0,00  (0)
fr

Connectez-vous avec votre adresse e-mail ou votre compte Facebook

OU

Vous n'avez pas encore de compte ?

Inscrivez-vous dès maintenant
> > > Circulaire CSSF « Cloud Computing » : sur quel nuage vivez-vous ?

Circulaire CSSF « Cloud Computing » : sur quel nuage vivez-vous ?

4 décembre 2017 Droit financier

ActuDeGary-AllenOvery-Article-Legitech.lu

Le 17 mai 2017, la Commission de Surveillance du Secteur Financier (CSSF) a adopté la tant attendue circulaire 17/654 (la Circulaire) concernant la sous-traitance informatique reposant sur une infrastructure informatique en nuage ou infrastructure de « Cloud Computing ». Bilan après 6 mois d’application.

Pourquoi une circulaire spécifique ?

L’adoption du Cloud Computing dans tous les secteurs de l’économie est un fait et l’intérêt croissant des banques pour cette technologie Cloud Computing est légitime. Un programme de digitalisation durable par l’adoption de nouvelles technologies permet d’améliorer la sécurité, réduire les risques de sécurité, et de mieux maîtriser les ressources informatiques nécessaires et les coûts qui y sont associés. Aussi, selon la CSSF, « le Cloud Computing » est un modèle qui permet un accès omniprésent, pratique et à la demande à un ensemble de ressources informatiques partagées et configurables (ex. réseaux, serveurs, stockage, applications et services) qui peuvent être rapidement fournies et libérées par un minimum d’effort de gestion ou d’interaction de la part du fournisseur de services ». La globalisation des services financiers à tout à y gagner. Mais encore faut-il assurer et conserver la confiance dans le système financier.

La réglementation (légitimement) stricte du secteur financier, visant notamment à protéger les données des clients, constituait un frein à l’adoption du Cloud Computing ans l’industrie réglementée des banques. En l’absence de régime spécifique et en raison du manque d’harmonisation des règles au niveau international, le risque de conformité était trop important pour que les banques se tournent vers les fournisseurs de cloud publics1)L’infrastructure cloud est fournie pour une utilisation ouverte au grand public. Le cloud public peut être détenu, géré et exploité par une entreprise, une université ou une organisation gouvernementale, ou une combinaison de celles-ci. Il se situe dans les locaux exploités par le fournisseur de cloud., en particulier les grands acteurs internationaux. Pourtant, les banques constituent une clientèle intéressante pour ces derniers, à tel point qu’à présent ils se mettent au diapason des exigences règlementaires nationales telles que la sécurité, la protection des données, le processus de due diligence et du droit d’audit de l’autorité de contrôle.

C’est à ce prix que l’offre et le demande se sont enfin rencontrées et que les frictions entre les banques et les prestataires de service cloud ont pu s’estomper, suite à l’adoption d’une circulaire qui tient compte des risques spécifiques générés par l’utilisation de ces technologies.

Ainsi, la circulaire clarifie le cadre réglementaire applicable en matière de sous-traitance informatique reposant sur une infrastructure informatique en nuage, ou infrastructure de « Cloud Computing ». Les établissements de crédit et de façon plus générale tous les PSF ainsi que les établissements de paiement et les établissements de monnaie électronique (Etablissements) sont soumis à des exigences particulières lorsqu’ils font appel à ce type de services. La Circulaire désigne les établissements qui ont recours à des ressources de Cloud Computing pour le fonctionnement de leurs activités comme ESCR (établissements surveillés consommant des ressources de cloud computing).

Certaines exigences particulières sont également applicables aux PSF de support qui souhaitent offrir un service de Cloud Computing ou qui se reposent eux-mêmes sur un service de Cloud Computing.

Quand la circulaire CSSF 17/654 s’applique-t-elle ?

La circulaire s’applique lorsque l’infrastructure de Cloud Computing est fournie par un prestataire externe. L’utilisation de cloud privé2)Le cloud privé est un mode de déploiement selon lequel l’infrastructure cloud est fournie pour l’utilisation exclusive d’un seul établissement ou de plusieurs entités d’un même groupe. Le cloud privé peut être détenu, géré et exploité par l’établissement, un tiers (y compris une entité du groupe auquel appartient l’établissement) ou une combinaison de ceux-ci. Il peut se situer physiquement dans les locaux de l’établissement ou à l’extérieur. sans recours à un prestataire externe est donc exclue du champ d’application de la circulaire.

