SAMA Cloud Computing Framework : Mise en œuvre des exigences d’hébergement local pour les institutions financières

Les institutions financières opérant en Arabie saoudite doivent respecter des exigences strictes en matière de souveraineté des données, imposées par le Cloud Computing Framework de la Banque centrale saoudienne (SAMA). Les exigences d’hébergement sur le territoire obligent les banques, prestataires de paiement et fintechs à concevoir une infrastructure garantissant que les données sensibles des clients restent dans les frontières nationales, tout en assurant la résilience opérationnelle et la conformité réglementaire. Ces obligations se traduisent par des exigences techniques, opérationnelles et de gouvernance concrètes qui ont un impact direct sur l’architecture cloud, le choix des fournisseurs, les processus de gouvernance des données et la préparation aux audits.

Cet article explique comment les responsables sécurité et IT peuvent traduire les exigences d’hébergement sur le territoire de la SAMA en contrôles techniques défendables, politiques de gouvernance des données et workflows sécurisés de circulation des données. Vous découvrirez quelles classifications de données déclenchent des obligations de résidence, comment concevoir des environnements multi-cloud et hybrides conformes, et comment appliquer des contrôles contextuels pour empêcher toute sortie non autorisée de données tout en permettant la collaboration internationale nécessaire.

Résumé exécutif

Le Cloud Computing Framework de la SAMA définit des standards obligatoires de résidence, de souveraineté et de protection des données pour les entités financières réglementées. Les exigences d’hébergement sur le territoire imposent que les données sensibles des clients, les enregistrements de transactions et les informations critiques pour l’activité résident sur une infrastructure physiquement localisée en Arabie saoudite. Ces règles s’appliquent que les institutions exploitent leurs propres data centers, utilisent des régions cloud publiques ou s’appuient sur des prestataires de services managés. La conformité exige des choix d’architecture qui équilibrent les obligations de souveraineté avec la continuité d’activité, la reprise après sinistre et la collaboration sécurisée avec des partenaires internationaux. Les organisations doivent mettre en place des contrôles techniques qui imposent la résidence au niveau des données et fournir des preuves auditables que les contenus sensibles ne transitent ni ne résident hors des juridictions approuvées sans autorisation réglementaire explicite et mesures de chiffrement adaptées.

Résumé de

• Point clé 1 : Les exigences d’hébergement sur le territoire de la SAMA s’appliquent à toutes les institutions financières réglementées et couvrent les données clients, les enregistrements de transactions et les informations critiques pour l’activité. Les choix d’infrastructure, la sélection des régions cloud et les workflows de circulation des données doivent être alignés sur ces obligations pour éviter tout risque de sanction.

• Point clé 2 : La conformité impose des contrôles au niveau des données, et non de simples engagements d’infrastructure. Les organisations doivent suivre et contrôler les déplacements des contenus sensibles, les accès et les éventuels franchissements de frontières, que l’infrastructure soit sur site ou dans le cloud.

• Point clé 3 : Les architectures hybrides et multi-cloud introduisent des flux de données transfrontaliers nécessitant chiffrement, contrôles d’accès et journalisation immuable. Les violations de résidence surviennent souvent lors des sauvegardes, réplications ou collaborations, plus que lors des opérations de stockage primaire.

• Point clé 4 : La préparation aux audits repose sur une surveillance continue et la centralisation des preuves. Les examinateurs de la SAMA attendent des journaux détaillés indiquant où résident les données, comment elles circulent, qui a autorisé les exceptions et quels contrôles empêchent toute sortie non autorisée.

• Point clé 5 : Pour collaborer en toute sécurité avec des partenaires, filiales et fournisseurs internationaux, il faut des contrôles contextuels qui appliquent les politiques de résidence sans bloquer les workflows métier légitimes. L’architecture Zero trust et les canaux chiffrés permettent des partages transfrontaliers conformes lorsque cela s’avère nécessaire.

Comprendre le mandat d’hébergement sur le territoire de la SAMA et les principes de souveraineté des données

Le Cloud Computing Framework de la SAMA érige la souveraineté des données en principe fondamental pour la résilience du secteur financier et la supervision réglementaire. Le cadre impose aux entités réglementées de conserver les copies principales des données sensibles sur une infrastructure localisée en Arabie saoudite, garantissant ainsi à la banque centrale l’autorité sur l’accès, l’inspection et l’application des règles. Ce mandat s’inscrit dans une tendance mondiale où les régulateurs revendiquent le contrôle des données générées sur leur territoire, notamment dans la banque, l’assurance et les paiements, où la confidentialité et la continuité opérationnelle sont essentielles à la stabilité économique nationale.

