Cloud & Réglementation : Un levier pour le secteur financier

Cloud & Réglementation : Un levier pour le secteur financier
 

La réglementation est souvent perçue comme un obstacle à l’adoption du cloud. Telindus y voit au contraire un moyen de fournir des solutions cloud de manière efficace et sécurisée. Pour Jacques Ruckert, Directeur Solutions et Innovation de Telindus, quand le cloud s'accorde avec la réglementation, en particulier dans le cadre de l'industrie de la finance, la somme des deux constitue un catalyseur d'innovation et un levier de développement pour les entreprises.
 

Comment le cloud public peut-il aider les entreprises du secteur financier à réduire leurs coûts ou à générer de nouveaux revenus ? Quels avantages substantiels apporte-t-il ?
 

J.R. : Le cloud public permet d'automatiser entièrement l'exécution de nombreuses opérations et d'alléger les charges d’exploitation au quotidien. Les entreprises peuvent ainsi concentrer leurs ressources sur les outils informatiques qui animent le cœur de leur métier. Une stricte séparation entre données et calcul permet de créer des services afin de ne traiter les données que lorsque c'est réellement nécessaire. Les entreprises ont également la possibilité de créer un "pipeline" de traitement de données, un cluster Hadoop par exemple, de l'utiliser pendant qu'elles travaillent réellement sur ces données et de le supprimer par la suite, et cela sans coût permanent et sans infrastructure à gérer.

D'autre part, les énormes réserves de capacité que possèdent les grands acteurs du cloud permettent de bénéficier de modèles de facturation à l'usage qui s'avèrent financièrement très intéressants. Les entreprises peuvent par exemple faire travailler des centaines de serveurs pendant une heure plutôt qu’un seul serveur pendant des centaines d’heures pour le même prix et réaliser ainsi d’énormes gains d’efficacité. Les dernières innovations visant à paralléliser les tâches - et il ne s'agit plus ici de théorie - permettent de traiter de grandes quantités de données en temps réel. On peut de la sorte obtenir de précieuses informations commerciales en analysant des données financières en quasi-temps réel, ce qui aurait pris des jours, voire des semaines, il y a quelques années.

Cet accroissement de l'extensibilité des ressources a autorisé le déploiement de technologies capables d’analyser les données dans des délais très courts. Google a mis cela en pratique dans son cloud en créant notamment des modèles d’apprentissage machine destinés aux organisations qui ne disposent pas de spécialistes en science des données.

Il existe en outre de nombreux modèles prêts à l'emploi, comme ceux qui sont utilisés aujourd'hui quotidiennement pour la reconnaissance vocale et textuelle, la traduction ou la reconnaissance faciale. Ces API (Applications Program Interface) sont faciles à intégrer dans les applications métier, autorisant les entreprises à créer leur propre solution d'intelligence artificielle sur mesure pour leur cœur d'activité.
 

Mais qu'en est-il alors de la conformité réglementaire et de valeurs comme la confiance et la fiabilité sur lesquelles se fonde la relation privilégiée que les banques entretiennent avec leurs clients ?
 

J.R. : Les banques opèrent effectivement dans un environnement fortement réglementé. Leur principale responsabilité est de gérer les actifs de leurs clients. En conséquence, les institutions financières sont également responsables des infrastructures informatiques qui constituent le pilier sur lequel reposent leurs activités. Elles doivent donc veiller à apporter des réponses à une série de questions-clés relatives, entre autre, à la localisation des données et à leur contrôle, au respect de la confidentialité des données privées, à la traçabilité des opérations, à la chaîne de sous-traitance, à la résilience des systèmes, ou encore à la prise en compte d'un stratégie de sortie vis-à-vis d'un fournisseur. Cette liste est loin d'être exhaustive.

