Depuis plusieurs années, l’adoption du Cloud Computing et les promesses « marketing » mises en avant par les différents acteurs sont au cœur des préoccupations des décideurs IT. Cloud Privé, Public ou Hybride ? Ce choix devient encore plus prépondérant dans le contexte actuel où les DSI doivent à la fois réduire les coûts liés à la gestion du « legacy » et apporter plus d’innovation au métier.
La soirée du Cercle Finance du 8 mars 2018 a été l’occasion de confronter nos convictions à l’avis des CIO et CTO des principales institutions financières françaises : Société Générale, BNP Paribas, Crédit Agricole, BPCE, HSBC, Engie, Banque de France, Natixis et Exane.
Retrouvez la présentation partagée lors de la soirée du Cercle Finance.
« Le cloud répond aux besoins d’agilité de nos équipes »
Naturellement, les discussions ont confirmé l’aspect stratégique de l’adoption du cloud. En effet, on note la présence de projets de cloud privé chez tous les acteurs du secteur financier avec des niveaux de maturité différents. Malgré quelques réticences au sein des équipes de production, ces projets sont en grande partie dans une phase très avancée voire en production. Il est ainsi possible pour un développeur de commander une machine virtuelle en un clic de souris et de l’avoir dans la demi-heure suivant sa demande. Il s’agit là d’une grande nouveauté dans le cycle de vie des projets. Le cloud privé est considéré aujourd’hui comme une nécessité qui répond au besoin d’agilité des équipes IT et des métiers. Au-delà de ces éléments qualitatifs qui ont clairement accéléré le time to market des projets, les analyses de ROI sont très compliquées : des doutes subsistent sur les réductions de coûts mis en avant par les fournisseurs de Cloud.
De fait, le cloud privé constitue la première brique de la stratégie cloud. La seconde étape sera dédiée à la mise en place d’un cloud hybride considéré unanimement comme « la solution évidente ». Il s’agit là du gros challenge de la stratégie cloud car il existe actuellement des réticences sur la partie publique.
« De nombreuses hésitations pour l’adoption du cloud public dans un milieu très fortement réglementé »
En ce qui concerne l’adoption du cloud public, les clients se montrent très hésitants. Outre l’utilisation historique du SaaS pour des besoins non critiques, on note quelques expérimentations et une utilisation presque limitée aux IaaS. Ces hésitations s’expliquent en grande partie par la réglementation, la sécurité des données et la nationalité américaine des principaux providers de cloud public (Google, Amazon, Microsoft).
En effet, la réglementation encadrant l’usage cloud public s’avère encore très floue et suscite beaucoup de fantasmes. De nombreux textes réglementaires s’imposent aux institutions financières[1] mais leur interprétation quant à l’usage du cloud public diffère selon leur culture. Cela dit, les dernières recommandations de l’Autorité Bancaire Européenne publiées le 20 Décembre 2017[2] et qui seront applicables dès le 1er Juillet 2018 apportent des élements des réponses à ce sujet. Le cloud Computing, étant considéré comme une activité d’externalisation classique, aucune restriction légale n’existe. Il est de la responsabilité de l’institution financière de s’assurer que le service externalisé répond aux conditions de sécurité et aux normes réglémentaires qui s’imposent. La teneur des échanges très animés sur ce nouveau texte, a confirmé les freins à l’adoption du cloud public. Les participants ont souligné leurs interrogations concernant l’avenir de la réglementation française : vers plus de libertés pour être plus agile et innovant grâce au cloud ou vers plus de protectionnisme, pour éviter que les GAFA ne « mettent la main » sur les entreprises européennes comme ils l’ont fait sur les individus privés ?
Enfin, il a été question de la législation très intruisive des USA qui régit les principaux acteurs du cloud public qui in fine impacte directement la sécurité des données hébergées. Cependant, on pourrait presque considérer qu’il s’agit là d’un souci de confiance comme lors de chaque processus d’externalisation. Quelques acteurs français existent (OVH, Orange, Outscale, Qarnot) mais proposent des offres peu concurrentielles pour le moment.
« Les offres managées présentent des avantages non négligeables »
Ces hésitations ne doivent pas pour autant occulter les nombreux avantages du cloud public. En effet, les différents founisseurs proposent des « services sur étagères » très complets permettant de se focaliser uniquement sur les besoins métier. Le « serverless », par exemple, permet de construire rapidement une application hautement disponible et scalable en ne réalisant aucune opération serveur avec un modèle économique très innovant. En effet, nul besoin de payer pour les capacités non-utilisées. Le client ne paie uniquement qu’en fonction des transactions exécutées. Il s’agit là de la grande révolution du Cloud Computing. Les services managés (containers, PaaS, Serverless) permettent ainsi de gagner fortement en agilité et accélèrent très nettement les processus d’innovation.
[1] Loi Informatique et Liberté, General Data Protection Regulation (2016), Données des titulaires de carte de paiement : PCI DSS, Network and Information System Directive (2016), Loi de programmation militaire, Hébergement des données de santé, DSP2,…
[2] https://www.eba.europa.eu/regulation-and-policy/internal-governance/recommendations-on-outsourcing-to-cloud-service-providers