PAR Alexandra Oubrier

Avec les API, bienvenuedansun mondeouvert.Les« applicationprogramminginterfaces» sont desinter-

faces de programmation permettantd’accéderà desinformationsou à desservicesdansle systèmed’informationd’uneentreprise.Ellessont la clé d’unmondeinterconnectédanslequel,grâceau web, toute sociétépeut ouvrir ses

fonctions métiersà d’autres.Certainsgrands acteurs de l’internet commeExpediaouSalesforceréalisentdéjàplusde la moitié de leur chiffred’affairesàtraversdesAPI.Dansle domaineban-caireaussi,cesinterfacessontdevenuesun sujet de préoccupation.La vagued’innovationqui déferlesur le secteurfinancierpousseles banquesà s’ouvrirpour intégrerle mouvement.

Créer une API, c’est accepterdelaisserla main à d’autres sansrenon-cer à servir sesclients. « L’intérêt desAPI estdepouvoir construireà partir

desproduits desautres, expliqueEricHoresnyi,chiefexecutiveofficer(CEO)deStreamdata,qui diffusedesdonnéesfinancièresentempsréelvia uneAPIetcompteparmisesclientsBNP Paribas,La BanquePostaleet d’autresbanquesfrançaises.Maislavraiecoursen’estpastechnologique,elle sejoue sur l’expé-rienceutilisateur.Lesgagnantssontceuxquiconnaissentbienleursutilisateursetcomblentleursbesoins.Les API sontun moyend’allervite etdedistancersesconcurrentsenexposantdesservicesàdesprogrammeursexternes.C’est une

Les interfaces de programmation permettent d’ouvrir les systèmesd’information mais nécessitent un vrai changement de culture.

L'ENQUÊTE

Les API portent l’innovationdans les banques

EXPERTISE

Fotolia

http://www.agefi.fr/dossiers

Tous droits de reproduction réservés

PAYS : France PAGE(S) : 30,31,32SURFACE : 219 %PERIODICITE : Hebdomadaire

RUBRIQUE : Expertise l'enquêteDIFFUSION : (20000)JOURNALISTE : Alexandra Oubrier

15 septembre 2016 - N°531

« digitale » simplifiant la combinaisondes services internes et externes pouraméliorer l’expérience client. D’autresy voient surtout desrisqueset préfèrentattendre la publication des standardsde sécurité ( lire l’encadré) avant de selancer. Et d’autres encore en profitentpour moderniser leur systèmed’infor-mation en recomposant leurs servicespour mieux les intégrer avec ceux deleurs partenaires. « Pour cela, il leurfaut identifier les servicesélémentairesinternes utilisables dans la constructionde services enrichis, détaille-t-il. Ellesdevront orchestrer de nouveaux che-mins en agrégeantdes servicesinterneset externes. Moyennant une réflexionfonctionnelle et techniquesur leur offre,elles pourront innover sans refondrecomplètement leur systèmed’informa-tion. » Ainsi, lacréation d’API estautantun moyen d’innover que de poursuivrela transformation de leur systèmed’in-formation.

ChezBPCE, par exemple, on utiliseautour de mille API en interne, dans lecadre d’une architecture producteur-distributeur : lesréseauxde distributionont ainsi accèsaux données desclientset aux servicesdesmultiples filiales dugroupe. C’est via safiliale de paiementélectronique S-money que le groupe adécidé d’ouvrir une API externe pourpermettre à d’autres sites web qui ontbesoin d’encaisserdespaiements d’uti-liser ses fonctionnalités et son infras-tructure. « Les API et les processusde sécurité nous donnent les moyensd’ouvrir notre systèmed’information àtout un écosystèmeet ainside créerde lavaleur pour nosclients, résumePhilippePoirot, directeurdu développementdigi-tal, transformation et qualité de BPCE.C’est aussiun moyen d’urbaniser notre

évolution structurante pour le mondenumérique. » Par ailleurs, les banquesdevront ouvrir l’accès aux comptes àdes tiers dès2018 en application de ladeuxième directive sur les servicesdepaiement qui devient un accélérateurde changement.

