Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cloud de confiance dans les secteurs réglementés - répondre aux besoins de résilience des institutions financières

mai 2022 par Agnieszka Bruyère, Vice-Présidente IBM Cloud, EMEA

L’offre Cloud de nouvelle génération doit répondre aux besoins des entreprises et des organismes publics de l’UE, en leur permettant d’exécuter des applications critiques alignées sur leurs processus métier, notamment dans les secteurs réglementés. Chez IBM, nous travaillons sans relâche pour permettre exactement cela.

1. Comment IBM assure une gestion continue de la posture de conformité, alignée sur les exigences des régulateurs mondiaux.

Liam Benham, Vice-Président Affaires Publiques, IBM Europe, a déclaré dans un blog que « Les régulateurs et les entreprises ne peuvent pas contrôler l’avenir, mais ils peuvent faire en sorte d’autoriser plusieurs solutions lorsqu’ils mettent en œuvre des décisions aujourd’hui afin de s’assurer qu’elles sont à l’épreuve du futur ». Et la loi imminente sur la résilience opérationnelle numérique (DORA) de la Commission européenne en est un bon exemple.

La préparation d’IBM à DORA et à des propositions législatives similaires a commencé il y a de nombreuses années, puisque nous avons été les premiers à être réglementés aux États-Unis dans le cadre du programme d’audit des agences bancaires fédérales. En Europe, IBM est allé encore plus loin pour aider ses clients bancaires à se conformer aux directives d’externalisation de l’ABE (Autorité Bancaire Européenne), en introduisant l’"EBA Cloud Compliance Certificate[1]", une approche unique en son genre pour intégrer l’alignement à la conformité dans nos opérations et nos contrats.

Pour continuer à instaurer une plus grande confiance et des résultats synergiques pour le secteur des services financiers, IBM est devenu le premier fournisseur de Cloud à développer un Cloud spécifique au secteur financier en 2019. Conçu en collaboration avec Bank of America, IBM Cloud for Financial Services (IBM Cloud pour les Services Financiers) a été conçu pour répondre aux exigences uniques du secteur en matière de cybersécurité et de réglementation financière, tout en offrant les avantages et la flexibilité d’un Cloud public dans un environnement sécurisé.

En son cœur se trouve le Cloud for FS Control Framework (cadre de contrôle du Cloud pour les Services Financiers), qui permet aux institutions financières de répondre à leurs obligations en matière de conformité réglementaire et de gestion des risques grâce à un ensemble complet de contrôles préconfigurés et spécifiques au secteur. En attendant l’entrée en vigueur de DORA, le cadre de contrôle sera revu et mis à jour si nécessaire, afin que toutes les institutions financières, les ISVs (éditeurs de logiciels indépendants) et les FinTechs puissent continuer à héberger en toute confiance leurs applications dans un environnement Cloud de confiance.

L’IBM Financial Services Cloud Council (Conseil consultatif pour le Cloud des Services Financiers) est l’endroit où plus de 90 experts issus de plus de 60 institutions financières se réunissent pour collaborer et informer en permanence sur les contrôles nécessaires pour opérer en toute sécurité avec des données bancaires sensibles dans le Cloud. Ce réseau d’experts - composé de DSIs, de CTOs (Directeurs des Nouvelles Technologies), de RSSIs et de responsables de la conformité et des risques - s’est réuni pour co-créer et orienter l’adoption du Cloud pour les applications critiques dans ce secteur hautement réglementé.

Récemment, le Conseil a collaboré à la création d’un modèle de mesure du Cloud spécifique au secteur pour aborder la gouvernance et le reporting dans un contexte hybride et multicloud. Destiné à différents niveaux organisationnels et s’appuyant sur les exigences de DORA en matière de cadre de gestion des risques liés aux TIC (technologies de l’information et de la communication) et de gouvernance, cet ensemble de mesures permet aux dirigeants de se faire une idée complète du risque global pour l’entreprise.

2. La résilience comme moyen et non comme finalité

IBM a toujours été un leader d’opinion dans la prise de conscience que le monde est hybride. Nous savons que nos clients ont besoin d’exécuter des applications sur site et hors site dans plusieurs Clouds, afin de créer une valeur commerciale transformatrice avec un maximum d’optionnalité. La nature évolutive des risques et de la résilience dans l’environnement de plus en plus numérisé des services financiers est la raison pour laquelle nous voulons donner à nos clients la capacité de mesurer, d’atténuer, de surveiller et de rendre compte de manière cohérente des risques liés au Cloud et de l’efficacité des contrôles dans un environnement multicloud et multi-fournisseurs.
Nous nous engageons pleinement à aider nos clients bancaires européens à relever les défis liés à l’externalisation du Cloud conformément aux directives de l’ABE sur les accords d’externalisation, à DORA et à ses normes techniques réglementaires à venir. Avec l’aide de Promontory Financial Group, une société IBM, nous surveillons en permanence les nouvelles règles et réglementations, en garantissant un modèle d’exploitation qui permet de gérer les risques et la conformité liés au Cloud.

