Emmanuel Sardet (Crédit Agricole) : « notre IT accompagne notre modèle de Banque Universelle »

Pouvez-vous nous présenter le groupe Crédit Agricole ?

Avec plus de 53 millions de clients et 145 000 collaboratrices et collaborateurs, le Crédit Agricole est le premier financeur de l’économie française, la première banque de proximité en Europe et la dixième banque au monde par le bilan. Son identité coopérative et mutualiste est ancrée avec les 39 Caisses régionales, qui sont également l’actionnaire majoritaire de Crédit Agricole S.A. (CASA), la structure cotée, qui regroupe une grande diversité d’entreprises, couvrant les métiers des services financiers mais également de l’immobilier, de la protection, de la transition énergétique ou bien de la santé.

On y trouve des métiers centrés sur leurs territoires, en France et en Europe, comme les banques de proximité (LCL, CA Italia, BforBank…), la banque privée (CAIW), le crédit et le leasing (CACF et CALF), l’assurance (CAA) ou les paiements (CAPS), mais également des métiers à l’échelle mondiale comme la banque d’investissement (CACIB), la gestion d’actifs (Amundi) et les services associés (CACEIS). Les métiers non financiers viennent naturellement compléter l’offre pour accompagner tous nos clients, particuliers, professionnels, entreprises et institutionnels dans leurs besoins du quotidien, et répondre ainsi aux grandes transitions environnementale et sociétale.

Présent dans 46 pays, avec 75 % de ses effectifs en France, le groupe a réalisé un peu plus de 35 milliards de produit net bancaire en 2023. Il revendique la responsabilité humaine au cœur de son modèle : il s’engage à faire bénéficier tous ses clients des meilleures pratiques technologiques, tout en leur garantissant l’accès à des équipes d’hommes et de femmes, compétents, disponibles en proximité, et responsables de l’ensemble de la relation

Comment est organisé le numérique du groupe ?

En premier lieu, il faut garder en tête que notre Groupe est fondamentalement décentralisé, et donc que les entreprises du Groupe sont responsables de leur innovation, investissement et développement dans le numérique. Jean-Paul Mazoyer, en tant de Directeur général adjoint au sein de Crédit Agricole SA, en charge des Technologies, du Digital et des Paiements a un rôle central au sein du Groupe.

Il coiffe BforBank, les Paiements, La Fabrique (incubateur de start-ups internes, à ne pas confondre avec les Villages by CA qui sont des incubateurs au sein d’entités du Groupe telles les caisses régionales), l’entreprise technologique et de production informatique Groupe (CAGIP), les activités du Chief Digital Officer Groupe (Eric Caen), ainsi que les miennes à l’IT Groupe.

Eric Caen et moi-même couvrons un large spectre d’activités : data, IA, architectures d’entreprise, numérique responsable, compétences etc., et, bien évidemment, les activités normatives, de cybersécurité et de risques IT.

Mais, dans les banques, CIO/CTO et CISO ne doivent-ils pas être sur des lignes hiérarchiques différentes ?

La direction de Cybersécurité et Risques IT constitue un point centralisateur de la première ligne de défense au sein du Groupe et comprend ses propres capacités opérationnelles (CERT, Red Team…) : elle m’est rattachée en ce sens.

Par contre, en effet, la Direction des Risques, qui contrôle et constitue une deuxième ligne de défense, ainsi que l’Inspection Générale qui audite et constitue la troisième ligne de défense, sont totalement séparées, sur des lignes hiérarchiques totalement distinctes jusqu’au ComEx.

Quels sont vos grands choix en matière d’IT ?

Notre IT représente un budget d’environ cinq milliards d’euros dont 1,5 en infrastructures et technologie (1,3 pour CAGIP). Les applications représentent le solde, soit 3,5 milliards. Ces dernières sont réparties entre les entités métiers. Nous n’avons pas, à proprement parler, de direction groupe des développements SI : chacun est maître de ses développements informatiques.

Sur les 20 000 informaticiens travaillant dans le groupe, 11 000 sont des internes : la proportion de salariés est beaucoup plus élevée dans certaines informatiques que dans d’autres, mais, généralement, nous cherchons aujourd’hui à renforcer la maîtrise interne de nos SI.

Les plates-formes du groupe sont tenues par CAGIP. Cette entité est notamment en charge du « socle de confiance » (datacenters, réseaux, cybersécurité…). Notre groupe étant pluriel et international, ce socle nous permet d’assurer l’essentiel pour les communications.

