En bref

  • Le Royaume-Uni désigne officiellement Microsoft, AWS, Google et Oracle comme « tiers critiques » du secteur financier, avec entrée en vigueur le 13 juillet 2026.
  • La Banque d'Angleterre, la Prudential Regulation Authority et la Financial Conduct Authority disposent désormais de pouvoirs directs de supervision, d'audit et d'injonction sur ces quatre hyperscalers.
  • Cette mesure concerne deux tiers des établissements financiers britanniques et vise à prévenir une défaillance systémique liée à la concentration des services cloud.

Quand le cloud devient une affaire de stabilité financière nationale

Le 10 juillet 2026, le gouvernement britannique a franchi un cap réglementaire sans précédent en annonçant la désignation officielle de quatre géants technologiques en tant que Critical Third Parties (CTPs) pour le secteur financier. Les entités légales concernées sont Microsoft Ireland Operations Ltd, Amazon Web Services EMEA SARL, Google Cloud EMEA Ltd et Oracle Corporation UK Ltd. Cette désignation, qui prend effet le 13 juillet 2026, place pour la première fois des entreprises privées de cloud computing sous la supervision directe des régulateurs financiers britanniques — un événement sans équivalent dans l'histoire de la régulation numérique mondiale.

La base juridique de cette décision repose sur le Financial Services and Markets Act 2023, qui a introduit dans le droit britannique le cadre réglementaire des tiers critiques. Le Trésor britannique (HM Treasury) a conduit la procédure de désignation en coordination avec la Banque d'Angleterre, la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA). Ce triptyque de régulateurs exercera désormais une surveillance conjointe et permanente sur les services cloud fournis par ces quatre acteurs au secteur financier du Royaume-Uni.

Les chiffres justifient la démarche. Selon les régulateurs britanniques, Amazon, Google et Microsoft assurent à eux seuls 73 % des services cloud consommés par les établissements financiers du pays. Plus révélateur encore, deux tiers des entreprises du secteur — banques, assureurs, gestionnaires d'actifs, infrastructures de marché — font appel aux mêmes quatre fournisseurs cloud désormais désignés CTPs. Cette concentration extrême signifie qu'un incident majeur chez un seul d'entre eux pourrait déclencher une perturbation simultanée de l'ensemble du système financier britannique, mettant potentiellement en péril la stabilité des marchés, des dépôts bancaires et des opérations d'assurance.

Concrètement, le nouveau régime donne aux trois régulateurs des pouvoirs étendus et contraignants. Ils pourront collecter des informations détaillées sur les architectures et processus internes des CTPs, évaluer leur résilience opérationnelle, exiger des améliorations dans des délais imposés, et in fine émettre et faire appliquer des règles spécifiques au cadre CTP. En cas de défaillance avérée ou de non-conformité persistante, les régulateurs disposent de leviers allant au-delà du simple dialogue ou des recommandations — une rupture nette avec le modèle de supervision indirect qui prévalait jusqu'ici, où les banques étaient responsables de leurs fournisseurs mais ces derniers n'étaient soumis à aucune obligation directe vis-à-vis des autorités financières.

Les CTPs désignés devront démontrer en permanence la solidité de leurs dispositifs pour identifier, gérer et se relever d'éventuelles perturbations opérationnelles. Des rapports réguliers sur les incidents, les plans de continuité d'activité et les tests de résilience seront requis. La désignation impose aussi des obligations de transparence : tout changement matériel susceptible d'affecter la continuité des services pour les clients financiers devra être porté à la connaissance des régulateurs dans des délais prescrits. Ces obligations s'appliquent directement aux fournisseurs cloud, indépendamment des clauses contractuelles avec leurs clients.

La décision intervient dans un contexte marqué par plusieurs incidents retentissants. Les régulateurs citent des pannes notables de services cloud ayant provoqué des interruptions dans les opérations de banques et d'assureurs britanniques. En 2024, l'incident CrowdStrike-Microsoft avait mis en lumière la vulnérabilité systémique des infrastructures financières mondiales à une défaillance logicielle chez un prestataire unique. Ces événements ont considérablement accéléré le processus législatif qui a abouti au Financial Services and Markets Act 2023 et, trois ans plus tard, à ces premières désignations de CTPs.

Cette initiative britannique s'inscrit dans une tendance réglementaire de fond à l'échelle internationale. En Europe, le règlement DORA (Digital Operational Resilience Act), entré en vigueur en janvier 2025, impose des exigences de résilience opérationnelle similaires aux entités financières de l'UE et à leurs prestataires technologiques critiques. La désignation britannique va cependant plus loin que DORA sur un point clé : elle confère aux régulateurs des pouvoirs directs sur les fournisseurs eux-mêmes, et pas seulement sur les entités financières qui les utilisent. D'autres pays, dont l'Australie et Singapour, examinent des mécanismes analogues dans leurs propres cadres de régulation financière.

