Open banking : Une (r)évolution à marche forcée

◆ La task force digitale du Groupe Attijariwafa bank constituée de gauche à droite de Mohamed Moullouze, Issam El Alaoui, Hicham Faik et Hicham Ziadi, respectivement Head of Innovation, Chief Data Officer, Chief Information Security et Responsable Digital Center revient pour Finances News Hebdo sur les tendances technologiques attendues dans le secteur bancaire.
◆ Stratégie, Use-Cases, sécurité, réglementation, enjeux : tour d'horizon avec nos experts sur les technologies qui façonnent le paysage bancaire…

Propos recueillis par Y. Seddik

Finances News Hebdo : Les acteurs du secteur bancaire voient aujourd'hui en l'utilisation de l'Open banking un moyen pour diversifier les revenus et fidéliser leurs clients. Quel regard portez-vous sur cela ?
Issam El Alaoui : L'Open banking contient la promesse d'une intégration plus forte avec tout un écosystème externe d'entreprises proposant des services innovants. Cette promesse nécessite une forme de délégation maîtrisée du patrimoine sacré dans une banque : la donnée de ses clients. En contrepartie, de nouvelles synergies peuvent servir les usagers de ces services et clients de la banque, ce qui est une forme de fidélisation par la data. Mais cela nécessite de repenser également le business model bancaire car, selon le niveau d'intégration, la banque peut passer de simple fournisseur de données (légitimement restituées aux clients) à une forme de back-end/usine qui délègue une partie importante de son activité jusqu'à la gestion de ses produits.
L'Open banking est fondamentalement une révolution technologique alimentée par la data. De ce fait, ce mouvement devrait normalement nécessiter d'être accompagné par une réflexion approfondie sur les aspects de protection de la donnée des clients.

L'Open banking est fonda mentalement une révolution technologique alimentée par la data.

Mohamed Moullouze : L'Open banking est une tendance globale, visible jusque dans les réglementations, qui vient bousculer en profondeur le jeu concurrentiel dans le monde bancaire. Cette tendance qui marque l'ouverture du secteur bancaire, traditionnellement verrouillé, à des acteurs non bancaires, consiste à créer des écosystèmes financiers ouverts et puissants dont la traction permet de disrupter les expériences clients.
Le modèle de Wechat et d'Alipay, en Chine, est une parfaite illustration des passerelles opérationnelles et commerciales qui peuvent s'opérer entre des géants de la technologie, acteurs non financiers et acteurs financiers. Avec Wechat, vous avez une gamme de produits et de services financiers et non financiers que vous pouvez consommer en tant qu'utilisateur : cela va de la messagerie instantanée jusqu'à la souscription à des solutions d'assurance ou de crédit, en passant par le paiement instantané entre amis.
Les partenariats avec les fintech constituent également un accélérateur opérationnel majeur de l'Open banking pour apporter des solutions innovantes aux clients de la banque en des temps records. Pour catalyser cette dimension et marquer cette ouverture, nous avons mis en place, au travers de notre département d'Innovation «Wenov by Attijariwafa bank», des dispositifs d'innovation dynamiques avec une tonalité ouverte et un modèle d'essaimage qui draine l'écosystème externe dans lequel évolue notre banque, de la fintech jusqu'aux géants de la technologie.
Hicham Ziadi : Jadis, les banques avaient l'exclusivité dans la distribution des services financiers aux clients. Cette exclusivité installée depuis des décennies était le fruit d'un arsenal réglementaire strict et exigeant imposé par les Etats à travers leur Banque centrale. Il était nécessaire d'obtenir un agrément ou licence d'établissement de crédit avant de pouvoir recruter directement des clients et leur offrir des services financiers quelle que soit leur nature (tenue de compte, paiement, crédit, etc.).
Il faut préciser que ces réglementations ne sont pas nées au hasard et n'étaient pas instaurées pour garantir un monopole à quelques-uns, comme pourraient le laisser penser certaines idées reçues, mais bel et bien pour protéger l'argent des clients et, surtout, sauvegarder la confiance et la stabilité financière et monétaire à l'échelle locale d'un pays ou globale (nous avons tous en tête les dégâts, parfois systémiques, que peut causer la défaillance d'un seul acteur). Au fil du temps, ces réglementations ont été assouplies sur certaines parties de la chaîne de valeurs (comme certaines catégories de paiement) et nous avons vu apparaître un agrément plus souple d'«établissement de paiement».

La menace des fintech a été transformée en opportuni tés par les banques les plus avant-gardistes.

