PLACE FINANCIÈRE & MARCHÉS — Banques

Réglementation

La circulaire-révolution de la CSSF sur le cloud



cssf.jpg

La Commission de surveillance du secteur financier a publié, en fin de semaine dernière, une circulaire en préparation depuis plus d’un an, et régissant dans le détail l’externalisation des services faisant appel aux infrastructures de cloud computing.   

C’est un document de 19 pages publié ce vendredi par la Commission de surveillance du secteur financier (CSSF), et qui constitue sans doute un des textes réglementaires les plus marquants de ces dernières années pour le secteur financier. La circulaire 17/654 relative à la sous-traitance informatique reposant sur une infrastructure de cloud computing est le résultat de plus d’un an de travail et de consultations tous azimuts. Le texte permet de clarifier le cadre réglementaire applicable en matière de sous-traitance, reposant sur une infrastructure de cloud fournie par un prestataire externe.

«Jusqu’à présent, nous étions dans l’impossibilité de répondre à des problématiques de ce genre, car les plus importants fournisseurs de solutions ‘cloud’ ne modifiaient pas leurs contrats et ne donnaient pas la possibilité d’effectuer des audits de leurs systèmes», précise à Paperjam.lu David Hagen, premier conseiller de direction à la CSSF, en charge de la surveillance des systèmes d’information et des PSF de support.

Ces barrières liées à la réglementation et aux principes-clés de la surveillance des activités des établissements financiers ont sauté une à une, au terme de longues et constructives discussions menées auprès des géants du secteur (principalement le quatuor Microsoft, Google, Amazon Web Services et Salesforce), et parfois même initiées par ces sociétés. «Cela fait deux ans que ces grands fournisseurs prennent des contacts avec les acteurs du secteur financier, en particulier les régulateurs, afin de connaître leurs besoins et leurs attentes. La CSSF a été particulièrement active dans ces échanges et nous avons rencontré les dirigeants aux plus hauts niveaux de ces acteurs.»

Il s’agit d’une révolution qui va bouleverser le paysage

David Hagen, CSSF

La circulaire définit, avec précision, le concept même de «cloud computing», permettant de formaliser les choses clairement, autour d’une thématique qui, bien souvent, sert un peu de fourre-tout. Ainsi, cinq caractéristiques essentielles sont requises: un service à la demande et en libre-service de la part de l’utilisateur; un accès au réseau étendu à tous types de plateformes; le partage des ressources dans un modèle «multi-tenant», où la localisation exacte de la ressource (serveur, stockage, réseau…) mise à disposition de l’utilisateur n’est pas nécessairement connue; l’élasticité rapide du système en fonction de la demande et, enfin, un service mesuré, l’utilisation des ressources pouvant être surveillée, contrôlée et rapportée au fournisseur et à l’utilisateur.

Trois modèles de services sont par ailleurs décrits dans la circulaire: «Infrastructure as a service» (IaaS), «Platform as a service» (PaaS) et «Software as a service» (SaaS), dépendant du niveau d’utilisation et de services demandés par l’utilisateur. «Le cloud, ce n’est pas que de la virtualisation», précise M. Hagen. «C’est aussi une interface mise à disposition du client sans la moindre intervention humaine. Le fournisseur de cloud n’a aucun accès aux données.» 

En fonction du niveau «matériel» (impactant directement l’activité de l’utilisateur) ou non de l’activité sous-traitée dans le cloud, l’utilisateur aura besoin d’une autorisation délivrée par le régulateur, ou pourra se contenter d’une simple notification.

Les frontières disparaissent

Dans la «chaîne» du cloud, trois rôles sont à distinguer (même si plusieurs peuvent être cumulés par un seul acteur): l’établissement surveillé (par la CSSF) et consommant des ressources de cloud computing pour le fonctionnement de ses activités (ESCR); l’opérateur des ressources (personne physique ou morale utilisant l’interface client pour gérer les ressources du cloud), et enfin le signataire (celui qui signe le contrat avec le fournisseur de service de cloud computing). Ces trois rôles sont naturellement soumis à des obligations différentes.

Là où la particularité du Luxembourg est mise en avant, c’est que le fournisseur du service cloud n’a pas besoin d’être un organisme agréé par la CSSF. Les obligations réglementaires reviendront alors à l’opérateur des ressources lorsqu’il s’agira d’un PSF de support, ou bien, dans le cas d’une sous-traitance basée à l’étranger, à l’ESCR, qui devra s’assurer que son prestataire est en total respect de la loi.

Si, de fait, le principe de conservation même des données dans les frontières du Luxembourg n’est plus de mise, la CSSF exige que le contrat de service, signé avec le fournisseur de service de cloud computing, soit soumis au droit d’un des pays de l’Union européenne, ainsi qu’une résilience au sein de l’UE des services offerts.

