La Banque centrale européenne (BCE) lance aujourd’hui une consultation publique sur son nouveau guide relatif à l’externalisation des services « en nuage » ou « cloud » vers des fournisseurs de ce type de services.
Le guide vise à clarifier l’interprétation par la BCE des exigences juridiques à ce sujet ainsi que ses attentes concernant les banques soumises à sa surveillance. Il renforce la cohérence prudentielle tout en veillant à garantir un traitement équitable de toutes les banques. Le guide s’appuie sur les risques et les meilleures pratiques observés par les équipes de surveillance conjointes lors de leurs missions de surveillance continue et des inspections sur place dédiées.
Les banques ont de plus en plus recours aux services informatiques en nuage (« cloud computing ») proposés par des fournisseurs de services tiers. Ces services sont potentiellement moins coûteux, plus flexibles et plus sûrs, mais la dépendance à l’égard de tiers peut également exposer les banques à des risques, par exemple en matière de sécurité informatique, et à de possibles interruptions de l’activité. Si une banque ne peut pas facilement remplacer ses services externalisés en cas de panne, ses fonctions sont susceptibles d’être interrompues. Par ailleurs, le marché des services en nuage est fortement concentré, et de nombreuses banques reposent sur un petit nombre de fournisseurs établis hors de l’Europe. La BCE considère donc comme une bonne pratique pour les banques de prendre explicitement en compte ces risques.
En outre, la BCE a détecté plusieurs vulnérabilités dans les accords d’externalisation informatique des banques au cours de son processus de contrôle et d’évaluation prudentiels (SREP) pour 2023. Par conséquent, la gestion des risques liés aux tiers, y compris dans le cas de l’externalisation des services en nuage, reste en tête des priorités prudentielles de la BCE pour 2024-2026.
En vue d’améliorer la gestion des risques liés aux technologies de l’information et de la communication, les législateurs de l’Union européenne ont introduit le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA),soulignant la nécessité d’atténuer de manière proactive les risques qui pourraient conduire à l’interruption de fonctions ou de services critiques. Des actes juridiques tels que le règlement DORA et la directive sur les exigences de fonds propres requièrent des banques qu’elles mettent en oeuvre une gouvernance effective des risques issus de l’externalisation, et qu’elles définissent des cadres pour la sécurité informatique et la cyberrésilience. Le guide présente l’interprétation par la BCE de ces règles spécifiques et la manière dont elles s’appliquent aux banques soumises à sa surveillance.
La consultation publique concernant le guide relatif à l’externalisation des services en nuage débute ce jour et s’achèvera le 15 juillet 2024. La BCE publiera ensuite les commentaires reçus ainsi qu’un compte rendu et la version finale du guide.
Notes
- Les services en nuage sont des services fournis par l’intermédiaire de l’informatique en nuage (« cloud computing »). Il s’agit d’un modèle permettant un accès sur demande facilité à une réserve partagée de ressources informatiques paramétrables, telles que des réseaux ou des serveurs, qui peuvent être approvisionnés rapidement et libérés avec un minimum d’efforts de gestion ou d’interactions avec le fournisseur de services.
