Le Royaume-Uni désigne Microsoft, AWS, Google et Oracle comme tiers critiques du secteur financier, plaçant ces hyperscalers sous la supervision directe de la Banque d'Angleterre et de la FCA à compter du 13 juillet 2026.
En bref
- Le Royaume-Uni désigne officiellement Microsoft, AWS, Google et Oracle comme « tiers critiques » du secteur financier, avec entrée en vigueur le 13 juillet 2026.
- La Banque d'Angleterre, la Prudential Regulation Authority et la Financial Conduct Authority disposent désormais de pouvoirs directs de supervision, d'audit et d'injonction sur ces quatre hyperscalers.
- Cette mesure concerne deux tiers des établissements financiers britanniques et vise à prévenir une défaillance systémique liée à la concentration des services cloud.
Quand le cloud devient une affaire de stabilité financière nationale
Le 10 juillet 2026, le gouvernement britannique a franchi un cap réglementaire sans précédent en annonçant la désignation officielle de quatre géants technologiques en tant que Critical Third Parties (CTPs) pour le secteur financier. Les entités légales concernées sont Microsoft Ireland Operations Ltd, Amazon Web Services EMEA SARL, Google Cloud EMEA Ltd et Oracle Corporation UK Ltd. Cette désignation, qui prend effet le 13 juillet 2026, place pour la première fois des entreprises privées de cloud computing sous la supervision directe des régulateurs financiers britanniques — un événement sans équivalent dans l'histoire de la régulation numérique mondiale.
La base juridique de cette décision repose sur le Financial Services and Markets Act 2023, qui a introduit dans le droit britannique le cadre réglementaire des tiers critiques. Le Trésor britannique (HM Treasury) a conduit la procédure de désignation en coordination avec la Banque d'Angleterre, la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA). Ce triptyque de régulateurs exercera désormais une surveillance conjointe et permanente sur les services cloud fournis par ces quatre acteurs au secteur financier du Royaume-Uni.
Les chiffres justifient la démarche. Selon les régulateurs britanniques, Amazon, Google et Microsoft assurent à eux seuls 73 % des services cloud consommés par les établissements financiers du pays. Plus révélateur encore, deux tiers des entreprises du secteur — banques, assureurs, gestionnaires d'actifs, infrastructures de marché — font appel aux mêmes quatre fournisseurs cloud désormais désignés CTPs. Cette concentration extrême signifie qu'un incident majeur chez un seul d'entre eux pourrait déclencher une perturbation simultanée de l'ensemble du système financier britannique, mettant potentiellement en péril la stabilité des marchés, des dépôts bancaires et des opérations d'assurance.
Concrètement, le nouveau régime donne aux trois régulateurs des pouvoirs étendus et contraignants. Ils pourront collecter des informations détaillées sur les architectures et processus internes des CTPs, évaluer leur résilience opérationnelle, exiger des améliorations dans des délais imposés, et in fine émettre et faire appliquer des règles spécifiques au cadre CTP. En cas de défaillance avérée ou de non-conformité persistante, les régulateurs disposent de leviers allant au-delà du simple dialogue ou des recommandations — une rupture nette avec le modèle de supervision indirect qui prévalait jusqu'ici, où les banques étaient responsables de leurs fournisseurs mais ces derniers n'étaient soumis à aucune obligation directe vis-à-vis des autorités financières.
Les CTPs désignés devront démontrer en permanence la solidité de leurs dispositifs pour identifier, gérer et se relever d'éventuelles perturbations opérationnelles. Des rapports réguliers sur les incidents, les plans de continuité d'activité et les tests de résilience seront requis. La désignation impose aussi des obligations de transparence : tout changement matériel susceptible d'affecter la continuité des services pour les clients financiers devra être porté à la connaissance des régulateurs dans des délais prescrits. Ces obligations s'appliquent directement aux fournisseurs cloud, indépendamment des clauses contractuelles avec leurs clients.
La décision intervient dans un contexte marqué par plusieurs incidents retentissants. Les régulateurs citent des pannes notables de services cloud ayant provoqué des interruptions dans les opérations de banques et d'assureurs britanniques. En 2024, l'incident CrowdStrike-Microsoft avait mis en lumière la vulnérabilité systémique des infrastructures financières mondiales à une défaillance logicielle chez un prestataire unique. Ces événements ont considérablement accéléré le processus législatif qui a abouti au Financial Services and Markets Act 2023 et, trois ans plus tard, à ces premières désignations de CTPs.
Cette initiative britannique s'inscrit dans une tendance réglementaire de fond à l'échelle internationale. En Europe, le règlement DORA (Digital Operational Resilience Act), entré en vigueur en janvier 2025, impose des exigences de résilience opérationnelle similaires aux entités financières de l'UE et à leurs prestataires technologiques critiques. La désignation britannique va cependant plus loin que DORA sur un point clé : elle confère aux régulateurs des pouvoirs directs sur les fournisseurs eux-mêmes, et pas seulement sur les entités financières qui les utilisent. D'autres pays, dont l'Australie et Singapour, examinent des mécanismes analogues dans leurs propres cadres de régulation financière.
Du côté des entreprises concernées, aucune n'a formellement contesté la désignation dans l'immédiat. Microsoft, AWS, Google et Oracle participaient déjà aux groupes de travail consultatifs mis en place par le Trésor avant la finalisation du cadre réglementaire. Les acteurs du secteur financier britannique ont globalement accueilli favorablement cette mesure, estimant qu'elle crée un terrain de jeu plus prévisible et que la supervision réglementaire directe des hyperscalers renforce la confiance dans l'usage du cloud pour les opérations financières sensibles, notamment en clarifiant les responsabilités en cas d'incident majeur.
Un précédent mondial qui va redessiner la gouvernance des hyperscalers
La désignation de Microsoft, AWS, Google et Oracle en tant que tiers critiques pour le secteur financier britannique marque un tournant dans la gouvernance numérique mondiale. Pour la première fois dans une grande économie, des fournisseurs de cloud privés se voient imposer des obligations de conformité et de supervision directement par des régulateurs financiers — sans passer par l'intermédiaire contractuel de leurs clients. Ce précédent est susceptible d'inspirer d'autres juridictions qui observent avec attention l'évolution du droit britannique, notamment les États-Unis, l'Australie, Singapour et le Canada, qui examinent tous des mécanismes analogues pour leurs propres secteurs financiers.
Pour les responsables de la sécurité et de la conformité des entreprises financières françaises et européennes, cette décision a des implications pratiques concrètes. Le cadre britannique crée une jurisprudence utile pour les équipes juridiques qui cherchent à renforcer les clauses de résilience, de droit d'audit et de continuité dans leurs SLA cloud — des éléments que le règlement DORA impose déjà aux entités financières de l'Union européenne depuis janvier 2025, mais avec des mécanismes d'enforcement principalement orientés vers les entités financières elles-mêmes plutôt que vers leurs fournisseurs.
Sur le plan de la concentration des risques, le chiffre de 73 % de services cloud fournis par trois acteurs à l'ensemble du secteur financier britannique illustre une réalité que vivent également la plupart des secteurs critiques en France — santé, énergie, défense, télécommunications — où la dépendance aux hyperscalers américains crée des risques de défaillance corrélée. Les autorités sectorielles françaises, notamment l'ACPR et l'ANSSI, surveillent de près ce type d'initiative pour adapter leur propre doctrine de supervision. La Stratégie Cloud de la Commission européenne et les travaux sur le futur Cyber Resilience Act s'inscrivent dans cette même logique de réduction de la dépendance systémique.
Enfin, pour les fournisseurs cloud eux-mêmes, cette désignation inaugure une relation fondamentalement différente avec les régulateurs financiers. Jusqu'ici, Microsoft, AWS et Google n'étaient responsables que contractuellement vis-à-vis de leurs clients. Désormais, ils doivent aussi rendre compte à des autorités publiques dotées de pouvoirs contraignants, y compris la capacité d'imposer des règles et de sanctionner les manquements. Cette évolution structurelle — la régulation directe des hyperscalers — devrait s'intensifier dans les prochaines années, à mesure que d'autres secteurs adoptent des cadres similaires. Les entreprises qui dépendent de ces fournisseurs ont tout intérêt à anticiper des exigences de due diligence et de gouvernance cloud renforcées dans leurs relations contractuelles.
Ce qu'il faut retenir
- Microsoft Ireland, AWS EMEA, Google Cloud EMEA et Oracle UK sont désignés Critical Third Parties du secteur financier britannique à compter du 13 juillet 2026, sous supervision conjointe de la Banque d'Angleterre, de la PRA et de la FCA.
- Ce régime confère aux régulateurs des pouvoirs directs d'audit, d'information et d'injonction sur ces fournisseurs — un précédent mondial dans la régulation des hyperscalers cloud.
- Pour les RSSI et DSI du secteur financier, c'est l'occasion de réviser les SLA cloud, les clauses d'audit et les plans de continuité avec ces fournisseurs désormais soumis à des obligations réglementaires formelles.
Qu'est-ce qu'un Critical Third Party (CTP) au Royaume-Uni et quelles obligations cela implique-t-il ?
Un CTP est une entité désignée par le Trésor britannique dont la défaillance ou la perturbation pourrait avoir un impact systémique sur la stabilité du secteur financier. La désignation confère aux régulateurs (Banque d'Angleterre, PRA, FCA) des pouvoirs directs de collecte d'informations, d'évaluation de la résilience, d'émission de règles contraignantes et de sanction. Les CTPs doivent fournir des rapports réguliers sur leurs incidents et plans de continuité, et notifier tout changement matériel susceptible d'affecter leurs services aux clients financiers — obligations qui s'appliquent directement au fournisseur, pas uniquement via ses clients.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Claude Science : Anthropic entre dans la R&D pharmaceutique
Anthropic lance Claude Science, une plateforme IA intégrant 60+ outils scientifiques pour la recherche pharmaceutique, et annonce un programme interne de découverte de médicaments pour maladies négligées.
HSIN compromis : le DHS confirme une brèche sur son réseau
Le DHS confirme une intrusion sur HSIN, son réseau sensible de partage d'informations sécuritaires, survenue entre fin mai et début juin 2026, à quelques semaines de la finale de la Coupe du Monde FIFA 2026.
FortiSandbox CVE-2026-25089 et CVE-2026-26083 : double CVSS 9.8 avec PoC public, exploitation active confirmée
FortiSandbox cumule deux vulnérabilités CVSS 9.8 exploitées activement : CVE-2026-25089 (injection de commandes OS non-authentifiée via WEB UI) et CVE-2026-26083 (autorisation manquante). PoC public disponible. Advisory FG-IR-26-141.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire