L’avenir sera multi-cloud

La mise à jour de la circulaire CSSF 17/654 facilite encore les démarches permettant aux acteurs du secteur financier de recourir à des solutions dans le cloud. David Hagen, CIO de la Commission de Surveillance du Secteur Financier, évoquait les changements intervenus en la matière lors du récent événement proposé par Fujitsu et ITnation autour du cloud.

Crédit photo Marie de Decker

Aujourd’hui, les solutions cloud constituent de réels vecteurs d’amélioration de la performance des entreprises… pour peu que l’on puisse y accéder. Pour des raisons de préservation des données et de confidentialité, les acteurs luxembourgeois de la finance ne peuvent y recourir que sous strictes conditions. En 2017, la CSSF les édictait dans une circulaire, permettant officiellement aux organisations régulées de profiter des avantages du cloud. Au début de cette année, l’autorité de surveillance du secteur mettait à jour cette circulaire, avec la volonté de faciliter encore plus l’accès à ces solutions, indispensables à la transformation digitale du secteur. Lors de l’événement autour du cloud, récemment animé par Fujitsu, David Hagen, CIO de la CSSF, avait été invité à faire un point sur les changements intervenus.

 

Deux tiers des dossiers relatifs à des activités non critiques

Dire que cette circulaire était attendue, il y a deux ans, est un euphémisme. L’afflux de demandes qui a suivi sa publication a considérablement élevé la charge de travail, au niveau de la CSSF, qui a pour mission de contrôler les dossiers de demandes de recours à des solutions cloud. « 67% des dossiers traités concernent des activités non matérielles, impliquant un niveau de risque faible. La procédure en place jusqu’au début de cette année entrainait beaucoup de questions de la part des acteurs régulés, de nombreux allers-retours pour compléter les dossiers. Leur traitement exige un effort considérable pour l’ensemble des parties », explique David Hagen.

 

Traitement disproportionné

Dans ce contexte, la charge de travail, tant pour constituer le dossier et répondre aux exigences que pour le traiter, s’est avérée quelque peu disproportionnée. Deux ans après la publication de la circulaire, le régulateur a donc procédé à un état des lieux, histoire de voir s’il était opportun d’effectuer des adaptations. « Les exigences définies au départ pour le recours à des solutions cloud étaient les mêmes pour des activités matérielles ou non matérielles. Une opportunité d’offrir une flexibilité plus grande pour l’externalisation dans le cloud de fonctions considérées comme non critiques a donc été identifiée, poursuit David Hagen. En outre, il y avait lieu de procéder, au sein de la circulaire, à certaines modifications afin qu’elle soit alignée avec les recommandations de l’EBA en matière d’externalisation de services auprès de cloud providers, mais aussi avec la circulaire CSSF 18/698, s’appliquant pour sa part aux gestionnaires de fonds d’investissement. »

 

Principe de proportionnalité

La circulaire CSSF 19/714, qui amende la précédente circulaire cloud, introduit un principe de proportionnalité. « Cet amendement procure davantage de latitude vis-à-vis de certaines exigences dans le cadre d’externalisation d’activités considérées comme non critiques, explique David Hagen. Il n’est plus nécessaire de notifier le fait d’externaliser dans le cloud des fonctions non critiques. Il est par contre désormais exigé de la part de chaque entité supervisée de maintenir un registre de tous les éléments traités au niveau d’un environnement cloud. » Il est important de noter que ce principe de proportionnalité revêt un caractère optionnel. Il appartient à chaque entité supervisée de décider d’en profiter ou non. Au final, chaque élément devra être justifié au sein du registre.

 

Activités matérielles ou non matérielles

Les amendements effectués doivent donc largement faciliter l’accès à des solutions cloud pour des fonctions considérées comme non critiques. Ils doivent aussi contribuer à la réduction de la charge du traitement des dossiers et donc accélérer ceux relatifs à des activités critiques. Dans ce contexte, il faut donc s’entendre sur la notion d’activité critique (« material », selon le jargon de la CSSF) ou non critique (« non material »). La CSSF, à travers un guide adressé aux entités a pris soin de bien faire la distinction. La matérialité peut être définie suivant deux appréciations. D’un point de vue technique, une fonction pourra être considérée comme critique si la sécurité et la disponibilité des opérations en dépendent. D’un point de vue business, un service, une fonction ou une activité externalisé dans le cloud sera considéré comme matériel si, en cas de dysfonctionnement, il impacte des éléments financiers, réglementaires ou encore relatifs à la réputation.