Professionnels

23 août 2019

La CSSF tient à mettre en garde les professionnels du secteur financier d’une pratique à proscrire lors d’une soustraitance sur une infrastructure de cloud computing.

Lorsqu’un professionnel du secteur financier fait appel à un revendeur d’une solution de cloud computing en vue d’un projet de sous-traitance, le revendeur peut disposer, au début du projet, d’un accès administrateur à l’interface client. Cet accès permet au revendeur d’effectuer la gestion complète des ressources de cloud computing. Le professionnel du secteur financier peut ainsi faire appel à ce revendeur pour le paramétrage initial de la solution et reprendre ensuite la gestion complète.

Or, dans cette configuration, il est possible que le revendeur conserve son accès à l’interface client après avoir cédé la gestion au professionnel du secteur financier. La CSSF informe les professionnels du secteur financier que cette pratique est à proscrire car elle engendre un accès non-autorisé à leurs ressources de cloud computing. De plus, cette pratique engendre un risque accru pour le secteur financier si un revendeur conserve des accès aux ressources de cloud computing de plusieurs professionnels du secteur financier, sans que cela ne soit autorisé (notamment en cas de cyber attaque visant ce revendeur).

La CSSF demande donc aux professionnels du secteur financier de restreindre l’accès à l’interface client à l’opérateur des ressources uniquement, et de veiller à supprimer les accès des revendeurs si ceux-ci ne sont pas autorisés à opérer les ressources (par exemple, en supprimant le compte utilisé initialement par le revendeur ou au minimum en récupérant la propriété de ce compte et en changeant son mot de passe).