Le Conseil du gouvernement a adopté un nouveau projet pour la gouvernance en matière de gestion de la sécurité de l’information. Il propose la création d’une Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour le secteur public et les infrastructures critiques : ce qui révise la position des CERT actuels et du SMILE.

Actuellement, l’arrêté grand-ducal du 30 juillet 2013 déterminait seulement les attributions des “Computer Emergency Response Team (CERT) Gouvernemental” qui ont un poids informationnel. A Luxembourg, ils sont au nombre de 3 : le CERT gouvernemental, le CERT national (CIRCL et SMILE que l’on connaît aussi pour les actions de sensibilisation auprès de tous les publics) et le CERT éducation (RESTENA).

Les fonctions de l’ANSSI

La nouvelle agence ANSSI sera donc un nouveau CERT national et gouvernemental. Elle prendra en charge la sécurité des infrastructures critiques (non détaillées dans le communiqué) et sera rattachée au Haut-Commissariat à la protection nationale (HCPN). Ainsi, selon le communiqué, elle « définira les politiques et les lignes directrices en cette matière, veillera à ce que les mesures concernant la sécurité des systèmes d’information soient mises en place et que leur application soit garantie et certifiera les moyens de traitement de l’information non classifiée (systèmes, services, infrastructures ou locaux les abritant). »

Si l’on compare avec ce qui se fait en France, l’ANSSI s’assure que les Opérateurs d’Importance Vitale (OIV, type EDF, etc) adoptent une sécurité raisonnable. Depuis la loi de Programmation Militaire, c’est le Premier ministre qui fixe les règles de sécurité des systèmes d’information des OIV et des opérateurs publics ou privés. Les OIV doivent depuis lors “mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs SI, et notifier sans délai tout incident de sécurité affectant le fonctionnement ou la sécurité de ces derniers. Ils devront, de plus, soumettre leurs Systèmes d’Information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues par la Loi.”

Ce non respect peut être soumis à des sanctions mais sont avant tout une réglementation qui doit rassurer les utilisateurs. Le gouvernement français se pose aussi la question de laisser à l’ANSSI le soin de tenir un listing des entreprises qui répondent aux exigences de la loi en espérant que cette reconnaissance pousse les entreprises à prendre des directives pour ne pas être « black-listées ». Si pour le moment les mesures concernent qu’une infime partie des entreprises on peut se demander si l’Etat ne pourrait pas étendre à toutes sociétés gérant des informations sensibles : par exemples les banques du Luxembourg, les organismes liés à e-santé, etc.

Ne garder que l’ANSSI ?

Le CERT national est actuellement lié au groupement d’intérêt économique SMILE. En attendant l’avancement du projet ANSSI, les différents partis assurent qu’une collaboration est nécessaire et que leur séparation sera précisée par la suite. Les CERT devraient donc être conservés pour traiter des secteurs différents, le tout sous patronage de l’ANSSI.

Il faudra donc encore attendre pour que les missions et les fonctions des différents intervenants soient clarifiées. A l’échelle européenne et internationale, l’heure est à la collaboration entre pays et il est important que le Luxembourg puisse, lui aussi, parler d’une seule voie et échanger des informations qui servirait la lutte contre la cybercriminalité. La création de l’ANSSI affiche l’ambition du gouvernement de prendre de réelles mesures pour la cybersécurité : détection et gestion des risques, notification des incidents, mesures de sécurité et audit.

Une meilleure collaboration nationale et internationale

Une sécurité informatique qui se place donc au niveau de la sécurité nationale, et devrait avoir plus de poids. L’ANSSI France s’était déjà rendue au Luxembourg pour étudier la collaboration des CERT du Grand-Duché. Si l’ANSSI France collabore depuis de nombreuses années avec l’Allemagne elle a assurée vouloir collaborer avec tous les pays francophones de l’UE en priorité lors des journées du Forum International de la Cybersécurité (FIC).

Avoir une entité reconnue et étatique sera un atout certain pour la collaboration internationale et servira « d’interlocuteur pour les personnes physiques et morales, nationales et internationales, et, après réception d’informations, de relais aux CERT sectoriels en charge des victimes de cyber-attaques. » A l’heure ou il ne s’agit plus seulement de vol de données mais aussi de cyber-terrorisme, de sabotage d’installations critiques, etc; le gouvernement est passé d’un engagement en 2014, à une prise d’action en 2015 avec ce Conseil du 21 janvier.

Lire le communiqué