CSPM cloud: la réponse à la circulaire CSSF 22/806 sur l’externalisation

Excerpt — Pour rester conforme à la CSSF en 2026, il ne suffit plus “d’aller dans le cloud”. Une plateforme de Cloud Security Posture Management (CSPM) permet de démontrer, en continu, la bonne configuration, la supervision et l’auditabilité exigées.

Ce que demande la loi

La circulaire CSSF 22/806 (mise à jour le 9 avril 2025) encadre l’externalisation, avec un chapitre spécifique au cloud. Elle impose notamment :

• d’évaluer les risques spécifiques au cloud (multi‑tenant, localisation des données, interception en transit, continuité) et de les documenter, puis de les revoir périodiquement, avec supervision continue des prestataires (points 66‑70, 104, 106, 142 b)). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• de s’assurer de la bonne sélection et configuration des mesures de sécurité chez le fournisseur (ex. paramètres cloud configurables) et de suivre des indicateurs opérationnels collectés par l’opérateur de ressources cloud (points 139, 140, 1980‑1986, 1397‑1402). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• de prévoir des droits d’accès à l’information et d’audit (y compris audits groupés, rapports tiers type C5/ISAE), sans s’y reposer exclusivement à long terme, et de conserver le droit de réaliser des audits individuels si nécessaire (points 90‑100, 94‑97). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• de désigner un “cloud officer” côté opérateur de ressources, responsable des compétences et du pilotage des services cloud (point 140). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• de notifier la CSSF pour les externalisations TIC “critiques ou importantes” et de connaître en permanence l’emplacement des données et systèmes (points 59‑60, 141, 142 g)). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))

La circulaire 22/806 est alignée avec le règlement DORA applicable depuis le 17 janvier 2025 pour les entités financières, afin d’éviter les doublons (préambule; DORA, Règlement (UE) 2022/2554). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))

La solution technique (état de l’art)

Le Cloud Security Posture Management (CSPM) est une brique de sécurité native‑cloud qui :

• cartographie tous les comptes/projets cloud (AWS, Azure, GCP, SaaS), via APIs “read‑only”, sans agents ;
• évalue en continu la configuration des services (réseaux, IAM, stockage, chiffrement, journalisation, clés, images) par rapport à des politiques de référence (CIS Benchmarks, ISO 27001 Annexe A, BSI C5, exigences CSSF) ;
• détecte les dérives et erreurs (ex. buckets publics, clés KMS inactives, ports ouverts, logs désactivés), puis priorise par criticité ;
• documente la localisation des données, les chemins d’accès, les dépendances et la chaîne de sous‑traitance ;
• génère des preuves d’audit et de conformité (rapports exportables, traçabilité des exceptions avec date d’expiration) ;
• orchestration de remédiations guidées ou automatiques (policy‑as‑code, GitOps), avec garde‑fous et approbations.

Pourquoi c’est pertinent pour la 22/806 ? Parce que l’exigence de “bonne sélection et configuration” des contrôles, la surveillance continue, les indicateurs techniques, la revue de rapports tiers et la capacité d’auditer sont traduits en contrôles concrets dans l’outil et ses rapports. Les rapports CSPM facilitent aussi l’usage raisonné de rapports tiers (ex. attestations BSI C5) sans s’y limiter, comme le demande la CSSF. ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))

Bonnes pratiques de référence :

• ISO/IEC 27001:2022 Annexe A — contrôle 5.23 (Usage des services cloud), 8.9 (Gestion de configuration), 8.16 (Activités de supervision) ;
• NIST CSF 2.0 — ID/PR/DE pour l’identification, la protection et la détection continues ;
• CIS Controls — C4 “Secure Configuration”, C8 “Audit Log Management”, C15 “Service Provider Management” ;
• ENISA Threat Landscape 2023 — la mauvaise configuration cloud figure parmi les vecteurs d’attaque exploités par les acteurs malveillants, rendant la posture et la remédiation continues essentielles (ETL 2023; communiqué). ([enisa.europa.eu](https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023?utm_source=openai))

Comment Luxgap déploie cela

Notre approche est pragmatique et alignée CSSF :

