IT : DSI/CIO - RSSI/CISO - CDO

Comment allier data, IA Générative et sécurité ? Le retour d’expérience de Desjardins, 1er groupe financier coopératif en Amérique du Nord

Bien que la collaboration entre la data office et la direction sécurité ne soit pas un concept entièrement nouveau, son importance s’est considérablement renforcée à mesure que les entreprises sont devenues de plus en plus dépendantes des données et confrontées à des défis croissants en matière de cybersécurité, d’IA générative et de conformité réglementaire.

Après une fuite de données majeure en 2019, le groupe Desjardins, 1er groupe financier coopératif en Amérique du Nord a mis en œuvre plusieurs mesures en interne pour répondre à cet incident et renforcer sa posture de sécurité avec la création du Bureau de la sécurité. Cette nouvelle entité a été chargée de regrouper et de centraliser toutes les pratiques de sécurité au sein de l’organisation en incluant la sécurité de l’information, la lutte contre la fraude, la sécurité physique, et d’autres aspects cruciaux pour assurer la protection des données et des membres.

Retour d’expérience avec Mathieu DEROME, Chef des données et Vice-Président Analytique membres et clients et Nicolas COULOMBE, Chef de la sécurité de Desjardins, 1er groupe financier coopératif en Amérique du Nord.

Interview :

Julien Merali : On n’a pas l’habitude, en tout cas en France, de voir ce type de fonctionnement où le département de la data a autant de proximité avec le département de la sécurité. Mais d’abord, présentez-nous Desjardins.

Nicolas Coulombe: Ce n’est pas une banque traditionnelle ; on pourrait la comparer au Crédit Mutuel en Europe. Au Canada, Desjardins est une organisation fondée il y a près de 125 ans par Alphonse Desjardins. À cette époque, de nombreux Canadiens, notamment dans le secteur agricole, avaient du mal à obtenir du crédit. Pour répondre à ce besoin, Alphonse Desjardins a créé une institution financière qui, depuis sa fondation, a maintenu sa mission d’accompagner ses membres vers l’autonomie financière.

Cette mission est restée la même : accompagner nos membres et clients vers l’autonomie financière. Aujourd’hui, Desjardins opère dans quatre secteurs d’affaires : services bancaires aux particuliers, services aux entreprises, assurances de personnes et de groupes, et gestion de patrimoine.

Le quatrième secteur d’affaires est l’assurance de dommages pour les maisons, les véhicules et les entreprises. Desjardins est d’ailleurs le deuxième ou troisième plus grand assureur de dommages au Canada. Nous servons près de 8 millions de membres et clients avec l’aide de 54 000 employés. Le siège social est situé à Lévis, Québec, avec des bureaux également à Montréal et d’autres emplacements à travers le Canada. Nous comptons 204 caisses, 661 points de service, 1 559 guichets automatiques et gérons 422 milliards de dollars en actifs.

Nicolas, quel est le périmètre de votre fonction ?

Nicolas Coulombe: Je suis le chef de la sécurité de Desjardins. Notre mission est de protéger les actifs ainsi que les renseignements personnels de nos membres et clients. Ce qui est notable dans notre organisation, c’est la centralisation de toutes les activités de sécurité sous une seule et même structure.

Nous avons regroupé six pratiques de sécurité : la protection des renseignements personnels, la sécurité de l’information, la gouvernance des données, la lutte contre la fraude, la lutte contre les crimes financiers, et la sécurité physique. Cette équipe est composée de près de 1600 personnes, et je relève directement du chef des opérations de Desjardins.

Mathieu, présentez-nous votre rôle qui est très singulier.

Mathieu Derome : Je suis CDO et je m’occupe de la gouvernance des données ainsi que de l’analytique, incluant l’intelligence artificielle, pour le groupe. Mon mandat est relativement récent, ayant été créé en 2020. Avant cette date, cette fonction n’existait pas.

