Le Cloud computing dans le secteur bancaire. - afdit.fr - Colloque du 29 novembre 2012 - Le... · bancaire . L’Informatique est au cœur du SI bancaire et financier 2 Oswald Seidowsky

Oswald Seidowsky

Docteur en droit

Master Banque & Finance

Le Cloud computing dans le secteur

bancaire

L’Informatique est au cœur du SI bancaire et

financier

Oswald Seidowsky - Tous droits réservés 2

Dark pools, shadow banking system, ALM, high speed trading, méthode Monte-Carlo depuis 20 ans

les secteurs informatiques et bancaires sont très liés:

o Rien ou très peu des méthodes, produits qui existent aujourd’hui dans le secteur bancaire

et financier ne serait possible sans l’informatique;

o Une grande part du secteur informatique accompagne et se finance grâce au secteur

bancaire et financier

L’information au cœur de l’activité bancaire

Banque est un « Intermédiaires financiers qui internalise les couts de transaction liés à la collecte

d’information et supportés par les préteurs et emprunteurs sur les marchés de capitaux. » (Gestion de

la banque. Sylvie de Coussergue Gautier Bourdeaux)

Quelques chiffres

→ Dans les entreprises industrielles le coût de l'informatique représente entre 1 et 1,5 % du chiffre

d'affaires.

→ Selon le statut de banque de détail ou d’investissement, l’informatique (hardware + software)

représente le 3e ou le 4e poste de dépense.

→ Banques de détails: ce coût varie entre 8 et 14 % du chiffre d'affaires.

→ Banques d'investissement: il peut même monter à 18 % (source 01net.com)

Système bancaire et financier

une superposition de statuts et de règles propres


Plusieurs angles de définition du secteur sont possibles : économique, historique, juridique, sécurité

intérieure …

Secteur bancaire au sens large

Toutes les organisations qui contribuent à la création monétaire en :

Prêtant à long terme et en se de finançant à court terme et/ou

ont des relations régulières et exclusives avec ce type d’organisme

Établissements de crédit

Article L511-1 du code monétaire et financier : Les établissements de crédit sont des personnes

morales qui effectuent à titre de profession habituelle des opérations de banque.

Article L. 311-1 du code monétaire et financier : Les opérations de banque comprennent la réception

de fonds du public, les opérations de crédit, ainsi que les services bancaires de paiement.

Prestataire de service d’investissement (PSI): les Prestataires de service d’investissement relèvent

de l’article L 511-9 Code monétaire et financier. Concerne les entreprises d'investissement et les

établissements de crédit ayant reçu un agrément pour fournir des services d'investissement, à savoir :

Réception transmission d'ordres pour le compte de tiers, Exécution d'ordres pour le compte de tiers,

Négociation pour compte propre, Gestion de portefeuille pour le compte de tiers, Prise ferme,

Placement.

Système d’agréments

Les établissements de crédit sont agréés en qualité de banque, de banque mutualiste ou coopérative,

de caisse de crédit municipal, de société financière ou d'institution financière spécialisée et peuvent

être par ailleurs PSI.

Système bancaire et financier

une superposition de statuts et de règles propres


Facteurs de complexité

→ Etablissement de paiement. Entité juridique autorisée par l’ACP à fournir un service de paiement

dans le cadre de la suppression du monopole qui limitait la fourniture des services de paiement

aux établissements de crédit

→ Etablissement de crédit au sens strict peuvent aussi effectuer des opérations connexes à leurs

activités, au sens de l'article L. 311-2. Exemple Téléphonie CIC (limitation à % PNB)

→ Textes transverses tels que la directive concernant les marchés d’instruments financiers (MIF,

ordonnance du 11 avril 2007 entrée en vigueur le 1er novembre 2007). Modifications structurelles

et organisationnelles de tout le secteur

→ « Shadow banking system » activité de banque, menée par des entités qui ne recevant pas des

dépôts ne sont pas régulées en tant que banques et donc qui ne sont pas soumises en particulier

aux réglementations bancaires: Banques d’affaires, Hedge funds … Entités soumises à une pure

autorégulation parfois plus stricte et/ou plus efficace (Free banking system ou Banque libre)

Le Cloud computing … une opportunité


A quelques exceptions près (bforbank par exemple), Informatique

bancaire est:

→ Ancienne, (plus ancienne que Microsoft souvent)

→ En silo (peu de partage des données)

Opportunité de faire table rase du passé et tout recommencer

→ Les outils, les programmes, les données sont hébergés sur des serveurs

distants

→ Transformer un stock d’investissement, de données brutes et

d’infrastructures en un flux régulier de charges facturées, et d’information

déjà traitée.