Ainsi, la circulaire précise que le recours à une solution de Cloud Computing est considéré comme une sous-traitance. Et comme toute sous-traitance informatique dans le secteur financier, le recours au Cloud Computing est donc réglementé. Mais qu’est-ce qui est exactement réglementé par la Circulaire ?

Pour définir la notion de Cloud Computing et la distinguer d’une sous-traitance classique, la CSSF se base sur les définitions proposées par des organisations internationales3)En particulier, le National Institute of Standards and Technology (NIST) et l’Agence Européenne chargée de la Sécurité des Réseaux et de l’Information (ENISA).. La CSSF défini le Cloud Computing auquel la Circulaire s’applique en donnant cinq caractéristiques essentielles et deux exigences.

Ces cinq caractéristiques essentielles sont :

  • Libre-service et à la demande: cela implique la possibilité de s’approvisionner en capacités informatiques en fonction des besoins, de manière unilatérale et automatique, sans nécessité d’intervention humaine de la part du fournisseur de services de Cloud Computing (ou cloud service provider, CSP). Ceci nécessite la mise en place par le CSP d’une plateforme d’approvisionnement en ressources IT que l’utilisateur puisse opérer seul, sans intervention du CSP. Celui qui opère les ressources est l’opérateur de ressources (Opérateur des Ressources). Il peut s’agir de l’ESCR ou d’un intermédiaire tiers autre que le CSP.

  • Accès réseau étendu: les capacités informatiques sont disponibles par réseau (Internet en particulier).

  • Ressources partagées: les ressources informatiques physiques et virtuelles du CSP sont partagées et dynamiquement allouées ou réaffectées en fonction de la demande, afin de servir plusieurs clients de façon standardisée. L’ESCR ne sait pas et ne contrôle pas l’emplacement exact de ces ressources. En d’autres termes, l’infrastructure n’est pas dédiée à un ESCR mais les ressources sont partagées entre tous les clients du CSP.

  • Elasticité rapide: Les ressources informatiques peuvent être libérées rapidement, voire automatiquement, pour s’ajuster à la demande effectuée par l’intermédiaire d’une interface client, soit une plateforme logicielle d’approvisionnement ad hoc mise à disposition par le CSP.

  • Service mesuré: Les systèmes Cloud Computing contrôlent et optimisent automatiquement l’utilisation des ressources à l’aide d’indicateurs qui permettent de suivre et surveiller l’évolution de l’utilisation des ressources, en général en temps réel.

Les deux exigences sont :

  • Le personnel du CSP ne peut accéder aux données et aux systèmes que l’ESCR détient sur l’infrastructure de Cloud Computing sans l’accord préalable et explicite de ce dernier et sans qu’un mécanisme de surveillance ne soit mis à la disposition de l’ESCR pour contrôler les éventuels accès qui doivent rester exceptionnels. En dehors de ces conditions, l’accès peut cependant découler d’une obligation légale ou d’un cas d’extrême urgence suite à un incident critique touchant une partie ou l’ensemble des clients du fournisseur de services de Cloud Computing.

  • Sauf quelques exceptions énumérées dans la Circulaire, la prestation de services de Cloud Computing n’engendre aucune interaction manuelle de la part du CSP pour la gestion quotidienne des ressources de Cloud Computing. Seul l’Opérateur des Ressources gère l’environnement informatique hébergé sur l’infrastructure Cloud Computing. Le fournisseur de services de Cloud Computing peut néanmoins intervenir manuellement :

Si et seulement si la sous-traitance informatique répond à ces sept conditions, elle est réglementée par le Circulaire (et non plus la circulaire CSSF 17/656 qui remplace la circulaire CSSF 05/178 ou encore par la sous-chapitre 7.4 de la circulaire CSSF 12/552, sauf si la fonction de CSP est cumulées dans le chef de ce dernier avec celle d’Opérateur de Ressources sans que ces activités ne soient ségrégées).

