Cyber

Le plan d’intervention d’urgence "PIU Cyber" définit l’action du gouvernement en cas de faille technique ou d’attaque d’envergure contre les systèmes d’information du secteur public et/ou du secteur privé.

Le "PIU Cyber" a pour objectifs :

• d’arrêter les mesures de prévention et de protection,
• de déterminer les organes de gestion de crise,
• de définir les mesures d’urgence, les actions y relatives ainsi que les responsables et acteurs respectifs,
• de fixer le déroulement de la diffusion d’alerte des autorités et de l’information au public.

La situation d'urgence cyber désigne une situation qui découle d'un incident ou d'une attaque risquant d'entraîner un dysfonctionnement majeur, voire une indisponibilité de systèmes de communication et de traitement de l’information qui menace les intérêts vitaux ou les besoins essentiels de tout ou partie du pays ou de la population du Grand-Duché de Luxembourg.

On entend par cybersécurité l’ensemble des outils, politiques, concepts de sécurité, mécanismes de sécurité, lignes directrices, méthodes de gestion des risques, actions, formations, bonnes pratiques, garanties et technologies qui peuvent être utilisés pour protéger le cyberenvironnement et les actifs des organisations et des utilisateurs.

Les objectifs généraux en matière de sécurité sont les suivants :

• disponibilité ;
• intégrité, qui peut englober l’authenticité et la non-répudiation ;
• confidentialité.

L’exécution du plan, élaboré sous la direction du Haut-commissariat à la protection nationale (HCPN), relève du Premier ministre, ministre d’État, du ministre des Communications et des Médias et du ministre l’Économie.

Tous les ministères, administrations et services de l’État sont tenus à coopérer par tous les moyens disponibles à la réalisation des objectifs fixés dans le "PIU Cyber".

Le plan "Cyber" détermine les organes de gestion suivants en situation d’urgence cyber:

• la Cellule de crise (CC);
• la Cellule opérationnelle (CO);
• la Cellule d’évaluation du risque cyber (CERC);
• la Cellule communication/information (CCI).

La Cellule de crise (CC) est activée par le Premier ministre, ministre d’État, en cas d’imminence ou de survenance d’une crise. Elle initie, coordonne et veille à l’exécution de toutes les mesures destinées à faire face à la crise et à ses effets, respectivement à favoriser le retour à l’état normal. Elle prépare les décisions qui s’imposent et les soumet au gouvernement aux fins d’approbation. En cas d’intervention opérationnelle sur le terrain, sa mission s’étend à la coordination et au contrôle de l’exécution.

Dans le contexte d’une situation d’urgence, la composition de la Cellule de crise comporte au moins les personnes suivantes :

• le Haut-commissaire à la protection nationale ;
• le directeur général de la Police grand-ducale ;
• le directeur du Service de renseignement de l’État ;
• le chef d’État-major de l’Armée ;
• le directeur du Centre des technologies de l’information de l’État,
• le chargé de direction du Service des médias et des communications ;
• le chargé de direction du Centre de communications du gouvernement ;
• le directeur du CERT gouvernemental  (Computer Emergency Response Team);
• le directeur du CIRCL (Computer Incident Response Center Luxembourg) ;
• le directeur du Service de la communication de crise.

La Cellule de crise (CC) fonctionne pendant toute la durée de la crise jusqu’au retour à l’état normal : elle initie, coordonne et veille à l’exécution de toutes les mesures destinées à faire face à la crise et à ses effets, respectivement à favoriser le retour à l’état normal.

La Cellule de crise (CC) peut déléguer à une cellule opérationnelle notamment l’exécution, la mise en œuvre et le contrôle des mesures et activités ordonnées.

La vigilance est liée à la connaissance de la menace cyber et à sa juste prise en compte afin d’ajuster les comportements de chacun et les mesures de protection.

En matière de gestion de crise, le rôle de la Cellule d’évaluation du risque cyber (CERC) est de suivre l’évolution de la situation et d’en informer la Cellule de crise (CC). Composé d’experts, elle procède à une évaluation de la situation et à une veille renforcée en amont de l’activation éventuelle de la CC.

La Cellule communication/information (CCI) est en charge de la communication et de l’information aux médias et aux citoyens. La coordination horizontale de l’organisation de la communication externe incombe au Service de la communication de crise.

Le grand public est informé de l’évolution de la situation par le gouvernement ainsi qu’à travers le site www.infocrise.lu.

