Cloud public et services financiers : la FINOS imagine une « pierre de Rosette » réglementaire

Les banques peinent, elles aussi, à négocier avec leurs fournisseurs cloud

Outre des difficultés à négocier les prix des services, les grandes banques pointent du doigt les risques portés par la concentration cloud (commerciale et technique), les verrous propriétaires et ceux posés par les relations commerciales « déséquilibrées » entre les fournisseurs et leurs clients, selon un rapport du département du Trésor américain publié en février 2023.

« Les discussions [avec 48 services financiers américains et fournisseurs technologiques] ont révélé que les entreprises du secteur financier, quelle que soit leur taille, considèrent qu’il est difficile de négocier des contrats avec les fournisseurs cloud », peut-on lire dans ce rapport. « Les petites institutions financières ont souligné leur manque de pouvoir de négociation. Les premiers utilisateurs de services en cloud ont indiqué qu’il était particulièrement difficile de s’assurer des droits d’audit et d’éviter une résiliation sans préavis de la part du fournisseur de services en cloud ».

Ce sont dans des termes similaires qu’une commission du Haut Comité juridique de la place financière de Paris s’était exprimée en mai 2021 dans un document intitulé « Rapport sur le cloud bancaire : état des lieux et propositions ». Les auteurs réagissaient à l’application prochaine des réglementations européennes DSA (Digital Services Act), DMA (Digital Markets Act) et DORA (Digital Operational Resilience Act).

Concrétiser l’application des réglementations qui pèsent sur l’IT des services financiers

En effet, les services financiers, en Europe et ailleurs, doivent se plier à des réglementations foisonnantes, hétérogènes et complexes. C’est en tout cas le point de vue défendu par les membres fondateurs du projet « Common Cloud Controls » (CCC ou les contrôles communs applicables au cloud, en français) porté par la FINOS (Fintech Open Source Foundation), une organisation membre de la Linux Foundation.

Cette initiative proposée en juillet par le groupe financier international Citi vise à constituer un ensemble de contrôles de cybersécurité, de conformité et de résilience pouvant s’appliquer à tous les clouds. Le projet CCC sera lancé dès le 3 août (date de la première réunion consacrée au projet) et donnera lieu à la publication d’une suite de standards sous la licence Community Specification plus tard dans l’année.

Plus précisément, ces standards s’appliqueront à un « sous-ensemble de services cloud communs à tous les fournisseurs et fondamentaux pour la plupart des solutions ».

Dans l’idée des membres du projet CCC, les fournisseurs cloud « pourraient se certifier d’eux-mêmes », une certification qui serait informatiquement vérifiable. De la sorte, un simple engagement sur l’honneur ou la présentation d’un certificat ne suffiraient pas à attester du bon respect des Common Cloud Controls.

Les instigateurs du projet espèrent ainsi pallier les problèmes soulevés par les trésors américains et britanniques, mais aussi le Conseil de l’Union européenne. Plus particulièrement, ces acteurs veulent s’attaquer à l’impossibilité de déplacer les charges de travail entre les clouds, rajouter des contrôles de cybersécurité manquants et faciliter la configuration de ceux existants pour tenter d’endiguer les « risques de cybersécurité grandissants ». Ils veulent également lisser le niveau de compétence nécessaire à l’adoption de plusieurs clouds.

« Il est nécessaire de disposer d’une norme cloud qui améliorera certaines mesures de sécurité et de contrôle dans le secteur des services financiers, tout en simplifiant et en démocratisant l’accès pour que toutes les institutions puissent opérer et bénéficier de l’exploitation du cloud public », affirme Jim Adams, directeur des infrastructures IT et CTO de Citi, dans un communiqué de presse.

« En harmonisant les contrôles propres à la modélisation des menaces ciblant les services [de cloud public], nous pouvons mettre en œuvre, de façon uniforme, des contrôles correspondant aux menaces réelles que nous devons contrer », ajoute Jon Meadows, chef de la sécurité de la chaîne d’approvisionnement du cloud des applications et des logiciels de Citi, Fellow de Citi Tech, et président du groupe de travail OpenSSF End Users.

Selon la FINOS, il s’agit de compléter les dispositifs déjà en place s’appuyant par exemple sur le framework ATT&CK de MITRE, le langage OSCAL du NIST ou encore son projet Compliant Financial Infrastructure.

De plus, d’après le CTO de Citi, les banques ne veulent clairement pas mettre leurs œufs dans le même panier.

