussi faire bénéficier ses construire un data center coûteux. clients des économies réalisées.
L’ancienne infrastructure d’ Axa Suisse ne Axa Suisse a pu tester son approche grâce à Pour garder sa position de leader, Axa Suisse est lui permettait pas de mettre en place les un PoC et est maintenant en cours de AXA Suisse – filiale convaincu que la technologie est clé et que l’entreprise nouvelles technologies nécessaires à ses migration. Les temps de traitement et de d’AXA, leader en doit devenir data-driven. La technologie doit ainsi ambitions. Le choix a don été fait de migrer développement ont été réduits de 20 à permettre d’apporter plus de valeurs aux clients et de son infrastructure on-premise vers le Cloud. 30%. Des traitements prenant parfois un Suisse avec 1,9 développer de nouveaux services innovants. L’objectif Axa Suisse a choisi Google Cloud qui offre weekend entier peuvent maintenant être millions d’assurés et visé est d’identifier de nouveaux besoins clients et de une approche multi-Cloud permettant de effectués en quelques minutes. Une grande 18,6% de part de mieux personnaliser le service client. Un autre objectif rester flexible: ses développeurs écrivent attention a été portée aux données marché était d’automatiser certaines tâches opérationnelles et des applications Cloud-native qui peuvent personnelles qui sont parfaitement d’offrir de nouveaux outils aux équipes d’Axa Suisse. ensuite être déployées on-premise, sur sécurisées et uniquement accessibles par Google Cloud ou d’autres Cloud. Axa.
https://customers.microsoft.com/en-in/story/746966-geico-insurance-azure https://aws.amazon.com/fr/solutions/case-studies/aon/ 15 AILANCY I CONFIDENTIEL https://Cloud.google.com/customers/axa-switzerland Use Cases : Banque de détail (2/3)
Société & Fournisseur Pourquoi? Comment? Résultats
Pour réussir sa transformation Capital One a Capital One a toujours placé En migrant sur le Cloud, Capital One a réussi à réduire décidé d’aligner sa feuille de route l’expérience client au centre de sa l’empreinte écologique de son data center et développer stratégique à 5 ans avec son utilisation du stratégie, et cherché à utiliser les l’utilisation de microservices. Capital One a développé des Cloud. Les bénéfices attendus (innover plus dernières technologies. En 2015 processus DevOps lui permettant d’offrir de nouvelles Capital One – Banque rapidement, mieux valoriser les données, l’entreprise décide de migrer fonctionnalités et de nouveaux services en quelques réallouer des ressources vers des activités à américaine spécialisée entièrement sur le Cloud. Le choix semaines au lieu de plusieurs mois, voire années. Le plus forte valeur ajoutée) constituaient des dans le crédit à la d’un Cloud public permettait Cloud a aussi permis d’utiliser les données disponibles arguments forts pour susciter l’adhésion du consommation d’utiliser toutes les ressources au pour développer le machine learning et améliorer le management au projet. Un effort particulier service de la stratégie d’entreprise service client. Un autre avantage est de pouvoir attirer les de formation a aussi permis au management plutôt que de développer et meilleurs développeurs et ingénieurs qui veulent travailler de comprendre comment le Cloud leur maintenir son propre Cloud privé. sur ces nouvelles technologies. permettrait d’atteindre leurs objectifs.
Metro Bank utilise Oracle Financials En 2015, Metro Bank a choisi Microsoft SQL, comme core banking, mais cette Power BI et Azure pour son premier data Metro Bank se repose sur cette solution pour de Metro Bank – Banque plateforme n’était pas adaptée à warehouse qui est devenu la source de nombreuses analyses: anglaise créée en 2010 ses besoins en termes d’analyse de référence pour tous les reportings et analyses • Pour ses call centers (volume, temps de traitement…) données. De tels traitements de données. En plus de ce data warehouse, Acteurs qui compte désormais • Usages de ses clients en ligne plus de 50 agences et un interféraient avec les autres Metro Bank a créé plusieurs data marts sur • Réclamations million de comptes traitements, et les outils BI d’Oracle Azure offrant plus d’agilité et permettant • Planning et staffing des équipes étaient onéreux et difficiles à d’ajouter d’autres sources de données pour • Suivi de projets utiliser. des analyses de données tactiques.
