ifeelstock - stock.adobe.com
BNP Paribas passe tout son Oracle sur site dans un cloud… sur site
BNP Paribas lance un vaste projet de modernisation de son infrastructure de bases de données. La banque française va migrer ses 10 000 bases Oracle vers une solution Cloud@Customer. Une offre qui répondrait nativement aux besoins d’innovation, notamment pour l’IA, mais sans sacrifier la sécurité et la confidentialité des informations sensibles, assure son DSI. Qui a tout de même opté pour un chiffrement avec des clefs gérées en interne. Deux précautions valent mieux qu’une.
C’est un chantier titanesque. Dans les deux années à venir, BNP Paribas va migrer pas moins de 10 000 bases de données sur site vers un cloud. Mais pas n’importe quel cloud.
Les contraintes et l’approche de la banque française internationale lui imposent en effet de ne pas aller dans le cloud public (hyperscalers), de sécuriser ses données, et d’en garantir la confidentialité. Mais les besoins d’innovation (c’est-à-dire de bénéficier des fonctionnalités des bases les plus modernes), de flexibilité, et de rapidité lui imposent, dans le même temps, de regarder vers des offres « as-a-Service ».
Comment résoudre cette quadrature du cercle ? Le DSI de BNP Paribas, Bernard Gavgani, et ses équipes ont envisagé plusieurs options avant d’arrêter leur décision sur un « cloud sur site » – celui d’Oracle dédié à la gestion de données (Exadata Cloud@Customer). Techniquement, cette offre se compose d’appliances à installer dans un datacenter, et managées à distance par Oracle (mises à jour, etc.).
90 % des bases de BNP Paribas
Le choix est logique. Le projet de migration « ne » concerne « que » les bases Oracle de BNP Paribas. Dix mille, donc. Celles-ci représenteraient entre 80 % et 90 % de son existant.
Les 10 % restant sont un mélange d’IBM DB2 (IBM est un partenaire de très longue date du groupe), principalement pour les applications mainframes, et d’autres bases comme PostgreSQL ou MongoDB, pour des fonctionnalités spécifiques comme les paiements instantanés, précise Bernard Gavgani au MagIT. Ces bases – hébergées dans le cloud privé IBM de BNP Paribas – ne sont pas concernées par le projet de migration.
« La banque pourra [ainsi] exploiter toutes les fonctionnalités d’automatisation d’Oracle Database, comme l’optimisation des traitements, […] un basculement automatique pour renforcer la fiabilité et la résilience du système, garantissant ainsi une continuité de service optimale », vante le groupe, lors de l’annonce de cette décision. « Cette approche permettra aussi de réduire la latence entre les applications et les données […] tout en simplifiant la gestion de l’obsolescence ».
Accélérer avec l’IA en ligne de mire
En résumé, BNP Paribas va passer à Autonomous Database, mais sans aller sur OCI (le cloud d’Oracle), infrastructure publique (IaaS) à laquelle la base est habituellement liée. La première version cible sera la 19 c (la dernière LTS en date étant la 23 c, alias 23ai).
« Notre obsession est d’être conformes et de protéger les données de nos clients. [Avec cette solution], nous avons tous les jours l’impression que nous avons fait le bon choix », se réjouit Bernard Gavgani.
Bernard GavganiDSI de BNP Paribas
Le but de cette transition massive est « d’accélérer » avec, évidemment, l’intelligence artificielle en ligne de mire. BNP Paribas teste actuellement 700 à 800 cas d’usage qui vont de la relation client (bots) à la lutte contre le blanchiment (le ML vs ML, Machine Learning contre Money Laundering), en passant par la détection de la fraude, le contrôle et la compliance. Sans oublier l’IA appliquée à l’IT (« AI for IT »), une des pistes les plus prometteuses de l’IA pour Bernard Gavgani, par exemple pour automatiser la classification des données et leur stockage (archivage chaud, froid, etc.).
Récemment, le DSI a modifié l’organisation interne de sa division pour créer une équipe IT dédiée à l’IA (chargée de l’infrastructure, des GPU, etc.). Passer au cloud, même « entre les murs de BNP Paribas », s’inscrit dans cette tendance et doit faciliter l’exploration de nouveaux cas d’usage. La base d’Oracle étant multimodale, elle peut par exemple créer à la volée une base vectorielle à partir d’un jeu de données, pour une IA générative, sans dupliquer la base.
