La Banque d'Angleterre (BoE) et la Financial Conduct Authority (FCA), le gendarme de la City, viennent de se voir confier de nouvelles prérogatives pour superviser quatre grandes entreprises technologiques américaines fournissant des services de cloud et d'informatique aux établissements bancaires du Royaume-Uni. Cette décision, officialisée dans les derniers jours, vise à garantir que ces prestataires respectent des normes élevées de résilience opérationnelle et réduisent activement les risques de cyberattaques.
Les cibles de la nouvelle régulation
Ces pouvoirs élargis concernent les quatre principaux fournisseurs de cloud et de services technologiques aux banques : Amazon Web Services (AWS), Google Cloud, Microsoft Azure et, selon certaines informations, Oracle. Le texte donne à la BoE et à la FCA la capacité d'auditer leurs systèmes, d'exiger des améliorations en matière de sécurité et de continuité d'activité, et d'imposer des sanctions en cas de manquement. L'objectif est de s'assurer que ces infrastructures critiques, devenues indispensables au fonctionnement du secteur financier, ne soient pas à l'origine de perturbations systémiques.
Un enjeu de stabilité financière
Les autorités de régulation britanniques s'inquiètent depuis plusieurs années de la concentration croissante des services financiers sur un petit nombre de plateformes cloud détenues par des entreprises étrangères. Une panne ou une brèche de sécurité chez l'un de ces fournisseurs pourrait avoir des conséquences en cascade sur l'ensemble du système bancaire, paralysant les transactions, les paiements et les services clients. En étendant leur supervision à ces acteurs technologiques, la BoE et la FCA cherchent à prévenir ce risque systémique.
La réponse des entreprises concernées
Les géants technologiques américains visés par cette nouvelle régulation n'ont pas officiellement commenté la décision de manière individuelle. Toutefois, ces entreprises ont généralement affirmé leur engagement à travailler avec les régulateurs et à respecter les normes de sécurité les plus strictes. Certains observateurs notent que cette mesure britannique pourrait inspirer d'autres juridictions, notamment en Europe, où des discussions similaires sont en cours pour renforcer la supervision des fournisseurs de services cloud dans le secteur financier.
Les implications pour le secteur bancaire
Pour les banques britanniques, cette évolution réglementaire signifie qu'elles devront, à leur tour, s'assurer que leurs contrats avec ces fournisseurs cloud incluent des clauses permettant la conformité aux nouvelles exigences. Les établissements financiers pourraient être amenés à diversifier leurs fournisseurs ou à développer des capacités internes pour réduire leur dépendance à un seul prestataire. Cette décision s'inscrit dans un mouvement plus large de durcissement des règles de résilience opérationnelle dans le secteur financier, tant au Royaume-Uni qu'à l'international.