Lionel Chaîne (Bpifrance) : « pour nous, l’agilité est une obligation »

Pouvez-vous nous présenter la banque publique d’investissement Bpifrance ?

Notre métier, c’est aider les entrepreneurs pour qu’ils puissent développer leurs entreprises. Nous intervenons sur des entreprises de toutes les tailles, de la start-up au CAC40.

Bien sûr, en tant que banque, nous intervenons sur le financement, y compris en capital, soit directement, soit en garantie pour les autres banques. Bpifrance est présent au capital d’entreprises comme Essilor-Luxotica ou Stellantis mais aussi de bien plus petites.

Mais nous accompagnons aussi réellement les entreprises, par exemple en formation ou en audit/conseil, y compris sur la cybersécurité ou la transition énergétique. Nous sommes aujourd’hui le plus gros organisateur de formations et de prestations d’accompagnement même si, opérationnellement, nous nous appuyons sur des partenaires (par exemple le programme Executives de HEC). Sur Vivatech, nous avons annoncé le lancement du Pack Cyber, basée sur l’offre de cybersécurité de Docaposte, adaptée aux TPE, PME et ETI, simple et accessible. Pour un prestataire spécialisé, qui doit rentabiliser son action commerciale, les TPE constituent un marché compliqué. Pour nous, c’est un coût marginal dans une prestation globale.

Accompagner, cela peut aussi inclure le diagnostic, y compris le cyber-diagnostic pour que les entreprises mettent en œuvre un plan d’action pour gagner en maturité en cybersécurité. Nous aidons aussi les entreprises à l’export selon la logique « on chasse mieux en meute ». Cette aide à l’export passe aussi par du financement ou de la garantie (assurances-export, crédit-export…).

Bpifrance aide à l’innovation en opérant des programmes pour le compte de l’État. Ces programmes reposent sur des appels à projets avec du financement (France Relance, France 2030…). Par exemple, nous avons lancé un appel à projets sur les réacteurs nucléaires de petites tailles (les SMR). En général, ce sont des consortiums qui se constituent pour porter des réponses aux appels à projets. Toujours sur le chapitre innovation, nous investissons en fonds propres sur des entreprises innovantes, par exemple, en informatique quantique, sur Alice & Bob, Qandela et Pasqal. Au premier trimestre 2024, nous avons été le fonds qui a réalisé le plus grand nombre d’opérations d’investissements dans le monde.

Enfin, nous organisons plus de 400 événements par an, notamment Big à l’Accor Arena (Bercy - POPB), pour aider les entrepreneurs à ne pas rester seuls.

En tout, Bpifrance a 26 métiers ! ,

Nous gérons le risque en nous appuyant sur de la data, bien sûr, mais aussi de l’humain. Nous sommes une fintech avec un réseau physique présent sur l’ensemble du territoire national, y compris outre-mer. Cela implique que nos outils IT doivent être disponibles 24/7 : quand le soleil se couche sur une collectivité d’outre-mer, il peut se lever ailleurs.

Comment sont organisées l’IT et la Data de Bpifrance ?

En tant que DSI, je suis membre du Comité Management Groupe et je travaille plus spécialement avec Arnaud Cadoux, directeur général adjoint. Le RSSI et le Chief Data Officer me sont rattachés. Même si le RSSI jouit d’une certaine autonomie, nous sommes très orientés action et les forces vives nécessaires à la cybersécurité sont dans la DSI. La DSI est, d’une manière générale, responsable du service fourni aux collaborateurs, notamment de l’employee experience.

Bpifrance possède une Banque en Ligne (BEL) qui est sous la responsabilité du Chief Digital Officer, Matthieu Heslouin, également membre du Comité Management Groupe. Il est responsable de l’expérience client pour les entrepreneurs qui ont recours en ligne à nos solutions. Cette BEL est la plus grosse FinTech d’Europe. Les prêts pour la création d’entreprise et les prêts flash sont traités intégralement de manière digitale. Bien sûr, la plateforme technique de la BEL est opérée par la DSI.

