reuters.com détecté sur le web

Londres classe AWS, Microsoft, Google, Oracle tiers critiques

TL;DR

  • HM Treasury désigne Microsoft Ireland Operations Ltd, Google Cloud EMEA Ltd, Amazon Web Services EMEA SARL et Oracle Corporation UK Ltd comme « critical third parties » du système financier.
  • La Bank of England, la Prudential Regulation Authority et la Financial Conduct Authority débuteront la supervision le lundi 13 juillet 2026.
  • Les quatre fournisseurs devront tester leur résilience, mener des auto-évaluations régulières et signaler tout incident majeur touchant les services financiers.

Le Trésor britannique désigne nommément quatre entités du cloud comme « critical third parties » du système financier : Microsoft Ireland Operations Ltd, Google Cloud EMEA Ltd, Amazon Web Services EMEA SARL et Oracle Corporation UK Ltd. La supervision directe, rapportée par Reuters, commence le lundi 13 juillet 2026 sous la conduite de la Bank of England, de la Prudential Regulation Authority et de la Financial Conduct Authority.

Ce que l'annonce dit exactement, et ce qu'elle ne dit pas, mérite d'être séparé. Les régulateurs n'ont pas vocation à superviser toute l'activité d'AWS ou de Microsoft, mais uniquement les services que ces sociétés fournissent au secteur financier. Selon la Bank of England, les quatre désignés devront maintenir des systèmes capables d'identifier, gérer et récupérer les incidents affectant les services utilisés par les institutions financières, avec tests de résilience, auto-évaluations régulières et signalement des incidents majeurs.

L'enjeu affiché est la stabilité systémique. Le communiqué officiel le pose sans détour : à mesure que banques, assureurs et infrastructures de marché deviennent dépendants du cloud, une panne chez un fournisseur peut toucher plusieurs acteurs en même temps, avec des conséquences pour des millions de consommateurs et d'entreprises britanniques. C'est ce raisonnement qui justifie de traiter la couche cloud comme un maillon prudentiel à part entière, plutôt qu'un simple risque contractuel dispersé entre chaque banque.

Le honnête caveat : le barème précis de sanctions applicables aux quatre désignés n'apparaît pas dans les communications rendues publiques cette semaine. Les régulateurs indiquent pouvoir collecter de l'information, évaluer la résilience opérationnelle et, si nécessaire, introduire ou imposer des règles spécifiques aux CTP, mais l'articulation avec le régime européen DORA, qui a désigné 19 fournisseurs en novembre 2025, reste à préciser. Pour les groupes paneuropéens, cela laisse planer deux dispositifs de reporting sur le même socle technique.

Pour les DSI et directions des risques régulés à Londres, le déclic est concret : un incident cloud devient un événement suivi par le superviseur prudentiel, plus seulement une affaire contractuelle entre client et fournisseur. Google Cloud, cité dans la couverture, y voit un cadre qui « peut renforcer la résilience à long terme de l'écosystème financier britannique ». Reste à voir si les autres désignés répondront dans le même registre, ou si l'arrivée d'un régulateur direct au niveau de l'infrastructure modifiera discrètement le rapport de force avec leurs clients bancaires.