En quoi le cloud souverain et de confiance va-t-il pouvoir accélérer le passage au cloud dans le secteur bancaire ?

Résumé

L’intégration du cloud dans le très réglementé secteur bancaire s’accélère à vitesse grand V, promettant d’importants gains de compétitivité.

Les réglementations ne manquent pas : PCI DSS, RGPD, DORA, NIS2… à ce titre, le cloud souverain et de confiance se révèle être un choix particulièrement judicieux.

De nombreux cas d’usages se révèlent pertinents et prometteurs : déploiement d’applications accéléré, lien direct data/digital, amélioration des problèmes d’infrastructure…

Une récente étude menée par Capgemini a montré une accélération très forte du secteur bancaire et assurance dans l’intégration du cloud dans ses opérations, avec un pourcentage d’intégration passant de 37% des répondants en 2020 à 91% en 2023.

En effet, le secteur bancaire et financier au sens large gérant avant tout de la data, l’enjeu y est principalement d’exploiter au mieux ce patrimoine levier de compétitivité majeur. Le cloud, par sa capacité à gérer des volumes de données à la demande, de stocker, de proposer des services à la demande…. est donc un vecteur de compétitivité indéniable.

Des cas d’usages et des fonctionnalités nombreuses

Gommage des questions d’infrastructure au profit d’un focus métier

Accélération de l’innovation via notamment des usages avancés d’Analytics et de business intelligence

Déploiement plus rapide des applications

Amélioration de la gestion client et prise en charge plus rapide des demandes grâce notamment à l’IA

Mise à disposition de services et briques qui permettent d’innover par assemblage, en limitant les développements et en accélérant le time-to-market

Lien direct entre data et digital qui s’enrichissent mutuellement et boostent l’innovation

Pourquoi les secteurs de la banque, finance et assurance peinent-ils à franchir le pas ?

L’étude de Capgemini fournit là encore une partie de la réponse. Parmi les défis qui entravent une adoption efficace du cloud à grand échelle, figure la sécurité des données qui est citée comme « un obstacle majeur » pour 68 % des dirigeants interrogés.

De nombreux défis
à adresser en tête desquels la sécurité des données au sens large

Les établissements financiers et les assurances manipulent des données hautement sensibles, puisqu’il s’agit de données patrimoniales ou de santé qui sont des données particulièrement intimes. Ils ont des obligations règlementaires fortes de différentes natures, qu’ils maîtrisent la plupart du temps dans leurs systèmes on-premise.

L’offre de cloud public trustée jusqu’à présent par les hypersaclers ne garantit pas la confidentialité des données, et limite donc de facto les applications externalisées dans le cloud public.

En effet, les hyperscalers sont soumis aux lois américaines, le Cloud Act et le Fisa, qui autorisent le gouvernement américain à la réquisition des données sans obligation d’informations de quiconque. Les cloud provider sont d’ailleurs tenus de publier ces demandes de réquisitions sur leur site, Google par exemple a fait l’objet en 2022 de près de 500 demandes de réquisition, portant sur plus de 100 000 comptes utilisateurs.

Ainsi, en externalisant leurs applications ou opérations dans un cloud non souverain, cela supposerait des opérations et process additionnels de type pseudonymisation, voire anonymisation des données, validation des opérations par les DPO…qui rajouteraient de la complexité, pour un résultat relatif dans certains cas.

Prenons à ce titre l’exemple de l’IA. Pour se garantir la pleine performance des modèles, il est souvent préférable d’entraîner ces derniers sur les données d’origine, ce qui dans des cloud non souverains n’est pas possible. Donc le jeu n’en vaut donc pas toujours la chandelle.  

Ainsi, les nombreuses règlementations auxquelles sont soumis les acteurs du secteur banque/finance (voir ci-après un extrait de ces règlementations) apparaissent souvent comme difficilement compatibles avec des cloud non souverains, car ne pouvant garantir la sécurité totale des données, les hyperscalers étant soumis aux lois américaines.

Voici un extrait des réglementations :

PCI DSS

PCI DSS est un ensemble de normes de sécurité regroupées en 12 exigences conçues pour protéger les données des clients et les informations de paiement contre tout accès, utilisation ou divulgation non autorisés. La conformité à la norme PCI DSS est obligatoire pour toute entreprise qui traite, stocke ou transmet des informations relatives aux cartes de crédit.

Le RGPD

Le RGPD (Règlement Général sur la Protection des Données) est un cadre de sécurité conçu pour protéger les informations personnelles des citoyens et en garantir la confidentialité totale tout au long du cycle de vie. Toute entreprise qui traite des données à caractère personnel de citoyens de l’UE, que ce soit manuellement ou automatiquement, doit s’y conformer.  

