Mesures de sécurité

 

 

Mesures de sécuritéhttps://author.ilr.lu/FR/Professionnels/NISS/Mesures-de-securite/Pages/Mesures-de-securite.aspxMesures de sécurité<h3 class="ms-rteElement-ILRAccordionElement">​Bonnes pratiques /Guidelines<br></h3><p><span style="color:#6d6d6d;font-family:ubuntu, sans-serif;font-size:16px;">La Fondation Restena, a<span style="color:#6d6d6d;font-family:ubuntu, sans-serif;font-size:16px;">vec l'ILR,</span> a édité une <a href="https://www.restena.lu/files/inline-images/BROCH_DomainNameSecurity_202205.pdf">brochure portant sur la sécurité des noms de domaine mettant en exergue l’importance du choix de son nom de domaine et du protocole de sécurisation DNSSEC​</a>.</span><br></p><p><br></p><h3 class="ms-rteElement-ILRAccordionExpandedElement">​Notification des mesures de sécurité​​​​​</h3><p>Conformément à l'article 8 (3) de la loi du 28 mai 2019 (NIS) et aux articles 42 (1) et 43 (2) de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, les opérateurs seront tenus de notifier à l'Institut les mesures.<br></p><p><strong style="text-decoration:underline;">La soumission des rapports</strong> se fait de préférence via la demande d'un lien OTX auprès de <a href="mailto:niss@ilr.lu" style="font-size:14px;text-align:justify;">serima@ilr.lu</a> ou directement via l'envoie à <a href="mailto:niss@ilr.lu" style="font-size:14px;text-align:justify;">serima@ilr.lu</a>.<br></p><p><strong style="text-decoration:underline;">La notification de ces mesures</strong> se fait par :<br></p><ol><li><span style="font-size:14px;"><strong>une description des mesures en place</strong>, basées sur les objectifs de sécurité proposés par l'ENISA  (</span><a href="https://assets.ilr.lu/_layouts/Redir/Doc.aspx?ID=ILRLU-970684412-52" title="Objectifs de Sécurité"><span style="font-size:14px;">Formulaire Mesures​</span></a><span style="font-size:14px;">) sous forme du fichier Excel; </span></li><li><span style="font-size:14px;"><strong>une liste des dépendances</strong> envers d'autres services de communications électroniques ou services essentiels (</span><a href="https://assets.ilr.lu/_layouts/Redir/Doc.aspx?ID=ILRLU-970684412-53" title="Dépendances"><span style="font-size:14px;">F</span><span style="font-size:14px;">ormul</span><span style="font-size:14px;">​aire Dépendances</span><span style="font-size:14px;">​) <span class="ms-rteThemeForeColor-2-0" style="font-size:14px;">sous forme du fichier Excel</span><span class="ms-rteThemeForeColor-2-0" style="font-size:14px;">;</span> </span></a>et<br></li><li><a href="https://assets.ilr.lu/NISS/Documents/ILRLU-970684412-33.xlsx"><span style="font-size:14px;"></span></a><span style="font-size:14px;"><strong>une analyse des risques</strong> liés au(x) service(s) de communications​ électroniques ou d'essentiel(s) fourni(s). Cette analyse de risques peut soit être réalisée à l'aide de l'outil SERIMA mis à disposition par l'Institut, soit avec un autre outil similaire. L'analyse doit :</span></li></ol><ul style="list-style-type:disc;"><ul><li>être livrée sous forme d'un fichier JSON importable dans SERIMA​​;<br></li><li>le nom du fichier doit respecter la convention de nommage suivante : AnnéeMoisJour_Operateur_Secteur-Soussecteur_Langue.JSON. Par exemple 20221124_MonOrganisation_Energie-Gaz_Fr.JSON;<br></li><li>ne pas contenir de données à caractère personnel​<br></li><li>se baser sur la librairie sectorielle disponible sur demande auprès de l'Institut. Contenu:<br></li><ul><li>une liste des services essentiels fournis au Luxembourg;<br></li><li>les actifs primaires et secondaires nécessaires pour fournir ces services pris en compte;</li><li>la liste des menaces prises en compte;</li><li>la liste des vulnérabilités appliquées pour chaque actif;​​<br></li><li>les impacts de chaque risque identifié;<br></li></ul><li>utiliser les échelles de cotation des menaces, de l'impact et des vulnérabilités (cf ci-dessous);<br></li><li>utiliser les critères d'acceptation des risques;<br></li><li>indiquer les mesures mises en place pour minimiser les risques;<br></li><li>indiquer le choix de traitement des risques et le calendrier d'implémentation y relatif ;<br></li><li>indiquer l'évaluation des risques résiduels;<br></li><li>utiliser une échelle à 5 niveaux, de 0 (minimum) à 4 (maximum), pour l'évaluation du niveau de chaque menace;<br></li><li>utiliser une échelle à 4 niveaux,  de 0 (minimum) à 3 (maximum), pour l'évaluation du niveau de chaque vulnérabilité;<br></li><li>utiliser une échelle d'impact à 5 niveaux, de 0 (minimum) à 4 (maximum), pour l'évaluation du niveau de l'impact.<br></li><li>​L'opérateur est libre d'ajouter des assets et des risques pour compléter son analyse de risques. <br></li></ul></ul><p style="text-align:justify;"><br></p><p style="text-align:justify;"><strong>N.B.</strong> Il est à noter, qu'en fonction du type d'opérateur en question, l'obligation de notification peut se limiter à uniquement un ou deux éléments de la liste précédente.</p><p style="text-align:justify;">Si l'opérateur utilise un autre nombre de niveaux pour les échelles, il faudra qu'il les adapte afin d'être en ligne avec les niveaux ci-dessus. </p><p style="text-align:justify;"><strong style="text-decoration:underline;">Pour toute question</strong>, remarque ou demande d'informations supplémentaires, veuillez envoyer un email à l'adresse suivante: <a href="mailto:niss@ilr.lu">serima@ilr.lu</a>. ​​<br>​<br><br></p>Mesures de sécurité6/10/2022 9:30:00 AM2023-12-01T16:12:58Z