C’est un enjeu fort pour les banques, aussi bien pour des raisons réglementaires que de suivi stratégique et opérationnel. Les nouvelles technologies ont un coût majeur. Voici des réflexions de process pour faire en sorte qu’elles apportent en efficacité.
L’utilisation des nouvelles technologies de la donnée est au cœur de la transformation des établissements financiers. Leurs usages par les banques n’en sont plus au stade de la seule réflexion mais sont d’ores et déjà inscrits dans des développements en cours, des analyses sur la meilleure manière de les utiliser, à quelle échelle pertinente, ou encore dans quel environnement réglementaire travailler.
La donnée : nouvelle « donne » pour les banques
La donnée (la data) prend une importance croissante au sein des banques. Elle n’est plus seulement un sujet pour les DSI des groupes mais s’est vue propulser au rang d’objet stratégique pour les dirigeants. Les grandes banques françaises se sont organisées ces dernières années en structurant des directions de gestion des données (Data office) ou des directions spécialisées dans la consommation des données regroupant par exemple des équipes de Data Analyts, de Data Scientists en leur adjoignant depuis peu des Ingénieurs Data, des designers UX pour donner un accès démocratisé à l’information ou à la connaissance issues des usages des données.
Ainsi les usages de la donnée par les banques se sont multipliés, notamment dans deux domaines principaux :
– l’optimisation de la performance commerciale : amélioration des actions de marketing, détection plus fine des besoins des clients, meilleure connaissance des opérations des clients dans un contexte de plus en plus digital, etc.
– l’amélioration des dispositifs de gestion des risques : automatisation des process / reporting, détection des abus de marché, optimisation des dispositifs de LCB-FT, détection des fraudes, amélioration des processus crédit, automatisation des dispositifs KYC, etc.
Mais, si l’utilisation des nouvelles technologies de la donnée ouvre des larges perspectives pour les établissements bancaires, elle pose cependant des défis opérationnels et réglementaires importants et structurants pour la stratégie des établissements.
Les défis opérationnels et réglementaires à relever dans l’utilisation des nouvelles technologies de la donnée
S’agissant des défis opérationnels, si la quasi-totalité des grands établissements ont lancé des projets autour de l’utilisation des données via ces nouvelles technologies, de nombreuses banques sont encore en train de structurer leurs efforts pour passer d’un mode de fonctionnement via des projets ponctuels/PoC à un fonctionnement à l’échelle d’un groupe. Ce passage vers l’industrialisation, qui ne peut se faire ni rapidement ni facilement, nécessite un travail de conduite du changement important, et des prises de décisions stratégiques au niveau de la direction (ex : stratégie de migration ou non vers le cloud, refonte/modernisation en parallèle des systèmes d’information, promotion d’approches orientées données (data driven) au sein de l’organisation, structuration d’équipes Data transverses, etc.)
Concernant les défis réglementaires, les nuages s’accumulent à l’horizon : si les régulateurs et superviseurs poussent au niveau mondial pour une utilisation croissante des nouvelles technologies de la donnée, qui seraient de nature à améliorer les dispositifs réglementaires des établissements (ex : moindre risque d’erreur, diminution du risque opérationnel, accroissement de l’efficacité de détection des fraudes, etc.), la pression réglementaire pesant sur l’utilisation de ces technologies est également croissante. À titre d’exemple, on pourra citer quelques initiatives réglementaires structurantes pour les mois et années à venir : Digital Operational Resilience Act, package réglementaire européen encadrant l’utilisation de l’intelligence artificielle avec une définition finalement assez large de l’intelligence artificielle, demandes en matière d’explicabilité des algorithmes d’intelligence artificielle, etc.
L’enjeu pour les banques est de transformer progressivement ces « contraintes » réglementaires en avantages compétitifs, à l’image des démarches réalisées en matière de réglementation financière traditionnelle.
Le cas particulier de l’utilisation des données pour la gestion des risques
Comment l’utilisation croissante des nouvelles technologies de la donnée peut être de nature à améliorer les dispositifs existants de gestion des risques ?