Mambu compte plus de 150 clients Jusqu’à la fin 2015, OakNorth était contraint d’héberger et fournit notamment son core l’application Mambu dans ses data centers. Un Mambu exécute tous ses services, du Mambu – Fournisseur de banking à N26. Mambu a développé changement de réglementation a permis un déploiement développement à la production, sur AWS. technologie bancaire son offre pour disrupter les éditeurs dans le Cloud et les bénéfices suivants ont été constatés: AWS propose plusieurs couches de traditionnels. Un facteur clé de • Baisse des coûts de 60% pour OakNorth OakNorth – banque redondance dans ses data centers et entre différenciation qui est apparu est • Maintenance: mise en production automatisée, anglaise fondée en 2013 ses data centers offrant à l’application une haute disponibilité. Les clients correctifs déployés en 30 minutes sans temps d’arrêt offrant des prêts aux PME Mambu une disponibilité de 99,99%. de Mambu attendent en effet une • Facilité accrue de la gestion de la sécurité (cryptage disponibilité de 99,99% des données, instances dédiées, contrôle des accès)
https://aws.amazon.com/fr/solutions/case-studies/capital-one/ https://customers.microsoft.com/en-us/story/773648-metro-bank-banking-power-bi 16 AILANCY I CONFIDENTIEL https://aws.amazon.com/fr/solutions/case-studies/mambu/ Use Cases : ISAM (3/3)
Société & Pourquoi? Comment? Résultats Fournisseur
Metori avait besoin d’une plateforme La plateforme de Metori utilise différents services Metori – Société de performante pour ses algorithmes Metori estime que construire un environnement Azure: Azure Virtual Machines, Azure SQL gestion (spin off de propriétaires. La scalabilité et la disponibilité évolutif en ligne avec ses prévisions aurait pu lui Database. Cette plateforme est connectée à une Lyxor) créée en 2016 de la plateforme était aussi des éléments clés. coûter 10 fois plus cher. Les objectifs en termes base contenant toutes les données de marché et à La plateforme devait aussi répondre aux de performance, scalabilité et disponibilité ont spécialiste de la une API Bloomberg, elles aussi hébergées chez exigences de conformité et de protection des été atteints gestion quantitative Azure. données.
Pour faire face à ses besoins croissants, MUFG a décidé de migrer la puissance de calcul La scalabilité quasi-instantanée offerte par le La filiale de MUFG en charge des opérations nécessaire à ces calculs sur le Cloud plutôt que Cloud permet à MUFG de s’adapter en cas de marché doit évaluer et reporter les risques Mitsubishi UFJ d’ajouter des centaines de nouveaux serveurs d’événement de marché. Le coût de chaque des transactions les plus complexes. Pour Securities dans ses propres data centers. MUFG a ainsi calcul peut être évalué et arbitré si besoin. cela, les équipes quant doivent accès à 750 machines en semaine et 1000 le Enfin, le Cloud utilisant un modèle de paiement International plc – quotidiennement traiter 100 Go de données weekend. MUFG aurait eu besoin d’acheter 350 à l’usage, les coûts de cette activité sont des Filiale de MUFG en moins de 12 heures, et plus du double le serveurs pour obtenir la puissance de calcul coûts opérationnels et non plus des coûts
Acteurs weekend. nécessaire. L’efficacité d’utilisation est de 97- d’investissement. 98%, performance rarement atteinte on-premise.
La solution mise en place par GED lui permet de Le département GED collecte et analyse stocker 500 To de données et de réaliser des d’importants volumes de données, notamment GED a choisi la distribution Cloudera d’Hadoop qui analyses sur des centaines de To de données des historiques d’ordres et de transactions. offre la scalabilité nécessaire et permet de traiter Banque Nationale historiques. Il est maintenant possible de Son infrastructure et ses bases de données des données structurées et non-structurées. GED du Canada– GED réaliser en quelques heures des analyses post- relationnelles classiques ne parvenaient à a ensuite choisi de réaliser un pilote dans le Cloud trade qui pouvaient prendre plusieurs semaines. (Global Equity absorber cette masse de données en ce qui lui a permis déployer sa solution en deux Cette puissance de calcul permet à Banque Derivatives) croissance constante. GED souhaitait semaines alors que la mise en place d’un cluster nationale du Canada d’optimiser ses opérations également pouvoir traiter et analyser des Hadoop en interne lui aurait pris des mois. de trading et de générer plus de revenus, ainsi données structurées et non- structurées. que d’offrir de meilleurs prix à ses clients.
https://customers.microsoft.com/en-us/story/metori-capital-management-financial-services-azure https://customers.microsoft.com/en-us/story/731782-powering-risk-compute-grids-in-the-Cloud 17 AILANCY I CONFIDENTIEL https://aws.amazon.com/fr/solutions/case-studies/national-bank-of-canada/ Sommaire
1. Présentation du Cloud Computing
2. Pourquoi et comment migrer sur le Cloud ?
3. Les grands enjeux pour les acteurs des services financiers
4. Savoir-faire Ailancy
5. Annexes
AILANCY I CONFIDENTIEL Quels sont les enjeux actuels pour les entreprises?
Défis majeurs par taille d’entreprise (Enquête réalisée par FLEXERA en 2019) 1 La gouvernance des données
84% 84% des entreprises ont identifiés la sécurité et la gouvernance de Gouvernance ère 73% données comme leur 1 préoccupation (84% des Grandes entreprises vs 73% des PME)
84% Maîtrise des coûts 69% 2 Maîtrise des coûts Cloud 81% Sécurité 72% L’optimisation de l’infrastructure Cloud afin de réduire les coûts est la priorité pour 84% des grandes entreprises (69% pour les PME)
79% Manque d’expertise 77% 3 Transformation de la DSI 79% Compliance 71% 79% des entreprises estiment un manque d’expertise des technologies Cloud au niveau de leur équipes IT et ont identifié de nouveaux rôles 76% pour la DSI Gestion multi-Cloud 59%
73% Migration Cloud 4 Le multi-Cloud 60%
84% des entreprises ont une stratégie multi-Cloud. Grandes entreprises PME Une enquête sur l’état du Cloud en 2019 montre que le multi-Cloud reste la stratégie privilégiée Source : https://resources.flexera.com/web/media/documents/rightscale-2019-state-of-the-Cloud-report-from-flexera.pdf
19 AILANCY I CONFIDENTIEL Gouvernance des données : est-il possible de mettre des données personnelles sur le Cloud ?
Les institutions financières restent prudentes mais les mentalités évoluent rapidement
L’EBA – European Banking Authority – n’interdit pas aux sociétés européennes de migrer sur le Cloud et, par conséquent, d’y mettre des données personnelles. Cependant elle formule des recommandations* quant à l’externalisation vers des fournisseurs de services Cloud hors Union Européenne (et donc vers les fournisseurs américains).
