L’Union européenne vient de classer Amazon Web Services et Google Cloud parmi les fournisseurs « critiques » pour la finance. Derrière ce label qu’on pourrait trouver inquiétant, une question s’impose : quel niveau de dépendance au cloud les banques peuvent-elles vraiment se permettre ?
DORA, un tournant pour les géants du cloud
Avec le Digital Operational Resilience Act (DORA), les superviseurs financiers européens s’octroient un pouvoir direct sur certains prestataires technologiques. Au total, ce sont dix-neuf groupes qui sont concernés, dont AWS, Google Cloud, Microsoft, IBM, Bloomberg, LSEG, Orange ou encore Tata.
Concrètement, ces acteurs deviennent donc des « prestataires tiers critiques » pour l’infrastructure informatique des banques, assureurs et gestionnaires d’actifs. Le trio EBA–EIOPA–ESMA pourra être amené à auditer leurs dispositifs de risques, exiger des plans de remédiation, voire leur imposer des mesures correctrices en cas de failles répétées.
Les autorités répondent ainsi à un risque bien identifié, associé à une réalité criante : une part croissante des systèmes bancaires vit dans les data centers de quelques hyperscalers. Sachant cela, on comprend qu’une panne majeure, ou un incident cyber (comme un piratage) sur une « région cloud », pourrait paralyser une large portion du système financier européen.
The European Supervisory Authorities (#EBA, #EIOPA , @ESMAComms) have published the list of designated critical ICT third-party providers under #DORA.
This is a key milestone in strengthening the EU financial sector’s operational resilience.
More here ➡️ https://t.co/L2IqQoYMMG pic.twitter.com/47ZVqsI1oI— EU Banking Authority – EBA 🇪🇺 (@EBA_News) November 18, 2025
Le risque de concentration, talon d’Achille de la finance numérisée
Pour y répondre, DORA entend donc imposer aux établissements d’identifier leurs dépendances critiques, de tester leurs plans de continuité et de prévoir des stratégies d’« exit ». Car désormais, aux yeux des comités de risques et les conseils d’administration, la résilience opérationnelle devient un enjeu aussi structurant que les ratios de solvabilité.
Toutefois, ce nouveau cadre ne supprime en rien la concentration elle-même. En effet, les trois principaux fournisseurs de cloud concentrent encore l’essentiel des workloads financiers, face à des alternatives européennes qui restent encore modestes. Et si la supervision limite les dégâts potentiels, elle ne recrée pas, à elle seule, une salutaire redondance.
De la résilience des banques à celle des investisseurs
Ce débat touche aussi, évidemment, l’écosystème crypto. Car il faut reconnaître qu’une part croissante de l’infrastructure d’échange et de garde d’actifs numériques repose sur les mêmes clouds que la finance traditionnelle. Nous l’avons couvert dans de nombreux articles : les frontières entre FinTech, TradFi et crypto deviennent de plus en plus poreuses.
Ainsi, quand un exchange centralisé ou un dépositaire institutionnel dépend du même fournisseur cloud qu’une banque systémique, le “single point of failure” se déplace, mais ne disparaît pas. Et c’est précisément ce paradoxe que DORA tente de rendre gérable au niveau macro-prudentiel, via davantage de reporting, de tests et d’inspections ciblées.
Du côté des investisseurs, on peut retrouver ici une leçon familière : éviter de concentrer toute son exposition sur un seul intermédiaire ou une seule brique technologique. Le fait de diversifier ses positions entre banques, courtiers, plateformes régulées et solutions on-chain revient à construire son propre plan de continuité d’activité.
Dans un tel contexte, la self-custody reprend une dimension que certains appelaient de leur vœux il y a déjà quelques années. Ainsi, détenir une partie de ses BTC sur un wallet non-dépositaire, hors de tout compte bancaire et de tout exchange, devient une forme de résilience opérationnelle personnelle face aux risques de panne, de gel ou de censure.
Self-custody : la logique DORA appliquée à l’échelle individuelle
Cette même logique se retrouve dans l’essor des solutions de self-custody et des crypto-néobanques. Comme l’expliquait notre article sur les crypto-banques et l’offensive self-custody, les offres combinant paiements, rendement et garde directe des clés se multiplient.
Certes, on doit bien admettre que tout le monde n’est pas prêt à gérer seul une seed phrase. Toutefois, il est tout aussi évident que la possibilité d’extraire ses avoirs d’un exchange ou d’une banque vers un wallet autonome reste un garde-fou précieux, notamment en cas de stress de marché ou de cyberattaque.
En filigrane, le message de Bruxelles est clair. La finance ne peut plus se permettre d’ignorer les risques de concentration structurelle, qu’ils concernent le cloud, les prestataires IT ou les infrastructures de paiement. Et les investisseurs individuels gagneraient à appliquer le même raisonnement à leur propre architecture financière.
Sources
Sur le même sujet
Partager