Ce type de licence beaucoup moins contraignant, combiné à la formidable révolution technologique et digitale, a permis l'émergence d'une myriade de start-up opérant dans la chaîne de valeur financière. Cette éclosion très lente au début (qui remonte à l'apparition de Paypal fin des années 90) a connu par la suite une croissance exponentielle en nombre d'acteurs, volume d'affaires et volume d'investissements. Ces fintech agissant sur un spectre très limité de la chaîne de valeur financière se sont spécialisées chacune dans un vertical très précis mais en poussant très loin la perfection de l'expérience client digitale et en proposant des tarifications agressives. Cette recette leur a permis une adoption fulgurante de la part des clients qui y ont vu une alternative attractive aux banques classiques.
Tout en détournant une part de plus en plus grande des flux et des clients des banques, ces fintech avaient besoin de celles-ci pour leurs processus de traitement des opérations et dénouement du back-office. On commençait à parler à ce moment-là de «désintermédiation» pour les banques, qui risquaient le même sort que les hôtels avec les acteurs comme Booking, et être réduites à de simples usines bancaires sans contact avec le client final.
Cette menace a été transformée en opportunités par les banques les plus avantgardistes, et au lieu de voir en ces fintech de simples concurrents, elles ont noué une relation de partenariat plus subtile avec elles. Tout en fournissant des services back-office à ces startups, ces banques s'affichaient côte à côte avec elles face au client pour mieux l'attirer, le fidéliser et le connaître. Un véritable modèle win-win de coopétition s'est installé et a pris plusieurs noms et plusieurs formes. L'Open banking est une forme de ces modèles.


Hicham Faik : Les changements liés à l'évolution du secteur fintech pourraient ouvrir la voie à de nouvelles attaques à l'encontre des entreprises et des particuliers. Le secteur financier a toujours été une cible très attrayante pour les cybercriminels. L'Open banking va offrir aux hackers encore plus de possibilités pour subtiliser des informations personnelles et financières sensibles, considérant que les fintech n'ont pas nécessairement des moyens importants pour investir en matière de protection cyber sécurité. À l'ère de la digitalisation des canaux de contact avec les clients et de l'avènement de nouveaux acteurs, la vulnérabilité des établissements bancaires ne cesse de croître. Ouverture des données doit rimer avec protection de celles-ci.
Les attaques les plus courantes : Attaques contre les API (Application Programming Interface) : les API publiques sont au cœur de l'Open banking. Elles permettent à des tiers agréés d'accéder aux données bancaires des utilisateurs pour proposer de nouveaux services financiers innovants. Les failles de mise en œuvre de ces API permettront aux pirates d'exploiter les serveurs de backoffice pour dérober des données. Attaques contre les entreprises de la fintech: les utilisateurs seront contraints d'établir une nouvelle relation de confiance avec des prestataires ne disposant pas nécessairement des mêmes garanties en matière de protection des données ni autant de ressources que leurs banques.
La majorité de ces fintech ne disposent pas de ressources dédiées à la sécurité. Elles constituent donc des cibles idéales pour les hackers, qui peuvent profiter des éventuelles failles de sécurité de leurs applications mobiles, API, techniques de partage de données et modules de sécurité, en cas de mise en œuvre incorrecte. Attaques contre les applications et plateformes mobiles : la plupart des services d'Open banking seront déployés sous forme d'applications mobiles, une cible de choix pour les attaquants. En mettant la main sur le nom de l'utilisateur, son mot de passe ou les clés de chiffrement dans l'application, un hacker peut récupérer des données bancaires et usurper d'une identité.

Le secteur financier a toujours été une cible très attrayante pour les cybercri minels.

Même si les applications ne permettent pas d'effectuer des paiements, elles peuvent contenir des données relatives à des transactions. Un hacker peut ainsi établir un profil très précis de ses victimes. Attaques contre l'utilisateur : les nouvelles applications d'Open banking s'apprêtant à devenir le principal moyen pour les utilisateurs d'accéder aux données et aux services financiers, les attaques de phishing pourraient devenir très fructueuses pour les pirates. La réduction des risques n'exclut pas l'existence de ces derniers. L'écosystème financier a l'obligation donc de mettre en œuvre un certain nombre de mesures comme :
• Renforcer la sécurité by design dans les projets de développement;
• Se doter de protections dédiées aux API ouvertes;
• Renforcer la gestion des identités par la fédération globale des prestataires concernés par l'écosystème d'Open banking;
• Imposer des mécanismes avancés d'authentification et de contrôle d'accès;
• Mettre en place des règles rigoureuses dans l'évaluation et la contractualisation avec les fintech;
• Tester régulièrement et rigoureusement la sécurité de bout en bout;
• Renforcer les dispositifs de surveillance SOC.

F.N.H. : Selon vous, quels sont les use-cases possibles dans le contexte marocain ?
Mohamed Moullouze : Un exemple concret de use-cases d'Open banking peut être le «Personal Finance Management» ou le PFM. La crise pandémique de la Covid-19, en sus de la multibancarisation d'un bon nombre de nos clients, a mis la lumière sur des besoins clients, jusqu'ici latents, de gestion des dépenses et du budget via l'application bancaire, web ou mobile. Les fonctionnalités du PFM sont pléthoriques: agrégation de comptes, catégorisation automatique des revenus et des dépenses, analyse des dépenses, voire des recommandations en fonction des analyses, etc. La réalisation de ce type de use-case, se faisant très souvent avec des fintech disposant de solutions sur étagère, nécessite l'ouverture du système d'information et de la data. Nous avons commencé des expérimentations dans ce sens mais du chemin reste à parcourir.


