Risque TIC (en cours de révision)

Les risques liés aux technologies de l’information et de la communication (TIC) font partie intégrante du spectre de risques auxquelles les professionnels financiers d’aujourd’hui font face. Que les professionnels financiers soient parmi les premiers à adopter de nouvelles technologies ou qu’ils aient mis en œuvre des technologies non complexes, ils sont néanmoins exposés aux risques respectifs liés à leur stratégie TIC et à la mise en œuvre opérationnelle des TIC. L’époque où les professionnels financiers étaient capables de mener leurs activités quotidiennes sans l’aide des technologies de l’information et de la communication, est révolue.

Il est donc fondamental que les professionnels financiers gèrent les risques informatiques auxquels ils sont exposés, afin d’éviter des impacts négatifs potentiels sur le fonctionnement opérationnel du professionnel financier, pouvant même aller jusqu’à compromettre la viabilité d’un professionnel financier.

Les chapitres suivants visent à fournir aux professionnels financiers des conseils sur divers sujets liés aux risques informatiques.

Pour des informations complémentaires sur les nouvelles technologies, merci de consulter la page sur l’innovation financière.

La circulaire CSSF 20/750 telle que modifiée, met en œuvre les orientations de l’Autorité Bancaire Européenne EBA/GL/2019/04 relative à la gestion des risques liés aux technologies de l’information et de la communication (« TIC ») et à la sécurité (ci-après « orientations TIC »).  Par ailleurs, la circulaire précise que le contenu des orientations TIC correspond également aux attentes de la CSSF concernant les mesures de gestion des risques et les mécanismes de contrôle et de sécurité mentionnés dans la loi du 5 avril 1993 relative au secteur financier (« LSF ») et dans la loi du 10 novembre 2009 relative aux services de paiement (« LSP »). Ainsi, la CSSF attend de toutes les entités agréées selon la LSF et la LSP – qu’elles soient également ou non dans le champ d’application des orientations TIC – qu’elles mettent en œuvre le contenu de ces orientations TIC afin de gérer leurs risques liés aux TIC et à la sécurité.

Par ailleurs, la circulaire CSSF 22/811 relative à l’agrément et à l’organisation des entités agissant en qualité d’administrateur d’OPC précise également au point 76 qu’il est recommandé aux OPC et aux GFI de se conformer aux principes de la circulaire CSSF 20/750, telle que modifiée.

En outre, le règlement délégué (UE) 2018/389 de la Commission relatif aux normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication (le « RTS »), ainsi que le Règlement délégué (UE) 2022/2360 de la Commission du 3 août 2022 modifiant le RTS en ce qui concerne la dérogation de 90 jours pour l’accès aux comptes, fixent des exigences clés pour améliorer la sécurité des services de paiement dans l’Union européenne. Les prestataires de services de paiement (« PSP ») concernés par les nouvelles obligations sont ceux définis aux points (i), (ii), (iii) et (iv) de l’article 1er, paragraphe 37, de la loi du 10 novembre 2009 (telle que modifiée par la loi du 20 juillet 2018) concernant les services de paiement et pour lesquels la CSSF est l’autorité compétente désignée à des fins de surveillance en vertu de la loi :

i) Les établissements de crédit
ii) Les établissements de monnaie électronique
iii) POST Luxembourg
iv) Les établissements de paiement

Le RTS exige également que tous les prestataires de services de paiement (« PSP ») qui proposent des comptes de paiement accessibles en ligne offrent au moins une interface d’accès permettant une communication sécurisée avec les prestataires de service d’informations sur les comptes (PSIC) et les prestataires de services d’initiation de paiement (PSIP) et l’accès aux données du compte de paiement de l’utilisateur. Les PSPs qui ont choisi d’offrir un accès via une interface dédiée sont tenus de mettre en œuvre un mécanisme de secours (également appelé mécanisme d’urgence), sauf s’ils bénéficient d’une dérogation de la CSSF conformément aux quatre conditions énoncées à l’article 33(6) du RTS.

Tous les PSP concernés qui souhaitent obtenir une telle exemption sont tenus de se référer à la circulaire CSSF 19/720 adoptant les lignes directrices de l’EBA qui précise plus en détail les conditions pour bénéficier d’une exemption du mécanisme de contingence au titre de l’article 33(6) du RTS et de remplir le formulaire de demande d’autorisation d’exemption disponible sur le site Internet de la CSSF. Ce formulaire doit être soumis par courrier électronique à l’adresse psd2‑exemption@cssf.lu.

