Le Cloud computing dans le secteur bancaire

Transcription

1 Le Cloud computing dans le secteur bancaire Oswald Seidowsky Docteur en droit Master Banque & Finance

2 L Informatique est au cœur du SI bancaire et financier Dark pools, shadow banking system, ALM, high speed trading, méthode Monte-Carlo depuis 20 ans les secteurs informatiques et bancaires sont très liés: o o Rien ou très peu des méthodes, produits qui existent aujourd hui dans le secteur bancaire et financier ne serait possible sans l informatique; Une grande part du secteur informatique accompagne et se finance grâce au secteur bancaire et financier L information au cœur de l activité bancaire Banque est un «Intermédiaires financiers qui internalise les couts de transaction liés à la collecte d information et supportés par les préteurs et emprunteurs sur les marchés de capitaux.» (Gestion de la banque. Sylvie de Coussergue Gautier Bourdeaux) Quelques chiffres Dans les entreprises industrielles le coût de l'informatique représente entre 1 et 1,5 % du chiffre d'affaires. Selon le statut de banque de détail ou d investissement, l informatique (hardware + software) représente le 3 e ou le 4 e poste de dépense. Banques de détails: ce coût varie entre 8 et 14 % du chiffre d'affaires. Banques d'investissement: il peut même monter à 18 % (source 01net.com) 2

3 Système bancaire et financier une superposition de statuts et de règles propres Plusieurs angles de définition du secteur sont possibles : économique, historique, juridique, sécurité intérieure Secteur bancaire au sens large Toutes les organisations qui contribuent à la création monétaire en : Prêtant à long terme et en se de finançant à court terme et/ou ont des relations régulières et exclusives avec ce type d organisme Établissements de crédit Article L511-1 du code monétaire et financier : Les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque. Article L du code monétaire et financier : Les opérations de banque comprennent la réception de fonds du public, les opérations de crédit, ainsi que les services bancaires de paiement. 3 Système d agréments Les établissements de crédit sont agréés en qualité de banque, de banque mutualiste ou coopérative, de caisse de crédit municipal, de société financière ou d'institution financière spécialisée et peuvent être par ailleurs PSI. Prestataire de service d investissement (PSI): les Prestataires de service d investissement relèvent de l article L Code monétaire et financier. Concerne les entreprises d'investissement et les établissements de crédit ayant reçu un agrément pour fournir des services d'investissement, à savoir : Réception transmission d'ordres pour le compte de tiers, Exécution d'ordres pour le compte de tiers, Négociation pour compte propre, Gestion de portefeuille pour le compte de tiers, Prise ferme, Placement.

4 Système bancaire et financier une superposition de statuts et de règles propres Facteurs de complexité Etablissement de paiement. Entité juridique autorisée par l ACP à fournir un service de paiement dans le cadre de la suppression du monopole qui limitait la fourniture des services de paiement aux établissements de crédit Etablissement de crédit au sens strict peuvent aussi effectuer des opérations connexes à leurs activités, au sens de l'article L Exemple Téléphonie CIC (limitation à % PNB) Textes transverses tels que la directive concernant les marchés d instruments financiers (MIF, ordonnance du 11 avril 2007 entrée en vigueur le 1er novembre 2007). Modifications structurelles et organisationnelles de tout le secteur «Shadow banking system» activité de banque, menée par des entités qui ne recevant pas des dépôts ne sont pas régulées en tant que banques et donc qui ne sont pas soumises en particulier aux réglementations bancaires: Banques d affaires, Hedge funds Entités soumises à une pure autorégulation parfois plus stricte et/ou plus efficace (Free banking system ou Banque libre) 4