« Il est important de collaborer avec nos pairs pour veiller à l’uniformité des fournisseurs de services cloud et faire en sorte que le secteur puisse concrétiser des stratégies réellement multicloud », assure Jim Adams.

L’ombre de DORA

Selon Laurent Lefrançois, directeur d’engagement dans les projets cloud et Ambroise Lelievre, directeur au sein de la division Business Technology de Capgemini Invest France, « dans le secteur bancaire en Europe, les études montrent que seulement 15 % des traitements sont aujourd’hui opérés dans le cloud ».

« En tenant compte des outils collaboratifs et de travail à distance, dont l’usage a explosé depuis la pandémie, on peut estimer que n’y sont finalement hébergées que 5 % à 7 % à peine des applications cœur de métier », écrivent-ils, dans un billet publié sur le site Web de Capgemini.

Pour autant, les désirs d’innovation, une meilleure mitigation des risques, l’apparition d’offres adaptées aux exigences de conformité (cf. les clouds souverains et « de confiance ») des banques, ainsi que la maturité grandissante des acteurs de l’écosystème (fournisseurs, éditeurs, ESN, intégrateurs, etc.) forment un terrain favorable à l’adoption du cloud public. Cela n’empêche pas les entreprises financières européennes de faire preuve de défiance. Elles relatent les mêmes difficultés rencontrées par les membres de la FINOS, selon les propos des responsables chez Capgemini.

Le volet réglementaire « continue de peser sur les systèmes et les processus, notamment en Europe et en France », affirment-ils.

Justement, les Common Cloud Controls en cours d’élaboration par les adhérents de la FINOS font écho aux exigences formulées dans DORA. Cette loi européenne sur la résilience opérationnelle est entrée en vigueur le 27 décembre 2022 et est applicable au plus tard le 17 janvier 2025 dans tous les états membres de l’UE.

Ce règlement « fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et des organisations actives dans le secteur financier ainsi que des tiers critiques qui leur fournissent des services liés aux technologies de l’information et de la communication (TIC) », selon le Conseil de l’UE

Il impose aux entreprises concernées de mettre en place un cadre de gouvernance des risques IT, de gérer, classifier et notifier des incidents IT (de cybersécurité ou non), de réaliser des tests de « résilience » (notamment des pentests), de gérer les risques contractuels et techniques liés aux prestataires de services tiers, ainsi que de partager les informations d’incidents avec leurs pairs.

Selon le texte de la réglementation DORA, une grande part de la responsabilité revient aux services financiers. Les prestataires de services IT, y compris les fournisseurs cloud, auront des obligations d’information ainsi que de participation aux tests des plans d’urgence et de pénétration. Ils devront se soumettre aux audits réclamés par un service financier et l’assister « sans coûts supplémentaires » (ou suivant un barème forfaitaire défini à l’avance) en cas d’incident IT.

Pour sa part, le directoire national cyber (Office of the National Cyber Director) rattaché à la Maison-Blanche a annoncé le 19 juillet dernier une demande d’informations en vue d’harmoniser les réglementations américaines en matière de cybersécurité.

Un appel à collaboration avec les régulateurs

« La conformité d’un déploiement cloud financier ne peut pas être définie par un seul fournisseur, une seule institution financière ou une seule autorité de réglementation. »

Les participants au projet porté par la FINOS aimeraient trouver un terrain d’entente avec les autorités de régulation. Ils imaginent que « différents régulateurs » pourraient « faire correspondre leurs exigences à une norme unique et cohérente, une sorte “pierre de Rosette” de la réglementation dans le cloud public » que représenteraient les Common Cloud Controls.

« Vu la grande complexité et les facteurs économiques de ce défi, la conformité d’un déploiement cloud financier ne peut pas être définie par un seul fournisseur, une seule institution financière ou une seule autorité de réglementation », insiste Gabriele Columbro, directeur général de FINOS et directeur de la Linux Foundation Europe.

Le projet de Citi a obtenu l’adhésion d’une vingtaine d’entreprises, dont la Banque de Montréal, Goldman Sachs, Morgan Stanley, La Banque Royale du Canada, le London Stock Exchange Group, le NatWest Group, Google Cloud, Red Hat, GitLab, GitHub ou encore Scott Logic. D’autres banques, services financiers et fournisseurs sont invités à rejoindre le projet plus tard, tandis que certains membres préfèrent ne pas afficher leur participation.