Enfin, tous les PSP doivent soumettre annuellement, en vertu de la circulaire CSSF 20/750, telle que modifiée, une évaluation actualisée et complète des risques liés aux services de paiement. Cette évaluation, intitulée « PSP ICT Assessment », doit être soumise au moyen du formulaire prévu à cet effet sur le portail eDesk de la CSSF, disponible à l’adresse suivante https://edesk.apps.cssf.lu/.

Ces dernières années, particulièrement en raison des récents changements de réglementation, les professionnels financiers ont saisi l’occasion de sous-traiter les activités informatiques. Ils profitent d’économies d’échelle, regroupent leurs efforts avec ceux d’entités du groupe ou font appel à des prestataires de services externes qui leur fournissent des solutions adaptées à leurs modèles d’activités et processus.

Néanmoins, la sous-traitance des activités informatiques peut créer des défis pour le cadre de gouvernance des professionnels financiers, en particulier pour les contrôles internes, la gestion et la protection des données, et peut même entraîner des problèmes de sécurité.

En 2022, la CSSF a publié sa circulaire CSSF 22/806 sur les accords de sous-traitance, qui transpose les lignes directrices de l’EBA sur les accords de sous-traitance publiées en 2019. Alors que les lignes directrices de l’EBA s’appliquent uniquement aux établissements de crédit, aux entreprises d’investissement, aux établissements de paiement et aux établissements de monnaie électronique, la CSSF a choisi d’étendre le champ d’application afin de promouvoir la convergence au niveau national. La circulaire contient en un seul document les exigences prudentielles relatives aux accords de sous-traitance liés aux technologies de l’information et de la communication qui étaient auparavant diffusées dans des circulaires individuelles. En ce qui concerne les accords de sous-traitance des TIC, la circulaire s’applique aux institutions financières telles que définies au point 2 de la circulaire.

En vertu de cette circulaire, les entités concernées doivent, conformément au point 59, si elles ont l’intention de sous-traiter une fonction critique ou importante, telle que définie dans la circulaire, le notifier à l’autorité compétente en utilisant les instructions et, le cas échéant, les formulaires disponibles sur le site Internet de la CSSF. A noter que les notifications doivent être soumises au moins trois (3) mois avant l’entrée en vigueur de la sous-traitance prévue, sauf en cas de recours à un PSF de support luxembourgeois régi par les articles 29-1 à 29-6 LFS, où ce délai de notification est réduit à un (1) mois.

En ce qui concerne les notifications de sous-traitance des TIC, les dispositions suivantes s’appliquent :

1. Les institutions importantes (placées sous la surveillance directe de la BCE) notifient directement à la BCE des accords de sous-traitance des TIC via le portail IMAS. Les instructions à suivre par ces institutions pour soumettre un formulaire de notification sont disponibles sur une page du portail IMAS. La CSSF a publié la circulaire CSSF 23/834 relative à l’utilisation obligatoire du portail IMAS pour certains processus de surveillance, y compris la notification des accords de sous-traitance.
2. Les autres entités concernées (non soumises à la surveillance directe de la BCE) notifient à la CSSF les accords de sous-traitance des TIC en utilisant les formulaires de notification disponibles à la rubrique « Formulaires » ci-dessous. Les formulaires doivent être soumis à l’agent chargé de la surveillance de l’entité concernée via les canaux de communication convenus et selon les modalités indiquées dans les formulaires.
3. Les PSF de support agréés en vertu des articles 29-3, 29-5 et 29-6 et leurs succursales à l’étranger ne peuvent sous-traiter que partiellement certains services d’opérateurs TIC sous certaines conditions spécifiques, notamment en ayant obtenu l’approbation préalable de la CSSF pour la sous-traitance. Les détails sont précisés dans la partie II, sous-chapitre 1.2 de la circulaire. Les PSF de support concernés doivent contacter l’agent en charge de leur supervision afin d’obtenir un feedback sur les informations à soumettre.

