Piguet Galland décrit son passage dans le cloud

Le cloud computing est devenu une priorité stratégique majeure dans de nombreux établissements bancaires et financiers romands. La Banque Piguet Galland témoigne, et explique son processus tout juste achevé. 

La migration vers le cloud est considérée comme essentielle pour les outils collaboratifs tels que Teams et Office 365. Qu’en est-il des autres avantages et des risques? Est-ce que ce choix stratégique permet de renforcer la sécurité dans la gestion documentaire face à la multiplication des attaques de hackers et à l’évolution des lois sur la confidentialité des données en Suisse? Parmi les banques privées, Piguet Galland s’est distinguée en Suisse romande en choisissant de migrer vers une solution logicielle M365 hébergée dans le cloud Azure et exploitée par Microsoft (service SaaS). Alors que peu de banques ont déjà franchi cette étape (en dehors des banques purement digitales), la Banque Piguet Galland a accepté de commenter les efforts consentis dans le détail et de servir en quelque sorte de témoin en Suisse romande. Afin de parler des avantages, mais aussi des risques que ce transfert technologique comporte, Point de Mire a obtenu un entretien conjoint avec Michèle Luyet, la responsable opérationnelle (COO) et responsable financière (CFO) à la Banque Piguet Galland, ainsi qu’avec Me Philipp Fischer, de l’étude d’avocats Oberson Abels à Genève, qui a été fortement impliqué dans le projet et qui a pu évoquer les aspects juridiques.

Les raisons de ce changement

«La banque, qui appartient au groupe BCV, est partie du constat que la crise du covid a généralisé le télétravail et que la mobilité des clients et collaborateurs est devenue la norme. La banque souhaitait donc renforcer la gestion collaborative et la sécurité des documents partagés pour garantir un meilleur service. Cependant, sa taille ne lui permettait pas de réaliser cette transformation technologique seule», souligne Michèle Luyet.

La préparation et les besoins

Un processus méticuleux a été mis en place, débutant par une analyse stratégique et technologique, suivie de la validation du projet par le conseil d’administration après douze mois de consultations multiples. Durant cette période, la COO, le responsable de l’infrastructure, le responsable de la sécurité et un chef de projet dédié ont travaillé conjointement avec les experts de la société genevoise Kyos et l’étude Oberson Abels. En point de mire: la question de la localisation et du cryptage des données sur des serveurs en Suisse, ainsi que le dispositif interdisant l’accès aux données sans l’autorisation de la banque. Une fois ces sujets traités, la banque est entrée dans la phase d’implémentation accompagnée par Swisscom pour la négociation des licences cloud et le transfert des données. Cette relation tripartite n’est pas toujours simple et il est nécessaire d’être assisté par un expert juridique, explique Michèle Luyet. «Il faut savoir que la réglementation financière suisse, qui est relativement contraignante, n’évolue pas à la même vitesse que les solutions technologiques, décrit l’avocat Philipp Fischer. De surcroît, il convient de tenir compte du renforcement des règles en matière de protection des données qui entrera en vigueur en septembre 2023.» L’avocat explique que son rôle consiste notamment à expliciter les contraintes réglementaires et à engager des discussions avec les prestataires informatiques (souvent de grands groupes qui sont basés aux états-Unis) et, parfois, les autorités suisses (par exemple la Finma ou le Préposé fédéral à la protection des données).

Les avantages et les risques

La migration vers le cloud offre des avantages significatifs, selon Michèle Luyet. D’abord, l’utilisation des applications intégrées de Microsoft 365 permet une collaboration en temps réel, favorisant la mobilité. Ensuite, la maintenance de l’infrastructure en SaaS est réalisée par le fournisseur, en l’occurrence Microsoft, et les applications sont constamment mises à jour suivant les évolutions réglementaires et technologiques. L’équipe informatique de Piguet Galland ne pourrait, à elle seule, assurer ce support. «La sécurité des données et des informations est une priorité absolue pour notre banque» insiste Michèle Luyet. La migration vers Microsoft Azure a permis à la banque d’accéder à des fonctionnalités avancées telles que le chiffrement des données transférées et stockées, le contrôle d’accès aux documents ou encore la restriction géographique d’accès et la géolocalisation par GPS. «Il est clair qu’en entrant en relation avec un géant tel que Microsoft, on devient un peu captif», observe Michèle Luyet. Il faut rester vigilant et ne payer que les services nécessaires, mais aussi se réserver une stratégie de sortie. «En termes de cyberattaques, le risque zéro n’existe pas, mais certains considèrent qu’un tel partenariat améliore la sécurité des données, car un prestataire comme Microsoft peut procéder à des investissements colossaux en matière de sécurité informatique qui seraient difficilement réalisables sur un système IT entièrement in-house. La banque a ainsi pu déployer des antivirus nouvelle génération intégrant même de l’analyse comportementale.

Les coûts

«Le projet de migration dans le cloud est relativement coûteux, tant sur le plan financier qu’en termes de ressources dédiées, mais il en serait de même pour la modernisation de cette infrastructure en interne. En outre, il permet une bonne anticipation et maîtrise des charges d’exploitation, puisqu’il faut payer un abonnement par utilisateur», considère Michèle Luyet. 

La formation

«Nous devons en effet proposer une formation continue aux collaborateurs de la banque. La manière de travailler change et évolue, notamment dans la gestion collaborative des documents. Il s’agit de comprendre les nouveaux concepts et de former les équipes, qu’elles soient informatiques ou simple utilisatrices», poursuit Michèle Luyet. Parmi les collaborateurs, 70% utilisent aujourd’hui pleinement les possibilités offertes par les outils Microsoft.

Les prochaines étapes

Philipp Fischer (photo) anticipe les futurs mouvements: «Il y a encore quelque temps, migrer des données sur une infrastructure cloud était impensable pour une banque.» L’avocat est d’avis que la prochaine étape de l’évolution technologique verra un recours accru, par des banques, à des plateformes ou des infrastructures basées sur le cloud (platform-as-a-service (PaaS) ou infrastructure-as-a-service (IaaS). Les régulateurs ont toutefois commencé à sensibiliser les banques sur l’important risque de dépendance à l’égard du prestataire qui doit être géré de manière adéquate (par exemple par la mise en œuvre d’une exit strategy).