L'Institut Luxembourgeois de Régulation (ILR) vient de lancer au mois de juillet une nouvelle plateforme d'analyse de risques, "SERIMA" (SEcurity RIsk MAnagement). Développée conjointement par LIST et I.R.I.S. Financial Services, cette plateforme permet aux opérateurs de procéder à une analyse de risques state of the art pour évaluer les risques dans le secteur des communications électroniques. Elle a été conçue de manière à pouvoir être élargie, à l'avenir, à d'autres domaines et notamment aux secteurs visés par la Directive NIS. SERIMA servira aussi de plateforme pour les notifications d'incidents.
La plateforme d'analyse de risques, SERIMA, signifiant SEcurity RIsk Management, est un outil qui permet d'évaluer les risques liés à la cyber sécurité et de prendre le cas échéant les mesures pour réduire l'exposition aux menaces et pour protéger son activité ainsi que ses utilisateurs contre les interruptions de service et les failles de sécurité.
Dévéloppé par I.R.I.S. Financial Services en collaboration avec le LIST (Luxembourg Institute of Science and Technology), SERIMA qui tient compte des recommandations européennes en matière de sécurité des télécommunications se base sur un logiciel d'évaluation et de gestion de la sécurité et de l'intégrité des réseaux de télécommunications. La plateforme sera dans un premier temps uniquement utilisée par les opérateurs du secteur des communications électroniques. S'inscrivant dans le cadre de la Loi NIS, elle sera progressivement étendue aux secteurs de l'énergie, des transports, de la santé, des infrastructures numériques ainsi que de la fourniture et distribution d'eau potable. Le service NISS (Network and Information Systems' Security) de l'ILR a dans ce contexte mis en place des groupes de travail en vue de paramétrer adéquatement la plateforme par secteur.
SERIMA est une version révisée (et évolutive) de l'outil de gestion des risques TISRIM, développé initialement par le LIST à la demande de l'ILR. Grâce au soutien financier du FNR (Fonds National de la Recherche), TISRIM a été perfectionné et adapté aux nouveaux défis. Cette plateforme multi-sectorielle et multi-régulation sera déployée et commercialisée par l'éditeur I.R.I.S. sous le nom GRCC (Governance, Risk and Compliance Center), ceci également en dehors du Luxembourg.
L'ILR tient à rappeler que les entreprises fournissant des réseaux de communications publics ou des services de communications électroniques accessibles au public sont aussi tenues de notifier les incidents au service NISS de l'ILR, ceci à l'avenir via la nouvelle plateforme SERIMA.
Pour information, le service NISS a pour mission de veiller à l'application:
- de la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 (NIS Directive) du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne et modifiant la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l'Information de l'État et la loi du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale( ci-après "Loi NIS").;
- de la loi modifiée du 27 février 2011 sur les réseaux et les services de communications électroniques en ce qui concerne les articles 45 et 46 relatifs à la sécurité et l'intégrité des réseaux et services de communications électroniques accessibles au public.
Dans le cadre de la Loi NIS, l'ILR est l'autorité compétente en matière de sécurité des réseaux et des systèmes d'information couvrant les secteurs suivants: Énergie, Transports, Santé, Fourniture et distribution d'eau potable, Infrastructures numériques et Services numériques.
Communiqué par l'Institut luxembourgeois de régulation