le cloud computing dans le secteur bancaire. - afdit.fr - colloque du 29 novembre 2012 - le... ·...
TRANSCRIPT
Oswald Seidowsky
Docteur en droit
Master Banque & Finance
Le Cloud computing dans le secteur
bancaire
L’Informatique est au cœur du SI bancaire et
financier
Oswald Seidowsky - Tous droits réservés 2
Dark pools, shadow banking system, ALM, high speed trading, méthode Monte-Carlo depuis 20 ans
les secteurs informatiques et bancaires sont très liés:
o Rien ou très peu des méthodes, produits qui existent aujourd’hui dans le secteur bancaire
et financier ne serait possible sans l’informatique;
o Une grande part du secteur informatique accompagne et se finance grâce au secteur
bancaire et financier
L’information au cœur de l’activité bancaire
Banque est un « Intermédiaires financiers qui internalise les couts de transaction liés à la collecte
d’information et supportés par les préteurs et emprunteurs sur les marchés de capitaux. » (Gestion de
la banque. Sylvie de Coussergue Gautier Bourdeaux)
Quelques chiffres
→ Dans les entreprises industrielles le coût de l'informatique représente entre 1 et 1,5 % du chiffre
d'affaires.
→ Selon le statut de banque de détail ou d’investissement, l’informatique (hardware + software)
représente le 3e ou le 4e poste de dépense.
→ Banques de détails: ce coût varie entre 8 et 14 % du chiffre d'affaires.
→ Banques d'investissement: il peut même monter à 18 % (source 01net.com)
Système bancaire et financier
une superposition de statuts et de règles propres
Oswald Seidowsky - Tous droits réservés 3
Plusieurs angles de définition du secteur sont possibles : économique, historique, juridique, sécurité
intérieure …
Secteur bancaire au sens large
Toutes les organisations qui contribuent à la création monétaire en :
Prêtant à long terme et en se de finançant à court terme et/ou
ont des relations régulières et exclusives avec ce type d’organisme
Établissements de crédit
Article L511-1 du code monétaire et financier : Les établissements de crédit sont des personnes
morales qui effectuent à titre de profession habituelle des opérations de banque.
Article L. 311-1 du code monétaire et financier : Les opérations de banque comprennent la réception
de fonds du public, les opérations de crédit, ainsi que les services bancaires de paiement.
Prestataire de service d’investissement (PSI): les Prestataires de service d’investissement relèvent
de l’article L 511-9 Code monétaire et financier. Concerne les entreprises d'investissement et les
établissements de crédit ayant reçu un agrément pour fournir des services d'investissement, à savoir :
Réception transmission d'ordres pour le compte de tiers, Exécution d'ordres pour le compte de tiers,
Négociation pour compte propre, Gestion de portefeuille pour le compte de tiers, Prise ferme,
Placement.
Système d’agréments
Les établissements de crédit sont agréés en qualité de banque, de banque mutualiste ou coopérative,
de caisse de crédit municipal, de société financière ou d'institution financière spécialisée et peuvent
être par ailleurs PSI.
Système bancaire et financier
une superposition de statuts et de règles propres
Oswald Seidowsky - Tous droits réservés 4
Facteurs de complexité
→ Etablissement de paiement. Entité juridique autorisée par l’ACP à fournir un service de paiement
dans le cadre de la suppression du monopole qui limitait la fourniture des services de paiement
aux établissements de crédit
→ Etablissement de crédit au sens strict peuvent aussi effectuer des opérations connexes à leurs
activités, au sens de l'article L. 311-2. Exemple Téléphonie CIC (limitation à % PNB)
→ Textes transverses tels que la directive concernant les marchés d’instruments financiers (MIF,
ordonnance du 11 avril 2007 entrée en vigueur le 1er novembre 2007). Modifications structurelles
et organisationnelles de tout le secteur
→ « Shadow banking system » activité de banque, menée par des entités qui ne recevant pas des
dépôts ne sont pas régulées en tant que banques et donc qui ne sont pas soumises en particulier
aux réglementations bancaires: Banques d’affaires, Hedge funds … Entités soumises à une pure
autorégulation parfois plus stricte et/ou plus efficace (Free banking system ou Banque libre)
Le Cloud computing … une opportunité
Oswald Seidowsky - Tous droits réservés 5
A quelques exceptions près (bforbank par exemple), Informatique
bancaire est:
→ Ancienne, (plus ancienne que Microsoft souvent)
→ En silo (peu de partage des données)
Opportunité de faire table rase du passé et tout recommencer
→ Les outils, les programmes, les données sont hébergés sur des serveurs
distants
→ Transformer un stock d’investissement, de données brutes et
d’infrastructures en un flux régulier de charges facturées, et d’information
déjà traitée.