Quels sont vos grands choix d’architecture ? Le multicloud hybride est-il toujours d’actualité ?

Tout à fait. Nous associons du on premise (pour l’instant avec VMware) et des clouds publics sans oublier des SaaS. L’ERP Finances est un SaaS, Oracle ERP Cloud. Nous avons quelques instances Salesforce et beaucoup de Microsoft Dynamics. En considérant l’ensemble cloud IaaS, PaaS et SaaS, je pense que nous avons à peu près tous les grands acteurs du marché.

Hors SaaS et le pur on premise (j’y reviens), tout notre SI est full Kubernetes. Nous pouvons donc déplacer les applications et les datas entre hébergements selon les pics de charge, le changement de sensibilité des données, etc. en nous appuyant sur une infrastructure as code. Aujourd’hui, il nous reste encore 20 % en bare-metal on premise mais, à terme, cette partie devrait suivre le mouvement.

Nous avons 230 équipes en full DevSecOps et tout le développement suit la méthodologie SAFe. Entre 2021 et 2022, nous avons doublé le nombre de mises en production. Entre 2022 et 2023, nous avons encore progressé de 130 % sur ce sujet. Au premier trimestre 2024, nous avons déjà quadruplé le chiffre du premier trimestre 2023. Plus vous déployez régulièrement et vite, plus la qualité augmente. Entre 2021 et 2023, à périmètre constant, le nombre d’incidents en production a été divisé par deux. Nous arrivons à une phase de maturité avec des déploiements hebdomadaires, chaque équipe déployant ses propres mises-à-jour. Pour nous, l’agilité est une obligation.

En nous appuyant sur ces choix techniques fondamentaux, nous préparons notre PRA 2.0 pour garantir notre conformité DORA. Nous visons une capacité à redéployer from scratch tout notre SI en moins d’une semaine.

L’informatique coeur de métier repose sur du développement interne à l’inverse de l’informatique tactique qui est en général du SaaS. En tout, nous avons à peu près 600 applicatifs dont environ un quart en SaaS mais avec une intégration avancée (SSO, etc.). Pour faciliter le découplage de composants, nous utilisons beaucoup de flux de données asynchrones. Nous cherchons toujours à ce que la data soit nativement de qualité afin de faciliter les traitements au fil du SI. Que le travail soit bien fait dès le départ fait gagner un temps considérable. C’est beaucoup plus simple de travailler ainsi. Nous suivons, à ce niveau, la norme BCBS 239 de la BCE.

Pour accroître la qualité native de la data, nous avons mis au point une méthode. Vous connaissez, bien sûr, la fresque du climat. Sur ce modèle, nous avons créé la fresque de la donnée.

Aujourd’hui, nous avons 67 socles techniques que nous opérons pour l’ensemble des métiers. L’époque de la consolidation OSEO, ANVAR, etc. est révolue. Par exemple, nous sommes passés de 17 GED à une seule.

Lors de votre prise de fonction, l’un des enjeux en matière de ressources humaines était un rééquilibrage entre salariés internes et consultants. Avez-vous réussi ?

Nous recrutons beaucoup ! Aujourd’hui, nous avons 300 collaborateurs internes au sein de la DSI, ce qui représente un doublement par rapport à mon arrivée. Mais nous sommes toujours sur un ratio 20/80 entre internes et prestataires. Nous avons de gros pics d’activités et des nouveaux métiers qui arrivent. Nous commençons à voir les premiers bénéfices du recours à l’automatisation, à l’IA, etc. et nous constatons une inflexion. A terme, notre objectif est le 50/50.

Bpifrance a une activité souvent contre-cyclique, un bon exemple ayant été l’explosion de nos prestations durant la crise sanitaire Covid-19.

Vous avez beaucoup parlé de data. L’IA est-elle aussi un sujet ?

Pour nous, l’IA n’est pas une mode mais bien une révolution qui change autant nos métiers que notre manière de faire de l’IT. Il y a quatre sortes d’IA.

