Technologies

Carlos Goncalves (Société Générale) : « l'avenir, c'est le cloud hybride »

Retrouvez cet article dans le CIO FOCUS n°137 !

Choisir l'hybride IT

Le 28 mars 2017, CIO a organisé une Matinée Stratégique consacrée à l'Hybride IT. Pourquoi et comment choisir cette stratégie technique ? Les témoins et experts ont répondu avec précision à cette double question.

Découvrir

---

Grand Témoin de la Matinée Stratégique organisée par CIO le 28 mars 2017, Carlos Goncalves (Directeur des Infrastructures Informatiques du groupe Société Générale) a expliqué son approche de l'hybride IT.

Publicité« Choisir l'hybride IT » était le thème de la Matinée Stratégique organisée par CIO le 28 mars 2017. Le Grand Témoin de cette conférence a été Carlos Goncalves, Directeur des Infrastructures Informatiques du groupe Société Générale, ancien DSI de SG-CIB. Il a ainsi expliqué son approche de la question et, plus largement, du Cloud.
La Société Générale sert 31 millions de clients dans le monde grâce à 150 000 salariés. En France, outre la banque de détail utilisant le nom du groupe, celui-ci comprend aussi le Crédit du Nord et Boursorama. A ces marques s'ajoutent des métiers comme la banque d'investissement, les banques du réseau international, etc. 13 000 informaticiens salariés y travaillent.

Un contexte réglementaire particulièrement contraignant

Comme toutes les entreprises présentes en Europe, la Société Générale doit se plier à toute une série de réglementations dont celle qui fait actuellement les gros titres, le GDPR, n'est qu'un exemple. En effet, la réglementation bancaire est très contraignante, en particulier sur la sécurité des données, et ce dans chaque pays d'implantation du groupe. Malgré tout, la Société Générale a opté pour du cloud public. Bien entendu, ce projet n'est pas arrivé comme un cheveu sur la soupe.
Revenons tout d'abord un peu en arrière. Comme toutes les banques, la Société Générale devait gérer son Legacy. « L'histoire commence avec pourquoi on va dans le cloud parce que le cloud n'est pas la finalité » a témoigné Carlos Goncalves. Et, pour lui, elle commence même à l'époque où il était DSI de la SG-CIB, la banque d'investissement du groupe. Pour lui, « le cloud est sans doute une partie de la réponse mais la question est celle du time to market, de l'innovation, du meilleur service au client en libérant les énergies de l'entreprise... » Le client a en effet le désir d'accéder à ses services bancaires à tout moment, partout dans le monde et à partir de nombreux types de terminaux. Il s'agit donc d'acquérir une grande agilité business au delà de l'agilité technologique.

De l'agilité avant tout, de l'innovation aussi

L'histoire commence donc en 2010 par une transformation profonde du groupe pour aller vers l'agilité. Carlos Goncalves s'est souvenu : « quand on développe en agilité, se pose rapidement la question de comment je délivre vite et donc aussi comment je teste vite. Il faut que ma plate-forme permette le continuous delivery et soit donc très automatisée et rapide à configurer. » Le développement réellement agile suppose donc une infrastructure agile. « Et on arrive vite, dès lors, au Cloud » a constaté Carlos Goncalves.
En 2012, la Société Générale démarre un cloud privé en s'appuyant sur les technologies VMware, fournisseur qui primera le groupe bancaire en 2014 pour son déploiement. « Je parle bien de cloud, pas seulement de virtualisation » a insisté Carlos Goncalves. Cela suppose donc, au delà de la virtualisation, qu'il y ait une véritable orchestration, industrialisation et automatisation. Carlos Goncalves a alors raconté ce qui est arrivé : « on commence par le IaaS mais, très vite, on se heurte à des limitations qui n'apporte pas le niveau d'agilité attendu et on monte dans le PaaS. Mais on se confronte alors à tous les services qu'il faut implémenter. Et on commence à regarder ce qui se fait à l'extérieur (même si on regardait aussi un peu avant). » Les fournisseurs de PaaS produisent un très grand nombre de nouveaux services très régulièrement. « Amazon, c'est 750 nouveaux services chaque année, Azure c'est équivalent » a pointé Carlos Goncalves. Il y a donc une innovation constante très attirante.

PublicitéTrois critères réglementaires pour le cloud public pour l'instant

Trois critères vont piloter le désir de basculer vers le cloud public : les innovations proposées par les plates-formes, la valeur business de celles-ci et le risque pris. Mais arrive alors la question de la réglementation. Et Carlos Goncalves a relevé : « pour l'instant, il n'y a pas de réglementation spécifique au cloud, même si les autorités y travaillent. » Par contre, la réglementation sur les prestations de services externalisées existe bien et s'applique au sujet du Cloud. Carlos Goncalves a précisé : « il existe trois grands points dans cette réglementation : auditabilité de la plate-forme, réversibilité et sécurité. »
Il faut donc être capable d'aller auditer soi-même le datacenter du sous-traitant. Tout de suite, on imagine que cela risque d'être délicat d'envisager que tous les clients d'Amazon ou de Microsoft Azure puissent à tout moment aller visiter tous leurs datacenters. Le contrat type ne le prévoit évidemment pas. La réversibilité est, par contre, loin d'être une contrainte gênante parce que, dès qu'on a recours à un fournisseur, il faut s'assurer que l'on puisse en changer à tout moment. La sécurisation des données est également, de toutes les façons, également une évidence. Enfin, un quatrième critère va apparaître et n'est pas aujourd'hui dans la réglementation. « Nous travaillons beaucoup avec les régulateurs » a expliqué Carlos Goncalves. Il s'agit de la localisation des données, qui devrait être imposée dans la prochaine évolution de la réglementation européenne. Carlos Goncalves a posé comme principe : « les données doivent être déposées là où elles sont régulées ». Par exemple, les données des clients des Etats-Unis seront stockées aux Etats-Unis. Cette règle est déjà une obligation dans plusieurs pays comme la Turquie et la Russie. « Les grands providers de clouds ont d'ailleurs du mal à s'installer dans ces pays où l'on ne trouve ni Amazon Web Services ni Microsoft Azure là-bas » a relevé Carlos Goncalves.

