Les régulateurs financiers britanniques intensifient leur contrôle des géants du cloud computing
Les régulateurs financiers britanniques se préparent à intensifier leur contrôle des fournisseurs de cloud computing dans un contexte de craintes croissantes qu’une panne ou un piratage de leurs services ne perturbe gravement un système bancaire de plus en plus dépendant d’eux.
L’Autorité de régulation prudentielle explore les moyens d’accéder à davantage de données des fournisseurs de cloud Amazon, Microsoft et Google, y compris sur la résilience opérationnelle de leurs services, selon des personnes proches du dossier.
Le trio domine le cloud computing, un marché mondial qui a explosé alors que de plus en plus d’entreprises transfèrent des données et des services informatiques vers des serveurs tiers gérés par Big Tech.
Ces trois sociétés ont conclu ces dernières années des accords avec des banques britanniques, qui se sont tournées vers elles pour réduire les coûts informatiques, réviser les infrastructures désuètes et capitaliser sur des technologies telles que l’IA pour automatiser le service client et détecter la criminalité financière.
Bien que l’utilisation du cloud computing par les banques britanniques soit couverte par le cadre de résilience opérationnelle de la PRA, les inquiétudes grandissent quant à l’ampleur des perturbations qui pourraient être déclenchées si un ou plusieurs des services devaient échouer ou faire l’objet d’une cyberattaque en même temps. .
Selon des personnes familières avec les plans de la PRA, le régulateur envisage également l’introduction de tests de panne et de reprise après sinistre plus robustes. La sécurité des données des clients reste la principale préoccupation des régulateurs, mais la dépendance des banques britanniques à une poignée de fournisseurs devient également une préoccupation, ont déclaré les gens.
« Nous examinons les fournisseurs de cloud du point de vue de la résilience opérationnelle », a déclaré une personne familière avec les plans des régulateurs. « Avons-nous besoin d’intervenir davantage, comment pouvons-nous leur faire confiance ? Nous commençons à les considérer comme des tiers critiques dont nous avons besoin de plus de surveillance. »
La menace potentielle pour le secteur financier a été mise en évidence début décembre lorsqu’une panne d’Amazon Web Services, la branche cloud d’Amazon, a touché un large éventail d’entreprises, notamment le fabricant d’aspirateurs robots Roomba et l’application de rencontres Tinder.
Depuis cette défaillance de haut niveau, les régulateurs du monde entier se sont encore plus concentrés sur le cloud, selon un cadre d’une grande banque américaine opérant au Royaume-Uni.
La PRA est sur le point de publier un document de travail conjoint avec la Banque d’Angleterre et la Financial Conduct Authority sur les questions soulevées par le cloud computing cette année, mais des inquiétudes ont déjà été soulignées dans le procès-verbal de la réunion de septembre dernier du comité de politique financière de la BoE, qui surveille risques pour la stabilité financière.
Le procès-verbal a noté que « la criticité croissante des services fournis par des tiers critiques, ainsi que la concentration dans un petit nombre de fournisseurs, constituent une menace pour la stabilité financière en l’absence d’une plus grande surveillance réglementaire directe ».
La PRA a refusé de commenter ses plans.
Google a déclaré qu’il était « engagé à travailler avec les clients des services financiers et les régulateurs pour leur fournir des contrôles et des assurances sur la gestion des risques, la localité des données, la transparence et la conformité ».
Amazon Web Services a déclaré que la sécurité de ses services cloud était sa « priorité la plus élevée ». Microsoft n’a pas répondu à une demande de commentaire.
Les régulateurs sont confrontés à un système bancaire britannique en train d’être rapidement remodelé par les grandes entreprises technologiques. Amazon Web Services a conclu des accords de grande envergure avec Barclays et HSBC, tandis que Lloyds Banking Group a annoncé des partenariats avec Google Cloud et Microsoft Azure.
Le cabinet de conseil McKinsey a prévu qu’entre 40 et 90 % des opérations informatiques des banques dans le monde pourraient migrer vers le cloud d’ici une décennie.
Les centres de données des banques britanniques étaient historiquement soumis à des tests réglementaires périodiques de « basculement » le dimanche, ce qui obligeait les prêteurs à montrer que les données pouvaient être transférées instantanément entre les serveurs.
Maintenant que de nombreuses banques partagent les mêmes fournisseurs de cloud – plutôt que de gérer leurs propres opérations informatiques propriétaires – les dirigeants s’attendent à ce que la PRA développe un « jeu de guerre » coordonné plus large qui modélise l’échec simultané d’Amazon Web Services et d’Azure.
« C’est une question épineuse, [regulators] sommes vraiment nerveux à ce sujet et nous y avons passé beaucoup de temps lors de discussions récentes », a déclaré un banquier britannique senior. « Les sept plus grandes banques du Royaume-Uni utilisent toutes massivement le cloud, et nous nous tournons tous invariablement vers les trois ou quatre mêmes fournisseurs qu’ils ne réglementent pas directement. »