Azure s'ouvre grand le coffre des services financiers européens
En signant un contrat avec l'opérateur de marchés Deutsche Börse, suite à un audit collectif conforme à la règlementation allemande et européenne, Microsoft va pouvoir proposer son cloud à tout le secteur financier, très lucratif mais très règlementé, du Vieux Continent.
Deutsche Börse Group est l'une des plus grandes organisations d'échanges financiers au monde. Il opère plusieurs marchés sur la planète sur lesquels les traders achètent et vendent des actions, des produits dérivés et autres instruments financiers. Deutsche Börse diffuse les données générées par ses plateformes de négociation en publiant ses propres indices comme le DAX ou STOXX. Il fournit également à ses clients des services post-marché, comme le règlement et la livraison (settlement), via sa filiale Clearstream, ainsi que des solutions informatiques. En un mot, c'est un des gros concurrents d'Euronext et du New-York Stock Exchange.
Deutsche Börse et Microsoft ont fait savoir aujourd'hui qu'ils avaient franchi une « étape importante » (« a significant milestone ») pour l'adoption des services cloud dans le secteur des services financiers en signant un contrat de collaboration.
Azure compatible avec les workloads financiers réglementés européens
Avec cet accord, les deux partenaires affirment en effet avoir fixé de nouvelles normes contractuelles pour les services financiers en Europe. Ces normes devraient permettent la migration et le déploiement de workloads réglementés sur le cloud européen de Microsoft.
Conséquence, Deutsche Börse utilisera à présent Azure et Microsoft 365 (qui regroupe Office 365, Windows 10 et Enterprise Mobility + Security).
« Les workloads réglementés sont les services qui sont habituellement fournis par les institutions financières elles-mêmes et qui sont considérés comme essentiels à leurs activités principales. L'exploitation de ces workloads dans un environnement cloud exige le respect des réglementations nationales et européennes », explique Deutsche Börse pour mieux resituer le contexte de cet accord. « Le contrat conclu entre Deutsche Börse et Microsoft répond à ces exigences réglementaires ».
En particulier, en vertu de cette réglementation, les institutions financières de l'Union Européenne sont tenues de garantir des droits d'audit illimités aux organismes régulateurs.
Cette capacité d'effectuer des audits doit être assurée même lorsqu'elles sous-traiteraient à des prestataires cloud. Or les conditions de ces audits sont particulièrement drastiques.
Des règles allemandes d'audit sans concession
Dans le cadre de l'accord, Microsoft a, a priori, accepté les règles allemandes de la BaFin (l'autorité fédérale de supervision financière du pays) pour être certifié.
Une de ces règles stipule clairement que « le contrat d'externalisation doit garantir à la BaFin des droits illimités d'information et d'audit (...), la capacité de la BaFin à contrôler les fournisseurs de services cloud de la même manière qu'elle supervise les entités contrôlées », et que comme le prévoit la loi, cela peut « passer par des inspections sur site ».
Dit autrement, Microsoft a ouvert en grand les porte d'Azure pour s'ouvrir le coffre du marché des services financiers.
Une autre exigence légale est que « l'institution qui externalise (NDR : le client cloud) doit avoir la possibilité d'influer sur l'étendue de l'information et de l'audit ». En clair, c'est le client ou le régulateur qui fixe l'étendue et les règles de son audit. Le prestataire cloud ne peut s'opposer à ses exigences et doit obtempérer.
Dans la continuité de cette forte exigence, la BaFin n'accepte aucun type de restriction dans les clauses contractuelles commerciales. Pour elle, toute forme de restriction serait tout simplement non conforme au MaRisk (exigences minimales pour la gestion des risques en Allemagne) et aux Europen Banking Auhtorities Recommendations on Outsourcing to Cloud Service Providers (PDF).
Parmi ces clauses rédhibitoires, l'audit ne peut être subordonné à la notion de « caractère commercialement raisonnable ». L'obligation contractuelle de s'appuyer en premier lieu sur des rapports d'audit standardisés mis à disposition par les fournisseurs cloud constitue également une « restriction inadmissible des droits à l'information et à l'audit ».