Il y a plus de 15 ans, le Luxembourg s'est doté d'un cadre juridique autorisant l'externalisation de systèmes informatiques par les institutions bancaires. Cette législation spécifique est applicable aux prestataires de services qui concluent des accords d’externalisation avec l'industrie financière. Ces prestataires sont réglementés afin de réduire les risques opérationnels et les violations de confidentialité. Le mot-clé de ce cadre réglementaire qui a favorisé l'éclosion d'un véritable écosystème autour du secteur financier est "PSF", Professionnel du Secteur Financier. Concrètement, cela signifie qu'un fournisseur de services - de services informatiques dans le cas qui nous concerne - est obligé d'obtenir un agrément de la part du régulateur financier pour être autorisé à fournir ses services à une banque.

Le dernier aménagement apporté à ce dispositif réglementaire est la circulaire CSSF 17/654, dite "Circulaire Cloud", qui s’applique à toute institution financière souhaitant externaliser des services informatiques vers une infrastructure de cloud. Cette circulaire permet à une entité réglementée, c'est-à-dire une institution financière ou un PFS, de recourir à des services de cloud public moyennant l'observation de règles de gouvernance strictes.

En résumé, il existe donc aujourd'hui au Luxembourg une législation cohérente à laquelle doivent se conformer les institutions financières et les PSF qui souhaitent externaliser des services informatiques vers le cloud public. Cette réglementation garantit le respect d'un certain nombre d'obligations et de valeurs. Chez Telindus, nous avons mis en place un cadre opérationnel et contractuel pour répondre à ces éléments-clés. De plus, nous sommes convaincus que ces valeurs sont tout aussi pertinentes pour d'autres secteurs d'activité, eux aussi hautement sensibles sur le plan de la sécurité et de la confidentialité. Nous le constatons à travers le dialogue permanent que nous entretenons avec nos clients non réglementés.
 

Quel est l'état de la question au niveau de l'Union européenne ?
 

J.R. : L’Autorité Bancaire Européenne, dont la mission est de renforcer le système européen de supervision financière, a récemment publié un ensemble de recommandations à l'intention des banques qui désirent externaliser leurs services auprès de fournisseurs de services cloud. Nous avons constaté avec satisfaction que la correspondance était quasiment parfaite entre les recommandations de l'ABE et les directives de la CSSF. Cela confirme que le Luxembourg se situe à l’avant-garde de l'externalisation réglementée vers le cloud dans le secteur financier. C'est un atout pour Telindus car, même si toute banque européenne est bel et bien sous la supervision de son régulateur national, nous pouvons faciliter le passage au Cloud d'une institution financière en Europe, puisque nous sommes de facto conformes aux recommandations de l'ABE.
 

Quelle est la perception de Telindus de ce marché réglementé ? Quel rôle entendez-vous y jouer et de quels moyens disposez-vous ?
 

Nous voyons la réglementation comme un levier et le rôle de Telindus comme celui d'un catalyseur, d'un accélérateur de la transformation cloud pour les institutions financières. Telindus se positionne comme un intermédiaire entre la banque et le fournisseur de services de cloud public.

Nous combinons les atouts du cloud public avec les capacités de nos propres infrastructures d'hébergement pour permettre le traitement de données provenant d'infrastructures privées par exemple, ou pour aider à mettre en place des stratégies de sortie réellement efficaces. Nous y travaillons notamment avec notre partenaire Cisco en nous appuyant sur ses solutions réseau et serveur. Les nouveaux produits de Cisco centrés sur le cloud permettent en effet d'établir une cohérence entre les clouds publics et privés et de piloter l'ensemble à travers un tableau de bord unique.

Nous avons en outre mis en place le cadre contractuel nécessaire avec notre partenaire et fournisseur de services cloud Google. Nous pensons que le cloud Google constitue un cloud adéquat pour le secteur financier, non seulement en raison de la position privilégiée de celui-ci en matière de traitement de données, mais aussi et surtout de par son approche fondée sur l'open source, ce qui facilite l’implémentation d’une stratégie de sortie. Nous sommes convaincus que la liberté de choix des clients et la flexibilité sont ce qui importe le plus pour Google, sans oublier les niveaux de sécurité élevés qu'offrent ses infrastructures. Google est par exemple le seul grand fournisseur de services cloud à disposer de son propre réseau backbone pour interconnecter toutes les régions où il opère.