La Commission du Surveillance du Secteur Financier (CSSF) vient de clarifier la situation quant à la sous-traitance informatique en nuage, ou infrastructure de "cloud computing" dans sa circulaire 17/654. Celle-ci s'applique à tous les établissements de crédit et PSF, à tous les établissements de paiement et établissement de monnaie électronique. La circulaire contribue à la gestion saine et prudente et à la bonne organisation de ces mêmes entités.

On nous y explique tout d'abord que "le recours à une solution de cloud computing est considéré comme un cas de sous-traitance" avant de préciser que "le personnel travaillant pour le fournisseur de services de cloud computing ne peut en aucun cas accéder aux données et aux systèmes qu’un ESCR détient sur l’infrastructure cloud sans avoir obtenu au préalable l’accord explicite de l’ESCR et sans qu’un mécanisme de surveillance ne soit mis à la disposition de l’ESCR pour contrôler les accès réalisés".  En effet, tous les accès du fournisseur de services de cloud computing doivent être restreints et encadrés par des mesures préventives et détectives en ligne avec les bonnes pratiques de sécurité et auditées au moins annuellement.

On y définit également le rôle de "cloud officer": L’opérateur des ressources doit désigner parmi ses employés une personne, le « cloud officer », qui a pour responsabilité l’utilisation des services de cloud computing et est garant des compétences du personnel gérant les ressources de cloud computing.

Tout établissement soumis à la surveillance de la CSSF qui a l’intention de recourir à une sous-traitance informatique sur une infrastructure de cloud computing doit obtenir l’autorisation préalable de la CSSF, lorsque l’activité supportée par l’infrastructure de cloud computing est matérielle. Il doit être également notifié si un établissement souhaite mettre un terme à une sous-traitance informatique sur une infrastructure de cloud computing Au Luxembourg, System Solution vient d'ailleurs de lancer un nouveau site web dédié aux solutions cloud.

"L’opérateur des ressources conserve l’expertise nécessaire pour contrôler efficacement les prestations ou les tâches sous-traitées sur une infrastructure de cloud computing et la gestion des risques associés à cette sous-traitance" précise-t-on dans la circulaire. La confidentialité et l’intégrité des données et des systèmes doivent être maîtrisées dans toute la chaîne de sous-traitance informatique. Un niveau de protection élevé est attendu de la part de tous les acteurs (l’ESCR, l’opérateur des ressources et le fournisseur de services de cloud computing).

 

Une circulaire moderne et durable, qui était attendue par de nombreux acteurs des secteurs IT et financier, préservant aussi les spécificités des PSF de support et compatible avec les régulations de l'EBA (European Banking Authority).

Pour accéder à la totalité de la circulaire, suivez ce lien : http://www.cssf.lu/fileadmin/files/Lois_reglements/Circulaires/Hors_blanchiment_terrorisme/cssf17_654.pdf


Publié le 24 mai 2017