NIS2, DSP3, FIDA, DORA, Instant Payments, souveraineté : les banques doivent évoluer dans un contexte réglementaire toujours plus complexe, contraintes dans le même temps par la nécessité d’améliorer leurs services et de toujours mieux répondre aux besoins de leurs clients. Comment les entreprises peuvent-elles donc continuer d’innover malgré le poids de ces contraintes réglementaires ?
Lors d’une présentation que j’ai eu le plaisir de partager au congrès Cap IT avec deux représentants du Groupe BPCE – Vincent Mouden, Product Manager et Thierry Cutivet, Global Architect SI – nous avons discuté des stratégies que met en place ce grand groupe bancaire français à l’aide d’une marketplace de services digitaux.
Voici quelques points-clés de notre discussion.
BPCE et sa stratégie API
BPCE est un groupe coopératif de banque universelle et d’assurance exerçant deux grands métiers : la banque de proximité et assurance en France (avec notamment les deux grands réseaux Banque Populaire et Caisse d’Epargne) et les métiers au niveau mondial, dont ceux de gestion d’actifs et de fortune avec Natixis Investment Managers, ou de banque de grande clientèle avec Natixis Corporate & Investment Banking.
Au cœur de leur stratégie de digitalisation : une croissance du trafic tirée par les services de banque à distance, mais aussi par l’ouverture à des consommateurs et producteurs groupe et hors groupe (APIsation). Axway a soutenu cette ouverture grâce à sa solution Amplify API Management, pour une interface universelle et unifiée.
Quelques chiffres permettent de donner une idée de l’amplitude qu’ont pris les API au sein de l’entreprise :
- 2 milliards de requêtes traitées en janvier 2024
- 400 API (producteurs) en production
- 810 applications consommatrices en production.
De plus, l’équipe IT de BPCE se félicite d’un taux de disponibilité de 99,9% en 2023, soutenu par la solution Axway. Dans l’interview suivante, Vincent Mouden partage le parcours numérique du Groupe des plateformes API aux services numériques.
Si, en 2018, il y avait surtout la volonté de virtualiser le SI et fournir une interface unifiée, BPCE explore désormais une approche plus orientée business, avec une vision Open Banking et Open Finance.
Un contexte réglementaire de plus en plus strict
Les banques européennes ont dû faire évoluer leur stratégie API lors de la mise en place de la DSP2 – avec plus ou moins de succès – mais les contraintes réglementaires ne s’arrêtent pas là. De nouvelles directives telles que DSP3, RSP, FIDA, NIS2 ou encore DORA ont pour effet d’étendre le périmètre de la lutte.
Nous avons traité de ces sujets réglementaires plus en détails dans d’autres articles, tels que DSP3 et open banking : Que peut-on attendre de la nouvelle directive européenne ?
Pour brièvement résumer, la directive DSP3 complète effectivement la DSP2 – accompagnée cette fois d’un règlement, le RSP, qui va encadrer la mise en œuvre de la DSP3 et mettre en place de nouvelles règles pour pouvoir plus facilement faire des échanges au niveau européen.
Voir aussi : FIDA, RGPD, DSP2, DSP3 : les banques doivent accélérer l’ouverture de leurs systèmes d’information
D’après Thierry Cutivet, Global Architect SI, cet ensemble de réglementations imposera une plus grande ouverture, avec par exemple des obligations concrètes de :
- mettre à disposition en continu et temps réel les données au client et aux utilisateurs de données du client ;
- fournir un tableau de bord de gestion des permissions de ses données au client ;
- mettre en place des formats de données à l’utilisateur (PSIF ou autre) de données de même qualité dont le prestataire bénéficie.
Tout ceci, bien évidemment, devra passer par les API.
L’évolution des API vers des produits digitaux
Si la DSP2 a permis effectivement une exposition de services très technique, on parle désormais aujourd’hui d’Open Finance : un univers où les banques et autres acteurs sur le marché finance doivent engager un écosystème de fintechs et autres partenaires.
