IA, cybersécurité et autonomie stratégique au programme de BankTech Day

Le secteur bancaire entre dans une phase de recomposition sous forte contrainte. Avec l’essor de l’intelligence artificielle, la montée du risque post-quantique et l’élargissement continu des surfaces d’attaque numériques, il doit absorber une accélération technologique rarement observée à cette échelle. Dans le même temps, il lui faut préserver la confiance de ses clients, maintenir un haut niveau de conformité, contenir ses coûts de transformation et réduire certaines dépendances technologiques dans un contexte géopolitique devenu plus instable.

Dans cet ensemble, la cybersécurité occupe une place singulière, parce qu’elle concentre plusieurs tensions à la fois. Philippe Coué, Group COO cybersécurité et risques IT du Groupe Crédit Agricole, observe d’abord une montée nette de l’intensité de la menace. Il ne décrit pas seulement une augmentation quantitative des attaques, mais un changement de nature, sous l’effet des tensions internationales et de l’hybridation croissante des risques. « Depuis deux ans, nous observons une intensification de la menace. Les événements en Ukraine ou au Moyen-Orient s’accompagnent d’attaques de type étatique. Nous voyons aussi apparaître des menaces hybrides, y compris des survols de drones au-dessus de nos datacenters », déclare-t-il.

Son ananyse va plus loin. Le risque de cybersécurité ne remonte plus uniquement par les systèmes internes. Il circule aussi par les partenaires technologiques, les fournisseurs et les opérateurs connectés à l’activité du groupe. « Nous avons un écosystème de fournisseurs très intriqué avec les autres acteurs technologiques. Nous constatons des attaques de plus en plus fortes contre certains partenaires du groupe Crédit Agricole. Indirectement, des données personnelles de nos clients peuvent ensuite circuler sur le dark web », note Philippe Coué. La cybersécurité devient ainsi un sujet de chaîne de valeur autant que de protection périmétrique.

Il ajoute un troisième niveau de pression : la sophistication technique des offensives. « Nous faisons face à des attaques très performantes, difficiles à repérer et de mieux en mieux renseignées. L’IA est déjà utilisée, et certaines vulnérabilités peuvent être exploitées très rapidement après leur publication. À cela s’ajoute le sujet de l’informatique quantique, avec la nécessité d’anticiper dès aujourd’hui ses effets sur la sécurité des échanges, la confidentialité des données et la robustesse des mécanismes de protection », observe-t-il.

Une transformation qui ne se pilote pas seulement par la technologie

Cette lecture de la menace rejoint celle portée par Grégory Erphelin, Directeur Général adjoint en charge du pôle Transformation, Ressources humaines et Transitions de Crédit Agricole. Pour lui, le premier défi de direction tient moins à la technologie elle-même qu’au rythme qu’elle impose aux organisations. « Nous n’avons jamais connu une telle rapidité d’évolution technologique. Le principal défi, pour un dirigeant, consiste à réconcilier ce temps technologique très accéléré avec le temps industriel de nos organisations, qui doivent rester maîtrisées, supervisées et contrôlées », analyse-t-il.

Sa réponse ne passe pas par une centralisation absolue. Grégory Erphelin défend au contraire une diffusion proche des métiers, des usages et des utilisateurs, avec un cadre groupe pour les normes, les standards et les socles partagés. « Le sujet essentiel, c’est d’abord l’adoption. Et pour cela, l’IA est avant tout un sujet extrêmement local, au plus près des métiers et des utilisateurs. En revanche, il faut aussi fixer un cadre, des standards, des normes, de l’appui et de la mutualisation sur certains sujets », avance-t-il. Cette position permet d’éviter deux écueils principaux : d’un côté, une innovation dispersée sans garde-fou, de l’autre, une transformation trop centralisée pour épouser la diversité réelle des métiers bancaires.

L’IA ne vaut que si elle renforce la relation de confiance

Au sein du Crédit Agricole, l’IA n’est pas présentée comme un substitut à la relation bancaire. Grégory Erphelin insiste plutôt sur sa capacité à améliorer le travail du conseiller, la personnalisation et le temps utile consacré au client. « L’intelligence artificielle est plutôt un révélateur de l’intelligence humaine. L’IA apporte des réponses, mais c’est l’humain qui pose les questions. Et à la fin, ce qui reste décisif, c’est la confiance et la responsabilité d’une institution ou d’un être humain qui décide et qui s’engage », fait-il remarquer.