En revanche, la BaFin accepte des audits groupés pour rendre la procédure plus efficace. Les audits en commun peuvent alors être effectués par la fonction d'audit interne des institutions qui sous-traitent, ou par une tierce partie mandatée par ces institutions - au choix.
C'est un de ces groupes d'audit que Deutsche Börse a lancé en 2017 avec le Collaborative Cloud Audit Group (CCAG). « Le groupe d'audit effectue des audits de manière collective, ce qui réduit considérablement les efforts des institutions financières et des fournisseurs de services cloud », avance Deutsche Börse. « Cette initiative à l'échelle de l'industrie est menée par de grandes institutions financières et des compagnies d'assurance de l'Union Européeen », ajoute l'opérateur de marchés, sans plus de précisions sur les noms des participants au CCAG.
Résultat de cette initiative, le premier audit en commun sur Microsoft Azure a été mené à bien en 2018. Le GCSC et Microsoft ajoutent qu'ils effectueront ces vérifications communes sur une base annuelle.
Fenêtre vers le cloud pour Deutsche Börse
« Le cloud jette les bases pour les initiatives technologiques majeures de la feuille de route 2020 du groupe Deutsche Börse », s'est réjoui Christoph Böhm, membre du Directoire de la Deutsche Börse, lors de l'annonce du contrat. « Avec Microsoft en partenaire solide, nous sommes impatients d'accélérer l'adoption du cloud, aussi bien pour nous en tant qu'entreprise que pour nos clients ». Car Deutsche Börse est aussi éditeur (lire ci-après) et prestataire de services.
Deutsche Börse ne dit pas exactement ce qu'il utilisera dans Azure. Mais le sous-texte du communiqué laisse penser qu'il utilisera à peu près tout. Le IaaS, puisque sont évoqués le « provisioning instantané » et la « poursuite de l'automatisation du provisioning de l'infrastructure ». Le SaaS avec « les solutions de bureautique cloud ». Et le PaaS - qui devrait également faire partie de la feuille de route - avec les capacités que procurent « des centaines de services facilement disponibles ».
Les Workloads SAP en 2019. La blockchain, le Big Data et l'IA demain
Dans un premier temps, sur 2019, Deutsche Börse a décidé qu'il allait accélérer la migration de ses workloads SAP (développement et test des applications métier) vers le cloud.
Les premiers workloads réglementés, c'est à dire les services coeur de la diffusion des données financières, devraient suivre dans un deuxième temps, « en étroite collaboration avec les autorités réglementaires compétentes », s'empresse d'ajouter l'opérateur de marchés.
Azure devrait également être utilisé à moyen terme par Deutsche Börse pour tester et essayer la blockchain, faire de l'analytique Big Data et expérimenter le Machine Learning. « Tout cela s'inscrit dans le cadre de l'orientation stratégique du Groupe vers ces nouvelles technologies », commente la société.
Microsoft peut viser toutes les entreprises européennes du secteur financier
De son côté, Microsoft est évidemment ravi des résultats de cet audit et du premier contrat qui s'ensuit aujourd'hui.
Sabine Bendiek, Managing Director de Microsoft Allemagne, voit en « cette étape avec Deutsche Börse un signal important pour l'adoption du cloud dans l'ensemble de l'industrie financière et d'autres industries avec des workloads réglementés. Grâce à notre approche commune, Deutsche Börse et Microsoft permettent à toutes les entreprises du secteur financier européen d'utiliser pleinement les services cloud ».
Pour mémoire, et toujours dans cette optique de cloudification, Deutsche Börse a acquis début avril Axioma, un éditeur SaaS de gestion de portefeuille et de gestion des risques, pour 850 millions de dollars. L'outil sera combiné avec son activité Indices, avait dit l'opérateur de marchés à l'époque du rachat.