Pour BPCE comme pour d’autres, il s’agit de passer d’une vision d’une API technique à un « produit digital » qui sera consommés par un écosystème de partenaires.
Cette évolution passe dans un premier temps par un enjeu plutôt technique, explique Vincent Mouden, Product Manager : moderniser les plateformes.
« Pour répondre à ces enjeux de l’Open Finance, il faut répondre à l’ouverture du marché et la consommation de plus en plus importante. »
En tant que producteur d’API, BPCE vise à héberger ses solutions sur leurs propres infrastructures afin de garantir un niveau de QoS et de sécurité API maximum dans un contexte de croissance du nombre d’APIs et de leur volumétrie.
Il y a aussi un désir d’offrir une plateforme plus orientée sur l’expérience du consommateur. « Cela nous permettra d’absorber la croissance, d’adapter nos services aux usagers et de dédier nos comportements aux clients et aux consommateurs, » explique Vincent.
Dans un deuxième temps, leur objectif est de remettre les API dans le monde de leurs structures produit.
Changement de culture et de structure pour des API produits
Concrètement, il a fallu développer une responsabilité des produits, avec la mise en place d’API Owners dans les équipes Produit BPCE SI, ainsi que l’évolution de l’offre avec l’offre APIM-as-a-Service.
On notera que c’est un chemin que prennent beaucoup d’entreprises matures : dans une nouvelle étude Axway, 85% des organisations affirment avoir des responsables produit dédiés à leurs API clés.
« On a nommé des API Owners sur chaque API aujourd’hui, et ils sont responsables de l’évolution de leurs API, de la maîtrise de leurs consommateurs et du suivi de la qualité des services. Ils sont véritablement propriétaires de ces briques-là, et dans un deuxième temps ils travaillent au service de Product Owners qui, eux, agrègent des besoins métiers au niveau de nos structures centrales BPCE et mettent en place des produits. »
Il a fallu aussi, dans cette lancée, inventorier les API et en déterminer la responsabilité. Mais en décentralisant les API de cette manière surgit un nouvel enjeu de conformité et sécurité. Pour y répondre, BPCE a mis en place un projet de référents pour renforcer une nouvelle culture d’API développeur.
« Dans le groupe BPCE, on fait de l’API REST, mais on fait surtout de l’API REST BPCE, » déclare Vincent. « Donc on a beaucoup d’éléments techniques à appréhender et il a fallu qu’on mette en place ces notions de référents qui sont des acteurs transverses au niveau de nos différentes plateformes. Ils agissent un peu les évangélistes actifs sur comment bien consommer, bien produire une API. »
Ils ont également mis en place une notion de chapitres API qui peuvent orchestrer une coopération entre la scène technique et les clients consommateurs.
Si, précédemment, le portail API avait surtout pour objectif de sécuriser les API, il fallait maintenant une solution avec une vision plus orientée métier. Afin de mettre en œuvre cette stratégie et cet accès décentralisé aux API, BPCE utilise donc avec la solution Amplify Enterprise Marketplace.
Créer une expérience développeur plus fluide avec un marketplace
« Dans son premier volet découverte, la Marketplace nous a amené des succès, notamment avec des API Owners qui se sont retrouvés dans ces solutions-là, » dit Vincent.
Amplify Marketplace permet notamment aux développeurs de trouver et d’utiliser facilement des API validées, entièrement documentées, et prêtes pour la production. L’équipe Axway a travaillé avec les équipes BPCE pour faciliter la mise en place des documentations et évoluer notre offre pour répondre aux exigences de clients tels que BPCE.
L’efficacité des projets et la qualité des API sont également essentiels à la réussite de cette stratégie, et BPCE cherche à préserver la vélocité des projets tout en respectant l’urbanisation des SI. Donc, de découpler les consommateurs et producteurs des API.