L’exigence d’hébergement sur le territoire n’interdit pas l’usage du cloud ou la collaboration internationale. La SAMA autorise explicitement le recours à des fournisseurs cloud publics et à des services managés, à condition que ces prestataires exploitent des data centers certifiés en Arabie saoudite et signent des accords opposables accordant à la SAMA un droit d’inspection et interdisant tout déplacement unilatéral de données.

Définir les données sensibles selon le cadre de la SAMA

Le cadre de la SAMA catégorise les données en plusieurs niveaux selon leur confidentialité, leur criticité opérationnelle et leur sensibilité réglementaire. Le niveau le plus élevé comprend les informations personnelles identifiables sur les clients, soldes de comptes, historiques de transactions, identifiants de paiement, décisions de crédit et évaluations internes des risques. Les données critiques pour l’activité, telles que les configurations des systèmes bancaires, les procédures de reprise après sinistre ou les journaux d’incidents de cybersécurité, sont également soumises à des exigences de résidence.

La classification des données n’est pas un exercice ponctuel. Les organisations doivent identifier en continu les contenus sensibles dans les bases de données structurées, les dépôts de fichiers non structurés, les systèmes de messagerie, les plateformes collaboratives et les archives de sauvegarde. Les erreurs de classification entraînent des violations de résidence lorsque des collaborateurs téléchargent par inadvertance des documents sensibles sur des espaces de stockage cloud non conformes ou les partagent avec des partenaires internationaux via des canaux non sécurisés. Une classification efficace repose sur des outils automatisés qui analysent les contenus au repos et en transit, appliquent des labels cohérents selon l’inspection du contenu et imposent les politiques de résidence dès la création ou le déplacement des données.

Localisation de l’infrastructure versus résidence des données

Une idée reçue consiste à croire que l’hébergement des workloads dans une région cloud basée en Arabie saoudite suffit à satisfaire les exigences de la SAMA. La localisation de l’infrastructure est nécessaire mais insuffisante. La résidence des données dépend de l’endroit où le contenu réside et transite réellement tout au long de son cycle de vie, y compris lors des sauvegardes, réplications, bascules de reprise après sinistre et opérations métier courantes. Les fournisseurs cloud publics proposent des services régionaux, mais beaucoup répliquent aussi des métadonnées de configuration, des journaux système ou de la télémétrie vers des plans de contrôle mondiaux situés hors d’Arabie saoudite.

Les organisations doivent vérifier que chaque composant du cycle de vie des données respecte les frontières de résidence. Cela inclut le maintien des sauvegardes chiffrées sur le territoire, la localisation des sites de reprise dans des juridictions approuvées et la garantie que la synchronisation ou la réplication ne copie pas automatiquement les contenus vers des régions internationales. Les contrats avec les fournisseurs cloud et les prestataires de services managés doivent comporter des clauses explicites de résidence des données, accorder un droit d’audit à la SAMA et interdire tout déplacement unilatéral de données sans approbation préalable du régulateur. Des contrôles techniques comme le géorepérage, les clés de chiffrement verrouillées par région et la segmentation réseau servent de garde-fous pour éviter toute violation involontaire de la résidence.

Concevoir des environnements cloud et hybrides conformes

La conception d’une architecture conforme commence par la cartographie des flux de données sur l’ensemble de la pile technologique. Les organisations doivent identifier l’origine des contenus sensibles, les systèmes qui les traitent ou les stockent, leurs déplacements entre environnements et les points de sortie du périmètre de l’organisation. Cette cartographie révèle des risques de résidence cachés, comme des pièces jointes envoyées à des partenaires internationaux, des fichiers téléchargés sur des clouds personnels par des employés à distance, ou des plateformes d’analytique tierces qui ingèrent des données de transaction.

Une fois les flux de données identifiés, les architectes peuvent concevoir des contrôles techniques imposant la résidence à chaque point de décision. La segmentation réseau isole les workloads sensibles dans des clouds privés virtuels dédiés avec des contrôles d’égresse stricts. Les pare-feux contextuels et les systèmes DLP inspectent le trafic sortant et bloquent les transferts non conformes. Le chiffrement avec gestion des clés sur le territoire garantit que même en cas de transit accidentel hors des frontières, les données restent illisibles sans accès aux clés détenues en Arabie saoudite.

