Peu sécurisé, panorama réglementaire imposant, questions liées à la maitrise, la conservation et la localisation des données, ainsi que sur les coûts engendrés… Les croyances sont nombreuses autour du Cloud, alors même que son adoption présente de nombreux avantages pour les entreprises du secteur financier, en particulier dans un contexte de crise. Ce premier épisode du Podcast Banque et Assurance d’Accenture, animé par Sophie Jacquemet-Richard, Senior Manager en Consulting Finance, Risque et Conformité, a pour but de démystifier les craintes liées à l’adoption du Cloud. Elle est accompagnée de deux experts Accenture de la cybersécurité et du Cloud, Eric Cissé, Senior Manager Risque et Conformité, spécialiste du Cloud et Abdelkader Harihiri, Manager spécialisé dans l’IT et la Cybersécurité. (Temps d’écoute : 15 mn)

La transcription ci-dessous a été éditée pour en préserver la concision et la clarté.

Sophie Jacquemet-Richard : Bonjour Eric, Abdelkader, vous êtes des experts de la cybersécurité et du Cloud chez Accenture et vous intervenez notamment auprès des entreprises du secteur financier. Pour commencer, pouvez-vous nous indiquer en quelques chiffres le niveau d’adoption du Cloud par les entreprises du secteur financier ?

Eric Cissé : 94% des entreprises utilisent le Cloud. Dans le secteur financier nous constatons que seul 20% du SI est vraiment sur le Cloud. Pour l’heure, aucune société n’a déployé plus de 50% de son périmètre sur le Cloud (Sources : Enquêtes Accenture internes 2019 en partenariat avec Ponemon Institute.)

Abdelkader Harihiri : Afin de satisfaire aux contraintes de régulation, 84% de nos clients ont une stratégie multi Cloud, mais ils peinent à convaincre et à accompagner le business dans leurs projets de transition vers le Cloud.

S.J. : Pourtant les avantages du Cloud sont nombreux, quels sont-ils ?

A.H. : Nous avons typiquement l’agilité et la scalabilité, c’est-à-dire la capacité d’adapter et de moduler rapidement les infrastructures afin, d’une part, de mieux répondre à une demande ponctuelle du business et d’autre part, d’absorber les pics de charge importants (e.g. black Friday, Cop 21, crise COVID-19). Ces événements nécessitent de redimensionner de façon dynamique les infrastructures, pour accueillir plus de capacité de connexion ou de mise en place de plateformes de collaboration. Un autre avantage est la réduction des coûts, puisque les coûts de l’infrastructure sont supportés par le fournisseur de Cloud. De plus le client ne paie que ce qu’il consomme, ce qu’on appelle le « pay-as-you-go ».

E.C. : La qualité de service pour les clients qui s’appuient sur le Cloud est également meilleur par rapport au schéma classique des data center que nous connaissons jusqu’à présent. L’innovation, enfin pour la capacité de proposer de nouveaux services qui s’appuient sur l’intelligence artificielle ou le maching learning. Mais également la capacité à fédérer les efforts de collaborateurs situés aux quatre coins du monde sur un projet commun.

En conclusion, le Cloud permet de délivrer des services susceptibles de générer des revenus supplémentaires avec un meilleur time to market, tout en favorisant la transformation digitale avec une baisse globale des coûts IT.

S.J. : Les bénéfices du Cloud semblent en effet majeurs. Dans ce cas comment expliquez-vous la réticence de certaines entreprises à son adoption ?

A.H : Nous constatons trois grands obstacles lorsqu’il est question d’une migration vers le Cloud. Le premier obstacle est lié à la conformité. Nous avons aujourd’hui et principalement pour le secteur financier, de plus en plus de projets avec des contraintes légales et réglementaires. Le client se pose la question de la clarté de la conformité réglementaire. Quels sont les contrôles requis pour assurer la conformité entre les régions ? Comment prouver la conformité et suivre l’évolution de la règlementation ? Où s’arrête la responsabilité du fournisseur de service Cloud ? Autant de questions que se posent les entreprises, et qui freinent l’adoption du Cloud. Le second obstacle est lié à la capacité de sécurité du fournisseur. Quels sont les modules et les équipements actifs de sécurité proposés aujourd’hui par mon fournisseur pour protéger les données ? Comment s’effectue la gestion des identifiants et des accès ?

E.C. : De plus, les clients souhaitent également savoir comment les incidents sont gérés, le log des actions effectuées sur le Cloud, quels sont les moyens proactifs qui sont mis en place pour détecter les vulnérabilités le plus en amont possible afin de protéger les données, quelles sont les données sensibles, où sont-elles stockées, qui peut y accéder et comment s’effectue l’export de ces données ? Le move to Cloud exacerbe les craintes de perdre la maitrise des données.

S.J. : Je comprends que vous avez un framework éprouvé constitué de 8 blocs. Comment accompagnez-vous concrètement vos clients, afin de lever les barrières tout au long de leur Journey to Cloud ?

A.H. : Chez Accenture, nous avons développé un framework couvrant les principales dimensions de contrôle à mettre en œuvre pour que le move vers le Cloud se fasse dans les meilleures conditions possibles et pour réduire les risques au maximum. Ce framework couvre le sujet essentiel de la sécurité des données. Nous allons encore plus loin, avec d’autres blocs majeurs nécessaires pour une adoption au Cloud réussie : la résilience et la continuité d’activité en période de crise qui sont des enjeux stratégiques dans le contexte de crise sanitaire actuel.