L’ouverture aux écosystèmes se fait notamment par l’offre ‘Open SI’, qui permet aux privatifs banques et caisses d’accéder aux capacités SI retail MySys et Equinoxe. Avec l’initiative Open API Business, les équipes développent aussi des API pour une quarantaine de partenaires externes, toujours dans une stratégie d’écosystème.
Amplify Marketplace permet ainsi de mieux distribuer ces produits, de les rendre plus attractifs avec par exemple une documentation plus complète et normalisée.
Le schéma suivant donne une idée du processus de découverte, souscription, création, et consommation des API.
Résultat : les API Owners chez BPCE ont un meilleur recul sur les API, et arrivent à s’approprier leur patrimoine, gérer leur documentation, et mettre en œuvre de véritables API produits.
Ils continuent d’expérimenter en allant de l’avant sur la partie consommation et calcul du ROI, avec une vue éventuelle sur la monétisation de ces services (notamment par rapport à la refacturation à l’usage en interne).
Vers la Bank-as-a-Platform comme levier de croissance ?
Toute cette évolution du SI vers des API produit rejoint le mouvement lancé par les institutions européennes pour mener essentiellement à un modèle de Bank-as-a-Platform, où la banque commercialise des API internes et de partenaires à un écosystème de consommateur, une sorte d’Amazon du service financier.
Est-il possible de réaliser cette vision ?
« La promesse était de faire des API un nouveau canal de distribution de notre offre bancaire, » affirme Vincent Mouden. Le schéma suivant permet d’avoir une vue d’ensemble sur la manière dont l’Open Finance modifie la relation entre le groupe BPCE et son écosystème.
Premier exemple d’un projet Open Finance : le projet « Pink Floyd. » Il s’agit d’un partenariat avec Cozynergy, expert de la rénovation énergétique.
Les clients bancaires particuliers peuvent ainsi bénéficier de services de conseil en énergie lorsqu’ils souhaitent entreprendre un projet de remise en forme énergétique, d’une manière intégrée aux parcours existants de banque à distance.
L’intégration opère dans les deux sens, puisque cette intégration permet aussi aux clients de demander des crédits pour financer leurs travaux – avec une continuité de services complète.
Ouvrir son SI en toute sécurité
Bien entendu, dans toutes ces évolutions, la sécurité du SI reste essentielle.
Les réglementations imposent, elles aussi, certaines exigences en matière de sécurité, que ce soit par rapport au choix d’un cloud souverain (avec SecNumCloud) ou par rapport à la sécurisation contre les cybermenaces (avec notamment NIS2) et la gouvernance des API.
Alors que ces échéances approchent à grand pas, Thierry Cutivet, Global Architect SI, Groupe BPCE, explique qu’une première étape importante pour sécuriser le SI sera d’harmoniser la gestion des assets techniques et business.
Vers un écosystème finance avec Amplify Enterprise Marketplace
Quels que soient les enjeux réglementaires auxquels se confrontent les acteurs de la finance, il est critique qu’ils aient les outils nécessaires pour gouverner leur SI en toute sécurité – que ce soit pour des questions de conformité, ou pour accélérer leur croissance et se saisir des réels avantages business que représentent leurs produits digitaux.
Avec comme base notre plateforme universelle d’API management, Amplify Enterprise Marketplace permet de répertorier, gouverner, exposer, et valoriser vos API ou produits digitaux.
Vos architectes bénéficient de la découverte des API non gérées, de l’identification automatique des services non conformes, de contrôles d’accès clairs et de politiques de sécurité prédéfinies pour protéger les données de clients.
Et lorsque vous serez prêts à ouvrir vos API pour tirer parti d’un écosystème plus riche ou découvrir de nouveaux modèles commerciaux, la Marketplace permet de regrouper et d’étoffer les API de manière centralisée, permettant de les traiter API comme des produits à part entière et même les monétiser.
Regroupez la gouvernance et la sécurité des API avec Amplify Enterprise Marketplace.
Suivez-nous sur les réseaux sociaux