D’abord, l’IA sauvage. Avec ChatGPT, les utilisateurs se sont emparés de l’IAG pour les aider dans leur quotidien. Comme beaucoup d’entreprises, afin de garantir la confidentialité de nos données, nous avons créé un proxy-LLM qui permet d’utiliser plusieurs LLM avec notre IAG interne, Alfred.

Ensuite, il y a l’IA embarquée de plus en plus dans tous les SaaS que nous utilisons. Celle-ci permet aux utilisateurs d’augmenter leur productivité.

Nous aidons aussi nos utilisateurs en industrialisant des processus au niveau de l’analyse de documents afin d’accélérer la prise de décision. Il s’agit d’extraire les réponses nécessaires en s’appuyant sur du RAG (Génération Augmentée de Récupération). D’ici fin 2024, nous aurons au moins six cas d’usage (les premiers seront bientôt déployés).

Enfin, nous commençons à travailler sur de l’IAG microtunée avec nos données et intégrée à nos propres applications. Pour apprendre aux collaborateurs à prompter correctement mais aussi à connaître les limites (hallucinations…) comme les bonnes pratiques de l’IAG, nous avons réalisé des webinaires. Il s’agit que chacun comprenne bien que nul n’est remplacé par l’IA/IAG mais que cela peut faciliter et simplifier le travail quotidien.

Comment gérez-vous exactement votre conformité DORA ?

Il s’agit surtout, pour nous, de la création de notre PRA v2 dont je parlais tout à l’heure. Son objectif est donc une reconstruction en moins d’une semaine de la totalité de notre SI, y compris les données, from scratch. Nous savons tout réinstaller en « as code » : applications, infrastructures, data… Tout ce dont nous avons besoin, c’est d’un fournisseur d’infrastructure à la hauteur de nos besoins. Nous sommes actuellement en train de réaliser nos tests.

Quels sont, au-delà, vos grands projets ?

Nous en avons un grand nombre ! Le plus important est la transformation au long cours de notre core-banking en développement interne afin qu’il réponde à nos exigences en scalabilité, résilience, etc. et pour faire face aux nouveaux modes d’intervention de Bpifrance. C’est un gros enjeu pour nous.

Parmi ces nouvelles interventions, il y a le financement court terme. Il faut savoir qu’une entreprise peut mourir en étant en bonne santé ! Dans un secteur en forte croissance, par exemple l’aéronautique, une entreprise peut avoir un carnet de commandes plein mais manquer de trésorerie pour payer les salaires à la fin du mois. Nous pouvons ouvrir des lignes de crédit gagées sur les factures, ce qui suppose un outil pour traiter ces financements.

Quels sont vos défis ?

Déjà, bien sûr, je n’aurai aucune originalité en vous parlant de la cybersécurité.

D’autre part, le pilotage des investissements doit se faire de plus en plus guidé par les données. Il s’agit d’aider les investisseurs à prendre leurs décisions plus rapidement.

Bpifrance veut également être « la banque du climat », c’est à dire faciliter la transition énergétique. Nous proposons donc aux entreprises clientes de calculer leur Indice de Maturité Climat à partir de leur impact environnemental, de l’appréhension des enjeux, de leur position dans un benchmark sectoriel d’entreprises similaires… Un livreur de fioul avec des camions diesel peut être aujourd’hui en bonne santé mais il est dans la position du maréchal-ferrant à l’arrivée de la Ford T : il va falloir qu’il s’adapte ou l’entreprise disparaîtra.

Pour analyser les risques impactant les entreprises que nous accompagnons, les données extra-financières prennent de plus en plus le pas sur les données financières. C’est évidemment un gros défi pour nous. Il y a trois grands risques sur lesquels une entreprise « en bonne santé » peut mourir : le risque de trésorerie (carnet de commandes plein mais plus de cash pour payer les salaires…), le risque RSE (absence de prise en compte de la transition écologique…) et, évidemment, le risque cybersécurité (arrêt de l’entreprise après une cyber-attaque). Les données concernant ces points doivent donc intégrer nos modèles de risques. C’est à la fois essentiel et un très gros défi.