Stratégie

Séverin Cabannes (Société Générale) : « le premier risque pour une banque n'est pas celui de crédit ou celui de marché mais le risque cyber »

Séverin Cabannes, directeur général délégué de la Société Générale, a présenté à la presse la stratégie numérique du groupe bancaire.

Si le sujet du numérique est essentiel pour toutes les banques, la Société Générale l'a placé au coeur de sa stratégie métier, au point d'envisager de commercialiser à terme des services dans ce domaine. Déjà, le groupe bancaire refond bien des approches, y compris managériales et organisationnelles, en s'appuyant sur le numérique.

PublicitéVendredi 26 janvier 2018, Séverin Cabannes, directeur général délégué de la Société Générale, a présenté à la presse la stratégie numérique du groupe bancaire. Il était, pour ce faire, accompagné de Alain Fischer (CDO de SG-CIB, Private Banking, Asset Management et Securities Services), Xavier Lofficial (CIO groupe) et Carlos Goncalves (CTO groupe). Si certains sujets abordés relevaient de portes ouvertes, d'autres ont été plus surprenants. Car le numérique est devenu le sujet central de la stratégie de la Société Générale, stratégie corporate et business s'entend. De ce fait, l'atteinte au système d'information, au sens le plus large du terme, devient une atteinte au coeur métier. Séverin Cabannes en a déduit : « le premier risque pour une banque n'est pas celui de crédit ou celui de marché mais le risque cyber »
Le numérique, c'est bien entendu, pour la Société Générale comme pour toutes les banques, un sujet de valorisation des actifs existants : actifs durs (y compris l'immobilier) comme actif clientèle. Les objectifs clairement affichés sont, en tout premier lieu, une obsession permanente pour l'expérience client, mais aussi l'automatisation des process internes dans une optique d'amélioration de leur efficacité et, enfin, un renforcement du statut de fournisseur de confiance pour le groupe.

Le nouveau rôle essentiel d'un banquier : tiers de confiance

Ce dernier point peut surprendre mais il fait partie -comme d'autres que l'on va voir plus loin- de ces multiples disruptions apportées par le numérique sans être purement techniques. « Il faut bien lire l'article 20 du GDPR » a pointé Séverin Cabannes. Cet article oblige à ouvrir les données sur la demande des personnes concernées par celles-ci pour que des tiers puissent délivrer des services. Cela amène à devoir confier les liens ou les données à un tiers de confiance, un gardien du temple de la vie privée. Et, pour cela, les banques sont citées en premier par les Français lorsqu'on les interroge sur la nature d'un tel tiers de confiance.

« Il faut bien lire l'article 20 du GDPR »

Cette ouverture des données amène également une multiplication des acteurs souhaitant les utiliser. De multiples start-up se créent pour se connecter aux données bancaires mais pas seulement (données de consommation de fluides tels que l'électricité ou le gaz...). Si on a longtemps cru à une franche consolidation du secteur bancaire, il faut plutôt croire aujourd'hui en une réduction du nombre des banques traditionnelles mais une multiplication d'acteurs numériques ayant un statut bancaire. Séverin Cabannes a nuancé : « les banques ne sont pas des compagnies technologiques mais sont traditionnellement les premiers utilisateurs de la technologie. Notre budget IT, c'est 10 % de notre chiffre d'affaires contre 5 % dans les télécommunications et moins de 1 % dans l'industrie. Nous dépassons les 3,8 milliards d'euros de dépenses IT. » Ce chiffre se décompose en 58 % pour le run et 42 % pour le build. L'IT, à la Société Générale, c'est 23 500 collaborateurs (les deux-tiers en interne), 40 Po de données, 35 000 serveurs et 50 000 MIPS.

PublicitéVers des banques acteurs du numérique

Pour se protéger elle-même, la Société Générale investit lourdement dans la cybersécurité, y compris via la création d'un CERT et d'un SOC. Et elle teste régulièrement ses collaborateurs sur du « faux phishing ». Du coup, la banque détecte parfois des piratages touchant ses clients et les avertit. Et ceux-ci se retournent parfois vers la banque pour lui demander quoi faire. Si quelques solutions sont proposées pour la cybersécurité des clients particuliers (comme une offre d'anti-phishing), en complément des offres de banque digitale, il reste le créneau des entreprises. « Nous avons une réflexion sur une offre de cybersécurité pour nos clients » a affirmé Séverin Cabannes. Cette offre pourrait inclure, par exemple, un abonnement aux travaux de veille ou même des analyses de hacks.
A la question explicite « est-ce que vous pouvez envisager de devenir distributeur IT ? », il a tout de suite répondu avec calme « oui ». Même s'il a, peu après, nuancé en insistant sur le caractère exploratoire des réflexions en cours. Après tout, certaines banques distribuant de la téléphonie, pourquoi la Société Générale ne ferait-elle pas de la distribution IT ? Au delà de la seule cybersécurité, d'autres offres pourraient être envisagées. Séverin Cabannes a ainsi mentionné une possibilité autour d'une prestation de DPO externalisé. Il existerait pour cela une forte demande, même s'il n'y a pas d'offre aujourd'hui.

