La CSSF met en garde les banques contre certaines volontés centralisatrices des maison-mères en publiant une Access Tools Policy. La filiale accréditée à Luxembourg doit garder le contrôle sur l’accès à ses ressources et de l’y démontrer en cas de centralisation vers les maison-mères.

La Commission de Surveillance du Secteur Financier vient de publier une circulaire (CSSF 13/554) portant sur la maîtrise des outils de gestion des ressources informatiques et sur la gestion des accès à ces ressources.

La CSSF rappelle dans la directive que le contrôle doit rester local pour ce qui est des « outils qui permettent de gérer les droits d’accès aux ressources informatiques connectées à un réseau et/ou de déclarer et d’administrer de manière centralisée ces ressources (comptes utilisateurs, imprimantes, ordinateurs, services, etc.). »

La Commission constate que « certains groupes internationaux de professionnels financiers ont tendance à regrouper ces outils au niveau groupe, dans le but notamment d’aboutir à une gestion homogène et souveraine de ces ressources informatiques. »

Keep control

Hors de question pour l’autorité de la Route d’Arlon d’un blanc seing sur ces questions. La CSSF rappelle que les professionnels du secteur financier doivent conserver le contrôle complet des ressources dont ils sont responsables et de l’accès à ces ressources, en premier lieu pour des raisons de conformité et de gouvernance, et en deuxième lieu pour protéger les données confidentielles soumises au secret professionnel. »

La CSSF a donc précisé dans une note technique « Evolution of the usage and control of the resources access tool » un cadre qui fournit les règles techniques auxquelles les professionnels du secteur financier doivent se conformer. La CSSF demande à tous les établissements concernés de s’assurer de leur conformité à cette note, notamment lorsqu’ils sont confrontés à des exigences issues de leur groupe dans ce domaine. » Immédiatement.

« Toute institution financière qui souhaite utiliser une telle configuration est dans l’obligation d’introduire une demande d’autorisation formelle et détaillée à la CSSF. Le document de demande d’autorisation par l’institution financière doit démontrer que le contrôle sur les ressources sous sa responsabilité est permanent et total. »

Avec @novytweety