La souveraineté numérique dans le secteur bancaire

2 mars 2026Héctor Arias, Armin Warda8 minutes (temps de lecture)
Digital sovereignty

Il y a dix ans, aucune nation ou institution financière ne considérait la souveraineté numérique comme une priorité. Dans la plupart des cas, le sujet n’était même pas pertinent pour une discussion informelle. La mondialisation de la chaîne d'approvisionnement était la norme pour la plupart des catégories d'approvisionnement. Il s'agissait simplement d'acheter le meilleur produit ou service possible au meilleur prix possible, en tenant compte des sanctions, des réglementations et d'autres risques opérationnels, comme la disponibilité d'un fournisseur de secours pour les approvisionnements essentiels. 

Voici des exemples de chaînes d'approvisionnement mondiales avec un degré de spécialisation très élevé :

  • Les banques européennes utilisent les hyperscalers américains
  • Les hyperscalers américains utilisent des puces informatiques fabriquées à Taïwan
  • La fabrication de puces taïwanaises utilise des lithographies créées aux Pays-Bas.
  • Les lithographies des Pays-Bas utilisent des optiques avancées d'une entreprise allemande.

Mais le monde a changé depuis, avec les perturbations de la chaîne d'approvisionnement pendant la COVID et de nouvelles dynamiques sur la scène géopolitique. Aujourd'hui, de nombreuses banques, compagnies d'assurance et institutions financières souhaitent développer un contrôle plus autonome, voire total, de leurs technologies et de leurs opérations. Cette situation est parfois motivée par la stratégie de l'entreprise, mais elle est, dans d'autres cas, imposée par les organismes de réglementation. Le rôle des banques dans l'économie et la société accroît leur importance au-delà de leurs performances individuelles.

Par conséquent, le secteur est passé d'une logique de « mondialisation par défaut » à une logique de « régionalisation ou de localisation si possible ». Cette transformation du secteur bancaire prendra probablement des années. Les fournisseurs de technologies sont omniprésents à chaque étape de leur chaîne de valeur et de l'écosystème financier. Les fournisseurs, partenaires et clients bénéficient de connexions technologiques et d'une interdépendance.

Qu'est-ce que la souveraineté numérique ?

D'après le World Economic Forum, la souveraineté numérique des pays fait référence à leur capacité de contrôler leur propre destin numérique, c'est-à-dire les données, le matériel et les logiciels qu'ils utilisent et créent. Autrement dit, personne extérieur à la gouvernance du pays ne doit avoir le contrôle sur ses données, son matériel et ses logiciels, ni pouvoir accéder à ses technologies ou arrêter ses systèmes sans son consentement, ni contourner ses réglementations. Cela signifie que le pays ne dépend pas de la volonté d'un tiers de suivre ses règles, car il n'est techniquement pas possible pour quiconque de prendre le contrôle (ou d'arrêter) une partie essentielle de ses technologies, de ses opérations ou de ses données. 

Si l'on applique cela aux établissements bancaires, il convient de souligner que la souveraineté ne se limite pas à la résidence des données, une pratique déjà en place depuis des années. Elle englobe également le matériel, les logiciels et les opérations dont les banques dépendent, ainsi que la gouvernance des fournisseurs essentiels à leur activité. L'objectif final est de réduire, ou du moins de mieux comprendre, les risques potentiels provoqués par les décisions d'autres acteurs, par exemple dans le cas d'un fournisseur dont le siège social ou les opérations se situent dans un pays soumis à des réglementations différentes, ou encore de pannes systémiques ou répétitives provenant d'autres pays. Par exemple, une entité d'externalisation offshore qui exécute un système bancaire central, ou une infrastructure fournie par une filiale nationale d'une entreprise internationale, nécessitera probablement une attention particulière en matière de souveraineté.

