Aller au contenu
NNextHop
Finance et assurance

Souveraineté cloud pour la finance et l'assurance.

DORA, exit strategy, concentration risk, MIFID II : repères opérationnels pour les RSSI, les responsables conformité et les directions des risques.

Contexte

Le règlement DORA (UE 2022/2554) est entré en application le 17 janvier 2025 et redessine la gouvernance cloud du secteur financier européen. Il impose, parmi d'autres exigences, une exit strategy formalisée, une cartographie des prestataires tiers critiques et une surveillance du risque de concentration. La régulation française s'y articule via l'ACPR (notice cloud) et l'AMF pour les acteurs de marché. Les références citées sont publiées au Journal officiel de l'Union européenne et sur acpr.banque-france.fr.

Cibles

À qui s'adresse ce cadre

Banques systémiques

Statut G-SIB ou O-SII : supervision renforcée BCE et ACPR.
Risque de concentration cloud surveillé par les autorités prudentielles.
Exit strategy documentée imposée par DORA pour les prestataires tiers critiques.

Banques de détail

Données clients en région UE, journalisation des accès.
PCI DSS sur l'infrastructure de paiement.
Continuité opérationnelle : RTO court sur la banque en ligne et le canal mobile.

Assurances

Solvency II : continuité, sécurité et auditabilité des SI.
Données actuarielles et données de santé (article 9 RGPD) traitées à part.
Engagements de portabilité et de réversibilité contractuels.

Fintech et néobanques

Agrément EME ou EP délivré par l'ACPR.
Architecture cloud-native, dépendance forte aux fournisseurs gestionnaires.
Pression DORA des partenaires bancaires sur la chaîne de sous-traitance.

Cadre réglementaire

Les références applicables

DORA (Digital Operational Resilience Act)

Règlement (UE) 2022/2554, applicable depuis le 17 janvier 2025. Établit un cadre uniforme de résilience opérationnelle numérique pour le secteur financier : gestion des risques TIC, tests de pénétration sur menaces, registre des prestataires tiers critiques, exit strategy obligatoire et notification d'incidents majeurs.

EBA Guidelines on outsourcing

Orientations EBA/GL/2019/02 sur l'externalisation par les établissements financiers, intégrées au cadre prudentiel. Exigent une évaluation préalable des risques, une due diligence du fournisseur et des clauses contractuelles renforcées pour les fonctions critiques ou importantes.

ACPR : notice sur le cloud

Notice ACPR sur l'usage du cloud, publiée en 2019 et régulièrement mise à jour. Encadre la classification des données, la localisation, le droit d'audit et la réversibilité. Croisée avec la doctrine DINUM lorsque l'établissement intervient pour le compte de l'État.

MIFID II et localisation

Directive (UE) 2014/65 et règlement MIFIR : conservation des enregistrements électroniques et des communications électroniques pendant 5 à 7 ans selon les catégories. Les obligations de localisation ne sont pas explicites mais s'articulent avec les régimes RGPD et DORA.

Cas d'usage type

Quatre situations récurrentes

Core banking

Exigences

RTO/RPO court (souvent inférieurs à 4h/15min) sur les SI vitaux.
Audit complet (Tier 1) et droit de visite physique des datacenters.
Exit strategy testée : capacité réelle à basculer vers un autre fournisseur.

Fournisseurs candidats

Fournisseurs UE avec datacenters Tier III ou IV, certifications ISO 27001, ISAE 3402 et engagement DORA.

Reporting réglementaire

Exigences

Archivage WORM (Write Once Read Many) des reportings FINREP, COREP, AnaCredit.
Traçabilité cryptographique des soumissions.
Conservation pluriannuelle sans dégradation.

Fournisseurs candidats

Object storage souverain UE avec scellement, signatures qualifiées eIDAS et engagement de localisation.

Conservation des logs et communications

Exigences

Rétention 5 à 7 ans des communications électroniques (MIFID II).
Indexation pour réponse rapide aux réquisitions de l'AMF ou de l'ACPR.
Chiffrement au repos avec clés gérées par le client (BYOK ou HYOK).

Fournisseurs candidats

Stockage UE avec moteur d'indexation et HSM externe certifié eIDAS.

Détection de fraude par IA

Exigences

Modèles entraînés sur données pseudonymisées, données brutes en région UE.
Explicabilité des décisions (article 22 RGPD pour les décisions automatisées).
Pas de transfert de données à des fins d'entraînement de modèles tiers.

Fournisseurs candidats

Plateformes IA UE avec engagement contractuel d'isolation des données et de non-réutilisation.