Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’Open Source est un allié pour la Cybersécurité de la Banque / Assurance à l’heure du Cloud et de l’IA / IAG

mai 2024 par Valentin Jangwa, Global Security Mag

Retour sur le Petit-Déjeuner/Débat du mercredi 24 avril 2024 qui s’est tenu dans les salons des Arts et Métiers du 16ème arrondissement de Paris. José Diz du Club de la Presse Informatique B2B, a animé les échanges entre les experts de sociétés membres, avec le témoignage exceptionnel de Christophe Boulangé, Directeur Cloud de chez BNP Paribas en tant qu’invité spécial d’IBM. 
Les représentants des entreprises et débateurs étaient, Mountaha Ndiaye, EMEA Director Ecosystem Sales & Programs chez Hyland ; Denis Fraval-Olivier, Senior Director Sales Engineering EMEA chez Cloudera ; Hervé Oliny, Ingénieur Avant-Vente chez Couchbase ; Sébastien Verger, CTO Directeur Technique chez Dell Technologies France ; Gabriel Ferreira, Directeur Technique chez Pure Storage.

Le principal enjeu était d’informer à propos des relations des acteurs du secteur de la banque / assurance avec leurs clients, en interne, dans leurs échanges avec leurs écosystèmes, pour s’adapter, être efficaces et proactifs à l’heure du Cloud et de l’IA / IAG, tout en remplissant leurs obligations réglementaires (KYC, BÂLE 3, DORA, etc.) dans le contexte de nombreux défis de Cybersécurité. Il s’agissait de comprendre comment les nouvelles technologies (IA, IAG, multicloud, automatisation, etc.) sont mises en œuvre.

José Diz a ouvert le débat avec un premier thème concernant des évolutions majeures des nouvelles technologies dans le back-office, dans l’informatique interne des banques et des assurances, par rapport à la relation client et au Cloud Computing.
Qui dit Cloud Public, désigne les services d’un hyperscaler, ce qui n’est pas forcément la formule utilisée dans les banques et assurances.
Le Cloud hébergé concerne les services hébergés chez un prestataire ou sur site.
Le deuxième thème portait sur les règlementations, notamment la règlementation KYC (Know Your Customer ou l’ensemble des procédures qui exigent des banques qu’elles vérifient l’identité de leurs clients) et la directive européenne DORA (Digital Operational Resilience Act, ou la résilience opérationnelle numérique).
Le troisième et dernier thème était l’IA / IAG (Intelligence Artificielle / Intelligence Artificielle Générative).

Christophe Boulangé, Directeur Cloud chez BNP Paribas, témoigne que dans cette entreprise, un effort de moderniser l’informatique traditionnelle pour des raisons opérationnelles et financières, pour par exemple optimiser les coûts de déplacements et de consolidations, trop importants, liés aux solutions matérielles. La nécessité de virtualiser s’est rapidement imposée, ainsi que celle d’automatiser le plus possible le portail de la commande de manière à simplifier et à accélérer la mise à disposition des infrastructures.
En 2017, il y a eu un constat de la part de la banque, disant que c’était compliqué de tenir le rythme des hyperscalers sur les aspects couches logicielles. Ainsi, la décision a été prise de faire l’acquisition de solutions Open-Source qui existaient sur le marché, en essayant de les mettre en œuvre et de tenir le rythme imposé par les Cloud Providers. L’exemple le plus marquant est Kubernetes avec environ trois mises à jour de versions majeures (releases) par an, ce qui entraînait des retards d’application de ces mises à jour par nos équipes. Ce rythme et la vitesse d’évolution des Cloud Providers nous ont poussé à se poser la question d’aller vers le Cloud Public, et de comment y aller.
Une charte sur l’adoption du Cloud Public a donc été établie (quels sont les workloads, quelle intention stratégique ou quelle sensibilité de la donnée peut aller sur le Cloud Public…) en catégorisant les Cloud Publics en fonction de la sécurité, de la ségrégation, qui pouvaient y être apportées. Ceci à la fois pour les applications à migrer et pour les nouvelles en comparaison, avec les fintechs.
Ensuite nous avons eu à gérer les contraintes liées au régulateur, et à amener la BNP Paribas à demander à un Cloud Provider hyperscaler de lui attribuer une région (plusieurs Data Centers qui fonctionnent ensemble) dédiée hébergée dans nos Data Centers pour l’utilisation de la technologie pure avec la vitesse, l’agilité et la résilience du Cloud, avec une hyperdisponibilité. C’est un contrat que nous avons signé avec IBM en 2018, avec les premiers workloads en 2019. Cette décision d’investir dans cette mise en place était stratégique pour une transformation majeure avec une solution plus forte que celle du Cloud Privé. Nous avons décidé d’attribuer 40% des nouveaux workloads (quelques milliers d’applications) et 40% de l’IT de BNP Paribas, à ce Cloud dédié (ni public ni privé), d’ici à la fin du programme de confirmation de la banque fixé à fin 2025.
Une offre SaaS pour les fintechs dans le cadre de ce Cloud dédié.
Selon lui, dans l’approche du Cloud, prendre en compte la Cybersécurité n’a jamais été une option, mais une nécessité. La BNP Paribas a demandé dès le début à son partenaire Cloud Provider IBM de construire ensemble un Cloud plus sécurisé. Et il s’agit aussi d’être en conformité et de prouver au régulateur que la solution Cloud permet plus de visibilité et est plus sécurisée que ce que l’on trouverait dans un Cloud Public chez des hyperscalers.
La banque utilise aussi des solutions Open-Source pour les clés de chiffrement, qui restent ainsi toujours sous son contrôle.