5 Le Cloud computing une opportunité A quelques exceptions près (bforbank par exemple), Informatique bancaire est: Ancienne, (plus ancienne que Microsoft souvent) En silo (peu de partage des données) Opportunité de faire table rase du passé et tout recommencer Les outils, les programmes, les données sont hébergés sur des serveurs distants Transformer un stock d investissement, de données brutes et d infrastructures en un flux régulier de charges facturées, et d information déjà traitée. Plutôt que de raisonner application par application, le Cloud computing permettrait vue de bout-en-bout de toutes les transactions métiers en temps réel Nécessité en vue de Bale 3 Nécessité afin de pouvoir appliquer la nouvelle réglementation bancaire dans les meilleures conditions? 5

6 Cloud computing déjà connu en B&F Cloud est un méthode/technologie qui peut intégrer la fourniture de services logiciels («SaaS») + la mise à disposition d une plateforme technologique ( «Paas») + infrastructures d hébergement (ou «Iaas») De nombreux contrats présentent déjà les caractéristiques du Cloud: location, application et données à distance. Quasi - Cloud subi Applications de niche ou très connues, souvent fournisseurs d informations financières par exemple. Microsoft propose désormais des options locatives / auto déclaratives Cloud Choisi Possibilité offerte aux clients dans le cadre de la banque à distance 6

7 Focus sur les exigences du SI bancaire Secteur hyper règlementé Le pouvoir réglementaire français est directement exercé par le ministre chargé de l'économie (cf. articles L nouveau et suivants du code monétaire et financier). Le Ministre est assisté dans sa tâche par le Comité consultatif de la législation et de la réglementation financière (CCLRF) ex CRBF (Comité de la réglementation bancaire et financière). Le CCLRF dispose d'un champ d'action qui porte sur le secteur des établissements de crédit, les prestataires de services d'investissement et ceux de l'assurance. Conformité Normes métiers Droit commun Vulnérabilité Le nombre et la complexité des normes à respecter est la source principale de vulnérabilité Droit commun, propriété intellectuelle et données personnelles bien sûr 7 Oswald Focus Seidowsky sur les - exigences Tous droits réservés propres au SI Bancaire

8 Grille d analyse juridique proposée (Vulnérabilités x Menaces) / Contre-mesures juridiques = niveau de Risque juridique du Cloud Vulnérabilité du secteur B&F vis-à-vis du Cloud Caractéristiques inhérentes au secteur B&F qui rendent sujet à précautions le déploiement d un dispositif Cloud dans le secteur bancaire Menaces générées par le Cloud Computing Caractéristiques inhérentes au modèle «Cloud computing» qui constituent des menaces vis-à-vis du secteur B&F Contre-mesures juridique Mesures juridiques permettant de limiter les risques 8

9 Cloud computing et avantage concurrentiel Vulnérabilité du secteur B&F vis-à-vis du Cloud Le Système d information contribue à l avantage concurrentiel de l établissement. Menaces générées par le Cloud computing Le Cloud computing nécessite la communication à des tiers des méthodes et savoirfaire internes (paramétrage et intervenants) économie d échelle entraine partage de l avantage concurrentiel issu du système d information (difficulté à tirer un avantage concurrentiel de son SI) Contre-mesure juridique Limitation de la sous-traitance imposée au tiers prestataire; Confidentialité renforcée; Cloud exclusif. Interdiction de réaliser des prestations pour des tiers concurrents. 9

10 Cloud computing et risque opérationnel Vulnérabilité du secteur B&F vis-à-vis du Cloud Le comité de Bâle définit le risque opérationnel comme le "risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes". Cette définition recouvre : les erreurs humaines, les fraudes et malveillances, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations et surtout les défaillances des systèmes d'information. Depuis 2004 le risque opérationnel entre dans le calcul des fonds propres réglementaires (bale2). Le risque opérationnel est une composante du Ratio Cooke/McDonough = Fonds propres / (Risque crédit + risque de marché + opérationnels) Menaces générées par le Cloud computing Un projet de Cloud computing est susceptible d avoir un impact sur les résultats des méthodes dites avancées de modélisation du risque opérationnel qui ont un impact très direct sur la capacité de transformation et donc le PNB de la banque Contre-mesure juridique L approche avancée permet à l'établissement de construire sa propre méthode interne d'évaluation des risques opérationnels. Approbation préalable du régulateur si le cloud envisagé a un impact sur la méthodologie d évaluation des risques opérationnels 10

