L’Autorité bancaire européenne vient de publier un rapport en anglais de 56 pages sur l’usage de la fintech (technologie financière) dans les établissements bancaires du Vieux Continent. On y découvre sans surprise que l’organisme de supervision ne privilégie pas le cloud public. « Pour les applications pour lesquelles la sécurité est la principale préoccupation, le cloud privé doit être considéré comme préférable car il offre la meilleure flexibilité dans le traitement des données et la sécurité », écrit l’ABE, tout en reconnaissant que le cloud privé est généralement moins flexible et plus cher que le cloud public. « Il en résulte que certaines institutions préfèrent un modèle hybride, dans lequel certaines activités sont réalisées dans un cloud public, tandis que les activités sensibles (y compris l’hébergement de données sensibles) sont exécutées dans un cloud privé. »

« Si une institution offre des services traités dans le cloud public, la mise en œuvre de la gestion de la sécurité de l’information (y compris la gestion des accès), le contrôle de la clé de chiffrement, le chiffrement, l’authentification (y compris multi-facteur), la cybersécurité et la configuration de l’infrastructure technique sont d’une importance vitale », indique encore le rapport qui précise que le risque opérationnel est élevé si l’institution délègue ces opérations à un fournisseur de services.

Le choix du fournisseur de services est dans ce cas l’élément le plus critique. Evoquant la bataille de quatre ans entre Microsoft et l’administration américaine au sujet de la divulgation à cette dernière d’informations hébergées par l’éditeur sur le sol irlandais (qui s’est terminée par un vote du Congrès américain d’un cloud act renforçant l’ingérence des autorités sur les opérateurs cloud US), l’ABE attire l’attention des établissements financiers sur les risques qu’il y a à héberger des données chez un fournisseur de services mondial. « Il peut y avoir des incertitudes au sujet de la juridiction dans laquelle les données sont hébergées vu que les grands fournisseurs de services cloud opèrent dans de multiples juridictions avec des datacenters potentiellement remplaçables. »

Autre risque pointé par le régulateur : certains sous-traitants. « L’utilisation de sous-traitants d’une région ou d’un pays à haut risque peut affecter négativement un risque opérationnel plus large ou la réputation de l’institution. » Voilà le clou bien enfoncé.