Les institutions bancaires face aux dangers du Cloud
Récemment la place financière de Paris publiait le résultat de tests grandeur nature portant sur des crises de nature cybernétique de leurs infrastructures informatiques.
Bien évidemment un test qui n’a pas porté pourtant sur la technologie Cloud. Pourtant en se référant à la structure de fonctionnement des structures des institutions bancaires, le Cloud a fortement impacté les relations qui existaient entre les banques et les différents prestataires.
Cet article va aussi vous intéresser : L’adoption du multi cloud : et si la sécurité était le facteur principal de risques
Durant la moitié du mois de juin, la place financière de Paris mettait en place une en simulation dont l’objectif était de mettre à l’épreuve le système informatique de l’institution financière. La banque de France déclarait à cet effet avoir « tester avec succès les dispositifs de gestion de crise de la Place ».
Pour réaliser ce test, il a fallu l’implication de près de 800 personnes dans les différents établissements concernés pour « éprouver la réactivité et l’organisation des membres ainsi que la coordination de la Place et de ses quatre cellules de crise (liquidité, fiduciaire, cyber-IT et communication de crise) ». Cependant, « la technologie cloud n’a pas été touchée par le scénario de cet exercice », souligne la banque de France.
Le souci avec le Cloud aujourd’hui, ce qu’il est devenu énormément utile voire nécessaire. Il facilite entre autres la gestion informatique automatisé et standardisé en passant bien sûr par un prestataire de service. Plusieurs banques passent par ce système pour gagner en efficacité et en réactivité. C’est d’ailleurs le cas de la Deutsche Bank ou des HSBC. Ces gens du secteur de la banque se sont alliés à Amazon Web Services et à Google Cloud pour déployer leurs services. « Les enjeux de sécurité des infrastructures de cloud résonnent actuellement de manière plus concrète compte tenu des nombreux événements faisant l’actualité », reconnait le HCJP, en se référant à l’énorme data Leak (fuite de données) de près de 100 millions de clients dont a été victime l’institution américaine bancaire capital One. On n’oublie pas aussi l’incendie qui a frappé OVHCloud durant le mois de mars, un incendient qui a lourdement impacté plusieurs sites internet à travers le monde entier à savoir la Société Générale. « Les banques sont certainement parmi les secteurs les plus sensibilisés et matures quant au niveau de protection exigé », explique le rapport publié par le responsable de la sécurité informatique d’une institutions bancaires française.
« Or l’absence ou le défaut de conformité de certaines clauses dans les contrats d’externalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes expose les banques à un risque de sanction administrative, voire de mise en jeu de leur responsabilité, notamment à l’égard de leurs clients », estime le rapport.
L’un des problèmes qui affectent l’utilisation du Cloud par les banques européennes en particulier les banques françaises, c’est sans nul doute que l’absence d’entreprise leader sur le sol européen. La majorité des sociétés qui en France ce genre de service sont pour l’essentiel américaines. Cela vient se pose la fameuse question de souveraineté des données. En effet avec la loi de l’extraterritorialité des Américains et le Cloud Act, il est permis par le gouvernement américain de récupérer le donner des clients de ces entreprises pour des raisons expliquant le terrorisme ou la grande criminalité. Depuis un certain moment les institutions européennes essaient de réguler tant bien que mal l’évolution de cette gestion de données via le Cloud. Notamment avec le règlement général des données personnelles. « La possibilité d’accès dans l’UE à des données de citoyens européens par des autorités américaines ne peut pas être exclue », précise le rapport.
Du côté de la Commission européenne, un projet visant à améliorer la résilience opérationnelle dans le secteur du numérique principalement dans le domaine des finances est en cours de déploiement. Ce projet est censé impliquer l’ensemble des prestataires du Cloud. Il est censé mettre en évidence des obligations qui seront applicables par tous les établissements financiers qui travaillent de concert avec des prestataires de services Cloud. L’objectif bien sûr est de réduire au maximum le risque informatique, ainsi que la surveillance des tiers. « Un changement de paradigme doit s’opérer », appuie le HCJP, qui souligne que le risque est désormais lié à la dépendance à de tels acteurs.
Accédez maintenant à un nombre illimité de mot de passe :