Interviews

Olivier Biton, Crédit Agricole : « agir à l'échelle du groupe sur la data et l'IA »

Olivier Biton, DSI groupe de Crédit Agricole : « nous affirmons clairement qu’à chaque fois que c’est possible, nous ferons le choix des solutions technologiques européennes. » (Photo : Thomas Léaud)

Après avoir mutualisé ses infrastructures au sein de CAGIP, le Crédit Agricole se lance dans la création d'une structure portant la data, l'IA et la confiance numérique. Un levier pour porter des investissements massifs, souligne le DSI groupe, Olivier Biton.

PublicitéAprès ce qu'il décrit comme un premier virage dans la stratégie d'un groupe qui accorde une grande autonomie à ses différentes entités - la création d'une infrastructure IT commune il y a 5 ans (avec CAGIP pour Crédit Agricole Group Infrastructure Platform) -, Olivier Biton estime que la banque aborde ce qu'il qualifie de « saison 2 ». Décrite dans le plan stratégique Act 2028, récemment dévoilé, celle-ci se traduit notamment une mutualisation de capacités dans la donnée, l'IA et la confiance numérique, soit les ressources associées à la gestion de l'identité des clients et à la sécurisation de leurs données. Avec une structure, créée dès 2026, et de premiers choix technologiques qui se profilent (notamment sur la data marketplace pour laquelle un appel d'offres doit être publié prochainement, après plusieurs mois de tests).
A la fois DSI groupe et directeur général de CAGIP, Olivier Biton pilote la filière technologique d'un groupe dont le budget IT atteint 5,8 Mds€ en 2026. 25 000 personnes travaillent dans les métiers de la technologie au sein de Crédit Agricole.

CIO : Pourquoi avez-vous pris la décision de créer une structure transverse data et IA ?

Olivier Biton : Sur la data, il existe déjà énormément de partages au sein du groupe. Mais vouloir accélérer sur ce sujet suppose de mettre en mettre des processus très outillés, en matière de gouvernance de la donnée, de pilotage de ses usages, de modalités de partage de la valeur entre les entités du groupe. Afin de ne plus être freiné par des partages de point à point. L'enjeu consiste à industrialiser les partages de données entre ceux qui en disposent et ceux qui les utilisent, de façon à moins solliciter les IT des entités exposant les données. L'objectif est de disposer d'un catalogue des données exposées, en temps réel ou en différé, associées aux conditions d'usage.

Comme nous avons créé des structures communes sur les infrastructures, nous allons vers le regroupement de la data, de la confiance et de l'IA - qui forment un tout cohérent - au sein d'une entité spécifique à l'échelle du groupe.

Quel rôle jouera cette future structure dans le déploiement de l'IA ?

En aucun cas, nous ne nous lançons dans une sorte de labo IA à l'échelle du Crédit Agricole qui piloterait son déploiement. Mais, mutualiser un certain nombre de ressources a un sens économique. C'est le cas des assistants IA, par exemple. Beaucoup d'initiatives ont vu le jour dans le groupe. Mais ces solutions doivent être maintenues et leur convergence vers l'agentique assurée. Sur ce terrain, nous allons créer des synergies pour retenir une à deux solutions pour le groupe. Cela vaut aussi pour les socles soutenant le déploiement industriel de l'IA, autrement dit son intégration dans des processus à grande échelle de l'entreprise. Sans ces socles communs, nous rencontrerons des difficultés à fournir des outils uniformes sur des processus inter-entités, ce qui est fréquent dans le groupe. Nous avons besoin d'une colonne vertébrale pour que le déploiement de l'IA permette une automatisation des processus de bout en bout, sans couture pour nos clients. Par ailleurs, entre l'assistant et cette IA industrielle, subsiste une zone grise, ciblant des automatisations locales. Une sorte de saison 2 de la RPA, avec des capacités décuplées ! Là aussi, nous avons besoin de fondations communes.

PublicitéMais, dans tous les cas, ce sont bien les experts en local qui procèdent aux déploiements et à la transformation des processus. Nous ne voulons pas créer un organe bureaucratique édictant des normes, mais plutôt un service focalisé sur le delivery technologique, dans l'esprit des services partagés opérés par une entreprise membre du groupe, qui devra démontrer sa valeur aux autres entités.

« Avec l'IA, nous allons réduire les tâches administratives de 20% et nous monitorons le ratio du temps commercial sur le temps administratif. » (Photo : Thomas Léaud)

Est-ce aussi une reconnaissance de la part des différentes entités du groupe du besoin d'atteindre une masse critique sur certains sujets technologiques ?