F.N.H. : Y a-t-il une réglementation qui régit son utilisation par les banques ?
Issam El Alaoui : Une partie de l'Open banking est réglementée en Europe par la directive DSP2 (qui va au-delà de ce périmètre). Cette directive ouvre la voie à un accès automatisé sécurisé à la donnée client par des entreprises tierces (la plupart du temps des agrégateurs ou des outils de Personal Finance Management), ce qui représente le socle fondateur de l'Open banking. Les aspects sécurité et confidentialité sont, quant à eux, gérés dans le RGPD (Règlement général sur la protection des données) ou au Maroc dans la loi 09-08 (relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel) ainsi que dans les directives de la DGSSI (Direction générale de la sécurité des systèmes d'information).
Hicham Faik : Les banques ont l'obligation de se conformer aux normes nationales et, dans certains cas, internationales. Elles sont déjà soumises à certaines réglementations touchant les aspects protection des données à caractère personnel (RGPD et loi 09/08), les données des porteurs de cartes bancaires (PCI DSS) ainsi que les transactions financières Swift (SWIFT CSP). A l'ère de l'Open banking, ces règlementations et tout l'écosystème des fintech doit être davantage réglementé pour être en mesure de proposer une protection de premier ordre et aux standards que les banques appliquent.
La conformité réglementaire exige une réelle transparence des processus et des procédures de disponibilité des données. Une non-conformité exposerait les banques à de lourdes amendes et des dommages sur la réputation de la marque. Parmi les réflexes à développer, le cryptage et la sécurisation de l'accès aux données sont essentiels pour maintenir la confidentialité des informations des comptes clients; la disponibilité de tous les systèmes doit également être garantie. Par ailleurs, les données provenant de sites distants devraient être centralisées et archivées pour protéger la confidentialité du client et assurer la disponibilité continue d'informations historiques sur les comptes.
Dans le cas de PCI DSS, il sera question que la conformité s'étende jusqu'à la fintech impliquée dans le processus de paiement afin de garantir le maintien de conformité de la banque et de la confiance vis-à-vis des clients. Ce même processus régit la conformité à SWIFT CSP lorsque des fintech sont embarquées dans ce système via APIsation. Bien entendu, la protection des données à caractère personnel reste une priorité majeure vis-à-vis des clients nationaux et internationaux. Cela implique que la RGPD et la loi 09/08 doivent être prises en considération dans tout projet d'Open banking et aussi dans les exigences de sécurité vis-àvis des fintech.


F.N.H. : Cloud est un sujet tout autant prioritaire pour les banques aujourd'hui. La Banque centrale a en effet préparé un projet de directive pour encadrer l'usage de cette solution par les établissements de crédit. Pour vous, quelles sont les potentialités et les contraintes de cette technologie pour le secteur ?
Issam El Alaoui : Pour les banques, le Cloud est tout d'abord une formidable opportunité de repenser la façon de prototyper, développer et déployer leurs applications. Les paradigmes techniques apportés par les solutions Cloud permettent plus d'agilité et de réactivité sans parler de l'argument historique qu'est la scalabilité. Le Cloud est donc un excellent cheval de Troie pour une remise en question architecturale et organisationnelle.
Pour rebondir sur l'aspect organisationnel, gérer le Cloud revient à déléguer une grande partie de son système à un provider et donc à changer la physionomie des compétences et processus de la banque. C'est un des aspects méconnus, au-delà des bouleversements technologiques. Globalement, une DSI bancaire dans le Cloud se décharge d'un grand nombre de contraintes techniques et s'offre plus de souplesse en termes de capacité à développer et à tester de nouvelles choses.
Sur un niveau purement technique, la scalabilité et la flexibilité sont les deux avantages majeurs mais ils viennent avec le risque de ne pas pouvoir maîtriser sa consommation, les ressources disponibles étant théoriquement quasi illimitées. Il est possible de commander des infrastructures importantes en quelques clics. Il faut donc une gouvernance idoine qui adapte les usages en fonction des budgets et des priorités. Pour la data, le Cloud est un accélérateur très appréciable en raison de l'élasticité des infrastructures fournies.
De nombreux cas d'usages nécessitent parfois une grosse capacité de traitement sur une durée courte, et généralement très peu de capacité lorsque les data scientists ne travaillent pas activement sur une modélisation. C'est une source de réduction de coût qui peut être réallouée dans de meilleurs outils par exemple. Mais il faut souligner que le Cloud est aujourd'hui régi par la directive de la DGSSI, qui empêche l'hébergement de données sensibles à l'extérieur du pays. Les risques de sécurité sur le plan des intrusions reste en général en fonction du niveau de sécurité du prestataire Cloud. Les grands éditeurs Cloud étant de confiance. Mais le risque d'une interférence étatique existe, ce qui freine l'adoption du Cloud dans le monde financier connaissant la concentration géographique des acteurs leaders sur le marché aujourd'hui.

Sur un niveau purement technique, la scalabilité et la flexibilité sont les deux avantages majeurs du Cloud

A lire également :
Cloud Computing : Un must-have pour les banques marocaines
Open Banking : Le monopole de la data échappe aux banques