Discussion au coin du feu avec Olivier Vareilhes, Managing Director de Kyndryl Switzerland et Felice Sorrentino, Swiss Advisory Leader
Comment les banques suisses peuvent-elles tirer parti des technologies cloud tout en répondant aux exigences règlementaires ?
Les avantages du cloud conduisent de plus en plus d’entreprises à y investir. Les banques, habituellement pionnières en matière d’innovation, abordent le cloud avec plus de prudence.
La transition vers le cloud et les conséquences règlementaires que cela implique ne sont pas anodines en Suisse, en particulier pour les banques.
En effet, beaucoup de questions se posent sur le contrôle et la gouvernance des données. La législation des États-Unis (notamment le CLOUD Act), d’où proviennent les principaux fournisseurs de services cloud, ainsi que son extraterritorialité compliquent davantage l’adoption du cloud par les banques.
Fort de son expérience autour du cloud, Kyndryl Switzerland a identifié plusieurs zones de vigilances devant faire l’objet d’une attention particulière lors du voyage vers le cloud.
Quel paysage règlementaire pertinent ?
Selon sa propre définition, la FINMA est l’«Autorité de surveillance indépendante de surveillance des marchés financiers suisses, la FINMA est dotée de prérogatives de puissance publique à l’égard des banques, des entreprises d’assurances, des bourses, des établissements financiers, des placements collectifs de capitaux, de leurs gestionnaires et directions de fonds, ainsi que des intermédiaires d’assurance. La FINMA s’engage pour la protection des créanciers, des investisseurs et des assurés ainsi que pour la protection du bon fonctionnement des marchés financiers.»
En ce qui concerne les technologies de l’information, la FINMA se focalise principalement sur la protection des données clients et critiques, de l’externalisation des services essentiels et du Business Continuity Management.
En plus de ces sujets majeurs, la FINMA encadre également les domaines suivants :
· Stratégie, organisation et gouvernance IT
· Risques et contrôles IT / cyberrisques
· Sécurité logique et physique / protection de l'information
· Infrastructure IT et prestations de services IT
· Externalisation IT et gestion des fournisseurs IT
· Informatique de l'utilisateur final et qualité des données
Kyndryl Switzerland prend ces contraintes règlementaires en compte lors de ses projets informatiques dans le domaine financier en travaillant de pair avec ses clients pour sélectionner le fournisseur cloud adéquat et les solutions adaptées notamment en vérifiant la conformité des caractéristiques contractuelles, techniques, et organisationnelles.
Comment les fournisseurs de services cloud s’adaptent-ils aux contraintes règlementaires ?
Conscients des contraintes règlementaires des clients suisses, les fournisseurs de services cloud, principalement étrangers, tentent de montrer patte blanche à l’aide de divers avis juridiques, d’analyses détaillées et checklists montrant la conformité de leurs services.
Tous les acteurs ne sont pas au même niveau de maturité dans ce domaine, c’est pourquoi il convient de réaliser une analyse indépendante et approfondie afin d’identifier l’offre la plus adaptée.
Kyndryl Switzerland vous aide à réaliser cette analyse grâce à un framework agnostique, tenant compte des exigences réglementaires et des best-practices.
Protection des données et sécurité
La protection des données clients et critiques est généralement un point central des projets IT dans les banques et assurances. Alors que d’autres industries priorisent l’innovation, la performance, ou l’optimisation des coûts, les entreprises régulées font de la protection des données clients et critiques la condition sine qua non à tout changement.
Les risques liés au cloud sont principalement dus à la perte de contrôle sur les données suite à leur migration sur l’infrastructure du fournisseur.
Ainsi, plusieurs questions se posent sur l’accès aux données par des tiers non-autorisés, sur l’hébergement, les backups, et la réplication et protection des données.
· L’accès aux données est-il géré de manière appropriée ?
· Où les données sont-elles sauvegardées ?
· Est-il possible d’accéder aux données depuis l’étranger ?
· Qui a accès aux données ?
Gouvernance
Lorsque de nombreux services sont confiés au même prestataire, l’entreprise s’expose au risque de « vendor lock-in ».
Pour la FINMA, «Lors de la décision statuant sur l’outsourcing et du choix du prestataire, les possibilités et les conséquences d’un changement doivent être prises en considération. Le prestataire doit offrir la garantie d’un exercice durable de la fonction. La réintégration ordonnée de la fonction externalisée ou le transfert à un autre prestataire doivent être garantis.» (FINMA Circulaire 2018/03 Outsourcing – banques et assureurs, §18/18.1).
Sélection du fournisseur
Lors du processus de due diligence, l’entreprise doit s’assurer que le fournisseur dispose des capacités financières et humaines suffisantes pour assurer la prestation de service conformément aux obligations contractuelles.
Bien qu’il soit difficile de remettre en question la stabilité financière des fournisseurs principaux, dont le revenu peut dépasser le PIB de certains états, l’examen de due diligence ne doit pas être négligé.
L’un des points à vérifier porte sur la capacité du fournisseur à assurer les services de façon conforme aux exigences suisses en matière de protection des données :
· Le fournisseur dispose-t-il de suffisamment de ressources en Suisse pour fournir le service sans recourir à des employés à l’étrangers ?
· Les employés du fournisseur sont-ils tenus au secret bancaire ?
· Le fournisseur dispose-t-il d’un processus de contrôle des employés impliqués dans la prestation de service ?
Contrôle des sous-délégataires et droit d’audit
Une externalisation de service s’accompagne souvent par une ou plusieurs sous-délégations. La banque restant l’ultime responsable du service externalisé, il lui revient d’avoir une maîtrise complète sur toute la chaine de fourniture de service.
Cela implique de connaitre la liste des sous-traitants et d’en faire l’examen. Bien qu’elles ne disposent pas de droit de véto, les banques et assurances doivent s’assurer d’être tenues informées d’éventuels nouveaux sous-traitants et d’avoir la possibilité de résilier le service en temps opportun si nécessaire.
Il convient également de clarifier les aspects liés au type de données accessibles ainsi que les raisons et le ou les pays depuis lesquels les données sont accessibles sans oublier les mécanismes de protection.
Enfin, il est essentiel de s’assurer que les services externalisés puissent être audités par la FINMA si nécessaire. Cela est d’autant plus valable lorsque le service est externalisé à l’étranger.
Autorités et procédures
L’un des principaux points d’attention est l’accès aux informations bancaires par des autorités étrangères. Si pour une quelconque raison un gouvernement étranger souhaite accéder aux données d’une banque suisse en s’appuyant sur l’extraterritorialité de ses lois (par exemple le CLOUD Act), il est impératif que la banque et les autorités suisses en soient informées au moyen d’un processus adéquat. La banque et son prestataire de services cloud doivent intégrer le processus d’accès aux informations dans le contrat afin de se prémunir contre ces risques.