x Avec le Cloud Act toute la règlementation RGPD européenne, notamment le RGPD, ne permet ➢ Règlement général sur la protection des données pas d’assurer la confidentialité des données stockées sur des serveurs américains, qu’ils ➢ Règlement de l’Union Européenne relatif à la protection des données à soient situées aux Etats-Unis ou pas. caractère personnel ➢ Entrée en application en mai 2018
Le chiffrement des données migrées constitue une réponse à cet écueil. Elle doit cependant, être mise en place en respectant certaines règles. Cloud Act En effet, si les clés sont laissées à l’opérateur, le ➢Clarifying Lawful Overseas Use of Data Act risque d’accès aux données confidentielles persiste. Néanmoins, si les clés restent chez le ➢Loi fédérale des États-Unis sur la surveillance des données personnelles, client, ce dernier risque de ne pouvoir accéder à notamment dans le Cloud. certaines fonctionnalités du fournisseur. Voir Annexe pour plus de détails – Gouvernance des données – Technique ➢Adoptée en 2018
20 AILANCY I CONFIDENTIEL * Voir Annexe – EBA – Recommandations sur l’externalisation vers des fournisseurs de service Cloud Maîtrise des coûts: comment le FinOps aide à les surveiller et les contenir
Le métier du Cloud FinOps est un nouveau métier, absolument clé dans le processus d’adoption du Cloud dans les entreprises car il gère l’optimisation financière de l’usage du Cloud. Il sert de lien entre Finance et IT.
A l’image de la montée en puissance du DevOps abolissant la frontière entre les fonctions de développement et d’administration, le Cloud a favorisé l’émergence d’une nouvelle fonction Finops qui a pour but d’optimiser les coûts liés à l’utilisation du Cloud.
Le profil hybride du FinOps lui permet INFORMER OPTIMISER SURVEILLER d’assumer différentes missions : Informer sur les différentes Optimisation financière en fonction de la Évaluer continuellement les usages possibilités du Cloud. Pour tarification du fournisseur. afin de les adapter si les volumes ou faire cela, il doit connaître le Par exemple, par l’utilisation de calculateurs les utilisations venaient à varier. Cette catalogue complet de spécifiques, fournir une estimation des futurs mission se base sur une étude de services proposés par les coûts; selon les usages envisagés, il peut l’historique, le monitoring et des fournisseurs. conseiller un fournisseur plutôt qu’un autre, etc. projections d’activité.
Les trois principales activités du FinOps sont donc: l’allocation des coûts, l’optimisation des coûts et le pilotage budgétaire..
Le travail de Cloud Finops ne s’arrête pas aux optimisation financières à court terme. Il s’agit aussi d’accompagner les entreprises dans leur passage à une culture Finops. Le représentant FinOps a également une mission de conduite du changement : former les équipes aux bonnes pratiques Cloud, de l’architecte au financier, du développeur à l’acheteur.
21 AILANCY I CONFIDENTIEL Driver économique ou stratégique?
En règle générale, les fournisseurs de Cloud estiment qu’une migration sur le Cloud permet une réduction d’environ 30% des coûts IT. Mais le driver économique n’est pas toujours la raison principale de la migration. x
DRIVER ECONOMIQUE DRIVER STRATEGIQUE
➢ Le paiement à l’usage peut se révéler plus économique, notamment si une approche FinOps est adoptée. Cette approche est indispensable Un des avantages mis en avant lors de la migration vers le étant donné les approches radicalement différentes induites par le Cloud est l’agilité qui est acquise. Une fois la migration réalisée, Cloud. Des serveurs existants inutilisés on-premise ont un coût le déploiement d’un nouveau service ou la mise à niveau d’une marginal ce qui n’est pas le cas de ressources facturées mais application existante se fait beaucoup plus rapidement et inutilisées ou sous-utilisées. facilement. ➢ La répartition CapEx / OpEx permet une plus grande agilité et flexibilité Exemples Use Cases pour maîtriser les coûts IT. ➢ GEICO : les nouvelles fonctionnalités majeures sont dispo en 3 semaines au lieu de 6 et les mises à jour mineures peuvent être effectués sans interruption de service. ➢ AON : le recalcul des polices prend quelques minutes plutôt que des heures voire des jours et la ➢ OakNorth (voir use cases Banque de Détail) a réalisé des économies génération d’un reporting financier trimestriel prend quelques heures et non plus deux de 60% suite au déploiement dans le Cloud de son core banking semaines. ➢ Capital One : déploiement de nouvelles fonctionnalités et nouveaux services en quelques Mambu. semaines au lieu de plusieurs mois. ➢ Banque Nationale du Canada : optimisation de ses opérations de trading grâce à une puissance Mais le driver principal qui mène à migrer vers le Cloud est de calcul qui permet de réaliser en quelques heures des analyses post-trade qui pouvaient prendre auparavant plusieurs semaines. bien plus souvent stratégique.
