Olivier Mergel (Société Générale) : « La confiance dans le cloud vient de la capacité à se constituer un « harnais de sécurité ». »

En tant que Head of Go to Cloud de la Société Générale, Olivier Mergel a la responsabilité de la mise en œuvre stratégique de la montée en puissance dans le cloud de l’une des plus grandes entreprises françaises, dans un secteur extrêmement régulé. Il nous livre un bilan de ce voyage, commencé en 2014, et partage sa vision de la « confiance » quand il est question de transformation cloud.

  >> Découvrez le carnet à télécharger : DRH, DSI et Digital Workspace

Société Générale annonçait dans son dernier plan stratégique que 80 % de ses environnements seraient dans le cloud en 2020 : où en êtes-vous ?

Olivier-Mergel,-Head-of-Go-to-Cloud-de-la-Société-Générale

Olivier Mergel, Head of Go to Cloud de la Société Générale

Olivier Mergel. Le voyage vers le cloud de Société Générale a démarré vers 2014 pour réunir toutes les ressources du groupe sur le cloud privé. Fin 2015, se sont ajoutés des tests pour un volet cloud public, qui devait tenir compte de nos obligations réglementaires très poussées. Les négociations avec les opérateurs cloud à l’époque ont été serrées pour obtenir les capacités d’audit que nous voulions, notamment. À partir de là, nous avons également créé un centre d’expertise cloud au niveau groupe.

Finalement, nous serons bien en ligne avec les 80 % des infrastructures en mode multicloud annoncés pour 2020. Nous serons cependant en dessous de nos objectifs sur le seul cloud public. Obtenir un cadre contractuel stable avec les opérateurs, ainsi que les capacités techniques d’encadrement de la consommation des plateformes AWS et Azure pour nos milliers de développeurs, nous a en effet pris beaucoup plus de temps que prévu, alors même que les recommandations des autorités aux institutions financières vis-à-vis de ces nouveaux types d’externalisation évoluaient sur la période. Notre volonté reste d’amener une vraie transformation avec le cloud public, pour réinventer progressivement le portefeuille des quelque 8 000 applications à l’échelle de toute la banque en mode « cloud native architecture », plutôt que de faire du « lift & shift » sans grande valeur. Malgré ce retard sur le cloud public, nous terminons 2020 avec une bonne dynamique de déploiement, des sponsors satisfaits des premières étapes franchies et des KPI au global atteints.

Quel a été l’impact de la crise sanitaire sur cette transformation ?

Olivier Mergel. Elle a confirmé nos convictions en montrant que pour être résilient en tant que banque il nous fallait des capacités adaptables et distribuées. C’est pour cela que nous avons une approche hybride et multicloud et que nous avons élargi la variété de nos stacks technologiques sur la partie cloud privé. Le but est bien d’avoir une véritable plateforme de production « cloud native » en interne et pas de créer un système bimodal qui verrait un important décalage entre cloud public et privé. Cette performance du cloud privé est d’autant plus importante qu’elle est partie intégrante de l’obligation de réversibilité que nous avons pour nos services. Le cloud privé ne peut pas être un pis-aller.

À quel point ces investissements sont-ils prioritaires dans un contexte économique tendu ?

Olivier Mergel. Nous avons largement investi depuis 2017 notamment pour créer des capacités modernes multicloud qui nous permettent de projeter le système d’information de la banque vers ces nouvelles plateformes. Malgré la crise, ces investissements vont se poursuivre dans notre prochain plan stratégique, pour rechercher une mise à l’échelle et une meilleure mutualisation de nos moyens. En cinq ans, nous avons beaucoup appris, notamment à modéliser à la fois notre maîtrise et nos gains réels en passant à l’échelle des capacités au niveau groupe. Ces consolidations industrielles sont l’une des clés pour conjuguer innovation et économies IT. Notre plan de transformation se finance d’ailleurs en partie sur les économies et les optimisations dégagées du décommissionnement des infrastructures et de la dépréciation des offres de précédente génération.

Comment évaluez-vous la confiance à donner aux différents clouds à votre disposition ?

Carnet d'expériences DRH, DSI et Digital Workspace Olivier Mergel. Nous considérons que la confiance n’est pas uniquement et intrinsèquement liée à un cloud en tant que tel. C’est avant tout le sujet de l’entreprise elle-même dans sa capacité à projeter ses workloads avec un « harnais de sécurité » qui protège de manière efficace ses données et ses services, quelles que soient les plateformes cibles. C’est très différent que de dire : ce cloud-ci est de confiance, ce cloud-là ne l’est pas. Le « harnais » auquel je fais référence regroupe toutes les règles et les politiques de l’entreprise afin de sécuriser ses assets. Ce framework de sécurité doit être la référence y compris sur nos propres clouds.

Ensuite, vis-à-vis des grands opérateurs internationaux, se rajoute une dimension juridique. L’objectif est d’avoir une approche industrielle agnostique, qui nous permette de nous projeter comme nous le souhaitons sur des clouds américains autant que français. Il n’y a pas encore d’opérateur « Airbus du cloud européen » dont l’offre nous pousserait à réinterroger cette approche globale de sécurité automatisée. Celle-ci est de toute façon essentielle pour éviter le vendor lock-in et permettre du multisourcing. Nous n’avons d’ailleurs pas attendu la crise sanitaire pour savoir qu’il nous fallait une stratégie équilibrée qui ne soit pas dogmatique, tout en reconnaissant certains risques aujourd’hui bien connus autour du Cloud Act ou des plateformes chinoises. Par contre, la crise a réaffirmé l’importance d’une innovation digitale rapide auprès de tous les dirigeants et nous a permis de mieux expliquer notre vision de la sécurité et de la confiance.

À quel point la technologie, comme le chiffrement des données, peut-elle être en soi un facteur de confiance ?

Olivier Mergel. Il est certain que dans les débats, de purs sujets technologiques reviennent souvent sur le devant de la scène. La question du chiffrement est l’un de ces items très évocateurs. C’est un sujet qui est loin d’être anodin et il faut le traiter sérieusement, mais il ne faut pas non plus perdre de vue que les standards du NIST et de l’ANSSI prennent en compte des référentiels de risques qui vont bien au-delà. Sécuriser en chiffrant la donnée en transit et à destination est une partie seulement de l’équation, et les mécanismes telle que la gestion de clés privées existent et sont efficaces, au moins tant que l’ordinateur quantique ne sera pas une réalité opérationnelle ! D’un point de vue technologique, je pense que le plus grand défi est donc surtout de pouvoir assumer des approches de sécurité qui ne sont pas « coincées à un instant T », et pleinement compatibles avec l’automatisation, le DevSecOps, tels que nos robots de sécurité capables de réagir en temps réel à des centaines d’événements par jour induits par le travail quotidien de milliers de développeurs et d’usines logicielles…

[bctt tweet= »Olivier Mergel (Société Générale), « Une roadmap de rattrapage du cloud public à deux ou trois ans est extrêmement importante car elle adresse in fine la dépendance potentielle au cloud externe de services critiques et reste atteignable avec un investissement maîtrisé. » » username= »Alliancy_lemag »]

Olivier Mergel. D’autant plus que nous sommes très attendus par les régulateurs européens dans le détail de nos choix. Nous devons être à livre ouvert sur ce que l’on fait de nos données et de nos traitements, particulièrement dans le cloud externe. À ce titre, parmi les enjeux les plus complexes, et une fois nos applications adaptées aux patterns du cloud, reste la capacité à déplacer nos données et nos services, par exemple dans un scénario de réversibilité, y compris s’agissant de services parfois très innovants, sans le soutien des grands opérateurs de cloud. Nous recherchons donc en permanence à activer de nombreux prestataires « born in cloud » et d’écosystèmes open source pour nous aider à couvrir nos besoins en termes de services essentiels, disponibles sur les clouds mondiaux. Cette « roadmap de rattrapage du cloud public » à deux ou trois ans est extrêmement importante car elle adresse in fine la dépendance potentielle au cloud externe de services critiques et reste atteignable avec un investissement maîtrisé.

Quels nouveaux engagements attendez-vous désormais des acteurs du marché IT ?

Olivier Mergel. Avec la crise, l’enjeu des prochaines années sera plus que jamais économique. Dans ce cadre, nous devons avoir la capacité à passer le relais facilement à des acteurs du marché pour opérer avec nous les services à l’échelle. Pour eux, cela implique un enjeu de scalabilité économique majeur. Tout le monde sait que les investissements IT ne vont pas forcément exploser à court terme, même si l’élan digital demeure une réalité. Mais toutes les entreprises vont chercher de l’efficience économique. Les acteurs du marché doivent donc pouvoir nous aider à accélérer, en prenant la suite de nos investissements et dans le cadre de nos frameworks opérationnels, avec un coût compétitif grâce à des économies d’échelle. Cette capacité à scaler ne peut pas rester le seul terrain des grands opérateurs de cloud public.

L’info en +

Christophe Leblanc, directeur des ressources et de la transformation numérique de Société Générale explique dans un entretien accordé à nos confrères de ZDNet, que l’entreprise investit près de 4,5 milliards d’euros par an dans son informatique soit « 22 à 23 % du budget général contre environ 17 ou 18 % il y a dix ans ». Les équipes informatiques de la banque représentent 23 000 personnes dans le monde. La montée en puissance est due à la volonté d’innovation numérique mais aussi au poids de la régulation. « Les régulateurs exigent de nombreuses données, des reporting, de nouveaux calculs qui nécessitent de lourds investissements » insiste le responsable, qui explique par ailleurs que la cybersécurité et la « cyber-résilience » tiendront une place toute particulière dans le prochain plan stratégique 2020-2025.