EU frameworkGDPRNIS 2DORAAI ActWhistleblowing
CSSF circularsCSSF 22/806CSSF 25/883CSSF 25/880CSSF 25/881CSSF 25/882CSSF 20/750CSSF 12/552CSSF 11/504
Article 3

Chapitre 3 - Utilisation de services d’informatique en nuage

CSSF Circular 25/882 on requirements for ICT third-party services for DORA entities · CSSF 25/882

Chapitre 3. Utilisation de services d’informatique en nuage fournis par des prestataires tiers de services TIC 21. Ce chapitre fournit principalement des éclaircissements sur la définition de l'informatique en nuage (cloud computing) et des services en nuage en cas d'utilisation de services d'informatique en nuage fournis par des prestataires de services tiers, afin d'établir une identification et une distinction claires entre l'informatique en nuage et les services d'exploitation des ressources. En effet, comme indiqué au point 6 de la présente circulaire, au Luxembourg, les services relatifs aux opérations des ressources ne peuvent être fournis qu’à certains types d'Entités financières par des prestataires de services spécifiques.

6 Conformément à l’article 3 de la décision conjointe des AES publiée le 8 novembre 2024 (uniquement en anglais) 7 Conformément au communiqué de la CSSF publié le 15 janvier 2025 « Entrée en application du règlement DORA au 17 janvier 2025 ».

Sous-chapitre 3.1. Définitions relatives à l’informatique en nuage (cloud computing)

3.1.1. Terminologie spécifique

22. Pour l’application du présent chapitre, on entend par :

1) Services en nuage les services fournis au moyen de l’informatique en nuage, à savoir un modèle permettant d’accéder partout, aisément et à la demande, par le réseau, à des ressources informatiques configurables mutualisées (réseaux, serveurs, stockage, applications et services par exemple) qui peuvent être rapidement mobilisées et libérées avec un minimum d’effort ou d’intervention d’un prestataire de services.

Les services sont considérés comme des services d’informatique en nuage au sens de la présente circulaire si les conditions définies à la section 3.1.2. sont remplies.

2) Interface client la couche logicielle mise à disposition par le fournisseur de services d’informatique en nuage à l’Entité financière pour lui permettre de gérer ses ressources d’informatique en nuage.

3) Ressource d’informatique toute capacité informatique (ex. serveur, stockage, en nuage réseau, etc.) mise à disposition par un fournisseur de services d’informatique en nuage.

4) Fournisseur de services toute entreprise proposant des services d’informatique en nuage d’informatique en nuage correspondant à la définition figurant à la section 3.1.2.

5) Opération des ressources le fait de gérer les ressources d’informatique en nuage mises à disposition via l’interface client. Par extension, on désigne par « opérateur des ressources » la personne physique ou morale qui utilise l’interface client pour gérer les ressources d’informatique en nuage.

3.1.2. Définition de l’informatique en nuage (cloud computing)

23. L’informatique en nuage est un modèle constitué des cinq caractéristiques essentielles suivantes8:

a. Libre-service et à la demande : Une Entité financière9 peut s’approvisionner en capacités informatiques (comme du temps serveur ou du stockage sur le réseau) selon ses besoins, de manière unilatérale et automatique, sans nécessité d’intervention humaine de la part du fournisseur de services d’informatique en nuage.

b. Accès réseau étendu : Les capacités informatiques sont disponibles via le réseau et accessibles via des mécanismes standards qui favorisent l’utilisation par des plateformes hétérogènes, de types client-léger (par exemple, des navigateurs) ou client-lourd (par exemple, des applications spécifiques) sur des équipements variés (par exemple, téléphones portables, tablettes, ordinateurs portables et ordinateurs fixes).

c. Ressources partagées : Les ressources informatiques du fournisseur de services d’informatique en nuage sont partagées afin de servir de multiples Entités (financières) dans un modèle « multi-tenant »10. Les ressources physiques et virtuelles sont dynamiquement allouées et réaffectées en fonction des demandes des Entités financières. L’Entité financière n’a, en règle générale, pas de contrôle ou pas la connaissance quant à l’emplacement exact des ressources mises à disposition. Elle peut néanmoins contrôler ou connaître l’emplacement à un niveau d’abstraction plus élevé (par exemple, le pays, la région ou le centre de données). Ces ressources informatiques partagées incluent, par exemple, le stockage, le traitement, la mémoire et la bande passante du réseau.

d. Elasticité rapide : Les capacités informatiques peuvent être rapidement fournies et libérées, dans certains cas automatiquement, pour s’ajuster à la demande. Du point de vue de l’Entité financière, les capacités informatiques disponibles semblent souvent être illimitées et peuvent être livrées en n’importe quelle quantité et à tout moment.

e. Service mesuré : Les systèmes d’informatique en nuage contrôlent et optimisent automatiquement l'utilisation des ressources en exploitant un indicateur de capacité à un niveau d'abstraction approprié au type de service (par exemple, stockage, traitement, bande passante et comptes d'utilisateurs actifs). L'utilisation des ressources peut être surveillée, contrôlée et rapportée au fournisseur et à l’Entité financière, assurant ainsi la transparence quant au service utilisé.