Cependant, pour pouvoir bénéficier totalement d’une migration vers le Cloud, un effort d’adaptation est indispensable. En effet, l’approche lift & shift ne permet pas les mêmes économies et la même agilité qui s’acquière avec une approche de transformation complète. Par exemple, Capital One a décidé de réécrire toutes ses anciennes applications lors de la migration sur le Cloud pour qu’elles soient optimisées.
22 AILANCY I CONFIDENTIEL Use Case : évaluation des impacts financiers d’une migration Cloud
Cet exemple illustre les challenges associés à une migration • Des coûts de run du Cloud, largement inferieurs (55%) aux coûts du data center avant de la migration • Le délai pour une migration d’ampleur : deux ans pour décommissionner le data center, près de trois ans en tout pour arriver à la cibe • Des coûts d’investissement pour la migration très importants impactant le ROI • Economies de $880 000 / an suite à un investissement total d’environ $5 400 000 (coûts d’investissement et overlap Cloud / data center)
23 AILANCY I CONFIDENTIEL Transformation de la DSI avec l’arrivée du Cloud
Avec l’arrivée du Cloud, la DSI subit une mutation afin d’accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Il est désormais au cœur de l’innovation.
x x Un nécessaire repositionnement de la DSI ➢La DSI doit se replacer comme l’interlocuteur privilégié des directions Une remise en question du rôle de la DSI métier au sein de l’entreprise, ce qui sous-entend que la DSI assure le pilotage des prestations et fonctions externalisées, sous tous les angles : opérationnel projet, financier/administratif, contrôle du ➢ Face au manque d’efficacité des systèmes d’information quant à leur respect des engagements de service des prestataires, … Sa structure alignement sur les besoins stratégiques des entreprises, les dirigeants devient ainsi plus transverse et plus agile. passent outre les DSI par le biais de services Cloud. Selon une ➢Rôle de garant : la DSI se porte garante du bon fonctionnement du enquête, réalisée auprès de 650 dirigeants et DSI (dont 31% en système via la mise en place d’une gouvernance, des contrôles en France), 65% des dirigeants interrogés confirment que « l’informatique lien avec les fournisseurs / prestataires. ne les aide pas à faire évoluer les choses comme ils le voudraient». ➢Rôle de sachant : La DSI doit développer de nouvelles compétences et ➢ Selon cette étude, « cet échec des systèmes IT» est lié au non-respect transformer son savoir-faire : sécurité, technologie, maitrise de des délais des projets, au manque de souplesse et à l’isolement des données… systèmes de l’entreprise. Rôle d’accompagnement et de formateur: un partenaire ➢ Ainsi, il n’est pas rare qu’une direction métier, au sein d’une grande ➢ technologique pour le métier dans la mise en œuvre des projets. entreprise, souscrive une offre SaaS externe pour satisfaire ses propres besoins, sans même solliciter ni notifier la DSI. En outre, en termes de capital humain, le passage au Cloud permet d’attirer les meilleurs profils très motivés pour travailler sur ces environnement et évoluer vers des technologies plus valorisées (voir les Source : Etude réalisée par l’éditeur d’outils de BPM Cordys (lien) use cases GEICO et CAPITAL ONE).
En conclusion, il ressort de ces constats que la DSI, loin d’être menacée par le développement du Cloud, peut au contraire tirer profit de sa maîtrise technologique pour accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Elle retrouve ainsi toute sa place dans la stratégie de l’entreprise.
24 AILANCY I CONFIDENTIEL Le multi-Cloud
Le recours à plusieurs fournisseurs de services de Cloud – le multi-Cloud – est une stratégie qui présente des avantages mais peut être difficile à mettre en œuvre. AVANTAGES* x • Agilité et flexibilité nécessaire pour innover rapidement Qui et • Sélection des services spécialisés nécessaires chez les différents fournisseurs comment ? • Gouvernance des données et compliance. Avec la mise en place de règlementations conflictuelles, notamment le Cloud Act et le RGPD, certaines entreprises sont très sensibles à l’emplacement de stockage de leurs données et Pour les grosses structures, la migration vers préfèrent garder la donnée dans leur pays deux fournisseurs peut apparaître sécurisante, • Pouvoir de négociation en exploitant les différences de prix entre les fournisseurs afin de diversifier et ainsi minimiser les risques. • Compatibilité permanente avec ses logiciels c’est-à-dire pouvoir s’assurer la Dans ce cas, un suivi FinOps poussé est perpétuité de ses logiciels avec son service Cloud et donc, ne pas être dépendant nécessaire. de l’alignement de la stratégie commerciale des éditeurs de licence avec celle Pour une entreprise en dessous d’une taille des fournisseurs de Cloud critique, l’intérêt de la mise en place d’une stratégie multi-Cloud est limité.