Pour les accompagner dans cetteapproche, la sociétéallemandeTesobealancé en 2012 OpenBankProject (OBP)et propose un catalogue d’API, unenvironnement de test et une commu-nauté de 5.000 développeurs. « Nousapportons un standard, un modèle dedonnées, une plate-forme déployableen interne dans lesbanques, et un accèsà une communauté mondiale de déve-loppeurs fintech, exposeIsmail Chaib,directeur opérationnel deTesobe/ OpenBank Project. C’est un moyen de transi-tion d’une architecture rigide et ferméevers les standards du web, beaucoupplus simples à utiliser et accessiblesàun grand nombre de développeurs. »Car en donnant à d’autres le moyen debâtir des servicesà partir des leurs, lesbanques semettent en position de deve-nir desplates-formesdistribuant toutessortes d’applications via leur propre« appstore ».

RéactivitéC’est ce qu’a fait le Crédit Agricole enlançant le CAstore en 2012 avec l’ou-verture d’une API aux développeursexterneset la création d’unecoopérativede développeurs.En trois ans,cinquanteapplications sontnéesdont un tiersdéve-

loppéespar la banqueelle-même,un tierspar desdéveloppeursexternessur com-mande d’une caisserégionale et le der-nier tiers par desdéveloppeursexternesen toute indépendance.La banquecerti-fie elle-mêmelesapplications proposéesavant de les rendre disponibles sur leCAstore. Quels enseignementsen tirer ?« LesAPI apportent de la réactivité. Enquinze jours, nousavonsétéla premièrebanque au monde à sortir un servicesur l’Apple TV , se réjouit EmmanuelMéthivier, directeur du CAstore. Notreobjectif désormaisestd’exposerdavan-tage d’API et d’étendre lepérimètre desAPI internes,pour élargir le champ despossibles.» Le Crédit Agricole a sentivenir la vague mais toutes les banquesn’ont pas la mêmeposture.

Bruno Cambounet, vice-présidentdessolutions banque finance d’Axway,constatetrois attitudes parmi sesclients.Certaines banques voient la DSP2comme un stimulant pour la stratégie

UneversionprovisoiredesRTS(standardstechniquesréglementaires),définissantdequellefaçonla sécuritédel’accèsauxcomptesbancairesdoitêtreassurée,aété publiéele 12août.L’Autoritébancaireeuropéenneles metainsià ladispositiondesacteursdontelleattendlesremarquesd’iciau12octobre.Quelquespointsontdéjàfait réagirles agrégateurs.Enpremierlieu,la nécessitéd’uneauthentificationfortemensuellepourpouvoircontinuerà utiliserle service,cequipourraitavoirun impactnégatif

surles utilisateurs.Eten secondlieu,lalimitationà deuxconnexionsparjourausystèmed’informationdechaquebanque,cequivaà l’encontred’unevisionentempsréelde l’étatdesescomptespourl’utilisateur.Cesdeuxpointssontcensésassurerlasécuritécontred’éventuellesfraudeset contreun engorgementdescanauxd’accèsauxbanques,maisilsconstituentdeshandicaps

à uneutilisationfluideet pratiquedesagrégateurs.Cequineleurfaitpaspeur:«Lesbarrièresfinissenttoujourspartomberfaceauxusages»,dit l’und’entreeux.Pourrappel,Bankin’a dépassélemilliond’utilisateursetLinxo(photo) aussiil ya

quelquesjours.Enoutre,mêmesilechiffresembleencoremodeste,c’estle servicefintechleplusconnudesFrançais,selonDeloitte,avec9 %d’utilisateurs.

