Monsieur Hagen, quelles sont vos missions en tant que CIO à la CSSF?
«Je suis à la tête d’un service qui couvre deux aspects. D’une part, il y a la gestion de l’infrastructure informatique interne. Dans ce cadre, on peut dire que j’assure les missions traditionnelles d’un CIO, la gestion des équipes IT et de l’infrastructure. L’autre volet concerne la surveillance des systèmes d’information dans le cadre des missions de contrôle qui ont été confiées à la CSSF. Au final, en tant que CIO, je suis à la tête de l’ensemble des aspects qui ont trait à la technologie au sein de la commission.
Quel est le rôle de l’IT dans ces missions de surveillance des acteurs du secteur financier?
«Pour les mener à bien, nous devons être en dialogue permanent avec les institutions de la place financière, qu’il s’agisse de PSF de support ou plus généralement des PSF, banques, OPC, Sicar… Une de nos missions est de collecter des informations pour qu’elles puissent être analysées ou, dans le cadre d’accords internationaux, être échangées avec d’autres autorités compétentes.
Les entités surveillées ont l’obligation de nous remettre toute une série de données et d’informations dans des délais impartis. Au niveau de l’informatique, nous sommes donc obligés de pouvoir les recevoir à tout moment, même si leur traitement, lui, peut être différé.
Mensuellement et trimestriellement, nous recevons une masse importante d’informations qui doivent pouvoir être analysées de manière intègre par nos agents. Au niveau de l’IT, nous devons donc nous assurer et prouver qu’à aucun moment ces données n’ont pu être modifiées.
Quelle infrastructure informatique la CSSF a-t-elle dû mettre en place pour répondre à ces exigences?
«Il nous a fallu développer une infrastructure informatique en partant de zéro ou à peu près. Notre organisme a été créé en 1999. Seuls certains éléments, pour assurer le reporting, par exemple, ont pu être repris de l’Institut Monétaire Luxembourgeois. Mais beaucoup de choses ont évolué depuis lors.
On a notamment assisté à une montée en puissance de l’industrie des fonds au Luxembourg. Nous avons dès lors eu à contrôler et valider l’ensemble des prospectus émis par les fonds d’investissement dans les meilleurs délais. Cette dernière mission est devenue aussi importante que celle du reporting. Chaque prospectus, après contrôle, doit être signé électroniquement par la CSSF, pour permettre d’en garantir la validité.
Au niveau informatique aussi, les technologies ont évolué. Je pense particulièrement aux bases de données et à la gestion électronique des informations et documents.
Comment parvenez-vous à garantir la transmission des documents et des informations?
«Des canaux de transmission ont été autorisés pour nous faire parvenir les données et documents. Aujourd’hui, nous nous reposons sur deux canaux privilégiés: e-file, opéré par la Bourse de Luxembourg, et Sofie, par Cetrel. Nous spécifions aux acteurs de la finance de nous transmettre leurs informations par ces deux canaux. C’est par le même chemin, aussi, qu’ils reçoivent le flux d’informations de retour.
Pour l’acheminement des données, nous nous basons donc sur des prestataires externes et fiables. La transmission des données est un des aspects critiques dans notre mission. Cela ne pourrait pas être mené à bien sans des outils IT performants. Etant donné la quantité d’informations à traiter et les délais dans lesquels elles doivent l’être, l’IT nous permet aujourd’hui d’être efficaces, tout en assurant un contrôle efficient.
Sans l’IT, nous aurions un réel souci, en tant que régulateur, de performance. La crise l’a bien mis en évidence, avec un besoin d’avoir rapidement une vue, à travers des stress tests par exemple, de l’état de la place financière.
Quels ont été les chantiers que vos équipes ont mis en œuvre dans le courant de l’année 2010?
«Nous avons beaucoup travaillé à l’amélioration de la gestion des documents. La directive Ucits IV, qui a été transposée pour le Luxembourg à la toute fin de l’année 2010, va avoir un certain impact sur notre mission de surveillance et, donc, sur notre infrastructure IT.
Prochainement, au fur et à mesure que les autres pays de l’Union européenne transposeront la directive (le Luxembourg est le premier pays à l’avoir fait, ndlr.), en tant qu’autorité de contrôle, nous serons tenus de transmettre un ensemble de données vers les autorités d’autres Etats membres dans lesquels seront commercialisés des fonds luxembourgeois.
Comme le Luxembourg est le pays d’origine de 80% des fonds commercialisés en Europe, cela va représenter un gros volume de travail supplémentaire à accomplir. C’est à cela que nous nous sommes préparés en 2010. Nous avons eu un an pour le faire, un délai très court par rapport au chantier que cela représente.
La gestion électronique des documents ne doit-elle pas vous faciliter la tâche?