→ Plutôt que de raisonner application par application, le Cloud computing
permettrait vue de bout-en-bout de toutes les transactions métiers en
temps réel
Nécessité en vue de Bale 3
Nécessité afin de pouvoir appliquer la nouvelle réglementation bancaire
dans les meilleures conditions ?
Cloud computing déjà connu en B&F
Oswald Seidowsky - Tous droits réservés 6
Cloud est un méthode/technologie qui peut intégrer la fourniture de services
logiciels (« SaaS ») + la mise à disposition d’une plateforme technologique ( «
Paas ») + infrastructures d’hébergement (ou « Iaas »)
De nombreux contrats présentent déjà les caractéristiques du Cloud: location,
application et données à distance.
Quasi - Cloud subi
→ Applications de niche ou très connues, souvent fournisseurs d’informations
financières par exemple.
→ Microsoft propose désormais des options locatives / auto déclaratives
Cloud Choisi
→ Possibilité offerte aux clients dans le cadre de la banque à distance
Focus sur les exigences du SI bancaire
Oswald Seidowsky - Tous droits réservés 7
Conformité
Normes métiers
Droit commun
Secteur hyper règlementé
Le pouvoir réglementaire français est
directement exercé par le ministre chargé de
l'économie (cf. articles L. 611-1 nouveau et
suivants du code monétaire et financier). Le
Ministre est assisté dans sa tâche par le Comité
consultatif de la législation et de la
réglementation financière (CCLRF) ex CRBF
(Comité de la réglementation bancaire et
financière). Le CCLRF dispose d'un champ
d'action qui porte sur le secteur
des établissements de crédit, les prestataires
de services d'investissement et ceux de
l'assurance .
Vulnérabilité
Le nombre et la complexité des normes à respecter est la source principale
de vulnérabilité
→ Droit commun, propriété intellectuelle et données personnelles bien sûr
→ Focus sur les exigences propres au SI Bancaire
Grille d’analyse juridique proposée
Oswald Seidowsky - Tous droits réservés 8
(Vulnérabilités x Menaces) / Contre-mesures juridiques = niveau
de Risque juridique du Cloud Vulnérabilité du secteur B&F vis-à-vis du Cloud
→ Caractéristiques inhérentes au secteur B&F qui rendent sujet à
précautions le déploiement d’un dispositif Cloud dans le secteur bancaire
Menaces générées par le Cloud Computing
→ Caractéristiques inhérentes au modèle « Cloud computing » qui constituent
des menaces vis-à-vis du secteur B&F
Contre-mesures juridique
→ Mesures juridiques permettant de limiter les risques
Cloud computing et avantage concurrentiel
Oswald Seidowsky - Tous droits réservés 9
Menaces générées par le Cloud computing
Le Cloud computing nécessite la communication à des tiers des méthodes et savoir-
faire internes (paramétrage et intervenants)
économie d’échelle entraine partage de l’avantage concurrentiel issu du système
d’information (difficulté à tirer un avantage concurrentiel de son SI)
Contre-mesure juridique
• Limitation de la sous-traitance imposée au tiers prestataire;
• Confidentialité renforcée;
• Cloud exclusif. Interdiction de réaliser des prestations pour des tiers concurrents.
Vulnérabilité du secteur B&F vis-à-vis du Cloud
→ Le Système d’information contribue à l’avantage concurrentiel de
l’établissement.
Cloud computing et risque opérationnel
Oswald Seidowsky - Tous droits réservés 10
Menaces générées par le Cloud computing Un projet de Cloud computing est susceptible d’avoir un impact sur les résultats des
méthodes dites avancées de modélisation du risque opérationnel qui ont un impact très
direct sur la capacité de transformation et donc le PNB de la banque
Contre-mesure juridique • L’approche avancée permet à l'établissement de construire sa propre méthode
interne d'évaluation des risques opérationnels.
• Approbation préalable du régulateur si le cloud envisagé a un impact sur la
méthodologie d’évaluation des risques opérationnels
Vulnérabilité du secteur B&F vis-à-vis du Cloud Le comité de Bâle définit le risque opérationnel comme le "risque de pertes provenant de processus
internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes".
Cette définition recouvre : les erreurs humaines, les fraudes et malveillances, les problèmes liés à la
gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations et surtout les
défaillances des systèmes d'information.
Depuis 2004 le risque opérationnel entre dans le calcul des fonds propres réglementaires (bale2).