Stratégies multi-cloud et gestion des fournisseurs

De nombreuses institutions financières adoptent des stratégies multi-cloud pour éviter l’enfermement propriétaire et optimiser les coûts. Les architectures multi-cloud sont complexes car chaque fournisseur a ses propres définitions régionales et pratiques de gestion des métadonnées. Les organisations doivent vérifier que la région Arabie saoudite de chaque fournisseur cloud répond aux standards de certification de la SAMA et que les fonctionnalités spécifiques ne répliquent pas silencieusement des données vers des régions mondiales.

La gestion des risques fournisseurs va au-delà des prestataires d’infrastructure cloud et inclut les éditeurs de logiciels, consultants et prestataires de processus métier. Les contrats doivent interdire explicitement tout déplacement de données hors des juridictions approuvées, imposer l’obligation d’informer l’institution avant tout changement de localisation des données et accorder un droit d’audit pour vérifier la conformité. Les organisations doivent tester régulièrement la conformité des fournisseurs via des audits de flux de données et des analyses de trafic réseau. En cas de non-conformité d’un fournisseur, la responsabilité incombe directement à l’institution réglementée, d’où l’importance d’une vigilance et d’un suivi continus.

Considérations de reprise d’activité et de continuité métier

La planification de la reprise d’activité et de la continuité métier crée une tension entre résilience opérationnelle et résidence des données. Les bonnes pratiques recommandent des sites de sauvegarde géographiquement dispersés pour se prémunir contre les sinistres régionaux, mais le mandat de la SAMA limite les sites de reprise aux seules juridictions approuvées en Arabie saoudite. Les organisations doivent concevoir des architectures de reprise assurant la résilience sans enfreindre la résidence, par exemple en exploitant plusieurs zones de disponibilité sur le territoire ou en s’associant à des prestataires locaux de reprise d’activité.

Les sauvegardes doivent bénéficier des mêmes protections de résidence que les données primaires. Les sauvegardes chiffrées, qu’elles soient sur bande, disque ou stockage objet cloud, doivent rester dans les juridictions approuvées, et les workflows de réplication respecter les frontières géographiques. Les organisations doivent tester régulièrement leurs procédures de reprise pour vérifier que les bascules ne transitent pas accidentellement par des réseaux internationaux ou n’activent pas des sites hors du royaume.

Imposer la résidence via le contrôle des mouvements de données et la collaboration transfrontalière sécurisée

Les violations de résidence surviennent le plus souvent lors des opérations métier courantes, plutôt qu’en cas de défaillance d’infrastructure. Les collaborateurs partagent des fichiers par e-mail, téléchargent des documents sur des plateformes collaboratives ou utilisent un cloud personnel pour plus de commodité. Ces actions ne sont généralement pas malveillantes mais révèlent des lacunes dans la communication des politiques et les contrôles techniques empêchant les workflows non conformes.

Pour imposer la résidence, il faut des contrôles opérant au niveau des données. Les systèmes de prévention des pertes de données (DLP) inspectent en temps réel les fichiers, e-mails et flux API, appliquent des labels de classification selon le contenu et les métadonnées, et imposent des politiques bloquant ou redirigeant les transferts non conformes. Ces systèmes s’intègrent aux passerelles e-mail, proxys web, CASB et plateformes de partage de fichiers pour garantir une application cohérente sur tous les canaux de circulation des données.

Les institutions financières doivent souvent collaborer avec des filiales internationales, des banques correspondantes, des réseaux de paiement ou des prestataires technologiques situés hors d’Arabie saoudite. Le cadre de la SAMA n’interdit pas tout partage transfrontalier, mais exige que ces échanges soient justifiés par des besoins métier légitimes, protégés par chiffrement et contrôles d’accès, et documentés par des journaux immuables.

Les organisations peuvent permettre une collaboration transfrontalière conforme en mettant en œuvre des canaux de communication chiffrés qui respectent les frontières de résidence. Les plateformes de transfert sécurisé de fichiers, VDR et passerelles de chiffrement des e-mails autorisent le partage contrôlé de documents spécifiques avec des tiers tout en empêchant l’export massif ou la redistribution non autorisée. Les contrôles d’accès liés à l’identité et au contexte garantissent que les partenaires internationaux ne consultent ou téléchargent que les contenus nécessaires à leur rôle.

Les flux de données transfrontaliers doivent être encadrés par un processus d’approbation formel exigeant une justification métier, une revue juridique et une vérification technique de l’efficacité des contrôles de résidence. Des journaux immuables consignent chaque transfert transfrontalier, incluant l’identité de l’utilisateur, le destinataire, la classification du contenu, l’autorité d’approbation et la méthode de chiffrement. Ces journaux fournissent aux examinateurs de la SAMA la preuve que les partages transfrontaliers respectent le cadre réglementaire.

