CSSF 26/906 : gouvernance et sauvegardes immuables DORA avant le 30 juin

Excerpt — Le 20 janvier 2026, la CSSF a publié la circulaire 26/906 et impose aux établissements de paiement/monnaie électronique de revoir gouvernance et gestion des risques au plus tard le 30 juin 2026. Une architecture de sauvegarde immuable et isolée est la brique technique qui prouve la résilience DORA face au ransomware.

Les faits

Le 20 janvier 2026, la Commission de Surveillance du Secteur Financier (CSSF) a publié la circulaire CSSF 26/906 « Administration centrale, gouvernance interne et gestion des risques » applicable aux établissements de paiement (EP) et établissements de monnaie électronique (EME). La CSSF exige que les entités visées « évaluent et revoient » leur gouvernance et leur cadre de gestion des risques pour être conformes au plus tard le 30 juin 2026, en s’alignant notamment sur les orientations EBA relatives aux risques (dont les risques TIC/Opérationnels et la continuité d’activité) et les cadres sectoriels en vigueur au Luxembourg. Source officielle : CSSF — annonce de la circulaire 26/906 et texte PDF.

Pourquoi agir maintenant ? Le 9 juin 2026, Veeam a corrigé une faille critique CVE‑2026‑44963 pouvant mener à une exécution de code à distance sur des serveurs de sauvegarde joints à un domaine, un vecteur déjà prisé par des groupes de ransomware selon les historiques KEV de la CISA. Actualité : BleepingComputer, 9 juin 2026. En clair : l’environnement de sauvegarde devient une cible prioritaire. La gouvernance exigée par la CSSF doit donc prouver la résilience technique et organisationnelle des sauvegardes, pas seulement la décrire.

Le cadre légal qui s’applique

• CSSF 26/906 : rehausse les attentes en gouvernance et risk management pour EP/EME (administration centrale, gestion des risques, continuité). Échéance interne : 30 juin 2026. Référence : CSSF, circulaire PDF.
• DORA (règlement (UE) 2022/2554) : impose des capacités de continuité et de reprise TIC. L’article 12 requiert des politiques de sauvegarde, des tests réguliers, la séparation logique/physique et une restauration fiable. Référence : EUR‑Lex — DORA et notre synthèse résilience opérationnelle DORA.
• NIS 2 (Directive (UE) 2022/2555) — art. 21 : mesures techniques et organisationnelles, incluant continuity and crisis management (sauvegardes, reprise). Référence : EUR‑Lex — NIS 2.
• ISO/IEC 27001:2022 — Annexe A : A.8.13 Information backup et A.5.30 ICT readiness for business continuity cadrent la stratégie de sauvegarde, les essais et la restauration.

Message du régulateur : d’ici au 30 juin 2026, la gouvernance doit démontrer des contrôles effectifs de résilience — en particulier sur les sauvegardes — capables d’absorber une compromission et de rétablir les services dans des délais compatibles avec vos engagements. Pour cadrer l’ensemble BCP/DRP, voyez aussi notre approche plan de continuité et DORA résilience.

La solution technique à déployer

Sauvegardes immuables + isolation réseau (data vault). Objectif : rendre la destruction ou la chiffre‑extorsion des sauvegardes opérationnellement impossible pour un intrus, et restaurer vite avec traçabilité.

Principes

• Immutabilité : copies en WORM (Write‑Once‑Read‑Many) avec rétention et verrouillage administrateur non contournables. Évite l’effacement/chiffrement des backups après compromission du domaine AD.
• Isolation réseau (air‑gap logique/physique) : coffre de sauvegarde situé dans un segment sans chemin d’administration direct depuis le SI de production, comptes séparés, ACL minimales, firewall deny‑all, fenêtres d’ingest courtes et auditables.
• Multi‑copies 3‑2‑1‑1‑0 : au moins 3 copies, 2 supports, 1 hors site, 1 immuable/isolée, 0 erreur vérifiée par tests de restauration.
• Ségrégation d’identités : pas d’administrateurs communs entre prod, sauvegarde, coffre. MFA forte sur tous les accès d’admin.
• Tests périodiques : restaurations bare‑metal/granulaires, tabletop et exercices techniques alignés DORA art. 12 (et art. 24 pour les tests de continuité).

