Stratégie

L'autorité bancaire européenne alerte sur les risques liés au cloud

Les banques se transforment numériquement en adoptant notamment le cloud. L'Autorité bancaire européenne alerte sur le risque de dépendance à quelques fournisseurs.

PublicitéLe cloud fait toujours débat dans certains secteurs d'activité. Les banques traditionnelles ont arrêté de tergiverser face à la montée en puissance des FinTech disposant d'infrastructures IT plus agiles. C'est donc tout naturellement que les établissements bancaires se sont tournés vers le cloud pour s'adapter et se transformer numériquement.

Oui mais voilà, cette évolution ne comporte pas que des bénéfices assure l'EBA (European Banking Authority). L'autorité vient de publier un rapport où elle liste les 7 risques et opportunités des différentes technologies liées aux services bancaires. Parmi ces éléments, on retrouve : la biométrie, le big data et le machine learning pour le scoring des crédits, la blockchain, le NFC avec le portefeuille électronique et le cloud. Pour étayer ses recommandations, l'EBA s'appuie sur un rapport semi-annuel sur l'intégration de ces technologies. 39% des répondants se sont déjà lancés dans le cloud, 27 % mènent des pilotes et sont en phase de développement et pour 26% les discussions sont toujours en cours.

Le cloud une opportunité, mais aussi des risques

L'EBA considère le cloud public comme une opportunité, mais aussi comme un risque. En effet, de plus en plus d'établissements s'appuient sur le cloud pour des activités non stratégiques, par contre quelques institutions explorent la possibilité de placer leur coeur de système sur le cloud public. Et là, l'autorité européenne tire la sonnette d'alarme sur plusieurs points. Le premier est le risque de dépendance par rapport à quelques fournisseurs de cloud. Selon l'EBA, « ils pourraient devenir le point unique de défaillance car plusieurs institutions sont connectées à travers ces fournisseurs » .L'organisme craint par ailleurs le verrouillage des contrats bloquant les établissements qui souhaitent changer de prestataire.

Autre risque pointé par l'EBA, les incertitudes liées aux différentes régulations. Elles peuvent impacter, « la sécurité des données et des systèmes, ainsi que le secret bancaire, surtout quand les services cloud sont hébergés dans des juridictions dotées de lois et de réglementations différentes des établissements ». L'adoption récente du Cloud Act aux Etats-Unis a relancé le débat sur l'extra-territorialité des mandats américains sur des données hébergées dans des datacenters à l'étranger. L'arrivée du RGPD en Europe redistribue les cartes et impacte les relations avec les fournisseurs de cloud.

L'EBA rappelle les bonnes pratiques sur le cloud en matière de sécurité comme la gestion des accès et des identités, les clés de chiffrement, l'authentification (notamment avec le multi-facteur). Le contrôle de la configuration technique des infrastructures est « d'une importance vitale ».