Le DORA

Le DORA (Digital Operational Resilience Act) a pour objectif d’améliorer la résilience opérationnelle informatique des acteurs des services financiers, en mettant en place un cadre de gouvernance et de contrôle interne spécifique. Dora s’inscrit dans le cadre plus large d’un train de mesures sur la finance numérique, qui vise à mettre au point une approche européenne favorisant le développement technologique et assurant la stabilité financière et la protection des consommateurs. L’un des principaux pans est d’assurer la continuité d’activité en cas d’incident majeur, ou de sinistre, en évaluant principalement la capacité des établissements à mettre en place un plan de continuité au niveau des principales activités financières. Dans ce cadre, le recours à un cloud souverain et de confiance qualifié SecNumCloud (le plus haut standard de sécurité français), permet de faciliter une mise en conformité au règlement Dora.

NIS2

NIS2 (Network and Information System), adopté par le Parlement et le Conseil de l’Union européenne le 14 décembre 2022 remplace et abroge la directive NIS1.

Il a pour objectif le renforcement de la cybersécurité des réseaux et des systèmes d’information au sein de l’Union Européenne et impose ainsi des obligations minimales en matière de cybersécurité et de déclaration d’incidents aux opérateurs de services essentiels (OSE), aux fournisseurs de services numériques (FSD) mais également maintenant à toute entreprise employant plus de 250 personnes, dont le chiffre d’affaires annuel dépasse 50 millions d’euros et/ou dont le bilan annuel est supérieur à 43 millions d’euros. Là aussi, le recours à un cloud souverain et de confiance qualifié SecNumCloud (le plus haut standard de sécurité français) permet de faciliter une mise en conformité au règlement NIS2.

Le cloud souverain et de confiance, un accélérateur pour le passage au cloud du secteur

Un cloud dit souverain permet de :

Se prémunir contre les risques géopolitiques qui pourraient conduire à une rupture de service par exemple et couper l’accès aux données.

Ne pas être soumis aux lois extraterritoriales

Un cloud dit de confiance, à savoir qualifié SecNumCloud, le plus haut niveau de sécurité décerné par l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Informations) permet :

D’être en conformité de facto avec un certain nombre d’exigences règlementaires du secteur et de faciliter la mise en conformité

 

De bénéficier d’un niveau de sécurité au plus haut niveau de maitrise décrit par les référentiels actuels

Ces alternatives souveraines et de confiance devraient donc lever un certain nombre de réserves de la part des acteurs du secteur. Le secteur bancaire a une forte culture du on-premise, le cloud public est donc souvent considéré comme un asset dans une stratégie de cloud hybride chère au secteur.

Néanmoins avec l’arrivée de solutions publiques souveraines et de confiance, de nouveaux pans d’activité comme les datas platform pourraient basculer dans le cloud et l’adoption du cloud s’accélérer notoirement.

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

En quoi le recours au cloud souverain et de confiance est-il un accélérateur en matière de cybersécurité ?

Résumé La certification ISO/IEC 27001 est la norme internationale fixant les exigences relatives aux SMSI (Systèmes de Management de la Sécurité de l’Information) des entreprises...

4 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Téléchargez le guide NumSpot de la protection des données de santé et du cloud Les données de santé sont précieuses et convoitées car éminemment sensibles...

2 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Le SIH (Système d’Informations Hospitalier) est un élément fondamental et stratégique de l’établissement hospitalier, et ce à plusieurs titres : la gestion des processus administratifs...

7 min de lecture

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

NumSpot partenaire de Sopra Steria
Offre de Sauvegarde des Données de Santé
Offres packagées NumSpot (Allonia)
Assistant IA
NumSpot partenaire d'Alter way
S.I.E.M.

Cas clients

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

synodis-partenaire-numspot
Synodis
Denodo logo numspot
Denodo
Logo Adobis Group
Adobis Group
Logo CobolCloud
CobolCloud
Logo Allonia
ALLONIA
SCC
Softeam
Eviden
Docaposte
Cleyrop
Sopra Steria
IBM
LightOn
Alter Way
Illuin Technology
Energisme
OGO
OGO Security
Logo-Red_Hat
Red Hat
DEVOTEAM
Keltio
OCTO Technology
DuoKey
CEO-Vision SAS
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Secteur public
Santé
Services financiers et assurance
OSE et OIV

Cas clients

Découvrez la mise en oeuvre de nos technologies au travers de nos cas clients.

Perfecto Group
Secteur public
CNP Assurances
Services financiers et assurance
Docaposte
Santé
Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Produits & disponibilités