8 La CSSF s’appuie sur les définitions proposées par des organisations internationales telles que le « National Institute of Standards and Technology » (NIST) ou l’ Agence européenne chargée de la Sécurité des Réseaux et de l’Information (ENISA). 9 Dans un souci de clarté, la définition prend le cas où l’Entité financière est elle-même opérateur des ressources utilisées. 10 Une infrastructure matérielle ou logicielle permettant de servir plusieurs Entités (financières) via des ressources d’informatique en nuage partagées et à l’aide d’un modèle standardisé.

24. Les services sont considérés comme des services d’informatique en nuage au sens de la présente circulaire lorsque les cinq caractéristiques essentielles définies au point 23 sont réunies et que les deux exigences spécifiques suivantes sont remplies :

a. Le personnel travaillant pour le fournisseur de services d’informatique en nuage ne peut en aucun cas accéder aux données et aux systèmes qu’une Entité financière détient sur l’infrastructure informatique en nuage sans avoir obtenu au préalable l’accord explicite de l’Entité financière et sans qu’un mécanisme de surveillance ne soit mis à la disposition de l’Entité financière pour contrôler ces accès. Ces accès doivent revêtir un caractère exceptionnel. Néanmoins, l’accès peut découler d’une obligation légale ou d’un cas d’extrême urgence suite à un incident critique touchant une partie ou l’ensemble des Entités (financières) du fournisseur de services d’informatique en nuage11. Tous les accès du fournisseur de services d’informatique en nuage doivent être restreints et encadrés par des mesures préventives et détectives en ligne avec les bonnes pratiques de sécurité et auditées au moins annuellement.

b. La prestation de services d’informatique en nuage n’engendre aucune interaction manuelle de la part du fournisseur de services d’informatique en nuage pour la gestion quotidienne des ressources d’informatique en nuage utilisées par l’Entité financière12 (par exemple, le provisionnement, la configuration ou la libération de ressources d’informatique en nuage). Ainsi, seul l’opérateur des ressources (qui est soit l’Entité financière, soit un tiers autre que le fournisseur de services d’informatique en nuage) gère son environnement TIC hébergé sur l’infrastructure d’informatique en nuage. Le fournisseur de services d’informatique en nuage peut néanmoins intervenir manuellement :

i. pour la gestion globale des systèmes de TIC supportant l’infrastructure d’informatique en nuage (par exemple, maintenance du matériel physique, déploiement de nouvelles solutions non spécifiques à l’Entité financière) ; ou

ii. dans le cadre d’une demande particulière de l’Entité financière (par exemple, pour provisionner une ressource d’informatique en nuage absente du catalogue proposé par le fournisseur ou insuffisante en performance).

Chapitre 3.2. Responsable de l’utilisation des services en nuage (cloud officer)

25. Par ailleurs, la CSSF rappelle aux Entités financières qu’elles doivent garantir et maintenir des compétences adéquates au sein de l’Entité financière en matière de gestion et de sécurité du service utilisé tel que précisé à l’article 11, paragraphe 2, point k), lettre c), des normes techniques de réglementation précisant les outils, méthodes, processus et politiques de gestion du risque lié aux TIC et le cadre simplifié de gestion du risque lié aux TIC 13. Elles

11 En cas d’extrême urgence, il conviendra de prévenir les Entités financières a posteriori. 12 C’est en effet un système automatisé qui permet de provisionner les ressources, d’où le point 24 a) spécifiant que le personnel ne peut accéder par défaut aux ressources de l’Entité financière. 13 Règlement délégué (UE) 2024/1774 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les outils, méthodes, processus et politiques de gestion du risque lié aux TIC et le cadre simplifié de gestion du risque lié aux TIC

doivent également garantir une attribution claire des rôles et des responsabilités en matière de sécurité de l’information entre l’entité financière et le prestataire tiers de services TIC, conformément au principe selon lequel l’entité financière est pleinement responsable de son prestataire tiers de services TIC tel que précisé à l’article 11, paragraphe 2, point k), lettre b), des mêmes normes techniques de réglementation.

26. Dans ce contexte, l’opérateur des ressources doit désigner parmi ses employés une personne, le « responsable de l’utilisation des services en nuage ».

a. Le responsable de l’utilisation des services en nuage doit avoir pour responsabilité l’utilisation des services d’informatique en nuage et être garant des compétences du personnel gérant les ressources d’informatique en nuage. L’opérateur des ressources veillera à attribuer la fonction de responsable de l’utilisation des services en nuage à une personne qualifiée et maîtrisant les enjeux d’un accord TIC sur une infrastructure informatique en nuage. Le responsable de l’utilisation des services en nuage doit avoir des compétences suffisantes pour assumer sa fonction, sur la base d'une formation appropriée à la gestion et à la sécurité des ressources d'informatique en nuage, spécifique au fournisseur de services d’informatique en nuage. Cette fonction de responsable de l’utilisation des services en nuage peut être exercée par des personnes cumulant déjà d’autres fonctions au sein du département TIC ;

b. Si l’opération des ressources est exercée par l’Entité financière, il est possible que le responsable de l’utilisation des services en nuage puisse cumuler pour responsabilité la gestion des relations avec le fournisseur de services d’informatique en nuage. Si l’Entité financière fait appel à un tiers pour l’opération des ressources d’informatique en nuage, elle devra connaître le nom du responsable de l’utilisation des services en nuage de l’opérateur des ressources.