Christophe Leblanc (Société Générale) : « Il nous faut être à la fois le chêne et le roseau »


Innover et garantir la performance : un duo à assurer
Les DSI ne peuvent se permettre de sacrifier l'un au profit de l'autre. D'un côté, il leur fait innover et permettre l'innovation métier. De l'autre, "il faut que ça marche" : la performance est une obligation, même un pré-requis. Pour cela, comme en témoignent les DSI de grands comptes interrogés...
DécouvrirSuccesseur de Françoise Mercadal-Delasalles, Christophe Leblanc, Directeur des Ressources et de la Transformation numérique du groupe Société Générale, a pris ses fonctions depuis un peu plus d'un an. Il revient ici sur la stratégie numérique de la Société Générale et sur les modalités de l'organisation de l'IT. En lien avec la stratégie du Groupe et l'application de la directive européenne DSP 2, la mise en place de la démarche d'Open-Banking est aujourd'hui une réalité.
PublicitéCIO : Vous êtes Directeur des Ressources et de la Transformation numérique du groupe Société Générale. Que recouvre exactement votre fonction ?
Christophe Leblanc : La Direction des Ressources du Groupe rassemble 14 000 personnes et dispose d'un peu moins de deux milliards d'euros de budget. Elle regroupe les services mutualisés. Il s'agit des infrastructures informatiques, des achats, de l'immobilier, des centres off-shore en Inde et near-shore en Roumanie (60 % en développement et test informatiques, 40 % en back-office métier) et l'informatique des directions centrales (risques, finance, juridique, audit, conformité, ressources humaines, communication...).
Nous avons une vocation transversale. Nous avons à favoriser et renforcer l'efficacité opérationnelle. Cela signifie que nous aidons les métiers à mettre en oeuvre des leviers d'efficacité, faire mieux pour moins cher. Par exemple, si une direction veut améliorer un process, nous allons l'aider en utilisant nos différents savoir-faire. Nous nous devons bien sûr d'être une sorte d'aiguillon mais nous ne ferons jamais la stratégie métier à la place du métier. Je connais bien notre groupe, ce qui est important dans ce poste. Je suis en effet un « pur produit SG » : je suis entré dans le groupe en 1989. Je suis passé par l'Inspection, la direction financière, les activités de marché (comme COO), GBIS (également comme COO : ensemble SGCIB, titres et banque privée). Mon parcours peut paraître très orienté « finance » et marché mais j'ai toujours baigné dans l'informatique. En effet, ayant été souvent en charge du support des activités et de grands projets, l'informatique faisait partie de mes préoccupations.
CIO : Et, justement, plus spécifiquement, quel est votre rôle au niveau de l'informatique ?
Christophe Leblanc : Je préside la CIO Management Team qui rassemble les responsables de l'infrastructure, de l'informatique des directions centrales, de l'informatique de nos trois grands pôles : la Banque de détail en France, de la Banque de Grande Clientèle et Solutions Investisseurs et de la banque de détail à l'international. Ce comité pilote et stimule la transformation numérique de la Société Générale.
Toutes les infrastructures sont pilotées au niveau groupe. C'est le plus souvent un pilotage hiérarchique direct, ce qui garantit à la fois la résilience et le dégagement d'une capacité d'investissement appropriée..
Côté applicatif, la banque d'investissement, la banque privée et les titres bénéficient d'un pilotage mondial. Côté réseau bancaire international, si la supervision est bien centrale pour garantir une politique commune, les grosses entités (Roumanie, Tchéquie...) ont leur propre informatique. En France, l'informatique du Crédit du Nord est intégrée à celle de la banque de détail. Pour Boursorama, la situation est un peu différente car c'est une banque en ligne (donc pas omnicanale) et elle a ses propres équipes historiques qui appliquent cependant les normes et standards définis par les architectes Groupe.
Nous avons une approche très intégrée comme vous pouvez le voir. Parfois, cependant, nous tirons parti des outils dans telle ou telle division avant, éventuellement, de les généraliser : le Crédit du Nord développe ainsi actuellement un agrégateur de comptes déployé dans l'ensemble de la Banque de détail sur les bases d'une application à l'origine de Boursorama...
Publicité
CIO : Et concernant le cloud ?
Christophe Leblanc : Notre stratégie est orientée vers le cloud depuis 2015. En 2020, 80 % de notre informatique sera dans le cloud, qu'il s'agisse de cloud privé ou de cloud public. Cette approche nous garantit un excellent Time to Market. La Société Générale est bien positionnée à ce niveau face à ses concurrents.
Il nous faut à la fois être présent sur les fondamentaux (la résilience, la performance, la sécurité...) et assurer la mise en oeuvre de la stratégie digitale métier, ce qui veut dire être agiles sur le terrain. Si vous me permettez l'expression, il nous faut être à la fois le chêne et le roseau.
CIO : Depuis votre prise de fonction, que s'est-il passé ?
Christophe Leblanc : Lors de la Journée Investisseurs du 28 novembre 2017, le Groupe a présenté son plan stratégique à 2020, Transform to Grow. Notre feuille de route décline cette stratégie du point de vue de la transformation numérique.
CIO : La Société Générale met l'accent depuis plusieurs années sur le digital, notamment la digitalisation du service client. Où en est-on ?
