Section 2.1.3 Conditions of application of chapter 2
CSSF Circular 22/806 on outsourcing (as amended by CSSF 25/883) · CSSF 22/806
136. Une externalisation est considérée comme une « externalisation sur une infrastructure de cloud computing » au sens de la présente circulaire et soumise aux exigences du chapitre 2 lorsque les cinq caractéristiques essentielles définies au point 135 et les deux exigences spécifiques suivantes sont remplies :
a. Le personnel travaillant pour le fournisseur de services de cloud computing ne peut en aucun cas accéder aux données et aux systèmes qu’une Entité concernée détient sur l’infrastructure de cloud computing sans avoir obtenu au préalable l’accord explicite de l’Entité concernée et sans qu’un mécanisme de surveillance ne soit mis à la disposition de l’Entité concernée pour contrôler les accès réalisés. Ces accès doivent rester exceptionnels. L’accès peut cependant découler d’une obligation légale ou d’un cas d’extrême urgence suite à un incident critique touchant une partie ou l’ensemble des Entités (concernées) du fournisseur de services de cloud computing 43. Tous les accès du fournisseur de services de cloud computing doivent être restreints et encadrés par des mesures préventives et détectives en ligne avec les bonnes pratiques de sécurité et auditées au moins annuellement.
b. La prestation de services de cloud computing n’engendre aucune interaction manuelle de la part du fournisseur de services pour la gestion quotidienne des ressources de cloud computing utilisées par l’Entité concernée 44 (p. ex. le provisionnement, la configuration ou la libération de ressources de cloud
43 Dans ce cas d’extrême urgence, il conviendra de prévenir les Entités concernées a posteriori. 44 C’est en effet un système automatisé qui permet de provisionner les ressources, d’où le point a) spécifiant que le personnel ne peut accéder par défaut aux ressources de l’Entité concernée.
computing). Ainsi, seul l’opérateur des ressources (qui est soit l’Entité concernée, soit un tiers autre que le fournisseur de services de cloud computing) gère son environnement de TIC hébergé sur l’infrastructure de cloud computing. Le fournisseur de services de cloud computing peut néanmoins intervenir manuellement :
i. pour la gestion globale des systèmes de TIC supportant l’infrastructure cloud (p. ex. maintenance du matériel physique, déploiement de nouvelles solutions non spécifiques à l’Entité concernée) ; ou
ii. dans le cadre d’une demande particulière de l’Entité concernée (p. ex. pour provisionner une ressource de cloud computing absente du catalogue proposé par le fournisseur ou insuffisante en performance).