Les services de cloud computing, aussi appelés en français « l’informatique en nuage », connaissent un développement constant ces dernières années et le secteur financier, en France et dans le monde, ne reste pas à l’écart de cette évolution. Les autorités de supervision ont marqué par des recommandations ou de nouvelles réglementations leur attention à cette évolution car elle pose de nouveaux défis en termes de maîtrise des risques, à la fois informatiques et plus largement opérationnels.
La technique de la virtualisation de ressources informatiques qui sous-tend les services de cloud computing n’est pas en cause, car elle offre d’intéressantes capacités d’optimisation que les superviseurs souhaitent encourager. L’enjeu de maîtrise des risques porte véritablement sur le service de cloud computing lui-même, c’est-à-dire les modalités de recours à des environnements fournis ou gérés de façon standardisée. Plus spécifiquement, c’est même le recours à des services de cloud computing par des prestataires externes, et de manière standardisée, sur des environnements dits de cloud « public » (c’est-à-dire partagés par de nombreux clients) qui représente l’enjeu le plus élevé en termes de risque. Cela peut, dans une moindre mesure, être aussi le cas des environnements semi-partagés dits de cloud « hybride », mais ce n’est normalement pas le cas lorsque les services sont dédiés à un établissement, ce qui est alors appelé cloud « privé ». Le caractère critique des applications portées dans le cloud est également un sujet d’attention en termes de sécurité et de maîtrise.
Le recours à un prestataire de services de cloud computing est une externalisation de services et doit suivre en cela les préconisations formulées par la réglementation et les superviseurs en matière d’externalisation de services essentiels ou importants. L’asymétrie de pouvoir contractuel entre les grands prestataires de services et les établissements financiers a conduit à renforcer récemment le cadre de l’externalisation. Ces renforcements ne semblent toutefois toujours pas suffisants et de nouvelles réglementations européennes devraient venir les compléter.
I. Le développement du recours à un prestataire de cloud computing, risques et avantages
1. Constat du recours croissant au cloud computing dans le secteur bancaire
Il n’est pas toujours aisé de savoir ce qui est visé sous l’expression cloud computing. Les cadres de référence, comme celui du National Institute for Standards and Technology (NIST) désignent un modèle d’organisation informatique permettant un accès à distance (par Internet) à des ressources (matérielles, logicielles) modulables à la demande[1]. Cette définition renvoie à des types de services[2], et à des modèles de mise en œuvre (cloud public, i. e. partagé entre différents clients, cloud privé, i. e. dédié à un seul client, cloud hybride, i. e. combinant une partie privée et une partie publique).
L’émergence du cloud computing n’est donc pas un phénomène uniforme. Dans le secteur financier, on a constaté une démarche prudente de la part des grands établissements, qui avaient déjà un système d’information très développé dont ils avaient gardé la maîtrise. Ceux-ci ont préféré tester les services en choisissant plutôt des applications peu sensibles. Ils ont aussi mené en parallèle les adaptations nécessaires pour que leurs matériels et logiciels existants puissent être mis en compatibilité avec les techniques de virtualisation et les logiciels de gestion des ressources dans le cloud. Au final, ils évoluent désormais avec une stratégie multiple permettant de combiner un cloud privé pour leurs applications les plus critiques et des services logiciels ou matériels dans le cloud public, voire dans un cloud hybride. Les établissements de taille moyenne ont, eux, pu basculer des services entiers dans le cloud à l’occasion par exemple du renouvellement d’un environnement applicatif, et choisir des services de cloud publics parce qu’ils n’avaient pas une taille critique suffisante pour se doter d’un cloud privé. Enfin, des établissements plus petits, souvent nouveaux entrants comme les FinTechs ont souvent choisi d’emblée de recourir à des services de clouds publics pour des raisons de rapidité de mise en œuvre et de souplesse de montée en puissance.
Parce que les technologies de virtualisation des serveurs offrent d’importants avantages en termes d’optimisation, il est probable que les services de cloud computing continueront à se développer et il est souhaitable que le secteur financier puisse en bénéficier tout en en maîtrisant les risques.