Sur la base de nos capacités existantes au sein d’IBM Cloud for Financial Services et du dialogue et de la collaboration continus avec les institutions financières et les régulateurs via l’IBM Financial Services Cloud Council, nous mettons l’accent sur :

• Des pratiques plus strictes de protection des données, notamment des techniques de chiffrement des données et des pratiques de gestion des clés.

Chez IBM, nous croyons fermement à la protection des données de nos clients par des mesures techniques et nous saluons l’accent mis sur la sécurité, la résilience et la protection des données dans le cadre de DORA. IBM utilise le chiffrement, tant lorsque les données sont en transit qu’au repos, en proposant les technologies Bring Your Own Key (BYOK) et Keep Your Own Key (KYOK) qui permettent aux clients de détenir les clés de chiffrement qui protègent et contrôlent l’accès aux données. Nous cherchons également à protéger les "données en cours d’utilisation" grâce à la solution Confidential Computing (informatique confidentielle) d’IBM, qui permet de chiffrer les données en permanence, y compris lorsqu’elles sont traitées en mémoire pour des applications et des processus métier.

• Déployer en toute sécurité des services Cloud partout et permettre aux données de rester dans le pays.

Avec IBM Cloud Satellite, nous apportons l’architecture moderne du Cloud public au secteur financier. Grâce à un ensemble étendu de contrôles de sécurité, de conformité et de gestion des risques, les institutions financières peuvent exécuter leurs services Cloud dans l’environnement de leur choix – en local, à la périphérie (at the edge) ou dans plusieurs Clouds publics. En outre, pour les clients qui le préfèrent, l’option « EU-only » d’IBM garantit que les données des clients sont stockées et traitées dans l’UE et qu’un personnel basé dans l’UE effectue les mises à jour et les opérations de services Cloud.

• La portabilité et l’interopérabilité en tant que passerelles Cloud vers les systèmes informatiques existants des institutions financières

L’Europe a besoin d’un marché plus compétitif, qui soutient l’innovation, empêche le verrouillage par les fournisseurs et favorise la portabilité des données pour stimuler la transformation. Alors que les organisations européennes adoptent de plus en plus la technologie Cloud, elles ne doivent pas oublier qu’une dépendance excessive à l’égard des services de Cloud d’un seul fournisseur et de ses datacenters peut entraîner des risques significatifs. IBM s’engage depuis longtemps en faveur de l’innovation open source, plaidant contre le verrouillage par les fournisseurs et pour une stratégie multi-fournisseurs. Notre stratégie a toujours soutenu la liberté de choix et la flexibilité qui sont essentielles au succès de nos clients.

3. Permettre aux institutions financières d’évaluer les différentes catégories de risques affectant leurs activités.

Permettre aux clients européens de déployer des applications critiques avec des niveaux de sécurité élevés et de répondre à leurs exigences en matière de souveraineté des données et de conformité réglementaire est au cœur de notre mission.

Avec en toile de fond un environnement réglementaire et un paysage de menaces complexes, nous nous efforçons de faire en sorte que nos clients puissent fonctionner avec des niveaux de contrôle les plus élevés possibles, afin de favoriser une rapidité d’exécution lorsqu’ils adoptent des services Cloud en toute sécurité.

IBM est prêt à aider les entreprises dans leur adoption de DORA qui arrive bientôt, en travaillant avec elles pour :

• Réaliser des évaluations de maturité afin d’identifier les lacunes et de rédiger des plans de remédiation conformément aux exigences de DORA.
• Tirer parti du travail effectué pour se conformer aux directives de l’ABE sur l’externalisation pour fournir et enregistrer tous les accords d’externalisation.
• Commencer à travailler sur différents scénarios de tests, notamment des tests de vulnérabilité, des audits de sécurité physique, des tests d’intrusion, des tests effectués par une équipe d’experts en simulation d’attaque de cybersécurité (Red Team), etc. – pour élever le niveau de maturité de leurs équipes en matière de gestion transversale de la sécurité.
• Mettre en œuvre les changements jusqu’aux étapes de conformité et de remédiation afin de garantir un alignement clair entre les objectifs commerciaux et informatiques.

Alors que les réglementations évoluent pour répondre aux besoins toujours plus importants en ce qui concerne la sécurité et la confidentialité des données dans un monde numérisé, IBM s’engage à améliorer ses technologies, processus et contrôles en matière de Cloud afin de consolider sa position de fournisseur de Cloud de confiance dans l’UE.


[1]Certificat de conformité qui aligne les dispositifs contractuels d’IBM avec les exigences de l’ABE en matière de technologie Cloud et externalisation.


Voir les articles précédents

    

Voir les articles suivants