L’informatisation constitue, souvent, le deuxième poste de dépenses après celui des salaires dans les banques libanaises. L’informaticien a un rôle clé pour faire fonctionner les millions de paiements effectués chaque heure, le site de la banque en ligne et les nombreux autres services.
Le secteur bancaire libanais est demandeur des dernières innovations technologiques, en fonction de ses objectifs stratégiques ainsi que des évolutions réglementaires, émanant principalement de la Banque centrale. Les acteurs du secteur se livrent une concurrence serrée pour assurer à leur clientèle des services et des produits à la pointe de la technologie, dans un marché aux dimensions relativement modestes. Cette contrainte induit une demande forte pour des systèmes informatiques très évolutifs, performants et flexibles, capables de supporter les nouveaux produits et services de plus en plus sophistiqués. D’où la question cruciale: tous les établissements ont-ils les mêmes besoins? Quels sont les critères pour les catégoriser (taille de la banque, historique informatique, etc.)?
Fondamentalement, tous les établissements bancaires doivent faire face aux mêmes demandes dans un segment de marché donné. Les fonctions de base sont naturellement identiques, mais la nature et la complexité des besoins varient selon le type de l’établissement. La taille est un critère; une grande banque de détail, servant plusieurs centaines de milliers de clients, n’aura pas les mêmes besoins, par exemple, qu’un établissement spécialisé dans la gestion de fortunes, dont la clientèle ne pourra compter que quelques milliers. Le critère déterminant reste néanmoins les métiers de la banque et la diversité des produits et services offerts à la clientèle.
Le facteur coût
Si la flexibilité et la performance demeurent les maîtres-mots dans l’informatisation des banques, il n’en est pas moins pour le facteur des coûts. En effet, les banques doivent continuellement modifier leur business plan, en identifiant les tendances du marché, et se repositionner sur des niches, alors que les éditeurs de logiciels sont conscients que, pour rester sur le marché, il leur faudra fixer le coût total de possession et de maintenance à un niveau raisonnable. La différenciation doit se faire sur la capacité à anticiper les nouveaux besoins des clients de la banque. Nabil Kassar, directeur général à Fransabank, estime les investissements de l’établissement dans l’informatisation à un budget moyen annuel qui tourne autour de 10 millions de dollars. Quant à Antoine Lawandos, directeur général adjoint et directeur des systèmes informatiques à Blom Bank, il déclare: «La banque consacre non moins de 20 à 25% de ses efforts en termes de coûts et de ressources humaines au développement des systèmes d’information. Elle traite avec rigueur les risques de cybercriminalité». «Les dépenses d’investissement dans le département des NTI (Nouvelles technologies de l’information) ont connu un taux de croissance moyen annuel (TCMA) de 22% durant les cinq dernières années», souligne Marcelle Attar, chef du département des NTI à Bank Audi.
En temps réel
Les banques font preuve de vigilance quant à la gestion des risques liés à l’utilisation de l’informatique. En effet, le moindre arrêt ou ralentissement des plateformes et des ordinateurs peut avoir des conséquences négatives. Sur ce plan, tout se joue en temps réel: l’arrêté des soldes des comptes des clients, l’ordre donné aux guichets électroniques de délivrer des billets, l’acceptation d’une transaction de paiement en ligne. La moindre défaillance, que celle-ci soit technique ou humaine, est inadmissible. D’ailleurs, dans le même contexte s’inscrit la sécurité qui constitue le top priorité des banquiers. Ceux-ci sont conscients que «l’ennemi» pourrait être dans la maison, en référence à l’affaire Jérôme Kerviel, l’ancien trader à la Société générale.
Dans ce prolongement, Bank Audi a établi un plan qui lui permet d’opérer à partir de différents sites, en utilisant plusieurs configurations en cas d’urgence, afin d’assurer la continuité de ses opérations et sa conformité aux exigences réglementaires. Elle a également mis en place des politiques strictes de protection des données, régulièrement revues et mises à jour. Celles-ci sont destinées à limiter l’accès aux données en fonction des besoins et de manière contrôlée.
Blom Bank, pour sa part, a mis en place des sites conformes aux normes internationales, ainsi que des plans anti-catastrophe pour parer les problèmes d’urgence. «Quant au droit d’accès aux données, il est octroyé en respectant le principe du minimum nécessaire pour assurer les besoins du travail, sachant que tous les accès aux données sont surveillés et soumis à des contrôles réguliers et minutieux», ajoute Antoine Lawandos. Dans le même esprit s’inscrit la politique de Fransabank, qui donne les privilèges d’accès aux systèmes informatiques contenant des données critiques selon les besoins du travail et le profil de l’utilisateur. Une grille de classification des données est élaborée suivant les standards internationaux, pour allouer les accès à l’information de façon appropriée et sécurisée.
