L’analyse de la BCE
« Les banques utilisent de plus en plus les services en cloud de fournisseurs tiers », note la BCE. « Ces services sont potentiellement moins chers, plus flexibles et plus sûrs, mais la dépendance à l’égard de tiers peut également exposer les banques à des risques, par exemple en matière de cybersécurité et d’éventuelles interruptions d’activité. » L’autorité de contrôle a noté que « si une banque ne peut pas facilement remplacer les services externalisés en cas de défaillance, ses fonctions pourraient être interrompues ». En outre, « le marché des services en nuage est très concentré, de nombreuses banques s’appuyant sur quelques fournisseurs de services situés dans des pays hors d’Europe ».
En plus de la supervision, les banques seront soumises à partir de janvier 2025 à la loi sur la résilience opérationnelle numérique (DORA), qui imposera davantage d’exigences en matière de supervision des fournisseurs de services informatiques critiques. La BCE ne pourra pas imposer d’actions contre des entreprises tierces non européennes, mais elle pourra demander des informations, proposer des recommandations et exercer une pression morale au point d’empêcher l’attribution de contrats à des banques de la zone euro.
Ces derniers jours, la BCE avait également mis en garde les banques contre les risques liés à l’externalisation d’activités critiques, telles que celles sur le cloud : « L’externalisation est en hausse et la moitié des contrats concernent des fonctions importantes. Dans le même temps, environ 10 % de ces contrats ne sont pas conformes à la réglementation ».