2. La nécessaire maîtrise des risques
L’observation du développement du marché du cloud computing depuis plusieurs années amène à constater la prédominance de grands prestataires américains, ainsi que l’émergence de nouveaux prestataires asiatiques, mais la présence limitée de prestataires européens. Ceux-ci peinent à conquérir des parts de marché pour des services requérant une forte taille critique. Toutefois, l’initiative GAIA-X qui a été lancée récemment par des prestataires allemands et français avec le support d’administrations publiques vise à promouvoir une offre européenne maîtrisée.
Les grands prestataires qui dominent le marché ont pu chercher à appliquer leur cadre contractuel standard et leurs pratiques commerciales habituelles aux établissements du secteur financier, plaçant ceux-ci dans des situations d’infériorité contractuelle voire de non-conformité réglementaire. Or, les réglementations du secteur imposent que l’établissement qui recourt à un prestataire reste responsable du service fourni et garde la maîtrise de la relation, ainsi que cela est détaillé ci-après. Ces dispositions doivent permettre à l’établissement d’appliquer son dispositif de gestion des risques, ce qui requiert, entre autres, la possibilité de disposer d’indicateurs précis sur la qualité de service et la possibilité de procéder à des vérifications sous forme d’audits sur place.
La localisation des centres informatiques, parfois non précisée ou située en dehors de la juridiction européenne, peut aussi représenter un supplément de risques pour la protection des données personnelles ou sensibles.
Les superviseurs ont eu l’occasion de souligner que le recours au cloud computing pour des applications et systèmes critiques était une décision majeure, devant être éclairée par une analyse approfondie des risques, notamment quant à la dépendance vis-à-vis du prestataire, puis être prise par les instances dirigeantes de l’établissement.
II. Le cadre réglementaire actuel relatif à la prestation de service externalisée et ses limites face aux nouveaux enjeux
1. Un cadre encore centré sur la maîtrise des prestations externalisées
Le cadre juridique français et européen applicable responsabilise les établissements pour la maîtrise des services fournis par leurs prestataires. Ce cadre n’est pas spécifique aux prestataires informatiques ou de cloud computing, mais s’applique à tout type de prestation.
Dans le secteur de la banque, des services de paiement et des services d’investissement, les relations entre les entreprises assujetties au contrôle de l’ACPR et leurs prestataires sont encadrées par l’arrêté du 3 novembre 2014, héritier du règlement CRBF n° 97-02[3], et récemment enrichi par les Recommandations de l’Autorité bancaire européenne (ABE) sur le cloud [4], désormais absorbées par les Orientations sur l’externalisation[5].
Par principe, l’externalisation d’une activité n’a pas pour conséquence d’externaliser également la responsabilité de cette activité. Si les établissements ont bien sûr la possibilité d’externaliser des tâches opérationnelles essentielles ou importantes, ils en conservent la pleine responsabilité[6] et doivent s’assurer de conserver la maîtrise du risque inhérent à cette activité. Un principe similaire régit d’ailleurs l’externalisation d’activités par des entreprises d’assurance[7].
Les établissements sont ainsi les seuls visés par les obligations fixées par l’arrêté, notamment lorsqu’il s’agit de s’assurer, dans leurs relations contractuelles avec le prestataire, que celui-ci ne fera pas obstacle à la possibilité pour l’ACPR d’accéder aux informations sur les activités externalisées, y compris sur place[8].
Cette capacité d’accès aux informations sur les activités externalisées permet à l’ACPR d’exercer sa mission sur l’ensemble des activités de l’établissement, y compris lorsqu’elles sont confiées à un prestataire. Mais au-delà de ce pouvoir de contrôle qui lui est conféré par l’arrêté sur le contrôle interne, l’ACPR ne dispose pas de réel pouvoir contraignant à l’égard des prestataires essentiels.
Les évolutions récentes du droit européen et la multiplication des publications sur la maîtrise du risque lié aux prestataires de cloud ont pour l’instant consisté à renforcer le cadre réglementaire pour ces acteurs, et ce dans l’ensemble du secteur financier. L’ABE a été la première des autorités européennes de supervision (AES) à publier, en 2017, des « Recommandations sur l’externalisation en nuage ». Celles-ci ont ensuite servi à étoffer le cadre général relatif à l’externalisation[9]. L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) a également adopté des recommandations similaires[10], et l’Autorité européenne des marchés financiers (AEMF) devrait suivre très prochainement, ayant lancé une consultation en juin 2020 dans cet objectif.
