0x00

À propos de nous et de nos activités

GOVCERT.LU est le point de contact unique pour tous les types d’incidents informatiques qui pourraient constituer une menace pour les systèmes d’information du gouvernement national et d’autres opérateurs d’infrastructures critiques publiques ou privées. Découvrez nos missions et les domaines d’activité ainsi que les tâches qui relèvent de la responsabilité de GOVCERT.LU.

0x01

Notre mission

Dans notre monde toujours plus connecté, les cyberattaques se multiplient et il devient de plus en plus difficile de les combattre.

Grâce à son attitude ouverte face aux possibilités et aux défis des technologies de l’information et de la communication, le Luxembourg est en train de devenir un acteur mondial dans le domaine TIC et met davantage l’accent sur la protection contre les cyberattaques.

GOVCERT.LU est actif tant au niveau national qu’international afin de protéger le Grand-Duché contre les cyberattaques, de garantir aux entreprises locales un environnement attractif, sécurisé et fiable et de protéger les droits fondamentaux et la vie privée des citoyens.

Nous sommes le point de contact unique pour tous types de cyberincidents susceptibles de compromettre les systèmes d’information du gouvernement et d’autres opérateurs d’infrastructures critiques publiques ou privées. Dans ce contexte, le terme « infrastructures critiques » fait référence à toutes les institutions, systèmes ou parties de ceux-ci qui sont indispensables à la préservation des intérêts vitaux ou des besoins fondamentaux de la totalité ou d’une partie de la population du pays.

Afin de mener à bien les missions qui lui sont confiées, GOVCERT.LU est mandaté pour la prise en charge des infrastructures, classifiées ou non, à différents niveaux. L’équipe GOVCERT.LU se charge de réagir en cas d’incident et de prendre les mesures appropriées, de détecter et de prévenir les incidents graves à un stade précoce et d’assurer une meilleure coordination entre les acteurs gouvernementaux dans la gestion des incidents de sécurité.

Conformément à la loi nationale, GOVCERT est le point de contact officiel luxembourgeois pour les Cyber Security Incident Response Teams - ou CERT - nationales et internationales.

D’une part, l’équipe est chargée de collecter et de diffuser des informations sur les incidents de sécurité affectant les systèmes d’information et de communication au Luxembourg. D’autre part, elle agit en tant qu’interlocuteur en matière de cybersécurité pour toutes les personnes physiques et morales, les organisations et les instances, tant au niveau national qu’international.

Dès que l’équipe de GOVCERT.LU reçoit des informations concernant la sécurité, elle a la responsabilité de les transmettre aux différents CERT du secteur concerné. S’il n’existe pas de CERT pour ce secteur particulier, GOVCERT.LU s’adresse directement à la victime de l’attaque. Par ailleurs, l’équipe fournit des informations sur les points de contact spécifiques dans le secteur concerné.

Enfin, il existe une équipe d’intervention spécialisée qui fait office de point de contact national officiel pour tous les CERT militaires étrangers, garantissant ainsi la mise en place de mesures de surveillance, de détection, d’alerte et de réaction en cas d’attaques informatiques et d’incidents de sécurité de grande ampleur affectant les réseaux et les systèmes d’information de l’armée sur le territoire du Grand-Duché.

0x02

Réponse aux incidents

GOVCERT.LU est autorisé à traiter et à gérer tous types d’incidents relatifs à la sécurité des informations, qu’elles soient classifiées ou non, qui surviennent ou qui risquent de survenir sur les réseaux, les systèmes et les services des constituants qui relèvent de son mandat.

