Si le cloud est désormais largement utilisé dans de nombreux secteurs, son adoption reste encore faible dans la sphère financière.
Les services financiers témoignent d’une certaine frilosité à l’idée de s’équiper, le cloud offrant pourtant de nombreux avantages : réduction des dépenses opérationnelles, amélioration de l’agilité, optimisation de l’efficience. Selon l’étude conduite par Misys en 2015, seulement 42 % des décideurs IT du secteur bancaire avaient l’intention d’investir davantage dans le cloud.
Parmi les raisons expliquant cette adoption tardive, une étude menée par l’Enisa évoque l’incohérence des normes légales pour le déploiement dans le cloud, qui est pointée du doigt par 50 % des institutions financières interrogées ainsi que les questions de sécurité, soulevées par 20 % d’entre elles.
De l’importance du soutien des régulateurs pour favoriser l’adoption
En Juillet 2016, la Financial Conduct Authority (FCA), gendarme des marchés britanniques, a publié ses préconisations à destination des établissements financiers utilisant, ou envisageant d’utiliser, le cloud et d’autres services IT tiers. Cette démarche ayant pour vocation de soutenir et d’accélérer l’adoption de ces technologies émergentes dans le secteur financier. Ce guide est destiné à aider les entreprises à mieux appréhender et à optimiser leurs accords d’externalisation (décision d’externalisation, sélection des fournisseurs externes, suivi des activités externalisées).
L’approbation de la FCA sur l’utilisation du cloud dans les services financiers illustre la prise de conscience croissante des avantages qu’il offre, à savoir, un accès plus rapide à l’innovation, des possibilités de transformation à grande échelle et une mise en production rapide.
Viennent s’ajouter à la FCA, des organismes de réglementation ayant également donné leur approbation. Parmi eux, la banque centrale du Royaume des Pays-Bas – De Nederlandsche Bank (DNB) – a approuvé en 2013 l’utilisation d’Amazon Web Services (AWS) au sein des plates-formes de banque de détail.
L’ampleur du cloud computing grandissante, nous pouvons nous attendre à voir de nouveaux organismes de l’industrie suivre cette tendance. Des fintech aux grandes banques, le cloud est un élément fondamental de l’avenir et un facteur clé de la transformation numérique. Plus les régulateurs soutiendront son adoption, plus les acteurs du secteur adhèreront au changement.
La généralisation du cloud face aux enjeux sécuritaires
Les environnements cloud sont confrontés à plusieurs menaces identiques à celles des réseaux d’entreprise traditionnels. En raison du volume de données stockées sur les serveurs cloud, les fournisseurs deviennent une cible attrayante, en témoigne le piratage récent de millions de comptes Yahoo.
Forts de cette prise de conscience, l’agence nationale de la sécurité des systèmes d’information (ANSSI), et son homologue allemand le BSI, ont annoncé le lancement d’un label commun de sécurité pour le cloud lors du Sommet franco-allemand du numérique, le 13 décembre 2016 à Berlin. Pour sa part, la Cloud Security Alliance a recommandé aux organisations d’utiliser l’authentification multifonction et le cryptage pour se protéger contre les violations de données.
Si l’adoption du cloud pose encore des questions sécuritaires inhérentes à la nature même de cette technologie (données hébergées hors de l’entreprise par un tiers), les centres de données des fournisseurs de services cloud sont dotés de puissants dispositifs de sécurité multicouches comprenant des précautions physiques : clôtures hautes, barbelés, barrières en béton, gardes qui patrouillent et caméras de sécurité.
Avec la garantie que tous les efforts sont mis en place pour s’assurer de la sûreté du cloud, les bénéfices de cette solution seront plus amplement partagés : réduction des coûts de fonctionnement, agilité grandissante, flexibilité du service. L’ensemble de ces avantages, associé au soutien croissant des organismes de régulations, constituent des leviers incitant un plus grand nombre d’institutions financières à franchir le pas.
Dans le livre blanc “Moving Financial Market Infrastructure to the Cloud” publié le 15 mai 2017, le groupe The Depository Trust and Clearing Corporation (DTCC), à la fois chambre de compensation et dépositaire central, estime que le cloud computing a atteint “un point d’inflexion”. “La sécurité, la scalabilité, la résilience, la recouvrabilité et le coût des application dans le cloud sont meilleurs que ce que de nombreux acteurs privés ont pu réaliser par leurs propres moyens”, assure Robert Garrison, le CIO de DTCC. Cela fait cinq ans que l’acteur du post-marché s’est tourné vers le cloud, un mouvement qu’il entend accentuer tout en maintenant un haut degré d’exigence en matière de conformité.
Dans sa tribune pour mind Fintech, Younes Guemouri évoque des prises de position plus souples de la part d’autorités de régulation, la FCA et la banque centrale néerlandaise en tête. Le 18 mai 2017, l’Autorité bancaire européenne (EBA) a de son côté ouvert une consultation portant sur de nouvelles recommandations liées à l’externalisation de services informatiques. Objectif : lever les barrières pour les institutions financières qui souhaitent recourir à des prestataires spécialistes du cloud mais qui s’inquiètent dans le même temps de possibles répercussions réglementaires.
Les recommandations de l’EBA portent notamment sur les précautions physiques citées par Younes Guemouri mais également sur le traitement des données et la question de l’externalisation “en chaîne” (avec un recours à la sous-traitance de la part du fournisseur de services de cloud). L’EBA met également en garde contre le risque d’une concentration des risques chez les fournisseurs les plus importants qui “peuvent devenir un point unique de perturbations lorsque de nombreuses institutions dépendent d’eux”. Cette consultation est ouverte jusqu’au 18 août 2017. Une audition publique sur le sujet est en outre prévue à Londres le 20 juin.
Si les régulateurs font évoluer leur doctrine, les fournisseurs devront rassurer sur le cryptage et la ségrégation des données, les capacités d’audit ou les plans de reprise des activités. Parmi ces acteurs, qui développent des modèles IaaS, SaaS ou PaaS figurent IBM Cloud, Google Cloud, Amazon Web Services, Microsoft Azure, Pivotal, Oracle, Salesforce, Misys, SAP, etc.