DORA Cloud : Exigences pour les Fournisseurs Cloud du Secteur Financier

Le cloud est devenu l'épine dorsale technologique du secteur financier. Des plateformes de trading haute fréquence aux applications bancaires mobiles, des systèmes de gestion de risques aux outils de conformité réglementaire, AWS, Microsoft Azure, Google Cloud Platform et IBM Cloud sont omniprésents. Le règlement DORA (EU) 2022/2554 structure pour la première fois les obligations spécifiques au cloud dans la finance.

DORA et les Modèles de Service Cloud

DORA s'applique à tous les modèles de service cloud utilisés par les entités financières : IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service), et les modèles hybrides. La criticité des obligations dépend de la criticité de la fonction supportée, pas du modèle de service. Un SaaS de gestion des polices d'assurance peut être plus critique qu'une infrastructure IaaS générique.

Cloud Public, Privé et Hybride

DORA ne distingue pas entre cloud public (AWS, Azure, GCP), cloud privé hébergé externalement, et cloud hybride. Les obligations contractuelles et de surveillance s'appliquent dès lors que le service est fourni par un tiers, quelle que soit l'architecture cloud. Le cloud privé géré en interne par l'entité elle-même n'entre pas dans le champ des obligations sur les tiers prestataires TIC.

Cloud Souverain et DORA

Les solutions de cloud souverain — qui garantissent la localisation des données en France/UE et l'immunité aux lois extraterritoriales (CLOUD Act américain) — répondent à certaines préoccupations de DORA sur la localisation des données. Mais elles ne dispensent pas des obligations contractuelles (droit d'audit, SLA, stratégie de sortie) qui restent pleinement applicables.

Les Addendums DORA des Hyperscalers

Les grands fournisseurs cloud ont anticipé DORA en publiant des addendums contractuels spécifiques. AWS a publié son 'DORA Addendum', Microsoft Azure son 'EU Financial Services Cloud Addendum' mis à jour pour DORA, et Google Cloud son 'Financial Services Addendum'. Ces documents précisent les droits d'audit, les obligations de notification des incidents, les mécanismes de portabilité des données et les procédures de sortie. Les entités financières doivent s'assurer que ces addendums sont bien intégrés dans leurs contrats.

Tiers Critiques : La Désignation des Hyperscalers

Le chapitre V du règlement DORA prévoit la désignation de 'tiers prestataires TIC critiques' soumis à une supervision directe des autorités européennes. Les critères de désignation incluent l'impact systémique potentiel d'une défaillance, le degré de substitution possible, et le nombre d'entités financières qui en dépendent. AWS, Microsoft et Google sont des candidats évidents à cette désignation. Un superviseur principal (Lead Overseer) parmi EBA, EIOPA et ESMA leur serait alors assigné.

Stratégie Multi-Cloud sous DORA

Certaines entités financières adoptent une stratégie multi-cloud pour réduire leur dépendance à un seul fournisseur. DORA encourage cette approche en imposant une analyse du risque de concentration. Une stratégie multi-cloud bien structurée peut démontrer une stratégie de sortie crédible auprès des superviseurs. Elle ajoute cependant de la complexité opérationnelle et des coûts de gestion supplémentaires.

Conclusion

DORA redéfinit la relation entre les entités financières et leurs fournisseurs cloud. La dépendance croissante au cloud n'est pas remise en cause, mais elle doit désormais s'inscrire dans un cadre contractuel robuste, avec une surveillance continue des prestataires, une stratégie de sortie documentée, et la conscience que les grands hyperscalers eux-mêmes font l'objet d'une supervision européenne croissante.