11 Cloud computing et conformité Vulnérabilité du secteur B&F vis-à-vis du Cloud La fonction de conformité est une fonction indépendante qui identifie, évalue, et contrôle le risque de non-conformité de l établissement, défini comme le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative, ou d atteinte à la réputation, qui naît du non respect de dispositions propres aux activités bancaires et financières, qu elles soient de nature législatives ou règlementaires, ou qu il s agisse de normes professionnelles et déontologiques, ou d instructions de l organe exécutif. tout ou presque est conformité ajout de couche règlementaire ou autodiscipline propre à certains établissements Menaces générées par le Cloud computing Risque opérationnel > de conformité > risque de réputation Contre-mesure juridique Association en amont de la fonction juridique et conformité Respect permanent des exigences de conformité propres au SI bancaire et principalement le règlement «CRBF 97-02» 11

12 Cloud computing et le règlement Vulnérabilité du secteur B&F vis-à-vis du Cloud Respect de du règlement CRBF relatif à l externalisation: «Les entreprises assujetties qui externalisent des prestations de services ou d autres tâches opérationnelles essentielles ou importantes, au sens des q et r de l article 4, demeurent pleinement responsables du respect de toutes les obligations qui leur incombent» Menaces générées par le Cloud computing Suppression des silos engendre: Remise en cause potentielle de la finalités des traitements de données personnelles Multiplication des utilisations possibles des informations Conflits d intérêts Risque déontologiques et de réputation 12

13 Cloud computing et le règlement Vulnérabilité du secteur B&F vis-à-vis du Cloud Le «CRBF 97-02», socle de la conformité bancaire et s'organise autour des thèmes suivants : contrôle de la conformité, lutte contre le blanchiment des capitaux et le financement du terrorisme, surveillance des risques, organisation comptable et du traitement de l'information, systèmes de mesure des risques et des résultats, sélection et la mesure des risques de crédit, et surtout conditions applicables en matière d'externalisation. Procédure disciplinaire devant Commission des sanctions de l Autorité de contrôle prudentiel (ACP) «Considérant qu il résulte de ce qui précède que la commission retient qu à la date du contrôle, l organisation du dispositif de contrôle de la conformité au sein de la ligne métier banque privée du groupe de l établissement A comportait des insuffisances manifestes» «il y a lieu de prononcer à l encontre de l établissement A un avertissement assorti d une sanction pécuniaire de euros ; qu eu égard à la nature des manquements retenus et aux appréciations qui précèdent sur leur gravité, il peut être fait droit à la demande de l établissement A tendant à ce que la présente décision soit publiée sous une forme ne permettant pas de l identifier.» Décision de la commission des sanctions n du 24 octobre 2012, établissement de crédit A Et/ou Atteinte à la Réputation (La réputation d'une entreprise se mesure par l'excédent de valeur de l'organisation sur la valeur de ses actifs physiques.). Danger le plus important car dans le secteur B&F est un risque pour le développement mais aussi et surtout pour l activité même ( condition de continuité du financement à court terme). Tous les intervenants du secteur y sont soumis peu importe les agréments et textes applicables. Menaces générées par le Cloud computing Cloud impacte la conformité car «revisite» les conditions de production des services bancaires Cloud computing est une externalisation 13

