Au cours des dix-huit dernières années, les institutions financières (IF) ont créé et déployé des mécanismes de détection et de prévention du blanchiment de capitaux en réponse aux exigences réglementaires.
Au cours des dix-huit dernières années, les institutions financières (IF) ont créé et déployé des mécanismes de détection et de prévention du blanchiment de capitaux en réponse aux exigences réglementaires.
Les moyens par lesquels les institutions financières s’acquittent de cette tâche sont restés les mêmes depuis des décennies : les institutions font leur marché, examinent les fournisseurs de solutions, en retiennent une, la déploient sur une infrastructure installée chez elles et la font tourner. Cette méthode fonctionne bien et a permis à de nombreuses IF de se conformer avec succès à la réglementation.
Bien que cette approche fonctionne bien, elle n’est pas parfaite, laissant certaines institutions en situation de non-conformité, manquant de capacité de détection et vulnérables aux pénalités. L’une des principales limites est le déploiement de l’infrastructure sur site.
Les IF doivent acheter le matériel, mobiliser une équipe informatique pour le mettre en place, déployer le logiciel et vérifier l’exécution correcte de la solution au quotidien. Cela implique l’installation d’un service d’assistance pour résoudre les problèmes utilisateurs de niveau 1 et des contrats de support avec chaque fournisseur impliqué dans l’infrastructure (base de données, serveur d’application, etc.), afin de corriger les dysfonctionnements ou obtenir des réponses aux questions.
Toutes ces activités et leurs coûts ultérieurs sont purement informatiques et n’ont rien à voir avec les activités de conformité essentielles des IF ; il s’agit véritablement d’une fonction de support. Pourtant, il y a encore de bonnes raisons de s’en tenir à la tradition et de conserver le modèle opérationnel existant. La sensibilité des données traitées, la criticité des activités de conformité et le risque d’amendes si les changements tournent mal sont autant d’éléments qui incitent fortement à maintenir le contrôle avec une solution sur site. C’était vrai au moins jusqu’à ces récentes années.
Le rythme s’est maintenant accéléré, et les deux années écoulées ont été marquées par des changements importants qui devraient inciter les IF à revoir leur modèle. Parmi les changements majeurs : l’émergence de fournisseurs publics matures de cloud computing avec des offres améliorées qui permettent de passer d’une installation de plate-forme de conformité sur site à un logiciel-service (SaaS) hébergé dans un environnement de cloud public.
Tout comme pour d’autres applications moins critiques, les avantages du passage au cloud commencent à l’emporter sur les inconvénients potentiels. Le coût de l’échec d’une solution de conformité pour la plupart des institutions est beaucoup plus élevé et de plus grande portée que celui du temps d’indisponibilité d’une page Web ou la perte des services de dialogue en ligne. Mais d’autres facteurs contribuent à modifier l’équation en faveur du cloud de manière significative.
Les avantages du cloud
Un changement important vient des institutions financières elles-mêmes, qui accélèrent leur transformation numérique mondiale. Par exemple, le service informatique doit être en mesure de fournir de nouveaux services à l’entreprise de façon agile et continue. La conformité n’avait initialement nul besoin d’agilité, puisque la réglementation évoluait lentement.
Ces dernières années, nous avons assisté à la fois à une augmentation du nombre de lois, comme la quatrième directive AML, le règlement général sur la protection des données (GDPR), la cinquième directive AML (dont l’échéance de mise en œuvre approche) et à des changements rapides de politique et de réglementation – par exemple, l’inscription ou le retrait plus régulier de pays sur les listes de sanctions.
Ce changement de cadence a incité les entreprises à améliorer leur délai de mise sur le marché (TTM) des outils et, par conséquent, leur capacité à déployer rapidement un nouveau changement dans la production – un besoin critique pour les IF.
Le processus de bout en bout nécessaire pour déployer en production est un changement demandé par l’entreprise, et c’est souvent le goulot d’étranglement de l’agilité attendue. Les fournisseurs publics de cloud computing ont optimisé ces processus à l’extrême, car il s’agit de leur activité principale. De plus, en passant au cloud computing, les IF délocalisent la complexité de ce processus et reportent la responsabilité de la réussite à l’extérieur.
L’augmentation du volume des transactions financières exige un ajustement constant de la taille de l’infrastructure de la plateforme de conformité, parfois juste pour gérer quelques moments de forte demande saisonnière, comme Noël. Une architecture distribuée permet une infrastructure évolutive, ce qui signifie que lorsqu’elle n’est pas utilisée, l’infrastructure est allouée à d’autres solutions.
Cependant, pour assurer une telle évolutivité, il faut disposer d’un nombre extrêmement élevé de serveurs et d’une solution optimisée pour eux aussi. C’est tout à fait possible pour les IF disposant de ressources suffisantes, mais cela nécessite de nombreux investissements informatiques. Pour assurer la haute disponibilité et la performance de la solution de conformité, le service informatique n’a d’autre choix que de dimensionner l’infrastructure en l’alignant sur les périodes de pointe, ce qui conduit à une infrastructure surdimensionnée 90 pour cent du temps.
En conséquence, l’impact direct de cette nouvelle volumétrie est une augmentation directe des coûts informatiques, avec peu d’opportunités d’optimisation sans impact sur la qualité de service.
