Les banques affrontent les dangers du cloud
La place financière de Paris a réalisé avec succès un exercice de crise cyber sur les principaux groupes bancaires, mais sans traiter la technologie cloud.
Une absence remarquée. La Place financière de Paris a mené mi-juin une simulation de risque cyber ayant permis de « tester avec succès les dispositifs de gestion de crise de la Place », a révélé en fin de semaine dernière la Banque de France. Piloté par cette dernière, l’exercice a mobilisé plus de 800 personnes dans les établissements concernés pour « éprouver la réactivité et l’organisation des membres ainsi que la coordination de la Place et de ses quatre cellules de crise (liquidité, fiduciaire, cyber-IT et communication de crise) ». Mais «la technologie cloud n’a pas été touchée par le scénario de cet exercice », explique l’institution à L’Agefi, alors même qu’un rapport sur le sujet du Haut Comité juridique de la place financière de Paris (HCJP) mené avec les banque françaises adhérentes de la FBF pointe les dangers inhérents à la transformation du secteur par cette technologie.
Le cloud, qui permet une gestion informatique standardisée et automatisée à l’aide d’un prestataire de services, gagne en effet les grands groupes bancaires, à l’image de Deutsche Bank ou HSBC qui se sont alliés à Google Cloud et Amazon Web Services pour le déployer. « Les enjeux de sécurité des infrastructures de cloud résonnent actuellement de manière plus concrète compte tenu des nombreux événements faisant l’actualité », admet le HCJP, en faisant référence à la fuite de données massives de 100 millions de clients américains ayant touché la banque Capital One en 2019 ou encore à l’incendie chez OVHcloud en mars. Une référence d’autant plus pertinente que l’incident a entraîné une fuite de données chez Axa et qu’OVH travaille depuis longtemps avec la Société Générale ainsi que « d’autres clients bancaires ». Si le rapport relate que « les banques sont certainement parmi les secteurs les plus sensibilisés et matures quant au niveau de protection exigé », le responsable de la sécurité informatique d’une grande banque française souffle à L’Agefi que l’aspect réglementaire est en retard dans le domaine.
Le problème de l’extraterritorialité
Cette limite résonne avec les autres défis que pose le Cloud. La structure oligopolistique de ce marché entraîne une inversion de la relation traditionnelle de pouvoir entre le client et le prestataire. Amazon Web Services, Microsoft Azure, Google et Alibaba détiennent à eux seuls 61% du marché mondial des services de cloud qui est passé de 17,4 milliards de dollars en 2009 à 257 milliards en 2020 selon le cabinet Gartner. Au-delà des problèmes de concurrence, les acteurs peuvent se trouver en situation de faiblesse pour imposer les exigences juridiques, ouvrant un problème de conformité. « Or l’absence ou le défaut de conformité de certaines clauses dans les contrats d’externalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes expose les banques à un risque de sanction administrative, voire de mise en jeu de leur responsabilité, notamment à l’égard de leurs clients », estime le rapport.
Surtout, l’absence de leader européen dans le domaine pose la question de la souveraineté des données. Ainsi, l’extraterritorialité des lois américaines, avec le Cloud Act par exemple, permet de récupérer les données des clients de ces prestataires de services et entre en conflit avec le règlement général sur la protection des données (RGPD) en France. « La possibilité d’accès dans l’UE à des données de citoyens européens par des autorités américaines ne peut pas être exclue », admet le rapport.
Le défi réglementaire
Des réponses s’organisent. La Commission européenne a notamment lancé un projet de règlement sur la résilience opérationnelle numérique dans le secteur financier (Dora) qui englobe les prestataires de cloud. Il s’articule autour d’obligations applicables pour les établissements financiers traitant avec ces prestataires, notamment pour mieux maîtriser le risque, et d’une surveillance de ces tiers considérés comme critiques. « Un changement de paradigme doit s’opérer », appuie le HCJP, qui souligne que le risque est désormais lié à la dépendance à de tels acteurs.
En France, si l’enjeu sécuritaire a été pris en compte par l’Agence nationale de la sécurité des systèmes d’information (Anssi) dès 2010, la volonté est de mêler souveraineté et sécurité. En mai, le gouvernement a présenté une stratégie nationale pour le cloud reposant sur un label de confiance pour les prestataires, une modernisation de l’Etat dans le domaine et un milliard d’euros du plan de relance dédié au sujet. Des efforts éloignés du milieu bancaire, qui regarde plutôt du côté de l’initiative Gaia X lancée en 2019 avec l’Allemagne. Censée concurrencer les Gafam, elle vise à créer une « infrastructure européenne des données » via une entité de gouvernance édictant des grands principes, notamment de sécurité. OVHcloud, membre fondateur, y est le français le plus important. Il reste toutefois un petit acteur mondial avec 1% des parts de ce marché, et des services concernant l’infrastructure et les plateformes, mais pas l’édition de logiciels.
Un évènement L’AGEFI
INSTITUTIONAL DAY
Plus d'articles du même thème
-
Kevin Warsh propose une Fed «moins communicante»
Les acteurs du secteur financier peuvent y voir une évolution potentiellement positive si cela permet de réagir plus vite et mieux aux données. On peut cependant encore douter que le banquier central nommé par le président Donald Trump soit celui qui cherche ainsi à dépolitiser la Fed. -
Le M&A s'alimente de nouveau au gros gibier
En dépit de moindres volumes, la valeur des opérations de fusions & acquisitions a rebondi durant ce premier semestre 2026, un début d'année marqué par des transactions de grande envergure. L'intérêt des investisseurs se concentre notamment sur les secteurs des télécommunications, de l'énergie, des infrastructures et de l'intelligence artificielle, relèvent les banques d'investissement. -
CRH change de braquet aux Etats-Unis
L’acquisition d’Arcosa en numéraire pour 8,5 milliards de dollars, dette incluse, renforcera la position du groupe irlandais de matériaux de construction dans les infrastructures et l’énergie.
ETF à la Une
AllianzGI va lancer cinq ETF actifs en Europe dès l'été
Le géant de la gestion d'actifs marque son offensive sur un marché en plein essor.
Les plus lus
- «Les anticipations de résultats sur le S&P 500 laissent entrevoir un potentiel de surprises positives»
- Accenture ravive les craintes sur l’IA et enfonce Capgemini dans le rouge
- L’environnement de marché est moins favorable à l’or
- Maisons du Monde s’apprête à passer sous le contrôle de deux fonds britanniques
- Nickel lance un compte pour les pros
Contenu de nos partenaires
A lire sur ...
-
Adaptation
Climatisation : la grande bascule des politiques
Face aux canicules à répétition, le débat sur le dérèglement climatique n’existe plus. Il se déplace sur l’adaptation. En se cristallisant sur la seule question de la clim, devenue très politique -
Commerce international
Le commerce maritime international en mode agile
De la mer Rouge au détroit d'Ormuz, les crises géopolitiques rebattent les cartes du transport maritime. Armateurs, assureurs et transitaires s'organisent désormais pour naviguer dans un monde où l'incertitude est devenue la norme. A l'occasion du Rendez-vous ParisMAT qui se tient aujourd'hui et demain à Paris, petit tour d'horizon de ce nouveau quotidien -
EXCLUSIF
Dominique de Villepin : « Il faudra revenir à une taxe carbone »
Retour de l’ISF, taxe carbone, fonds souverain de 100 milliards… L’ancien Premier ministre de Jacques Chirac dévoile en exclusivité les grandes lignes de son programme économique pour l’élection présidentielle de 2027
