Un utilitaire KYC (Know your Customer) créé au Luxembourg, piloté par EBRC et validé par les principales banques

Un utilitaire KYC (Know your Customer) créé au Luxembourg, piloté par EBRC et validé par les principales banques
par A. Keilmann - IT One 23/11/2020
Banque, Assurance & Fintech
Santé et Sciences de la Vie
Secteur public & Institutions européennes
Défense & Spatial
Technologie et Editeurs logiciels
Energie, Logistique & Industrie

La transformation numérique en cours des banques - et des institutions financières en général - n'a rien de nouveau. Pourtant, le numérique est si vaste et la quantité de travail à accomplir si importante que les nouveaux entrants sont en mesure de fournir des services innovants axés sur des aspects spécifiques. Pascal Morosini (CEO, i-Hub) et Abdelha Tayeb (CIO, i-Hub) nous en disent plus sur la création du i-Hub RegTech, décrivant leur proposition de valeur tout en évoquant leur collaboration avec BGL BNP Paribas et Fernand Lepage (Director KYC Office, BGL BNP Paribas). Les experts ont également mis l'accent sur la valeur ajoutée d'EBRC et sa participation essentielle à la réussite de cette collaboration.

Offrir un parcours client innovant dans un environnement réglementaire en constante évolution

Selon une récente enquête publiée par le Digital Banking and FinTech Innovation Cluster d'ABBL, qui se focalise sur la mutualisation et l'externalisation dans le secteur des services financiers, KYC est considéré comme l'une des priorités par la plupart des répondants. 93% d'entre eux estiment que la mutualisation de certaines fonctions entre institutions est précieuse pour la communauté des services financiers et 71% pensent que les domaines les plus intéressants dans lesquels s’embarquer sont la connaissance du client (KYC – Know Your Customer), la lutte contre le blanchiment d'argent (AML – Anti-Money Laundering) et la lutte contre le financement du terrorisme (CFT – Combating Financing of Terrorism). Comme l'explique Pascal Morosini, « L’externalisation de KYC s'accélère clairement et il existe un besoin spécifique et une demande croissante de la part de la place financière luxembourgeoise depuis 10 ans. Ce rêve de création d'un utilitaire KYC centralisé est maintenant devenu une réalité, made in Luxembourg. »
Dans le contexte actuel de réglementation accrue, les banques se transforment grâce au numérique, ce qui peut véritablement faciliter la routine quotidienne des banquiers en allégeant ou même en remplaçant leurs tâches redondantes, tout en apportant une valeur ajoutée significative aux institutions financières ainsi qu'à leurs clients. Dans le cadre de la récente réglementation KYC, tous les acteurs du secteur des services financiers sont tenus de collecter un nombre croissant de données concernant leurs clients tout en devant également les mettre à jour régulièrement. « KYC est l'un des principaux processus d'affaires de la banque et est donc réglementé par la CSSF. Et lorsqu'il s'agit d'externalisation, nous devons nous rappeler que la banque reste responsable de la sécurité et de la disponibilité des données des clients. La banque est également responsable de l'analyse des risques, » souligne Fernand Lepage. Alors que BGL BNP Paribas connaît une profonde transformation numérique pour répondre aux nouveaux besoins de ses clients, la banque a décidé de s'associer à i-Hub, une start-up créée il y a 3 ans par POST Group avec la promesse de fournir des KYC managed services innovants. Comme le souligne le KYC Office Director de la banque, « notre collaboration a débuté en 2018, avec pour objectif d'offrir une nouvelle expérience utilisateur à nos clients ainsi qu'un parcours client innovant. En effet, cela incommode les clients de devoir remplir les mêmes documents à différents moments de leur relation avec leur banque : par exemple, ils peuvent désormais autoriser le partage de leurs informations, dans un environnement sécurisé et confidentiel. En tant qu'outil d'acquisition de données, cette solution nous permet de nous concentrer sur notre cœur de métier tout en faisant confiance à i-Hub et à ses services innovants d'externalisation de KYC. »

Une plateforme sur mesure, développée - et hébergée - au Luxembourg

Pascal Morosini, CEO, i-Hub
i-Hub, une RegTech Powered by EBRC

Pour répondre aux nouveaux besoins des banques liés à un environnement réglementaire en rapide évolution, l'équipe i-Hub a construit sa plateforme à partir de zéro. La start-up a en effet été lancée par le groupe POST pour permettre l'externalisation des KYC managed services : grâce à son affiliation avec le groupe luxembourgeois, i-Hub a bénéficié dès le départ de la chaîne de confiance de POST. De plus, la réglementation luxembourgeoise exige que les prestataires de services soient certifiés PSF (Professionnel du Secteur Financier) pour pouvoir fournir des services aux institutions financières. « Pour que BGL BNP Paribas puisse collaborer avec i-Hub sur ce sujet spécifique, il fallait absolument que la start-up obtienne la certification PSF (Professionnel du Secteur Financier) et soit réglementée de la même manière que la banque elle-même. Par exemple, dans le cas de données hébergées en dehors du Luxembourg, il nous aurait fallu demander l'autorisation de nos clients. Mais comme i-Hub est réglementé et que son infrastructure se trouve au Luxembourg, nous sommes soumis à la même législation et travaillons en étroite collaboration avec une entité locale et réglementée, » ajoute Fernand Lepage.

