CSSF 25/883 modifie 22/806: surveillance cloud continue

Le 9 avril 2025, la CSSF a publié la circulaire 25/883 modifiant 22/806 avec effet immédiat, afin d’aligner l’externalisation TIC (notamment cloud) sur DORA. Un dispositif CSPM permet de réduire le risque de fuite et d’apporter des preuves continues de conformité.

Les faits

La CSSF précise le champ d’application: pour les entités relevant de DORA, la Partie II de 22/806 (TIC/cloud) ne s’applique plus et les exigences TIC sont reprises et complétées par la circulaire CSSF 25/882; pour les entités non‑DORA, 22/806 demeure pleinement applicable. Des clauses « cloud » spécifiques (droit applicable EEE, résilience cloud en EEE) sont supprimées pour harmonisation avec DORA. Les formulaires et FAQ associés ont été mis à jour (formulaire de notification TIC critiques/importance — version 5 datée du 10 juillet 2025). Sources officielles: CSSF 25/883 et CSSF 22/806 (mise à jour 9 avril 2025).

Pourquoi agir maintenant? Les incidents cloud se multiplient: le 31 mars 2026, Cisco a confirmé le vol de code source après compromission d’un environnement de développement, avec des accès cloud instrumentalisés dans la chaîne d’attaque. Voir BleepingComputer (31 mars 2026).

Le cadre légal qui s’applique

• CSSF 22/806 telle que modifiée par CSSF 25/883: registre des externalisations, due diligence, évaluation de criticité/importance, gouvernance, supervision continue, gestion du sous‑traitement, plans de sortie, contrôles de sécurité proportionnés. Articulation avec DORA: entités DORA sous exigences TIC/tiers via DORA et circulaire CSSF 25/882; entités non‑DORA: 22/806 intégralement applicable. Voir le texte PDF de 25/883.
• DORA (Règlement (UE) 2022/2554): exigences harmonisées pour gestion du risque TIC, prestataires tiers, surveillance continue, tests et inventaires. Attentes détaillées sur la page CSSF TIC et cyber‑risque (DORA). Pour un panorama réglementaire consolidé, voir notre page DORA et résilience opérationnelle.

Ce que le régulateur attend

• Gouvernance claire et registre exhaustif des externalisations avec classification critique/important.
• Supervision continue des contrôles de sécurité chez le prestataire cloud, traçable et proportionnée (monitoring, preuves, remédiation).
• Capacité à prouver l’efficacité des mesures: inventaire des actifs cloud, journalisation, configurations sécurisées, détectabilité des incidents, plans de sortie et de continuité.

La solution technique: CSPM (Cloud Security Posture Management)

Un CSPM répond aux obligations de surveillance continue et de preuve:

• Inventorie en continu les ressources multi‑cloud et cartographie les surfaces d’exposition (stockage, réseaux, identités/permissions, secrets).
• Évalue en temps réel la conformité via des policy packs (CIS AWS/Azure/GCP, bonnes pratiques EBA/DORA, lignes directrices CSSF, ISO 27001, NIST CSF) et alerte sur toute dérive.
• Détecte les erreurs critiques: stockage public, clés d’accès non rotées, IAM trop permissif, ports admin exposés, logs désactivés, chiffrement manquant, régions interdites, ressources orphelines.
• Orchestre la remédiation: playbooks automatiques/semi‑automatiques (fermer l’accès public d’un bucket, activer le chiffrement, appliquer une guardrail policy).
• Collecte des artefacts de preuve: rapports versionnés, traçabilité des contrôles, scoring avant/après — essentiels aux audits CSSF/DORA.

Référentiels

• ISO/IEC 27001:2022 – Annexe A: 5.23, 8.15, 8.16, 8.32.
• NIST CSF 2.0 – PR.AA, PR.DS, DE.CM.
• CIS Controls v8 – 4, 8, 15.

La gouvernance doit encadrer ces contrôles. Nos experts en CISO externalisé structurent politiques cloud, comités et indicateurs pour piloter la posture.

Lien avec la conformité CSSF/DORA

• 22/806/25/883 exigent un dispositif proportionné, documenté et supervisé: le CSPM apporte vérifiabilité continue, registre technique des risques et rapports pour eDesk/notifications.
• Pour les entités DORA, le CSPM alimente le registre des prestataires TIC et les contrôles opérationnels attendus par la circulaire CSSF 25/882 (surveillance des tiers et preuves associées). Voir aussi la page CSSF TIC et cyber‑risque (DORA).

Comment Luxgap déploie cela

• Gouvernance ISO 27001: politiques cloud (zones autorisées, chiffrement, journalisation, tagging, IAM), analyse de criticité, intégration CSPM au contrôle interne.
• SOC managé 24/7: ingestion des alertes CSPM dans le SIEM, corrélation avec journaux d’accès/identité, priorisation par criticité et time‑to‑fix. Découvrez notre offre SOC managé et détection d’incident.
• Consultants DPO/CISO externalisés: cartographie des traitements et flux, alignement avec DORA/22‑806/25‑883, préparation audits/contrôles, mise à jour du registre et des preuves.

1. Audit read‑only pour établir une base ligne.
2. Paramétrage de guardrails par référentiel (CIS, ISO 27001, exigences CSSF/DORA).
3. Intégration du CSPM à la chaîne IaC pour prévenir les dérives avant mise en prod.
4. Définition des RACI, SLA de remédiation et reporting au comité de direction.

Cas concret (Luxembourg/UE)

Une société de gestion luxembourgeoise non‑DORA (22/806 applicable) a déployé un CSPM multi‑cloud en six semaines:

• 132 non‑conformités critiques détectées dès la première semaine (stockage public, journaux désactivés, clés persistantes).
• Guardrails IaC: 86% des écarts prévenus avant déploiement en deux mois.
• Registre d’externalisation enrichi par fiches de contrôle et rapports trimestriels au comité des risques; preuves disponibles pour la CSSF.

Premiers pas concrets

• Cartographiez comptes/projets/subscriptions et distinguez entités DORA vs non‑DORA; établissez le périmètre 22/806/25/883 vs 25/882 (complément utile: notre page DORA et résilience opérationnelle).
• Activez journalisation centrale et chiffrement par défaut; interdisez la création de stockage public sans exception approuvée.
• Déployez un CSPM en lecture: inventaire, benchmarks CIS, alertes critiques (expositions réseau, données non chiffrées, IAM large).
• Intégrez le CSPM à la CI/CD et imposez des policy checks shift‑left.
• Mettez à jour le registre d’externalisation avec rapports CSPM, politiques cloud et SLA de remédiation; programmez un comité mensuel.

Sources officielles

• CSSF — Circulaire 25/883 (9 avril 2025): https://www.cssf.lu/fr/Document/circulaire-cssf-25-883/ et PDF: https://www.cssf.lu/wp-content/uploads/cssf25_883.pdf
• CSSF — Circulaire 22/806 (maj 9 avril 2025): https://www.cssf.lu/fr/Document/circulaire-cssf-22-806/
• CSSF — TIC et cyber‑risque (entités DORA): https://www.cssf.lu/en/ict-and-cyber-risk-for-dora-entities/
• Actualité cyber — compromission impliquant environnements cloud/dev (31 mars 2026): https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/

Besoin d’accompagnement? Contactez‑nous via la page Luxgap.