Les fournisseurs de cloud ont deux avantages concurrentiels par rapport à n’importe quel service informatique interne :
1. Ils ont des fermes de serveurs, construits dans une architecture entièrement évolutive qui leur permet de réattribuer l’infrastructure inutilisée à un autre client ; il n’y a donc pas de fuites dues aux activités de pointe.
2. Compte tenu du nombre de serveurs, ils sont capables à la fois de mutualiser les équipes et les achats et, à ce titre – pour une infrastructure similaire – de réduire considérablement le coût total de possession.
Avec un modèle de tarification » à l’usage « , où les IF ne paient les serveurs que s’ils les utilisent réellement, les fournisseurs de cloud computing sont en mesure de proposer un prix extrêmement compétitif aux IF pour l’hébergement de leur solution de conformité.
Cela modifie également la catégorie des coûts, passant de dépenses d’investissement (installations sur site) à des dépenses d’exploitation (lorsque l’on fait appel à un fournisseur de cloud computing). Utilisée correctement, cette différence profitera à la plupart des entreprises.
Il est reconnu que les données constituent l’actif clé des IF et qu’il s’agit d’un avantage concurrentiel pour leurs concurrents. Par conséquent, les IF ont toujours fait preuve d’une extrême prudence dans le traitement et la divulgation de ces informations.
Pendant des années, la première réaction a été de conserver les données sur place (entre les murs de l’entreprise) – c’était raisonnable. Et puis les fournisseurs publics de cloud computing ont fourni le bâton pour se faire battre en faisant preuve d’opacité et en ne communiquant pas la géographie de leur centre de données aux clients européens. Il est donc difficile d’instaurer de la confiance ou même de garantir le respect de certaines réglementations locales empêchant les données de quitter le pays.
Pourtant, au cours des dernières années, les fournisseurs publics de cloud computing ont fait de grands progrès dans ce domaine, et ils procurent désormais une vision claire de la disponibilité, de la zone et de l’emplacement de leurs serveurs. Ils ne cessent d’augmenter cette offre et en tiennent compte lors de la définition de nouvelles zones de disponibilité.
En outre, de nombreuses grandes entreprises dans le monde (et pas seulement des institutions financières) ont souffert d’atteintes à la protection des données au cours des dernières années, ce qui a porté préjudice à leur réputation.
Aucun des fournisseurs de services en cloud computing n’a jamais été victime d’une telle atteinte, qui pourrait s’évérer mortelle pour l’entreprise. Il est dans l’intérêt des fournisseurs de cloud computing de prendre toutes les mesures nécessaires pour s’assurer que cela ne se produira pas.
De plus, une entreprise doit avoir plusieurs scénarios d’intrusion et elle doit se protéger. Certains de ces scénarios peuvent consister en une intrusion directe par le réseau, une intrusion par un site externe, etc. Pour chaque risque identifié, l’entreprise doit fournir un accès sécurisé différent comme un réseau privé virtuel ou un reverse proxy, et multiplier le coût et la complexité du maintien d’une politique de sécurité forte et résiliente.
Pour un fournisseur par le cloud, il suffit de déplacer le cloud vers l’offshore. Outre le risque d’atteinte à la protection des données, une entreprise doit également se protéger contre les catastrophes naturelles et autres événements similaires.
Cela implique la mise en place d’un plan de reprise après sinistre avec un objectif de temps de reprise et un objectif de point de reprise, ce qui nécessitera également des investissements. Cela fait partie de l’offre de base du fournisseur de cloud computing.
Un tournant décisif
Dans d’autres régions du monde, comme l’Asie et l’Océanie, où la réglementation des données est devenue beaucoup plus souple au fil des ans, plusieurs IF ont déjà adopté avec succès une approche SaaS. Par exemple, ils utilisent une solution de conformité complète comprenant la surveillance des transactions, les sanctions et le filtrage des personnes politiquement exposées, ainsi que l’évaluation du risque client en mode SaaS, le tout hébergé par un fournisseur de cloud réputé. Cela fonctionne efficacement et aucun d’entre eux n’envisage de se tourner de nouveau vers des solutions sur site.
Dans le contexte spécifique de l’Europe – compte tenu de la réglementation beaucoup plus stricte sur la confidentialité des données, mise en évidence par l’application du GDPR en mai 2018 – les IF ont été plus prudentes en ne déployant de solution en cloud computing sur aucune activité critique en dehors du département conformité.
Les IF se trouvent à un tournant décisif. Les signaux d’alerte ayant progressivement disparu, elles examinent maintenant de plus près les avantages considérables qu’elles tireraient du passage de leur plate-forme de conformité à un environnement cloud.
Parmi les avantages à en attendre, mentionnons la réduction des coûts informatiques, des gains d’agilité, l’accélération du TTM, et la réduction de la complexité informatique… tout cela permettant de se concentrer sur les activités principales de l’entreprise.
Au cours des cinq dernières années, la compatibilité des solutions de conformité avec le Cloud était une question qui restait à régler. Aujourd’hui, les IF s’intéressent de près à la façon dont elles pourraient déployer leurs plates-formes de conformité dans les environnements cloud. Dans un contexte toujours concurrentiel, à la recherche d’optimisation des processus et de réduction des coûts, le passage au cloud est la prochaine étape à envisager.