14 Cloud computing et le règlement Vulnérabilité du secteur B&F vis-à-vis du Cloud Sont concernées: Article 4 du règlement «q) activités externalisées : les activités pour lesquelles l entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d autres tâches opérationnelles essentielles ou importantes par soustraitance au sens de la loi n du 31 décembre 1975, par démarchage au sens des articles L et L du Code monétaire et financier susvisé, par le recours aux agents liés tels que définis aux articles L et suivants du même code, par le recours aux agents définis aux articles L et suivants du même code ou par toute autre forme ; r) prestation de services ou autres tâches opérationnelles essentielles ou importantes : les opérations de banques au sens de l article L du code monétaire et financier susvisé, les services de paiement au sens du II de l article L du même code et les services d investissement au sens de l article L du même code, pour lesquels l entreprise assujettie a été agréée ; les opérations connexes mentionnées aux paragraphes 1, 2, 3 et 7 de l article L , à l article L du code monétaire et financier et aux paragraphes 1, 2, 5, et 6 de l article L du code monétaire et financier susvisé ; les prestations participant directement à l exécution des opérations ou des services mentionnés aux deux premiers tirets ci-dessus ;» Menaces générées par le Cloud computing L information et l informatique contribuent à tout Pas de limitation à ce qui peut être sous procédé Cloud 14

15 Cloud computing et le règlement Vulnérabilité du secteur B&F vis-à-vis du Cloud : 37-2 «[ ] 1. a) L externalisation n entraîne aucune délégation de la responsabilité de l organe exécutif ; b) Les relations de l entreprise assujettie avec ses clients et ses obligations envers ceux-ci ne doivent pas en être modifiées ; c) Les conditions que l entreprise assujettie est tenue de remplir pour recevoir puis conserver son agrément ne doivent pas être altérées ; d) Aucune des autres conditions auxquelles l agrément de l entreprise assujettie a été subordonné ne doit être supprimée ou modifiée ; e) L entreprise assujettie, qui doit conserver l expertise nécessaire pour contrôler effectivement les prestations ou les tâches externalisées et gérer les risques associés à l externalisation, contrôle ces prestations ou ces tâches et gère ces risques. [ ] Menaces générées par le Cloud Computing équilibre économique n est plus le même perte de maitrise possible des conditions de réalisation des prestations 15

16 Cloud computing et le règlement Vulnérabilité du secteur B&F vis-à-vis du Cloud 37-2 «[ ] 2. L externalisation d activité doit : a) Donner lieu à un contrat écrit entre le prestataire externe et l entreprise assujettie ; b) S inscrire dans le cadre d une politique formalisée de contrôle des prestataires externes définie par l entreprise assujettie. Des mesures appropriées doivent être prises s il apparaît que le prestataire de services risque de ne pas s acquitter de ses tâches de manière efficace ou conforme aux obligations législatives ou réglementaires ; c) Pouvoir, si nécessaire, être interrompue sans que cela nuise à la continuité ou à la qualité des prestations de services aux clients.[ ] Menaces générées par le Cloud Computing Changement de temporalité: le présent d hier, le présent d aujourd hui et le présent de demain sont différents Moyens du tiers prestataire sont rarement équivalents à ceux d un établissement de crédit 16

17 Cloud computing et le règlement Vulnérabilité du secteur B&F vis-à-vis du Cloud 37-2 «[ ] 3. Les entreprises assujetties s assurent, dans leurs relations avec leurs prestataires externes, que ces derniers : a) S engagent sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d incident, conduisant à recourir aux mécanismes de secours mentionnés au point c ; b) Assurent la protection des informations confidentielles ayant trait à l entreprise assujettie et à ses clients ; c) Mettent en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service ou que leur propre plan de continuité tient compte de l impossibilité pour le prestataire externe d assurer sa prestation ; d) Ne peuvent imposer une modification substantielle de la prestation qu ils assurent sans l accord préalable de l entreprise assujettie ; [ ] Menaces générées par le Cloud Computing Tiers prestataire en possession des données Plan de continuité d activité du prestataire ou PCA client doit être étendu au prestataire Rapport de force possible en fonction du cout et de la politique de marge du prestataire 17

