Sous-chapitre 2.2 Les exigences a respecter pour une externalisation sur une infrastructure de cloud computing

infrastructure de cloud computing

137. Conformément au principe de proportionnalité, l’Entité concernée peut, si motivé par des conclusions exhaustives et solides de l’évaluation de la criticité des fonctions et de l’analyse des risques, justifier la non-application des exigences énoncées dans les points suivants de la présente circulaire lorsque les activités externalisées à une infrastructure de cloud computing ne sont pas liées à une fonction critique ou importante et qu’il est peu probable qu’elles le deviennent :

a. point 142(c) : notification de la part du fournisseur de services de cloud computing en cas de changement de fonctionnalités ;

b. point 142(d) : notification de la part de l’opérateur des ressources en cas de changement de fonctionnalités.

138. L’Entité concernée peut externaliser l’« opération des ressources » telle que définie au point 134 à un tiers lorsque ce tiers se trouve dans l’une des deux situations suivantes :

a. Le tiers est autorisé en tant qu’OSIRC conformément à l'article 29-3 de la LSF. Les PSF de support doivent également respecter les exigences de ce chapitre lorsque l’opération des ressources est effectuée pour une entité qui n’est pas un client régulé du secteur financier.

b. Le tiers n’est pas autorisé en tant qu’OSIRC conformément à l'article 29-3 de la LSF, soit parce qu’il est localisé à l’étranger ou parce qu’il s’agit d’une entité du groupe auquel appartient l’Entité concernée, qui est basée au Luxembourg et qui fournit des services opérationnels exclusivement au sein du groupe tel que stipulé à l’article 1-1, paragraphe 2, point c), de la LSF. Dans ce cas, en plus de respecter les exigences décrites dans la présente circulaire, l’Entité concernée doit effectuer une analyse de risques préalable et approfondie sur les activités de l’opérateur des ressources, notamment en vérifiant que les points suivants ont été correctement adressés :

i. les rôles et responsabilités définis entre l’opérateur des ressources et le fournisseur de services de cloud computing ;

ii. la gestion de l’isolation des environnements multi-tenants ;

iii. les indicateurs recueillis par l’opérateur des ressources pour surveiller les systèmes et données sur l’infrastructure de cloud computing ;

iv. les mesures de sécurité techniques et organisationnelles en place pour accéder aux interfaces clients afin de gérer les ressources de cloud computing, y compris la gestion des accès à l’interface client ;

v. la cohérence des politiques d’opérations et de sécurité définies par l’opérateur des ressources avec les configurations des ressources de cloud computing et les mesures de sécurité prévues ;

vi. les compétences des opérateurs (p. ex. certifications, formations techniques) ;

vii. la revue des rapports d’audit du fournisseur de services de cloud computing par l’opérateur des ressources ;

viii. le droit de l’autorité compétente et de l’Entité concernée d’auditer l’opérateur de ressources (en ligne avec les exigences définies aux points 88 à 100).

139. Il convient de préciser qu’une Entité concernée qui se repose sur un fournisseur de services qui cumule les activités de fournisseur de services de cloud computing et d’opérateur de ressources est soumise aux exigences du chapitre 2 à condition que ces deux activités soient proprement ségréguées (c.- à-d. de manière à ce que le personnel exerçant la fonction de fournisseur de services de cloud computing ne puisse pas accéder aux données et rester ainsi en conformité avec la définition de cloud computing au sens de ce chapitre). Ceci est également valable lorsque le fournisseur de services qui cumule les deux activités est autorisé conformément à l'article 29-3 de la LSF. Si cette exigence de ségrégation ne peut être remplie, l’externalisation n’est pas considérée comme une externalisation reposant sur une infrastructure de cloud computing au sens de ce chapitre mais comme une externalisation en matière de TIC classique ; dans un tel cas, seules les exigences du chapitre 1 de la partie II s’appliquent.

140. « Cloud officer »

a. L’opérateur des ressources doit désigner parmi ses employés une personne, le « cloud officer », qui a pour responsabilité l’utilisation des services de cloud computing et qui est garant des compétences du personnel gérant les ressources de cloud computing (voir point 142(a)). L’opérateur des ressources veille à attribuer la fonction de « cloud officer » à une personne qualifiée et maîtrisant les enjeux d’une externalisation sur une infrastructure de cloud computing. Cette fonction peut être exercée par des

personnes cumulant déjà d’autres fonctions au sein du département informatique.

b. Si l’opération des ressources est exercée par l’Entité concernée, il est possible que le « cloud officer » puisse cumuler pour responsabilité la gestion de la relation d’externalisation. Si l’Entité concernée fait appel à un tiers pour l’opération des ressources de cloud computing, l’Entité concernée devra connaître le nom du « cloud officer » de l’opérateur des ressources.

