Signaler

Le Luxembourg garantit les droits des personnes physiques et morales. Les articles du Code pénal consacrés aux infractions en matière informatique, en particulier ceux sur la protection des données à caractère personnel ou encore sur la protection des systèmes d’information vont dans ce sens. Il est donc clair que toute personne qui se voit lésée dans ses droits peut le signaler afin que le préjudice soit réparé.

Au Luxembourg, il existe plusieurs instances vers lesquelles la personne qui estime avoir subi un préjudice ou soupçonne qu’une infraction a été commise peut se tourner. Certains statuts professionnels, notamment celui du médecin traitant ou du fonctionnaire public, imposent le signalement d’infractions spécifiques. Certains comportements doivent être qualifiés de délit ou de crime, même sans avoir causé un préjudice (par exemple art. 509 du Code pénal). Un tel signalement n’est cependant pas toujours justifié, surtout si le signalement nuit à la personne lésée.

Tout signalement auprès de la police fait l’objet d’une enquête ; la police vérifie si une poursuite des coupables est légitime et opportune. Ainsi ne peut-elle investiguer sur des délits et des crimes commis à l’étranger sans aucune relation avec le Luxembourg. Cependant si elle peut ouvrir une enquête et trouver des preuves d’autres infractions, elle peut porter plainte contre les coupables, même s’il s’agit en fait de la victime de la première infraction ou crime signalé.

Rapporter un incident

Il serait bon que tous les incidents de sécurité soient signalés, mais il n’est pas toujours évident pour la victime d’un incident informatique de comprendre l’intérêt qu’elle a à le faire, ni, une fois la décision prise, de trouver à qui s’adresser. Les rubriques suivantes tentent d’apporter des réponses à ces questions.

Intérêt de rapporter un incident

Les intérêts de rapporter un incident de sécurité sont multiples. La présente rubrique vous en expliquera les détails !

Tout incident de sécurité devrait être signalé à un acteur compétent, qu’il s’agisse d’un CSIRT (centre d'alerte et de réaction aux attaques informatiques) ou d’un organisme de régulation, pour les raisons suivantes :

  1. La victime de l’incident (particulier ou organisation) a besoin d’aide. En contactant rapidement une équipe de réponse aux incidents de sécurité informatique (CSIRT), il est probable que l’incident pourra être géré de manière efficace. Cela réduit non seulement l’impact de l’incident mais augmente également les chances de pouvoir recueillir des preuves.
  2. Les CSIRT et les régulateurs se basent sur les informations rapportées (par les particuliers ou les organisations) pour établir des statistiques. Ces statistiques aident à prendre des décisions politiques au niveau national et international et contribuent donc à la sécurisation de la société dans laquelle nous vivons.
  3. La victime (organisation) a l’obligation légale de rapporter des incidents. C’est en général le cas si elle est active dans un secteur économique surveillé par un régulateur. Les instituts financiers, les fournisseurs d'accès à l’Internet et les exploitants d’infrastructures critiques font partie de cette catégorie.

Déterminer le moment idéal pour signaler un incident est fonction de la situation dans laquelle se trouve la personne qui en est victime. Si c’est d’une aide dont elle a besoin, il lui est recommandé de contacter le bon acteur public le plus vite possible. Si, par contre, elle sait gérer l’incident seule, il est préférable qu’elle attende quelques jours avant de le signaler afin d’avoir une vue globale de la situation. Enfin, si elle est dans l’obligation de signaler les incidents, elle doit soumettre un rapport aux autorités dans le délai imposé par la loi.

Comment rapporter un incident?

La procédure proposée ne permet pas seulement de trouver le bon interlocuteur, mais vous guidera également au niveau du contenu du message à envoyer.

1) Déterminer le bon moment

Si l’on ne peut gérer l’incident seul, il est essentiel de le signaler le plus vite possible. Dans le cas contraire, il est préférable de collecter quelques informations supplémentaires avant de contacter un tiers.

