TIC et cyber-risque – pour les entités non-DORA

Les risques liés aux technologies de l’information et de la communication (TIC) font partie intégrante du spectre des risques des institutions financières d’aujourd’hui. Que les institutions financières soient des adeptes précoces des nouvelles technologies ou qu’elles aient mis en œuvre des technologies non complexes, elles sont néanmoins exposées aux risques liés à leur stratégie TIC et à la mise en œuvre opérationnelle des TIC. L’époque où les institutions financières pouvaient exercer leurs activités quotidiennes sans recourir aux technologies de l’information et de la communication est révolue.

Il est donc fondamental que les institutions financières gèrent les risques liés aux TIC auxquels elles sont exposées, afin d’éviter des impacts négatifs potentiels sur le fonctionnement opérationnel de l’institution financière, pouvant même conduire à compromettre la viabilité de l’institution financière.

Les chapitres suivants visent à fournir aux institutions financières non DORA des orientations sur divers sujets liés au risque TIC. Les institutions non DORA comprennent toutes les entités supervisées par la CSSF qui ne répondent pas à la définition d’« entité financière » telle que définie à l’article 2(2) du règlement (UE) 2022/2554. Il s’agit notamment des professionnels du secteur financier (PSF) spécialisés et de support au sens de la loi du 5 avril 1993 relative au secteur financier (LSF), de POST Luxembourg régis par la loi du 15 décembre 2000 relative aux services financiers postaux, et des sociétés de gestion agréées uniquement au titre du 125-1 du chapitre 16 de la loi du 17 décembre 2010 relative aux organismes de placement collectif.

Pour plus d’informations sur les nouvelles technologies, veuillez consulter la page sur l’innovation financière.

La circulaire CSSF 20/750, telle que modifiée, reflète les attentes de la CSSF concernant les mesures de gestion des risques et les dispositifs de contrôle et de sécurité mentionnés dans la loi du 5 avril 1993 relative au secteur financier (« LSF ») et dans la loi du 10 novembre 2009 relative aux services de paiement (« LSP »). La circulaire précise les exigences en matière de gestion des risques liés aux technologies de l’information et de la communication (« TIC ») et à la sécurité.

La circulaire CSSF 21/769 établit des exigences en matière de gouvernance et de sécurité pour les entités supervisées qui mettent en œuvre des solutions de télétravail. L’une des principales exigences de base est que les entités doivent maintenir une administration centrale solide et une substance suffisante dans leurs locaux luxembourgeois. Il s’agit notamment de s’assurer que les membres du personnel travaillant à distance, en particulier les navetteurs transfrontaliers, sont en mesure de revenir dans les locaux de l’entité à tout moment en cas de besoin. La circulaire impose également aux entités de définir une politique de télétravail précisant les activités qui peuvent être effectuées à distance et celles qui doivent rester sur place, ainsi que le nombre minimum d’employés devant être présents dans les locaux pour assurer la continuité des opérations.

La complexité croissante des technologies de l’information et de la communication (TIC), associée à l’augmentation des services en ligne et à l’interconnectivité des institutions financières, rend les opérations de ces dernières de plus en plus vulnérables aux incidents liés aux TIC. Ces incidents peuvent être des pannes de système, des intrusions dans les systèmes et bien d’autres types.

Une fois que les incidents liés aux TIC se produisent, ils peuvent avoir un impact opérationnel, financier et/ou de réputation significatif sur les institutions financières concernées et peuvent même mettre en danger l’ensemble de l’écosystème. Ils peuvent également servir d’indicateurs d’alerte précoce pour des incidents futurs.

En tant que tels, les incidents liés aux TIC doivent être notifiés à l’autorité de surveillance afin de la tenir informée et de lui permettre de suivre de près les différents incidents et d’anticiper, si possible, leur impact et leurs conséquences potentielles sur le marché financier.

En 2024, la circulaire CSSF 24/847 a introduit un cadre modernisé/amélioré de notification des incidents liés aux TIC. Toutefois, certains PSF de support relèvent également de la loi du 28 mai 2019 (la « loi NIS 1 ») en tant que Fournisseurs de Services Numériques (ci-après « FSN »).

Le règlement CSSF N° 24-01 du 5 janvier 2024 relatif à la notification d’incidents en vertu de la loi NIS 1, dans son article 2, informe les FSN de la classification des incidents et des exigences de notification d’incidents majeurs en vertu de la loi NIS 1.

