Les risques liés aux technologies de l’information et de la communication (TIC) font partie intégrante du spectre de risques auxquelles les professionnels financiers d’aujourd’hui font face. Que les professionnels financiers soient parmi les premiers à adopter de nouvelles technologies ou qu’ils aient mis en œuvre des technologies non complexes, ils sont néanmoins exposés aux risques respectifs liés à leur stratégie TIC et à la mise en œuvre opérationnelle des TIC. L’époque où les professionnels financiers étaient capables de mener leurs activités quotidiennes sans l’aide des technologies de l’information et de la communication, est révolue.

Il est donc fondamental que les professionnels financiers gèrent les risques informatiques auxquels ils sont exposés, afin d’éviter des impacts négatifs potentiels sur le fonctionnement opérationnel du professionnel financier, pouvant même aller jusqu’à compromettre la viabilité d’un professionnel financier.

Les chapitres suivants visent à fournir aux professionnels financiers des conseils sur divers sujets liés aux risques informatiques.

Pour des informations complémentaires sur les nouvelles technologies, merci de consulter la page sur l’innovation financière.

Gestion des risques liés aux TIC et à la sécurité

La circulaire CSSF 20/750 met en œuvre les orientations de l’Autorité Bancaire Européenne EBA/GL/2019/04 relative à la gestion des risques liés aux technologies de l’information et de la communication (« TIC ») et à la sécurité (ci-après « orientations TIC »).  Par ailleurs, la circulaire précise que le contenu des orientations TIC correspond également aux attentes de la CSSF concernant les mesures de gestion des risques et les mécanismes de contrôle et de sécurité mentionnés dans la loi du 5 avril 1993 relative au secteur financier (« LSF ») et dans la loi du 10 novembre 2009 relative aux services de paiement (« LSP »). Ainsi, la CSSF attend de toutes les entités agréées selon la LSF et la LSP – qu’elles soient également ou non dans le champ d’application des orientations TIC – qu’elles mettent en œuvre le contenu de ces orientations TIC afin de gérer leurs risques liés aux TIC et à la sécurité.

En outre, le règlement délégué (UE) 2018/389 de la Commission relatif aux normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication (le “RTS”) fixe des exigences clés pour améliorer la sécurité des services de paiement dans l’Union européenne. Les prestataires de services de paiement (“PSP”) concernés par les nouvelles obligations sont ceux définis aux points (i), (ii), (iii) et (iv) de l’article 1er, paragraphe 37, de la loi du 10 novembre 2009 (telle que modifiée par la loi du 20 juillet 2018) concernant les services de paiement et pour lesquels la CSSF est l’autorité compétente désignée à des fins de surveillance en vertu de la loi :

  1. Les établissements de crédit
  2. Les établissements de monnaie électronique
  3. POST Luxembourg
  4. Les établissements de paiement.

Le RTS exige également que tous les prestataires de services de paiement (« PSP ») qui proposent des comptes de paiement accessibles en ligne offrent au moins une interface d’accès permettant une communication sécurisée avec les prestataires de service d’informations sur les comptes (PSIC) et les prestataires de services d’initiation de paiement (PSIP) et l’accès aux données du compte de paiement de l’utilisateur. Les PSPs qui ont choisi d’offrir un accès via une interface dédiée sont tenus de mettre en œuvre un mécanisme de secours (également appelé mécanisme d’urgence), sauf s’ils bénéficient d’une dérogation de la CSSF conformément aux quatre conditions énoncées à l’article 33(6) du RTS.

Tous les PSP concernés qui souhaitent obtenir une telle exemption sont tenus de se référer à la circulaire CSSF 19/720 adoptant les lignes directrices de l’ABE qui précise plus en détail les conditions pour bénéficier d’une exemption du mécanisme de contingence au titre de l’article 33(6) du RTS et de remplir le formulaire de demande d’autorisation d’exemption disponible sur le site Internet de la CSSF. Ce formulaire doit être soumis par courrier électronique à l’adresse psd2‑exemption@cssf.lu.