Les banques sont plus que jamais confrontées à la diversification du type de données étudiées, à l’augmentation du volume de données stockées et à la multiplication des moyens d’exploiter ces données, de les diffuser et de les valoriser. Nous assistons à l’émergence d’un écosystème complexe, qui nécessite la définition d’objectifs clairs et des prises de décision de la part des dirigeants sur les stratégies technologie et data les plus adaptées. Quel que soit le cas d’usage considéré, la formalisation d’un jeu de données exploitable et adapté à la gestion des risques est une étape critique qui nécessite des approches adaptées sur les plans opérationnels, techniques et réglementaires.
Du point de vue opérationnel, pour formaliser un jeu de données, quelques étapes clés sont essentielles pour apporter une amélioration effective aux dispositifs de gestion des risques déjà existants. Elles s’articulent autour de questions clé auxquelles il convient d’apporter des réponses :
• De quelle donnée a-t-on besoin ?
Indépendamment de l’ambition du projet, cette question doit trouver une réponse dès le démarrage des travaux. Elle peut s’appuyer sur une analyse de l’existant, sur les déficiences identifiées et les objectifs d’amélioration en termes d’identification et/ou de prédiction des risques. On ne doit pas confondre à cet effet l’information recherchée et les données nécessaires pour en tirer de l’information.
• Quelle donnée est disponible ?
Il est également important d’identifier les sources d’information à disposition. L’utilisation de données non structurées telles que les documents, images ou vidéos, par exemple, a été ces dernières années un axe d’innovation important.
• Quelle information pourrait être utile ?
Par sa nature, la gestion des risques repose sur l’accès à l’information, et l’innovation dans ce domaine passe souvent par la mise en exergue et l’exploitation de données utiles laissées de côté ou peu valorisées jusqu’alors. Il ne s’agit pas seulement d’aller chercher de l’information nouvelle, mais parfois de s’appuyer sur des variables complexes, corrélées à une donnée à laquelle il est impossible d’accéder directement. Il ne faut pas non plus négliger la construction de nouveaux indicateurs simples, mais à forte valeur ajoutée via par exemple la constitution de tableaux de bord automatisés.
Appliqué aux dispositifs de gestion des risques, le traitement de ces questions permet d’orienter les travaux, de fixer des objectifs atteignables et de mesurer la faisabilité de l’optimisation d’un dispositif mieux informé par la donnée.
Sur le plan technique, la consolidation du jeu de données est soumise au respect des normes de sécurité, mais aussi à la capacité opérationnelle de la banque et aux choix technologiques qu’elle opère. Il est notamment question de considérer la multiplicité des sources (ex : open data, fournisseurs de données, données client, données internes, logs, réseaux sociaux professionnels, plateformes internes, etc.) qui peut devenir un obstacle. Se donner les moyens de surmonter ces défis est une condition nécessaire du succès d’un projet.
La prise en compte des contraintes liées à la réglementation de la protection des données (ex : GDPR, exigences CNIL) est un autre enjeu majeur, y compris lors de la constitution des jeux de données. Les connaissances en la matière et la bonne maîtrise des solutions techniques associées sont indispensables.
Libérer l’exploitation des données pour véritablement transformer la gestion des risques
Ces considérations faites, se pose la question de l’exploitation des données au service de la gestion des risques, qui est trop souvent résumée à l’introduction d’un modèle traditionnel, ou d’un modèle prédictif, de Machine Learning, alors que la valorisation de la donnée devrait pouvoir s’appréhender de manière fluide et agile. Un jeu de données n’a pas qu’un seul cas d’usage et un simple tableau de bord peut apporter une valeur ajoutée significative si la donnée en question était initialement peu ou mal exploitée. Limiter un jeu de données à un unique cas d’usage est une source fréquente de silotage et de perte d’efficacité opérationnelle.
La valorisation de la donnée et la rediffusion de celle-ci après enrichissement, passe par un ensemble de méthodes allant des modélisations statistiques et des tableaux de bord à des plateformes cognitives complexes incorporant des sorties d’algorithmes de Deep Learning. Pour optimiser l’exploitation des données, la tendance actuelle est de réunir l’ensemble des sources de données dans des architectures unifiées et adaptables qui intègrent directement les services et outils nécessaires pour la mise à disposition de données enrichies et prêtes à l’exploitation. On retrouve, dans cette logique, l’approche Data Fabric, dont l’adoption connaît actuellement une forte accélération.