Absolument. Les niveaux d'investissement pour construire les solutions et surtout pour les maintenir - en particulier dans l'IA et la confiance numérique - sont colossaux. Mieux vaut donc agir à l'échelle du groupe.

Vos concurrents communiquent au marché des ambitions chiffrées de création de valeur associée à l'IA. Pourquoi n'est-ce pas votre cas ?

Nous avons communiqué sur des chiffres d'optimisation de nos charges, mais pas sur l'affectation de ces gains. Avec l'IA, nous allons réduire les tâches administratives de 20% et nous monitorons le ratio du temps commercial sur le temps administratif. Nous partons du principe que nous pilotons l'économie globale de la banque avec des leviers - l'IA, l'IT, le digital... - mais nous ne communiquons jamais sur le découpage entre eux. Nous voulons qu'ils forment un tout, plutôt que d'entrer dans une logique de pilotage par silo.

Dans le plan Act 2028, la mutualisation des applications d'IA cible en particulier le KYC (Know Your Customer). Pourquoi ?

Parce que ces applications apparaissent comme un prolongement naturel de la place de marché data, des actifs d'IA et des capacités de confiance numérique. Et parce que ce sont des sujets qui consomment énormément de ressources au sein des banques. Franchir une étape en termes de modernisation, d'automatisation et d'intégration de l'IA dans ces processus nécessite des investissements significatifs. Les mutualiser a donc tout son sens. Par ailleurs, le KYC est très lié aux sujets d'identité, donc aux perspectives ouvertes par les initiatives portées par les Etats et l'UE. Refondre tous nos processus de KYC autour de ces logiques sera plus rationnel économiquement si nous investissons dans un unique point focal. Le KYC figure également tout en haut de la liste en matière de déploiement de solutions agentiques industrielles.

« Nous voulons nous assurer que, sous prétexte d'IA, on ne revienne pas sur ce que nous avons mis des années à déployer pour segmenter les rôles et habilitations dans la production. » (Photo : Thomas Léaud)

Quel est l'impact de l'IA sur les métiers technologiques eux-mêmes ?

D'ici trois ans, tous les collaborateurs IT du groupe devront être équipés de ces capacités. Le plus évident aujourd'hui, ce sont les assistants de codage, même s'ils montrent encore des limites sur les phases de maintenance. L'objectif est désormais de les généraliser. Nous sommes en phase de maturation sur le déploiement d'agents pour les phases d'intégration, de tests et de déploiement, mais aussi sur les phases amont, de conception, d'architecture et de rédaction des dossiers de sécurité. Se pose aussi la question de la transformation de nos opérations IT. L'intérêt est assez évident sur la cyber ou le traitement massif des logs. Reste à savoir jusqu'où nous pourrons aller dans l'usage des agents au sein d'environnements régulés comme les nôtres. Nous voulons nous assurer que, sous prétexte d'IA, on ne revienne pas sur ce que nous avons mis des années à déployer pour segmenter les rôles et habilitations dans la production par exemple.

Est-ce que l'IA est une piste intéressante pour moderniser des patrimoines de code anciens, comme le Cobol ?

Avec les technologies d'IA générative seules, ces opérations ne fonctionnent pas. On peine en effet à prouver que le nouveau code respecte bien le processus attendu, qui est lui-même souvent faiblement documenté. Quand on combine la GenAI à d'autres types d'IA et à des moteurs de règles, les résultats sont plus intéressants. Cela ouvre la porte à des traductions d'applications pour lesquelles on serait capable de garantir le respect des processus prévus. Mais deux questions se posent. D'abord, ces traductions seront-elles maintenables ? Ensuite, se pose la question du sourcing de développeurs ? Car il est en réalité très facile de former de bons ingénieurs ou scientifiques à l'entretien de patrimoines Cobol. Procéder à ces traductions n'est donc plus un sujet prioritaire pour nous, surtout depuis que nous constatons des réinvestissements sur le mainframe. Le risque d'obsolescence sur la plateforme sous-jacente nous paraît donc maîtrisé.

« Pour des questions d'indépendance, nous réinvestissons dans nos propres infrastructures, en particulier sur nos capacités de cloud. » (Photo : Thomas Léaud)

Le plan Act 2028 insiste également sur la souveraineté sur vos infrastructures, et en particulier sur votre cloud privé. Quelles sont les principes de cette stratégie ?