Afin de disposer d’un document uniforme, le règlement renvoie également à la circulaire CSSF 24/847 pour les dispositions relatives à la classification et à la notification des incidents en vertu de la loi NIS 1. Par conséquent, la circulaire détaille le processus de classification et de notification des incidents liés aux TIC pour les entités sous la supervision de la CSSF conformément aux cadres réglementaires du secteur financier et/ou à la loi NIS 1.

Toutefois, les entités qui sont également des prestataires de services de paiement (PSP) au sens de la loi du 10 novembre 2009 (telle que modifiée) relative aux services de paiement (LPS) sont soumises à la circulaire CSSF 25/893 et sont tenues de suivre les procédures de classification et de déclaration des incidents prévues par la loi DORA.

Les incidents liés aux TIC à notifier en vertu de la circulaire CSSF 24/847 sont à soumettre à la CSSF dans les délais prévus à l’annexe I de la circulaire, soit:

• a. via la procédure dédiée « Notification d’incident majeur lié aux TIC » disponible sur le portail eDesk de la CSSF : ou
• b. via l’interface API (S3) fournie par la CSSF.

Les notifications d’incidents majeurs liés aux TIC ainsi que, le cas échéant, de cybermenaces significatives, à notifier en vertu de la circulaire CSSF 25/893 par les PSP sont soumises dans les délais prévus à l’article 5 des RTS sur la notification d’incidents, soit :

• a. via la procédure dédiée « DORA Major ICT-related Incident Notification » disponible sur le portail eDesk de la CSSF : ou
• b. via l’interface API (S3) fournie par la CSSF.

Un guide utilisateur intitulé « Major ICT-related Incident Notification – User Guide » est disponible sur le portail eDesk afin d’aider les entités contrôlées à soumettre leurs notifications conformément aux deux circulaires.

Le cadre TIBER-EU (Threat Intelligence-based Ethical red teaming) fournit des orientations détaillées sur la manière dont les autorités, les entités, les fournisseurs de renseignements sur les menaces et les testeurs de l’équipe rouge devraient travailler ensemble pour tester et améliorer la cyber-résilience des entités en menant des cyber-attaques contrôlées. TIBER-EU encourage la collaboration entre les parties prenantes concernées afin de garantir un processus de test cohérent et efficace. Il s’agit d’un cadre volontaire, et toutes les parties intéressées potentielles peuvent exprimer leur intérêt auprès de la CSSF. Le résultat d’un test TIBER-EU n’est pas une réussite ou un échec, mais fournit des informations précieuses sur les points forts et les domaines d’amélioration d’une entité, favorisant ainsi une culture d’apprentissage continu et d’amélioration de ses pratiques de cybersécurité

En novembre 2021, la Banque centrale du Luxembourg (BCL) et la Commission de surveillance du secteur financier (CSSF) ont décidé d’adopter conjointement le cadre de test de cyber-piratage contrôlé, dénommé TIBER-LU, en application de leurs missions respectives relatives à la stabilité financière. Le guide d’implémentation de TIBER-LU a été revu suite à l’entrée en vigueur de DORA et sera publié prochainement.

Les institutions financières ont de plus en plus saisi l’occasion d’externaliser les activités liées aux TIC. Elles profitent des économies d’échelle, regroupent leurs efforts avec des entités du groupe ou font appel à des prestataires de services externes qui fournissent des solutions adaptées à leurs modèles et processus d’entreprise. Néanmoins, l’externalisation des activités liées aux TIC peut poser des défis au cadre de gouvernance des institutions financières, en particulier aux contrôles internes, à la gestion et à la protection des données, et peut même conduire à des problèmes de sécurité.

En 2022, la CSSF a publié sa circulaire CSSF 22/806, telle que modifiée, sur les accords d’externalisation, qui transpose les lignes directrices de l’EBA sur les accords d’externalisation publiées en 2019. La CSSF a choisi d’étendre le champ d’application afin de promouvoir la convergence au niveau national en incluant les entités supervisées soumises uniquement aux lois locales. La circulaire contient en un seul document les exigences prudentielles relatives aux accords d’externalisation liés aux technologies de l’information et de la communication. En ce qui concerne les contrats d’externalisation des TIC, la circulaire s’applique aux institutions financières telles que définies au point 2 de la circulaire

En vertu de cette circulaire, les entités concernées doivent, conformément au point 59, si elles ont l’intention d’externaliser une fonction critique ou importante, telle que définie dans la circulaire, le notifier à l’autorité compétente en utilisant les instructions et, le cas échéant, les formulaires disponibles sur le site Internet de la CSSF. A noter que les notifications doivent être soumises au moins trois (3) mois avant l’entrée en vigueur de l’externalisation prévue, sauf en cas de recours à un PSF de support luxembourgeois régi par les articles 29-1 à 29-6 LSF, où ce délai de notification est réduit à un (1) mois.