Le risque opérationnel est une composante du Ratio Cooke/McDonough = Fonds propres / (Risque
crédit + risque de marché + opérationnels)
Cloud computing et conformité
Oswald Seidowsky - Tous droits réservés 11
Menaces générées par le Cloud computing
Risque opérationnel -------> de conformité ------> risque de réputation
Contre-mesure juridique
→ Association en amont de la fonction juridique et conformité
→ Respect permanent des exigences de conformité propres au SI bancaire et
principalement le règlement « CRBF 97-02 »
Vulnérabilité du secteur B&F vis-à-vis du Cloud La fonction de conformité est une fonction indépendante qui identifie, évalue, et contrôle le risque de non-conformité
de l’établissement, défini comme le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière
significative, ou d’atteinte à la réputation, qui naît du non respect de dispositions propres aux activités bancaires et
financières, qu’elles soient de nature législatives ou règlementaires, ou qu’il s’agisse de normes professionnelles et
déontologiques, ou d’instructions de l’organe exécutif.
tout ou presque est conformité
ajout de couche règlementaire ou autodiscipline propre à certains établissements
Cloud computing et le règlement 97-02
Oswald Seidowsky - Tous droits réservés 12
Menaces générées par le Cloud computing
Suppression des silos engendre:
• Remise en cause potentielle de la finalités des traitements de données personnelles
• Multiplication des utilisations possibles des informations
• Conflits d’intérêts
• Risque déontologiques et de réputation
Vulnérabilité du secteur B&F vis-à-vis du Cloud
Respect de 37-02 du règlement CRBF relatif à l’externalisation: « Les entreprises
assujetties qui externalisent des prestations de services ou d’autres tâches
opérationnelles essentielles ou importantes, au sens des q et r de l’article 4, demeurent
pleinement responsables du respect de toutes les obligations qui leur incombent »
Cloud computing et le règlement 97-02
Oswald Seidowsky - Tous droits réservés 13
Vulnérabilité du secteur B&F vis-à-vis du Cloud Le « CRBF 97-02 », socle de la conformité bancaire et s'organise autour des thèmes suivants : contrôle de la
conformité, lutte contre le blanchiment des capitaux et le financement du terrorisme, surveillance des risques,
organisation comptable et du traitement de l'information, systèmes de mesure des risques et des résultats, sélection
et la mesure des risques de crédit, et surtout conditions applicables en matière d'externalisation.
Procédure disciplinaire devant Commission des sanctions de l’Autorité de contrôle prudentiel (ACP)
« Considérant qu’il résulte de ce qui précède que la commission retient qu’à la date du contrôle, l’organisation du
dispositif de contrôle de la conformité au sein de la ligne métier banque privée du groupe de l’établissement A
comportait des insuffisances manifestes … » « … il y a lieu de prononcer à l’encontre de l’établissement A un
avertissement assorti d’une sanction pécuniaire de 500 000 euros ; qu’eu égard à la nature des manquements
retenus et aux appréciations qui précèdent sur leur gravité, il peut être fait droit à la demande de l’établissement A
tendant à ce que la présente décision soit publiée sous une forme ne permettant pas de l’identifier. » Décision de la
commission des sanctions n° 2011-02 du 24 octobre 2012, établissement de crédit A
Et/ou
Atteinte à la Réputation (La réputation d'une entreprise se mesure par l'excédent de valeur de l'organisation sur la
valeur de ses actifs physiques.). Danger le plus important car dans le secteur B&F est un risque pour le
développement mais aussi et surtout pour l’activité même ( condition de continuité du financement à court terme).
Tous les intervenants du secteur y sont soumis peu importe les agréments et textes applicables.
Menaces générées par le Cloud computing • Cloud impacte la conformité car « revisite » les conditions de production des services
bancaires
• Cloud computing est une externalisation
Cloud computing et le règlement 97-02
Oswald Seidowsky - Tous droits réservés 14
Vulnérabilité du secteur B&F vis-à-vis du Cloud Sont concernées: Article 4 du règlement « q) activités externalisées : les activités pour lesquelles
l’entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de
prestations de services ou d’autres tâches opérationnelles essentielles ou importantes par sous-
traitance au sens de la loi n° 75-1334 du 31 décembre 1975, par démarchage au sens des articles
L. 341-1 et L. 341-4 du Code monétaire et financier susvisé, par le recours aux agents liés tels que
définis aux articles L. 545-1 et suivants du même code, par le recours aux agents définis aux articles
L. 523-1 et suivants du même code ou par toute autre forme ; r) prestation de services ou autres
tâches opérationnelles essentielles ou importantes : – les opérations de banques au sens de
l’article L. 311-1 du code monétaire et financier susvisé, les services de paiement au sens du II de
l’article L. 314-1 du même code et les services d’investissement au sens de l’article L. 321-1 du
même code, pour lesquels l’entreprise assujettie a été agréée ; – les opérations connexes
mentionnées aux paragraphes 1, 2, 3 et 7 de l’article L. 311-2, à l’article L. 522-2 du code monétaire
et financier et aux paragraphes 1, 2, 5, et 6 de l’article L. 321-2 du code monétaire et financier
susvisé ; – les prestations participant directement à l’exécution des opérations ou des services
mentionnés aux deux premiers tirets ci-dessus ; »
Menaces générées par le Cloud computing
• L’information et l’informatique contribuent à tout
• Pas de limitation à ce qui peut être sous procédé Cloud
Cloud computing et le règlement 97-02
Oswald Seidowsky - Tous droits réservés 15
Vulnérabilité du secteur B&F vis-à-vis du Cloud
: 37-2 « […] 1. a) L’externalisation n’entraîne aucune délégation de la responsabilité de l’organe
exécutif ; b) Les relations de l’entreprise assujettie avec ses clients et ses obligations envers ceux-ci
ne doivent pas en être modifiées ; c) Les conditions que l’entreprise assujettie est tenue de remplir
pour recevoir puis conserver son agrément ne doivent pas être altérées ; d) Aucune des autres
conditions auxquelles l’agrément de l’entreprise assujettie a été subordonné ne doit être supprimée
ou modifiée ; e) L’entreprise assujettie, qui doit conserver l’expertise nécessaire pour contrôler
effectivement les prestations ou les tâches externalisées et gérer les risques associés à
l’externalisation, contrôle ces prestations ou ces tâches et gère ces risques. […]
Menaces générées par le Cloud Computing
• équilibre économique n’est plus le même
• perte de maitrise possible des conditions de réalisation des prestations
Cloud computing et le règlement 97-02
Oswald Seidowsky - Tous droits réservés 16
Vulnérabilité du secteur B&F vis-à-vis du Cloud
37-2 « […] 2. L’externalisation d’activité doit : a) Donner lieu à un contrat écrit entre le
prestataire externe et l’entreprise assujettie ; b) S’inscrire dans le cadre d’une politique
formalisée de contrôle des prestataires externes définie par l’entreprise assujettie. Des
mesures appropriées doivent être prises s’il apparaît que le prestataire de services
risque de ne pas s’acquitter de ses tâches de manière efficace ou conforme aux
obligations législatives ou réglementaires ; c) Pouvoir, si nécessaire, être interrompue
sans que cela nuise à la continuité ou à la qualité des prestations de services aux
clients.[…]
Menaces générées par le Cloud Computing
• Changement de temporalité: le présent d’hier, le présent d’aujourd’hui et le présent
de demain sont différents
• Moyens du tiers prestataire sont rarement équivalents à ceux d’un établissement de
crédit
Cloud computing et le règlement 97-02
Oswald Seidowsky - Tous droits réservés 17
Vulnérabilité du secteur B&F vis-à-vis du Cloud
37-2 « […] 3. Les entreprises assujetties s’assurent, dans leurs relations avec leurs prestataires
externes, que ces derniers : a) S’engagent sur un niveau de qualité répondant à un fonctionnement
normal du service et, en cas d’incident, conduisant à recourir aux mécanismes de secours
mentionnés au point c ; b) Assurent la protection des informations confidentielles ayant trait à
l’entreprise assujettie et à ses clients ; c) Mettent en œuvre des mécanismes de secours en cas de
difficulté grave affectant la continuité du service ou que leur propre plan de continuité tient compte de
l’impossibilité pour le prestataire externe d’assurer sa prestation ; d) Ne peuvent imposer une
modification substantielle de la prestation qu’ils assurent sans l’accord préalable de l’entreprise
assujettie ; […]
Menaces générées par le Cloud Computing
• Tiers prestataire en possession des données
• Plan de continuité d’activité du prestataire ou PCA client doit être étendu au
prestataire
• Rapport de force possible en fonction du cout et de la politique de marge du
prestataire
Cloud computing et le règlement 97-02
Oswald Seidowsky - Tous droits réservés 18
Vulnérabilité du secteur B&F vis-à-vis du Cloud
37-2 « […] e) Se conforment aux procédures définies par l’entreprise assujettie concernant
l’organisation et la mise en œuvre du contrôle des services qu’ils fournissent ; f) Leur permettent,
chaque fois que cela est nécessaire, l’accès, le cas échéant sur place, à toute information sur les
services mis à leur disposition, dans le respect des réglementations relatives à la communication
d’informations ; g) Les informent de tout événement susceptible d’avoir un impact sensible sur leur
capacité à exercer les tâches externalisées de manière efficace et conforme à la législation en
vigueur et aux exigences réglementaires ; h) Acceptent que la Commission bancaire ou toute autre
autorité étrangère équivalente au sens des articles L. 632-7, L. 632-12 et L. 632-13 du Code
monétaire et financier susvisé ait accès aux informations sur les activités externalisées nécessaires à
l’exercice de sa mission, y compris sur place.»