Cette stratégie présente des avantages comme INCONVENIENTS* des inconvénients*. Afin de minimiser les impacts négatifs du multi-Cloud, certains outils • Reduction de possible économies d’échelle et redondance de certains coûts et sont disponibles: services: étant donné que chaque Cloud dispose de coûts fixes mensuels, une ➢ Terraform permet de masquer les différences migration sur plusieurs providers correspond à multiplier ces coûts par autant de entre Cloud en ajoutant une surcouche fois que l’on a de Clouds (par exemple, les coûts mensuels de support pour les (langage commun mais bibliothèques entreprises s’élèvent à une dizaine de milliers d’euros.) différentes pour chaque Cloud). • Multitude de factures ➢ Déploiement des clusters Kubernetes • Augmentation de la complexité de la gestion, des structures, de la sécurité et (logiciel d’orchestration open source conçu réduction de l’agilité. Il faut réussir à créer des connexions entre les Clouds. pour déployer, gérer et mettre à l’échelle des • Besoin d’expertise plus large. Une connaissance approfondie de chaque Cloud conteneurs) permettant en partie de utilisé est nécessaire. s’affranchir du fournisseur de Cloud.
25 AILANCY I CONFIDENTIEL Source : Livret d’épargne Cloud - GEKKO Sommaire
1. Présentation du Cloud Computing
2. Pourquoi et comment migrer sur le Cloud ?
3. Les grands enjeux pour les acteurs des services financiers
4. Savoir-faire Ailancy
5. Annexes
AILANCY I CONFIDENTIEL Une expertise métier au service de la transformation IT
Une capacité éprouvée Des expériences De nombreuses Une expérience en Un réseau de à aligner les enjeux IT significatives en références sur des conduite du changement partenaires permettant avec les drivers métiers transformation IT et en projets de changement pour accompagner la d’adresser toutes les outsourcing ITO/BPO de SI transformation composantes de la transformation
Une expertise Une capacité à Un rôle actif au sein de Une maitrise des sectorielle reconnue et conduire des projets en l’écosystème Fintechs technologies de des équipes méthodes traditionnelle & Innovation en France rupture (blockchain, expérimentées & Agile API, IA, RPA, Data…)
27 AILANCY I CONFIDENTIEL Nos domaines d’intervention et nos références
Nous intervenons aussi bien lors des phases amont qu’en accompagnement de la mise en œuvre
Audit et Stratégie IT Choix d’un prestataire Evaluation des SI et de la fonction Etude d’opportunité, sélection de informatique, mesure de partenaires, dossiers économiques l’alignement IT-Métiers, schémas / pricing des prestations, mise en directeurs informatiques… œuvre, due diligence…
Conduite de projet Conduite du changement Coordination de tous les acteurs, Formation, communication interne fluidifier la transmission & externe, processus, impacts d’informations, respect de la qualité organisationnels… des livrables et suivi du planning
28 AILANCY I CONFIDENTIEL Nous disposons de documents présentant nos savoir-faire, nos REX et nos convictions, nous permettant d’être très rapidement opérationnels sur ces sujets
#Stratégie IT #Projets de transformation IT #Stratégie IT #Savoir-Faire #Migration IT #Savoir-Faire Une présentation de notre expertise en matière de Notre démarche type d’assessment du SI et de la Notre démarche type en matière de gestion de transformation IT fonction IT et de conception de stratégie IT projets de refonte de SI / migration IT
#Outsourcing IT #Savoir-Faire #Conduite du changement #REX #Conduite du changement #Savoir-Faire Notre éclairage sur le marché de l’outsourcing IT et Nos REX sur le volet change (formation, process…) Notre démarche type pour remobiliser les équipes notre démarche type en matière d’ITO sur des projets de migration IT lors de projet de transformation Métiers-IT
