Le cloud, inévitable étape pour le futur des banques belges

©Google

Les banques n’ont plus le choix du passage dans le cloud. Cette mutation du secteur s’accompagne d’un rapprochement avec les GAFA et suscite de nombreuses interrogations.

Le 29 juillet dernier, la banque Capital One, cinquième plus gros émetteur de cartes de crédit des Etats-Unis, révélait le vol des données de 106 millions de ses clients, stockées dans le cloud appartenant à Amazon Web Services (AWS). La pirate, une hackeuse américaine de 33 ans, aurait eu accès aux données stockées par la filiale d’Amazon en exploitant une mauvaise configuration des pare-feu mis en place par la banque Capital One pour sécuriser l’accès aux serveurs. Concrètement, et comme s’en est vigoureusement défendu le géant américain, la faille aurait été localisée au sein de l’infrastructure de Capital One et non celle d’AWS.

Cette brèche qui a depuis fait couler beaucoup d’encre outre-Atlantique ravive, en plus des craintes liées à la protection des données personnelles, la question méconnue du grand public de l’imminence du passage des banques à des services de stockage dématérialisé. Avec celle-ci, les questions de l’ampleur de la mutation, de la confiance accordée à ces fournisseurs d’espace et de la souveraineté des banques sur leur architecture IT se font brûlantes.

Une transition inévitable

Ils s’appellent Microsoft Azure, Google Cloud ou Amazon Web Services, ils sont américains, filiales des géants de la tech, et ils sont les leaders du marché de la location d’espace de stockage dématérialisé pour les entreprises. Bientôt, c’est à eux que reviendra la lourde responsabilité de loger les infrastructures IT (et les données des utilisateurs) des grandes banques européennes.

"Les activités de crédit, et donc les données clients, passeront dans le cloud très bientôt."
Patrick devis
CIO de belfius

Côté belge, la phase de transition n’en est encore qu’à ses débuts. Mais comme l’explique Patrick Devis, Chief Information Officer (CIO) chez Belfius, "les banques n’ont plus le choix d’utiliser le cloud aujourd’hui". En effet, si les données dites "critiques" restent pour l’instant stockées dans des centres de traitement de données (data centers) privés, les banques ont déjà recours à des fournisseurs de services en cloud (cloud providers) pour bon nombre d’activités connexes, telles que des applications de messagerie ou de comptabilité. Chez Belfius, plus de 50 activités satellites sont à l’heure actuelle hébergées dans des clouds publics.

La différence (ou le retard) avec les grandes banques américaines concerne le stockage des données dites "sensibles", c’est-à-dire des informations personnelles des utilisateurs, précisément celles piratées chez Capital One. Du côté de Belfius, Patrick Devis est formel: "Les activités de crédit, et donc les données clients, passeront dans le cloud très bientôt". Une première pour la banque donc, mais une décision justifiée par les nombreux avantages qu’apporte la technologie sur les serveurs physiques privés.

Agilité, sécurité et réduction de coûts

"Comme toutes les banques, Belfius cherche à installer de plus en plus de volumes dans le cloud", résume Patrick Devis. Le CIO se veut également transparent quant aux motivations de ce revirement stratégique. "Les raisons du passage au cloud sont d’abord économiques. Le cloud permet la construction et la destruction automatique de machines virtuelles, en fonction des pics d’affluence sur nos serveurs. Aujourd’hui, 1,5 million de clients se connectent à l’application Belfius, en moyenne 31 fois par mois. Le cloud nous permet d’être plus agiles tout en optimisant l’espace. Le tout en gaspillant moins de capacité, en proposant des systèmes plus stables et en réduisant les coûts." Il signale, par ailleurs, que "la majorité des fournisseurs de solutions technologiques proposent aujourd’hui leurs services dans le cloud". Le luxe du choix n’appartient donc plus aux banques et le temps des logiciels installés sur les serveurs internes semble révolu, à moins de consentir à se priver des dernières innovations technologiques.

Contrairement à ce que pourrait laisser penser la débâcle "Capital One", le passage au cloud présente aussi des vertus sécuritaires. À l’heure actuelle, les données personnelles des clients des banques sont regroupées dans des data centers privés, physiques, mais, comme le rappelle Patrick Devis, "les données ne sont pas non plus enfermées dans un coffre-fort, sous mon bureau. Chez Belfius, elles sont stockées dans un data center géré par IBM au Luxembourg. Les données ne sont accessibles que par nos services, par le biais d’une ‘clé’ unique et spécifique."