«Si, évidemment. De même, certaines dispositions de la directive, et notamment la mise en place d’un document standardisé reprenant les données relatives aux fonds d’investissement, doivent aussi rendre le traitement de ces données plus facile. C’est une des raisons pour laquelle il nous fallait repenser et redévelopper notre mode de gestion documentaire et de traitement des données.
Au-delà du traitement, qu’est-ce que cette directive implique?
«Une ouverture sur l’Europe et ses Etats membres. Et donc le développement de nouveaux canaux de transmission vers les autres Etats membres, pour pouvoir envoyer et recevoir les informations d’émetteurs de fonds, situés partout à travers l’Europe.
Dans quelle mesure les évolutions de votre infrastructure IT dépendent-elles des changements législatifs?
«Notre métier en dépend presque totalement. On dit partout que, désormais, il faut être agile. Dans des institutions privées, cette agilité se traduit dans la performance et la capacité à innover. Pour un organisme comme le nôtre, cette agilité se traduit dans la capacité à pouvoir répondre aux changements et exigences de régulation émis par les législateurs.
En 2011, par exemple, nous allons poursuivre l’amélioration de notre système de gestion des documents. A côté de cela, nous allons aussi travailler sur notre infrastructure en passant à Windows 7, en changeant le système de messagerie... Ces chantiers sont plus liés à la gestion interne de nos systèmes informatiques. Vieux de dix ans, il est indispensable de les faire évoluer. Mais ces améliorations sont aussi nécessaires pour que, demain, nous soyons plus à même d’absorber les changements législatifs annoncés.
Nous avons besoin d’une architecture souple, car on exige de nous d’agir de plus en plus vite, de nous adapter aux standards dictés par les autorités européennes. Il nous faut donc toujours disposer d’un outil moderne et flexible.
Quelles technologies devez-vous mettre en place pour atteindre ces objectifs de flexibilité?
«Cela va notamment passer par la virtualisation. Il nous faut virtualiser au maximum les applications et les données, tout en veillant à la sécurité. Jusqu’à en arriver à notre propre cloud, souple et modulable. Nous sommes occupés, depuis un an et pour les quatre années à venir, à faire évoluer l’architecture de nos systèmes informatiques, pour répondre au mieux à une charge de travail évolutive, flexible, qui grandit rapidement.
Comment opérez-vous le choix des technologies que vous mettez en œuvre? L’obligation de recourir aux marchés publics n’est-elle pas contraignante?
«C’est effectivement un facteur qu’il faut prendre en compte. Les développements, au niveau de l’IT, sont la plupart du temps confiés à des prestataires externes. Alors que la gestion, de manière générale, est assurée en interne. Mais cet aspect ‘marché public’ est surtout contraignant dans la mesure où il arrive que les délais de soumission, à l’échelle européenne par exemple, soient incompatibles avec ceux requis par une loi nécessitant l’implémentation de nouvelles technologies.
Mais, de manière générale, les choix technologiques sont dictés par les besoins actuels ou futurs, en concertation avec les acteurs du marché. Nous veillons à ce que les technologies pour lesquelles nous optons soient souples et pérennes. Elles doivent au moins durer dix ans et être supportées pendant cette période.
Un CIO doit-il être avant tout un technicien ou un manager?
«Ni l’un, ni l’autre. Ou les deux à la fois. On ne peut pas diriger des équipes informatiques ou des systèmes si on ne connaît pas le sujet. Je pense donc qu’un manager IT se pose plus comme un généraliste dans les deux domaines. Il doit avoir une vue globale, à la fois sur les technologies et sur la manière dont l’institution veut atteindre ses objectifs. Il doit apporter un niveau de synthèse. Il doit connaître la technologie, ses évolutions, sans avoir un regard de spécialiste, parfois déconnecté de la réalité. Il doit préférer le dialogue à une vue peut-être trop théorique. Pour cela, il doit être à l’écoute des différents interlocuteurs, en interne ou sur le marché.»
Parcours - Fidèle de la première heure
David Hagen, 50 ans, est entré à la CSSF en 1999, quand l’organisme de surveillance du secteur financier a été créé. Avant d’occuper la fonction de CIO, il a été en charge de la surveillance des systèmes d’information. Il occupait également une fonction d’audit interne au niveau IT. Sa carrière, auparavant, avait déjà été très riche: chef de projet à l’Office des publications; responsable des développements chez Cetrel (où il a contribué, notamment, aux volets ‘cartes de paiement’ et ‘compensation électronique nationale’); responsable IT de la salle des marchés à la BIL et, enfin, advisory consultant chez PwC. Il est, en outre, conseiller scientifique auprès du CRP Henri Tudor et président honoraire du Clusil, dont il a occupé la présidence pendant dix ans. Il est également chargé de cours à l’Université du Luxembourg pour le master en sécurité des systèmes d’informations.