Arrêté Ministériel n° 2024-51 du 25 janvier 2024 portant application de l'article 2 bis de l'Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l'article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée.
Nous, Ministre d’État de la Principauté,
Vu la Constitution ;
Vu la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;
Vu l’Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l’Agence Monégasque de Sécurité Numérique, modifiée ;
Vu l’Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l’article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;
Vu la délibération du Conseil de Gouvernement en date du 17 janvier 2024 qui Nous a été communiquée par Notre Ministre d’État ;
Arrêtons :
Article Premier.
Le CERT-MC, visé à l’article 2 bis de l’Ordonnance Souveraine n° 8.504 du 18 février 2021, susvisée, satisfait aux exigences suivantes :
- Il veille à un niveau élevé de disponibilité de ses canaux de communication en évitant les points uniques de défaillance et dispose de plusieurs moyens pour être contacté et contacter autrui à tout moment. Il spécifie clairement les canaux de communication et les fait connaître aux partenaires et collaborateurs.
- Il dispose de locaux et de systèmes d’information qui se trouvent sur des sites sécurisés.
- Il est doté d’un système approprié de gestion et de routage des demandes afin, notamment, de faciliter les transferts effectifs et efficaces.
- Il garantit la confidentialité et la fiabilité de ses opérations.
- Il est doté des effectifs adéquats afin de pouvoir garantir une disponibilité permanente de ses services et il veille à ce que son personnel reçoive une formation appropriée.
- Il est doté de systèmes redondants et d’un espace de travail de secours pour assurer la continuité de ses services.
Le CERT-MC est composé de trois divisions visées aux articles 2, 3 et 4.
Art. 2.
Le SOC-MC, visé à l’article 2 bis de l’Ordonnance Souveraine n° 8.504 du 18 février 2021, susvisée, est spécifiquement chargé de :
a) constituer le point de contact privilégié des opérateurs d’importance vitale, des services publics et des autres parties prenantes concernées en maintenant des échanges personnalisés avec les contacts déclarés ;
b) mettre en œuvre la stratégie de détection définie par le CSIRT-MC ;
c) exploiter les dispositifs de détection qualifiés des évènements susceptibles d’affecter la sécurité des systèmes d’information des opérateurs d’importance vitale et des services publics concernés, mis en œuvre par le CSIRT-MC ;
d) trier et qualifier les évènements de sécurité ;
e) notifier les opérateurs d’importance vitale, les services publics et les autres parties prenantes concernées des évènements de sécurité les concernant ;
f) diffuser les messages d’alerte élaborés par le CSIRT-MC et l’ISAC-MC.
Art. 3.
Le CSIRT-MC, visé à l’article 2 bis de l’Ordonnance Souveraine n° 8.504 du 18 février 2021, susvisée, est spécifiquement chargé de :
a) coopérer et échanger avec les opérateurs d’importance vitale, les services publics et les autres parties prenantes concernées, des informations pertinentes en matière de cybersécurité ;
b) participer aux évaluations ou aux exercices organisés par ses pairs ;
c) établir, autant que de besoin, des relations de coopération avec des centres de réponse aux incidents de sécurité informatique ou des organismes équivalents dans des pays tiers, notamment dans le but de leur fournir une assistance, ou de se faire assister, en matière de cybersécurité ;
d) définir la stratégie de détection des évènements de sécurité pour les opérateurs d’importance vitale et les services publics ;
e) surveiller et analyser les cybermenaces et les incidents de sécurité au niveau national et, sur demande de leur part, apporter une assistance aux opérateurs d’importance vitale et aux services publics concernés pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d’information. À ce titre, il met en œuvre des dispositifs de détection qualifiés des évènements susceptibles d’affecter la sécurité des systèmes d’information ;
f) élaborer des messages d’alerte relatifs aux incidents à destination des opérateurs d’importance vitale, des services publics et des autres parties prenantes concernées, si possible en temps quasi réel ;
g) informer le Directeur de l’Agence Monégasque de Sécurité Numérique des incidents détectés ou notifiés par les parties prenantes afin que ce dernier puisse alerter les autorités compétentes ou la permanence du Gouvernement ;
h) réagir aux incidents et apporter, le cas échéant, une assistance aux opérateurs d’importance vitale et aux services publics concernés ;
i) rassembler et analyser des données et artefacts techniques relatifs aux incidents affectant les systèmes d’information, et évaluer le niveau de risque de ses parties prenantes en matière de cybersécurité ;
j) procéder à une recherche proactive et non intrusive des vulnérabilités, sur les réseaux et systèmes d’information accessibles au public, des opérateurs d’importance vitale, des services publics et des autres parties prenantes concernées. Cette recherche est effectuée dans le but de détecter les réseaux et systèmes d’information vulnérables ou ne disposant pas d’un niveau de sécurisation suffisant et d’informer les entités concernées. Cette recherche n’a pas d’effet négatif sur le fonctionnement des services des entités ;
k) réaliser, à la demande d’un opérateur d’importance vitale ou d’un service public, une recherche de vulnérabilités sur les réseaux et les systèmes d’information de l’entité concernée ;
l) contribuer au déploiement d’outils sécurisés de partage d’informations ;
m) participer à des réseaux de coopération internationale.
Art. 4.
L’ISAC-MC, visé à l’article 2 bis de l’Ordonnance Souveraine n° 8.504 du 18 février 2021, susvisée, est spécifiquement chargé de :
a) constituer le point d’échange national d’informations relatives aux cybermenaces et aux vulnérabilités. Dans ce cadre, il :
- coordonne, aux fins de la divulgation coordonnée des vulnérabilités, conformément aux normes internationales en vigueur ;
- facilite les interactions entre la personne physique ou morale qui signale une vulnérabilité et le fabricant ou le fournisseur des produits ou des services des technologies de l’information et de la communication (TIC) potentiellement vulnérables. Ces personnes doivent être en mesure de signaler une vulnérabilité de manière anonyme lorsqu’elles le demandent ;
- échange avec les structures homologues d’autres États, désignées comme coordinateurs des vulnérabilités ;
- négocie des délais de divulgation et gère les vulnérabilités qui touchent plusieurs entités ;
b) établir un état, pertinent du point de vue de la Principauté, de la menace cyber. À ce titre, il :
- établit des relations de confiance avec les différentes structures de détection et de réponse aux incidents de sécurité numérique de la Principauté ;
- identifie et sélectionne les sources de confiance depuis lesquelles collecter les informations relatives aux cybermenaces ;
- recueille, collecte, agrège, trie et analyse ces informations ;
- élabore des messages d’alerte relatifs aux cybermenaces, aux vulnérabilités et moyens d’y remédier, à destination des opérateurs d’importance vitale, des services publics et des autres parties prenantes concernées.
Art. 5.
Le Secrétaire Général du Gouvernement et le Directeur de l’Agence Monégasque de Sécurité Numérique sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté.
Fait à Monaco, en l’Hôtel du Gouvernement, le vingt-cinq janvier deux mille vingt-quatre.
Le Ministre d’État,
P. Dartout.