GOVCERT.LU porte assistance à ses constituants en leur proposant un ensemble de services réactifs et proactifs, garantissant ainsi la sécurité des technologies de communication et d’information et coordonne toutes les activités liées à la réponse aux incidents qui touchent à ses constituants et apporte son assistance, son aide et ses conseils au cours des différentes étapes de prise en charge des incidents, notamment :

  • La classification des incidents
    • Déterminer si un incident est effectivement survenu.
    • Déterminer l’ampleur de l’incident.
  • La coordination de l’incident
    • Déterminer la cause initiale de l’incident (exploitation de la vulnérabilité).
    • Contacter les autres sites Internet potentiellement impliqués.
    • Encourager les échanges avec les autres constituants et/ou les autorités en charge de l’application de la loi, le cas échéant.
    • Coordonner la réponse apportée aux incidents de déni de service (distribués).
    • Transmettre un rapport aux autres CSIRT.
    • Si nécessaire, faire parvenir un message aux utilisateurs.
  • La résolution de l’incident
    • Supprimer la vulnérabilité.
    • Préserver la sécurité du système et le protéger des éventuels effets de l’incident.
    • Évaluer les résultats potentiels de certaines actions proportionnellement au coût et au risque encourus, notamment dans le cas des actions engagées en vue d’éventuelles procédures judiciaires ou mesures disciplinaires : collecte de preuves postérieure aux faits, observation de l’incident en temps réel, mise en place de dispositifs destinés à piéger les intrus, etc.
    • Recueillir les données statistiques sur les incidents qui affectent ou impliquent les constituants, puis diffuser ces informations auprès de la communauté, le cas échéant, afin de l’aider à se protéger contre les attaques connues.
    • Réunir, conserver, documenter, et analyser les preuves sur un système informatique infecté afin de déterminer les modifications à apporter au système et de reconstituer la suite des événements ayant conduit à l’incident.
0x03

Activités proactives

Nos activités proactives ont pour objectif d’identifier et de minimiser l’impact des cyberattaques sur les systèmes ou les réseaux. Notre mission est d’alerter les membres et les partenaires de notre constituante à un stade précoce afin de protéger leurs réseaux et, éventuellement, d’éviter qu’ils ne soient la cible d’une attaque.

Dans ce contexte, notre équipe d’experts en cybersécurité propose une panoplie complète de services et de solutions de sécurité:

  • Notification anti-hameçonnage et fermeture de sites malicieux
  • Détection des systèmes compromis (infectés)
  • Notification d’informations d’identification volées
  • Notification de logiciels malicieux ciblant la constituante
  • Avis de sécurité générale (non publics)
  • Développement d’outils de sécurité
  • Analyse des logiciels malveillants
  • Notification de vulnérabilités
0x04

Plan national d'urgence

Dans le cas d’une grave vulnérabilité technique ou d’une cyberattaque qui pourrait affecter les systèmes d’information du secteur privé et/ou public à large échelle, le plan national d’urgence est activé. Plusieurs organes de gestion sont mis en route pour assurer une réponse immédiate et pour appliquer des contre-mesures appropriées partout où cela s’avère nécessaire.

A partir de ce moment, la cellule de crise initie et coordonne toutes les actions et s’assure à ce que toutes les mesures nécessaires soient prises pour éviter les dommages le mieux et le plus rapidement possible.

Le directeur du CERT gouvernemental (GOVCERT.LU) est membre de cette cellule de crise et préside également la Cyber Risk Assessment Unit (CERC). Celle-ci a pour mission de surveiller tout incident et toute menace critique de sécurité informatique nationale et d’en informer en permanence la cellule de crise.

La Cyber Risk Assessment Unit est une équipe d’experts qui assure une surveillance renforcée et une analyse des vulnérabilités dans le cadre du plan national d’urgence. Selon le type d’attaque, elle identifie les cibles potentielles et veille à ce que tout système d’information potentiellement menacé puisse être mis à jour et protégé.

Dès qu’une attaque est confirmée, l’unité a la possibilité de mettre en place des mesures de protection et de prévention afin de protéger les cibles potentielles. Si nécessaire, elle a même la possibilité d’isoler une cible d’attaque spécifique, en partie ou en totalité.

En cas de cybermenace majeure, le gouvernement informe le public via le site www.infocrise.lu.