2) Trouver le bon interlocuteur

Sauf en cas d’obligations légales contradictoires, les incidents sont à rapporter aux équipes de réponse aux incidents de sécurité informatique (CSIRT). Le tableau ci-après précise quel CSIRT public luxembourgeois contacter selon le secteur d'activité de l'entité.

 

CSIRT Constituante
NCERT 

 

  • Toute personne physique ou morale, nationale ou internationale, et les CSIRTs.

 

GOVCERT
  • Les ministères, administrations et services publics du gouvernement luxembourgeois, y compris les organismes militaires.
  • Les opérateurs d’infrastructures critiques.

 

CIRCL 

 

  • Les administrations communales luxembourgeoises et le secteur privé.
 
RESTENA-CSIRT
  • La communauté d’utilisateurs de la Fondation RESTENA qui inclut :
    • Université du Luxembourg ;
    • Institutions de l’enseignement supérieur ;
    • Centres de recherche publics et privés ;
    • Institutions culturelles ;
    • Écoles fondamentales et secondaires ;
    • Utilisateurs individuels des services RESTENA.
HealthNet-CSIRT
  • La communauté d’utilisateurs du secteur de la santé qui inclut :
    • les médecins ;
    • les professionnels de la santé ;
    • les laboratoires d'analyse médicale ;
    • les hôpitaux ;
    • les associations ;
    • les centres de recherche.

Remarque : À côté des CSIRT publics, il existe des CSIRT privés de nature commerciale qui proposent de multiples services.

3) Déterminer le moyen de communication

Il est conseillé de contacter son interlocuteur par courriel, sauf dans les situations suivantes :

  1. Il est techniquement impossible d’envoyer des courriels. Dans ce cas, la communication se fait par téléphone.
  2. Le signalement se veut anonyme. Cela est possible pour certains CSIRT qui proposent sur leur site de remplir un formulaire en ligne.

4) Fournir des informations générales

Le site du GOVCERT propose une démarche pour signaler un incident ainsi qu'un formulaire y afférent.

Lorsque le site du CSIRT contacté propose un modèle (formulaire téléchargeable), il est fortement recommandé de l’utiliser.

Sinon, le courriel de signalement doit donner les informations suivantes :

  • les nom et prénom de la personne de contact ;
  • le nom de l’organisation concernée (si applicable) ;
  • les informations de contact (adresse e-mail, numéro de téléphone) ;
  • la raison de la communication (besoin d’aide ou à titre d’information) ;
  • le niveau d’impact (aucun, bas, moyen, haut, critique) ;
  • l’état actuel de l’incident (ayant lieu, sous contrôle, clôturé) ;
  • les éventuelles infrastructures critiques concernées ;
  • le type d’incident (informations compromises, biens compromis, accès non autorisé, code malveillant, attaque par déni de service, vol, perte, phishing, activité illégale, balayage de port, tentative d’accès, violation d’une politique,… ) ;
  • la date et l’heure approximative d’occurrence de l’incident ;
  • la date et l’heure de découverte de l’incident ;
  • les données sensibles concernées, et si elles étaient chiffrées ;
  • le moyen utilisé pour découvrir l’incident (antivirus, utilisateur, administrateur, tiers,…).

5) Décrire l’incident

Une description, même approximative, de l’incident est toujours d’un grand intérêt pour un CSIRT. Un rapport d’incident doit ainsi répondre aux questions suivantes :

  • Que s’est-il passé ?
  • Quels sont les types de systèmes informatiques concernés ?
  • Quelle est l’envergure (l’impact) de l’incident ?
  • Combien d’utilisateurs sont concernés ?

6) Transmettre le message

Le courriel reprenant les informations demandées sous 4) et 5) doit être envoyé à l’interlocuteur déterminé sous 2). Un accusé de réception est généralement renvoyé.

Attention : Il est conseillé d’envoyer les données confidentielles dans un message chiffré.

Dernière mise à jour