Les cas d’usage potentiels en termes de gestion des risques sont nombreux et pour beaucoup, les travaux ne font que commencer (cf. encadré n° 1) : gestion du risque non-conformité réglementaire, optimisation des dispositifs de détection LBC-FT, amélioration du risque crédit, prise en compte des risques ESG, détection du risque de fraude, etc.
Les défis technologiques associés à la gestion des risques prennent leurs sources dans la diversité des façons d’exploiter et diffuser des donnés souvent sensibles, en lien avec de nombreux enjeux de sécurité et de confidentialité cristallisés par l’arrivée du cloud dans les systèmes informatiques bancaires. L’exploitation d’un jeu de données risque peut prendre différentes formes, dont la sélection aura un impact majeur sur la complexité d’implémentation et la plus-value potentielle in fine.
Parmi les valorisations de données les plus accessibles applicables aux dispositifs de gestion des risques, on peut citer les modèles statistiques ou même sur la conception de nouvelles règles classiques (approche rule based) qui s’intègrent facilement dans l’infrastructure informatique traditionnelle tout en bénéficiant des pratiques récentes d’optimisation permises par une meilleure exploitation des jeux de données.
Par ailleurs, l’écosystème croissant d’applications permettant de construire et de partager facilement des tableaux de bord est une autre exploitation relativement accessible qui peut générer une forte valeur ajoutée en termes de gestion des risques. À titre d’exemple, on peut citer le cas d’un grand établissement français ayant développé un tableau de bord consolidé au niveau Groupe permettant aux dirigeants de suivre le niveau de conformité sur la base d’indicateurs automatisés et comparables dans le temps.
Pour aller plus loin, des plateformes de développement d’apps s’appuyant sur les technologies de développement Low Code permettent d’exploiter des données plus directement et d’automatiser les tâches récurrentes de la gestion des risques (ex : déclenchement d’alertes, communications automatiques, collecte et partage de nouvelles données, classifications automatiques, etc.). Les plateformes analytiques ou de Machine Learning permettent, quant à elles, de mettre à profit des méthodes d’inférence statistique sans avoir à développer du code.
Enfin, en acceptant les difficultés de passage en production, il est envisageable de s’appuyer sur la puissance de calcul cloud en développant des algorithmes de Machine Learning ou de Deep Learning et en tirant profit d’une logique AIOps ou MLOps et de pipelines CI/CD (cf. encadré), qui fluidifient l’amélioration continue des solutions. Celles-ci peuvent notamment prendre la forme de plateformes web sur-mesure permettant par exemple à une direction des risques de consulter et d’interagir directement avec des jeux de données non structurés tels que des images, des enregistrements, des textes, etc.
Le passage en production des outils et modèles de gestion des risques peut être un défi conséquent, en particulier pour des plateformes sur-mesure pouvant entrer en conflit avec les politiques de sécurité informatique des banques. Il est en général indispensable de considérer, en amont, la sécurité des solutions retenues, leurs coûts, leur bonne homologation par la banque et leur pérennité en cohérence avec la stratégie data long terme de l’établissement.
La transformation de la gestion des risques ne vient que de commencer
L’utilisation des nouvelles technologies de la donnée pour la gestion des risques est une opportunité extrêmement importante pour les établissements bancaires, à la fois au niveau stratégique et opérationnel. Il s’agit d’un puissant facteur d’optimisation des dispositifs réglementaires existants, et plus largement d’amélioration de l’efficacité opérationnelle. Le recours aux meilleures technologies d’exploitation des données peut également constituer une réponse à la multiplication des demandes des régulateurs et superviseurs financiers (nouveaux reportings portant sur des champs d’application toujours plus larges, nouveaux sujets tel que les risques ESG à couvrir et posant des défis conséquents en matière d’accès aux données, etc.). Tout l’enjeu pour les banques est de tirer profit de ces nouvelles technologies, forcément coûteuses et complexes à mettre en œuvre, mais potentiellement sources d’efficacité pour les dispositifs de gestion des risques des banques.