Il y a ensuite quatre grandes plates-formes. En premier lieu, nous avons le collaboratif et la bureautique : 150 000 utilisateurs de Microsoft Office 365 dans un tenant spécifique au groupe et une plate-forme d’infrastructure industrielle.

La plate-forme Mainframe reste très présente chez nous, regroupant de nombreux systèmes de gestion. Cela représente environ 240 000 mips. La plate-forme s’est considérablement rationalisée et modernisée, avec un passage de 12 à 4 mainframes et l’introduction d’outils plus modernes pour les développeurs et les exploitants. La priorité est à la réarchitecturation des patrimoines SI, qui reste clé pour l’ensemble de la digitalisation, l’agilisation et la maîtrise des coûts.

Notre plate-forme « cloud native » est notre capacité de cloud hybride, nativement conteneurisée et orchestrée. Elle comprend des capacités internes (y compris des datacenters tiers IV en propre), comme celle supportant l’application mobile des caisses régionales, mais aussi des capacités de différents clouds publics, maîtrisées au sein de landing zones qui nous sont propres.

Enfin, quatrième plate-forme, nous avons une plate-forme « cloud ready ». C’est un environnement virtualisé et automatisé mais pas nativement scalable ou orchestré.

Ces grands choix, incluant également l’ensemble des cadres et pratiques normatives pour innover et faire évoluer tous nos SI, doivent répondre à l’ambition de Banque Universelle du Groupe, où nos entités métiers peuvent être à la fois des « producteurs » de produits et services, financiers et non financiers, et « distributeurs » des produits et services, en propre ou bien d’autres entités, en prise avec leurs clients, selon des modèles parfois sophistiqués de B2C, B2B et B2B2C, au sein d’un territoire comme de plusieurs pays.

La crise sanitaire Covid-19 a forcé la bascule vers le télétravail, ce qui n’a pas toujours été simple, notamment dans les banques. Quelles leçons tirez-vous de cette crise ?

J’ai rejoint le Crédit Agricole comme Directeur général de la nouvelle entreprise technologique constituée (CAGIP). Forte d’environ 4500 collaborateurs et prestataires, elle a posé sa première organisation le 1^er janvier 2020. Nous avons eu alors pratiquement deux années de tunnel : certains managers n’ont rencontré leurs équipes que dix-huit mois après leur prise de poste. Cette période a été contrastée : elle a à la fois soudé les femmes et les hommes de l’entreprise dans le contexte humain exigeant et difficile, où il a fallu faire preuve d’un surcroit d’engagement et d’effort au service de la qualité opérationnelle et des capacités de télétravail de tous au sein du Groupe, et elle a aussi permis de voir certains sujets liés au numérique se généraliser, concomitamment à la transition sociétale de fond.

Nous avons eu un peu de chance car nous étions déjà embarqués dans un investissement technologique pour mettre à l’échelle notre capacité de télétravail. Les SI bancaires ne sont pas forcément les plus adaptés, notamment du fait du niveau de sécurité et de conformité à maintenir pour les processus opérationnels. Toutes les entités ont redoublé d’efforts et nos avons atteints des capacités de 90 000 utilisateurs concomitants sur nos SI.

Le Groupe avait déjà une culture de la collaboration, du fait de la décentralisation de nos organisations, mais l’adoption à large échelle des outils de visioconférence et de services collaboratifs a transformé complètement les habitudes de chacune et chacun au travail. Nous avons également fait un bond de maturité dans la maîtrise de nos risques quant à ces nouveaux outils, et à l’adaptation de nos processus métiers pour ces nouvelles technologies. Il y a eu de nouvelles attentes tant côté des collaborateurs que côté de nos clients.

Après la crise, nous avons eu un certain retour en arrière dans notre efficacité collaborative. On en était arrivé, par l’habitude, à avoir des visio-conférences avec des voisins de bureau… Il faut également se rendre compte que la volonté de télétravail des salariés est quelque chose de très parisien. Passer une à deux heures dans les transports, cela n’est pas comparable à un bureau situé à moins de quinze minutes de chez soi. En province, les collaborateurs préfèrent souvent rejoindre leurs bureaux avec leurs collègues et ne sont pas toujours intéressés par beaucoup de télétravail. Sur ce sujet comme sur bien d’autres, nous restons très pragmatiques.