Il existe quatre niveaux de souveraineté numérique :

digital sovering
  • Souveraineté des données : Centres de données situés dans le pays ou la région (par exemple, dans l'Union européenne)
  • Souveraineté technique : Normes ouvertes et Open Source
  • Souveraineté opérationnelle : Red Hat Confirmed Sovereign Support pour l'Union européenne, pour les clients de l'Union européenne et pour toute autre personne qui le souhaite
  • Souveraineté d'assurance : Logiciels Open Source vérifiables, nomenclatures logicielles (SBOM) et versions reproductibles

Le rôle de l'Open Source dans le soutien de la souveraineté numérique 

Les logiciels propriétaires sont contrôlés par les entreprises qui les développent et les distribuent, et les clients ont un contrôle très limité sur les produits logiciels qu'ils utilisent. Par exemple, les utilisateurs d'un logiciel propriétaire peuvent influencer le comportement du logiciel via des options de configuration, mais ils ne peuvent pas modifier les fonctionnalités du logiciel en modifiant le code. Ils ne pourront pas non plus comprendre les fonctionnalités du logiciel (ni les éventuels bogues ou autres problèmes) en lisant le code source.

Même si de nombreux éditeurs de logiciels propriétaires opèrent à l'international et respectent pleinement les réglementations locales par l'intermédiaire de filiales, leur gouvernance interne les contraint souvent à adhérer aux réglementations et à la gouvernance de leur société mère. Le modèle américain est un excellent exemple des implications de cette structure. Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopté en 2018, qui a des implications importantes sur la résidence et le transit des données des banques. Cette loi fédérale américaine autorise les forces de l'ordre américaines à contraindre les entreprises technologiques basées aux États-Unis à divulguer des données électroniques, même si ces données sont stockées en dehors des États-Unis. Par conséquent, de nombreuses banques ont dû revoir leurs stratégies de stockage et de transit des données client conformément à leurs réglementations spécifiques en matière de protection des données, par exemple le règlement général sur la protection des données (RGPD) de l'UE ou la loi indienne sur la protection des données personnelles numériques (DPDP Act).

En revanche, les logiciels Open Source sont créés par des communautés mondiales et développés par des personnes et des entreprises situées partout dans le monde. 

Les quatre libertés de l'Open Source :

  • Utilisation : Aucune restriction quant à l'utilisateur, au lieu d'utilisation et à la finalité
  • Étude : Lire et comprendre le code source
  • Modification : Modifier le code source, dupliquer le projet
  • Partage : Redistribuer le code source (non modifié ou modifié) et les artefacts binaires

Aucun gouvernement ni aucune réglementation ne peut contraindre ces communautés à insérer une porte dérobée, un arrêt d'urgence, un géorepérage ou tout autre mécanisme indésirable permettant de contourner les contrôles de l'utilisateur, ou d'influencer ou de restreindre l'utilisation du code, car le code source est disponible pour examen par quiconque à tout moment. 

Voici deux caractéristiques intrinsèques des logiciels Open Source particulièrement adaptées à la souveraineté numérique :

  • Autonomie : Les logiciels Open Source sont créés par des développeurs qui peuvent se trouver n'importe où dans le monde et qui contribuent à des projets communautaires collaboratifs. De plus, aucun pays ni aucune organisation n'est autorisé à revendiquer la propriété intellectuelle ou la gouvernance de l'Open Source, ni à arrêter des applications qui utilisent des logiciels Open Source.
  • Transparence : L'Open Source offre la transparence qui fait défaut aux solutions propriétaires. Chaque ligne de code Open Source peut être inspectée et auditée, non seulement par l'organisation qui utilise le logiciel, mais aussi par les communautés de développeurs. Les systèmes de gestion du code source distribué les plus couramment utilisés dans les projets Open Source, tels que Git (et GitHub, GitLab, etc.) fournissent des journaux de modifications, et toutes les modifications sont signées numériquement. Cette transparence et cette traçabilité inhérentes permettent de mettre en œuvre des pratiques de sécurité robustes, de faciliter la conformité réglementaire, d'établir la confiance et de rationaliser les processus d'audit. 

