Les banques affrontent les dangers du cloud

Une absence remarquée. La Place financière de Paris a mené mi-juin une simulation de risque cyber ayant permis de « tester avec succès les dispositifs de gestion de crise de la Place », a révélé en fin de semaine dernière la Banque de France. Piloté par cette dernière, l’exercice a mobilisé plus de 800 personnes dans les établissements concernés pour « éprouver la réactivité et l’organisation des membres ainsi que la coordination de la Place et de ses quatre cellules de crise (liquidité, fiduciaire, cyber-IT et communication de crise) ». Mais «la technologie cloud n’a pas été touchée par le scénario de cet exercice », explique l’institution à L’Agefi, alors même qu’un rapport sur le sujet du Haut Comité juridique de la place financière de Paris (HCJP) mené avec les banque françaises adhérentes de la FBF pointe les dangers inhérents à la transformation du secteur par cette technologie.

Le cloud, qui permet une gestion informatique standardisée et automatisée à l’aide d’un prestataire de services, gagne en effet les grands groupes bancaires, à l’image de Deutsche Bank ou HSBC qui se sont alliés à Google Cloud et Amazon Web Services pour le déployer. « Les enjeux de sécurité des infrastructures de cloud résonnent actuellement de manière plus concrète compte tenu des nombreux événements faisant l’actualité », admet le HCJP, en faisant référence à la fuite de données massives de 100 millions de clients américains ayant touché la banque Capital One en 2019 ou encore à l’incendie chez OVHcloud en mars. Une référence d’autant plus pertinente que l’incident a entraîné une fuite de données chez Axa et qu’OVH travaille depuis longtemps avec la Société Générale ainsi que « d’autres clients bancaires ». Si le rapport relate que « les banques sont certainement parmi les secteurs les plus sensibilisés et matures quant au niveau de protection exigé », le responsable de la sécurité informatique d’une grande banque française souffle à L’Agefi que l’aspect réglementaire est en retard dans le domaine.

Le problème de l’extraterritorialité

Cette limite résonne avec les autres défis que pose le Cloud. La structure oligopolistique de ce marché entraîne une inversion de la relation traditionnelle de pouvoir entre le client et le prestataire. Amazon Web Services, Microsoft Azure, Google et Alibaba détiennent à eux seuls 61% du marché mondial des services de cloud qui est passé de 17,4 milliards de dollars en 2009 à 257 milliards en 2020 selon le cabinet Gartner. Au-delà des problèmes de concurrence, les acteurs peuvent se trouver en situation de faiblesse pour imposer les exigences juridiques, ouvrant un problème de conformité. « Or l’absence ou le défaut de conformité de certaines clauses dans les contrats d’externalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes expose les banques à un risque de sanction administrative, voire de mise en jeu de leur responsabilité, notamment à l’égard de leurs clients », estime le rapport.

Surtout, l’absence de leader européen dans le domaine pose la question de la souveraineté des données. Ainsi, l’extraterritorialité des lois américaines, avec le Cloud Act par exemple, permet de récupérer les données des clients de ces prestataires de services et entre en conflit avec le règlement général sur la protection des données (RGPD) en France. « La possibilité d’accès dans l’UE à des données de citoyens européens par des autorités américaines ne peut pas être exclue », admet le rapport.

Le défi réglementaire

Des réponses s’organisent. La Commission européenne a notamment lancé un projet de règlement sur la résilience opérationnelle numérique dans le secteur financier (Dora) qui englobe les prestataires de cloud. Il s’articule autour d’obligations applicables pour les établissements financiers traitant avec ces prestataires, notamment pour mieux maîtriser le risque, et d’une surveillance de ces tiers considérés comme critiques. « Un changement de paradigme doit s’opérer », appuie le HCJP, qui souligne que le risque est désormais lié à la dépendance à de tels acteurs.

En France, si l’enjeu sécuritaire a été pris en compte par l’Agence nationale de la sécurité des systèmes d’information (Anssi) dès 2010, la volonté est de mêler souveraineté et sécurité. En mai, le gouvernement a présenté une stratégie nationale pour le cloud reposant sur un label de confiance pour les prestataires, une modernisation de l’Etat dans le domaine et un milliard d’euros du plan de relance dédié au sujet. Des efforts éloignés du milieu bancaire, qui regarde plutôt du côté de l’initiative Gaia X lancée en 2019 avec l’Allemagne. Censée concurrencer les Gafam, elle vise à créer une « infrastructure européenne des données » via une entité de gouvernance édictant des grands principes, notamment de sécurité. OVHcloud, membre fondateur, y est le français le plus important. Il reste toutefois un petit acteur mondial avec 1% des parts de ce marché, et des services concernant l’infrastructure et les plateformes, mais pas l’édition de logiciels.