29 AILANCY I CONFIDENTIEL Sommaire
1. Présentation du Cloud Computing
2. Pourquoi et comment migrer sur le Cloud ?
3. Les grands enjeux pour les acteurs des services financiers
4. Savoir-faire Ailancy
5. Annexes
AILANCY I CONFIDENTIEL Les modèles de service du Cloud computing
31 AILANCY I CONFIDENTIEL Source : https://fr.marcschillaci.com/2017/05/le-monde-du-service-expliqu%C3%A9-gr%C3%A2ce-aux-pizzas-iaas-paas-saas.html ; Gouvernance des données – Aspect juridique
Cloud Act RGPD & EBA
Le Cloud Act, aussi dit le Clarifying Lawful Overseas Use of Le RGPD, règlement général sur la protection des données, est Data Act, est une loi fédérale des États-Unis adoptée en 2018 sur la un règlement de l’Union Européenne relatif à la protection des surveillance des données personnelles, notamment dans le Cloud. données à caractère personnel, entré en application en mai 2018. Le Elle permet aux forces de l’ordre de contraindre les fournisseurs de RGPD établit des règles sur la collecte et l’utilisation des données services américains à fournir les données demandées stockées sur personnelles et impose à toute entreprise de connaître les traitements des serveurs, qu’ils soient situés aux Etats-Unis ou pas. qu’elle effectue sur les données personnelles qu’elle récolte. L’adoption du Cloud Act aux Etats-Unis a relancé le débat sur l’extra-territorialité des mandats américains sur des données L’EBA (European Banking Authority) formule des hébergées dans des datacenters à l’étranger. recommandations* en ce qui concerne l’externalisation vers des fournisseurs de services Cloud (décembre 2017). L’EBA n’interdit pas Le Cloud Act entre-il en conflit avec le RGPD? aux sociétés européennes de se transférer sur le Cloud, mais Les grands acteurs américains du Cloud (Amazon, Google, recommande d’être d’autant plus vigilant lors de la conclusion Microsoft) disent respecter le RGPD. Le gouvernement n’a pas d’accord conclus avec une contrepartie non européenne et alerte sur accès aux données – il faut le demander à un juge et il faut qu’il y les risques liés au Cloud. ait un acte criminel. Dans tous les cas, les fournisseurs conseillent En outre, l'EBA rappelle les bonnes pratiques sur le Cloud en matière aux clients de chiffrer leurs données ainsi que la seule chose qu’ils de sécurité comme la gestion des accès et des identités, les clés de pourront transmettre à un juge sont des données chiffrées et donc chiffrement, l'authentification (notamment avec le multi-facteur). Le inutilisable (car seul le client à la clé du chiffrement). En chiffrant contrôle de la configuration technique des infrastructures est « d'une ses données, le client devient le garant de la sécurité de ses importance vitale ». données.
32 AILANCY I CONFIDENTIEL * Voir Annexe – Final Report EBA Recommandations on Cloud Outsourcing, p. 17 Gouvernance des données – Aspect technique
Une solution pour la protection des données migrés sur le Cloud peut être le chiffrement de ces données.
Le service AWS propose 3 niveaux de chiffrage des données (KMS – Key Management Service) • AWS détient toutes les clés : Dans ce cas-là, l’espace reste vulnérable Les clés de chiffrement permettent au fournisseur de crypter des données étant donné que le service de stockage Cloud peut être compromis par stockées en ligne par leurs clients. Il existe différentes clés de chiffrement une attaque où ceux qui l’ont initiée peuvent accéder aux clés de et donc différents niveaux de sécurité. Il existe deux types de chiffrement chiffrement des utilisateurs et dont à leurs données. pour crypter les données dans le Cloud : • Client génère les clés / Clés sont hostés chez AWS (hostés à un autre endroit que data). Chiffrement des données stockées et transférées : dans ce type ➢ • Clés gardées chez client : dans ce cas là, le client ne peut pas utiliser de chiffrement, les données transférées sont cryptées. Ainsi, un toutes les fonctionnalités AWS. Les fichiers sont illisibles sans cette clé. pirate ne pourra pas intercepter un document/mot de passe, etc. Le cryptage des données stockées en ligne offre une KMS permet de gérer un double niveau de chiffrement : celui des données à protection supplémentaire. Néanmoins, dans ce cas, le proprement parler et celui des clés utilisées à ces fins. C’est le principe du fournisseur de service Cloud dispose de la clé de chiffrement et chiffrement « en enveloppe ». de déchiffrement et peut dont « voir » les données. Lorsque le prestataire est français, cela ne pose pas vraiment de problème puisque la loi sur la protection des données est stricte en France. Par contre, lorsqu'il s'agit d'un fournisseur américain, comme les géants du Cloud grand public, cela soulève la question de la sécurité (étant donné qu’ils sont soumis au Cloud Act). ➢ Chiffrement de bout en bout : dans ce type de chiffrement, le fournisseur de solution Cloud ne peut pas accéder aux fichiers : Avec le recours au chiffrement, le risque est transféré des données aux les données sont chiffrées et déchiffrées en local. Avec ce type clés. Pouvoir sécuriser la gestion, le stockage et l’utilisation de ces clés de de chiffrement, les données sont en sécurité et leur chiffrement est donc essentiel. Le déploiement d’une plateforme de gestion du confidentialité est respectée. chiffrement de niveau d’assurance élevé est indispensable pour protéger ces clés. Cette approche repose sur la génération de clés fortes, la gestion des clés de l’entreprise, une administration centralisée des ressources de chiffrement et l’utilisation de dispositifs matériels de confiance.