Le plan met à disposition des responsables en charge de son exécution les outils essentiels afin de pouvoir réagir de façon appropriée et flexible aux événements et de protéger au mieux les citoyens, voire les secteurs concernés, leurs intérêts vitaux et les intérêts économiques nationaux.

Sept mesures sont prévues par le plan Cyber :

• évaluation ;
• veille renforcée ;
• analyse technique ;
• cloisonnement ;
• mise à niveau et protection des systèmes ;
• activation de la réserve nationale cyber ;
• rétablissement des services.

Il s’agit de la première mesure dans le cycle de gestion de crise. Elle permet d'évaluer le degré d’urgence et l'impact de l'incident sur le territoire luxembourgeois.

La mesure « veille renforcée » regroupe les actions à mettre en œuvre lors d'une situation à risque. Il s'agit surtout

• de réaliser des rapports de situation du trafic réseau, sur l'état d'infection des réseaux et sur l'efficacité des contre-mesures mises en place ;
• d'évaluer toutes les statistiques et données disponibles pour déterminer le degré de gravité de la situation afin de pouvoir réagir instantanément le cas échéant.

La mesure "analyse technique" regroupe les actions nécessaires pour analyser en détail une attaque, une intrusion ou tout autre incident informatique qui serait lié à la situation de crise ou qui aurait provoqué la situation de crise.  Il s’agit également d’identifier tous les systèmes impactés de près ou de loin (dommages collatéraux) pour organiser la coordination et la coopération entre les acteurs impliqués ainsi que la communauté CERT internationale.

La mesure "cloisonnement" agit sur le trafic réseau pour contrer d’éventuelles attaques de déni de service (distribuées ou non). Elle peut aussi être appliquée pour isoler efficacement des systèmes menacés et éviter ainsi des fuites d'informations.

La mesure "mise à niveau et protection des systèmes" a pour objectif la prise de contact avec des cibles potentielles, listées selon le type d’attaque, afin de vérifier l’existence de certaines vulnérabilités qui risqueraient ainsi d‘être exploitées par une menace. Cette liste concerne également les systèmes qui pourraient faire l’objet d’une attaque.

Sur base de la vérification de la situation au niveau des vulnérabilités, la CERC propose à la CC de mettre en place

• soit des mesures préventives au niveau des cibles potentielles,
• soit des mesures protectrices au niveau des cibles,
• soit même de procéder à une déconnexion partielle ou totale d’une cible.

La mesure "cloisonnement" est déclenchée lorsque la déconnection d’une cible potentielle s’avère opportune.

La mesure "activation de la réserve nationale cyber" a pour objectif de faire appel aux experts de l’administration publique dans le domaine de la sécurité des systèmes d’information et de communication. En cas de besoin et pour des domaines spécifiques, la réserve peut être complétée par des experts issus du secteur privé ou d’organisations internationales dont le Luxembourg fait partie.

Cette mesure n’est déclenchée qu’en cas de crise ayant une envergure significative et un impact considérable.

De manière générale, cette stratégie de cybersécurité a pour but de protéger les acteurs publics et privés contre les cybermenaces tout en favorisant le développement économique et social dans le cyberespace.

L’introduction de sept objectifs, complétés par des plans d’action se déclinant en des échéanciers précis et la détermination d’acteurs responsables pour la mise en oeuvre des quelque quarante actions respectives, devra permettre une mise en oeuvre adéquate de cette nouvelle stratégie nationale de cybersécurité d’ici fin 2017.

• Objectif 1: Renforcer la coopération nationale
• Objectif 2: Renforcer la coopération internationale
• Objectif 3: Augmenter la résilience de l’infrastructure numérique
• Objectif 4: Combattre la criminalité cyber
• Objectif 5: Informer, former et sensibiliser sur les risques encourus
• Objectif 6: Mettre en place des normes, standards, certificats, labels et référentiels d’exigences pour l’État et les infrastructures critiques
• Objectif 7: Renforcer la coopération avec le monde académique et de la recherche

Le Conseil de gouvernement a approuvé le 27 mars 2015 l’actualisation de la stratégie nationale en matière de cybersécurité II.

En tant qu’autorité nationale en matière de sécurité des systèmes d’information classifiés et non classifiés et exploités par l’État et les opérateurs d’infrastructures critiques pour leurs besoins propres, l’ANSSI définira les politiques et les lignes directrices en cette matière, veillera à ce que les mesures concernant la sécurité des systèmes d’information soient mises en place et que leur application soit garantie et certifiera les moyens de traitement de l’information non classifiée (systèmes, services, infrastructures ou locaux les abritant).

