La Banque centrale européenne (BCE) renforce le cadre de surveillance qui régit les services de cloud computing, dans le but de minimiser les failles de sécurité dans les systèmes d’information tiers de plus en plus utilisés par les banques systémiques.
Le Contrôleur a mis en consultation publique jusqu’au 15 juillet le Guide de la BCE pour l’externalisation des services Cloud, en partant de trois hypothèses de base.
Premièrement, les établissements de crédit remplacent de plus en plus les systèmes informatiques et de communication internes par des services cloud proposés par des prestataires externes.
Comme le souligne généralement la Banque centrale, même si l’utilisation des services cloud peut apporter de multiples avantages au secteur bancaire, elle augmente l’exposition des banques à divers types de risques. “Le marché des services cloud se caractérise par un haut degré de concentration, et dans de nombreux cas, ces services sont basés sur des technologies propriétaires qui doivent être comprises, évaluées et surveillées par les institutions concernées”, note-t-il.
Deuxièmement, la BCE a identifié des faiblesses dans la résilience opérationnelle du cadre d’externalisation informatique, qui sont mises en évidence dans les priorités de surveillance pour les années 2024-2026.
Troisièmement, l’UE a adopté récemment de nouvelles lois, comme le Digital Operational Resilience Act (DORA), qui se concentrent sur l’établissement de règles de qualité visant à se protéger contre les incidents liés aux systèmes d’information, y compris les services cloud.
La raison du renforcement du cadre d’utilisation des services cloud tiers réside dans les résultats du processus de surveillance et d’évaluation (SREP) mené chaque année par la BCE. Parce que le SREP de 2023 a mis en avant plusieurs points de vulnérabilité des banques en matière de recours à des systèmes d’information tiers.
Comme l’explique le Contrôleur, le nouveau cadre suit les initiatives législatives de l’UE visant à faire face aux risques liés à l’utilisation des systèmes d’information qui pourraient perturber le bon fonctionnement des infrastructures ou des services critiques.
C’est pourquoi elle renforce les exigences qu’elle impose aux banques en matière de cadre de sécurité des systèmes d’information, y compris la cybersécurité.