141. Nécessité d’informer l’autorité compétente :

a. Les exigences de notification des points 59 et 60 s’appliquent également aux dispositifs d’externalisation reposant sur une infrastructure de cloud computing. Pour le cas particulier où une entité autorisée conformément à l'article 29-3 de la LSF agit en tant qu’intermédiaire et non pas en tant qu’opérateur des ressources entre une Entité concernée et un fournisseur de services de cloud computing, l’Entité concernée doit soumettre une notification au moins trois (3) mois avant la mise en œuvre effective de l’externalisation prévue pour l’externalisation de fonctions critiques ou importantes au fournisseur de services de cloud computing.

b. Une entité autorisée en tant qu’OSIRC conformément à l'article 29-3 de la LSF doit demander l’autorisation de l’autorité compétente avant de procéder à la commercialisation dans les cas suivants :

i. l’entité a l’intention d’agir en tant qu’opérateur des ressources pour ses clients régulés du secteur financier ;

ii. l’entité a l’intention de fournir une infrastructure cloud à ses clients régulés du secteur financier, agissant ainsi en tant que fournisseur de services de cloud computing ;

iii. l’entité a l’intention de fournir une solution de cloud computing à ses clients régulés du secteur financier, en s’appuyant sur une ou plusieurs infrastructures cloud. Cette entité agit alors en tant que fournisseur de services de cloud computing qui sous-externalise.

c. Sans préjudice du point 119, les PSF de support et leurs succursales autorisés en tant qu’OSIRC conformément à l’article 29-3 de la LSF peuvent partiellement externaliser leurs services d’opérateur des ressources 45 à condition de respecter le point 126 et les exigences énoncées au point 127. Dans un souci de clarté, une autorisation préalable par l’autorité compétente est de ce fait requise comme indiqué au point 127(e). Le point

45 Une telle externalisation par un OSIRC est en fait une sous-externalisation du point de vue des Entités concernées qui externalisent vers cet OSIRC.

129 s’applique mutatis mutandis à la prestation de services d’opérateur de ressources.

142. Gestion des risques d’externalisation :

a. En ligne avec le point 35, l’opérateur des ressources doit conserver l’expertise nécessaire pour contrôler efficacement les prestations ou les tâches externalisées sur une infrastructure de cloud computing et gérer les risques associés à cette externalisation. En outre, l’opérateur des ressources doit s’assurer que le personnel en charge de la gestion des ressources de cloud computing, y compris le « cloud officer », dispose des compétences suffisantes pour assurer ses fonctions sur base de formations appropriées sur la gestion et la sécurité des ressources de cloud computing spécifiques au fournisseur de services de cloud computing.

b. Telle que prévue aux points 66 à 70, une évaluation des risques des dispositifs d’externalisation doit être effectuée par l’Entité concernée. Les risques spécifiques à l’utilisation de technologies de cloud computing doivent aussi faire partie de cette évaluation et comprendre, entre autres : le défaut d’isolation des environnements multi-tenants, les différentes législations applicables (pays de stockage des données et pays d’établissement du fournisseur de services de cloud computing), l’interception des données en transit, la défaillance des télécommunications (p. ex. la connexion Internet), l’utilisation du cloud comme « shadow IT » 46, le manque de portabilité des systèmes une fois ceux-ci déployés sur une infrastructure de cloud computing ou la défaillance de la continuité des services de cloud computing ;

c. Toute modification des fonctionnalités des applications par le fournisseur de services de cloud computing – autres que des modifications liées à la maintenance corrective – doit être communiquée à l’opérateur des ressources, préalablement à sa mise en production, qui doit en informer l’Entité concernée, afin que ceux-ci puissent prendre les mesures nécessaires en cas de changement majeur ou de discontinuité :

d. Toute modification des fonctionnalités des applications gérées par l’opérateur de ressources – autres que des modifications liées à la maintenance corrective – doit être communiquée à l’Entité concernée, préalablement à sa mise en production, afin que celle-ci puisse prendre les mesures nécessaires en cas de changement majeur ou de discontinuité ;

46 Le « shadow IT » est l’utilisation des ressources de TIC non maîtrisée par le département informatique.

e. L’Entité concernée et l’opérateur des ressources doivent avoir pleinement conscience des éléments de continuité et de sécurité qui restent à leurs charges respectives lors du recours à une solution de cloud computing ;

f. L’Entité concernée doit comprendre les risques liés à une infrastructure de cloud computing et l’opérateur des ressources doit les maîtriser ;

g. L’Entité concernée et l’opérateur des ressources doivent savoir à tout moment où se trouvent globalement 47 leurs données et systèmes, qu’il s’agisse aussi bien des environnements de production que des réplications ou sauvegardes.

47 Il est important que l’Entité concernée et l’opérateur des ressources sachent dans quels pays se trouvent les données, cela de manière globale. Par exemple, les données sont réparties entre le pays A et le pays B, mais ne peuvent en aucun cas être dans le pays C.