→ Plutôt que de raisonner application par application, le Cloud computing

permettrait vue de bout-en-bout de toutes les transactions métiers en

temps réel

Nécessité en vue de Bale 3

Nécessité afin de pouvoir appliquer la nouvelle réglementation bancaire

dans les meilleures conditions ?

Cloud computing déjà connu en B&F


Cloud est un méthode/technologie qui peut intégrer la fourniture de services

logiciels (« SaaS ») + la mise à disposition d’une plateforme technologique ( «

Paas ») + infrastructures d’hébergement (ou « Iaas »)

De nombreux contrats présentent déjà les caractéristiques du Cloud: location,

application et données à distance.

Quasi - Cloud subi

→ Applications de niche ou très connues, souvent fournisseurs d’informations

financières par exemple.

→ Microsoft propose désormais des options locatives / auto déclaratives

Cloud Choisi

→ Possibilité offerte aux clients dans le cadre de la banque à distance

Focus sur les exigences du SI bancaire


Conformité

Normes métiers

Droit commun

Secteur hyper règlementé

Le pouvoir réglementaire français est

directement exercé par le ministre chargé de

l'économie (cf. articles L. 611-1 nouveau et

suivants du code monétaire et financier). Le

Ministre est assisté dans sa tâche par le Comité

consultatif de la législation et de la

réglementation financière (CCLRF) ex CRBF

(Comité de la réglementation bancaire et

financière). Le CCLRF dispose d'un champ

d'action qui porte sur le secteur

des établissements de crédit, les prestataires

de services d'investissement et ceux de

l'assurance .

Vulnérabilité

Le nombre et la complexité des normes à respecter est la source principale

de vulnérabilité

→ Droit commun, propriété intellectuelle et données personnelles bien sûr

→ Focus sur les exigences propres au SI Bancaire

Grille d’analyse juridique proposée


(Vulnérabilités x Menaces) / Contre-mesures juridiques = niveau

de Risque juridique du Cloud Vulnérabilité du secteur B&F vis-à-vis du Cloud

→ Caractéristiques inhérentes au secteur B&F qui rendent sujet à

précautions le déploiement d’un dispositif Cloud dans le secteur bancaire

Menaces générées par le Cloud Computing

→ Caractéristiques inhérentes au modèle « Cloud computing » qui constituent

des menaces vis-à-vis du secteur B&F

Contre-mesures juridique

→ Mesures juridiques permettant de limiter les risques

Cloud computing et avantage concurrentiel


Menaces générées par le Cloud computing

Le Cloud computing nécessite la communication à des tiers des méthodes et savoir-

faire internes (paramétrage et intervenants)

économie d’échelle entraine partage de l’avantage concurrentiel issu du système

d’information (difficulté à tirer un avantage concurrentiel de son SI)

Contre-mesure juridique

• Limitation de la sous-traitance imposée au tiers prestataire;

• Confidentialité renforcée;

• Cloud exclusif. Interdiction de réaliser des prestations pour des tiers concurrents.

Vulnérabilité du secteur B&F vis-à-vis du Cloud

→ Le Système d’information contribue à l’avantage concurrentiel de

l’établissement.

Cloud computing et risque opérationnel


Menaces générées par le Cloud computing Un projet de Cloud computing est susceptible d’avoir un impact sur les résultats des

méthodes dites avancées de modélisation du risque opérationnel qui ont un impact très

direct sur la capacité de transformation et donc le PNB de la banque

Contre-mesure juridique • L’approche avancée permet à l'établissement de construire sa propre méthode

interne d'évaluation des risques opérationnels.

• Approbation préalable du régulateur si le cloud envisagé a un impact sur la

méthodologie d’évaluation des risques opérationnels

Vulnérabilité du secteur B&F vis-à-vis du Cloud Le comité de Bâle définit le risque opérationnel comme le "risque de pertes provenant de processus

internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes".