18 Cloud computing et le règlement Vulnérabilité du secteur B&F vis-à-vis du Cloud 37-2 «[ ] e) Se conforment aux procédures définies par l entreprise assujettie concernant l organisation et la mise en œuvre du contrôle des services qu ils fournissent ; f) Leur permettent, chaque fois que cela est nécessaire, l accès, le cas échéant sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d informations ; g) Les informent de tout événement susceptible d avoir un impact sensible sur leur capacité à exercer les tâches externalisées de manière efficace et conforme à la législation en vigueur et aux exigences réglementaires ; h) Acceptent que la Commission bancaire ou toute autre autorité étrangère équivalente au sens des articles L , L et L du Code monétaire et financier susvisé ait accès aux informations sur les activités externalisées nécessaires à l exercice de sa mission, y compris sur place.» Menaces générées par le Cloud Computing Ou sont les données? 18

19 Contre mesures juridiques Contre-mesures juridique Procédures à définir en amont Avant mise en œuvre du projet Cloud Quelques exemples Identification des traitements Identification des conflits d intérêt possibles du fait de la disparition des silos Murailles de chine organisées et garanties au sein du Cloud Externaliser la fonction conformité également? Intelligence contractuelle 19

20 Contre mesures juridiques Le simple respect des textes est-il suffisant? CRBF Adapté à l informatique? «qui trop embrasse mal étreint» Où sont les données question récurrente. Garantie d effacement? -Suffisant? «Juridiquement raison mais techniquement/économiquement tort» Durée du contrat, par exemple 3 ans, et après? 20

21 Contre mesures juridiques The European Network and Information Security Agency (ENISA), Etude «Cloud Computing Risk Assessment», nombreux risques analysés et probabilisés et notamment: V29.Data interception, v35. Licensing risk", V13. Lack of standard technologies and solutions, V46. Poor provider selection, V47. Lack of supplier redundancy, V31. Lack of completeness and transparency in terms of use, V34. Unclear roles and responsibilities, V35. Poor enforcement of role definitions, V21. Synchronizing responsibilities or contractual obligations external to cloud, V23. SLA clauses with conflicting promises to different stakeholders, V25. Audit or certification not available to customers, V22. Cross-cloud applications creating hidden dependency, V13. Lack of standard technologies and solutions, V29. Storage of data in multiple jurisdictions and lack of transparency, V14. No source escrow agreement, V16. No control on vulnerability assessment process, V26. Certification schemes not adapted to cloud infrastructures, V30. Lack of information on jurisdictions, V31. Lack of completeness and transparency in terms of use, V44. Unclear asset ownership, V25. Audit or certification not available to customers, V13. Lack of standard technologies and solutions, V29. Storage of data in multiple jurisdictions and lack of transparency, V26. Certification schemes not adapted to cloud infrastructures, V31. Lack of completeness and transparency in terms of use, V31. Lack of completeness and transparency in terms of use, V8. Communication encryption vulnerabilities, V17. Possibility that internal (cloud) network probing will occur, V18. Possibility that co-residence checks will be performed, V10. Impossibility of processing data in encrypted form, V48. Application vulnerabilities or poor patch management, V41. Lack of, or a poor and untested, business continuity and disaster recovery plan, V31. Lack of completeness and transparency in terms of use, V23. SLA clauses with conflicting promises to different stakeholders V34. Unclear roles and responsibilities... 21

22 Contre-mesures juridiques les données certes concernées + surtout en réalité la réputation, i.e. ce qui n est pas écrit ou prévu. La vie du contrat la plus source de difficulté. Évolution de la règlementation, des besoins, des procédures, qui doit financer le coût? Prévenir les conséquences économiques des changements à intervenir dans la vie du contrat par un système d abaques? 22

23 Conclusion (Vulnérabilités x Menaces) / Contre-mesures juridiques = niveau de Risque du Cloud Risque de non conformité existe mais est maitrisable. Est ce que les normes écrites bancaires sont suffisantes? Nécessaire d aller au delà en considération des normes et enjeux non écrits (réputation); Enjeux en présence justifieraient une autoréglementation spécifique par et pour le secteur B&F. 23