Je souhaite souligner une particularité que nous aborderons plus en détail par la suite. Je relève à la fois du secteur d’affaires de la première vice-présidente des services bancaires aux particuliers et j’ai également un lien matriciel avec Nicolas au niveau du Bureau de la sécurité.

En résumé, je suis responsable de la stratégie de données pour l’ensemble du groupe et j’accompagne chaque secteur d’affaires et fonction de soutien dans l’élaboration de cette stratégie de données.

Nous avons donc des plans d’exécution et de transformation concernant les données et les aspects technologiques pour s’assurer de la bonne réalisation des projets, aussi bien en mode opérationnel et usages qu’en termes de gouvernance des données?

Nicolas, pourriez-vous nous retracer l’historique du Bureau de la sécurité chez Desjardins ? Pourquoi en avoir fait une entité indépendante ? Il est vrai que dans de nombreuses entreprises, on observe souvent des différences dans la gestion de la sécurité. Vous avez mentionné la sécurité numérique ainsi que la sûreté physique.

En France, nous tendons vers cette approche, mais ce n’est pas encore généralisé, et encore moins en ce qui concerne les données. Y a-t-il eu un élément déclencheur pour la création de ce Bureau de la sécurité chez Desjardins ?

Nicolas Coulombe: Tout d’abord, en Amérique du Nord, nous observons une tendance vers des regroupements similaires à ce que nous avons fait chez Desjardins, bien que peu d’organisations l’aient réellement concrétisé comme nous. La plupart adoptent des structures matricielles. Avant 2019, le chef de la sécurité de l’information chez nous relevait du CIO et de l’équipe des technologies, ce qui est une situation courante à travers le monde.

Si l’on prend d’autres spécialités comme la lutte contre la fraude ou le blanchiment d’argent, elles dépendaient de différentes lignes d’affaires. Les 1600 employés concernés étaient dispersés à travers plusieurs organisations chez Desjardins.

Il y a eu un élément déclencheur en 2019 : une fuite d’informations majeure due à un employé malveillant, qui a fait la une des journaux pendant plusieurs semaines sinon mois. Pour redresser cette situation avec nos membres et clients, nous avons créé le Bureau de la sécurité et regroupé toutes les pratiques de sécurité en janvier 2020. Cette décision a été prise après une étude de marché pour adopter les meilleures pratiques et assurer à Desjardins une posture de sécurité adéquate non seulement en 2020 mais aussi pour l’avenir.

Une décision a été prise de regrouper l’ensemble des pratiques de sécurité dans une même et seule organisation. C’est également à cette période que le rôle de chef des données a été créé au Mouvement Desjardins.

Nicolas, comment Desjardins a-t-il géré cet incident pour regagner la confiance des clients ? Plutôt que d’essayer de dissimuler l’incident, vous avez cherché à en tirer des leçons et à capitaliser sur cette expérience ?

Nicolas Coulombe: Fidèles à nos valeurs, ce que nous avons fait, c’est de nous appuyer pleinement sur les principes de Desjardins, qui existent depuis 125 ans. Nous avons fait preuve de transparence totale avec nos membres et clients. Dès que l’incident s’est produit, nous avons communiqué rapidement avec tous les clients concernés par cette fuite de données causée par un employé malveillant.

Nous avons également beaucoup investi dans la formation de nos employés de première ligne, qu’ils soient en contact direct avec les clients dans nos caisses ou au téléphone, afin d’augmenter significativement leurs capacités à répondre rapidement aux préoccupations de nos clients.

Un élément crucial a été le regroupement des forces et des pratiques de sécurité avec la création du Bureau de la sécurité et la nomination d’un chef de la sécurité sous la gouvernance de la haute direction du Mouvement Desjardins. Nous sommes restés très proches des régulateurs canadiens, comme les commissaires à la vie privée, tant provinciaux que fédéraux, et l’Autorité des marchés financiers, répondant à leurs demandes et maintenant une communication constante.