Circulaires

Sous-traitance informatique

Ces dernières années, particulièrement en raison des récents changements de réglementation, les professionnels financiers ont saisi l’occasion de sous-traiter les activités informatiques. Ils profitent d’économies d’échelle, regroupent leurs efforts avec ceux d’entités du groupe ou font appel à des prestataires de services externes qui leur fournissent des solutions adaptées à leurs modèles d’activités et processus. Néanmoins, la sous-traitance des activités informatiques peut créer des défis pour le cadre de gouvernance des professionnels financiers, en particulier pour les contrôles internes, la gestion et la protection des données, et peut même entraîner des problèmes de sécurité.

D’après les circulaires CSSF 12/552, CSSF 17/656 et 20/758 respectivement, les professionnels financiers doivent obtenir l’autorisation préalable de la CSSF pour la sous-traitance d’une activité informatique importante (considérée comme « fonction critique ou importante » au sens de l’EBA/GL/2019/02). Une FAQ est fournie afin de faciliter l’évaluation de la matérialité. Un formulaire a été élaboré aux fins de l’autorisation, qui doit être soumis à l’agent chargé de la surveillance de l’entité par le biais des canaux de communication convenus, et comme indiqué dans le formulaire. Si la sous-traitance se fait vers un PFS de support conformément aux articles 29-1 à 29-6 de la loi du 5 avril 1993 relative au secteur financier (« LSF »), une notification, indiquant que les conditions fixées dans la circulaire applicable sont respectées, est suffisante.

Veuillez noter que lorsqu’une sous-traitance de nature informatique, ou une chaîne de sous-traitance composée exclusivement de sous-traitances de nature informatique, repose sur une infrastructure de cloud computing telle que définie dans la circulaire CSSF 17/654, les points du sous-chapitre 7.4 de la circulaire CSSF 12/552, de la circulaire CSSF 17/656 et de la circulaire CSSF 20/758 ne s’appliquent pas et il convient au professionnel financier de respecter les exigences de la circulaire CSSF 17/654. Pour plus de détails, voir la section suivante.

D’après la circulaire CSSF 18/698, les gestionnaires de fonds d’investissement doivent notifier préalablement à la CSSF le recours à un tiers pour le conseil, la programmation, la maintenance ou la gestion de systèmes informatiques et ce recours doit être formalisé par un contrat de services. En outre, la circulaire CSSF 17/654 s’applique aux gestionnaires de fonds d’investissement s’ils utilisent cette infrastructure. Pour plus de détails, voir la section suivante.

L’ABE a récemment publié ses orientations relatives à l’externalisation, applicables à partir du 30 septembre 2019, à l’exception du paragraphe 63 (b) qui est applicable à partir du 31 décembre 2021.

Spécificités de la sous-traitance de nature informatique reposant sur une infrastructure informatique en nuage (cloud computing)

La sous-traitance de nature informatique reposant sur une infrastructure de cloud computing est devenue de plus en plus intéressante pour les professionnels financiers au cours des dernières années. La CSSF a été en première ligne de l’analyse des solutions offertes par les fournisseurs de services informatiques en nuage (Cloud Service Providers – CSP) afin de clarifier et d’établir un cadre réglementaire concret en matière de sous-traitance de nature informatique reposant sur des infrastructures de cloud computing.

La circulaire CSSF 17/654, telle que modifiée, qui en résulte, présente deux caractéristiques essentielles, à savoir :

  1. une définition du nuage de la part d’organismes réputés, comprenant les cinq caractéristiques essentielles, et complétée par deux exigences spécifiques liées à l’exclusion de l’accès aux données par le prestataire de services en nuage et à la mise à disposition de ressources automatisées sans intervention humaine ;
  2. la définition des rôles des acteurs impliqués dans l’externalisation et de leurs responsabilités respectives.

Le paragraphe 26 de la circulaire décrit en détail la nécessité d’informer l’autorité compétente lorsqu’il est fait usage de la sous-traitance de nature informatique reposant sur une infrastructure informatique en nuage. Afin de faciliter la soumission de ces informations, une série de 5 formulaires a été créée (formulaire A – formulaire E) et un document de synthèse (disponible dans la section « Guides » ci-dessous) décrit quel formulaire doit être utilisé dans quel cas. Enfin, une FAQ et le modèle de registre sont également fournis.