Contrer les hackers
Mais l’ennemi est aussi, et surtout, à l’extérieur. C’est le revers de la médaille de la révolution numérique. Cette course de vitesse passe par l’expérimentation de nouvelles méthodes de protection. Depuis 2000, la Banque du Liban (BDL) et la Commission de contrôle des banques ont émis des circulaires ayant trait à la sécurité de l’information et la continuité des travaux (les circulaires 222, 123 et 272). Sachant que tout service bancaire électronique doit s’accompagner d’un dispositif de sécurité permettant d’éviter à la banque des actes frauduleux, la BDL a établi la circulaire 69. De plus, souligne Nabil Kassar, Fransabank a adopté le standard international ISO 27001/2005 pour le développement des normes et procédures de sécurité. Pour les plateformes technologiques de la monétique de Fransabank, l’établissement est en train de se conformer aux injonctions du standard PCI DSS, imposé par Visa et MasterCard aux institutions financières traitant les cartes plastiques. Et pour obtenir une sécurité optimale, Fransabank a mis en place plusieurs niveaux de pare-feu (firewalls) pour assurer à l’utilisateur un accès sécurisé au système et à l’information. Nabil Kassar poursuit que l’établissement a adopté le cryptage SSL pour tous les échanges d’information, ainsi qu’un certificat digital assurant l’authenticité du site web accédé, afin d’éliminer toute tentative de hameçonnage, appelé en anglais «phishing». Celui-ci est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels, dans le but de perpétrer une usurpation d’identité. Aussi faut-il noter que Fransabank dispose d’un département de sécurité et des plans de secours nommé «Security and Business Continuity department», ayant pour mission d’élaborer des rapports d’évaluation de la sécurité ainsi que de développer des plans de secours appropriés.
Standards internationaux
Quant à Blom Bank, elle reste en constante veille technologique concernant les risques de cybersécurité. Tout en respectant les dispositions de la circulaire 69 de la BDL, elle a adopté les standards de sécurité internationaux qui comprennent les normes PCI DSS, sans pour autant se limiter à celles-ci. Selon Antoine Lawandos, pour garantir ses services en ligne, Blom Bank a adopté une technique d’identification très avancée à double facteur. L’un porte sur le mot de passe que connaît le client et un autre qu’il possède physiquement. Ce dernier utilisable une seule fois (one time password), qui lui est envoyé par SMS sur son portable. Par ailleurs, tout mouvement de transfert de fonds initié à partir des services de banque en ligne est soumis à des plafonds et à des contrôles d’identité conventionnels par des moyens non électroniques. Dans le même esprit s’inscrit la politique de Blom Bank de lancer des campagnes de sensibilisation, afin d’avertir ses clients des risques présents sur les réseaux, comme celui du phishing. Un guide interne a été mis à la disposition des employés, afin d’informer le client sur les bonnes pratiques à adopter sur Internet.
Meilleure rentabilité
Nul doute que les NTI conduisent à des améliorations des services à la clientèle et, dans le même temps, à une meilleure rentabilité sur fonds propres et sur le ratio coût/revenus. Marcelle Attar rappelle que les investissements dans les NTI de Bank Audi visent à créer plus d’efficacité et améliorer le contrôle de l’environnement, tout en introduisant des canaux de distribution alternatifs, lesquels contribueront à mieux servir les clients, grâce à la disponibilité des ressources et au facteur commodité, qui optimiseront son expérience à la banque. «Tous ces investissements ont résulté en une augmentation du taux de croissance annuel de 49%, au cours des cinq dernières années, en matière de technologie de l’information, comparé à une augmentation du taux de croissance du TCMA de 5% du coût opérationnel (Opex) global de la banque sur la même période», ajoute la chef du département des NTI à Bank Audi. «En 2015, la rentabilité sur fonds propres (ROE) de Blom Bank a atteint 16% – ce qui constitue la plus grande rentabilité sur fonds propres parmi les banques libanaises, souligne Antoine Lawandos. De plus, «l’efficacité de nos systèmes ont contribué à atteindre un ratio coût/revenus de 36,8%, probablement l’un des plus bas dans le monde».
Externalisation
Sur le plan de l’externalisa-tion des services informatiques, les 3 banques interrogées ont recours principalement à leurs ressources internes pour le déploiement de nouvelles solutions. Ceci ne les empêche pas de faire appel à des Sociétés de services en ingénierie informatique (SSII), qui envoient des informaticiens et des ingénieurs de manière ponctuelle ou pour des missions qui durent parfois des années.
En conclusion, un expert dans l’informatique a déclaré qu’«avant Internet, les clients n’avaient pas accès aux systèmes informatiques des banques. Avec l’essor du Web, qui fait que les deux tiers des contacts des clients avec leurs banques passent désormais par les canaux mobiles, nous avons ouvert une boîte de Pandore (pour les pirates informatiques). Si bien que nous sommes désormais engagés dans une course de vitesse pour fermer des portes (aux hackers), tout en laissant d’autres ouvertes (aux clients)».
Liliane Mokbel