Cloud computing : la BCE lance une consultation sur les risques pour les banques

Partager cette actualité

Le 3 juin 2024, la Banque centrale européenne (BCE) a invité les banques et autres parties prenantes concernées par l’externalisation des services cloud à contribuer à son guide qui détaille les attentes prudentielles et les meilleures pratiques en la matière.

 

Contexte et enjeux 

 

Les banques recourent de plus en plus aux services de cloud computing proposés par des fournisseurs de services tiers. 

La BCE définit le cloud computing comme un “modèle permettant un accès sur demande facilité à une réserve partagée de ressources informatiques paramétrables, telles que des réseaux ou des serveurs, qui peuvent être approvisionnés rapidement et libérés avec un minimum d’efforts de gestion ou d’interactions avec le fournisseur de services”.

Ces solutions présentent des avantages significatifs en termes de coûts, de flexibilité opérationnelle et de sécurité. Cependant, elles engendrent également des risques notables. La BCE met notamment en garde contre “la dépendance à l’égard de tiers [qui] peut exposer les banques à des risques, par exemple en matière de cybersécurité et d’éventuelles interruptions d’activité”.

De surcroît, le marché des services cloud est dominé par quelques grands fournisseurs, majoritairement situés en dehors de l’Europe, ce qui accroît la dépendance des banques européennes à ces entités étrangères.

Par ailleurs, la BCE a identifié plusieurs vulnérabilités dans les accords d’externalisation des services informatiques des banques lors de son processus de contrôle et d’évaluation prudentiels (SREP 2023). Ces constatations ont conduit à faire de l’externalisation des services cloud une priorité de surveillance pour la période 2024-2026.

 

Objectifs

 

Dans sa version préliminaire, le guide souligne l’importance d’établir un cadre de gouvernance strict pour l’externalisation, avec des rôles et responsabilités bien définis. Il préconise une analyse approfondie des risques avant tout accord d’externalisation et met l’accent sur la continuité et la résilience des services cloud externalisés. Enfin, il insiste sur la protection des données grâce à un chiffrement robuste pour éviter tout accès non autorisé.

Ce guide poursuit plusieurs objectifs clés :

  • Clarifier les exigences légales et ainsi assurer une meilleure gestion des risques associés au cloud computing. Il intègre à ce titre les nouvelles exigences issues de la réglementation DORA (Digital Operational Resilience Act) sur la résilience opérationnelle numérique et de la Directive CRD (Capital Requirements Directive) sur les exigences de fonds propres.
  • Harmoniser la supervision : établir des attentes claires et uniformes pour toutes les banques supervisées par la BCE.

Il repose sur une analyse approfondie des risques et des meilleures pratiques observées par les équipes conjointes de supervision lors de leurs missions de surveillance continue et des inspections menées sur site. 

La consultation publique, ouverte jusqu’au 15 juillet 2024, invite toutes les parties prenantes à soumettre leurs commentaires et suggestions. Cette démarche collaborative vise à élaborer un cadre de supervision qui reflète fidèlement les réalités et les défis actuels du secteur. La BCE publiera prochainement la version révisée du guide.

 

Source : https://www.bankingsupervision.europa.eu/press/pr/date/2024/html/ssm.pr240603~e625aaca33.en.html 

Plus d'articles