Innover, encore et toujours

La Société Générale se doit donc d'innover encore et toujours. La stratégie sur l'innovation IT est clairement celle de l'« augmentation progressive ». Le « Big Bang » a en effet le double inconvénient de son coût et d'impliquer un tunnel au bout duquel le résultat est souvent obsolète avant même d'avoir démarré. Le deuxième aspect a été baptisé « Open First ». D'un côté, il s'agit bien de « Open Source First » clairement réaffirmé, de l'autre, de concevoir le système d'information en « API First » afin de faciliter la réutilisation des données ou des composants. L'agilité au sens le plus large est de mise, notamment grâce à une « digital factory » interne. Enfin, le troisième pilier est bien entendu la cybersécurité. « A chaque projet, l'empreinte du Legacy diminue mais le Mainframe demeure une plate-forme stable et pas forcément si chère que cela » a souligné Carlos Goncalves. La banque a ainsi migré son mainframe vers le zOS 14 en accroissant la mémoire mais le coût du Legacy diminue... sans diminuer les dépenses chez IBM puisque des outils innovants tels que Watson ont fait leur entrée dans le groupe. Carlos Goncalves a convenu : « le mainframe est moins un problème que les bases de données Oracle. »

« Le mainframe est moins un problème que les bases de données Oracle. »

De la même façon, le cloud n'est pas un sujet en soi. L'objectif est de disposer d'une infrastructure toujours disponible pour « libérer l'innovation ». « Si ça marche, on scale up ; si ça ne marche pas, on scale down » a résumé Carlos Goncalves. Pour le CTO, le monde ne se résumera pas à tel ou tel forunisseur de cloud externalisé (AWS, Microsoft...) mais sera forcément hybride. Les clouds privés mis en place dans le groupe répliquent les technologies des clouds publics, assurant une certaine perméabilité entre les deux. Ce qui avait un peu effrayé les autorités de tutelle ayant beaucoup surveillé ce que faisait la Société Générale en la matière. Carlos Goncalves a détaillé : « 45 % de notre IT est sur le cloud aujourd'hui, 80 % le sera en 2020. »
L'innovation suppose aussi un fort investissement dans des start-ups. Mais Séverin Cabannes a rappelé : « dans les années 2000, nous rachetions 100 % des start-ups pour aboutir à des échecs. Nous préférons aujourd'hui prendre des participations (comme 10 % dans Tagpay par exemple) et investir dans des fonds. » Parmi ces fonds, l'un est consacré aux « start-ups internes » : 350 projets par 1500 collaborateurs participants sont en cours d'évaluation. De plus, 250 démonstrateurs par des start-ups sont en cours, par exemple sur Le Plateau. « L'innovation progressive, nous la gérons. Le problème, c'est l'innovation de rupture. Pour cela, nous avons voulu rattacher la cellule innovation directement à la direction générale » a noté Séverin Cabannes. Devenu le troisième directeur de cabinet de Mounir Mahjoubi, Aymeril Hoang ne sera donc pas directement remplacé.

Transformer la banque

« Le Plateau » est un espace dédié aux start-ups dans le nouveau vaisseau amiral du groupe : Les Dunes, un « immeuble numérique » à Fontenay-sous-Bois dont nous avons déjà beaucoup parlé. Ce bâtiment n'est pas qu'un immeuble de bureau : il révolutionne l'espace de travail et même la conception du travail, incitant à la collaboration. La stratégie numérique a ainsi des conséquences dans le monde physique et dans l'organisation : depuis septembre 2017, les hiérarchies du groupe ont ainsi été grandement aplaties à l'occasion d'une grande réorganisation.
Le plus grand défi « numérique » pour la banque est humain : attirer, retenir et faire évoluer les talents. Pour attirer les talents rares, la Société Générale développe son attractivité dont Les Dunes n'est qu'un des aspects. Le recours sans états d'âmes à la sous-traitance ou à l'off-shore interne comme externe, y compris en Inde, en fait également partie. Près de 10 000 personnes travaillent ainsi pour le groupe à Bangalore. Ensuite, il faut entretenir ces talents, ce qui passe évidemment par une classique GPEC. Former et re-former les collaborateurs est indispensable pour adapter les personnels aux nouvelles technologies comme aux nouvelles pratiques.