Mountaha Ndiaye, EMEA Director Ecosystem Sales & Programs chez Hyland, a expliqué que sa société est spécialisée dans la gestion électronique de documents, dans le Cloud et On-premise.
En rappelant qu’il y a environ 20 ans la réponse à la question d’aller vers le Cloud Public était négative (et on ne parlait même pas encore de la possibilité d’être sur les réseaux sociaux), il souligne que les banques ne vont pas forcément et naturellement dans le Cloud Public.
Le nécessité de converser avec les clients via les fonctionnalités CRM, pour par exemple remplir un dossier de crédit et le signer, est enrichie de technologies qu’on ne peut plus développer à l’intérieur des banques au risque de devenir obsolète. Cela a poussé les banques à évoluer, pour mieux automatiser, intégrer des outils de détection automatique de cartes d’identités, de connexion d’applications telles que WhatsApp par exemple.
La question s’est alors posée de déterminer quel workload (charge de travail) on pouvait au minimum envoyer dans le Cloud, et cela a commencé par la GED (Gestion Électronique des Documents) ou l’archivage. Ensuite l’ouverture s’est faite vers le transactionnel qui représente plus de risques, avec des logiciels spécialisés dans le secteur de la banque et assurance. En 10 ans, il y a eu une disruption dans le secteur de la banque assurance dont la force était d’avoir des équipes DSI importantes. Le Mainframe et l’humain ont été le frein en se posant la question de savoir les services à mettre dans le Cloud, celle du pourquoi aller vers le Cloud, et surtout comment y aller en adressant le volet Cybersécurité, celle de la réputation et les exigences de conformité aux règlementations (SOC2, PCI DSS, etc.) et le côté opérationnel.
Pour lui, les banques ont été des précurseurs dans les technologies d’Intelligence Artificielle, et il faut bien distinguer l’IA de l’IA Générative qui est plus récente. Les chatbots sont beaucoup utilisés par les banques et assurance pour le conversationnel et les ouvertures de comptes par exemple. En conformité avec l’AI Act (règlement européen), l’IA et l’IAG sont aussi utilisées sur la partie opérationnelle de gestion des documents de contrat ou scoring de fidélité, car cela permet notamment une rapidité de l’adaptation aux changements technologiques.
En rapport avec l’IA / IAG et aux LLM, on parle maintenant de plus en plus de RAG (Retrieval Augmented Generative, ou Génération Augmentée de Récupération pour communiquer une information pertinente).