L’ANSSI assurera aussi la fonction de CERT national (centre national de traitement des urgences informatiques) et gouvernemental (centre gouvernemental de traitement des urgences informatiques).

Le projet d’arrêté grand-ducal a été adopté par le Conseil de gouvernement le 21 janvier 2015.

Fonctionnant sous l'autorité du ministre des Communications et des Médias et composé de représentants des ministères concernés, le CSB a eu pour mission la définition et l'élaboration d'une stratégie en matière de sécurité des systèmes d'information.

Le premier plan stratégique de 2011 a été adapté et le Conseil de gouvernement a approuvé le 27 mars 2015 l’actualisation de la stratégie nationale en matière de cybersécurité II.

GOVCERT.LU œuvre à la fois aux niveaux national et international à la protection du Grand-Duché du Luxembourg contre les principales cybermenaces et ce, afin de créer, pour les entreprises luxembourgeoises, un environnement convivial, sûr et fiable et de protéger la vie privée et les droits fondamentaux des citoyens luxembourgeois.

Lancée le 8 juin 2015, la plateforme de promotion nationale pour la cybersécurité SECURITYMADEIN.LU est une initiative du groupement d’intérêt économique (g.i.e) "Security made in Lëtzebuerg" (SMILE) qui a été mandaté en 2010 par le ministère de l’Économie pour promouvoir et renforcer la sécurité de l’information au Luxembourg.

Les quatre objectifs de SECURITYMADEIN.lu sont:

• coordonner les initiatives gouvernementales commeBEE SECURE (sensibilisation du grand public), CASES (promotion de la sécurité de l’information dans les entreprises) et CIRCL (services de coordination et d’action post-incidents);
• soutenir et rendre plus visibles les actions de sensibilisation et de support de ces différentes initiatives auprès de leur public cible;
• promouvoir l’ensemble de la communauté de la sécurité de l’information;
• développer un écosystème de la cybersécurité qui renforcera la visibilité des acteurs et des services en sécurité de l’information luxembourgeois.

Lancée le 8 novembre 2010, BEE SECURE est une initiative commune du ministère de l’Économie, du ministère de la Famille, de l’Intégration et à la Grande Région et du ministère de l’Éducation nationale, de l'Enfance et de la Jeunesse. Elle englobe les actions au niveau de la sensibilisation à une utilisation plus sécurisée des nouvelles technologies de l’information de communication.

L'objectif du programme Safer Internet Plus de la Commission européenne est d'encourager les citoyens européens à bénéficier des nouvelles technologies de l'information de manière sûre et confiante.  En accord avec cette politique, les principaux piliers stratégiques du programme Safer Internet Plus, ainsi que du projet BEE SECURE en tant que partie de ce programme, sont :

• la promotion d'un usage plus sûr d'Internet et des technologies de communication actuelles, notamment auprès des jeunes utilisateurs,
• l'éducation des utilisateurs dans ce domaine, et tout particulièrement auprès des enfants, adolescents, parents, professeurs et éducateurs,
• la lutte contre les contenus illégaux et les comportements dangereux en ligne.

CASES.LU, Cyberworld Awareness & Security Enhancement Services, est le portail de la sécurité de l’information destiné aux PME, citoyens et administrations du Grand-Duché de Luxembourg.

Le projet CASES vise à sensibiliser les internautes aux problèmes liés à la sécurité des systèmes et des réseaux de l’information et de la communication. Le site Internet propose une approche en trois volets :

• SOS – besoin d’aide
• se protéger 
• maîtriser la sécurité

Le Computer Incident Response Center Luxembourg (CIRCL) est une initiative gouvernementale pour le secteur privé, les communes et les entités non-gouvernementales  qui  vise à fournir un centre de réponse systématique aux menaces et aux incidents impactant la sécurité informatique. 

L’objectif du CIRCL est de fournir une protection optimale pour les systèmes d’information et de communication tout en garantissant un système d’alerte et d’avertissement pour les utilisateurs au Luxembourg.

Toute crise cyber étant susceptible d’avoir une dimension internationale, une collaboration internationale est garantie et une assistance internationale est possible tant au niveau des CERTs que dans le cadre des organisations internationales dont le Grand-Duché de Luxembourg fait partie (Union européenne, Benelux, OTAN, ONU, OSCE).