Les exigences de la Circulaire s’appliquent à toute la chaîne de sous-traitance à partir du moment où toutes les sous-traitances sont exclusivement de nature informatique (à l’exclusion de toute autre, comme par exemple le business process outsourcing) et qu’au moins une des sous-traitances correspond à la définition du « Cloud Computing » au sens de la Circulaire.

Les principales exigences spécifiques à respecter

Les ESCR souhaitant recourir à une sous-traitance sur une infrastructure de Cloud Computing doivent se conformer à une série d’exigences. Certaines sont identiques ou très similaires à celles qui doivent être respectées pour toute autre externalisation par les Etablissements concernés.

Le respect de ces exigences incombe à des acteurs différents dans la chaîne de sous-traitance selon que l’ESCR est lui-même ou non le signataire du contrat avec le CSP (Signataire) et/ou l’Opérateur des Ressources de Cloud Computing et selon que le signataire, s’il s’agit d’un tiers, est ou non soumis à la surveillance de la CSSF.

Les principales exigences spécifiques sont les suivantes.

  • Si l’ESCR confie l’Opération des Ressources à tiers qui n’est pas PSF de support, il devra effectuer une analyse de risques approfondie sur les activités de l’Opérateur des Ressources.

  • Dans un souci de gestion des risques, l’Opérateur des ressources doit désigner parmi ses employés un « cloud officer » qualifié qui a pour responsabilité l’utilisation des services de Cloud Computing et est garant des compétences du personnel gérant les ressources de Cloud Computing.

  • La sous-traitance doit s’inscrire dans la cadre d’un politique écrite spécifique et les manuels de procédures doivent être adaptés.

  • L’ESCR doit comprendre et l’Opérateur des Ressources doit maîtriser les risques liés à une infrastructure de Cloud Computing, comme par exemple « le défaut d’isolation des environnements multi-tenants, les différentes législations applicables (pays de stockage des données et pays d’établissement du fournisseur de services de Cloud Computing), l’interception des données en transit, la défaillance des télécommunications (par exemple, la connexion Internet), l’utilisation du cloud comme ‘shadow IT’4)Le « shadow IT » est l’utilisation des ressources informatiques non maîtrisée par le département informatique., ou le manque de portabilité des données des systèmes une fois ceux-ci déployés sur une infrastructure de Cloud Computing. »

  • L’ ESCR et l’Opérateur des Ressources doivent savoir à tout moment où se trouvent globalement5)Il est important que l’ESCR et l’Opérateur des Ressources sachent dans quels pays se trouvent les données, cela de manière globale. Par exemple, les données sont réparties entre le pays A et le pays B, mais ne peuvent en aucun cas être dans le pays C. leurs données et systèmes, qu’il s’agisse aussi bien des environnements de production que des réplications ou sauvegardes.

  • Selon les cas, le recours à une sous-traitance informatique sur une infrastructure de Cloud Computing doit faire l’objet d’une notification ou d’une autorisation préalable de la CSSF, y compris s’il y est mis fin ou en cas de changement de CSP.

  • L’ESCR qui souhaite utiliser un service de Cloud Computing appuie sa décision sur une analyse préalable, approfondie et formalisée, démontrant qu’elle n’entraîne pas de délocalisation de l’administration centrale. Celle-ci comportera notamment une évaluation approfondie des risques du projet de sous-traitance envisagé sur le plan des risques financiers, opérationnels, légaux et de réputation. Si le CSP est situé, ou héberge des systèmes à, l’étranger, l’analyse doit notamment prendre en considération les risques géopolitiques et les lois applicables dans la juridiction étrangère, y compris la loi sur la protection des données ainsi que les dispositions d’application de la loi, notamment celles relatives à l’insolvabilité en cas de défaillance d’un fournisseur de services de Cloud Computing.

  • L’ESCR doit formaliser la justification de sa conformité, point par point, aux exigences de la présente circulaire. La CSSF pourra exiger ce document à tout moment.