Circulaires

Publications

Signalement des incidents

La complexité croissante des technologies de l’information et de la communication (TIC), ainsi que l’augmentation des services en ligne et l’interconnexion des professionnels financiers, rend les opérations des professionnels financiers vulnérables aux incidents informatiques et en particulier aux attaques de sécurité externes, y compris les cyber-attaques.

Lorsque des incidents informatiques ou des attaques de sécurité externes se produisent, ils peuvent avoir un impact significatif sur les opérations, les finances et/ou la réputation des professionnels financiers concernés, et peuvent même mettre en danger l’ensemble de l’écosystème ou servir d’alerte préventive pour de futurs incidents.

C’est pourquoi il existe un certain nombre d’obligations de déclaration à l’égard de l’autorité de surveillance (CSSF et/ou BCE) en ce qui concerne la déclaration des incidents informatique et des cyberattaques afin de tenir l’autorité de surveillance informée de ces incidents.

D’après la circulaire CSSF 11/504, tous les établissements soumis à la surveillance de la CSSF sont tenus de signaler les fraudes et les incidents dus à des attaques informatiques externes. Ce reporting doit permettre à la CSSF de suivre de près l’incident individuel ainsi que d’anticiper, si possible, l’impact et les conséquences potentielles pour le marché financier, et peut conduire à la publication de recommandations à l’intention des professionnels financiers sur la base des incidents signalés. Ces rapports d’incidents doivent être soumis à l’agent en charge de la surveillance de l’entité par le biais des canaux de communication convenus.

Par ailleurs, la circulaire CSSF 21/787, applicable à tous les prestataires de services de paiement, transpose les exigences des orientations de l’ABE sur les notifications des incidents majeurs dans le cadre de la PSD2, en imposant aux prestataires de services de paiement de déclarer sans délai à la CSSF les incidents opérationnels ou de sécurité majeurs. Ces rapports doivent être soumis, comme décrit à l’annexe de la circulaire, via le canal de transmission.

Lois, règlements et directives

Circulaires

Autres textes de référence

Formulaires

TIBER-LU

Les entités critiques du secteur financier à Luxembourg doivent pouvoir résister de manière adéquate aux cyber-attaques afin d’assurer leur propre résilience et contribuer ainsi également à celle du secteur financier dans son ensemble. Pour contribuer à cet objectif, la Banque centrale du Luxembourg (BCL) et la Commission de surveillance du secteur financier (CSSF) ont décidé d’adopter conjointement le cadre de test de cyber-piratage contrôlé, dénommé TIBER-LU, en application de leurs missions respectives relatives à la stabilité financière.

L’adoption du cadre TIBER-LU fait suite à la publication, en mai 2018, du cadre européen TIBER1-EU par la Banque centrale européenne. Le cadre TIBER-EU vise à (i) tester la résilience des entités des marchés financiers, (ii) faciliter le test des entités transfrontalières soumises à la supervision de plusieurs autorités et (iii) aider les entités à mieux appréhender leurs capacités en termes de protection, de détection et de réaction, et à lutter contre les cyber-attaques. Dans ce contexte, le cadre TIBER-EU définit une approche européenne harmonisée pour la conduite de tests fondés sur les renseignements et imitant les tactiques, techniques et procédures des pirates informatiques et qui simulent une cyber-attaque contre les fonctions critiques et les systèmes sous-jacents d’une entité.

Le cadre TIBER-EU, qui a été conçu à l’intention des autorités nationales et européennes et des entités essentielles au fonctionnement de l’infrastructure financière, peut être utilisé pour tout type d’entité du secteur financier, ainsi que pour les entités d’autres secteurs.

Conformément au cadre TIBER-EU, chaque juridiction adopte le cadre européen au niveau national en l’appliquant d’une manière qui convienne à ses spécificités.

 

Contacts

tiber@bcl.lu et tiber@cssf.lu

1 Threat Intelligence-based Ethical Red Teaming

Contact

Les questions et documents, sauf indication contraire dans nos circulaires et formulaires, doivent être soumis à l'agent en charge de la supervision de l'entité concernée.