Externalisation vers le cloud : ce que change le nouveau règlement délégué européen de 2025?

Externaliser son infrastructure informatique vers des services en nuage permet aux entreprises, et notamment aux établissements financiers, de bénéficier d’une réduction significative des coûts d’investissement et de maintenance. En effet, les solutions cloud éliminent la nécessité d’acquérir, de gérer et de renouveler des équipements coûteux, tout en offrant une flexibilité d’allocation des ressources en fonction des besoins réels. De plus, le cloud donne un accès rapide aux dernières innovations technologiques, favorise la mobilité des collaborateurs et garantit une disponibilité des services supérieure grâce aux mécanismes de redondance et de haute disponibilité mis en place par les fournisseurs.

La sécurité des données dans le cloud repose sur une approche partagée entre le client et le fournisseur.

Il est essentiel de choisir un prestataire certifié (ISO 27001, HDS, etc.), de s’assurer que les données sont chiffrées en transit et au repos, et que des politiques d’accès strictes sont en place.

Les entreprises doivent également intégrer des clauses contractuelles robustes portant sur les droits d’audit, la localisation des données et les conditions de restitution.

La gestion des risques liés au cloud doit s’accompagner d’audits réguliers, de tests de pénétration et de plans de réponse aux incidents, conformément aux exigences du règlement DORA.

Choisir un prestataire cloud ne peut se faire sans une évaluation précise de sa capacité technique, de sa conformité réglementaire et de sa résilience opérationnelle.

Il convient d’évaluer son expérience sur des fonctions critiques, sa solidité financière, son engagement contractuel sur la sécurité, et sa capacité à accompagner les audits.

Le prestataire doit pouvoir garantir l’accès aux données, la continuité d’activité et la réversibilité des services.

Il est aussi crucial de veiller à l’existence de centres de données situés dans des juridictions respectant les standards européens de protection des données (RGPD).

Loin de représenter un risque par nature, l’externalisation bien encadrée peut au contraire renforcer la continuité d’activité.

Les fournisseurs TIC spécialisés dans l’hébergement et les services cloud disposent de moyens robustes pour assurer la disponibilité des données, la redondance géographique et la reprise rapide après incident.

Toutefois, il est indispensable de formaliser des plans de continuité et de reprise adaptés (PCA/PRA), intégrant les services externalisés et tenant compte de leur criticité pour les processus métier.

Parmi les défis les plus souvent rencontrés figurent la perte de contrôle opérationnel, les difficultés d’intégration des systèmes existants avec les solutions du prestataire, la dépendance excessive à un fournisseur unique (vendor lock-in) et les risques de non-conformité réglementaire.

Pour y faire face, il est recommandé d’inclure dans les contrats des clauses de réversibilité, des engagements sur la disponibilité, des obligations de reporting et des droits d’accès élargis pour les audits réglementaires.

L’anticipation de ces enjeux est un facteur clé de réussite de l’externalisation.

Oui, l’externalisation des fonctions de conformité, y compris la lutte contre le blanchiment (LCB-FT), est compatible avec les obligations de contrôle permanent à condition qu’elle soit encadrée par des clauses contractuelles solides et une gouvernance adaptée. L’entité donneuse d’ordre reste responsable du bon fonctionnement du dispositif de conformité, même lorsque celui-ci est opéré par un prestataire externe. Il est donc essentiel de formaliser des processus de pilotage, de reporting et d’évaluation périodique des prestations externalisées, en s’appuyant sur des indicateurs de performance et des audits réguliers. L’ACPR, l’AMF et l’AFA rappellent à ce titre que la fonction conformité ne peut être déléguée sans encadrement strict

L’externalisation d’un service lié aux technologies de l’information et de la communication (TIC) présente des avantages opérationnels certains, mais elle constitue également une source de vulnérabilités réglementaires si elle n’est pas rigoureusement encadrée. Dans le secteur financier, les risques associés à une externalisation non maîtrisée sont multiples et peuvent être sévèrement sanctionnés par les autorités compétentes.

Conformément au règlement (UE) 2022/2554 (DORA), tout service TIC critique ou important doit faire l’objet d’une analyse approfondie ex ante, incluant une évaluation des risques, la désignation formelle du caractère critique de la prestation, ainsi que l’élaboration d’un plan de continuité (ICT BCP). En cas de manquement, les articles 5 à 7 du règlement prévoient des obligations strictes de gouvernance, tandis que les articles 28 à 31 renforcent les exigences en matière de documentation, d’auditabilité et de surveillance des tiers critiques.

Par ailleurs, les orientations de l’EBA (EBA/GL/2019/02) imposent le maintien d’un registre d’externalisation à jour, la capacité de résilier les contrats en cas de non-conformité, et le devoir permanent de surveillance par les organes de direction. Une externalisation non conforme expose donc l’établissement à plusieurs risques majeurs :

• Risque juridique et réglementaire : sanctions de l’ACPR, de l’AMF ou de la BCE en cas de non-respect des obligations contractuelles, d’absence de clauses de contrôle, ou de documentation insuffisante.

• Risque opérationnel : perte de disponibilité ou d’intégrité des données critiques, indisponibilité des services externalisés, ou défaillance de la chaîne de sous-traitance.

• Risque de réputation : perte de confiance des parties prenantes (clients, investisseurs, régulateurs) en cas d’incident ou de crise publique liée à un prestataire défaillant.

Enfin, en droit français, l’arrêté du 3 novembre 2014 relatif au contrôle interne impose que toute externalisation respecte les principes d’identification, d’encadrement, de supervision et de traçabilité. Il impose notamment la capacité à mettre en œuvre des mesures correctrices immédiates si un dysfonctionnement survient au niveau du prestataire

Un contrat conforme aux exigences du règlement DORA doit inclure plusieurs éléments essentiels : des clauses relatives à la sécurité des systèmes d’information, à la confidentialité des données, aux droits d’audit, à la localisation des données, à la continuité d’activité (PCA/PRA), et à la résiliation. Il doit également préciser les responsabilités respectives, les modalités de sous-traitance en chaîne, et les indicateurs de performance. Enfin, le contrat doit garantir aux autorités de supervision (ACPR, AMF, BCE, etc.) un droit d’accès effectif aux informations et aux infrastructures externalisées.

Pour être conforme à DORA, la politique d’externalisation doit recenser les fonctions critiques, définir les seuils de criticité TIC, intégrer la cartographie des prestataires TIC critiques, organiser la gestion des risques de concentration et prévoir des scénarios de substitution.

Elle doit aussi encadrer la chaîne de sous-traitance, formaliser les modalités de contrôle et de gouvernance, et intégrer les droits de supervision réglementaire.

Une révision annuelle de cette politique est recommandée, en lien avec les services juridiques, conformité et DSI.

Une bonne cartographie des fonctions externalisées repose sur l’identification précise des processus externalisés, des prestataires impliqués, des chaînes de sous-traitance et des risques associés.

Elle doit permettre de distinguer les fonctions critiques ou importantes (au sens de DORA ou des orientations EBA), de visualiser les interdépendances opérationnelles et d’assurer une vision consolidée pour les autorités de supervision.

Il est recommandé d’utiliser un outil structuré de suivi (registre d’externalisation), de classer les prestations selon leur niveau de criticité, et de mettre à jour cette cartographie au fil des évolutions contractuelles.