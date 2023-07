Amazon Web Services (AWS) a fondé une division services financiers il y a cinq ans. Un moyen d’être à l’écoute de ce secteur exigeant et contraint par de nombreuses règlementations. En France, le groupe américain détient 45% du marché du cloud, selon Markess. Il compte parmi ses clients plus de 80% du CAC 40, les deux tiers des licornes françaises ainsi qu’un nombre significatif de banques, dont la Société Générale et Orange Bank, et de fintechs comme Bankin’, Linxo, Yomoni, Qonto, Blank ou Payplug. «Ces entreprises viennent chercher non seulement l’agilité et les moyens d’innover vite, mais aussi la sécurité et la conformité», souligne Stephan Hadinger, directeur de la technologie chez AWS France.

C’est ainsi que l’hyperscaler a lancé le mois dernier un module pour répondre à la demande de ses clients prestataires de paiement. Il s’agit d’un Payment HSM ou hardware security module, un boîtier de chiffrement spécifique, car il est conforme aux normes de sécurité PCI (Payment Card Industry), ce qui facilite la migration et la prise en main par ces clients. «Nous avons travaillé avec PCI pour nous mettre en conformité avec les normes PCI P2PE (point to point encryption) et PCI 3DSecure», raconte Stephan Hadinger. Ce qui inclut des audits et des certifications, ainsi qu’un dialogue avec les régulateurs locaux, Autorité bancaire européenne (EBA), Autorité de contrôle prudentiel et de résolution (ACPR) et Autorité des marchés financiers (AMF), notamment, afin d’offrir des services conformes à leurs exigences.

«Nos services sont les mêmes partout, sauf en Chine continentale, et les rares adaptations que nous faisons s’opèrent dans le cadre contractuel, comme c’est le cas en Europe et dans les pays soumis aux règles de l’EBA», complète Stephan Hadinger.



Données protégées

L’autre grand sujet est celui de la souveraineté et de la protection des données des entreprises et des citoyens européens vis-à-vis d’éventuelles demandes de juges américains, en lien avec le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA). Le siège d’AWS étant aux Etats-Unis, la question d’une transmission de données se pose. «Si les données ne sont pas stockées aux Etats-Unis et si les données sont chiffrées, il n’y a pas de moyen pour un juge américain de contraindre AWS à déchiffrer ces données, répond Stephan Hadinger. Les rapports de transparence publiés chaque semestre montrent ainsi qu’aucune donnée d’entreprises situées hors des Etats-Unis n’est transmise. »

Des discussions ont également été menées avec l’Agence nationale de sécurité des systèmes d’information (Anssi) et la Cnil, également inquiètes d’un éventuel durcissement de la règlementation américaine. C’est pourquoi AWS a publié en novembre 2022 un Digital Sovereignty Pledge, dans lequel il prend des engagements comme rendre toutes ses solutions souveraines «by design». Les données appartiennent aux clients, ceux-ci contrôlent la localisation géographique de leurs données, aucun salarié AWS ne peut consulter, modifier ou exploiter des données clients, etc. En décembre 2022, AWS a également passé un accord avec Atos et Thalès permettant à ses clients de conserver le contrôle des clés de chiffrement dans un boitier (HSM) externe.

Enfin, pour mettre à disposition de ses clients des briques d’intelligence artificielle générative tout en préservant la confidentialité de leurs données, AWS a intégré des briques de différents fournisseurs sur une marketplace, Bedrock. Celle-ci comprend des services d’accompagnement pour faciliter l’utilisation des modèles de fondation par les développeurs et le réglage fin pour un usage adapté aux besoins de l’entreprise. Une offre qui s’adresse à tous les secteurs d’activité, y compris la finance.