La plateforme en elle-même a été construite de toutes pièces pour répondre aux besoins de la place financière luxembourgeoise. « Tout d'abord, lorsque l'on évolue dans l’industrie des services financiers, la sécurité et la confidentialité sont des aspects essentiels, car les banques nous confient les dossiers de leurs clients qui doivent également être disponibles 24 heures sur 24, 7 jours sur 7. En fait, comme nous assistons à une importante vague de mutualisation, nous devons, en tant que start-up et prestataire de services, être encore plus exigeants en termes de qualité afin de pouvoir servir et satisfaire l'ensemble de l'écosystème. Pour ce faire, nous nous appuyons sur des partenaires ayant les mêmes normes et qui s'alignent sur ces aspects clés, afin de renforcer davantage cette chaîne de confiance, » explique Abdelha Tayeb. De plus, pour garantir le plus haut niveau de sécurité, i-Hub effectue quatre tests de pénétration par an, et bénéficie de l'aide des hackers Cyberforce du groupe POST - répartis en équipes bleues et rouges - pour travailler sur de multiples scénarios d'attaques et finalement améliorer les processus et stratégies de défense.

Pour choisir le partenaire idéal, i-Hub a lancé un appel d'offres et a finalement choisi EBRC. « En tant que jeune start-up, composée à l'époque d'une quinzaine de personnes, nous nous sommes entièrement concentrés sur la construction d'une plateforme qui répondrait aux besoins du secteur financier. Par conséquent, EBRC cochait toutes les cases en termes de sécurité (avec son SOC), d'intégration de la technologie et d'offre de managed services, » ajoute le CEO d’i-Hub. Il explique également que le partenariat avec un fournisseur d'infrastructure et de sécurité renommé a permis un développement rapide de la solution. « Il nous a fallu moins de temps pour déployer la plate-forme. Au cours des deux dernières années, nous n'avons jamais connu de temps d'arrêt en termes de disponibilité. Les équipes d'EBRC sont également extrêmement réactives et peuvent rapidement nous fournir des serveurs supplémentaires ou des technologies innovantes si nécessaire. Leur infrastructure OpenShift et leur méthodologie DevSecOps permettent la conteneurisation des applications, le développement agile et la production continue. La flexibilité et l'agilité de notre partenaire sont cruciales : sans EBRC, nous n'aurions pas pu déployer notre solution et ne serions pas considérés comme une véritable Regtech », soulignent Pascal Morosini et Abdelha Tayeb. Les experts soulignent deux des principales valeurs d'EBRC : son expertise et son expérience en matière de managed services, ainsi que sa capacité à fournir des produits innovants. Selon le CIO, « ils combinent le meilleur des deux mondes. De plus, le serveur d'équilibrage de charge assure une disponibilité continue, et ajoute donc une couche supplémentaire en termes de confiance et de sécurité. Le produit traditionnel a été amélioré et adapté aux nouvelles normes, ce qui permet désormais à i-Hub de parler avec succès à des clients extrêmement exigeants - de les convaincre - et de faire son entrée dans l’industrie des services financiers. »

Une collaboration réussie avec un groupe bancaire de premier plan

La plate-forme i-Hub est composée de trois environnements différents. « Premièrement, le back office est géré par nos experts en charge de la mise à jour des fichiers et de la remédiation. Il existe également un environnement accessible via une API et un portail web pour nos clients du secteur financier. Et enfin, il existe un portail dédié aux clients de nos clients, qu'il s'agisse de personnes ou d'institutions, pour qu'ils puissent mettre à jour leurs données et documents et donner leur accord pour mutualiser leurs informations, » souligne le CEO de la start-up. La start-up, dans le contexte de l’open banking, fournit à la banque un concept intelligent et novateur qui réduit les obstacles à l’adoption de la technologie ainsi que le temps de mise sur le marché (time-to-market) : elle peut en effet jouer un rôle central en mutualisant l'effort et donc en convainquant le marché.

Dans les premiers mois de sa collaboration avec BGL BNP Paribas, le groupe bancaire a mandaté une société de cybersécurité située à Tel-Aviv pour auditer entièrement les processus et les services d’i-Hub. « Les résultats ont été positifs et nous avons constaté que nous avions déjà satisfait les exigences de 13 des 18 piliers de la certification ISO 27001. Nous avons décidé de compléter un travail déjà bien entamé et avons travaillé avec la même société pour aborder les éléments manquants. Nous avons finalement obtenu la certification en moins d'un an. Nous avons ensuite choisi d'étendre ce processus de certification avec l'équipe EBRC-Advisory Services, et sommes maintenant également titulaires de la norme ISO 22301, qui traite de la continuité des activités, » explique Pascal Morosini. Il est également important de souligner que les experts en cybersécurité ont également visité les infrastructures d'EBRC afin d'auditer l'ensemble de la « chaîne de confiance ».