Je préfère d'abord parler d'autonomie stratégique, car le scénario excluant toute dépendance extra-européenne n'existe pas et n'existera pas pendant longtemps. Nous voulons nous assurer que nos dépendances, directes ou indirectes, soient acceptables au regard de la criticité du service concerné et de la sensibilité des données associées. Sur la partie donnée, les politiques du Crédit Agricole sont très strictes, depuis toujours. Le vrai défi réside dans la continuité de services. Nous n'accepterons plus certaines dépendances pour des services critiques pour notre activité et/ou pour l'environnement dans lequel nous opérons.

Cela signifie que les services les plus critiques doivent être déployés sur des infrastructures pleinement maîtrisées en run. Que ceux ayant une criticité moyenne peuvent rejoindre des environnements de confiance, en zone Europe. Et que seuls les services non critiques peuvent exploiter le cloud public s'il n'est pas « de confiance ». En conséquence, nous réinvestissons dans nos propres infrastructures, en particulier sur nos capacités de cloud, où des environnements en conteneurs côtoient des solutions Paas/IaaS, combinant des solutions open source et propriétaires.

Avez-vous une démarche volontariste pour industrialiser des solutions européennes ?

Absolument. Nous affirmons clairement qu'à chaque fois que c'est possible, nous ferons le choix des solutions technologiques européennes. Parce que nous avons intérêt à ce que ces solutions se développent ! Nous y travaillons en coordination avec les capacités d'investissement du groupe pour pouvoir jouer sur les deux registres.

Sur le cas particulier de l'Open Source, le critère clef de décision réside dans notre capacité à avoir un poids suffisant dans les contributions. Nous sommes dans une démarche de cadrage sur le sujet, avec de premières réorientations technologiques suite aux impulsions données par le plan Act 2028 il y a deux mois.

« Nous investissons entre 100 et 200 M€ dans deux nouvelles salles, pour héberger des capacités d'IA et de calcul intensif. Ces infrastructures seront livrées dans deux ans. » (Photo : Thomas Léaud)

Cette politique vous conduit-elle à réinvestir dans vos datacenters ?

L'essentiel de nos capacités est effectivement concentré dans nos datacenters. Même si nous avons aussi des environnements hébergés chez des tiers, en France et à l'international. Nous sommes en train de réviser cette empreinte externalisée, pour s'assurer de la conformité à Dora, mais aussi pour tenir les montées en charge qui se profilent sur les infrastructures. Et nous venons, par ailleurs, de décider de nouveaux investissements dans deux nouvelles salles, pour héberger des capacités d'IA et de calcul intensif. Elles offriront plus de puissance au mètre carré et reposeront à 100% sur le Liquid Cooling. Ces infrastructures seront livrées dans deux ans et représentent un investissement compris entre 100 et 200 M€, selon les éléments pris en compte. Ces ressources ne nous rendront pas auto-suffisants en la matière, mais elles permettront d'effectuer de l'inférence sur des données critiques, voire d'entrainer des modèles dans certains cas. A mes yeux, conserver ces capacités en interne a une autre vertu : rester en mesure d'évaluer les offres du marché.

Cette mutualisation des infrastructures concerne-t-elle aussi CA-CIB, la banque d'investissement ?

CA-CIB utilise les infrastructures mutualises pour partie, mais il est vrai qu'une part importante reste spécifique, avec des datacenters dédiés en location. Et du fait de son activité - par nature très internationale -, cette entité gardera des particularités. Mais, sur la construction du cloud - notamment sur l'architecture conteneurisée -, nous avons cloné les services de CAGIP dans un environnement spécifique CA-CIB. Nous partageons donc les mêmes souches techniques. Et nous avons acté en 2025 un plan de convergence progressif, mais raisonné, avec la banque d'investissement. Les synergies sont de plus en plus nombreuses, et pas seulement en France. Nous nous dirigeons vers des stratégies de plus en plus industrielles, sur l'ingénierie, les logiques d'exploitation et d'automatisation ou encore la cybersécurité. Sur des activités ayant la taille critique comme c'est le cas ici, la mutualisation des infrastructures elles-mêmes est en revanche peu significative économiquement.

Le plan Act 2028 se traduit par un certain nombre d'investissements. Allez-vous vers une augmentation de vos budgets IT ?

