Le Cyber Security Board mis en place par le gouvernement en juillet 2011 a tenu sa quatrième réunion en date du 4 juin 2012 sous la présidence du ministre des Communications et Médias, François Biltgen. Le groupe de travail a notamment mis en évidence la nécessité de créer une porte d’entrée unique pour permettre aux citoyens et aux entreprises de remonter les cyber incidents, attaques ou failles de sécurité.

Trois grands sujets étaient à l’ordre du jour. Après avoir pris connaissance de l’état d’avancement des travaux des trois groupes de travail mis en place par le Board lors de ses réunions précédentes, le Board a décidé de créer une porte d’entrée unique permettant de centraliser le signalement des incidents en matière de cyber sécurité effectués par les citoyens et de permettre de centraliser le signalement d’incidents pour les rediriger vers les acteurs en charge d’assurer le suivi.

Le gouvernement ouvre la porte CERT.lu

A l’heure actuelle, il reste à définir la méthodologie qui permettra de créer ce Guichet de Cyber Sécurité qui devra assurer le dispatching des incidents vers les autorités compétentes, qu’elles soient les CERT’s (GovCert pour la matière publique, Restena, pour l’environnement de l’éducation ou CIRCL, grand public) mais aussi la CNPD, la CSSF, ILR ou les associations et initiatives telles Smile, CASES,… Un écosystème d’intervenants qui est habituel en Europe.

Même si un CERT of CERT’s n’est pas à l’ordre du jour, une première page a été créée sur le web à l’initiative de CIRCL, CERT.lu, et pointe déjà les trois grands CERT’s luxembourgeois.

Budapest, avec dix ans de retard…

Le ministre des Communications et des Médias a ensuite informé les membres du Board que les travaux préparatoires en vue de transposer la Convention du Conseil de l’Europe en matière de cybercriminalité ainsi que la directive relative aux attaques visant les systèmes d’information sont en cours pour doter le Luxembourg d’un droit pénal efficace en la matière.

La première, la Convention du Conseil de l’Europe en matière de cybercriminalité, a été discutée lors de la Convention de Budapest le 23 novembre 2001 et adoptée et entrée en vigueur le 1er juillet 2004. Le Luxembourg n’a toujours pas adopté les textes du Conseil de l’Europe, dix ans plus tard. Le Grand-Duché fait partie du groupe des retardataires (et ils sont nombreux) sur ce sujet, alors que la Cyber Sécurité a fait l’objet d’une Stratégie Nationale. Le Ministre tend justement à combler ce délais.

Aussi au menu du Cyber Security Board

Lors du Cyber Security Board, l’Institut luxembourgeois de Régulation (ILR) a fait une présentation de sa mission qui découle des articles 45 et 46 de la loi du 27 février 2011 sur les réseaux et les services de communication électroniques. Ces articles créent à charge des entreprises qui fournissent des réseaux de communications publics ou des services de communications électroniques accessibles au public l’obligation de prendre des mesures techniques et organisationnelles adéquates pour gérer le risque en matière de sécurité et de prendre des mesures appropriées pour assurer l’intégrité des réseaux en vue de garantir la continuité des services fournis par eux.