Fernand Lepage, Director of KYC Office, BGL BNP Paribas
BGL BNP Paribas

Avant de mettre en place le système, BGL BNP Paribas et i-Hub ont travaillé sur un PoC - Proof of Concept - avec 500 clients de la banque utilisant la plateforme, avec parfois des besoins exprimés au petit matin, et des solutions développées dans les heures suivantes pour être finalement déployées à 13h. Le Director KYC Office commente : « i-Hub a passé avec succès le test technologique car aucun de nos clients n'a exprimé de sentiments ou de commentaires négatifs par rapport à cette plateforme innovante ».  Une fois déployée, la plateforme doit être disponible pour les 300.000 clients de la banque, sans interruption de service. Comme l'explique Fernand Lepage, la plupart des clients ouvrent généralement leur compte bancaire entre 8h et 16h, ce qui peut être géré facilement, mais toutes leurs autres actions, de jour comme de nuit, doivent donc être traitées quand ils le souhaitent. L'infrastructure doit être flexible, adaptable et contrôlée par des professionnels, et doit bien sûr supporter et gérer un volume important de données. Abdelha Tayeb ajoute : « chaque client représente environ 250 points de données. Multiplié par le nombre de clients, avec des mises à jour régulières, le volume de données est énorme et géré via notre plateforme. D'autre part, BGL BNP Paribas peut se concentrer sur l'évaluation des risques plutôt que de passer du temps à acquérir des données ». Fernand Lepage souligne également l'importance de la communication lors de la mise en œuvre de solutions innovantes et perturbatrices dans les systèmes existants : « en interne, la communication est essentielle pour embarquer tous les collaborateurs dans cette nouvelle aventure car certains pourraient craindre de remettre des données et des informations à un fournisseur tiers. Nous devions les rassurer et leur expliquer clairement que nous ne partagions que des données d'identification et pas du tout de données bancaires. Nous évoluions dans un secteur qui prônait le secret bancaire et le cryptage des données, et nous sommes désormais entrés dans l'ère de l’open banking, avec le KYC qui devient un utilitaire. Il était donc essentiel d'adapter notre stratégie de communication, tant bien en interne qu’en externe. »

Les membres du conseil d'administration de BGL BNP Paribas ont validé la solution, tout comme les départements informatique et juridique, car elle répond aux besoins les plus récents exprimés par les clients et motivés par la réglementation. « Avec i-Hub, les banques - et à terme leurs clients - bénéficient d'une solution tout-en-un, avec, contrairement à la plupart des start-ups, l’accent mis la sécurité. Le processus de décision peut sembler fastidieux mais il implique des réflexions et des transformations profondes : suite à l'audit, au PoC et aux derniers développements, nous sommes convaincus d'avoir choisi la start-up offrant la meilleure solution pour faire face aux défis réglementaires actuels tout en offrant à nos clients une plateforme innovante et intuitive, » souligne Fernand Lepage. Au Luxembourg, environ 80 collaborateurs BGL BNP Paribas travaillent sur des sujets liés au KYC ; cependant, à l'échelle du groupe, plus d'une centaine d'experts travaillent actuellement sur le KYC.

Par le biais de son programme « powered by EBRC », la société, qui a initialement érigé son infrastructure pour l’industrie des services financiers, vise à faciliter les opérations informatiques de ses partenaires afin de réduire drastiquement le temps de mise sur le marché (time-to-market). Sa méthodologie DevSecOps responsabilise les équipes IT, permet de redéfinir les approches commerciales et favorise l'amélioration régulière des applications. Elle présente également des garanties de sécurité essentielles grâce à ses nombreuses certifications et instaure la confiance grâce à son expérience. i-Hub bénéficie ainsi d'une infrastructure sécurisée, robuste et disponible sur laquelle construire sa plate-forme, tandis que BGL BNP Paribas prône la mutualisation des technologies - avec la participation du plus grand nombre d'acteurs possible, au profit de l'ensemble de l'écosystème. Alors que BGL BNP Paribas modernise ses systèmes existants, par le biais de i-Hub et indirectement d'EBRC, la banque s'appuie désormais sur une plate-forme sécurisée, qui vise à normaliser le marché. « i-Hub, qui intervient en tant que partenaire neutre et de confiance, accélère le rythme de la transformation et apporte une valeur ajoutée significative à nos services bancaires et, à terme, à nos clients finaux grâce à une expérience utilisateur innovante et à un parcours client numérique. Dans un environnement de confiance, tout au long de la chaîne, » conclut Fernand Lepage.