Par Gérard Haas, Hugues Payen et Antoine Kraska-Delsol
Dans un rapport publié le 5 juillet 2022, la Banque des règlements Internationaux (BRI) s’inquiète de la dépendance croissante du secteur bancaire aux services Cloud proposés par les géants de l’informatique.
En effet, on estime que huit institutions financières sur dix bénéficient de services Cloud publics, que ce soit pour augmenter leurs capacités informatiques, mieux détecter d’éventuelles fraudes ou encore pour renforcer leur sécurité.
A ce titre, cette dépendance au Cloud et aux « GAFAM » n’est pas sans risques pour les institutions financières.
La dépendance des banques aux géants du cloud inquiète la BRI
Le recours aux services proposés par les géants du numérique est toujours plus important, ce mouvement ayant été accéléré dans le contexte de la pandémie du Covid-19.
A titre d’exemple, Google, Amazon, Microsoft Alibaba et IBM représentent à eux seuls près de 75 % de ce marché.
Quels sont les risques liés à la dépendance des banques à un nombre limité de prestataires Cloud ?
Ce nombre limité de prestataires Cloud (ou « Cloud Services Providers ») peut s’expliquer par les normes élevées d’exigences de résilience exigées par les institutions financières.
Pour autant, le recours intensif à ce type de prestataires externes qui opèrent pour un grand nombre d’organisations financières, et deviennent malgré eux des vecteurs de contamination en cas d’incident, entraine une augmentation du niveau d’exposition du secteur bancaire aux risques cyber.
En effet, pour la BRI, le recours massif à ce type de service pourrait « exacerber les risques opérationnels » et générer « des vulnérabilités systémiques » et avoir des conséquences négatives potentielles pour le système financier dans son ensemble.
Enfin, la BRI précise que ces incidents opérationnels pourraient avoir d’autant plus d’ampleur pour les institutions financières qui sous-traitent des fonctions critiques ou importantes à un prestataire Cloud commun.
Ces risques auxquels sont exposées les institutions bancaires étaient déjà appréhendés par les accords de Bâle II de 2005, qui envisageaient le risque opérationnel de « pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs ».
Les préconisations de la Banque des Règlements Internationaux face aux risques encourus par les banques
Par conséquent, la BRI encourage les institutions financières à mieux superviser leurs activités réalisées avec des prestataires externes et à avoir recours à plusieurs prestataires Cloud pour chaque service fourni.
En effet, celle-ci préconise le recours au multicloud, à savoir le déploiement de plusieurs services Cloud du même type (public ou privé), issus de différents fournisseurs, en ce que ces solutions « peuvent réduire considérablement le risque systémique ».
Le projet de règlement DORA : vers un renforcement de la cybersécurité du secteur financier en 2023
C’est dans ce contexte, où les institutions financières sont exposées à un risque informatique ou numérique croissant pouvant affaiblir leur résilience opérationnelle, que la Commission européenne a adopté le 24 septembre 2020, le « Digital Finance Package » visant à garantir que le secteur financier puisse tirer parti des possibilités offertes par les technologies de l’information et de la communication (TIC).
Le projet de règlement européen « DORA » (« Digital Operational Resilience Act »), qui en est issu, a vocation à renforcer la cybersécurité de l’ensemble du secteur financier.
Ce règlement, qui devrait entrer en vigueur en janvier 2023, prévoit la mise en place d’un cadre de gouvernance et de contrôle interne, notamment afin de neutraliser les risques liés aux tiers prestataires de services informatiques.
A ce titre, les organismes financiers devront disposer d’un niveau de contrôle et de surveillance de leurs tiers prestataires de services informatiques suffisant (en particulier ceux désignés comme critiques) et mettre en place une surveillance spécifique des fournisseurs essentiels pour le marché dans son ensemble.
Pour définir une stratégie de gestion des prestataires tiers, il conviendra notamment de tenir un registre d'information standardisé et de respecter les lignes directrices pour l’évaluation précontractuelle et le contenu du contrat.
Il est donc impératif pour l’ensemble des organismes financiers de lancer dès à présent ces chantiers de mise en conformité.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Contactez-nous ici.