Lesstandardsde sécuritéen question

LesAPI apporteront aux consommateursce qu’ils attendent

LesAPI aideront à identifier les nouveauxmodèleséconomiques

LesAPI permettront d’être conforme à la réglementation (DSP2)

LesAPI accéléreront les développementset le « time-to-market »

LesAPI offrent un avantagestratégique ou compétitif

LesAPI permettent aux banques decollaborer avecdes start-up et des fintech

LesAPI nous permettent dedevenirune plate-forme pour des applications tierces

LesAPI nous permettent d’êtremoins dépendants desystèmes externes

Source : Banking APIs – State of the market, APIdays-OpenBankProject-Axway

Des API pour quoi faire ?Principauxobjectifsdes banques qui développent des API

Objectif majeur Objectif secondaire Facteursans importance

DR

Tous droits de reproduction réservés

PAYS : France PAGE(S) : 30,31,32SURFACE : 219 %PERIODICITE : Hebdomadaire

RUBRIQUE : Expertise l'enquêteDIFFUSION : (20000)JOURNALISTE : Alexandra Oubrier

15 septembre 2016 - N°531

systèmed’information quitte à deve-nir, comme d’autres acteurs du web,une plate-forme. Car le sujet n’est pastant l’ouverture avec sesaspects tech-niques que la création de valeur. » Unebanquepeut augmentersacommunautéd’utilisateurs en mettant à dispositionson savoir-faire par sesAPI mais aussis’ouvrir au savoir-faire d’autressociétésen intégrant leur API danssonparcoursutilisateur.

DesagrégateursagréésC’est tout l’enjeu de la DSP2et desfin-techqui proposent déjà l’agrégation decomptes, base d’autres services inno-vants. En l’absence d’API bancaires,les agrégateurs collectent les donnéesbancaires de leurs utilisateurs par« web scrapping », en utilisant leursidentifiants et mot de passe. Pas trèsacadémique mais pratique en atten-dant qu’une formule plus adaptée etcadréesur le plan réglementairevoie lejour. Lesagrégateursdevront d’ailleursêtre agrééspour continuer leur activitésous la DSP2. Pour l’heure, une foisces données collectées et traitées, lesagrégateursouvrent desAPI pour qued’autresdiffusent leurspropres services.« Nous travaillons par exempleavecdesexperts-comptables,deséditeursdelogi-ciels comptables,une banque, et mêmedes ‘robo-advisors’, notamment à tra-versLaFinBox, l’agrégateurpatrimonialque nous avons fondé avec SwissLife,raconte Clément Coeurdeuil, CEO deBudget Insight. Une cinquantaine departenaires sont branchés sur notreAPI. Notre objectif est maintenant dedonner la possibilité aux utilisateurs de

réaliser desvirementsou desarbitragesà partir deleur application, cequi nousdemandeun niveaude sécuritéaccru.»De son côté, l’API Linxo est utiliséepar Grisbee, un service de diagnosticpatrimonial personnaliséqui donne desrecommandations, par Birdycent quipropose d’arrondir sesdépensespourépargner dansunecagnotte dédiéeà unprojet, ou encorepar OneUp qui auto-matise la comptabilité desPME. Linxoest également partenaire de Fortuneo,de BforBank, de HSBC mais aussi dela Maif qui a lancé Nestor, son propreagrégateurdans l’idéede serapprocherde ses clients avec des contacts plusfréquents pour mieux les équiper avecses propres produits, mais aussi avecceux desautres acteursvia le courtage.La demande de partenariats est forte.« L’enjeu pour nous estdonc de consti-

tuerune communauté de développeurspour pouvoir répondre à toutes lesdemandes », indique Bruno VanHaetsdaele,fondateur de Linxo.

Car exposer une API n’est que ledébut du chemin. Encore faut-il la faireconnaîtreet donner un support à ceuxqui veulent s’en servir : une documen-tation, desoutils de tests,une zonedetravail collaboratif pour poserdesques-tions et échanger.« ChezSlimpay,nousavons même un ‘API evangelist’ pouraiderlesdéveloppeursextérieurs», sou-ligneJérômeTraisnel,CEO de Slimpay.Les banques aussi devront mettre enplacedeséquipesdesupport pour leursAPI externes. Mais si chacunedéploiesapropre interface sansqu’il y ait eu destandardisationsur le langageou sur lasécurité,les fintech auront bien du tra-vail pour lesintégrer.