Enfin, la sécurité faisait déjà partie intégrante de la planification stratégique du mouvement. Nous avons veillé à ce que les investissements nécessaires soient effectués pour renforcer notre posture de sécurité. C’est ainsi que nous avons réagi suite à l’incident

Vous avez également mis en place des outils pour vos membres, vos clients.

Nicolas Coulombe: Pour rassurer nos membres en interne, nous avons fait de la sécurité une responsabilité collective. Bien que nous ayons un Bureau de la sécurité avec 1600 employés dédiés, les 54 000 employés de Desjardins sont tous impliqués. Chaque employé a des objectifs clairs en matière de sécurité, et nous avons mis en place un tableau de bord individuel pour suivre leurs performances sur différents aspects de la sécurité.

Pour soutenir nos membres et clients et répondre à leurs attentes, nous avons créé un site d’information accessible à l’adresse Desjardins.com/Sécurité, où nous fournissons de nombreuses ressources. Nous voulions vraiment impliquer tout le monde dans la sécurité, car c’est l’affaire de tous.

Nous avons aussi intensifié nos efforts d’éducation et de sensibilisation à la sécurité, tant en interne qu’auprès de nos membres et clients. Nous avons aussi mis en place un programme de protection pour nos membres et clients, incluant un centre d’appels disponible presque 24/7. Dès qu’un membre ou un client signale un problème de protection des données, de récupération d’identité, ou toute autre question liée à la sécurité, ils peuvent contacter cette ligne. Ce programme comprend également la surveillance des crédits. Tout ce programme de protection est assez unique parmi les institutions financières canadiennes.

Mathieu, j’aimerais que nous revenions sur les différentes étapes que vous avez mises en œuvre pour ce plan d’action de protection. Comment avez-vous réussi à rassurer nos membres et à garantir que cela ne se reproduise plus ?

Mathieu Derome : Cet événement malheureux s’est avéré une opportunité pour renforcer nos fondations et mettre en place des systèmes de données encore plus robustes. Nous avions déjà envisagé l’intelligence artificielle, mais cet incident a accéléré notre démarche. En 2020, j’ai réalisé que nous étions prêts à construire cette infrastructure.

Nous avons passé un à deux ans à revoir l’ensemble de nos systèmes, un processus parfois frustrant car il demande de la patience et ne donne pas de résultats immédiats. Cependant, il était crucial de prendre le temps nécessaire pour établir des bases solides. Cette période de renforcement a été extrêmement bénéfique.

En 2022, nous avons intensifié nos efforts, en surveillant notre degré de maturité et en identifiant nos points forts et nos faiblesses. Nous avons alors développé une stratégie de données et d’analytique pour le Mouvement Desjardins. Chaque secteur d’affaires et fonction de soutien a été impliqué dans l’élaboration de cette stratégie, alignée sur leurs objectifs spécifiques.

Nous avons ensuite mis en œuvre un plan d’exécution avec des investissements substantiels approuvés par le Conseil d’administration. Cela nous a permis de passer d’une posture défensive à une posture offensive, en valorisant nos données de manière proactive.

Les Data Offices sont assez séparées des directions sécurité. Quels sont les points positifs que vous retrouvez à cette cette organisation ?

Mathieu Derome : Je crois que c’est un point de friction dans l’exécution. En d’autres termes, il s’agissait de surmonter les silos entre la sécurité, la gestion des risques, la conformité, la valorisation des données et use cases jusqu’au développement. Je trouve que rapprocher ces aspects est très bénéfique, car cela favorise une proximité humaine.

En tant que membre des comités de gestion de Nicolas, nous discutons à la fois des grands projets en sécurité et de mes initiatives en matière de données et de valorisation des données. Cela crée des liens personnels entre différents acteurs, et ça se traduit sur le terrain. Cette collaboration renforce notre approche collective : il ne s’agit pas d’opposer les uns aux autres, mais de travailler ensemble dans une démarche défensive et offensive intégrée.

Cet écosystème que nous avons créé a un impact positif à la fois au sein de l’organisation de Nicolas et à travers tous les secteurs et métiers de l’entreprise, en promouvant une approche unifiée sur la manière de bien faire les choses.