• Cadrage réglementaire et architecture : cartographie des fonctions critiques/importantes, analyse de risque cloud (points 66‑70 et 142 b) de la 22/806), définition des politiques CSPM traduisant les exigences CSSF/DORA/ISO. ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• Implémentation CSPM agentless : intégration API multi‑cloud en lecture seule, activation des contrôles clés (chiffrement at‑rest/in‑transit, journaux d’accès, sauvegarde des configurations, tags de criticité), mise en place d’indicateurs d’exploitation exigés par la CSSF (points 1980‑1986). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• Surveillance 24/7 (notre SOC managed) : connexion des alertes CSPM au SIEM, priorisation basée sur l’exposition (internet‑facing, données sensibles, identité), scénarios de dérive et de remédiation guidée. Voir aussi notre SOC managé pour la détection et la réponse.
• Gouvernance et audit (notre gouvernance ISO 27001) : cycles de revue, preuves d’audit, préparation aux audits CSSF et audits sécurité et usage proportionné des rapports tiers (C5/ISAE), sans dépendance exclusive (points 94‑97). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• Appui conformité (nos CISO/DPO externalisés) : relecture contractuelle (droits d’audit, localisation, sous‑traitance en chaîne), gestion des notifications CSSF si “critique/important”, alignement RGPD si données personnelles dans le cloud (rôles, Article 28 CNPD). CNPD — sous‑traitance. Bénéficiez d’un CISO externalisé pour le pilotage cyber.

Cas concret au Luxembourg ou en UE

Une société de paiement régulée au Luxembourg souhaitait migrer son data lake analytique vers un hyperscaler. La fonction étant “importante”, une notification préalable a été planifiée. En six semaines :

• définition des politiques CSPM alignées 22/806 (isolation VPC/VNET, KMS managé, logs immuables, CI/CD contrôlé) ;
• inventaire des données et localisation par région, avec tableaux de bord CSPM “où sont mes données ?” ;
• mise en conformité des configurations selon CIS Benchmarks, réduction de 72 % des dérives critiques initiales en trois sprints ;
• rapports CSPM mensuels fournis au management et audit interne, complétés par l’examen des attestations C5 du fournisseur.

Résultat : un dossier d’externalisation documenté (risques, contrôles, indicateurs, droits d’audit), des alertes temps réel sur toute dérive, et des preuves exportables pour la CSSF. Les équipes ont gardé la main sur les exceptions (waivers) avec dates d’expiration et responsables, conformément au principe de proportionnalité.

Premiers pas concrets

1. Nommer un “cloud officer”. Formaliser son rôle (pilotage des services, compétences) comme prévu par la 22/806 point 140. ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
2. Inventorier tous vos comptes/projets cloud. Connecter un CSPM en lecture seule pour établir la base de référence (cartographie et premiers écarts).
3. Traduire la 22/806 en politiques techniques. Dériver des règles CSPM sur : chiffrement, journaux, accès admin, réseau, localisation des données, sous‑traitance, indicateurs d’exploitation.
4. Mettre en place des rapports mensuels et des alertes. Partager avec le management et l’audit interne ; prévoir les preuves pour les audits CSSF et l’usage raisonné de rapports tiers (C5/ISAE). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
5. Préparer la notification CSSF si “critique/important”. Utiliser le risque, la matérialité et l’exposition pour décider, et intégrer les exigences DORA si applicables. DORA. ([eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1726064286374&uri=CELEX%3A32022R2554&utm_source=openai))

Sources officielles

• CSSF — Circulaire 22/806 (mise à jour 09/04/2025). ([cssf.lu](https://www.cssf.lu/fr/Document/circulaire-cssf-22-806/?utm_source=openai))
• CSSF — Texte consolidé 22/806 (EN, PDF). ([cssf.lu](https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf))
• EUR‑Lex — Règlement (UE) 2022/2554 (DORA). ([eur-lex.europa.eu](https://www.eur-lex.europa.eu/legal-content/EN/TXT/?qid=1726064286374&uri=CELEX%3A32022R2554&utm_source=openai))
• ENISA — Threat Landscape 2023 et communiqué (misconfigurations cloud). ([enisa.europa.eu](https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023?utm_source=openai))
• BSI — Kriterienkatalog C5 et C5:2020. ([bsi.bund.de](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html?utm_source=openai))
• CNPD — La sous‑traitance (rappels RGPD art. 28). ([cnpd.public.lu](https://cnpd.public.lu/fr/dossiers-thematiques/associations/guide-monde-associatif/sous-traitance.html?utm_source=openai))