La sous-traitance cloud est au cœur de la modernisation des systèmes bancaires. AWS, Microsoft Azure, Google Cloud Platform et IBM Cloud hébergent aujourd'hui des portions croissantes des infrastructures des grandes banques européennes. Le règlement DORA (EU) 2022/2554 encadre cette réalité avec des exigences précises sur les contrats, la surveillance et la sortie.

Le Cadre Contractuel DORA pour le Cloud

L'article 30 du règlement DORA définit les clauses minimales que doivent contenir les contrats avec les prestataires TIC fournissant des services supportant des fonctions critiques ou importantes. Pour les contrats cloud bancaires, ces clauses comprennent obligatoirement : description précise des services et SLA, localisation des données et des traitements (pays, régions cloud), droit d'accès, d'inspection et d'audit de l'entité financière et de son superviseur, obligations de notification des incidents affectant l'entité, assistance en cas d'incident, procédures et délais de portabilité des données en cas de résiliation.

Droit d'Audit : La Clause la Plus Sensible

Le droit d'audit est la clause la plus délicate à négocier avec les grands hyperscalers. AWS, Azure et GCP ont historiquement résisté aux audits directs par les clients, proposant à la place des certifications tierces (SOC 2, ISO 27001). DORA impose un droit d'audit effectif pour les fonctions critiques. Les grands prestataires ont publié des addendums DORA qui précisent les modalités d'exercice de ce droit, souvent via des programmes d'audit mutualités.

Localisation des Données

DORA, combiné au RGPD, impose une maîtrise de la localisation des données bancaires. Les contrats cloud doivent préciser les régions cloud utilisées et les mécanismes empêchant le transfert hors UE pour les données soumises à des restrictions de localisation. Les banques doivent s'assurer que leurs configurations cloud respectent ces contraintes, ce qui peut impliquer des options de souveraineté cloud supplémentaires (Azure France Central, AWS Europe, etc.).

Stratégie de Sortie Cloud : Une Obligation DORA

L'article 28 du règlement DORA impose aux entités financières de disposer d'une stratégie de sortie pour chaque prestataire TIC supportant une fonction critique. Pour le cloud, cela signifie avoir documenté, pour chaque application critique hébergée dans le cloud, la procédure de migration vers un fournisseur alternatif ou vers une infrastructure on-premise, le délai de migration réaliste, et les coûts estimés. Cette stratégie de sortie doit être réaliste et périodiquement testée.

Concentration sur les Hyperscalers : Risque Systémique

L'une des préoccupations majeures des superviseurs européens est la concentration des dépendances cloud bancaires sur un petit nombre de prestataires (AWS principalement, puis Azure et GCP). Une panne prolongée d'un hyperscaler majeur pourrait simultanément affecter de nombreuses banques européennes. DORA impose une analyse du risque de concentration et des plans d'atténuation. L'objectif n'est pas d'interdire le cloud mais d'éviter une dépendance exclusive sans plan de continuité.

Supervision Directe des Tiers Critiques

Pour les prestataires TIC désignés comme 'critiques' au niveau européen par les autorités de surveillance (EBA, EIOPA, ESMA), DORA prévoit une supervision directe. Un superviseur principal (Lead Overseer) est désigné parmi les trois autorités et peut directement inspecter et auditer le prestataire critique. Les grands fournisseurs cloud qui seront désignés critiques devront se conformer aux exigences du superviseur principal, une première dans la régulation des Big Tech.

Conclusion

La sous-traitance cloud dans le secteur bancaire n'est pas remise en cause par DORA, mais sérieusement encadrée. Les banques qui ont migré vers le cloud sans structurer leurs contrats, sans stratégie de sortie et sans programme d'audit des prestataires doivent combler ces lacunes. Le cloud peut être conforme à DORA ; il faut juste le documenter, le surveiller et prévoir comment en sortir.

Questions fréquentes

Les certifications cloud (ISO 27001, SOC 2) remplacent-elles les droits d'audit DORA ?

Non. DORA impose un droit d'audit effectif qui va au-delà de la consultation de certifications tierces. Les certifications ISO 27001 ou SOC 2 peuvent compléter l'exercice du droit d'audit mais ne le remplacent pas. La norme technique DORA sur les contrats TIC précise les modalités d'exercice du droit d'audit, y compris pour les situations où un audit mutualisé est proposé par le prestataire.

Une banque peut-elle héberger son core banking dans le cloud sous DORA ?

Oui. DORA n'interdit pas d'héberger des fonctions critiques comme le core banking dans le cloud. Il exige simplement que le contrat avec le prestataire cloud inclue toutes les clauses minimales DORA, que la banque dispose d'une stratégie de sortie documentée, et que le prestataire soit correctement surveillé et auditable.