Ces renforcements réglementaires peuvent néanmoins être perçus comme insuffisants. Les autorités internationales ont élargi leur approche en visant la supervision du risque de tiers, en particulier des prestataires informatiques, et en y impliquant directement les superviseurs. Le Comité de Bâle, tout d’abord, qui dans ses recommandations à l’égard des banques et des superviseurs bancaires sur le développement des FinTechs publiées en février 2018[11] mettait en perspective le recours croissant du secteur bancaire aux nouvelles technologies et les nécessaires adaptations d’une réglementation qui précède souvent leur émergence. Le Comité de Bâle relevait à cet égard que les prestataires de service échappaient au contrôle direct des superviseurs bancaires dans de nombreuses juridictions, encourageant ainsi les autorités à évaluer l’opportunité de faire évoluer le cadre réglementaire applicable « de façon à garantir une surveillance adéquate des activités bancaires sans pour autant freiner indûment ou involontairement les innovations bénéfiques ».
Plus récemment, le Financial Stability Board (FSB) s’est également penché sur les implications du risque de tiers pour la stabilité financière [12] . Sur la base des constats établis dans cette publication le FSB a publié en octobre 2020 une « boîte à outils » recensant les pratiques efficaces pour répondre au risque cybernétique, notamment celui présenté par les prestataires informatiques.
2. Des limites mises en exergue par les caractéristiques des acteurs du cloud computing
Si ces évolutions vers une supervision directe des prestataires sont envisagées, c’est que le cadre actuel fondé sur la maîtrise des prestataires par les établissements ne paraît pas suffisant, en particulier dans le cas du cloud computing.
Force est en effet de constater que les principes réglementaires n’ont pas été correctement pris en compte par les grands prestataires de cloud computing.
Si les conventions conclues avec des prestataires de cloud n’interdisent pas expressément l’accès aux informations, elles n’accordent pas toujours vraiment aux établissements et à l’autorité compétente des « droits inconditionnels en matière d’inspection et d’audit du dispositif d’externalisation »[13], imposant un délai important de préavis, une limitation de durée, le paiement d’un forfait, le suivi d’une formation (souvent payante) ou encore en soumettant le déroulement du contrôle à une politique d’audit établie par le prestataire. Les prestataires ont pu se montrer réticents à laisser l’accès à leurs locaux et installations pour la réalisation d’audits, par les établissements ou par les superviseurs. Ils ont notamment fait valoir les coûts et les risques de détérioration ou de divulgation qui résulteraient d’accès inconditionnels à leurs systèmes et données. Forts de leur pouvoir contractuel, cela a pu conduire à des situations de non-conformité contractuelle ou parfois à un blocage pour la mise en œuvre des solutions.
La France n’est pas le seul pays à constater la nécessité d’adapter le cadre réglementaire aux enjeux des nouvelles technologies. Le législateur européen s’est ainsi récemment saisi du sujet pour dessiner les contours d’un cadre de surveillance directe de ces acteurs.
III. Des évolutions réglementaires nécessaires pour permettre
une supervision des prestataires adaptée aux enjeux prudentiels
1. Le cadre proposé par la Commission européenne : une surveillance directe des grands prestataires
Sur la base d’une consultation publique menée au premier trimestre 2020, la Commission européenne a publié le 24 septembre 2020 un projet de règlement intitulé Digital Operational Resilience Act (DORA), ayant notamment pour ambition d’encadrer les risques liés aux prestataires informatiques essentiels, appelés Critical Third Party Providers (CTPP). Sont ainsi visés principalement, mais pas exclusivement, les prestataires de service de cloud computing.
Ce projet de règlement vise l’ensemble du secteur financier. Il crée un cadre européen de surveillance directe des CTPPs (Oversight Framework) piloté par les autorités européennes de surveillance (AES), c’est-à-dire l’ABE, l’AEAPP et l’AEMF. Ce régime de surveillance directe viendra s’ajouter au cadre existant de la responsabilité des établissements sur leurs prestataires, qui est lui aussi renforcé.