Gérer les échanges de données avec les tiers et fournisseurs

Les prestataires tiers ont souvent besoin d’accéder à des données clients, des enregistrements de transactions ou des informations opérationnelles pour fournir des services comme la détection de fraude, le scoring de crédit ou le traitement des paiements. Ces échanges créent un risque de résidence si les fournisseurs traitent les données hors d’Arabie saoudite ou sous-traitent à des prestataires dans des juridictions non approuvées. Les organisations doivent inventorier tous les échanges de données avec des tiers, classifier la sensibilité des données partagées et imposer des contrôles de résidence à chaque point de transfert.

Les contrats avec les prestataires tiers doivent préciser les obligations de résidence, accorder un droit d’audit, imposer l’obligation d’informer avant toute sous-traitance ou changement de localisation des données et établir la responsabilité en cas de violation. Des contrôles techniques comme la tokenisation, le masquage ou la pseudonymisation permettent aux fournisseurs d’exécuter leurs missions sur des données désidentifiées ne déclenchant pas d’exigence de résidence. Lorsque l’accès direct à des données sensibles s’avère nécessaire, les organisations doivent appliquer le principe du moindre privilège, surveiller l’activité des fournisseurs via des journaux immuables et révoquer automatiquement les accès à la fin des projets.

Générer des preuves auditables pour les examens de la SAMA

Les examinateurs de la SAMA attendent des preuves détaillées et vérifiables que les exigences d’hébergement sur le territoire sont respectées en continu, et pas seulement lors de la mise en conformité initiale ou des audits annuels. La préparation aux audits repose sur la centralisation des journaux, l’automatisation de la collecte des preuves et la capacité à produire des rapports reliant les contrôles techniques aux exigences du cadre. Les organisations doivent démontrer non seulement l’existence des contrôles, mais aussi leur efficacité, leur capacité à détecter rapidement les violations et à déclencher automatiquement des workflows correctifs.

Des journaux d’audit immuables consignent chaque accès, déplacement, modification et partage de données dans tout l’environnement. Ces journaux incluent l’identité de l’utilisateur, la posture du terminal, la classification des données, les localisations source et destination, le chiffrement appliqué et les décisions de politique. Les journaux sont stockés dans des dépôts inviolables empêchant toute suppression ou modification, et conservés pendant la durée requise par la SAMA.

Surveillance continue et reporting de conformité

Les systèmes de surveillance continue analysent les journaux d’audit, le trafic réseau et le comportement des systèmes pour détecter d’éventuelles violations de résidence ou des dérives de politique. Les anomalies telles que des transferts inattendus vers des adresses IP internationales, des accès par des utilisateurs non autorisés ou des modifications des configurations de chiffrement déclenchent des alertes automatiques transmises aux équipes de sécurité pour investigation. Les systèmes de surveillance s’intègrent aux plateformes SIEM et aux outils d’orchestration SOAR pour accélérer la réponse aux incidents et garantir que les anomalies sont traitées avant de devenir des défaillances de conformité.

La surveillance offre également une visibilité sur l’efficacité des politiques et les usages opérationnels. Les tableaux de bord analytiques montrent quels types de données circulent le plus, quelles entités génèrent le plus de transferts transfrontaliers et quels workflows produisent le plus d’exceptions. Cette visibilité permet d’améliorer en continu les contrôles de résidence, d’affiner les règles de classification et de cibler la formation des entités générant un risque de conformité.

Les examinateurs de la SAMA exigent des rapports périodiques documentant la conformité aux exigences d’hébergement sur le territoire et fournissant des preuves statistiques de l’efficacité des contrôles. Les rapports de conformité doivent relier chaque contrôle aux exigences du cadre, démontrer leur fonctionnement continu et présenter des preuves telles que configurations système, journaux d’application des politiques et historiques de résolution d’incidents. Les outils de reporting automatisés extraient les preuves pertinentes des journaux d’audit, bases de configuration et systèmes de surveillance, puis les assemblent dans des rapports structurés alignés sur les modèles d’examen de la SAMA.

Opérationnaliser la conformité comme un programme continu

La conformité aux exigences d’hébergement sur le territoire de la SAMA n’est pas un projet ponctuel mais un programme opérationnel continu, qui s’adapte à l’évolution de la stratégie métier, de l’architecture technologique et de l’interprétation réglementaire. Les organisations doivent intégrer les contrôles de résidence dans les processus de gestion du changement, d’intégration des fournisseurs et de développement des systèmes afin que les nouveaux projets ne créent pas de failles de conformité.

