La fin de pandémie liée au Covid-19 est annoncée pour le 30 juin prochain. Il est donc temps pour les entreprises régulées par la CSSF (Commission de Surveillance du Secteur Financier) de mettre en place les procédures nécessaires au respect des exigences du régulateur en matière de télétravail et de gestion de la sous-traitance. Mais entre les circulaires CSSF 22/804 et  22/806, il n’est pas toujours évident de s’y retrouver.

Par où commencer, comment être conforme et quelles actions mettre en place ? Serge Sauvage, Directeur PSF chez Rcube, vous explique tout !

Mise en conformité – calendrier

Dans un premier temps, prendre connaissance des différentes dates de sortie des circulaires est primordial. Pour répondre aux exigences de la CSSF, tous les processus associés aux circulaires doivent être mis en place au sein des entreprises au plus tard pour la date d’entrée en vigueur des textes. Voici un résumé du calendrier des dernières annonces :

Calendrier de mise en conformité

Une fois les dates butoirs passées, les règlementations sont considérées comme étant appliquées dans l’ensemble des points et les entités sont sujettes au contrôle du régulateur. Veillez donc bien à ce que tous les processus soient mis en place avant les dates d’entrée en vigueur des circulaires.

 

Circulaire 22/804

 

Relative aux exigences en matière de télétravail (politiques et contrôles en entreprise), la circulaire CSSF 22/804, auparavant nommée 21/769, entrera en application dès le 1er juillet 2022. Similaire, la circulaire CSSF 22/804 ne contient cependant plus de clause restrictive concernant l’état pandémique.

Cette circulaire sur le télétravail couvre quatre domaines principaux :

— En matière de gouvernance, les RH devront mettre en place des règles internes et des méthodes de contrôle utiles pour vérifier l’activité de télétravail du personnel.

 

— La sécurité a été une véritable prise de conscience depuis le début de la pandémie. Les entreprises se savent favorables aux tentatives malveillantes (hacking, phishing,..). Le matériel de l’utilisateur à son domicile doit donc être sécurisé, en plus de la chaine de communication entre le bureau et le domicile qui doit être encryptée. Pour une protection maximale, il est également demandé aux entreprises de sensibiliser leurs équipes. Le régulateur se réservera le droit de vérifier que tout est bien mis en place et d’apporter les modifications à la circulaire CSSF 22-804 qu’elle jugera nécessaire.

 

— Au niveau du reporting, les entreprises doivent consigner et conserver les reporting pour que la fonction d’audit interne puisse vérifier et acter de la bonne application des règles en vigueur.

 

Assistance à la conformité

 

  • Rsecure : compliance et sécurité

Spécialisée dans la cybersécurité et forte de son expérience, l’équipe Rsecure vous assiste dans la mise en conformité de votre entreprise grâce à des évaluations en ligne, des analyses d’écarts, de la rédaction de politiques internes ainsi qu’à l’élaboration de contrôles d’accès à distance.

Il est imposé de sensibiliser les équipes aux risques de cyberattaques, ceci est notamment possible grâce à Rsecure :  formations disponibles en ligne, tests de phishing réguliers pour évaluer le niveau de perception du risque de vos équipes et des conseils en matière de sécurisation des équipements.

  • Rcube : sous-traitance ICT

Rcube vous accompagne également dans cette mise en conformité, notamment en matière de sécurisation de la chaine de communication, de la protection du matériel utilisé par vos collaborateurs, au travers des comptes-rendus de tests de cybersécurité réalisés sur nos installations et enfin par la production d’un reporting de nos plateformes de cloud privé.

 

Circulaire 22/806

 

Relative à l’externalisation et à la gouvernance en matière de sous-traitance, la circulaire CSSF 22/806 entrera en application dès le 30 juin 2022. Les entreprises bénéficient d’une période transitoire de 6 mois pour se conformer entièrement à la circulaire, et ce notamment concernant les fonctions préalablement sous-traitées qu’elles soient du domaine de l’ICT ou non.

Attention, cette nouvelle circulaire n’abroge aucune précédente circulaire de la CSSF. Elle a le bon ton de réorganiser de façon très structurée les informations qui se trouvaient dispersées dans les principales circulaires d’administration centrale, de gouvernance interne et de gestion des risques et de les modifier en conséquence ; le tout en clarifiant les exigences de notification pour la sous-traitance ICT.

En matière de gestion de leurs infrastructures informatiques, les entités peuvent poser deux choix :

 

Informatique en local

La gestion de l’infrastructure est à charge de l’entité et peut-être sous-traitée auprès d’un prestataire (sous le contrôle de l’entité) au moyen d’interventions sur site ou à distance. Rcube, en tant que PSF de support (OSIRC – art 29-3  LSF), bénéficie d’une reconnaissance du régulateur dans le rôle de gestionnaire d’infrastructure informatique et peut vous assister dans la sous-traitance de cette fonction.

 

Possibilité d’externalisation de l’informatique

L’externalisation de l’infrastructure mène directement aux notions de cloud computing, cloud public ou d’IT outsourcing.

L’IT Outsourcing est géré extérieurement dans des conditions ne remplissant pas les critères de définition du cloud computing tels qu’exprimés par la CSSF. Comme le propose Rcube, il s’agit d’une infrastructure privée géré par des ressources internes.

Le cloud computing, basé sur un cloud privé ou sur un cloud public, fait intervenir un opérateur de ressources qui gèrera les ressources de l’entité en son nom. La fonction de Cloud Officer, qui peut être sous-traitée, doit être détenue au sein de l’entité ayant le rôle d’opérateur de ressources. Rcube a officiellement annoncé au régulateur sa décision de remplir la fonction d’opérateur de ressources pour les cloud Microsoft 365 et Microsoft Azure pour ses clients à partir de septembre prochain.

Quel que soit le choix posé, l’entité devra garantir qu’elle maitrise les risques internes et externes liés à son dispositif informatique. Il est donc attendu qu’une fonction de responsable du système d’information et de sa sécurité (communément appelée CISO) soit nommé en interne ou sous-traitée. Le profil devra absolument faire preuve de compétences effectives en sécurité de l’information et en cybersécurité.

 

Assistance à la conformité

 

  • Rsecure : compliance et sécurité

Pour ces matières de sous-traitance ICT, Rsecure vous accompagne sur trois axes :

En premier pour la définition de votre gouvernance. L’équipe vous assiste dans votre mise en conformité grâce à des évaluations et des analyses d’écarts, des analyses de risques, la détermination de vos stratégies de sortie, la rédaction de vos politiques et procédures et en assistance pour les notifications au régulateur ;

Ensuite, pour les choix en matières de sécurité et de cybersécurité ;

Enfin, grâce à son offre de « CISO as a Service », Rsecure, vous permet de répondre à vos besoins d’externalisation de la fonction de CISO (Chief Information Security Officer).

 

Vous en savez maintenant plus sur ces deux circulaires de la CSSF. Si vous souhaitez avoir plus de renseignements ou si vous avez une question, n’hésitez pas à nous contacter par mail à sales@rcarre.com ou au +352 31 71 32 555.

 

Revoir le webinaire.