L’utilisation du cloud par le secteur des services financiers devrait faire l’objet d’un examen réglementaire plus approfondi pour des raisons de résilience

La dépendance croissante du système financier britannique à l’égard d’un petit nombre de fournisseurs de services infonuagiques (CSP) pourrait faire l’objet d’un examen réglementaire plus approfondi, sur la base des conclusions d’un rapport du Financial Policy Committee (FPC) de la Banque d’Angleterre.

Le FPC semestriel Rapport sur la stabilité financière vise à identifier les domaines dans lesquels les banques et les sociétés de construction doivent se méfier et qui pourraient poser un risque systémique pour leurs opérations et la résilience globale du système financier britannique.

L’utilisation croissante des technologies infonuaggiques par le secteur des services financiers est l’un des domaines dans lequel l’édition de juillet 2021 du FPC Rapport sur la stabilité financière en particulier la dépendance croissante du secteur à l’égard des outils et des services offerts par un bassin relativement restreint de fournisseurs.

« Depuis le début de 2020, les institutions financières ont accéléré leurs plans pour accroître leur dépendance aux CSP », indique le rapport, un clin d’envoi à la façon dont le début de la pandémie de Covid-19 a conduit à une augmentation de l’utilisation du cloud par les sociétés de services financiers.

Cette évolution n’est pas passée inaperçue auprès des régulateurs du secteur, qui comprennent la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA), indique le rapport, mais des inquiétudes persistent quant au risque qu’implique le fait qu’un si grand nombre d’entreprises s’appuient sur un si petit nombre de fournisseurs.

« Bien que la PRA et la FCA aient récemment renforcé la réglementation de la résilience opérationnelle des entreprises et de la gestion des risques par des tiers, la dépendance croissante à l’égard d’un petit nombre de CSP et d’autres tiers critiques pourrait accroître les risques pour la stabilité financière sans une surveillance réglementaire directe accrue de la résilience des services qu’ils fournissent », indique le rapport.

À la lumière de cette situation, le FPC est d’avis que des mesures politiques supplémentaires devraient être prises pour aider à atténuer les « risques pour la stabilité financière » et il travaille déjà avec la Banque d’Angleterre, la FCA et le Trésor pour y parvenir.

« Le FPC reconnaît qu’en l’absence d’un cadre réglementaire intersectoriel et, le cas échéant, d’une coopération transfrontalière, il existe des limites à la mesure dans laquelle les régulateurs financiers peuvent à eux seuls atténuer efficacement ces risques », indique le rapport.

Bien que le rapport ne s’arrête pas à appeler des fournisseurs de cloud spécifiques, les trois principales entreprises de cloud public – Amazon Web Services (AWS), Microsoft et Google – sont connues pour avoir une base solide dans le secteur des services financiers.

En outre, les trois organisations sont connues pour avoir fait un effort concerté ces dernières années pour courtiser les sociétés de services financiers par le déploiement d’offres spécifiques à l’industrie et des équipes de soutien ayant des compétences et une expérience de travail avec des entreprises du secteur.

Et même sans la pandémie de Covid-19 comme toile de fond, la volonté des sociétés de services financiers d’utiliser le cloud a considérablement augmenté au cours de la dernière décennie, les régulateurs, y compris la FCA, publiant des directives conseillant les entreprises relevant de son champ d’application sur la façon de passer au cloud de manière sûre et sécurisée.

Simon Hull, responsable des services financiers chez le cabinet de conseil en technologie BJSS, a déclaré qu’il était juste que le FPC s’inquiète de l’emprise dominante d’un petit nombre de très grandes entreprises de cloud sur le secteur.

« L’un des moteurs de la migration vers le cloud est d’améliorer la résilience opérationnelle des entreprises individuelles et de l’écosystème en général, mais s’il y a des problèmes avec l’infrastructure sous-jacente elle-même, cela pourrait avoir un impact sur des milliers de systèmes à la fois », a-t-il déclaré.

« Les sociétés de services financiers elles-mêmes le comprennent et prennent des mesures pour assurer la résilience et éviter l’enfermement des fournisseurs en introduisant différents arrangements tels que le cloud hybride privé/public et en utilisant plus d’un CSP dans une stratégie multi-cloud. »

Dans le même temps, la plupart des fournisseurs de services cloud s’appuient sur plusieurs zones de disponibilité de centres de données pour assurer la résilience, a-t-il ajouté.

« Bien que cela doive rassurer, le désir de mieux comprendre et gérer ce risque est naturel, mais l’innovation permise par la technologie cloud ne doit pas non plus être indûment étouffée. Compte tenu de sa nature mondiale et de son état en évolution, cela nécessitera une collaboration entre les organismes de réglementation et les participants de l’industrie », a conclu M. Hull.