L'Association suisse des banquiers (ASB) estime que les solutions de cloud computing représentent une opportunité pour les banques de développer des modèles commerciaux innovants et des processus plus efficaces. Sur la base de ce constat, l'ASB a rédigé ce qu'elle appelle un "guide du cloud" afin de simplifier la voie vers une gestion des données basée sur le cloud pour les établissements financiers suisses, notamment en ce qui concerne le cadre juridique et la réglementation. L'Autorité fédérale de surveillance des marchés financiers FINMA autorise une externalisation à l'étranger si la banque peut garantir expressément qu'elle-même, la société d'audit et la FINMA peuvent exercer et faire valoir leurs droits de regard et d'audit. En outre, il doit être possible d'assainir ou de liquider l'entreprise en Suisse. Les informations nécessaires à cet effet doivent être disponibles à tout moment.
La Commission européenne et la BaFin voient également l'importance croissante du cloud computing en tant que facteur d'innovation important pour les entreprises. Toutes deux ont donné des directives et des orientations claires afin de soutenir les prestataires de services financiers dans leurs défis et de définir le cadre réglementaire des services cloud. Dans sa fiche d'information, la BaFin met l'accent sur l'élaboration du contrat entre la banque et le fournisseur de cloud et fournit des directives à respecter lors du choix du fournisseur de cloud.
Pourquoi les banques hésitent-elles à utiliser un fournisseur de cloud américain ?
Les fournisseurs américains de services informatiques cloud sont soumis à ce que l'on appelle le US Cloud Act. Ce cadre réglemente l'accès aux données stockées par les autorités américaines chargées de l'application de la loi. Dans la plupart des cas, la crainte d'une violation de la protection des données n'est pas fondée. D'une part, les données à caractère personnel ou les données soumises au secret bancaire ne doivent pas être conservées dans le cloud public. D'autre part, des mesures telles que le cryptage des données peuvent être utilisées pour les protéger d'un accès non souhaité.
"Le procédé de cryptage ainsi que la force de la clé de cryptage doivent tenir compte des normes de sécurité actuelles, de sorte que le cryptage puisse être considéré comme cryptographiquement sûr" (Guide ASB page 35).
En outre, selon l'ASB, le fournisseur de cloud a l'obligation de coordonner la procédure en cas de demande des autorités étrangères. Selon l'ASB, les données des clients en Suisse doivent être sécurisées par :
- des mesures techniques (comme l'anonymisation, la pseudonymisation ou le cryptage)
- des mesures organisationnelles (telles que la vérification des normes de sécurité et de confidentialité du fournisseur de cloud)
- des mesures contractuelles (comme la définition appropriée des mesures techniques et organisationnelles)
L'un des conseils donnés par l'ASB pour protéger les données des clients dans le cloud est "l'anonymisation" des données. Grâce à des mesures appropriées, les données telles que le nom ou l'adresse peuvent être rendues anonymes de telle sorte qu'il ne soit plus possible de les attribuer à une personne. L'étape d'anonymisation des données doit être irréversible, de sorte qu'aucune attribution ne puisse avoir lieu à aucun moment. Une fois cette étape franchie, les données ne font plus partie des données clients ou des données personnelles selon l'ASB et peuvent être transférées sans autre dans le cloud.
Combiner la flexibilité et les aspects de sécurité dans un cloud hybride ou multiple
Si les préoccupations en matière de sécurité sont tout de même trop importantes, il existe des solutions de cloud computing dans lesquelles la flexibilité est compatible avec l'aspect sécurité. Dans ce cas, un cloud hybride s'impose. Dans ce cas, les données personnelles sont stockées dans un cloud privé, tandis que toutes les applications et les données d'application peuvent être exploitées dans le cloud public. Dans cette combinaison, le cloud privé offre l'avantage de la sécurité des données. Étant donné que les données dans le cloud privé sont entièrement sous le contrôle de la banque, tout accès par des tiers est exclu. Les données stockées dans le cloud public se trouvent dans l'infrastructure du fournisseur de cloud. Cela offre l'avantage de pouvoir ajouter ou supprimer des ressources à moindre coût.
La solution du multi-cloud va encore plus loin, car elle combine plusieurs solutions de cloud de différents fournisseurs de cloud. Il peut s'agir par exemple d'un fournisseur directement basé en Suisse pour gérer les données critiques en termes de sécurité. En revanche, les données non critiques, comme les données de marché, peuvent être mises à disposition par différents fournisseurs de cloud américains.
Utiliser efficacement les ressources informatiques avec le cloud
Dans le monde de la finance, les produits financiers complexes sont généralement évalués dans le domaine du négoce et du risque. Cela nécessite toutefois une énorme puissance de calcul qui, dans la plupart des cas, est représentée sur des clusters de calcul locaux, également appelés grilles. Cette construction présente toutefois le problème d'être trop rigide sur des marchés volatils - la solution est le cloud computing. C'est ici que la grande évolutivité d'un cloud prend tout son sens. Dans le cloud, la puissance de calcul peut être augmentée ou diminuée en quelques minutes seulement, en fonction des besoins. Ainsi, la banque reste agile à tout moment et garantit une structure de coûts efficace. Cela fonctionne d'autant plus facilement qu'aucune donnée personnelle n'est utilisée pour l'évaluation des produits financiers, mais uniquement des données de marché fournies par les bourses.
Il existe donc de nombreuses voies qui mènent à un monde de solutions sûres et flexibles basées sur le cloud. Les possibilités de choix pour le monde de la finance sont si nombreuses que même les fournisseurs américains de cloud computing constituent un choix sûr s'ils sont utilisés avec prudence.