Afin de faciliter l’évaluation du caractère critique ou important d’une sous-traitance de TIC, outre les orientations fournies directement dans le chapitre 4 de la circulaire, une FAQ sur l’évaluation de la matérialité de la sous-traitance de TIC est fournie. Il convient de noter qu’en termes de sous-traitance des TIC, l’expression « critique ou importante » doit être considérée comme équivalente à « matérielle ».

La sous-traitance de nature informatique reposant sur une infrastructure de cloud computing est devenue de plus en plus intéressante pour les professionnels financiers au cours des dernières années. La CSSF a été en première ligne de l’analyse des solutions offertes par les fournisseurs de services informatiques en nuage (Cloud Service Providers – CSP) afin de clarifier et d’établir un cadre réglementaire concret en matière de sous-traitance de nature informatique reposant sur des infrastructures de cloud computing. La circulaire CSSF 22/806 relative aux accords de sous-traitance contient donc dans sa partie II un chapitre spécifique (chapitre 2) sur les accords de sous-traitance des TIC reposant sur une infrastructure d’informatique en nuage, fournissant une définition de « l’informatique en nuage » aux points 135 et 136, et les exigences spécifiques à respecter lors de la sous-traitance vers une infrastructure d’informatique en nuage.

Le point 141.b. décrit en particulier l’exigence d’autorisation pour un PSF de support agréé en tant qu’OSIRC en vertu de l’article 29-3 de la LSF s’il souhaite commercialiser des activités liées à l’utilisation d’une infrastructure informatique en nuage. Les PSF de support concernés doivent contacter l’agent en charge de leur supervision afin d’obtenir un feedback sur les informations à soumettre.

La complexité croissante des technologies de l’information et de la communication (TIC), associée à l’augmentation des services en ligne et à l’interconnexion des institutions financières, rend les opérations de ces dernières de plus en plus vulnérables aux incidents liés aux TIC. Ces incidents peuvent être des pannes de système, des intrusions dans les systèmes et bien d’autres types.

Lorsque des incidents liés aux TIC se produisent, ils peuvent avoir un impact opérationnel, financier et/ou réputationnel important sur les institutions financières concernées et peuvent même mettre en danger l’ensemble de l’écosystème. Ils peuvent également servir d’indicateurs d’alerte précoce à de futurs incidents.

C’est pourquoi, il existe des obligations de notification à l’égard de l’autorité de surveillance (CSSF et/ou BCE) en ce qui concerne la notification des incidents liés aux TIC afin de tenir l’autorité de surveillance informée de ces incidents et de lui permettre de suivre de près les incidents individuels et d’anticiper, si possible, l’impact et les conséquences potentielles pour le marché financier.

En vertu de la circulaire CSSF 11/504, tous les établissements soumis à la surveillance de la CSSF sont tenus de notifier les fraudes et incidents dus à des attaques informatiques externes.

Afin d’obtenir une meilleure vue d’ensemble de la nature, de la fréquence, de l’importance et de l’impact des incidents liés aux TIC, la circulaire CSSF 11/504 sera progressivement abrogée et remplacée pour toutes les entités supervisées, par la circulaire CSSF 24/847 introduisant un cadre modernisé / amélioré pour la notification des incidents liés aux TIC. La circulaire CSSF 24/847 entre en vigueur

• le 1^er avril 2024 pour les entités supervisées telles que définies aux points 2 a) à d) et k) à p) de la section 1.1. et
• le 1^er juin 2024 pour les entités supervisées telles que définies au point 2 e) à j) de la section 1.1.

Conformément à l’article 3 de la loi du 28 mai 2019 (la « loi NIS »), la CSSF est également l’autorité compétente en matière de sécurité des réseaux et de l’information pour les établissements de crédit et les infrastructures de marchés financiers qui ont été identifiés comme Opérateurs de Services Essentiels (ci-après « OSE »), ainsi que pour les Fournisseurs de Services Numériques (ci-après « FSN ») qui sont déjà sous la surveillance de la CSSF (« autorité NIS »).

Le règlement CSSF N° 24-01 du 5 janvier 2024 relatif à la notification d’incidents en vertu de la loi NIS, qui entre en vigueur le 1er avril 2024, informe, dans son article 2, les OSE et FSN des exigences en matière de classification des incidents et de notification des incidents majeurs en vertu de la loi NIS. Ce règlement renvoie en outre à la circulaire CSSF 24/847 pour les dispositions relatives à la classification et à la notification des incidents en vertu de la loi NIS. Cela permet d’avoir un document uniforme détaillant le processus de classification et de notification des incidents liés aux TIC pour toutes les entités sous la supervision de la CSSF conformément aux cadres réglementaires du secteur financier et/ou à la loi NIS.

