Arrêté Ministériel n° 2023-556 du 21 septembre 2023 portant modification de l'arrêté ministériel n° 2018‑1053 du 8 novembre 2018 portant application de l'article 27 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique.

Nous, Ministre d’État de la Principauté,

Vu la Constitution ;

Vu le Code pénal ;

Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;

Vu l’Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l’article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;

Vu l’arrêté ministériel n° 2016-622 du 17 octobre 2016 portant application de l’article 3 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale, modifié ;

Vu l’arrêté ministériel n° 2016-723 du 12 décembre 2016 portant application de l’article 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et fixant les niveaux de classification des informations, modifié ;

Vu l’arrêté ministériel n° 2017-42 du 24 janvier 2017 portant application de l’article 26 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;

Vu l’arrêté ministériel n° 2017-625 du 16 août 2017 portant application de l’article 3 de l’Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l’Agence Monégasque de Sécurité Numérique, modifiée ;

Vu l’arrêté ministériel 2018-1053 du 8 novembre 2018 portant application de l’article 27 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;

Vu la délibération du Conseil de Gouvernement en date du 13 septembre 2023 ;

Arrêtons :

Article Premier.

Il est inséré un article préliminaire avant l’article premier de l’arrêté ministériel n° 2018-1053 du 8 novembre 2018, susvisé, rédigé comme suit :

« Article préliminaire

Au sens du présent arrêté on entend par :

-  « incident » : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles ;

-  « cybermenace » : toute circonstance, tout évènement ou toute action potentiels susceptibles de nuire ou de porter atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes ;

-  « cybermenace importante » : une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable ;

-  « administrateur réseaux et systèmes d’information » : toute personne ayant en charge le bon fonctionnement du système d’information et/ou disposant d’accès privilégiés et de droits spécifiques permettant de modifier des systèmes d’information, des réseaux, des applications, des données, des infrastructures et/ou des postes de travail. Dans la suite de l’arrêté, le terme « administrateur » fait référence au terme « administrateur réseaux et systèmes d’information ». ».

Art. 2.

L’article 4 de l’arrêté ministériel n° 2018-1053 du 8 novembre 2018, susvisé, est remplacé par les dispositions suivantes :

« Art. 4.

Tout opérateur d’importance vitale notifie sans délai à l’Agence Monégasque de Sécurité Numérique, tout incident ayant un impact important sur le service fourni par le système d’information d’importance vitale concerné, au moyen du formulaire de déclaration de l’annexe III. Les informations contenues dans ledit formulaire sont couvertes par le secret professionnel conformément à l’article 24 de la loi n° 1.435 du 8 novembre 2016, précitée.

Le cas échéant, les opérateurs d’importance vitale communiquent sans délai aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace.

Le cas échéant, les opérateurs d’importance vitale informent également ces destinataires de la cybermenace importante elle-même.

Un incident est considéré comme ayant un impact important si :

a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;

b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables ;

c) il relève d’un des types d’incidents figurant à l’annexe VII du présent arrêté.

L’Agence Monégasque de Sécurité Numérique fournit, sans délai et si possible dans les 24 heures suivant la réception dudit formulaire, une réponse à l’entité émettrice de la déclaration, et, à la demande de l’entité, des orientations ou des conseils opérationnels sur la mise en œuvre d’éventuelles mesures d’atténuation.

L’Agence Monégasque de Sécurité Numérique fournit un soutien technique si l’entité concernée le demande. ».

Art. 3.

Il est inséré un article 4-1 après l’article 4 de l’arrêté ministériel n° 2018-1053 du 8 novembre 2018, susvisé, rédigé comme suit :

« Art. 4-1.

Lorsqu’il y a lieu de suspecter que l’incident visé à l’article précédent est de nature criminelle, les opérateurs d’importance vitale le notifient sans délai à la Direction de la Sûreté Publique, la notification est accompagnée des éléments techniques de compromission.

Si ledit incident concerne d’autres États, l’Agence Monégasque de Sécurité Numérique informe sans délai les autres États concernés conformément à l’article 8 de l’Ordonnance Souveraine n° 8.504 du 18 février 2021, susvisée.

Lorsque la sensibilisation du public est nécessaire pour prévenir un incident ayant un impact important ou pour faire face à un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, l’Agence Monégasque de Sécurité Numérique peut, après avoir consulté l’entité concernée, informer le public de l’incident ou exiger de l’entité qu’elle le fasse. ».

Art. 4.

Il est inséré un article 5-1 après l’article 5 de l’arrêté ministériel n° 2018-1053 du 8 novembre 2018, susvisé, rédigé comme suit :

« Art. 5-1.

Les administrateurs sont individuellement désignés et dûment habilités par l’opérateur d’importance vitale après enquête administrative conformément aux dispositions de l’arrêté ministériel n° 2016-622 du 17 octobre 2016, modifié, susvisé.

L’habilitation visée au précédent alinéa est renouvelée tous les trois ans dans les mêmes conditions.

L’opérateur d’importance vitale tient à jour un registre des personnes habilitées ainsi que de leurs accès privilégiés et de leurs droits spécifiques. ».

Art. 5.

L’annexe III de l’arrêté ministériel n° 2018-1053 du 8 novembre 2018, susvisé, est remplacée par les dispositions suivantes :

« ANNEXE III

DÉCLARATION D’UN INCIDENT DE SÉCURITÉ

Aux fins de la notification visée au premier alinéa de l’article 4, les opérateurs d’importance vitale soumettent à l’Agence Monégasque de Sécurité Numérique :

a) dans les 24 heures après avoir eu connaissance de l’incident important, une alerte précoce qui, le cas échéant, indique si l’on suspecte l’incident d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact ;

b) dans les 72 heures après avoir eu connaissance de l’incident important, une notification d’incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’incident, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles ;

c) à la demande de l’AMSN, un rapport intermédiaire sur les mises à jour pertinentes de la situation ;

d) un rapport final au plus tard un mois après la présentation de la notification d’incident visée au point b), comprenant les éléments suivants :

    i)  une description détaillée de l’incident, y compris de sa gravité et de son impact ;

    ii) le type de menace ou la cause profonde qui a probablement déclenché l’incident ;

    iii) les mesures d’atténuation appliquées et en cours ;

    iv) le cas échéant, l’impact transfrontière de l’incident ;

e) en cas d’incident en cours au moment de la présentation du rapport final visé au point d), les entités concernées fournissent à ce moment-là un rapport d’avancement puis un rapport final dans un délai d’un mois à compter du traitement de l’incident.

Par dérogation au b), un prestataire de services de confiance notifie à l’Agence Monégasque de Sécurité Numérique les incidents importants qui ont un impact sur la fourniture de ses services de confiance, sans délai et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important.

Le formulaire de déclaration d’un incident de sécurité est disponible et téléchargeable sur https://amsn.gouv.mc/OIV/ . ».

Art. 6.

Le Conseiller de Gouvernement-Ministre de l’Intérieur, le Secrétaire Général du Gouvernement, le Directeur de l’Agence Monégasque de Sécurité Numérique et le Directeur de la Sûreté Publique sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté.

Fait à Monaco, en l’Hôtel du Gouvernement, le vingt-et-un septembre deux mille vingt-trois.

Le Ministre d’État,

P. Dartout.