Êtes-vous prêt pour la réglementation cloud ?

Partout dans le monde, le risque de concentration des nuages ​​fait l’objet d’une attention accrue. Le département du Trésor du Royaume-Uni a récemment publié un document d’orientation « Tiers critiques pour le secteur financier.” Le document est une proposition visant à permettre la surveillance des tiers fournissant des services essentiels au système financier britannique. La proposition accorderait le pouvoir de classer un tiers comme « essentiel » à la stabilité financière et au bien-être du système financier britannique, puis fournirait une gouvernance afin de minimiser le risque systémique potentiel. Les régulateurs financiers (HM Treasury en coordination avec la Banque d’Angleterre, la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA)) seront « en mesure d’établir des règles, de recueillir des informations et de prendre des mesures d’exécution, à l’égard de certains les services que des tiers critiques fournissent aux entreprises et qui sont particulièrement pertinents pour les objectifs des régulateurs (que les régulateurs appellent des services « matériels »). Le document fait référence aux préoccupations concernant le risque de concentration des nuages ​​soulevées par la Banque d’Angleterre lors de précédents rechercher. À cette époque, plus de 65 % des entreprises britanniques utilisaient les quatre mêmes fournisseurs de cloud pour les services d’infrastructure cloud.

Les régulateurs américains ont examiné le sujet du risque tiers sous diverses formes, notamment demande pour des commentaires l’année dernière. Récemment, ils ont augmenté leurs activités d’embauche pour recruter du personnel afin d’examiner les fournisseurs de logiciels cloud. Le risque de concentration du cloud, le risque de marché du système – il porte différents noms – n’est pas un nouveau sujet. En 2019, un lettre au Conseil de surveillance de la stabilité financière des États-Unis a demandé que les principaux fournisseurs de services cloud soient désignés comme des services publics d’importance systémique sur les marchés financiers.

Et puis il y a la loi sur la résilience opérationnelle numérique (DORA) dans l’UE. DORA a reçu accord provisoire à la mi-mai avec le même objectif primordial de contribuer à assurer la stabilité financière du secteur financier dans l’ensemble de l’UE.

« … Établir des règles, recueillir des informations et prendre des mesures d’exécution, en ce qui concerne certains services que des tiers critiques fournissent aux entreprises et qui sont particulièrement pertinents pour les objectifs des régulateurs »

Êtes-vous prêt pour la régulation de la concentration des nuages ?

Ainsi, avec ce dernier examen minutieux et cette série de documents publiés par les gouvernements, nous sommes sur le point de voir un changement important dans la réglementation des fournisseurs tiers critiques et en particulier des fournisseurs de services cloud. Plutôt que d’attendre un mandat de conformité, il est essentiel que les assureurs et les fournisseurs de services financiers de toutes sortes envisagent et se préparent dès maintenant aux implications.

Les assureurs et les sociétés de services financiers sont très expérimentés dans les exigences liées à la redondance et à la reprise après sinistre. Les réglementations entourant un fournisseur individuel et la capacité de se remettre d’une panne sont largement mandatées. En complément de cela, les entreprises sont très motivées pour assurer la résilience afin de fournir le meilleur service possible, de maintenir des opérations fluides et de fidéliser les clients. Personne ne veut lire les pannes de leur entreprise dans le cycle des nouvelles – ce n’est jamais une bonne chose ! Et bien sûr, lorsqu’une entreprise s’appuie sur un fournisseur tiers pour des services, des logiciels ou un environnement hébergé, un ensemble de diligence raisonnable s’accompagne de la garantie de la résilience de cette solution. Nous connaissons tous l’exercice.

Le risque systémique introduit une toute autre couche de risque. Ce n’est pas nouveau non plus, les effets d’entraînement des marchés sont également bien compris. Pourtant, la réglementation s’est toujours concentrée sur l’approche d’une entreprise individuelle. Si les entités individuelles sont fortes, les marchés seront plus résistants. Cela commence à changer avec la reconnaissance qu’il existe une dépendance critique vis-à-vis des fournisseurs de services cloud tiers qui ne sont pas réglementés de la même manière. Alors, que faisons-nous à ce sujet? Que faisons-nous pour nous préparer à de nouvelles mesures de conformité lorsque les régulateurs nous disent que nous avons trop d’œufs dans le même panier ?

La collaboration du marché est nécessaire

Les fournisseurs de services cloud font désormais partie intégrante du paysage des services financiers. Il incombe désormais à l’ensemble de l’écosystème de gérer le risque systémique qui accompagne l’adoption du cloud. En tant qu’entreprise de plate-forme de données, nous conseillons une approche de plate-forme de données hybride pour équilibrer les avantages de l’adoption du cloud tout en répondant aux préoccupations réglementaires liées au risque de concentration du cloud (CCR).

Insight Entreprises

Les assureurs et les institutions financières peuvent gérer leur stricte confidentialité des données, leur gouvernance et leur résilience, tout en gagnant en flexibilité et en portabilité des données et des applications pour gérer efficacement leur entreprise. Cloudera plate-forme de données hybride facilite la portabilité des données sur n’importe quel cloud pour aider à atténuer les préoccupations réglementaires concernant le risque de concentration, et notre expérience de données partagées (SDX) gère la sécurité et la gouvernance de manière cohérente dans les clouds privés et publics.

L’adoption du cloud s’accélère et les fournisseurs renforcent leurs infrastructures en fonction du rôle de plus en plus important qu’ils jouent – tests d’intrusion, prévention de la cybersécurité, etc. Pourtant, ils ne sont pas entièrement sous le contrôle des régulateurs à l’heure actuelle. Ce jour semble se rapprocher à travers le monde. (Et s’ils sont en fait réglementés dans une juridiction spécifique, veuillez me laisser un commentaire.)

Le cloud hybride est un choix de déploiement dominant sur le marché : 85 % des entreprises déclarent adopter une approche de cloud hybride, combinant l’utilisation de clouds publics et privés. (Flexera, State of the Cloud Report, 2021.) Il offre flexibilité, choix et contrôle. Une plate-forme de données hybride permet cette flexibilité et est recommandée en prévision de la surveillance réglementaire.

Téléchargez notre livre électronique pour en savoir plus sur le risque de concentration des nuages.