Cette prudence éclaire aussi le sujet de l’autonomie stratégique. Grégory Erphelin préfère d’ailleurs ce terme à celui de souveraineté. Il le rattache à trois préoccupations concrètes : la protection des données, l’identification des dépendances critiques et la prise en compte du risque financier lié aux fournisseurs technologiques. Le sujet remonte donc jusqu’aux instances de gouvernance, parce qu’il engage directement la capacité du groupe à choisir ses infrastructures, ses partenaires et ses trajectoires d’investissement.

La conformité change elle aussi de nature

Cette transformation technologique ne peut toutefois pas être dissociée du cadre réglementaire et des exigences de contrôle. Hubert Reynier, Directeur Conformité Groupe du Crédit Agricole, décrit une fonction conformité profondément transformée. « La conformité était autrefois une fonction plutôt juridique. Aujourd’hui, c’est un métier qui a complètement changé, avec un caractère extrêmement opérationnel, voire industriel. Plus de la moitié des effectifs conformité sont désormais des data scientists, des administrateurs de systèmes ou des équipes qui innovent et déploient de nouvelles technologies », déclare-t-il.

Pour Hubert Reynier, la conformité doit être plus naturellement intégrée dans les processus métier. « Plutôt que de fonctionner en parallèle de l'activité commerciale, la conformité doit être native et s'inscrire naturellement dans les processus, notamment digitaux. De cette manière, nous ne serons plus perçus comme un frein, mais comme un soutien qui sécurise et facilite dès le départ les processus », souligne-t-il. Pour réussir cette intégration, l’adoption d’une approche basée sur l'analyse des risques, capable de distinguer les situations selon leur contexte réel sera de plus en plus essentielle.

Financer la souveraineté suppose aussi de revoir les cadres d’accompagnement

Les volets technologiques et réglementaires ne suffisent pas à eux seuls. Jean-François Balaÿ, Directeur Général de Crédit Agricole CIB, rappelle que la souveraineté économique se joue aussi dans la capacité des banques à financer les bons acteurs au bon moment. Dans l’énergie, explique-t-il, les nouveaux clients issus des transitions n’entrent pas naturellement dans les cadres traditionnels de la banque de financement et d’investissement. « Dans le secteur de l’énergie, nous avons vu émerger de nouveaux types de clients qui ne répondaient pas tout à fait aux critères habituels d’une BFI. Nous avons donc mis en place des stratégies spécifiques, avec un cadre de risque un peu plus souple, pour pouvoir accompagner ces acteurs sur le territoire », observe-t-il.

Il ajoute que le financement ne suffit pas. L’enjeu porte aussi sur la qualité de l’accompagnement, notamment pour les ETI et les entreprises en phase de transformation. « Nous avons la possibilité de travailler avec Crédit Agricole Transitions & Énergies pour le financement, mais aussi avec une équipe spécifique sur les ETI. Et dans la partie conseil, nous disposons d’une équipe d’une centaine de banquiers déployés sur le territoire pour accompagner les dirigeants dans les événements transformants de leur activité », note Jean-François Balaÿ.

Son troisième point rejoint les préoccupations précédemment exprimées. Pour identifier les futurs champions, explique-t-il, les outils ne suffisent pas. Il faut surtout une compréhension fine des chaînes de valeur, des fournisseurs et des dépendances. « Ce ne sont pas forcément les outils qui comptent d’abord. Je pense que ce sont les équipes. Ce qui est important pour nous, c’est de connaître vraiment toute la chaîne de valeur, et tous les intervenants qui en font partie. C’est par cette connaissance que nous arrivons à identifier plus facilement les champions de demain », note-t-il.

Une même ligne de force : sécuriser, transformer, intégrer

Mis bout à bout, ces quatre prises de position dessinent une ligne de conduite cohérente. Philippe Coué place la cybersécurité au niveau de la gouvernance et de l’autonomie stratégique. Grégory Erphelin relie l’IA à un enjeu d’adoption, de compétence et de maîtrise des dépendances. Hubert Reynier montre que la conformité doit devenir industrielle et intégrée aux parcours métier. Jean-François Balaÿ rappelle enfin que la souveraineté se joue aussi dans la capacité à repérer et financer des acteurs encore émergents.

L’ensemble converge le plan stratégique de Crédit Agricole S.A. (ACT 2028). Ce dernier place la transformation technologique au centre de la trajectoire du groupe. Mutualisation de l’IA, renforcement du cloud privé, rationalisation des infrastructures IT, automatisation de processus clés, maîtrise accrue des dépendances… Le plan dessine une feuille de route où la cybersécurité ne relève plus d’un sujet à part. Elle devient le socle sur lequel reposent l’adoption de l’IA, l’industrialisation de la conformité, la continuité opérationnelle et la capacité de Crédit Agricole S.A. à financer, sans perte de maîtrise, les secteurs jugés stratégiques.