Contexte
Le Commission de Surveillance du Secteur Financier (CSSF) est l’autorité luxembourgeoise de réglementation financière qui supervise les banques, établissements de crédit, compagnies d’assurance et autres sociétés financières. En 2013, la CSSF a publié de nouvelles règles, appelées « circulaires », portant sur le contrôle des outils d’accès (par ex. Active Directory, Oracle Access Manager). Dans la Circulaire 13/554, la CSSF rappelait spécifiquement que les établissements financiers « doivent conserver le contrôle complet des ressources [informatiques] dont ils sont responsables et de l’accès à ces ressources ». En fait, cela signifie que les établissements financiers doivent se doter de moyens pour contrôler les outils d’accès sous-jacents.
L’origine de la circulaire 13/554 est une inquiétude de la CSSF quant à la capacité de sociétés internationales ayant des bureaux au Luxembourg, désignées PSF, de changer ou de contrôler depuis l’extérieur l’accès à leurs ressources informatiques (fichiers, comptes utilisateurs, imprimantes, serveurs), ce qui en vertu de la Loi de 1993 sur le Secteur financier exige l’approbation d’un professionnel du secteur financier (PSF) basé au Luxembourg.
La circulaire 13/554 stipule donc que les PSF du Luxembourg doivent d’abord faire une demande officielle auprès de la CSSF en prouvant qu’elles maîtrisent leurs ressources informatiques locales. Par ailleurs :
- Tout PSF du Luxembourg doit être isolé en tant qu’utilisateur de tout outil d’accès.
- La société doit s’être dotée de lignes de conduite stipulant que seul le PSF est habilité à approuver et à contrôler l’accès à ses ressources et peut procéder à la mise en œuvre technique de ses outils d’accès.
- Toute modification apportée auxdites lignes de conduite relatives aux outils d’accès doit être approuvée par le PSF (on parle de « contrôles préventifs »).
- Le PSF peut annuler toute modification non approuvée apportée aux lignes de conduite relatives aux outils d’accès (« contrôles préventifs »).
Établissements concernés
Les établissements financiers concernés par cette mise en conformité sont recensés dans la Loi de 1993 sur le Secteur financier et comprennent notamment :
- Les sociétés d’investissement (conseillers en investissements, courtiers en bourse, gestionnaires de portefeuille, teneurs de marché, assureurs)
- Les professionnels de la finance (conservateurs, cambistes, dépositaires professionnels, administrateurs de fonds communs de placement)
- Les professionnels du support (agents de communication avec les clients, opérateurs de systèmes informatiques)
Exigences relatives au contrôle de l’outil d’accès
Les PSF doivent apporter la preuve qu’ils conservent le contrôle complet des ressources informatiques dont ils sont responsables et de l’accès à ces ressources. Cela signifie concrètement qu’ils sont tenus de mettre en œuvre des processus et des systèmes (un outil de contrôle) leur permettant de superviser les outils d’accès, de documenter leurs lignes de conduite relatives à l’outil de contrôle, d’auditer toute modification apportée à ces lignes de conduite et de surveiller les outils d’accès eux-mêmes.
Correspondance Fonctionnalité-Exigence
| Exigence 13/554 | Description | Produit Varonis/Fonctionnalité |
|---|---|---|
| Prérequis de Varonis : déterminer le propriétaire des ressources informatiques concernées |
Identifier et affecter des propriétaires pour les groupes de ressources afin d’alimenter le workflow |
Varonis DatAdvantage recommande la révocation des autorisations d’accès aux données pour les utilisateurs qui n’en ont pas besoin pour leur travail. Ainsi, l’accès aux données par les utilisateurs est toujours garanti et déterminé selon le principe du moindre privilège. DatAdvantage génère des rapports montrant l’historique des révocations d’autorisation et le pourcentage de réduction des accès trop permissifs. |
| Contrôle préventif |
Tout établissement financier est tenu de contrôler que toute modification apportée aux lignes de conduite relatives aux outils d’accès est autorisée avant sa mise en œuvre. Ce contrôle préventif évitera l’introduction de toute ligne de conduite non approuvée. |
Varonis DataPrivilege aide les organisations non seulement à définir leurs lignes de conduite en matière d’accès et d’autorisation d’accès à des données non structurées, mais aussi à mettre en place un workflow et les mesures appropriées (c’est-à-dire autoriser, refuser, autoriser pendant une durée limitée). Cela présente un double effet sur la cohérence de la communication au sens large des lignes de conduite en matière d’accès : 1) toutes les parties responsables, notamment les propriétaires des données, auditeurs, utilisateurs des données et le service informatique sont rassemblés autour du même ensemble d’informations et 2) les organisations peuvent surveiller en permanence le cadre d’accès afin d’y apporter des modifications et de l’optimiser tant en termes de conformité que de constance de l’accès garanti. |
| Contrôles correctifs |
Des contrôles correctifs doivent être effectués pour identifier tout éventuel accès non autorisé / changement apporté aux lignes de conduite en matière d’outils d’accès survenu durant la fenêtre de fermeture et apporter les corrections nécessaires. L’accès à l’outil et les modifications apportées aux lignes de conduite internes y afférentes doivent être enregistrés. L’accès à ces registres doit être dûment protégé (par exemple, aucune modification ou suppression par les administrateurs de l’outil) |
Varonis DatAlert envoie des alertes en temps réel sur la base de l’activité du fichier, des modifications apportées à Active Directory, des modifications d’autorisation et d’autres événements. Les critères d’alerte et les messages envoyés sont facilement configurables de manière à ce que les personnes et les systèmes concernés reçoivent les bonnes informations en temps utile et d’une façon appropriée. DatAlert améliore votre capacité à détecter les éventuelles failles de sécurité et mauvaises configurations. DatAlert peut être configuré pour envoyer des alertes en cas de modifications apportées en dehors d’une fenêtre de temps particulière. Varonis DatAdvantage fournit une piste de vérification complète pour le système de fichiers de gouvernance, SharePoint, Directory Services et l’activité Exchange. DataPrivilege en tant que contrôle pour les outils d’accès enregistre toute activité entraînant un changement. |
The post La CSSF du Luxembourg et Varonis appeared first on Varonis Français.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
![[livre-blanc]-dlp-:-3-façons-d’améliorer-la-prévention-des-pertes-de-données-avec-varonis](https://www.varonis.com/hubfs/Imported_Blog_Media/3-fa%C3%A7ons-dlp.png)
![[livre-blanc]-dlp-:-3-façons-d’améliorer-la-prévention-des-pertes-de-données-avec-varonis](https://www.varonis.com/hubfs/c66e86cc545f331a5e9d3ca395580b44.png)