Ces deux dispositifs d’encadrement des prestataires occupent une grande partie du projet puisque 14 articles y sont consacrés (articles 25 à 39).
Le nouveau dispositif de surveillance directe des prestataires informatiques complétera le dispositif de responsabilité première des établissements envers leurs prestataires (articles 26 et 27 du projet de règlement), en imposant directement des obligations aux prestataires informatiques essentiels, sur lesquels les autorités de supervision avaient jusqu’alors peu d’emprise.
Désignation des prestataires essentiels (article 28)
Le comité mixte des AES serait en charge de désigner les prestataires jugés essentiels, à l’aune de critères établis par le règlement, et sur recommandation du groupe de surveillance (voir description du cadre de surveillance ci-après). Ce régime de désignation est encore inédit dans le cadre européen de la supervision et témoigne de la particularité du risque à encadrer. Car si l’exercice d’une surveillance de la part des autorités financières sur ces prestataires essentiels est rendu nécessaire au regard du risque qu’ils représentent pour la stabilité financière, ils ne sont pas pour autant assimilés à une profession réglementée.
Les critères établis par le projet de règlement pour la désignation des prestataires essentiels mettent ainsi en relief une volonté d’encadrer le risque de concentration présenté par ces acteurs, puisque seront évalués :
a) l’impact systémique en cas de défaillance opérationnelle à grande échelle ;
b) le caractère ou l’importance systémique des entités financières qui dépendent du prestataire (notamment au regard du nombre d’institutions mondiales d’importance systémique (G-SII) ou autres institutions d’importance systémique (O-SII) concernées et de leur interdépendance avec d’autres entités financières) ;
c) la dépendance des entités financières à l’égard du prestataire ;
d) le degré de substituabilité du prestataire ;
e) le nombre d’États membres dans lesquels le prestataire fournit des services ;
f) le nombre d’États membres dans lesquels sont établies des entités financières utilisant les services du prestataire.
Un prestataire qui ne serait pas considéré comme important par le groupe de surveillance pourrait également se manifester auprès du comité afin d’être soumis au régime des prestataires importants (opt-in).
Structure générale du cadre de surveillance (articles 29 et 30)
Le Comité mixte des AES établirait, sous forme de sous-comité, un groupe de surveillance (Oversight Forum) composé des présidents des AES et des hauts représentants des autorités nationales compétentes. Les directeurs exécutifs des AES, ainsi que des représentants de la BCE, de l’ESRB, de l’ENISA et de la Commission européenne siègeraient également au sein du groupe de surveillance en tant qu’observateurs. Enfin, une des AES serait désignée comme « responsable de la surveillance » (Lead Overseer) et prendrait la tête du groupe de surveillance.
Il est également prévu que les groupes de surveillance seront assistés, pour la conduite de leurs enquêtes et de contrôles sur place, d’une équipe d’experts, composée de représentants des autorités nationales, et dont la coordination serait assurée par coordinateur principal (Lead Overseer coordinator).
Ces dernières siègeront dans un forum de surveillance (Oversight Forum) aux côtés des autorités nationales compétentes. L’ESRB, la BCE et l’ENISA disposeront quant à elles du statut d’observateurs.
Exercice de la surveillance (articles 31 à 35)
Le contrôle des CTPPs serait exercé par le responsable de la surveillance. Il aura notamment pour mission d’élaborer des plans annuels de contrôle afin de s’assurer que le prestataire a mis en place des règles, des procédures, des mécanismes et des dispositifs complets, solides et efficaces pour gérer les risques que son service peut présenter pour les entités financières, en évaluant un certain nombre d’éléments (gouvernance, gestion du risque, mesures de sécurité, gestion des incidents, réalisation de tests de sécurité, etc.).
Le responsable de la surveillance disposera à cette fin de pouvoirs proches de ceux dont disposent les autorités de supervision, à savoir : les demandes d’informations, la conduite d’enquêtes et de contrôles sur place, ou encore la formulation de recommandations.