Les incidents liés au TIC à notifier en vertu de la circulaire CSSF 24/847 sont à soumettre à la CSSF dans les délais prévus à l’annexe I de la circulaire soit :

• a. via la procédure dédiée « Major ICT-related Incident Notification » disponible sur le portail CSSF eDesk (edesk.apps.cssf.lu) : ou
• b. via l’interface API (S3) fournie par la CSSF.

Un guide d’utilisation dédié intitulé « Major ICT-related Incident Notification – User Guide » est disponible sur le portail eDesk (lien ci-dessous) pour aider les entités supervisées à soumettre leurs notifications.

Certaines entités contrôlées sont également soumises à d’autres obligations réglementaires en matière de déclaration d’incidents. Afin d’éviter les doubles déclarations, le point 7 de la circulaire précise que les incidents relevant de plusieurs cadres de déclaration ne doivent être déclarés qu’une seule fois, dans la quasi-totalité des cas, conformément aux autres obligations réglementaires, telles que :

En vertu de la circulaire CSSF 21/787, applicable à tous les prestataires de services de paiement et transposant les exigences des lignes directrices de l’EBA sur la notification des incidents majeurs dans le cadre de la DSP2, les prestataires de services de paiement sont tenus de notifier à la CSSF les incidents opérationnels ou de sécurité majeurs.

Toutes les institutions importantes sont tenues de notifier à la BCE les cyber-incidents importants, conformément au cadre de notification des cyber-incidents de la BCE.

Tous les dépositaires centraux de titres (DCT) sont tenus de :

a. Informer la CSSF des incidents opérationnels visés à l’article 45, paragraphe 6, du règlement (UE) n° 909/2014 relatif à la notification des incidents résultant des risques que les participants clés, les prestataires de services et les fournisseurs de service de réseau, d’autres dépositaires centraux de titres (DCT) ou d’autres infrastructures de marché pourraient faire peser sur les opérations du DCT, et/ou ;

b. Communiquer à la CSSF le résultat de l’examen « post-incident » conformément à l’article 71, paragraphe 4, point b), du règlement délégué (UE) 2017/392 de la Commission du 11 novembre 2016 complétant le règlement (UE) n° 909/2014 concernant la notification à l’autorité compétente des incidents opérationnels significatifs.

Les entités critiques du secteur financier à Luxembourg doivent pouvoir résister de manière adéquate aux cyber-attaques afin d’assurer leur propre résilience et contribuer ainsi également à celle du secteur financier dans son ensemble. Pour contribuer à cet objectif, la Banque centrale du Luxembourg (BCL) et la Commission de surveillance du secteur financier (CSSF) ont décidé d’adopter conjointement le cadre de test de cyber-piratage contrôlé, dénommé TIBER-LU, en application de leurs missions respectives relatives à la stabilité financière.

L’adoption du cadre TIBER-LU fait suite à la publication, en mai 2018, du cadre européen TIBER1-EU par la Banque centrale européenne. Le cadre TIBER-EU vise à (i) tester la résilience des entités des marchés financiers, (ii) faciliter le test des entités transfrontalières soumises à la supervision de plusieurs autorités et (iii) aider les entités à mieux appréhender leurs capacités en termes de protection, de détection et de réaction, et à lutter contre les cyber-attaques. Dans ce contexte, le cadre TIBER-EU définit une approche européenne harmonisée pour la conduite de tests fondés sur les renseignements et imitant les tactiques, techniques et procédures des pirates informatiques et qui simulent une cyber-attaque contre les fonctions critiques et les systèmes sous-jacents d’une entité.

Le cadre TIBER-EU, qui a été conçu à l’intention des autorités nationales et européennes et des entités essentielles au fonctionnement de l’infrastructure financière, peut être utilisé pour tout type d’entité du secteur financier, ainsi que pour les entités d’autres secteurs.

Conformément au cadre TIBER-EU, chaque juridiction adopte le cadre européen au niveau national en l’appliquant d’une manière qui convienne à ses spécificités.