Nicolas, on voit que les entreprises innovent sans cesse avec l’IA Générative. Et le grand sujet pour l’IT et les directions sécurité, c’est la gouvernance. Est-ce que cette organisation vous permet d’avoir aujourd’hui une meilleure gouvernance au sein de Desjardins ?

Nicolas Coulombe : Oui, certainement. Aujourd’hui, en matière de gouvernance, notre approche est d’intégrer la sécurité de manière continue. Comme vous le savez tous, nous avons chacun un portefeuille de projets d’investissements. L’objectif est de suivre les six pratiques de sécurité établies avec Mathieu au niveau de la gouvernance des données. À mesure que Desjardins progresse, nous intégrons les meilleures pratiques de sécurité, ce que l’on appelle aussi en anglais « security by design ».

Nous adoptons cette philosophie. Un autre aspect de notre gouvernance est de passer d’une posture de défense de la sécurité avec les secteurs d’affaires à un accompagnement actif vers une évolution sécuritaire. C’est l’état d’esprit que nous adoptons au quotidien en interne, dans notre gouvernance. Cela nous permet non seulement de valoriser les données, mais de le faire de manière sécurisée, avec le consentement de nos membres et de nos clients.

Comment les notions d’IA et de data analytics sont-elles intégrées dans les activités du groupe financier ?

Mathieu Derome : Nous sommes un grand groupe financier avec quatre ou cinq secteurs d’affaires, chacun intégrant l’analytique à des niveaux de maturité variables. Par exemple, dans l’assurance de dommages, une industrie très compétitive axée sur la réduction des coûts, l’analytique est depuis longtemps un pilier intégré.

On n’appelle pas toujours ça de l’intelligence artificielle, mais les modèles analytics qui prennent des décisions automatisées, ça fait plus de 25 ans que ça existe. Donc ces modèles sont largement développés dans ce domaine. Cependant, le degré de maturité n’est pas uniforme dans tous les secteurs d’affaires et fonctions de soutien. Nous accordons donc une autonomie aux équipes capables de gérer les données, tout en fournissant un encadrement standardisé à travers le groupe, ainsi que des capacités technologiques et de partage des données de plus en plus standardisées pour gagner en productivité, pour gagner en vélocité, pour partager et aussi faire vivre une expérience encore rare aussi auprès de nos membres.

C’est également fournir une expérience client exceptionnelle à travers tout Desjardins, en brisant les silos internes au sein d’un grand groupe financier unifié. Nous travaillons également avec les secteurs à uniformiser l’intégration de l’intelligence artificielle et de l’analytique dans tous les secteurs d’affaires, en nous assurant que chaque secteur définit ses objectifs et ses besoins d’affaires spécifiques.

Je souligne toujours que l’intelligence n’est pas une fin en soi, mais un moyen pour résoudre nos défis, saisir les opportunités du marché et répondre aux besoins spécifiques de nos clients. Cela peut impliquer l’intelligence artificielle ou d’autres solutions adaptées à chaque contexte. Ainsi, nous travaillons activement à intégrer ces technologies dans tous nos secteurs d’activité en fonction de leurs besoins particuliers.

Donnez-vous des cas d’usages de votre organisation en matière de sécurité.

Nicolas Coulombe :Dans une institution financière, l’un des aspects critiques à surveiller en permanence est évidemment la fraude bancaire, notamment les fraudes par carte de crédit. Cette problématique a considérablement évolué au cours des dernières années. Auparavant, nous utilisions des règles manuelles qui fonctionnaient très bien. On se souvient tous des situations où une transaction était effectuée à Paris, suivie de près par une autre à Marseille, ce qui risquait de bloquer la transaction.

Chez Desjardins, avec près d’un milliard de transactions par carte de crédit chaque année, dont la plupart en ligne, les anciennes règles manuelles ne sont plus efficaces dans près de la moitié des cas. Nous avons donc dû adopter de nouvelles méthodes de travail, notamment en développant de nouveaux algorithmes. C’est là que l’intelligence artificielle et l’apprentissage automatique entrent en jeu, permettant aux règles de s’adapter automatiquement en fonction des schémas de fraude détectés.

