Arrêté grand-ducal du 9 mai 2018 déterminant l’organisation et les attributions du Centre de traitement des urgences informatiques, dénommé « CERT Gouvernemental ».

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,

Vu l’article 76 de la Constitution ;

Vu l’arrêté royal grand-ducal du 9 juillet 1857 portant organisation du Gouvernement grand-ducal, tel qu’il a été modifié ;

Vu l’arrêté grand-ducal du 28 janvier 2015 portant constitution des Ministères ;

Sur le rapport de Notre Premier Ministre, Ministre d’État et après délibération du Gouvernement en Conseil ;

Arrêtons :

Art. 1er.

Il est créé auprès du Premier Ministre, Ministre d’État, un Centre de traitement des urgences informatiques, appelé « CERT Gouvernemental ».

Le CERT Gouvernemental est soumis à l’autorité du Haut-Commissariat à la Protection nationale.

Art. 2.

(1)

Le CERT Gouvernemental a pour missions notamment :

1.de constituer le point de contact unique dédié au traitement de tous les incidents de sécurité d’envergure affectant les réseaux et les systèmes de communication et de traitement de l’information des administrations et services de l’État ;
2.d’assurer un service de veille, de détection, d’alerte et de réaction aux attaques informatiques sur ces réseaux et ces systèmes de communication et de traitement de l’information ;
3.d’opérer une équipe d’intervention spécialisée capable de prendre en charge la prévention et la réponse aux incidents de sécurité d’envergure liés à ces systèmes de communication et de traitement de l’information ;
4.de maintenir un inventaire centralisé des incidents touchant à la sécurité de ces systèmes de communication et d’information en vue de permettre au Gouvernement d’avoir une vue stratégique complète sur le sujet et d’utiliser ces statistiques dans ses processus de prise de décision en relation avec sa stratégie nationale en matière de cybersécurité ;
5.d’assurer une permanence de disponibilité 24 heures sur 24 et 7 jours sur 7 en vue de réagir efficacement en situation de crise ;
6.de faciliter par tous les moyens, dans un cadre national et international, la collaboration des diverses entités gouvernementales et privées liées à la sécurité des systèmes d’information ;
7.de représenter le Luxembourg dans les réunions internationales pour ce qui concerne son domaine de compétence ;
8.d’assurer la fonction de centre national de traitement des urgences informatiques (CERT National) ;
9.d’assurer la fonction de centre militaire de traitement des urgences informatiques (CERT Militaire).

Dans sa fonction de CERT National, il lui incombe :

1.d’opérer comme le point de contact officiel national pour les CERTs nationaux et gouvernementaux étrangers ;
2.d’opérer comme le point de contact officiel national pour la collecte et la distribution d’informations relatives aux incidents de sécurité qui concernent les systèmes d’information et de communication implantés au Luxembourg ;
3.de servir d’interlocuteur pour les personnes physiques et morales, nationales et internationales ;
4.après réception d’informations, de relayer ces informations aux CERTs sectoriels en charge de la victime concernée ou à défaut de CERT sectoriel, directement à la victime ;
5.de renseigner sur les points de contact spécifiques en fonction du secteur visé.

Dans sa fonction de CERT Militaire, il lui incombe :

1.d’opérer comme le point de contact officiel national pour les CERTs militaires étrangers ;
2.d’assurer un service de veille, de détection, d’alerte et de réaction aux attaques informatiques sur les réseaux et les systèmes de communication et de traitement de l’information de l’armée à partir du territoire du Grand-Duché ;
3.d’opérer, à partir du territoire du Grand-Duché, une équipe d’intervention spécialisée capable de prendre en charge la réponse aux incidents de sécurité d’envergure liés à ces systèmes de communication et de traitement de l’information ;
4.de maintenir un inventaire centralisé des incidents touchant à la sécurité de ces systèmes de communication et d’information en vue de permettre au chef d’état-major de l’armée d’avoir une vue stratégique complète sur le sujet.

(2)

Le CERT Gouvernemental est autorisé, sous réserve de leur accord, à élargir son champ d’activité aux autres institutions et autorités publiques, aux organes de l’État, aux établissements publics ainsi qu’aux infrastructures critiques telles que recensées et désignées selon les modalités prévues par la législation en matière de Protection Nationale.

Art. 3.

Le CERT Gouvernemental est dirigé par un fonctionnaire de la catégorie de traitement A, groupe de traitement A1. Ledit fonctionnaire est autorisé à porter le titre de « Directeur du CERT Gouvernemental ».

Art. 4.

Art. 5.

Pour l’exécution de ses missions, le CERT Gouvernemental bénéficie de la part des administrations et services de l’État de toute la collaboration nécessaire. Le CERT Gouvernemental est notamment autorisé à :

1.recueillir, demander et obtenir des informations à caractère technique sur les infrastructures et architectures de communication et d’information ;
2.recueillir, demander et obtenir un accès aux fichiers de journalisation techniques ne contenant pas d’informations à caractère personnel tel que prévu par la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel ;
3.demander et obtenir un accès motivé aux fichiers de journalisation contenant des informations à caractère personnel et ayant comme finalité la protection des biens de l’État, conformément à la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel ;
4.exiger des administrations et services de déconnecter des équipements informatiques des réseaux de communication de l’État.

Art. 6.

L’arrêté grand-ducal modifié du 30 juillet 2013 déterminant l’organisation et les attributions du Centre gouvernemental de traitement des urgences informatiques, aussi dénommé « Computer Emergency Response Team Gouvernemental » est abrogé.

Art. 7.

Notre Premier Ministre, Ministre d’État, est chargé de l’exécution du présent arrêté qui sera publié au Journal officiel du Grand-Duché de Luxembourg.

Le Premier Ministre,
Ministre d’État,

Xavier Bettel

Château de Berg, le 9 mai 2018.

Henri