La question de l'auditabilité

Localisation on y arrive, sécurité aussi et la réversibilité est une base de l'achat IT. Pour un grand groupe comme la Société Générale, ces trois points ne posent donc pas de problème. Mais Amazon ou Microsoft acceptent-ils l'auditabilité ? « Nous avons démarré fin 2015 deux démonstrateurs, l'un avec Amazon Web Services, l'autre avec Microsoft Azure » s'est souvenu Carlos Goncalves. Pour les mettre en oeuvre, la Société Générale a engagé des discussions directement avec les responsables mondiaux des deux plates-formes. En effet, la faisabilité technique d'un déploiement d'applications centrales du système d'information ne posait pas vraiment de problème. La vraie question était la conformité réglementaire. Pour faire le test, des applications existantes (de type Java/.Net) ont été déployées dans chaque cloud mais à titre expérimental, sans vraies données. Le projet a pris trois mois sans réelles difficultés techniques.
Carlos Goncalves a confié : « nous avons travaillé un an avec les responsables d'Amazon et d'Azure ainsi qu'avec le régulateur. » Ainsi a pu être défini un « framework juridique » qui respecte les réglementations en vigueur et comprend, notamment, une clause d'auditabilité. Les conditions et procédures de celle-ci sont clairement définies et conformes à la réglementation. Celle-ci exige une auditabilité illimitée, donc potentiellement tous les jours. « Nous devrions avoir des applications coeur de métier dans le cloud d'ici le milieu de cette année » a estimé Carlos Goncalves. Pour l'instant, il y a déjà quelques applications périphériques dans le cloud public mais sans données sensibles et avec l'accord du Régulateur.

80 % du SI dans le cloud en 2020

Carlos Goncalves a exposé : « notre stratégie, c'est d'avoir 80 % de notre système d'information dans le cloud d'ici 2020, pas forcément cloud public. Nous avons une stratégie clairement de cloud hybride et multi-cloud. Nous aurons très certainement au moins deux fournisseurs. Reste à savoir si Google fera une percée dans ce marché. OVH est un hébergeur très bon sur le prix pour le IaaS mais, la réalité, quand vous avez une masse critique importante, c'est que si vous faites bien votre travail vous serez toujours moins cher que le IaaS. Par contre, quand on parle de PaaS, les fournisseurs sont parfois très bons. Un prestataire comme OVH ne fait pas de PaaS, du moins pour l'instant. »
De fait est ainsi pointée la grande question du cloud quand on parle de très grands comptes. Si le cloud public a un sens évident pour des entreprises qui ne pourraient pas, sinon, sans cette mutualisation à grande échelle, avoir accès à des technologies de pointe, on peut se poser la question de l'intérêt d'une telle mutualisation quand on est dans une entreprise de très grande taille. Carlos Goncalves a répondu aisément : « comme l'a mentionné mon confrère de PSA Peugeot Citroën plus tôt dans la matinée, il y a deux business cases pour le cloud dans ce cas. Le premier est l'agilité de provisionning/deprovisionning d'environnement pour le développement et le test. Le deuxième est sur la production où l'on peut dimensionner ses coûts sur la moyenne des besoins et pas sur les pics alors que, quand on utilise sa propre infrastructure, il faut disposer de quoi assurer les pics. Le cas échéant, on peut avoir un débordement sur le cloud public pour assurer le service dans ces pics. Toujours en production, le cloud permet de disposer d'une infrastructure là où on en a besoin, partout dans le monde, ce qui peut être difficile avec ses moyens propres. Par exemple, nous avons des clients en Amérique du Sud mais pas de datacenter sur place pour assurer un accès satisfaisant aux services. D'où l'intérêt du cloud. Enfin, l'innovation s'accélère, notamment avec les terminaux mobiles, et même un groupe comme la Société Générale ne disposera pas forcément de la puissance nécessaire pour assurer le traitement temps réel de toutes les données induites. »

Un avenir qui ne doit pas oublier le passé

« L'avenir, c'est le cloud public » a plaidé Carlos Goncalves. Mais le passé existe. Et, en l'occurrence, le Legacy, avec ses ressources humaines dédiées. De fait les métiers évoluent. Mais, déjà, la Société Générale utilise un tiers de cloud. Carlos Goncalves a relevé : « pour être une DSI as a service, nous allons avoir besoin de développeurs même dans la production. Nous estimons que, en 2020, 20 à 30 % des collaborateurs opérant l'infrastructure feront du développement. Et, actuellement, je dispose d'ingénieurs Bac+5 qui ont toutes les compétences nécessaires pour évoluer dans la direction voulue. Je ne pense que cela ne peut être une difficulté que si on s'y prend trop tard. Il faut donc accompagner les collaborateurs dès à présent. »
Cette évolution des métiers est claire pour tous. Faire évoluer les collaborateurs pour s'adapter à la nouvelle situation, c'est « ajouter la bonne ligne dans le CV, une opération gagnant-gagnant salarié-entreprise ». Carlos Goncalves a insisté : « ce n'est pas un frein à la Société Générale, c'est une transformation qui sert bien sûr l'entreprise mais aussi l'employabilité des individus ».

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article