La créationde valeuravant tout

Pourquoiparle-t-ondesAPIdanslemilieubancaire?Cesontdescomposantsindispensablespourdiffuserdenouveauxservicesetgagnerdenouveauxclients: lesbanquesontbesoindes’ouvriretdepartageravecl’extérieur,cequiestnouveaupourelles.LaDSP2estaussiunfacteurd’intérêtpourlesAPImaisil estsecondaireauregarddesbesoinsmétierauxquelsdoiventrépondrelesarchitectesetlesspécialistesdelasécurité.LesAPIfournissentdesstandardsplussimplesd’utilisationetcapablesdemonterencharge,maisellesnécessitentdesinfrastructuresetuneorganisationnouvelles.Ladifficultépourlesbanquesestd’exposerl’existant(lesservicesetdonnéesdeleurssystèmesd’information)sousformed’APIdefaçonindustrielle,simpleetsécurisée.CATechnologiesfournitdessolutionspouraccompagnerlesentreprisesquisontentréesdanscettedémarche.

CommentcréersespropresAPI?Il fautcréeruneéquipeorientéeservicesmétieretbénéficesutilisateuravecuneresponsabilitéglobale,pourmettreenconcordancelecycledeviedesapplicationsfrontalesquisontproposéesauxutilisateurs,celuidesAPIelles-mêmesetceluidesdonnéesouservicesproposésviacesAPI.Il existeunevraieproblématiquedegestion

automatiséedetousceséléments.Lorsqu’uneAPIestmiseenplace,elledoitêtreexposéeetdocumentéeparexemplesurunportailvitrinequidonneégalementaccèsàdesoutilsdédiésauxdéveloppeursexternes:descriptionduservice,commentformulerlesrequêtes,quellesdonnéesserontfournies,jeuxdedonnéestests,simulateurafinqu’ilspuissentexpérimenterleservice.Ensuite,l’entreprisedoitallouerdesmoyensenfonctionducontratdeserviceafindes’assurerquel’APIréponddanslestemps,correctement,qu’ellefournitdesinformationsfiables.Laqualitédeserviceetlasécuritésontprimordiales.

Lasécuritéest-ellesatisfaisantepourdesbanques?ExposeruneAPIrevientàexposerdesinformationsdétailléessurlesystèmed’informationdel’entrepriseetsurlefonctionnementdel’APIelle-même,c’estunrisqueàprendreencompte.Maisdesstandardsexistent:OAuthetOpenIDConnectnotammentgèrentladélégationdedroitsd’accèsetl’authentificationdesutilisateurs.Enoutre,labanquepeutévaluerlaprovenanced’unedemande(appareilutilisé,application)etainsiacquérirundegrédeconfiancesuffisantpournepasavoiràdemanderà l’utilisateurdes’authentifierplusieursfoisdanslamêmesession.

« La qualité de service et la sécuritésont primordiales »

L’ AVIS DE ...Marie-BenoîteChesnais,

seniorprincipalconsultantchezCATechnologies

Les API sont le support des partenariats B2B

Trafic généré par les API selon l’usage

1 % interne

80%

19 %

B2B

B2C

Source

:The

state

ofAPIs,

Apigee

Secteurs lesplus utilisateurs d’API

B2C:1- Médias2- Commerce3- Servicesfinanciers

B2B:1- Technologie2- Services d’information3- Télécom

DR

Tous droits de reproduction réservés

PAYS : France PAGE(S) : 30,31,32SURFACE : 219 %PERIODICITE : Hebdomadaire

RUBRIQUE : Expertise l'enquêteDIFFUSION : (20000)JOURNALISTE : Alexandra Oubrier

15 septembre 2016 - N°531