Le cloud officer, une nouvelle fonction

Cette approche introduit une autre nouveauté: la création de la fonction de cloud officer au sein des opérateurs des ressources. Il s’agira d’une (ou plusieurs) personne(s) capable(s) de maîtriser et de documenter la gestion des ressources de cloud computing. Il sera à la matière ce que le data protection officer sera en matière de protection des données personnelles au sein des entreprises.

«Il s’agit d’une révolution qui va bouleverser le paysage», résume David Hagen. «Nous ne nous attendons pas à ce que tous les établissements financiers migrent leur système bancaire ‘core’, mais cela ouvre désormais de multiples possibilités pour des activités secondaires, telles que les messageries ou le CRM.»

Pour accompagner la mise en œuvre de cette circulaire, la CSSF a publié un document FAQ détaillant quelques cas concrets et reprenant les interrogations les plus souvent rencontrées autour de cette thématique. Elle a également remis à jour deux autres circulaires (06/240 et 12/552) relatives à l’organisation administrative et comptable, et la sous-traitance informatique d’une part, ainsi que l’administration centrale, la gouvernance interne et la gestion des risques, d’autre part. Y est, par exemple, supprimée l’obligation de disposer de données encryptées au Luxembourg. La confidentialité et l’intégrité des données seront ainsi désormais régies par les principes du «besoin de savoir» et du «moindre privilège»: l’accès aux données ne sera ainsi donné qu’aux personnes dont la fonction le justifie, dans un but précis, et leurs privilèges sont restreints au strict minimum nécessaire pour exercer leurs fonctions.

Les acteurs de terrain satisfaits

Du côté des acteurs de terrain, cette circulaire semble particulièrement bien accueillie. «La CSSF a publié une circulaire claire, rationnelle, adaptée aux marchés, et basée sur les standards internationaux admis et les usages des clients», résume à Paperjam.lu Yves Reding, le président de l’association Cloud Community Europe – Luxembourg (ex-EuroCloud Luxembourg), qui fédère et défend les intérêts des acteurs du cloud computing. «Ce texte met fin à un régime de dérogations ou de situations parfois très limites en termes d’usage. C’est une remise d’équerre intéressante vis-à-vis du secteur, qui a été très réfléchie d’un point de vue juridique.»

Dans un environnement international en pleine effervescence, les prises de position des uns et des autres évoluent à très grande vitesse. La Commission européenne pousse fortement pour la mise en œuvre d’une «Union digitale», et pointe le fait que «les restrictions injustifiées à la libre circulation des données sont susceptibles de contrarier le développement de l’économie des données au sein de l’UE».

Une remise d’équerre très réfléchie d’un point de vue juridique

Yves Reding, président de Cloud Community Europe – Luxembourg

D’ici à l’automne est attendue une directive européenne qui devrait encore aller plus loin dans la levée de ces barrières numériques. «Les enjeux liés au cloud sont énormes», précise M. Reding. «On ne voit pas encore précisément vers où on va, mais on y va! Demain, les données de tout genre se promèneront quelque part dans le cloud. Il y a encore quelques contraintes, imposées au Luxembourg dans le secteur financier, mais qui sont positives, car portant sur la garantie de sécurité et de qualité. Demain, il y aura clairement des discussions pour savoir si ces contraintes de qualité constituent une barrière ou non.»

Des éléphants à maîtriser

Cloud Community Europe, tout comme Fedil-ICT ou Finance & Technology, a été associée aux réflexions en amont de cette circulaire 17/654 de la CSSF, et est globalement satisfaite d’un texte qui rejoint très largement la dernière prise de position adressée à la CSSF en mars dernier. Mais cela n’empêche pas Yves Reding de mettre en garde devant la toute-puissance des gros acteurs internationaux. «Il est toujours facile, pour l’organisme de régulation, de maîtriser les agissements d’un acteur local. Mais à l’échelle mondiale, ce sont surtout ces très grands opérateurs qui définissent les règles du jeu. Pourra-t-on imposer une certaine traçabilité des données à des acteurs qui ont la possibilité de faire ce qu’ils veulent quand ils veulent? Vouloir appliquer le principe du ‘level playing field’ dans le monde numérique sera un défi majeur. L’avenir nous le dira.»

Le président de Cloud Community Europe – Luxembourg voit là un réel enjeu économique, sociétal, voire politique, qui touche l’ensemble du secteur ICT bien au-delà de la seule problématique du cloud. La souplesse et l’agilité d’un fournisseur de services «local», présent sur place et proche du client, et la force de frappe globale, industrialisée et standardisée des gros acteurs sont deux modèles radicalement antinomiques qui s’opposent. «Sur le marché, il y a des géants, des éléphants, qui font la loi. Dans certains cas de figure, ce sera la capacité de l’Union européenne et des régulateurs à maîtriser les éléphants qui garantira le succès du modèle et la pérennité de l’écosystème digital local.»