E.C. : Notre framework a été éprouvé à de nombreuses reprises auprès de nos clients et intègre les principales règlementations (GDPR, normes ISO, …) et standards du marché pour diminuer de manière significative les risques liés au Cloud. Il adresse 8 points clés qui doivent guider notre Journey to Cloud : la données, la conformité, la sécurité, sans oublier l’infrastructure et la continuité d’activité, le juridique, la gestion des fournisseurs et enfin la gestion des services.

S.J. : Comment utiliser vous ces blocs pour lever les freins à l’adoption du Cloud ?

E.C. : Pour la partie data nous avons à notre disposition des outils stratégiques qui nous permettent de vérifier que nos clients sont conformes aux règles de sécurité qu’ils ont établies et ce, sur l’ensemble du cycle de vie de la donnée (au repos, en transfert, à l’usage).

  • Au repos les craintes sont liées à la fuite des données, aux attaques ciblées sur la base de données et aux vulnérabilité liés aux handpoints. Pour répondre à cela, nous mettons en place différents moyens comme le chiffrement des données sensibles.
  • En transfert la principale vulnérabilité est liée au transfert des données en clair. Les communications via email et via réseaux sont chiffrées (VPN) de bout en bout.
  • En usage les vulnérabilités sont liées aux fuites de données et à la sécurisation des API. Nous avons pour nous prévenir un logiciel qui va permettre de surveiller les activités des utilisateurs sur le Cloud et d’appliquer les politiques de confidentialité décidées par nos clients. Enfin nous utilisons la tokenisation et le chiffrement de la mémoire.

Pour résumer, le chiffrement et le masquage des données et une gestion centralisée sont autant de moyens mis à disponibilité de nos clients pour sécuriser leur transition vers le Cloud.

A.H. : Sur la partie règlementaire et conformité, il faut savoir que les industries et en particulier le secteur FS, opèrent dans une sphère complexe et en constante évolution en termes de normes, standards et de loi (PCIDSS, les normes ISO, en standards régionaux nous avons le RGPD, PSD2, en France l’AMF et l’ACPR, voire même la loi de programmation militaire). Ce panorama de lois et standards auxquelles doivent se conformer nos clients, nous impose de créer un cadre pour l’adoption au Cloud. Pour ce faire nous avons l’habitude d’organiser avec nos clients une « Cloud Journey Compliance », divisée en plusieurs phases :

  • une première phase d’analyse (identifier les mesures de sécurité en place, quelle est l’utilité de l’utilisation des données actuelles et futures, où sont-elles localisées, etc.).  Une fois cette analyse menée, nous allons dresser les risques opérationnels, liés au Cloud afin de déterminer les écarts à couvrir.
  • dans la seconde phase, nous définissons les contrôles à mener pour être conforme aux exigences légales et réglementaires mais également aux politiques internes de l’entreprise. Cela se traduit au niveau fonctionnel par la définition d’accords contractuels qui sont essentiels pour traiter les questions de réglementations et de conformité.

Dans notre approche nous accompagnons nos clients sur 4 grands axes :

  • 1er Axe: la gouvernance avec les différents fournisseurs de services Cloud
  • 2ème Axe: la résidence des données, par exemple s’assurer que la consommation des données soit uniquement réalisée sur un territoire européen
  • 3ème Axe : l’audibilité, soit voir la possibilité de mandater un tiers pour réaliser des audits techniques et organisationnels de conformité chez le fournisseur de service Cloud
  • 4ème Axe: la réversibilité et les clauses de stratégies de sortie chez un fournisseur de service Cloud, pour la partie fonctionnelle et organisationnelle. Sur le volet technique nous réalisons un mapping des solutions et outils techniques proposés par le fournisseur de service Cloud, avec les exigences légales et règlementaires applicables à nos clients.
  • Phase finale: la vérification des contrôles. Nous planifions avec le client un plan pour réaliser des contrôles, alignés avec les approbations des régulateurs en tirant parti des audits des tiers.

E.C. : Le dernier point que nous souhaitons aborder, au-delà de la data et la compliance, est lié à la sécurité. Afin de garantir cette Journey to Cloud de façon sécurisé, en plus de la sécurisation des données, nous souhaitons mettre un point d’attention sur la gestion des données, la gouvernance, l’intégration des différents éléments entre le fournisseur de service et le client, la gestion des éléments et la portabilité, ce qui est lié à l’identité des utilisateurs, l’infrastructure Cloud, la configuration et gestion des vulnérabilités et ce qui est lié au contrôle d’accès et monitoring.

A.H. : Sur la partie sécurité, il faut garder à l’esprit 4 éléments essentiels, la visibilité et le monitoring, la conformité et le contrôle, la protection et la sécurité et enfin la gouvernance.

S.J. :  Abdelkader, Eric, merci pour ces explications. L’approche mise au point par Accenture est complète et adaptée aux entreprises du secteur financier.

Vous souhaitez obtenir un retour d’expérience client sur une Journey to Cloud ou échanger sur le sujet avec notre équipe d’experts Accenture ? Ecrivez-nous :

@Eric Cissé (Senior Manager en Consulting Finance, Risque et Conformité)

@Abdelkader Harihiri (Manager spécialisé dans l’IT et la Cybersécurité)

@Sophie Jacquemet-Richard (Senior Manager Finance, Risque et Conformité)