Comment la problématique des talents IT est-elle traitée dans une structure qui fait encore beaucoup de Cobol ?

Ce n’est pas un problème nouveau. Mais je pense qu’il ne s’agit pas d’attirer les talents mais bien de créer les compétences. Si l’on veut seulement attirer les talents, c’est que l’on considère que ses collaborateurs actuels sont médiocres et qu’on veut les remplacer ! Au Crédit Agricole, nos collaborateurs ont plutôt une carrière longue. Nous développons les compétences internes tout en recrutant pour enrichir nos viviers de compétences.

Alors, oui, il y a des tensions sur certains métiers. Mais s’il s’agit de « chasser », il faut aussi, simplement, former. Il faut faire en sorte que les jeunes, et notamment les jeunes filles, se rêvent dans l’IT. Le Crédit Agricole a donc une politique d’accueil massif de jeunes en stages, y compris les stages d’observation de troisième.

Enfin, nous pouvons proposer un emploi IT beaucoup de bassins d’emplois en région. Et ça joue évidemment pour séduire les talents. Tout le monde ne rêve pas d’une carrière à Paris.

Cette orientation semble faire sens car notre taux de départ est faible et nos collaborateurs très engagés.

Quels sont vos grands défis actuels ?

Par construction, nous avons, dans le groupe, des entreprises disposant de leur propre résultat sur leur métier, d’entreprises qui créent des produits, d’autres qui les distribuent… Les différentes entités du Crédit Agricole sont très indépendantes mais aussi très dépendantes les unes des autres. Nous avons donc besoin d’une très forte interopérabilité mais aussi d’une cybersécurité commune. Dans nos apps, nos clients peuvent passer dans plusieurs activités du groupe (banque, assurances…) en toute transparence.

Comme nous créons régulièrement des activités, notre IT est toujours plus sophistiquée mais doit demeurer interopérable, sécurisée et à coûts maîtrisés.

L’environnement réglementaire est lui aussi plus complexe et la conformité est un défi pour nos SI et nos technologies. Il n’y a pas moins de 27 corpus réglementaires qui cadrent un service digital bancaire aujourd’hui ! Certains sont propres à la banque (la résilience des services numériques avec DORA…), d’autres relèvent de sujets liés à la bonne concurrence (DMA…), à la protection du « citoyen consommateur » (AI Act, Data Act…) ou à la sécurité et la souveraineté (NIS2…).

Bien sûr, nous devons nous adapter aux évolutions technologiques qui s’accélèrent. Auparavant, si on se trompaient sur un choix de serveur, il suffisait de changer de fournisseur… et les grands éditeurs de logiciel tenaient des cycles d’évolution plutôt prudents. Aujourd’hui, les adoptions des produits et services au travers du cloud demandent une plus grande maîtrise : les réversibilités resteront encore longtemps compliquées et coûteuses et les écosystèmes de fournisseurs technologiques et logiciels intègrent plus fréquemment et massivement des innovations. Cela constitue un marché structurellement inflationniste, porteur de grande valeur comme de risques significatifs. On ne peut pas, par exemple, consommer des services d’IA générative dans le cloud public sans maîtriser les produits et services technologiques du fournisseur ciblé, notamment pour gérer de bout en bout les données, leur sécurité et leur conformité.

Et vos défis à venir ?

En premier lieu, tout ce qui concerne l’intelligence artificielle. L’IA constitue un nouveau monde à absorber qui a un fort impact autant sur les métiers que sur les équipes. Techniquement, l’IA n’est pas une nouveauté mais sa généralisation, son adoption à l’échelle, touche fortement les produits créés, le fonctionnement des équipes, etc. C’est aussi impactant que le Cloud par exemple.

Ensuite, il va nous falloir amener l’informatique dans une logique d’écosystème en dépassant la dichotomie traditionnelle interne/externe. Il est rare, aujourd’hui, qu’un système informatique soit isolé.

Nous devons également faire évoluer beaucoup de choses dans un contexte de plus en plus contraint (géopolitiquement et réglementairement).

Enfin, il faut recommencer à parler du concept même de progrès. La disruption technologique n’est pas nécessairement entièrement positive. Nous l’avons vu avec les réseaux sociaux. Il convient que l’on s’arme d’expériences, de cadres normatifs et de compétences pour en tirer les bénéfices, en responsabilité.