La Banque Centrale Européenne (BCE) a invité, au début de l’été, les banques et autres parties prenantes concernées à formuler des commentaires sur son guide relatif à l’externalisation des services cloud. Ce guide, apparu comme nécessaire après que la BCE a découvert des vulnérabilités dans les stratégies d’externalisation informatique, détaille les attentes prudentielles et les meilleures pratiques.
La stratégie d’externalisation vers le cloud doit être cohérente avec la stratégie générale de la banque et notamment sa « stratégie de résilience opérationnelle numérique » exigée par Digital Operational Resilience Act (DORA). Les banques sont ainsi invitées par ce règlement européen à examiner ici la mise en œuvre de datacenters dans des régions différentes pour basculer de l’un vers l’autre si nécessaire, ou en mode redondant au sein d’une même région, la mise en œuvre d’un cloud hybride ou du multi-cloud.
Les accords d’externalisation doivent définir clairement les rôles et responsabilités de la banque et du fournisseur de services cloud. Et de ses éventuels sous-traitants.
Une fonction critique
Un point important concerne la fameuse stratégie de sortie, d’autant plus importante si la fonction externalisée est critique. Elle est à voir comme un ensemble de plans détaillés avec des listes de tâches à exécuter, intégrant des rôles et responsabilités clairement définis et sa faisabilité doit être vérifiée de manière indépendante. En cas de crise nécessitant une sortie du Cloud Service Provider (CSP), le Plan de continuité d’activité (PCA) gère le court terme, la stratégie de sortie étant orientée vers le long terme. Si la stratégie est par exemple de migrer vers d’autres CSP, une liste détaillée devra être tenue à jour pour être directement utilisable le moment venu.
Chaque banque garde la responsabilité du service qu’elle sous-traite au CSP, les risques associés étant à gérer comme si la fonction était internalisée. Charge à elle de mettre en place une supervision efficace avec des métriques pertinentes et non pas seulement celles proposées par défaut. Cette supervision peut être complétée par des audits du CSP, qui peuvent se faire en commun avec d’autres institutions clientes, comme l’encourage la BCE.
Les banques sont tenues d’effectuer des évaluations complètes des risques avant de contractualiser avec un CSP, en particulier s’il s’agit d’une fonction critique. Cela implique d’identifier les risques, d’évaluer leur impact et de mettre en œuvre des stratégies d’atténuation appropriées. L’analyse de risques devra prendre en compte la dépendance accrue au CSP, l’augmentation non prévisible des coûts, la difficulté accrue d’auditer le périmètre, le manque de transparence concernant le recours à des sous-traitants et le risque de concentration. Ce risque de concentration est à envisager sous trois angles : concentration sur un fournisseur, sur une zone géographique ou sur un service spécifique.
Les banques doivent également s’assurer que les services cloud externalisés sont conformes aux réglementations sur la protection des données et maintiennent des normes élevées de sécurité et de confidentialité des données. Pour protéger ces dernières, les contrats avec les CSP doivent inclure des dispositions relatives au chiffrement des données (en transit, au repos et si possible lors de leur traitement), aux contrôles d’accès, aux procédures de gestion des incidents, ainsi qu’au pays de stockage des données. La BCE pousse ici une liste des pays hors UE offrant un niveau de protection adéquat, à l’image de ce que fait la Cnil avec le Règlement général sur la protection des données (RGPD).
Un plan de continuité
Enfin, les banques doivent élaborer et maintenir des PCA robustes qui incluent des perturbations potentielles des services cloud. Elles sont encouragées à tester en commun avec leur CSP leur plan de reprise après sinistre.
Du côté des CSP, ces précisions sur les exigences de DORA devraient également être bienvenues, les banques et le secteur financier plus globalement étant bien engagés dans des stratégies de « move to cloud ». La conformité avec DORA devient alors un argument commercial à faire valoir.
