Le Cloud occupe certainement une place de choix dans les discussions stratégiques de votre entreprise, et souvent à juste titre. Plus qu’un simple effet de mode, les prestations Cloud offrent de vrais avantages, tant d’un point de vue financier que d’un point de vue adaptabilité du système d’information ; en passant par les innombrables services créateurs de valeur et rapidement déployables. A cela s’ajoute le fait que toutes les tâches de maintenance, de sécurisation et de gestion des infrastructures sont sous la responsabilité du prestataire. Pratique, n’est-ce pas ?
Néanmoins, là où le bât blesse est que toute externalisation s’accompagne de risques, et pas des moindres : souscription à des services non-adéquats, perte de la maîtrise des données, absence de contrôle sur le niveau de sécurité sont autant d’exemples de risques pouvant avoir des conséquences funestes sur l’activité de l’entreprise. Pour répondre à ce problème, l’EIOPA (European Insurance and Occupational Pensions Authority, AEAPP en français) a émis un ensemble de guidelines visant à mieux encadrer le recours à des prestataires de services Cloud pour les entreprises d’assurance et de réassurance.
Que disent ces guidelines pour les assureurs et réassureurs ?
Le document de référence, intitulé « Orientations relatives à la sous-traitance à des prestataires de services en nuage », a pour objectif d’organiser le recours aux prestataires Cloud et à mettre en place un cadre réglementé et permettant aux entreprises de mieux maîtriser les risques d’externalisation.
Une première lecture du document permet de voir que le but de l’EIOPA est de limiter l’externalisation massive et sans étude préalable d’une fonction opérationnelle importante pour l’entreprise. L’approche adoptée est une approche par risques où chaque décision fait l’objet d’une évaluation des risques inhérents, selon l’importance de l’activité à sous-traiter. :
1) Evaluation de l’importance de l’activité à sous-traiter : La première question à se poser est de connaître la nature de l’activité à sous-traiter et son importance pour le fonctionnement et la pérennité de l’entreprise. Il est également important de bien identifier les référentiels légaux et règlementaires applicables à cette activité
2) Evaluation des risques d’externalisation dans le Cloud :
Comme mentionné plus haut dans l’article, les orientations mettent grandement l’accent sur la bonne connaissance des risques liés à chaque activité à externaliser. L’entreprise devra donc, toujours en amont d’un accord, tenir compte des risques IT, juridiques, de non-conformité et de sécurité. Cette évaluation des risques devra également prendre en considération les aspects suivants :
Les risques liés au modèle Cloud choisi (cloud public, privé, hybride, …) et le type de service (IaaS, PaaS, SaaS, …) ainsi que les contraintes d’implémentation et/ou migration
La stabilité politique du pays de sous-traitance et notamment les lois et normes sur la sécurité, la protection des données et le droit applicable en cas de défaillance d’un prestataire
Les éventuels risques inhérents à la sous-sous-traitance
Les impacts d’une éventuelle concentration d’activités chez un même prestataire et donc de dépendance
Cette étude préalable de tous les aspects d’une sous-traitance a pour but de mettre en exergue les points forts et faibles du prestataire et ainsi d’éclairer la décision de signer un accord, ou dans le cas où les mécanismes mis en place ne paraissent pas suffisants, d’exiger des dispositions supplémentaires, voire de ne pas mettre en place d’accord avec ce prestataire
3) Evaluation de l’adéquation du sous-traitant :
L’entreprise devra déterminer si le sous-traitant présente suffisamment de garanties globales ou non, en particulier dans le cas d’une activité critique. Il s’agit là d’évaluer, par exemple, les compétences du sous-traitant, les certifications acquises attestant de sa conformité et de ses infrastructures ou encore sa santé économique.
Cette démarche, appelée procédure de vigilance, devra être réalisée avant chaque accord avec un sous-traitant. Chaque entreprise devra mettre en place une procédure de vigilance déterminant les critères d’évaluation de l’adéquation d’un sous-traitant.
Par ailleurs, l’activité de sous-traitance dans le Cloud sera désormais nécessairement encadrée par une politique adéquate faisant apparaître les rôles et responsabilités de chacun dans les processus, et définissant les outils et règles à prendre en considération ainsi que la documentation opérationnelle adossée à l’activité.
