En Suisse, le risque de cybercriminalité a particulièrement ralenti l’adoption et le déploiement du cloud au sein de la sphère financière.

Martin Hess, responsable de l’économie et de la digitalisation pour l’Association Suisse des Banquiers (ou SwissBanking), est bien conscient de ce frein :

« Même si les avantages du cloud sont évidents, le respect du secret bancaire et certaines incertitudes juridiques ont limité la marge de manœuvre des banques, ces dernières ne pouvant se permettre de laisser sortir de Suisse les données de leurs clients ».

C’est pourquoi l’ASB a publié en mars 2019 un guide à destination des banques qui recourent à des prestations dans le cloud. Objectif : sécuriser et simplifier la migration des données bancaires vers le cloud.

Net4All vous livre ici son interprétation et récapitulatif de ce document de 43 pages.

Les avantages du Cloud

Innovation - infrastructures et réseauxBien qu’il existe des incertitudes réglementaires, les établissements bancaires et financiers sont bien conscients des avantages du cloud. En effet, le recours à cette technologie permet de bénéficier de nombreux avantages en termes :

– d’innovation, par l’accès à des services évolués tel que l’Intelligence Artificielle, le Machine Learning, etc.

– d’agilité, par la mise en œuvre rapide de labs ou ‘Proof of Concept’ de manière à développer de nouveaux produits ou services basés sur la philosophie de l’échec accéléré (fail fast)

– d’accès à de l’expertise, lorsqu’il s’agit de renforcer la sécurité ou de maintenir ses environnements en conditions opérationnelles.

Outre ces bénéfices, une approche cloud permet d’optimiser les coûts en mettant en place une infrastructure sur mesure et capable de s’adapter à l’évolution de l’activité. Là encore, l’accès à des compétences spécifiques peut s’avérer fort utile, voire indispensable.

Accompagnement dans le Cloud : le choix du Partenaire

Un opérateur de clouds sécurisés propose des solutions et mesures adaptées afin de répondre aux différents domaines d’incertitudes présentées dans le guide :

  1. Gestion et suivi (gourvernance)

La sélection d’un partenaire est particulièrement cruciale. Effectivement, en cas d’externalisation de fonctions ou prestations essentielles, une évaluation du risque et des opportunités est requise. L’objectif étant de s’orienter vers un prestataire ayant la capacité professionnelle ainsi que les ressources humaines et financières pour remplir ses obligations contractuelles.

Le choix portera également sur la détermination du prestataire à s’engager de façon appropriée dans la mise en œuvre des différentes mesures permettant de garantir le respect des prescriptions d’usage, les obligations résultant du droit applicable dans le contexte ou encore des lois sur la protection des données.

Ceci peut se vérifier en s’appuyant sur l’application de cadres et bonnes pratiques, par la mise en œuvre de procédures spécifiques ou sur la base des certifications dont dispose le partenaire choisi.

De plus, il est important de s’assurer que les prestations externalisées soient clairement identifiées et que leur rapatriement soit convenu dès le début de la relation. En vue de pouvoir garantir la possibilité de réorienter ses choix technologiques et/ou de partenaires, il est impératif de prévoir dans le contrat, une faculté de sortie sous la forme d’une clause de réversibilité.

  1. Traitement des données

Une approche des projets sous l’angle de la donnée, c’est-à-dire qui tienne compte de sa sensibilité et de son besoin en sécurisation peut s’avérer pertinente lors de la conception d’une architecture qui réponde aux enjeux business en terme de performance, tout en garantissant la confidentialité, l’intégrité et la disponibilité de l’information.

Dans le but de mettre en place les mesures techniques et organisationnelles qui répondent aux exigences particulières de la loi sur la protection des données, votre opérateur de clouds sécurisés peut vous proposer un Plan d’Assurance Sécurité (PAS). Le PAS est une annexe qui définit les méthodes, l’organisation et les activités d’assurance sécurité spécifiques durant le cycle de vie du contrat.

Il a pour objectifs de constituer une référence commune à toutes les parties prenantes, de fixer les droits, devoirs et responsabilités de chacun ou encore de clarifier les procédures à suivre, les outils à utiliser ainsi que les normes à respecter.

Une revue régulière du PAS permettra de contrôler sa bonne application et son adéquation avec les évolutions normatives et législatives.

  1. Audit

La confiance et la transparence sont des éléments clés de toute relation. Même si chacune des parties conserve son périmètre d’action, il est parfois nécessaire de donner de la visibilité, notamment lorsqu’il s’agit de s’assurer du bon respect des obligations. A ce titre, il est indispensable de convenir des modalités de coopération.

L’identification des personnes impliquées, le délai de prévenance, les accès requis, le plan d’audit décrivant les éléments attendus, la forme du rapport d’audit ainsi que les conditions financières associées, sont des éléments du processus qu’il est judicieux d’évaluer.

Cloud Computing et Sécurité, un duo possible

Relation clientChaque projet est unique : à chaque besoin sa solution !

Le cloud propose des réponses difficilement égalables. Il est donc tout à fait justifié de considérer cette option lors de la définition de sa stratégie IT.

Bien que le niveau de sécurité puisse être progressif en fonction de la maturité de la plateforme hébergée, le périmètre très important qu’offrent les clouds publics nécessite une intégration transversale de la sécurité afin de s’assurer des exigences minimales en termes de chiffrement, de fédération d’accès, etc. Une expérience sérieuse sur ce type d’environnement permet une couverture exhaustive afin de prendre en compte l’ensemble des risques présents.

Qu’elle soit périmétrique, grâce notamment à de la certification ou alors technologique, par l’implémentation de couches techniques, le recours à des experts ayant la capacité d’offrir un accompagnement tout au long du projet de sécurisation est primordiale.

Finalement… une transition maîtrisée vers le cloud permet l’ouverture vers de nouveaux horizons en s’appuyant sur les évolutions technologiques. Il appartient à chacun de définir dans quelle mesure, le cloud computing peut répondre à ses besoins actuels et futurs !

Pour échanger sur votre projet de Cloud Banking, contactez Net4All.

 

Source : « Guide Cloud : Recommandations pour sécuriser le cloud Computing », publié le 29 mars 2019. Analyse rédigée par : Pascal Blanchut, Service Delivery Manager chez Net4All depuis 2018.

 

Melissa Oriol
Melissa Oriol
Responsable Marketing & Communication chez Net4All depuis 2017.