  • La Circulaire exige en outre qu’une série de clauses soient insérées dans le contrat de service signé avec le CSP. Ce contrat doit par ailleurs être soumis au droit d’un des pays de l’Union européenne et prévoir une résilience dans l’Union Européenne (un des centres de données au moins doit être localisé dans l’Union Européenne et doit si nécessaire pouvoir reprendre les traitements, données et systèmes distribués pour opérer de manière autonome les services de Cloud Computing). Dans le cas où l’ESCR fait appel à un Opérateur des Ressources tiers, un contrat de service entre eux doit régir cette sous-traitance. Si le Signataire est l’Opérateur des Ressources, ce contrat doit inclure les clauses nécessaires (par exemple, la possibilité de transférer les informations et les rapports d’audit) pour que l’ESCR puisse contrôler efficacement la sous-traitance en cascade.

  • En cas de rupture de contrat, le fournisseur s’engage contractuellement à supprimer définitivement les données et systèmes du signataire dans un délai raisonnable sans préjudice des prescriptions légales.

  • En cas d’incident, de besoins réglementaires, ou autre demande spécifique, le signataire doit disposer d’une personne de contact responsable des services rendus (par exemple, un chargé de clientèle) auprès du fournisseur de services de Cloud Computing. La procédure de mise en relation est dûment documentée dans le contrat de services.

  • Un accent important est mis sur la nécessité de prévoir contractuellement l’intégrité et les modalités du droit d’audit inconditionnel de la CSSF et celui du Signataire sur les CSP.

Le contrôle des activités et de leur qualité par rapport aux niveaux de services attendus, l’isolation des environnements multi-tenants et l’audit continu des CSP sont autant de sujets qu’il faut traiter avec attention.

* * *

Indépendamment de la réglementation propre au secteur financier, le Cloud Computing pose aussi des questions relatives au traitement de données à caractère personnel. Ainsi, au-delà des exigences présentées plus haut, les ESCR doivent aussi tenir compte de la loi du 2 août 2002. Ils doivent par ailleurs aussi, dès à présent, se préparer à respecter le nouveau règlement européen sur la protection des données (RGPD). Les ESCR doivent garder à l’esprit que même si une sous-traitance reposant sur une infrastructure Cloud Computing est autorisée en vertu de la Circulaire, le RGPD lui repose sur la notion d’accountability et seules certaines bases légales peuvent justifier les traitements de données à caractère personnelles et, en particulier, leur transfert en dehors de l’Union européenne les cas échéant. Etant donné les sanctions administratives encourues, un établissement averti en vaut deux…

Une version abrégée de cet article est parue dans le Legimag n° 20 – décembre 2017 –  L’actu de Gary

Références   [ + ]

1. L’infrastructure cloud est fournie pour une utilisation ouverte au grand public. Le cloud public peut être détenu, géré et exploité par une entreprise, une université ou une organisation gouvernementale, ou une combinaison de celles-ci. Il se situe dans les locaux exploités par le fournisseur de cloud.
2. Le cloud privé est un mode de déploiement selon lequel l’infrastructure cloud est fournie pour l’utilisation exclusive d’un seul établissement ou de plusieurs entités d’un même groupe. Le cloud privé peut être détenu, géré et exploité par l’établissement, un tiers (y compris une entité du groupe auquel appartient l’établissement) ou une combinaison de ceux-ci. Il peut se situer physiquement dans les locaux de l’établissement ou à l’extérieur.
3. En particulier, le National Institute of Standards and Technology (NIST) et l’Agence Européenne chargée de la Sécurité des Réseaux et de l’Information (ENISA).
4. Le « shadow IT » est l’utilisation des ressources informatiques non maîtrisée par le département informatique.
5. Il est important que l’ESCR et l’Opérateur des Ressources sachent dans quels pays se trouvent les données, cela de manière globale. Par exemple, les données sont réparties entre le pays A et le pays B, mais ne peuvent en aucun cas être dans le pays C.

Laisser un commentaire

Vous devez être connecté pour ajouter un commentaire.

contribuer-aux-articles

Découvrez Casteganro TV

Partagez sur les réseaux sociaux


Recommander cette page à un ami

Annuler

Ajouter un favoris

Vous devez être membre pour ajouter un contenu à vos favoris.

Déjà membre ? Connectez-vous :

Pas encore inscrit ?

Créez votre compte