Section 4.3.4 Plans de sortie

111. Lorsqu’elles externalisent des fonctions critiques ou importantes, les Entités concernées doivent disposer d’un plan de sortie documenté qui soit conforme à leur politique d’externalisation ainsi qu’à leurs stratégies de sortie et leurs plans de continuité de l’activité, et qui prenne au moins en compte les éventualités suivantes :

a. la résiliation des accords d’externalisation ;

b. la défaillance du prestataire de services ;

c. la détérioration de la qualité de la fonction assurée et les perturbations réelles ou potentielles de l’activité dues à la fourniture inadéquate ou défaillante de la fonction ;

d. les risques significatifs découlant de la fourniture adéquate et continue de la fonction.

112. Les Entités concernées doivent s’assurer qu’elles sont en mesure de se retirer des accords d’externalisation sans que cela n’entraîne de perturbations dans leurs activités commerciales, sans limiter leur conformité aux exigences réglementaires et sans nuire à la continuité et à la qualité des services qu’elles fournissent aux clients. Pour ce faire, elles doivent :

a. élaborer et mettre en œuvre des plans de sortie complets, documentés et suffisamment testés, le cas échéant (p. ex. en effectuant une analyse des

31 Voir également la circulaire CSSF 21/787.

éventuels coûts, incidences, ressources et conséquences en termes de délais du transfert d’un service externalisé vers un autre prestataire) ; et

b. définir des solutions alternatives et élaborer des plans de transition pour permettre à l’Entité concernée de retirer et de transférer des fonctions et des données externalisées du prestataire de services vers d’autres prestataires, ou de les réinternaliser, ou de prendre d’autres mesures garantissant la continuité de l’exercice de la fonction ou de l’activité commerciale critique ou importante, d’une manière contrôlée et suffisamment testée, en tenant compte des difficultés susceptibles de résulter de la localisation des données et en prenant les mesures nécessaires au maintien de la continuité des activités pendant la phase de transition.

113. Lors de l’élaboration de plans de sortie, les Entités concernées doivent :

a. définir les objectifs du plan de sortie ;

b. réaliser une analyse d’impact sur l’activité qui soit proportionnée au risque des processus, des services ou des activités externalisés, afin de déterminer les ressources humaines et financières nécessaires à la mise en œuvre du plan de sortie ainsi que le temps nécessaire pour procéder à la sortie du dispositif d’externalisation ;

c. attribuer des fonctions, des responsabilités et des ressources suffisantes pour la gestion des plans de sortie et des activités de transition ;

d. définir des critères de réussite de la transition des fonctions et des données externalisées ; et

e. définir les indicateurs à utiliser pour le suivi du dispositif d’externalisation (tel que prévu aux points 104 à 110), y compris des indicateurs fondés sur des niveaux de service inacceptables qui doivent déclencher la sortie.

Partie II - Exigences relatives aux dispositifs d’externalisation en matière de TIC 114. L’objectif de cette partie est de définir les exigences spécifiques qui s’appliquent dans le contexte de l’externalisation de services TIC (cloud ou non- cloud), et qui doivent être remplies en sus des exigences générales établies dans la partie I de la présente circulaire. Les dispositions suivantes contribuent à la

gestion saine et prudente, à la bonne organisation des Entités concernées et à la préservation de la sécurité de l’information des Entités concernées 32.

115. Les exigences définies dans la présente partie II ne s’appliquent pas à l’externalisation de nature métier ou administrative (aussi appelée business process outsourcing, c’est-à-dire aux dispositifs d’externalisation qui ne sont pas exclusivement relatifs aux TIC), même si ces dispositifs d’externalisation comportent eux-mêmes une externalisation en matière de TIC, c’est-à-dire que les systèmes de TIC sous-jacents font partie de cette externalisation de nature métier ou administrative.

116. Lorsque l’externalisation en matière de TIC, ou au moins un des sous- traitants en cas de sous-externalisation, repose sur une infrastructure de cloud computing telle que définie au point 1, les Entités concernées doivent se conformer aux exigences énoncées aux points 114 à 119, si applicable, ainsi qu’au chapitre 2 de la partie II. Dans le cas de dispositifs d’externalisation en matière de TIC autres que ceux reposant sur une infrastructure de cloud computing telle que définie au point 1, les Entités concernées doivent se conformer aux exigences énoncées aux points 114 à 119, si applicable, ainsi qu’au chapitre 1 de la partie II.

117. Dans le cas de sous-externalisation en matière de TIC, les exigences de cette partie (telles qu’applicables conformément au point 116) doivent s’appliquer à toute la chaîne d’externalisation.

118. Conformément au principe de proportionnalité, une Entité concernée peut, si motivé par des conclusions exhaustives et solides de l’évaluation de la criticité des fonctions et de l’analyse des risques, justifier la non-application des exigences énoncées dans les points suivants lorsque l’externalisation en matière de TIC n’est pas critique ou importante et qu’il est peu probable qu’elle le devienne :

a. point 103 : la continuité en cas de résolution ou réorganisation ou d’une autre procédure ; et

b. point 112(b) : le transfert des services lorsque la continuité de la prestation de services est menacée.

119. Il est rappelé aux Entités concernées que pour tout dispositif d’externalisation en matière de TIC, elles doivent :

a. s’assurer que l’accès aux données et systèmes respecte les principes du « besoin de savoir » et du « moindre privilège », c’est-à-dire que l’accès

32 Comme prévu, entre autres, à l’article 5, paragraphe 1bis, de la LSF, l’article 17 de la LSF, l’article 11, paragraphe 2, de la LSP, au point 135 de la circulaire CSSF 18/698, à l’article 5, paragraphe 2, du règlement CSSF N° 10-04 et à l’article 57, paragraphe 2, du règlement délégué (UE) 231/2013.

n’est octroyé qu’aux personnes dont la fonction le justifie, dans un but précis, et leurs privilèges sont restreints au strict minimum nécessaire pour exercer leurs fonctions ; et

b. s’assurer que l’accès aux données soumises au secret professionnel est accordé conformément à l’article 41, paragraphe 2bis, de la LSF ou à l’article 30, paragraphe 2bis, de la LSP, le cas échéant.

Chapitre 1. Dispositifs d’externalisation en matière de TIC autres que ceux reposant sur une infrastructure de cloud computing

120. Les exigences des points 59 et 60 s’appliquent aux dispositifs d’externalisation en matière de TIC concernés par le présent chapitre.