Christophe Leblanc : Chacun a évidemment conscience que le poids de l'IT s'accroît dans la banque. Quelques chiffres s'imposent : 57 millions de connexions par mois à nos apps, 70 millions d'ordres de transactions par jour, 24 000 informaticiens dans le groupe... Par nature, une banque est une « tech company ». Mais cela ne veut pas dire que nous faisons de la technologie pour le plaisir de la technologie. La stratégie digitale de la Société Générale est systématiquement accolée à la stratégie de nos métiers.
Nous avons présenté les axes stratégiques de croissance du Groupe : l'Afrique, la Russie, les produits dérivés... et, pour tout cela, nous avons besoin du digital ! Par exemple, en Russie, nous avons digitalisé le parcours client afin de pouvoir offrir la conclusion d'un prêt immobilier à 100 % en ligne.
Notre stratégie digitale s'articule autour de trois axes : l'amélioration du parcours client, l'efficacité opérationnelle (et donc la baisse des coûts) et le renforcement de notre rôle de tiers de confiance (avec le corollaire de la lutte contre le cybercrime). Pour l'efficacité opérationnelle, nous avons, par exemple, développé un kit pour les auditeurs et inspecteurs qui leur facilite la collecte et le traitement des informations dont ils ont besoin. La digitalisation ne concerne en effet pas seulement nos clients mais aussi nos propres équipes. Pour accompagner la stratégie digitale du Groupe, mon rôle est aussi de m'assurer que la DSI développe ses capacités en matière de datas, d'open-banking et d'infrastructures agiles.
CIO : Cela nous amène à l'open-banking, qui vous est imposé par la réglementation européenne. Etes-vous prêt ? Surtout, cette possibilité est-elle réellement utilisée ?
Christophe Leblanc : Bien entendu, nous respectons la réglementation ! Les API nécessaires au respect des obligations de la DSP 2 sont opérationnelles. Celles-ci permettent un pilotage, un contrôle et une supervision du « qui fait quoi » sur les comptes des clients ayant donné les autorisations adéquates pour des services tels que les outils d'agrégation. Pour l'instant, il y a encore une tolérance légale provisoire pour le web-scraping [dans ce cas, le service externe d'agrégation tiers se connecte en utilisant directement les identifiants du titulaire du compte, ce qui rend sa détection par rapport à une connexion du titulaire lui-même impossible, NDLR].
Nous verrons comment va évoluer le marché mais, aujourd'hui, il faut reconnaitre que ce n'est pas très utilisé.
CIO : L'open-banking suppose des connexions par API. Cette approche est-elle générale ?
Christophe Leblanc : Tout à fait. L'open Banking est pour nous une vraie opportunité et notre stratégie « API first » vise à mutualiser tout ce qui est fait partout dans le groupe. Le travail de fond est terminé. Et notre catalogue d'API groupe comprend quelques 1500 références à ce jour, avec les règles d'usage ont été établies. Ainsi, chaque développeur peut trouver aisément ce dont il a besoin pour faire son travail.
L'open-banking , c'est aussi l'ouverture vers les acteurs de l'écosystème. . Nous avons récemment annoncé l'acquisition de Treezor, une plate-forme d'intégration d'API bancaires (gestion de comptes, gestion d'opérations par cartes bancaires...) au service de néobanques et fintechs. Nous attendons encore la validation par les autorités de contrôle pour finaliser.
CIO : Précisément, l'open-banking « entrant », c'est aussi l'intégration de tiers non-banquiers (factures télécoms, eau, électricité...). Vous proposez un tel service. Mais est-il utilisé ?
Christophe Leblanc : Il est encore un peu tôt pour dire si les clients vont finalement adhérer ou pas. Mais, soyons clairs, si nous demandons aux clients l'accès à leurs données, la réponse sera en général négative. Par contre, si nous proposons un service à valeur ajoutée pour le client, qui suppose l'accès à telle ou telle catégorie de données, les clients accepteront probablement l'usage de leurs données.
CIO : Mais vous confier ainsi autant de données très personnelles suppose une énorme confiance...
Christophe Leblanc : La banque -en général, pas seulement la Société Générale- figure parmi les activités auxquelles les clients font le plus confiance en matière de sécurité des données. C'est un atout à valoriser. Nous investissons beaucoup (650 millions d'euros sur trois ans) dans la cybersécurité pour valoriser notre capital confiance.
Le digital doit disposer d'un environnement sain et sûr en luttant notamment contre la cyberfraude. Nous utilisons par exemple les technologies de machine learning pour lutter contre les fraudes à la carte bancaire.
CIO : Il n'en demeure pas moins que chaque flux est forcément porteur de risque. Comment gérez vous ces risques ?
Christophe Leblanc : Plutôt qu'en des murailles, nous croyons dans les tours de contrôle. Si nous conservons des murailles vis-à-vis de l'extérieur, nous essayons de supprimer les murailles internes, porteuses de complexité et de non-agilité. Par contre, nous mettons en place une supervision des flux pour garantir la détection d'éventuels problèmes.
Et puis il faut ajouter que les risques informatiques ne se limitent pas à la seule cybercriminalité. Récemment, une banque anglaise a perdu le contrôle de sa gestion de comptes à cause d'un bug logiciel. La résilience, c'est aussi la maîtrise de nos projets et de l'obsolescence de nos matériels par exemple.
Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire