Ce que le Royaume-Uni a désigné le 13 juillet

Le changement paraît discret en surface et se révèle vaste en dessous. Le 4 juillet 2026, le Trésor britannique a formellement désigné quatre fournisseurs de cloud comme tiers critiques pour le système financier britannique, l'a annoncé le 10 juillet, et la supervision est entrée en vigueur le lundi 13 juillet. Les entités nommées sont Amazon Web Services EMEA SARL, Microsoft Ireland Operations Limited, Google Cloud EMEA Limited et Oracle Corporation UK Limited.

Le pouvoir est nouveau, l'inquiétude ne l'est pas. Les superviseurs craignent depuis des années qu'une poignée de fournisseurs soutienne désormais l'essentiel du système financier, mais jusqu'au Financial Services and Markets Act 2023 ils ne pouvaient surveiller que les banques, les assureurs et les établissements de paiement, jamais les fournisseurs dont ces derniers dépendent. La loi a créé le régime des tiers critiques précisément pour atteindre le fournisseur directement.

Depuis lundi, les trois superviseurs peuvent agir de concert. La Bank of England, la Prudential Regulation Authority et la Financial Conduct Authority peuvent désormais collecter des informations auprès des quatre fournisseurs, évaluer leur résilience opérationnelle, leur imposer des tests face à des scénarios graves mais plausibles, exiger des auto-évaluations régulières et recevoir les signalements de tout incident majeur susceptible de se propager dans la finance britannique.

Superviser votre fournisseur n'est pas assumer votre risque

La phrase la plus importante de l'annonce est celle qui ne transfère rien. La désignation n'est pas un agrément. Les superviseurs surveillent la résilience des services que ces fournisseurs vendent, ils ne certifient pas les fournisseurs et n'assument pas le risque. Si votre charge de travail s'éteint parce qu'une région tombe, la responsabilité pèse toujours sur votre entreprise, qui a choisi le fournisseur, l'architecture et le plan de reprise.

Sarah Breeden, sous-gouverneure de la Banque chargée de la stabilité financière, en a exposé la raison sans détour. À mesure que les tiers critiques s'enracinent plus profondément dans les institutions financières, a-t-elle noté, ils peuvent introduire de nouvelles formes de risque systémique. Le régime cherche à voir ce risque à la source, non à le retirer des comptes d'une entreprise donnée.

C'est sur cette distinction que les dirigeants lisent mal la nouvelle. Un titre de désignation sonne comme un soulagement, comme si quelqu'un de plus grand possédait désormais le problème. C'est l'inverse. Le seuil de votre propre gestion du risque fournisseur, de votre plan de sortie et de votre cartographie de concentration vient de monter, car il existe désormais une norme supervisée à laquelle votre propre superviseur peut vous mesurer.

La concentration devient une catégorie officielle

Le signal de fond, c'est ce que l'État a désormais consigné. En nommant quatre fournisseurs dont le siège est aux États-Unis comme systémiquement critiques, le Royaume-Uni a acté formellement que sa plomberie financière repose sur un très petit nombre de fournisseurs étrangers. Ce n'est plus une diapositive en comité des risques, c'est une désignation dotée d'une force juridique.

La même logique est déjà en vigueur de l'autre côté de la Manche. Le règlement européen sur la résilience opérationnelle numérique, connu sous le nom de DORA, a créé un régime de supervision presque identique pour les tiers critiques des TIC, piloté par les Autorités européennes de surveillance. En France, l'ACPR pose des questions comparables, et une entreprise active des deux côtés fait face à deux superviseurs avec les deux mêmes questions: à quel point êtes-vous concentré, et pouvez-vous partir.

Les arguments de souveraineté et de multicloud cessent ici d'être théoriques. La raison de garder une voie éprouvée hors d'un seul hyperscaler reposait auparavant sur le principe et sur le levier d'achat. Elle repose désormais aussi sur une norme de résilience qu'un superviseur peut inspecter, ce qui fait passer la discussion interne de la préférence à la conformité.

Ce qu'il faut régler avant que le superviseur ne demande

Traitez la désignation comme une échéance que vous vous fixez vous-même. Cartographiez lesquelles de vos charges critiques reposent sur lequel des quatre fournisseurs, consignez la concentration honnêtement et répétez la sortie au lieu de la présumer. Un plan de reprise jamais éprouvé contre une défaillance grave mais plausible est un document, pas une capacité, et c'est justement la faille qu'un superviseur est formé à trouver.

Les entreprises qui paraissent sereines lors d'un audit sont celles qui connaissent déjà leur réponse. Elles savent nommer leurs points de défaillance uniques, montrer une voie éprouvée hors de chacun et prouver que le conseil a débattu de la concentration avant qu'un superviseur ne la soulève. La désignation n'a pas créé ce travail, elle en a rendu l'absence visible.