Finance et assurance

Souverainete cloud pour la finance et l'assurance.

DORA, exit strategy, concentration risk, MIFID II : reperes operationnels pour les RSSI, les responsables conformite et les directions des risques.

Contexte

Le reglement DORA (UE 2022/2554) est entre en application le 17 janvier 2025 et redessine la gouvernance cloud du secteur financier europeen. Il impose, parmi d'autres exigences, une exit strategy formalisee, une cartographie des prestataires tiers critiques et une surveillance du risque de concentration. La regulation francaise s'y articule via l'ACPR (notice cloud) et l'AMF pour les acteurs de marche. Les references citees sont publiees au Journal officiel de l'Union europeenne et sur acpr.banque-france.fr.

Cibles

A qui s'adresse ce cadre

Banques systemiques

Statut G-SIB ou O-SII : supervision renforcee BCE et ACPR.

Risque de concentration cloud surveille par les autorites prudentielles.

Exit strategy documentee imposee par DORA pour les prestataires tiers critiques.

Banques de detail

Donnees clients en region UE, journalisation des acces.

PCI DSS sur l'infrastructure de paiement.

Continuite operationnelle : RTO court sur la banque en ligne et le canal mobile.

Assurances

Solvency II : continuite, securite et auditabilite des SI.

Donnees actuarielles et donnees de sante (article 9 RGPD) traitees a part.

Engagements de portabilite et de reversibilite contractuels.

Fintech et neobanques

Agrement EME ou EP delivre par l'ACPR.

Architecture cloud-native, dependance forte aux fournisseurs gestionnaires.

Pression DORA des partenaires bancaires sur la chaine de sous-traitance.

Cadre reglementaire

Les references applicables

DORA (Digital Operational Resilience Act)

Reglement (UE) 2022/2554, applicable depuis le 17 janvier 2025. Etablit un cadre uniforme de resilience operationnelle numerique pour le secteur financier : gestion des risques TIC, tests de penetration sur menaces, registre des prestataires tiers critiques, exit strategy obligatoire et notification d'incidents majeurs.

EBA Guidelines on outsourcing

Orientations EBA/GL/2019/02 sur l'externalisation par les etablissements financiers, integrees au cadre prudentiel. Exigent une evaluation prealable des risques, une due diligence du fournisseur et des clauses contractuelles renforcees pour les fonctions critiques ou importantes.

ACPR : notice sur le cloud

Notice ACPR sur l'usage du cloud, publiee en 2019 et regulierement mise a jour. Encadre la classification des donnees, la localisation, le droit d'audit et la reversibilite. Croisee avec la doctrine DINUM lorsque l'etablissement intervient pour le compte de l'Etat.

MIFID II et localisation

Directive (UE) 2014/65 et reglement MIFIR : conservation des enregistrements electroniques et des communications electroniques pendant 5 a 7 ans selon les categories. Les obligations de localisation ne sont pas explicites mais s'articulent avec les regimes RGPD et DORA.

Cas d'usage type

Quatre situations recurrentes

Core banking

Exigences

RTO/RPO court (souvent inferieurs a 4h/15min) sur les SI vitaux.

Audit complet (Tier 1) et droit de visite physique des datacenters.

Exit strategy testee : capacite reelle a basculer vers un autre fournisseur.

Fournisseurs candidats

Fournisseurs UE avec datacenters Tier III ou IV, certifications ISO 27001, ISAE 3402 et engagement DORA.

Reporting reglementaire

Exigences

Archivage WORM (Write Once Read Many) des reportings FINREP, COREP, AnaCredit.

Tracabilite cryptographique des soumissions.

Conservation pluriannuelle sans degradation.

Fournisseurs candidats

Object storage souverain UE avec scellement, signatures qualifiees eIDAS et engagement de localisation.

Conservation des logs et communications

Exigences

Retention 5 a 7 ans des communications electroniques (MIFID II).

Indexation pour reponse rapide aux requisitions de l'AMF ou de l'ACPR.

Chiffrement au repos avec cles gerees par le client (BYOK ou HYOK).

Fournisseurs candidats

Stockage UE avec moteur d'indexation et HSM externe certifie eIDAS.

Detection de fraude par IA

Exigences

Modeles entraines sur donnees pseudonymisees, donnees brutes en region UE.

Explicabilite des decisions (article 22 RGPD pour les decisions automatisees).

Pas de transfert de donnees a des fins d'entrainement de modeles tiers.

Fournisseurs candidats

Plateformes IA UE avec engagement contractuel d'isolation des donnees et de non-reutilisation.

Demander un diagnostic Voir la methodologie Comparer les fournisseurs