Cette approche nous permet d’être beaucoup plus précis qu’avec les règles générales précédemment utilisées. Bien que relativement récent, ce changement a déjà montré des résultats significatifs en termes de réduction de la fraude, ainsi qu’une diminution notable des faux positifs, ces transactions bloquées à tort. Nous avons constaté une réduction des faux positifs de l’ordre de 30 %, ce qui se traduit par des impacts positifs sur nos coûts opérationnels et une amélioration de l’expérience client.

Chez Desjardins, ces nouvelles règles ont également permis de réduire d’environ 22 % les appels liés à ce type de situation, améliorant ainsi le service client et l’expérience globale des utilisateurs. C’est un exemple concret de valorisation des données tout en renforçant la sécurité au sein du Mouvement Desjardins.

Mathieu Derome : Un exemple concret d’application de l’intelligence artificielle qui me vient à l’esprit concerne l’industrie de l’assurance de dommages, particulièrement compétitive, où la réduction des coûts est essentielle. Dans le domaine de l’assurance automobile, lorsqu’un incident survient, comme un accident, il est nécessaire d’estimer les coûts de réparation. Pour répondre à ce besoin, nous avons mis en place un processus innovant : le membre-client utilise notre application mobile pour prendre des photos de l’accident ou de la zone endommagée, tout comme le fait le carrossier, responsable de la réparation.

Ces images sont ensuite analysées par un modèle d’intelligence artificielle qui évalue automatiquement les coûts de réparation. Le modèle compare cette estimation automatisée avec celle du carrossier. Si les deux estimations sont proches, la décision d’acceptation pour la réparation est automatiquement validée, ce qui représente un gain de temps significatif.

Cependant, lorsque le modèle indique des coûts nettement inférieurs à ceux du carrossier, une intervention humaine est déclenchée pour une analyse approfondie. Cela nous permet de challenger les estimations du carrossier et d’optimiser les coûts, évitant ainsi de dépenser inutilement sur des dossiers non pertinents. Grâce à cette approche, nous réalisons plusieurs millions de dollars d’économies annuelles.

En outre, cette application améliore considérablement l’expérience client en offrant des réponses plus rapides concernant les délais de réparation, ce qui est particulièrement apprécié dans des situations souvent stressantes comme un accident.

Concernant l’IA générative, est-ce que vous avez déjà des cas d’usage qui sont en préparation ou déployés ?

Mathieu Derome : Nous avons adopté une approche similaire à celle de nombreuses industries. Initialement, tout le monde souhaitait développer une multitude de codes d’utilisation d’IA générative. Nous, nous avons commencé par établir une liste et nous nous sommes concentrés sur trois blocs principaux que nous estimions couvrir plusieurs cas essentiels. Ces trois blocs comprenaient la génération de code, l’intégration des produits Microsoft, notamment Copilote dans Office 365, ainsi qu’une preuve de concept pour développer un assistant virtuel alimenté par notre base de connaissances internes connectée à notre centre de relation client, où il aide à automatiser les procédures manuelles et à soutenir efficacement nos agents dans leurs réponses aux clients.

Notre choix de se limiter à ces trois aspects s’explique par notre volonté de bien comprendre leur fonctionnement et d’identifier les avantages associés. Nous mettons un accent particulier sur l’analyse coûts-bénéfices pour déterminer la rentabilité de chaque cas. Il est essentiel de maîtriser les coûts de chaque solution et d’articuler clairement les bénéfices attendus. De plus, nous évaluons rigoureusement les risques potentiels de ces applications et nous nous engageons dans un processus d’apprentissage continu.