À l’exception des recommandations, le responsable de la surveillance pourra contraindre les prestataires à se conformer à ses demandes en imposant des astreintes journalières, dont le montant n’est pas encore précisé par le règlement.
Autres dispositions d’encadrement des prestataires essentiels
Outre le cadre de surveillance des CTPPs, le projet DORA prévoit également un certain nombre d’obligations à la charge de ces derniers. Tout d’abord, une liste de clauses contractuelles standard permettant de rendre contraignantes tant pour les établissements que pour les prestataires un certain nombre d’obligations assurant la stabilité et la sécurité du service (notamment description du service et du niveau de service, sécurité et accessibilité des donnés, stratégies de sortie, etc.).
Enfin, le projet de règlement appréhende également la question de l’extraterritorialité des prestataires en interdisant aux établissements d’établir un contrat avec un prestataire établi dans un pays tiers si ce dernier est désigné comme essentiel au regard des critères de l’article 28 (article 28, paragraphe 9). La question de l’applicabilité d’une telle disposition peut encore soulever des interrogations, la plupart des prestataires de cloud exerçant aujourd’hui en France étant établis dans un pays tiers.
2. Les enjeux de mise en œuvre de ce nouveau cadre pour les superviseurs
Au moment où cet article était rédigé, les négociations sur la rédaction du règlement DORA était toujours en cours au Conseil de l’Union européenne et certaines options de fonctionnement du dispositif n’étaient pas encore stabilisées. Le texte qui doit ensuite faire l’objet d’une validation par le Parlement européen ne prendra sa forme définitive qu’en 2021.
L’ACPR s’est montrée favorable au dispositif de surveillance directe, en soulignant bien qu’il s’ajoute sans s’y substituer au régime de maîtrise des prestataires par les établissements, car il est nécessaire de bien renforcer celui-ci. Dans le cadre de la négociation, il apparaît important de garantir l’efficacité du dispositif en imposant aux prestataires sous surveillance directe de se constituer sous forme de sociétés de droit européen, afin que ceux-ci répondent directement aux autorités européennes en charge de leur surveillance. Si ces prestataires fournissaient leurs services par des sociétés de droit extra-européen, le régime de surveillance serait en effet plus difficile à exercer. Il est même souhaitable que les sociétés de droit européen qui seront établies soient dédiées à la prestation de service pour les établissements du secteur financier, afin de placer leur prestation tout entière sous une seule autorité. Enfin, un pouvoir donné aux autorités de surveillance d’émettre des avis publics négatifs en cas de non-respect de la réglementation apporterait un supplément d’efficacité au cadre prévu.
[1]. NIST Special Publication 800-145, The NIST Definition of Cloud Computing, sept. 2011.
[2]. Fourniture de logiciel (Software as a Service – SaaS), d’infrastructure matérielle (Infrastructure as a Service –IaaS) ou d’administration (Platform as a Service – PaaS).
[3]. Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution.
[4]. EBA/REC/2017/03 on outsourcing to cloud service providers.
[5]. EBA/GL/2019/02 on outsourcing arrangements.
[6]. Article 237 de l’arrêté du 3 novembre 2014 sur le contrôle interne arrêté du 3 novembre : « Les entreprises assujetties qui externalisent des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes, au sens du q et du r de l’article 10, demeurent pleinement responsables du respect de toutes les obligations qui leur incombent. »
[7]. Article L. 354-3 du Code des assurances : « Les entreprises d’assurance et de réassurance conservent l’entière responsabilité du respect des obligations qui leur incombent lorsqu’elles recourent à l’externalisation des fonctions ou des activités d’assurance ou de réassurance. »
[8]. Article 239 h) de l’arrêté du 3 novembre 2014 sur le contrôle interne
[9]. EBA/GL/2019/02 on outsourcing arrangements.
[10]. EIOPA-BoS-20-002 Orientations relatives à la sous-traitance à des prestataires de services en nuage.
[11]. BCBS Sound pratices : implications of fintech developments for banks and bank supervisors (février 2018).
[12]. FSB : Third-party dependencies in cloud services : Considerations on financial stability implications.
[13]. EBA/GL/2019/02 on outsourcing arrangements, § 87.