Cette définition recouvre : les erreurs humaines, les fraudes et malveillances, les problèmes liés à la

gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations et surtout les

défaillances des systèmes d'information.

Depuis 2004 le risque opérationnel entre dans le calcul des fonds propres réglementaires (bale2).

Le risque opérationnel est une composante du Ratio Cooke/McDonough = Fonds propres / (Risque

crédit + risque de marché + opérationnels)

Cloud computing et conformité



Risque opérationnel -------> de conformité ------> risque de réputation

Contre-mesure juridique

→ Association en amont de la fonction juridique et conformité

→ Respect permanent des exigences de conformité propres au SI bancaire et

principalement le règlement « CRBF 97-02 »

Vulnérabilité du secteur B&F vis-à-vis du Cloud La fonction de conformité est une fonction indépendante qui identifie, évalue, et contrôle le risque de non-conformité

de l’établissement, défini comme le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière

significative, ou d’atteinte à la réputation, qui naît du non respect de dispositions propres aux activités bancaires et

financières, qu’elles soient de nature législatives ou règlementaires, ou qu’il s’agisse de normes professionnelles et

déontologiques, ou d’instructions de l’organe exécutif.

tout ou presque est conformité

ajout de couche règlementaire ou autodiscipline propre à certains établissements

Cloud computing et le règlement 97-02



Suppression des silos engendre:

• Remise en cause potentielle de la finalités des traitements de données personnelles

• Multiplication des utilisations possibles des informations

• Conflits d’intérêts

• Risque déontologiques et de réputation


Respect de 37-02 du règlement CRBF relatif à l’externalisation: « Les entreprises

assujetties qui externalisent des prestations de services ou d’autres tâches

opérationnelles essentielles ou importantes, au sens des q et r de l’article 4, demeurent

pleinement responsables du respect de toutes les obligations qui leur incombent »



Vulnérabilité du secteur B&F vis-à-vis du Cloud Le « CRBF 97-02 », socle de la conformité bancaire et s'organise autour des thèmes suivants : contrôle de la

conformité, lutte contre le blanchiment des capitaux et le financement du terrorisme, surveillance des risques,

organisation comptable et du traitement de l'information, systèmes de mesure des risques et des résultats, sélection

et la mesure des risques de crédit, et surtout conditions applicables en matière d'externalisation.

Procédure disciplinaire devant Commission des sanctions de l’Autorité de contrôle prudentiel (ACP)

« Considérant qu’il résulte de ce qui précède que la commission retient qu’à la date du contrôle, l’organisation du

dispositif de contrôle de la conformité au sein de la ligne métier banque privée du groupe de l’établissement A

comportait des insuffisances manifestes … » « … il y a lieu de prononcer à l’encontre de l’établissement A un

avertissement assorti d’une sanction pécuniaire de 500 000 euros ; qu’eu égard à la nature des manquements

retenus et aux appréciations qui précèdent sur leur gravité, il peut être fait droit à la demande de l’établissement A

tendant à ce que la présente décision soit publiée sous une forme ne permettant pas de l’identifier. » Décision de la

commission des sanctions n° 2011-02 du 24 octobre 2012, établissement de crédit A

Et/ou

Atteinte à la Réputation (La réputation d'une entreprise se mesure par l'excédent de valeur de l'organisation sur la

valeur de ses actifs physiques.). Danger le plus important car dans le secteur B&F est un risque pour le

développement mais aussi et surtout pour l’activité même ( condition de continuité du financement à court terme).

Tous les intervenants du secteur y sont soumis peu importe les agréments et textes applicables.

Menaces générées par le Cloud computing • Cloud impacte la conformité car « revisite » les conditions de production des services

bancaires

• Cloud computing est une externalisation



Vulnérabilité du secteur B&F vis-à-vis du Cloud Sont concernées: Article 4 du règlement « q) activités externalisées : les activités pour lesquelles

l’entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de

prestations de services ou d’autres tâches opérationnelles essentielles ou importantes par sous-

traitance au sens de la loi n° 75-1334 du 31 décembre 1975, par démarchage au sens des articles

L. 341-1 et L. 341-4 du Code monétaire et financier susvisé, par le recours aux agents liés tels que

définis aux articles L. 545-1 et suivants du même code, par le recours aux agents définis aux articles

L. 523-1 et suivants du même code ou par toute autre forme ; r) prestation de services ou autres

tâches opérationnelles essentielles ou importantes : – les opérations de banques au sens de

l’article L. 311-1 du code monétaire et financier susvisé, les services de paiement au sens du II de

l’article L. 314-1 du même code et les services d’investissement au sens de l’article L. 321-1 du

même code, pour lesquels l’entreprise assujettie a été agréée ; – les opérations connexes

mentionnées aux paragraphes 1, 2, 3 et 7 de l’article L. 311-2, à l’article L. 522-2 du code monétaire

et financier et aux paragraphes 1, 2, 5, et 6 de l’article L. 321-2 du code monétaire et financier

susvisé ; – les prestations participant directement à l’exécution des opérations ou des services

mentionnés aux deux premiers tirets ci-dessus ; »


• L’information et l’informatique contribuent à tout

• Pas de limitation à ce qui peut être sous procédé Cloud




: 37-2 « […] 1. a) L’externalisation n’entraîne aucune délégation de la responsabilité de l’organe

exécutif ; b) Les relations de l’entreprise assujettie avec ses clients et ses obligations envers ceux-ci

ne doivent pas en être modifiées ; c) Les conditions que l’entreprise assujettie est tenue de remplir

pour recevoir puis conserver son agrément ne doivent pas être altérées ; d) Aucune des autres

conditions auxquelles l’agrément de l’entreprise assujettie a été subordonné ne doit être supprimée

ou modifiée ; e) L’entreprise assujettie, qui doit conserver l’expertise nécessaire pour contrôler

effectivement les prestations ou les tâches externalisées et gérer les risques associés à

l’externalisation, contrôle ces prestations ou ces tâches et gère ces risques. […]


• équilibre économique n’est plus le même

• perte de maitrise possible des conditions de réalisation des prestations




37-2 « […] 2. L’externalisation d’activité doit : a) Donner lieu à un contrat écrit entre le

prestataire externe et l’entreprise assujettie ; b) S’inscrire dans le cadre d’une politique

formalisée de contrôle des prestataires externes définie par l’entreprise assujettie. Des

mesures appropriées doivent être prises s’il apparaît que le prestataire de services

risque de ne pas s’acquitter de ses tâches de manière efficace ou conforme aux

obligations législatives ou réglementaires ; c) Pouvoir, si nécessaire, être interrompue

sans que cela nuise à la continuité ou à la qualité des prestations de services aux

clients.[…]


• Changement de temporalité: le présent d’hier, le présent d’aujourd’hui et le présent

de demain sont différents

• Moyens du tiers prestataire sont rarement équivalents à ceux d’un établissement de

crédit




37-2 « […] 3. Les entreprises assujetties s’assurent, dans leurs relations avec leurs prestataires

externes, que ces derniers : a) S’engagent sur un niveau de qualité répondant à un fonctionnement

normal du service et, en cas d’incident, conduisant à recourir aux mécanismes de secours

mentionnés au point c ; b) Assurent la protection des informations confidentielles ayant trait à

l’entreprise assujettie et à ses clients ; c) Mettent en œuvre des mécanismes de secours en cas de

difficulté grave affectant la continuité du service ou que leur propre plan de continuité tient compte de

l’impossibilité pour le prestataire externe d’assurer sa prestation ; d) Ne peuvent imposer une

modification substantielle de la prestation qu’ils assurent sans l’accord préalable de l’entreprise

assujettie ; […]


• Tiers prestataire en possession des données

• Plan de continuité d’activité du prestataire ou PCA client doit être étendu au

prestataire

• Rapport de force possible en fonction du cout et de la politique de marge du

prestataire




37-2 « […] e) Se conforment aux procédures définies par l’entreprise assujettie concernant

l’organisation et la mise en œuvre du contrôle des services qu’ils fournissent ; f) Leur permettent,

chaque fois que cela est nécessaire, l’accès, le cas échéant sur place, à toute information sur les

services mis à leur disposition, dans le respect des réglementations relatives à la communication

d’informations ; g) Les informent de tout événement susceptible d’avoir un impact sensible sur leur

capacité à exercer les tâches externalisées de manière efficace et conforme à la législation en

vigueur et aux exigences réglementaires ; h) Acceptent que la Commission bancaire ou toute autre

autorité étrangère équivalente au sens des articles L. 632-7, L. 632-12 et L. 632-13 du Code

monétaire et financier susvisé ait accès aux informations sur les activités externalisées nécessaires à

l’exercice de sa mission, y compris sur place.»