33 AILANCY I CONFIDENTIEL EBA – Recommandations sur l’externalisation vers des fournisseurs de service Cloud (1/2)
➢ 4.5 SECURITE DES DONNEES ET SYSTEMES 15. […] le contrat d’externalisation devrait obliger le fournisseur de services externes à protéger la confidentialité des informations transmises par l’établissement financier. […] les établissements devraient mettre en place des dispositions visant à assurer la continuité des services fournis par les fournisseurs de services externes. […] les besoins respectifs des établissements pratiquant l’externalisation en matière de qualité et de performance devraient être pris en considération dans les contrats d’externalisation écrits et les accords de niveaux de service. Ces questions liées à la sécurité devraient également faire l’objet d’un suivi permanent. 16. Aux fins du point précédent, avant l’externalisation et afin d’éclairer la prise de décision, l’établissement devrait au moins effectuer les opérations suivantes : a) Recenser et classifier ses activités, ses processus et les données et systèmes connexes en matière de sensibilité et de protection requise; b) b) Procéder à une sélection minutieuse, fondée sur les risques, des activités, des processus et des données et systèmes connexes susceptibles d’être externalisés vers une infrastructure informatique en nuage; c) Définir et décider d’un niveau approprié de protection de la confidentialité des données, de continuité des activités externalisées, ainsi que d’intégrité et de traçabilité des données et des systèmes dans le cadre de l’externalisation en nuage envisagée. Par ailleurs, les établissements devraient examiner des mesures spécifiques, le cas échéant, applicables aux données en transit, aux données en mémoire et aux données au repos, telles que l’utilisation de technologies de cryptage associées à une architecture de gestion des clés appropriée. 17. Par la suite, les établissements devraient veiller à disposer d’un accord écrit avec le fournisseur de services en nuage dans lequel figurent notamment les obligations qui incombent à ce dernier en vertu du paragraphe 16 (c). 18. Les établissements devraient assurer le suivi permanent de l’exécution des activités et des mesures de sécurité, conformément à l’orientation 7 des orientations du CECB, y compris les incidents, et, le cas échéant, vérifier si l’externalisation de leurs activités est conforme aux points précédents. En outre, ils devraient prendre sans délai les mesures correctrices requises.
34 AILANCY I CONFIDENTIEL https://eba.europa.eu/regulation-and-policy/internal-governance/recommendations-on-outsourcing-to-Cloud-service-providers EBA – Recommandations sur l’externalisation vers des fournisseurs de service Cloud (2/2)
➢ 4.6 LOCALISATION DES DONNÉES ET TRAITEMENT DES DONNÉES 19.[…] les établissements devraient prendre des précautions particulières lorsqu’ils concluent et gèrent des accords d’externalisation convenus en dehors de l’EEE, en raison des risques potentiels pour la protection des données et pour le contrôle effectif par l’autorité de surveillance. 20. L’établissement pratiquant l’externalisation devrait adopter une approche fondée sur le risque concernant la localisation et le traitement des données lorsqu’il recourt à l’externalisation vers un environnement en nuage. L’évaluation devrait porter sur la possible incidence des risques, y compris les risques juridiques et les questions de conformité, ainsi que sur les limites de la surveillance dans les pays où les services externalisés sont fournis ou susceptibles de l’être et les données stockées ou susceptibles de l’être. L’évaluation devrait tenir compte de considérations relatives à la stabilité politique et sécuritaire plus large des juridictions en cause, aux lois en vigueur au sein de ces juridictions (y compris la législation relative à la protection des données), et aux dispositions sur l’application des lois en vigueur dans ces juridictions, y compris les dispositions relatives à l’insolvabilité qui s’appliqueraient en cas d’erreur de la part du fournisseur de services en nuage. L’établissement pratiquant l’externalisation devrait veiller à ce que ces risques soient maintenus dans des limites acceptables et proportionnées au caractère significatif de l’activité externalisée.
35 AILANCY I CONFIDENTIEL https://eba.europa.eu/regulation-and-policy/internal-governance/recommendations-on-outsourcing-to-Cloud-service-providers Compétences et responsabilités de la DSI pour travailler dans le Cloud
Compétences de la DSI Responsabilités de la DSI : ➢ Management des nouveaux projets : Le management des nouveaux projets est vraisemblablement le cœur même de la question posée L'éventail des compétences attendues englobent les qualités autant par la gouvernance des SI que par les exigences de suivantes : l'accomplissement de la stratégie d'entreprise. Les contraintes ➢ Expertise technique techniques ne sont plus les seules à occuper l'esprit des acteurs de ➢ Veille technologique la DSI. Un projet d'intégration des technologies se doit d'une manière ou d'une autre de contribuer à la création de valeurs. ➢ Management des hommes (notamment, former les collaborateurs aux nouveaux outils) ➢ ROI Projet : Garantir et assurer un ROI du projet effectif est désormais part intégrante des nouvelles responsabilités de la DSI. ➢ Gestion des budgets et ressources ➢ Responsabilité commerciale : La gestion des contrats commerciaux ➢ Optimisation des achats et le suivi de la qualité de services (QoS). ➢ Négociation ➢ Responsabilité juridique : Les contrats, la gestion des risques et la ➢ Conseil sécurité. Garanties de la gestion des données personnelles (notamment avec le RGPD). ➢ Consultant fonctionnel ➢ Responsabilité éthique : Jusqu'où ne faut-il pas aller pour éviter les ➢ Coordinateur des projets atteintes aux libertés individuelles lors de la collecte ou du ➢ Accompagnement du changement (nécessite entre autre d’avoir rapprochement des informations personnelles ? Le rapprochement une vision précise du métier de ses collaborateurs) de fichiers n'est pas qu'une préoccupation technique. Les conséquences des enseignements que l'on pourra en tirer sont ➢ Et last but not least : Maître d'Œuvre de la Transition Numérique directement de la responsabilité de ceux qui l'ont rendu possible. C'est ainsi.