En ce qui concerne les notifications d’externalisation des TIC, les dispositions suivantes s’appliquent :

1. Les entités concernées notifient à la CSSF les accords d’externalisation des TIC en utilisant le formulaire de notification d’externalisation critique ou importante des TIC. Le formulaire doit être soumis à l’agent chargé de la supervision de l’entité du champ de l’enquête via les canaux de communication convenus, et comme indiqué dans les formulaires suivants.
2. Les PSF de support agréés en vertu des articles 29-3, 29-5 et 29-6 et leurs succursales à l’étranger ne peuvent externaliser que partiellement certains services d’opérateurs TIC sous certaines conditions spécifiques, notamment en ayant obtenu l’approbation préalable de la CSSF pour l’externalisation. Les détails sont précisés dans la partie II, sous-chapitre 1.2 de la circulaire. Les PSF de support concernés doivent contacter l’agent en charge de leur supervision afin d’obtenir un feedback sur les informations à soumettre.

La circulaire CSSF 22/806 relative aux accords d’externalisation contient également dans sa partie II un chapitre spécifique (chapitre 2) sur les accords d’externalisation des TIC reposant sur une infrastructure d’informatique en nuage, fournissant une définition de l’« informatique en nuage » aux points 135 et 136, et les exigences spécifiques à respecter lors de l’externalisation vers une infrastructure d’informatique en nuage.

Le point 141.b. décrit en particulier l’exigence d’autorisation pour un PSF de support agréé en tant qu’OSIRC en vertu de l’article 29-3 de la LSF dans le cas où il souhaite commercialiser des activités liées à l’utilisation d’une infrastructure d’informatique en nuage. Les PSF de support concernés doivent contacter l’agent chargé de leur supervision pour obtenir un retour sur les informations à soumettre.

Le règlement délégué (UE) 2018/389 de la Commission concernant les normes techniques réglementaires pour l’authentification forte du client et les normes ouvertes de communication communes et sécurisées (le « RTS »), ainsi que le règlement délégué (UE) 2022/2360 de la Commission modifiant les RTS en ce qui concerne la dérogation de 90 jours pour l’accès aux comptes, fixent des exigences essentielles pour améliorer la sécurité des services de paiement dans l’ensemble de l’Union européenne. Les prestataires de services de paiement (« PSP ») concernés par les nouvelles obligations sont ceux définis aux points (i), (ii), (iii) et (iv) de l’article 1(37) de la loi du 10 novembre 2009 (telle que modifiée) relative aux services de paiement et pour lesquels la CSSF est l’autorité compétente désignée à des fins de surveillance en vertu de la loi :

i) Établissements de crédit
ii) Établissements de monnaie électronique
iii) POST Luxembourg
iv) Établissements de paiement

Les RTS exigent également que tous les prestataires de services de paiement qui proposent des comptes de paiement accessibles en ligne offrent au moins une interface d’accès permettant aux prestataires de services d’information sur les comptes et d’initiation de paiement (PISP et AISP) de communiquer de manière sécurisée avec les données du compte de paiement de l’utilisateur de services de paiement et d’y accéder. Les PSP qui ont choisi d’offrir un accès via une interface dédiée sont tenus de mettre en œuvre un mécanisme de secours (également appelé mécanisme de fallback), à moins qu’ils ne bénéficient d’une exemption de la CSSF conformément aux quatre conditions énoncées à l’article 33(6) des RTS.

Tous les PSP concernés qui souhaiteraient obtenir une telle exemption doivent se référer à la circulaire CSSF 19/720 adoptant les lignes directrices de l’EBA précisant les conditions pour bénéficier d’une exemption du mécanisme d’urgence au titre de l’article 33(6) des RTS et remplir le formulaire de demande d’autorisation d’exemption disponible sur le site de la CSSF. Ce formulaire doit être soumis par email à l’adresse psd2‑exemption@cssf.lu.

La circulaire CSSF 25/880 relative à la gestion des relations avec les utilisateurs de services de paiement et à l’évaluation des PSP en matière de TIC définit des exigences détaillées pour les PSP, couvrant à la fois la gestion des relations avec les utilisateurs de services de paiement et l’obligation de procéder à une évaluation des PSP en matière de TIC et de la soumettre au moyen du formulaire standardisé via le portail eDesk.