Denis Fraval-Olivier, Senior Director Sales Engineering EMEA chez Cloudera, a rappelé que sa société est un éditeur de logiciels Open-Source, plateforme de gestion de données.
Il souligne que Cloudera a récemment réalisé une étude en interrogeant nombre de décideurs français sur leurs perceptions et leurs intentions sur les prochaines années, autour du Cloud Public chez les hyperscalers (Amazone, Azur, ou Google…) et aussi par rapport à leurs propres solutions à travers des services entièrement internalisés ou via des services providers tiers souverains ou de confiance. La majorité à 90% des décideurs ont déclaré avoir l’intention d’utiliser les hyperscalers du Cloud Public pour des usages particuliers et des nouveaux. En même temps, 71% ont répondu qu’ils avaient des velléités de rapatriement de certains cas d’usage dans les assets en propre, pour des problématiques de coûts, de conformité aux règlementations, ou simplement d’efficacité.
En conclusion, pour 60% d’entre eux, la réponse est hybride, donc à la fois l’utilisation des services des hyperscalers et des solutions d’hébergement en interne. Ceci pour notamment pouvoir bénéficier des capacités de dynamique et de l’instantanéité de mise à disposition de services ou de ressources à dimension internationale ou globale des Cloud Providers hyperscalers. Les banques et assurances privilégient la complémentarité.
Il souligne que pour se prémunir au mieux des failles de sécurité, des cyberattaques et des fuites de données volontaires ou non, il est conseillé d’utiliser les logiciels ouverts ou technologies Open-Source. Et ces dernières sont au cœur du développement de l’IA / IAG et permettent d’avoir un meilleur contrôle sur ce que fait un algorithme, car celui-ci a été développé dans un contexte communautaire Open-Source.
LLM, c’est bien, et le RAG, c’est mieux.

Hervé Oliny, Ingénieur Avant-Vente chez Couchbase a mentionné que sa société est une plateforme de bases de données no SQL qui permet de faire de l’IA. Il a axé ses réflexions sur les deux modèles de déploiement des bases de données qui existent chez Couchbase, qui sont le management en propre des solutions déployées dans son propre data center, et le modèle de Database as a Service qui est entrain de croître grandement via les offres des trois principaux hyperscalers (Amazone, Azur, Google) pour mettre en place l’automatisation et l’agilité. Cependant, le secteur de la banque finance assurance est celui qui déploie le moins chez les hyperscalers mis à part les nouveaux entrants et la fintech qui sont beaucoup plus enclins à le faire.

Gabriel Ferreira, Directeur Technique chez Pure Storage, quant à lui, en parlant de volume de données et de rapidité, a énoncé que les banques et assurances, devenues des fournisseurs de services à la fois en interne et en externe, sont très à la pointe sur le sujet de l’IA / IAG grâce notamment à leurs imposantes ressources humaines informatiques. D’après lui, l’IA / IAG avec les chatbots ne représentent qu’environ 2% des cas d’usage dans le secteur des banques et assurances, et sont surtout utilisées pour l’automatisation des processus.

Sébastien Verger, CTO Directeur Technique chez Dell Technologies France, concernant l’IA / IAG, le Cloud et la Cybersécurité, a affirmé que beaucoup d’études montrent l’intérêt d’utiliser les logiciels Open-Source, mais souligne qu’il ne faut pas opposer ces derniers aux logiciels propriétaires. Il conseille d’attendre d’avoir des versions stables des solutions Open-Source et les informations sur la communauté ayant travaillé dessus, avant de les utiliser. En se fondant sur son expérience de fournisseur de solutions au secteur banques et assurances, Il rappelle que l’IA était déjà utilisée par ces organisations il y a plus de 20 ans (par exemple au Crédit Lyonnais via un décisionnel en 1997). Pour lui, aujourd’hui, l’IA / IAG viennent renforcer les modèles classiques.

En conclusion, tous les intervenants se sont mis d’accord pour affirmer que l’utilisation des logiciels Open-Source par les banques et assurances, permet à ces organisations de mieux s’adapter face aux évolutions technologiques et de mieux gérer les cyberattaques, à l’heure du Cloud et de l’IA / IAG.


Voir les articles précédents

    

Voir les articles suivants