36 AILANCY I CONFIDENTIEL Présentation d’Ailancy
AILANCY I CONFIDENTIEL 37 consultants répartis Une offre de service dédiée à +160 sur 3 entités (*) l’industrie financière missions réalisées +800 dont ¼ à l’international
22 M€
Une 15,3M€
croissance 10,5M€ continue 6,9M€ depuis 10 Ans 3,5M€
2010 2012 2014 2016 2018 Stratégie de développement Compétitivité des organisations 2 bureaux
Conseil en organisation Réglementaire PARIS CASABLANCA et management Conduite de grands projets +120 +20 Consultants Consultants Système d’information Innovation & Digital
2 activités Expertises & Business Analyst +20 +70 Solutions Réseau d’experts Business Analyst Experts indépendants
(*) Hors Experts indépendants
AILANCY I CONFIDENTIEL 38 Ailancy – 10 associés aux expertises complémentaires
Marie-Thérèse AYCARD Jérome CHARPENTIER Christophe DAVIES Philippe DENYS Sébastien FAUVEAU Banque d’investissement Banque de détail Banque de détail Banque commerciale Fonctions Transverses Assurance Vie et IARD Assurance Banque privée Banque privée Efficacité opérationnelle Santé Réglementaire /conformité Transformation digitale Grands projets de et réduction de coûts transformation Efficacité opérationnelle
Christian FOURNIER Thibaut DE LAJUDIE Séverine LE VAILLANT Marc GIORDANENGO Pierre MONTEILLARD
Banque de détail Services d’investissement Banque Privée Transformation digitale Asset Management Assurance Data management et digital Epargne salariale/retraite Fintech & Innovation Banque de détail Efficacité commerciale Compétitivité des Restructuration / fusion PSD2 & Open Banking Stratégie de développement et opérationnelle organisations
39 AILANCY I CONFIDENTIEL Notre expertise pour la conduite de vos projets
Élaborer la stratégie de développement Conduire de grands projets de > Étude de marché et positionnement transformation stratégique > Dispositifs PMO & pilotage de programme > Stratégies opérationnelles > Conduite de projets en méthodologie Agile Ailancy vous accompagne > Cadrage et accompagnement de projets de > Mobilisation d’équipes pluridisciplinaires sur tout le cycle de vie de développement la transformation Améliorer la compétitivité de Faire évoluer le Système d’information l’organisation > Construction de schéma directeur Nous disposons de > Refonte de processus et des organisations informatique références significatives > Accompagnement de restructurations et > Aide au choix de progiciels fusions sur l’ensemble de ces > Appui à la spécifications métier > Recherche de partenariats, d’outsourcing et domaines auprès des de synergies principaux acteurs de la S’adapter aux contraintes Réussir sa transition digitale Place réglementaires > Définition de plan de transformation digitale > Expertise forte notamment sur : MIF II, DDA, et aide à la déclinaison RGPD, DSP2, PRIIPS, … > Expertise en matière d’Open Banking, APIs, > Conduite de veille, analyse d’impacts et appui blockchain à la mise en œuvre > Appui sur la présence au sein de > Optimisation du risk management et du l’écosystème Fintechs dispositif de conformité 40 AILANCY I CONFIDENTIEL Ils nous font confiance
EUROTITRES
AILANCY I CONFIDENTIEL RSE :NOTRE ENGAGEMENT
Ailancy se démarque par un véritable engagement en matière de responsabilité sociétale et environnementale
AILANCY I CONFIDENTIEL Responsabilité Sociétale et Environnementale (RSE) : nos engagements sur 6 thématiques
Un engagement pour le développement durable Un engagement social en externe Ailancy a rejoint le réseau Global Compact Ailancy a rejoint le réseau Global Compact Un engagement environnemental Ailancy est partenaire de l’ONG Entrepreneurs du pour soutenir l’initiative des Nations-Unis et Monde et soutient le projet Fansoto au sud du s’engage à intégrer durablement ses 10 La RSE chez Ailancy c’est aussi : des collectes de Sénégal qui accompagne les femmes à se lancer principes dans sa stratégie et ses opérations vêtements, des courses solidaires, l’utilisation de dans l’entreprenariat cartouches et papiers recyclables, du tri sélectif des déchets. Après avoir soutenu en 2017/2018 le projet Assimilassimé au Togo qui a accompagné 133 personnes démunies Ecovadis a décerné à Ailancy le label Gold pour dans l’entrepreneuriat sa politique RSE (top 5% des entreprises)
Au 01/02/19 Laissons la parole à nos consultants Ailancy est « Great Place to Work » Nos collaborateurs décrivent et partagent leur 100% des collaborateurs Ailancy décrivent une quotidien chez Ailancy sur Glassdoor atmosphère de travail plaisante* 96% des collaborateurs considèrent qu’on leur accorde beaucoup de responsabilités* Un engagement social en interne Ailancy est signataire de chartes de référence reflétant son engagement auprès de ses salariés *résultats de l’enquête GPTW 2019 AILANCY I CONFIDENTIEL Inès Ben Dhaoui Romain Devai Senior Consultant Senior Manager [email protected] [email protected] Mob. : +33 6 24 90 33 62 Mob. : +33 6 16 55 67 41
Suivez-nous sur les réseaux
32 rue de Ponthieu Ailancy 75008 Paris AilancyConseil www.ailancy.com +33 (0)1.80.18.11.60 Ailancy
AILANCY I CONFIDENTIEL