Quels risques pour la protection des données?

Avec le passage au cloud, les données stockées ne seront ainsi plus rassemblées en un endroit mais bien découpées, encryptées, puis dispersées dans plusieurs centres de traitement de données appartenant au cloud provider choisi (AWS, Azure, etc.), à travers le monde. Le risque inhérent ne serait donc plus géographique mais plutôt lié à la concentration des données de plusieurs banques chez un même fournisseur. Il semble donc logique d’imaginer qu’une faille ou une panne dans le chef d’un fournisseur d’espace aurait des conséquences potentiellement catastrophiques puisqu’elle concernerait les données des millions d’utilisateurs des banques clientes. D’après les experts, cette éventualité reste peu probable, même si personne n’ose l’exclure totalement.

Spécialiste en stratégies de cybersécurité chez NVISO, Vincent Defrenne avoue sans peine: "Aujourd’hui, le cloud bien utilisé et bien configuré offre un meilleur niveau de sécurité que les data centers privés." En cause, les standards de protection des cloud providers eux-mêmes. "AWS et consorts sont exposés à des menaces de classe mondiale mais disposent de services de sécurité de classe mondiale". Cette observation fait écho chez Belfius, où l’on pointe du doigt les moyens déployés par les cloud providers et leurs maisons mères: "Le cloud apporte une sécurité avec laquelle les banques sont incapables de rivaliser. Chez Microsoft, 2 milliards de dollars sont investis annuellement en cybersécurité, soit l’équivalent du chiffre d’affaires de Belfius."

Plus que la technologie elle-même donc, c’est son degré de maîtrise par les banques qui pose un réel risque pour la sécurité des données. Comme l’indique Vincent Defrenne, "la clé du passage au cloud réside dans la capacité des banques à bien le configurer et à disposer d’équipes à même de comprendre la technologie et de la gérer avec rigueur, malgré la souplesse qu’elle présente." Même son de cloche auprès de la Banque nationale de Belgique (BNB), qui insiste sur l’adoption de bonnes pratiques par les banques: "Pour autant que les établissements financiers opèrent les bons choix configurationnels, l’évolution vers le cloud ne doit pas impliquer une détérioration de la cybersécurité". Rappelons que dans le cas de Capital One, c’est une mauvaise configuration du cloud par la banque et un manque de suivi des alertes d’usage anormal des données qui ont permis le piratage de données.

Le danger réside donc plus à la "frontière" entre le cloud et la banque, précisément là où l’accès aux serveurs dématérialisés est configuré par la banque, que dans l’adoption de la technologie elle-même. Selon les experts, il s’agira pour les banques d’investir dans les personnes et les compétences nécessaires à la parfaite maîtrise du cloud, pour se prémunir de tout flottement et cadenasser l’accès aux informations sensibles.

Droit d'audit et "cloud act"

Au-delà de la menace de pirates, la souveraineté des banques sur les données de leurs clients pose question. Dans la législation, le "cloud computing" est considéré comme une forme d’externalisation. Conformément à cette considération, l’Autorité bancaire européenne (EBA) invite les établissements financiers et les autorités compétentes à disposer d’accords avec les cloud providers, leur garantissant un droit d’accès à leurs établissements et un droit d’audit illimité. Seulement, d’après Vincent Defrenne, expert en cybersécurité, "Ce niveau de transparence est loin d’être évident, tant le degré de complexité technique des processus est élevé. De plus, la collaboration de ces derniers à l’évaluation de leurs établissements est loin d’être optimale." Deuxième point d’inquiétude, l’ingérence du gouvernement américain sur les données stockées. En vertu du "Cloud Act", une législation américaine extraterritoriale visant à clarifier les règles relatives aux réquisitions de données, les cloud providers américains sont sujets à des perquisitions sur leurs serveurs, même s’ils sont situés hors du sol américain. Bien que la présence de "portes dérobées" sur les serveurs de fournisseurs reste à prouver, la réquisition d’informations par les autorités devient, en théorie, possible. La conformité avec certains articles du Règlement européen de protection des données (RGPD) pose encore question. Des accords structurels bilatéraux pourraient être passés pour résoudre le flou juridique.

 

Lire également

Publicité
Publicité

Echo Connect