Les embuches pour créer un environnement de Cloud compliant avec les règles du secteur financier restent importantes, mais pas insurmontables, dit la CSSF…

En matière de Cloud, comme ailleurs, dans le secteur financier, il faudra gouverner dans les lignes directrices du cadre règlementaire. De ce côté-là, lors de l’APSI day sur le Cloud Computing, pour David Hagen CIO and Head of IT supervision and Support PSF de la CSSF, « malheureusement, rien de nouveau. » Rien de nouveau sur l’évolution du pack légal, mais beaucoup d’opportunités néanmoins…

[button color=”black” link=”https://podio.com/webforms/4552206/357181″]Cliquez pour accéder à la présentation[/button]

« Il faut en revenir à l’essentiel, tient à rappeler David Hagen, voix du régulateur : il s’agit de respecter les règles qui régissent les banques de façon internationale et qui sont inscrites dans les principes de Bâle. Ces principes soutiennent que les personnes et les process doivent rester sous le contrôle des institutions. » Fondateur pour la suite…

Chaque gouttelette du Cloud doit être conforme

Contrôle, ne veut pas dire impossible ou insurmontable. Et le message est clair et constant depuis quelques années : « les risques doivent être mitigés, acceptés, dit David Hagen. Et les risques résiduels aussi ; c’est à dire ceux qui portent sur chacun des éléments sous-jacents. Ce qui est très important dans la notion de Cloud, notamment avec l’effet de la cascade de fournisseurs ou opérateurs à l’intérieur d’un process dans le Cloud. » Aussi la mutualisation, toute bénéfique qu’elle soit, ne peut ajouter du risque au risque… En effet, que se passe-t-il pour chacun des autres, lorsqu’un membre d’un Community Cloud est à la peine ? « One bank, one database », a dit David Hagen.

Et David Hagen de rappeler les quatre piliers techniques : confidentialité, disponibilité, intégrité et, plus compliqué à mettre en œuvre, traçabilité, des process de banque sous Cloud. Ppar traçabilité, il s’agit aussi de pouvoir remonter le fil d’un workflow dans le Cloud qui pourrait avoir failli, de déterminer la route-cause et d’y remédier. Le tout en apportant les éléments de preuve utiles aussi dans un contexte de forensic. Difficile dans les conditions d’homogénéité d’un service Cloud de détailler, point par point, tous les ingrédients et toutes les liaisons entre eux.

Du côté de l’impact métier, il s’agira d’assurer la responsabilité in fine toujours aux mains de la banque (la responsabilité ne peut pas être outsourcée), l’intégrité et aussi la continuité. Un élément neuf peut être apporté sur l’aspect de continuation avec la nouvelle réglementation issue du droit du commerce et qui permet la reprise de données d’un service Cloud par un opérateur en faillite. « Récupérer les données n’est pas suffisant, admet David Hagen. Il faudrait aussi reprendre l’applicatif et l’environnement qui permettent d’exploiter ces données. » En ce sens, une protection étendue des utilisateurs (entreprises, banques) dans le Cloud sera mise en œuvre par le cadre légal.

Beyond the Financial Sector

Pour la CSSF et pour les acteurs régulés dans l’univers des PSF, le Cloud reste une opportunité importante pour le développement de la place. « Mon avis personnel, ajoute David Hagen : les nouveaux assets sont maintenant complétement numériques. » La criticité étant plus élevée encore pour une informatique déstructurée (par le Cloud), il va falloir appréhender encore mieux les risques opérationnels au sein de l’entreprise. « La mission de la CSSF est de protéger les avoirs des clients des banques. » Des avoirs qui sont aussi ces données, ces informations, de la sécurité, de la confidentialité…

Et la bonne nouvelle est que le Luxembourg reste le seul pays au monde à offrir un cadre règlementaire clair pour les acteurs du service management dans le secteur financier. Contraignant certes, mais prometteur.

A suivre jeudi : qu’en-est-il du cadre des PSF de Support ?