Il n'est pas question de se laisser aller à une forme de fuite en avant sur la dépense IT. Le vrai enjeu est d'en prouver la valeur générée pour l'entreprise. Sans effort de rationalisation et de nettoyage du passif, chaque euro supplémentaire dépensé se dilue et sa valeur effective est de plus en plus faible. Nous sommes dans une logique de stabilisation, aux bornes de ce que nous avons décidé de faire ensemble. Ce qui suppose un plan de rationalisation, en parallèle des investissements mentionnés auparavant. Ce plan doit équilibrer le budget IT à court terme, mais surtout le soulager à long terme. Notre ambition, et c'est probablement l'un des défis majeurs d'Act 2028, consiste à faire suffisamment de ménage dans nos SI pour que, dans trois ans, nous ayons allégé de manière pérenne les dépenses récurrentes. Ce qui passe par des rationalisations sur les infrastructures, sur le patrimoine applicatif mais aussi sur les offres métiers, pour lesquelles nous devons faire l'effort de migrer vers les plus récentes pour démonter tous les socles sous-jacents aux plus anciennes.

« Sur les infrastructures, nous avons réussi, depuis presque trois ans, à compenser les effets inflationnistes par la négociation et la gestion des dépendances d'un côté, et par des efforts de rationalisation et d'automatisation de l'autre. » (Photo : Thomas Léaud)

L'inflation pratiquée par les fournisseurs ne menace-t-elle pas votre trajectoire financière. Comment la maitrisez-vous ?

Face à des hausses de tarifs parfois folles, dépassant souvent les 15% en début de négociation, le seul levier réside dans la capacité à changer, même quand on s'appelle Crédit Agricole. Nous y travaillons depuis quelques années et nous renforçons encore cette approche au travers du plan. Avec une bonne gestion des dépendances, nous parvenons à contrebalancer ces hausses. Sur le seul périmètre des infrastructures, nous avons ainsi réussi, depuis presque trois ans, à compenser les effets inflationnistes par la négociation et la gestion des dépendances d'un côté et par des efforts de rationalisation et d'automatisation de l'autre.

Quelles sont vos principales priorités pour 2026 ?

D'abord transformer l'essai sur la création des capacités groupe sur la data, l'IA et la confiance numérique. Notre initiative de mise en commun des infrastructures a mis trois ans à être pleinement opérationnelle. Nous ne sommes plus sur ces échelles de temps aujourd'hui. Nous avons donc une vraie pression sur les délais, ce qui demeure un vrai défi dans un groupe comptant autant d'activités.

La deuxième priorité réside dans la maîtrise des risques et des dépendances. Nous cherchons ainsi des indicateurs permettant de mesurer notre niveau de dispersion technologique. L'enjeu est de parvenir au bon équilibre entre maîtrise des dépendances et multiplication des solutions, qui nous soumettrait aux obsolescences et virages technologiques de tous les fournisseurs du marché. A ce titre, l'Indice de résilience numérique [une initiative de place, portée par une association, NDLR] offre une lecture dynamique de la situation qui nous paraît intéressante. Mais ce sujet de gestion des dépendances n'est pas qu'un sujet technique ! Il s'agit de transformer des cultures de choix technologiques et de sourcing en interne, dans le cadre d'un alignement avec la place. Faute de quoi nos efforts resteraient vains. Nous bénéficions d'un bon momentum actuellement, mais celui-ci ne doit pas se limiter à une réaction apeurée face à la situation internationale.

Généraliser les logiques cloud pour optimiser les budgets

Achever le move to cloud pour démonter le patrimoine Legacy (environ 30% du total aujourd'hui) : tel est l'objectif que s'est fixé le Crédit Agricole pour les trois ans qui viennent. « Pour des bénéfices bruts considérables, puisque ces opérations nous permettent de diviser par deux l'incidentologie et de réduire ces coûts de 40% », indique Olivier Biton. Sauf que ces chiffres ne tiennent pas compte de l'augmentation des volumes sur la période. « Notre objectif consiste donc plutôt à encaisser les hausses de volume sans impact significatif sur les charges », reprend le dirigeant.

Pour réussir cette bascule, deux leviers cohabitent : un programme de modernisation dépendant de chaque DSI, avec pour cible la plateforme de conteneurs, et un programme de migrations semi automatisées vers le PaaS, pour éliminer les approches IaaS. « Nous avons déjà effectué des milliers de migrations de ce type ; il nous faut désormais terminer l'exercice. C'est à la fois un enjeu économique et un enjeu de gestion des risques IT : gérer le patch management dans des souches qui ne seraient pas nativement automatisées n'est plus envisageable aujourd'hui », dit Olivier Biton.

Enfin, à ces travaux, s'ajoute l'optimisation du patrimoine applicatif et des offres, même si, comme le reconnaît le DSI groupe, ces efforts ne seront pas rentables à l'échéance du plan Act 2028. « Le groupe Crédit Agricole sait raisonner à long terme. Nous sommes capables d'investir sur les trois années du plan actuel pour engranger les bénéfices sur le plan suivant », dit-il.