Le multicloud hybride pour plus de flexibilité et de résilience 

L'une des principales préoccupations en matière de souveraineté est la dépendance à l'égard d'un nombre restreint de fournisseurs d'infrastructure, dont beaucoup ont leur siège social dans un seul pays. Cela est particulièrement vrai dans le paysage des fournisseurs de services cloud, où trois fournisseurs contrôlent près de 65 % des parts de marché à l'échelle mondiale. Même avant l'essor de la souveraineté numérique, cette concentration des risques était déjà au centre de certaines réglementations, telles que la loi sur la résilience opérationnelle numérique (DORA) de l'UE et la politique de résilience opérationnelle SS1/21 de la Prudential Regulation Authority (PRA) du Royaume-Uni.

De nombreuses banques ont opté pour une plateforme multicloud hybride, ce qui leur permet de bénéficier d'un contrôle et d'un choix accrus grâce à une approche flexible et ouverte. Cela leur permet de garder leurs options ouvertes quant aux services cloud qu'elles utilisent, et de profiter de l'innovation, de la rapidité et de la flexibilité offertes par les services cloud-native. 

Red Hat : Votre cloud, vos règles

Grâce aux technologies Open Source d'entreprise de Red Hat, les clients peuvent continuer à utiliser le logiciel même si leur relation juridique et commerciale avec Red Hat prend fin. Red Hat renforce son soutien aux banques à la recherche d'options souveraines, contribuant ainsi à atténuer les risques et à éliminer la nécessité de changer de fournisseur. Red Hat a publié son engagement envers les principes du cloud souverain et a lancé Red Hat Confirmed Sovereign Support pour l'Union européenne, avec du personnel de l'UE travaillant conformément aux réglementations de l'UE et développant l'écosystème local.

Red Hat fournit également une chaîne d'approvisionnement logicielle fiable et clairement documentée, utilise des pratiques de développement sécurisées, et dispose de processus de construction robustes, d'un packaging robuste et d'une distribution transparente. Complété par une surveillance et une vérification continues, tout cela contribue à empêcher l'introduction de composants non souverains et à perturber potentiellement le service.

Les plateformes de Red Hat sont également conçues pour les déploiements multicloud, répondant aux exigences critiques en matière d'exploitation et de résidence des données. Notre plateforme de cloud hybride ouvert offre la portabilité des charges de travail, de sorte que les organisations peuvent migrer les charges de travail vers différents fournisseurs de cloud ou vers leurs propres environnements sur site. Cela leur permet de réagir rapidement à l'évolution des exigences souveraines et contribue à améliorer la résilience opérationnelle.

Façonner l’avenir avec une IA souveraine

Il existe déjà de nombreux choix de modèles dans le paysage de l'IA, des modèles prédictifs qui existent depuis des années aux grands modèles de langage (LLM) d'IA générative dynamique qui sont apparus plus récemment, et de nouvelles innovations ou améliorations sont annoncées presque chaque semaine. 

Les modèles d'IA générative (Gen AI) ont différentes tailles, options d'hébergement, degrés d'ouverture et autres facteurs, chacun ayant des avantages et des inconvénients en fonction du cas d'utilisation. Cela est particulièrement important pour le secteur bancaire, car les données des clients doivent être protégées et les réglementations façonnent l'utilisation des technologies disponibles. Trois dimensions déterminent si une IA est adaptée à l'usage. 

  • Transparence : Pour les cas d'utilisation bancaires qui prendront des décisions ou interagiront avec les clients au moment de l'inférence, il est essentiel de comprendre le fonctionnement du modèle et les données qui ont été utilisées pour l'entraînement. Ceci est essentiel car les hallucinations de l'IA peuvent avoir des implications importantes en matière de réglementation, d'activité et de réputation.
  • Souveraineté technologique et opérationnelle : Personne en dehors de la banque ou de sa gouvernance de supervision ne devrait pouvoir arrêter les services critiques au moment de l'inférence. Cette exigence signifie que les modèles ne peuvent pas être hébergés en dehors du contrôle technologique des banques.
  • Données client : Les réglementations rendent les banques entièrement responsables de la confidentialité des données des clients, elles doivent donc être en mesure de garantir que les données des clients sont protégées et gardées privées. Même si certains modèles d'IA affirment contractuellement qu'ils n'utiliseront pas ou ne verront pas les données des clients, la possibilité d'une violation potentielle signifie que, pour certains cas d'utilisation, il est préférable d'utiliser des modèles plus proches des données des clients.  