Une fois l’accord de sous-traitance conclut, celui-ci devra être consigné dans un registre de sous-traitance que l’entreprise maintient régulièrement à jour, à la manière d’un registre de traitements. Celui-ci devra faire apparaitre les informations suivantes :
La criticité de l’activité
Le périmètre de la prestation
Une synthèse de l’évaluation des risques la plus récente, et la date de cette évaluation
La personne ou le service responsable de la prestation
Les audits réalisés et à venir
Les informations sur le sous-traitant
Les coûts annuels estimés
Une description de la stratégie de retrait, s’il y en a une
D’un point de vue contractuel, le règlement précise les éléments à faire figurer sur l’accord, tout en mettant essentiellement l’accent sur les droits d’accès et d’auditabilité. Concrètement, cela signifie que l’entreprise peut accéder à toute documentation du sous-traitant jugée pertinente dans le cadre de l’accord. Il peut s’agir de derniers rapports d’audits, de certifications, de contrôles effectués sur le périmètre de la prestation, sans pour autant priver le client de la possibilité d’effectuer des audits individuels du prestataire. Bien évidemment, dans le cas où le droit d’accès ou d’auditabilité ne peut s’effectuer, à cause d’un risque trop élevé pour le sous-traitant ou son environnement, celui-ci peut transmettre les informations à l’entreprise sous forme de rapports exhaustifs. Il est à noter que le sous-traitant sera contractuellement tenu d’informer le client de tout cas de sous-sous-traitance et devra garantir un niveau de maîtrise des risques équivalent à celui exigé par le client.
Concernant le volet Sécurité, les guidelines n’apportent pas de réelle nouveauté et se contentent de dire qu’il est nécessaire de définir les mesures appropriées à la criticité de l‘activité, le bon niveau de continuité d’activité et la supervision des mécanismes de contrôles mis en place, tout en mettant l’accent sur la nécessité de définir clairement les rôles et responsabilités entre l’entreprise et le sous-traitant.
Les autorités de contrôles mobilisées
Afin de vérifier la bonne application des guidelines, une autorité de contrôle nationale veillera à leur bonne application. En France, il s’agira de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). L’autorité de contrôle devra être notifiée de toute activité importante ou critique sous-traitée et pourra émettre un avis sur la solidité de l’accord conclu. En effet, l’autorité de contrôle sera en mesure d’exiger la mise en place de mesures en plus, dans le cas d’accords jugés non-conformes ou offrant peu de garanties pour l’entreprise voire d’exiger la sortie de pure et simple de l’accord. A cela s’ajoutent des campagnes de contrôles de l’ensemble des accords de sous-traitance souscrits par l’entreprise et qui, comme déjà mentionné, devront être consignés dans un registre de sous-traitance.
Les informations à retenir
Comme vous pouvez vous y attendre, la mise en place de ces orientations s’accompagne de deadlines. En effet, les guidelines seront applicables à partir du 1er Janvier 2021 à tous les accords de sous-traitance contractés ou modifiés à partir de cette date. Les entreprises devront également mettre en place ou à jour leur politique interne et procédures opérationnelles de sous-traitance Cloud avant cette date. En ce qui concerne les accords conclus avant le 1er Janvier 2021, ceux-ci devront faire l’objet d’une revue avant le 31 Décembre 2022. De même, les entreprises auront jusqu’à cette date pour mettre en place un registre de sous-traitance opérationnel.
Ainsi, l’EIOPA entend, à travers ces orientations, redonner le contrôle aux entreprises d’assurance et de réassurance et les aider à mieux maîtriser les services Cloud auxquels ils souscrivent. Il est, tout de même, nécessaire de constater que le document ne précise pas des sanctions seront émises à l’encontre des entreprises ou sous-traitants ne le respectant pas, contrairement au RGPD dont les amendes ont certainement eu une incidence sur la mise en conformité des entreprises.
Alors, est-ce que cela suffira à faire en sorte que les sous-traitants joueront-ils le jeu ? Les paris sont ouverts !
ZOUARI Mehdi
Comentarios