Les processus de gestion du changement doivent inclure une évaluation de l’impact sur la résidence, analysant si les changements proposés affectent la classification des données, les flux, la localisation de l’infrastructure ou les relations fournisseurs. Ces évaluations identifient les risques de conformité en amont, permettant aux architectes de concevoir des mesures correctives avant la mise en production. Les enregistrements de changement documentent les considérations de résidence, les mesures approuvées et la validation post-implémentation, créant une traçabilité démontrant la gouvernance de la conformité.

L’efficacité des contrôles de résidence dépend de la compréhension par les collaborateurs de leurs obligations et de l’utilisation de workflows conformes au quotidien. Les programmes de sensibilisation à la sécurité doivent expliquer l’importance de l’hébergement sur le territoire, les classifications de données déclenchant des exigences de résidence et l’utilisation des outils approuvés pour la collaboration, le partage et le traitement des données. La formation doit être adaptée au rôle (développeurs, utilisateurs métier, opérations IT, dirigeants). Des campagnes de sensibilisation renforcent la formation en mettant en avant les risques de résidence et des exemples de violations courantes.

Sécuriser les données sensibles en transit pour garantir la résidence et la conformité aux audits

Même les organisations maîtrisant l’hébergement sur le territoire, la classification des données et la préparation aux audits font face à un défi majeur : sécuriser les contenus sensibles lors de leurs déplacements entre systèmes, partenaires et zones géographiques. C’est lors de ces mouvements que les violations de résidence surviennent le plus souvent, que le chiffrement et les contrôles d’accès doivent être les plus rigoureux, et que les journaux d’audit doivent fournir les preuves les plus détaillées. Les contrôles périmétriques et d’infrastructure traditionnels ne suffisent pas à garantir l’application contextuelle des politiques, la gestion des clés de chiffrement ou la journalisation immuable nécessaires pour sécuriser les données en transit tout en restant conforme au cadre de la SAMA.

Sécuriser les données en transit nécessite une architecture dédiée, considérant chaque transfert de fichier, e-mail, appel API ou session collaborative comme un événement de sécurité distinct, régi par les principes Zero trust, l’inspection du contenu et l’application des politiques. Cette architecture doit s’intégrer aux systèmes IAM, plateformes SIEM et référentiels de conformité existants, tout en offrant une visibilité et un contrôle centralisés sur tous les contenus sensibles franchissant les frontières de l’organisation.

Le Réseau de données privé Kiteworks répond à cette exigence en sécurisant les données sensibles en transit sur la messagerie électronique, le partage et le transfert de fichiers, les formulaires web et SFTP. Kiteworks applique les politiques de résidence au niveau du contenu en inspectant en temps réel fichiers et messages, en appliquant des labels de classification et en bloquant ou chiffrant les transferts susceptibles d’enfreindre les frontières géographiques. Des contrôles d’accès granulaires, liés à l’identité, au contexte et à la posture du terminal, garantissent que seuls les utilisateurs autorisés accèdent aux contenus sensibles, et que les partenaires ou fournisseurs internationaux ne reçoivent que les fichiers nécessaires à leur mission.

Kiteworks génère des journaux d’audit immuables pour chaque mouvement de données, consignent l’identité de l’utilisateur, la classification du contenu, les localisations source et destination, le chiffrement appliqué et les décisions de politique. Ces journaux s’intègrent aux plateformes SIEM et SOAR pour permettre une surveillance continue, la détection d’anomalies et une réponse automatisée aux incidents. Kiteworks propose également des modèles de reporting de conformité préconfigurés, alignés sur le Cloud Computing Framework de la SAMA, permettant aux organisations de produire rapidement et systématiquement des preuves auditables.

Les organisations utilisant Kiteworks peuvent collaborer en toute sécurité avec des partenaires internationaux, automatiser les workflows de partage transfrontalier conformes et démontrer aux examinateurs de la SAMA que les exigences d’hébergement sur le territoire sont appliquées par des contrôles techniques, et non de simples politiques. Kiteworks s’intègre aux fournisseurs d’identité, systèmes de gestion des clés de chiffrement et workflows ITSM existants, permettant d’opérationnaliser la conformité sans changer l’infrastructure technologique en place.

Pour découvrir comment Kiteworks peut aider votre organisation à opérationnaliser les exigences d’hébergement sur le territoire de la SAMA, à imposer les contrôles de résidence et à générer des preuves auditables, réservez votre démo personnalisée.