• Ou sont les données?

Contre mesures juridiques


Contre-mesures juridique

→ Procédures à définir en amont

→ Avant mise en œuvre du projet Cloud

Quelques exemples

→ Identification des traitements

→ Identification des conflits d’intérêt possibles du fait de la disparition des

silos

→ Murailles de chine organisées et garanties au sein du Cloud

→ Externaliser la fonction conformité également?

→ Intelligence contractuelle



Le simple respect des textes est-il suffisant?

CRBF 97-02

-Adapté à l’informatique ?

« qui trop embrasse mal étreint »

Où sont les données question récurrente. Garantie d’effacement?

-Suffisant?

« Juridiquement raison mais techniquement/économiquement tort »

Durée du contrat, par exemple 3 ans, et après?



The European Network and Information Security Agency (ENISA), Etude

« Cloud Computing Risk Assessment », nombreux risques analysés et

probabilisés et notamment: V29.Data interception, v35. Licensing risk", V13. Lack of

standard technologies and solutions, V46. Poor provider selection, V47. Lack of supplier redundancy,

V31. Lack of completeness and transparency in terms of use,

V34. Unclear roles and responsibilities, V35. Poor enforcement of role definitions, V21.

Synchronizing responsibilities or contractual obligations external to cloud, V23. SLA clauses with

conflicting promises to different stakeholders, V25. Audit or certification not available to customers,

V22. Cross-cloud applications creating hidden dependency, V13. Lack of standard technologies and

solutions, V29. Storage of data in multiple jurisdictions and lack of transparency, V14. No source

escrow agreement, V16. No control on vulnerability assessment process, V26. Certification schemes

not adapted to cloud infrastructures, V30. Lack of information on jurisdictions, V31. Lack of

completeness and transparency in terms of use, V44. Unclear asset ownership, V25. Audit or

certification not available to customers, V13. Lack of standard technologies and solutions, V29.

Storage of data in multiple jurisdictions and lack of transparency, V26. Certification schemes not

adapted to cloud infrastructures, V31. Lack of completeness and transparency in terms of use, V31.

Lack of completeness and transparency in terms of use , V8. Communication encryption

vulnerabilities, V17. Possibility that internal (cloud) network probing will occur, V18. Possibility that

co-residence checks will be performed, V10. Impossibility of processing data in encrypted form , V48.

Application vulnerabilities or poor patch management, V41. Lack of, or a poor and untested, business

continuity and disaster recovery plan, V31. Lack of completeness and transparency in terms of use,

V23. SLA clauses with conflicting promises to different stakeholders V34. Unclear roles and

responsibilities ...

Contre-mesures juridiques


• les données certes concernées + surtout en réalité la réputation, i.e.

ce qui n’est pas écrit ou prévu.

La vie du contrat la plus source de difficulté. Évolution de la

règlementation, des besoins, des procédures, qui doit financer le coût ?

• Prévenir les conséquences économiques des changements à

intervenir dans la vie du contrat par un système d’abaques ?

Conclusion


(Vulnérabilités x Menaces) / Contre-mesures juridiques =

niveau de Risque du Cloud

➭Risque de non conformité existe mais est maitrisable.

Est ce que les normes écrites bancaires sont suffisantes?

➭Nécessaire d’aller au delà en considération des normes

et enjeux non écrits (réputation);

➭Enjeux en présence justifieraient une

autoréglementation spécifique par et pour le secteur B&F.

Documents

Le Cloud computing dans le secteur bancaire. - afdit.fr - Colloque du 29 novembre 2012 - Le... · bancaire . L’Informatique est au cœur du SI bancaire et financier 2 Oswald Seidowsky