Chez Red Hat, nous pensons que les banques utiliseront différents modèles d'IA, infrastructures et accélérateurs matériels pour différents cas d'utilisation. Nous pensons également que cette plateforme d'IA sera étroitement intégrée à leurs plateformes d'applications, fonctionnera sur le cloud hybride et partagera les processus et les outils afin d'exécuter plus efficacement les services et les opérations technologiques des banques. Cette architecture de cloud hybride intégrée aidera les banques à garder leurs options ouvertes et à rester prêtes pour l'avenir à mesure que les exigences de souveraineté numérique se développent et évoluent.

Découvrez les avantages de Red Hat pour le secteur des services financiers.

Ressource

L'entreprise adaptable : quand s'adapter à l'IA signifie s'adapter aux changements

Ce livre numérique de Michael Ferris, directeur de l'exploitation et de la stratégie chez Red Hat, aborde le rythme des changements et des bouleversements technologiques liés à l'IA auxquels sont confrontés les responsables informatiques.
Télécharger la ressource

À propos des auteurs

2

Héctor Arias

Global Lead for Retail Banking

Héctor Arias is the Global Lead for Retail Banking at Red Hat since March 2022. He has over 20 years of experience within the banking sector leading business strategy, open banking, digital transformation, and new digital businesses initiatives for BBVA in several countries spanning the Spain, USA, and LATAM. He works with banks and partners globally strategizing and planning next generation technology platforms.

Read full bio
Armin Warda

Armin Warda

EMEA FSI Technology Lead, Red Hat

Mr. Armin Warda supports Red Hat’s Financial Services customers and partners in the adoption of Red Hat technology, particularly in regards to operational efficiency, security & compliance and their journey to hybrid cloud. He is currently exploring the impact of proposed European regulations and initiatives on the financial services industry and their IT providers, such as the Digital Operational Resiliency Act (EU-DORA) and the Artificial Intelligence Act (EU-AIA).

Armin joined Red Hat in 2021. Previously he worked for 22 years at Postbank Systems as a Senior IT Architect for Postbank and Deutsche Bank. Armin holds a master degree in Computer Science from the TU Dortmund and also studied at the University College Dublin.

Read full bio
UI_Icon-Red_Hat-Close-A-Black-RGB

Plus de résultats similaires

Blog post

Red Hat and Netris bring multi-tenant networking to sovereign AI clouds and neoclouds

Blog post

Provable digital sovereignty: How IBM Sovereign Core with Red Hat delivers verifiable independence

Parcourir par canal

Explorer tous les canaux
automation icon

Automatisation

Les dernières nouveautés en matière d'automatisation informatique pour les technologies, les équipes et les environnements
AI icon

Intelligence artificielle

Actualité sur les plateformes qui permettent aux clients d'exécuter des charges de travail d'IA sur tout type d'environnement
open hybrid cloud icon

Cloud hybride ouvert

Découvrez comment créer un avenir flexible grâce au cloud hybride

security icon

Sécurité

Les dernières actualités sur la façon dont nous réduisons les risques dans tous les environnements et technologies
edge icon

Edge computing

Actualité sur les plateformes qui simplifient les opérations en périphérie
Infrastructure icon

Infrastructure

Les dernières nouveautés sur la plateforme Linux d'entreprise leader au monde
application development icon

Applications

À l’intérieur de nos solutions aux défis d’application les plus difficiles
Virtualization icon

Virtualisation

L'avenir de la virtualisation d'entreprise pour vos charges de travail sur site ou sur le cloud