Contrepartie de cette facilité, la facturation – proportionnelle à la consommation (à la quantité de données stockées) – devra être bien analysée en amont pour ne pas exploser.
Le DSI anticipe en tout cas un ROI d’environ 24 mois. « Nous intégrons la dimension économique, mais aussi opérationnelle [dans ce calcul] », explique Bernard Gavgani en évoquant des points comme les avantages pour la sécurité ou par la conformité vis-à-vis des réglementations.
Pas de licenciement, mais des « Smart DBA »
Du côté des RH des DSI, la dimension « autonome » de la base d’Oracle change sensiblement le rôle et les compétences du DBA. Une des craintes de cette profession est d’ailleurs que l’automatisation diminue le nombre de DBA nécessaires.
Le DSI de BNP Paribas se montre rassurant sur ces deux points.
« Il n’y aura pas de destruction de postes », assure-t-il publiquement. En revanche, il y aura des formations pour suivre l’évolution technologique. « Le DBA d’aujourd’hui n’est pas le DBA de demain », insiste-t-il.
Ce DBA de demain devra être un « Smart DBA », résume-t-il en une formule et dans un sourire.
Souverain or not souverain ? Telle est la question
Reste la question épineuse de savoir si ce cloud sur site est bien protégé du droit extraterritorial américain.
Quand on lui pose la question, la réponse de Bernard Gavgani est immédiate. Et catégorique. Oui, la solution est immune. Christophe Negrier, DG d’Oracle France, l’assure également.
Mais depuis le lancement des offres « @Customer », la corp d’Oracle peut se montrer un peu moins catégorique, en particulier dans le contexte français qui a une définition très stricte de la souveraineté clairement précisée dans la version 3.2 du référentiel SecNumCloud.
Les appliances sont en effet managées par ses équipes. Et même si les données sont localisées chez le client (ici BNP Paribas), et que la gestion technique est réalisée par une filiale de droit européen, il reste un flou sur ce que l’arsenal législatif américain peut quand même imposer à des prestataires étatsuniens qui gèrent du sur site à l’étranger, y compris au travers de sociétés intermédiaires. D’où, d’ailleurs, la création de Bleu et de S3NS.
L’ancien ministre de l’Économie Bruno Le Maire et l’ex-commissaire européen Thierry Breton l’ont souligné à plusieurs reprises. L’Europe et la France se montreraient un peu trop « naïves » face à un « droit inamical » (sic).
Données chiffrées, clefs gérées par BNP Paribas
Naïfs, BNP Paribas et son DSI ne le sont pas. L’historique de la banque (9 milliards de dollars d’amende imposée par les États-Unis dans un des plus grands exemples d’instrumentalisation du droit à des fins économiques) prêche pour la prudence. Et deux précautions valent mieux qu’une.
Bernard GavganiDSI de BNP Paribas
« Dans tous les cas, nous pouvons couper les accès à tout moment, et les données sont entièrement chiffrées », ajoute Bernard Gavgani. Quid des clefs ? « Nous les gérons nous-mêmes, dans un KMS hors d’Oracle ».
Une double précaution qui semble particulièrement pertinente à un moment où Donald Trump, à qui les guerres commerciales ne font pas peur et qui ne rechigne pas à tordre le bras des concurrents des entreprises américaines, revient à la Maison-Blanche.
Et ce, même si Bernard Gavgani n’anticipe pas ce genre de pressions sur les prestataires IT de la part du futur Président et de son administration. « Je ne le vois pas… mais j’espère que j’ai raison », confie-t-il, avec humilité.
« La confiance n’exclut pas le contrôle », disait Lénine. Un dogme qui, paradoxalement, s’adapte particulièrement bien à l’informatique quand celle-ci devient l’épine dorsale d’un groupe bancaire – dont on peut supposer qu’il est un OIV – comme BNP Paribas.
Propos recueillis le 8 janvier 2025 au siège de BNP Paribas.