Menaces générées par le Cloud Computing
• Ou sont les données?
Contre mesures juridiques
Oswald Seidowsky - Tous droits réservés 19
Contre-mesures juridique
→ Procédures à définir en amont
→ Avant mise en œuvre du projet Cloud
Quelques exemples
→ Identification des traitements
→ Identification des conflits d’intérêt possibles du fait de la disparition des
silos
→ Murailles de chine organisées et garanties au sein du Cloud
→ Externaliser la fonction conformité également?
→ Intelligence contractuelle
Contre mesures juridiques
Oswald Seidowsky - Tous droits réservés 20
Le simple respect des textes est-il suffisant?
CRBF 97-02
-Adapté à l’informatique ?
« qui trop embrasse mal étreint »
Où sont les données question récurrente. Garantie d’effacement?
-Suffisant?
« Juridiquement raison mais techniquement/économiquement tort »
Durée du contrat, par exemple 3 ans, et après?
Contre mesures juridiques
Oswald Seidowsky - Tous droits réservés 21
The European Network and Information Security Agency (ENISA), Etude
« Cloud Computing Risk Assessment », nombreux risques analysés et
probabilisés et notamment: V29.Data interception, v35. Licensing risk", V13. Lack of
standard technologies and solutions, V46. Poor provider selection, V47. Lack of supplier redundancy,
V31. Lack of completeness and transparency in terms of use,
V34. Unclear roles and responsibilities, V35. Poor enforcement of role definitions, V21.
Synchronizing responsibilities or contractual obligations external to cloud, V23. SLA clauses with
conflicting promises to different stakeholders, V25. Audit or certification not available to customers,
V22. Cross-cloud applications creating hidden dependency, V13. Lack of standard technologies and
solutions, V29. Storage of data in multiple jurisdictions and lack of transparency, V14. No source
escrow agreement, V16. No control on vulnerability assessment process, V26. Certification schemes
not adapted to cloud infrastructures, V30. Lack of information on jurisdictions, V31. Lack of
completeness and transparency in terms of use, V44. Unclear asset ownership, V25. Audit or
certification not available to customers, V13. Lack of standard technologies and solutions, V29.
Storage of data in multiple jurisdictions and lack of transparency, V26. Certification schemes not
adapted to cloud infrastructures, V31. Lack of completeness and transparency in terms of use, V31.
Lack of completeness and transparency in terms of use , V8. Communication encryption
vulnerabilities, V17. Possibility that internal (cloud) network probing will occur, V18. Possibility that
co-residence checks will be performed, V10. Impossibility of processing data in encrypted form , V48.
Application vulnerabilities or poor patch management, V41. Lack of, or a poor and untested, business
continuity and disaster recovery plan, V31. Lack of completeness and transparency in terms of use,
V23. SLA clauses with conflicting promises to different stakeholders V34. Unclear roles and
responsibilities ...
Contre-mesures juridiques
Oswald Seidowsky - Tous droits réservés 22
• les données certes concernées + surtout en réalité la réputation, i.e.
ce qui n’est pas écrit ou prévu.
La vie du contrat la plus source de difficulté. Évolution de la
règlementation, des besoins, des procédures, qui doit financer le coût ?
• Prévenir les conséquences économiques des changements à
intervenir dans la vie du contrat par un système d’abaques ?
Conclusion
Oswald Seidowsky - Tous droits réservés 23
(Vulnérabilités x Menaces) / Contre-mesures juridiques =
niveau de Risque du Cloud
➭Risque de non conformité existe mais est maitrisable.
Est ce que les normes écrites bancaires sont suffisantes?
➭Nécessaire d’aller au delà en considération des normes
et enjeux non écrits (réputation);
➭Enjeux en présence justifieraient une
autoréglementation spécifique par et pour le secteur B&F.