Du côté des entreprises concernées, aucune n'a formellement contesté la désignation dans l'immédiat. Microsoft, AWS, Google et Oracle participaient déjà aux groupes de travail consultatifs mis en place par le Trésor avant la finalisation du cadre réglementaire. Les acteurs du secteur financier britannique ont globalement accueilli favorablement cette mesure, estimant qu'elle crée un terrain de jeu plus prévisible et que la supervision réglementaire directe des hyperscalers renforce la confiance dans l'usage du cloud pour les opérations financières sensibles, notamment en clarifiant les responsabilités en cas d'incident majeur.

Un précédent mondial qui va redessiner la gouvernance des hyperscalers

La désignation de Microsoft, AWS, Google et Oracle en tant que tiers critiques pour le secteur financier britannique marque un tournant dans la gouvernance numérique mondiale. Pour la première fois dans une grande économie, des fournisseurs de cloud privés se voient imposer des obligations de conformité et de supervision directement par des régulateurs financiers — sans passer par l'intermédiaire contractuel de leurs clients. Ce précédent est susceptible d'inspirer d'autres juridictions qui observent avec attention l'évolution du droit britannique, notamment les États-Unis, l'Australie, Singapour et le Canada, qui examinent tous des mécanismes analogues pour leurs propres secteurs financiers.

Pour les responsables de la sécurité et de la conformité des entreprises financières françaises et européennes, cette décision a des implications pratiques concrètes. Le cadre britannique crée une jurisprudence utile pour les équipes juridiques qui cherchent à renforcer les clauses de résilience, de droit d'audit et de continuité dans leurs SLA cloud — des éléments que le règlement DORA impose déjà aux entités financières de l'Union européenne depuis janvier 2025, mais avec des mécanismes d'enforcement principalement orientés vers les entités financières elles-mêmes plutôt que vers leurs fournisseurs.

Sur le plan de la concentration des risques, le chiffre de 73 % de services cloud fournis par trois acteurs à l'ensemble du secteur financier britannique illustre une réalité que vivent également la plupart des secteurs critiques en France — santé, énergie, défense, télécommunications — où la dépendance aux hyperscalers américains crée des risques de défaillance corrélée. Les autorités sectorielles françaises, notamment l'ACPR et l'ANSSI, surveillent de près ce type d'initiative pour adapter leur propre doctrine de supervision. La Stratégie Cloud de la Commission européenne et les travaux sur le futur Cyber Resilience Act s'inscrivent dans cette même logique de réduction de la dépendance systémique.

Enfin, pour les fournisseurs cloud eux-mêmes, cette désignation inaugure une relation fondamentalement différente avec les régulateurs financiers. Jusqu'ici, Microsoft, AWS et Google n'étaient responsables que contractuellement vis-à-vis de leurs clients. Désormais, ils doivent aussi rendre compte à des autorités publiques dotées de pouvoirs contraignants, y compris la capacité d'imposer des règles et de sanctionner les manquements. Cette évolution structurelle — la régulation directe des hyperscalers — devrait s'intensifier dans les prochaines années, à mesure que d'autres secteurs adoptent des cadres similaires. Les entreprises qui dépendent de ces fournisseurs ont tout intérêt à anticiper des exigences de due diligence et de gouvernance cloud renforcées dans leurs relations contractuelles.

Ce qu'il faut retenir

  • Microsoft Ireland, AWS EMEA, Google Cloud EMEA et Oracle UK sont désignés Critical Third Parties du secteur financier britannique à compter du 13 juillet 2026, sous supervision conjointe de la Banque d'Angleterre, de la PRA et de la FCA.
  • Ce régime confère aux régulateurs des pouvoirs directs d'audit, d'information et d'injonction sur ces fournisseurs — un précédent mondial dans la régulation des hyperscalers cloud.
  • Pour les RSSI et DSI du secteur financier, c'est l'occasion de réviser les SLA cloud, les clauses d'audit et les plans de continuité avec ces fournisseurs désormais soumis à des obligations réglementaires formelles.

Qu'est-ce qu'un Critical Third Party (CTP) au Royaume-Uni et quelles obligations cela implique-t-il ?

Un CTP est une entité désignée par le Trésor britannique dont la défaillance ou la perturbation pourrait avoir un impact systémique sur la stabilité du secteur financier. La désignation confère aux régulateurs (Banque d'Angleterre, PRA, FCA) des pouvoirs directs de collecte d'informations, d'évaluation de la résilience, d'émission de règles contraignantes et de sanction. Les CTPs doivent fournir des rapports réguliers sur leurs incidents et plans de continuité, et notifier tout changement matériel susceptible d'affecter leurs services aux clients financiers — obligations qui s'appliquent directement au fournisseur, pas uniquement via ses clients.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact