Dans la plupart des institutions financières, la pression que fait peser la croissance exponentielle des usages « digitaux » de leurs clients sur leurs systèmes d'information, historiquement conçus pour une utilisation réservée à leurs collaborateurs, atteint des limites dangereuses. Mais elles se résolvent encore rarement à la seule réponse viable.
Prenons l'exemple de la britannique Nationwide, qui révèle aujourd'hui l'introduction au sein de ses plates-formes informatiques d'un nouveau composant, opportunément baptisé « Speed Layer », dont la vocation serait d'améliorer la vitesse, la résilience et la sécurité des opérations en ligne. Or, même si, au premier abord, sa conception moderne et son déploiement sur le cloud lui permettent peut-être de remplir ces objectifs, ce ne sera qu'au prix d'une fragilisation supplémentaire de l'ensemble de son architecture.
Pour le comprendre, il faut expliquer que le dispositif en question est un « cache », à savoir, en le résumant simplement, un mécanisme (classique) par lequel une copie des données les plus utilisées d'une application est maintenue sur une infrastructure spécifique, offrant de meilleures performances d'accès que la source d'origine. Dans le cas de Nationwide, la première implémentation, sur l'étape de connexion aux services en ligne, enregistre ainsi un gain de 500% tout en supportant plus de sollicitations.
Durant toute ma carrière dans les DSI (oui, c'est une partie de mon parcours), j'ai toujours abordé avec les plus grandes précautions cette technique, qui, structurellement (par son principe de réplication), induit des risques de perte de synchronisation ou de cohérence potentiellement difficiles à maîtriser. Cependant, avec un peu de rigueur et la mise en place de quelques garde-fous (au prix d'une partie des gains espérés), il paraît raisonnable de profiter de ses avantages quand les circonstance s'y prêtent.
En revanche, quand une entreprise en fait un élément critique de sa stratégie IT, Nationwide ayant l'intention de l'étendre à la majorité des fonctions présentes dans ses applications web et mobiles, il y a matière à s'inquiéter, autant en raison de la propagation de ses possibles faiblesses que de l'augmentation mécanique de sa complexité, au fur et à mesure de sa déclinaison dans une multitude de contextes différents. Pourtant, là n'est probablement pas le plus grand danger de la « Speed Layer » pour la banque.
En effet, la faiblesse la plus sérieuse de l'initiative est l'addition d'une couche supplémentaire dans un édifice qui en comporte déjà beaucoup (trop). C'est un peu comme si vous aviez ajouté deux étages à un immeuble existant et que, le jour où vous réalisez que les fondations ne sont plus suffisantes, vous décidiez de le consolider en installant des étais sous les niveaux supplémentaires. Dans l'immédiat, le bâtiment semblera rigidifié et plus robuste… mais le vrai problème n'aura pas été traité.
Quelles que soient ses qualités, la « Speed Layer » amène automatiquement deux nouvelles zones de défaillance (le « cache » proprement dit et son circuit d'alimentation), avec leur quota de bogues (et leur incidence plus ou moins grave), mais aussi leurs inévitables trous de sécurité, dont ne manqueront pas de profiter les cybercriminels. L'ampleur du projet – ayant mobilisé une équipe entière, soutenue par un partenaire, pendant 18 mois – ne laisse aucun doute sur la probabilité de tels scénarios.
Face à l'évolution radicale des modèles de relation bancaire, la seule solution sensée consisterait à remettre à plat les systèmes qui en assurent le fonctionnement. Nationwide préfère opter pour la fuite en avant, investissant (lourdement) dans une approche qui continue à complexifier toujours plus son architecture informatique, interdisant sa compréhension globale (donc son contrôle), multipliant les dépendances inextricables, limitant sa flexibilité d'ensemble…, en résumé, hypothéquant gravement son avenir.