#Services IT
31/03/2022
La fin de pandémie liée au Covid-19 est annoncée pour le 30 juin prochain. Il est donc temps pour les entreprises régulées par la CSSF (Commission de Surveillance du Secteur Financier) de mettre en place les procédures nécessaires au respect des exigences du régulateur en matière de télétravail et de gestion de la sous-traitance. Mais entre les circulaires CSSF 22/804 et 22/806, il n’est pas toujours évident de s’y retrouver.
Par où commencer, comment être conforme et quelles actions mettre en place ? Serge Sauvage, Directeur PSF chez Rcube, vous explique tout !
Mise en conformité – calendrier
Dans un premier temps, prendre connaissance des différentes dates de sortie des circulaires est primordial. Pour répondre aux exigences de la CSSF, tous les processus associés aux circulaires doivent être mis en place au sein des entreprises au plus tard pour la date d’entrée en vigueur des textes. Voici un résumé du calendrier des dernières annonces :
Une fois les dates butoirs passées, les règlementations sont considérées comme étant appliquées dans l’ensemble des points et les entités sont sujettes au contrôle du régulateur. Veillez donc bien à ce que tous les processus soient mis en place avant les dates d’entrée en vigueur des circulaires.
Relative aux exigences en matière de télétravail (politiques et contrôles en entreprise), la circulaire CSSF 22/804, auparavant nommée 21/769, entrera en application dès le 1er juillet 2022. Similaire, la circulaire CSSF 22/804 ne contient cependant plus de clause restrictive concernant l’état pandémique.
Cette circulaire sur le télétravail couvre quatre domaines principaux :
Spécialisée dans la cybersécurité et forte de son expérience, l’équipe Rsecure vous assiste dans la mise en conformité de votre entreprise grâce à des évaluations en ligne, des analyses d’écarts, de la rédaction de politiques internes ainsi qu’à l’élaboration de contrôles d’accès à distance.
Il est imposé de sensibiliser les équipes aux risques de cyberattaques, ceci est notamment possible grâce à Rsecure : formations disponibles en ligne, tests de phishing réguliers pour évaluer le niveau de perception du risque de vos équipes et des conseils en matière de sécurisation des équipements.
Rcube vous accompagne également dans cette mise en conformité, notamment en matière de sécurisation de la chaine de communication, de la protection du matériel utilisé par vos collaborateurs, au travers des comptes-rendus de tests de cybersécurité réalisés sur nos installations et enfin par la production d’un reporting de nos plateformes de cloud privé.
Relative à l’externalisation et à la gouvernance en matière de sous-traitance, la circulaire CSSF 22/806 entrera en application dès le 30 juin 2022. Les entreprises bénéficient d’une période transitoire de 6 mois pour se conformer entièrement à la circulaire, et ce notamment concernant les fonctions préalablement sous-traitées qu’elles soient du domaine de l’ICT ou non.
Attention, cette nouvelle circulaire n’abroge aucune précédente circulaire de la CSSF. Elle a le bon ton de réorganiser de façon très structurée les informations qui se trouvaient dispersées dans les principales circulaires d’administration centrale, de gouvernance interne et de gestion des risques et de les modifier en conséquence ; le tout en clarifiant les exigences de notification pour la sous-traitance ICT.
En matière de gestion de leurs infrastructures informatiques, les entités peuvent poser deux choix :
La gestion de l’infrastructure est à charge de l’entité et peut-être sous-traitée auprès d’un prestataire (sous le contrôle de l’entité) au moyen d’interventions sur site ou à distance. Rcube, en tant que PSF de support (OSIRC – art 29-3 LSF), bénéficie d’une reconnaissance du régulateur dans le rôle de gestionnaire d’infrastructure informatique et peut vous assister dans la sous-traitance de cette fonction.
L’externalisation de l’infrastructure mène directement aux notions de cloud computing, cloud public ou d’IT outsourcing.
L’IT Outsourcing est géré extérieurement dans des conditions ne remplissant pas les critères de définition du cloud computing tels qu’exprimés par la CSSF. Comme le propose Rcube, il s’agit d’une infrastructure privée géré par des ressources internes.
Le cloud computing, basé sur un cloud privé ou sur un cloud public, fait intervenir un opérateur de ressources qui gèrera les ressources de l’entité en son nom. La fonction de Cloud Officer, qui peut être sous-traitée, doit être détenue au sein de l’entité ayant le rôle d’opérateur de ressources. Rcube a officiellement annoncé au régulateur sa décision de remplir la fonction d’opérateur de ressources pour les cloud Microsoft 365 et Microsoft Azure pour ses clients à partir de septembre prochain.
Quel que soit le choix posé, l’entité devra garantir qu’elle maitrise les risques internes et externes liés à son dispositif informatique. Il est donc attendu qu’une fonction de responsable du système d’information et de sa sécurité (communément appelée CISO) soit nommé en interne ou sous-traitée. Le profil devra absolument faire preuve de compétences effectives en sécurité de l’information et en cybersécurité.
Pour ces matières de sous-traitance ICT, Rsecure vous accompagne sur trois axes :
En premier pour la définition de votre gouvernance. L’équipe vous assiste dans votre mise en conformité grâce à des évaluations et des analyses d’écarts, des analyses de risques, la détermination de vos stratégies de sortie, la rédaction de vos politiques et procédures et en assistance pour les notifications au régulateur ;
Ensuite, pour les choix en matières de sécurité et de cybersécurité ;
Enfin, grâce à son offre de « CISO as a Service », Rsecure, vous permet de répondre à vos besoins d’externalisation de la fonction de CISO (Chief Information Security Officer).
Vous en savez maintenant plus sur ces deux circulaires de la CSSF.
En savoir plus
Revoir le webinaire.