Un aspect crucial est également d’assurer une assurance qualité solide pour garantir la performance des modèles déployés. Enfin, nous sommes attentifs à l’acceptation de ces solutions par nos employés, qui varie selon les profils. Dans notre quête d’efficacité opérationnelle, nous avons décidé initialement de ne pas exposer ces initiatives directement à nos membres et clients.

Nicolas, côté sécurité, comment vous préparez-vous à gérer les risques qui sont liés à l’IA Générative ?

Nicolas Coulombe : Je considère que l’utilisation de l’intelligence artificielle générative peut être bénéfique pour renforcer notre sécurité, mais il est vrai que cela introduit également de nouveaux risques ou amplifie ceux existants. Ainsi, la première étape consiste à maintenir les fondamentaux de notre posture de sécurité, que nous avons fait évoluer au cours des quatre ou cinq dernières années.

Ces principes sont essentiels. Ma première recommandation serait de garantir une hygiène de base en matière de sécurité. C’est crucial lorsque de telles nouvelles solutions sont introduites. Ce que l’on ne veut pas, c’est rester dans le même état d’esprit. Chaque personne impliquée dans l’initiative d’intelligence artificielle générative au sein de notre organisation est responsable de son propre risque et s’assure des encadrements de sécurité robustes dans son nouveau programme.

À ce niveau, notre approche ne changera pas. Parallèlement, le Bureau de sécurité a également des responsabilités, notamment la surveillance étroite pour prévenir toute utilisation inappropriée de l’intelligence artificielle générative. Nous sommes conscients des risques associés à la manipulation, à l’imitation de voix et à d’autres formes de biométrie vocale actuellement en usage.

Pour renforcer notre vigie, nous maintenons une vigilance étroite en collaboration avec diverses associations de cyberdéfense, ainsi qu’avec des organismes comme le Sénat américain, afin de nous tenir informés des dernières vulnérabilités et de protéger efficacement notre organisation en fonction de ces informations.

Une autre dimension cruciale est la gestion sécurisée de nos fournisseurs de logiciels, nombreux à intégrer aujourd’hui l’intelligence artificielle générative dans leurs solutions. Ce volet de gestion des tiers, qui a pris de l’importance ces dernières années, continuera à nous apprendre comment sécuriser efficacement les relations avec les tiers au sein d’une grande organisation.

Quels sont vos prochains défis que vous allez mettre en place conjointement entre le Département sécurité et la data office ?

Nicolas Coulombe : Si l’on aborde le sujet de l’intelligence artificielle générative ainsi que tous les domaines d’intelligence artificielle avancée, il est clair que ces outils nous permettent d’utiliser de vastes quantités de données pour protéger efficacement notre organisation et mieux servir nos membres et clients. C’est ce à quoi je pense pour notre travail avec Mathieu dans les années à venir.

Mathieu Derome : Pour ma part, je pense que nous avons encore beaucoup à accomplir en tant que grand groupe. Nous sommes un immense groupe avec des bases de données et des systèmes technologiques construits au fil du temps. Notre prochain défi est de consolider ces éléments, d’avoir des fondations solides et centralisées que nous pourrons migrer de manière efficace. Cela nous permettra de mieux répondre aux besoins de nos membres et clients dans les années à venir. Il est crucial de maintenir cet élan.

Pour conclure, je dirais que nous avons posé des bases extrêmement solides. C’est un premier pas essentiel, mais maintenant nous devons accélérer et développer davantage sur ces bases. Cela implique de créer plus de cas d’usage, de valorisation de données, et de mieux exécuter. C’est là que résident nos défis à venir, et nous nous engageons pleinement dans cette direction.

Propos recueillis par Julien Merali, Général Manager du Pôle IT d’Agora Manager

Afficher plus

Agora CDO

L'Agora CDO, Chief Data Officer, est un club dédié aux directeurs des données. Il est l'une des 17 communautés d'Agora Managers Clubs. Ce club offre à ses membres un véritable espace où règne le partage d’expérience, la convivialité et la confiance. Venez découvrir votre club professionnel en participant au prochain dîner-débat.

Articles similaires

Bouton retour en haut de la page