Contrôles livrables pour la conformité

• Politique de sauvegarde DORA‑compliant (périmètre, RPO/RTO, rétention, immutabilité, isolation, clés/chiffrement, responsabilités, calendrier d’essais) — cartographiée aux contrôles ISO 27001 A.8.13 et A.5.30.
• Diagrammes réseau du coffre, règles firewall, comptes dédiés, journaux d’accès et de changement.
• Procès‑verbaux d’essais de restauration, avec preuves et écarts/plan d’action.
• Playbooks de ransomware recovery intégrés au plan de continuité TI.

Impact sécurité : même si un attaquant obtient des privilèges élevés (ex. exploitation de CVE sur l’hyperviseur, l’EDR ou le serveur de sauvegarde), l’immutabilité et la coupure réseau empêchent l’effacement des golden copies. L’actualité Veeam (CVE‑2026‑44963) illustre précisément ce risque et la nécessité de hardener et découpler la couche sauvegarde (BleepingComputer).

Comment Luxgap déploie cela

• Notre gouvernance ISO 27001 : cadrage par un gap assessment DORA/NIS 2/ISO, rédaction de la politique de sauvegarde et des procédures d’exploitation, matrice de rôles (séparation des pouvoirs) et registre de preuves. Nos Lead Implementers/Auditors certifiés mappent chaque contrôle aux articles DORA et aux contrôles ISO A.8.13/A.5.30.
• Notre SOC managed : intégration des coffres dans la télémétrie (journaux d’accès, changement de rétention, tentatives de suppression), règles de détection sur comportements anormaux (pics de suppression, modification des fenêtres d’ingest), alertes 24/7 et playbooks de confinement. Découvrez notre capacité SOC managé et détection d’incident.
• Nos consultants DPO et CISO externalisés : comité de risques trimestriel, KPI de résilience (taux de restauration testée, dérive des RPO/RTO), préparation des réponses aux demandes CSSF et mise à jour du registre de dépendances (fournisseurs de coffres/stockage).

Cas concret au Luxembourg ou en UE

Une PSP de la place, exposée aux exigences de la CSSF 26/906, a migré en 6 semaines d’une sauvegarde « copie‑à‑plat sur NAS » vers un coffre immuable isolé :

• création d’un data vault sur un stockage objet WORM avec rétention juridique;
• accès admin hors domaine, bastion et MFA matériel, fenêtres synchronisées via one‑way pull depuis la prod;
• déploiement de runbooks de restauration service‑par‑service et tests trimestriels documentés;
• intégration des journaux du coffre dans le SIEM et alertes sur toute tentative de changement de politique.

Résultat : preuve tangible de conformité DORA art. 12 (politiques, essais, séparation), capacité de restauration validée sous 4 heures pour les systèmes critiques et dossier prêt pour revue CSSF (26/906). Pour un accompagnement local, voir DORA Luxembourg (CSSF).

Premiers pas concrets

1. Avant le 30/06/2026 : actez au comité des risques que la sauvegarde est un contrôle de premier rang pour CSSF 26/906 et DORA. Désignez un service owner et validez RPO/RTO cibles.
2. Évaluez votre exposition : inventaire des dépôts de sauvegarde, séparation d’identités, surface d’attaque (ports/admin), chiffrement et rétention. Recherchez si vos versions sont affectées par des CVE récentes (ex. Veeam CVE‑2026‑44963).
3. Découpez le réseau : créez un segment dédié « vault » avec deny‑all, comptes distincts, bastion et MFA. Désactivez toute suppression/altération hors fenêtre de maintenance.
4. Activez l’immutabilité : WORM/rétention sur au moins une copie. Documentez le break‑glass et journalisez toute tentative de réduction de rétention.
5. Testez et prouvez : organisez un test de restauration complet et consignez les résultats (temps, écarts, actions). Alimentez le registre DORA et votre dossier de conformité CSSF 26/906.

Sources officielles

• CSSF — Nouvelle circulaire CSSF 26/906 (annonce)
• CSSF — Circulaire 26/906 (PDF)
• EUR‑Lex — Règlement (UE) 2022/2554 (DORA), art. 12
• EUR‑Lex — Directive (UE) 2022/2555 (NIS 2), art. 21
• BleepingComputer — Veeam CVE‑2026‑44963, 9 juin 2026