Monsieur le Président,
Par la présente, nous avons l’honneur de vous informer que, conformément à l’article 84 du Règlement de la Chambre des Députés, nous souhaiterions poser une question urgente à Monsieur le Ministre des Finances, à Monsieur le Ministre de l’Economie, à Madame le Ministre de la Justice et à Monsieur le Ministre de la Sécurité intérieure au sujet de de l’opération de phishing auprès d’une banque de la place.
Le journal en ligne, paperjam.lu, titrait le 28 février 2020 « La finance européenne s’allie contre les cybermenaces ». Quelques jours plus tard, la presse relate une opération de phishing auprès de la BGL BNP Paribas. 14 clients en seraient devenus victimes.
Dans une réponse à la question parlementaire n°2836, Monsieur le Ministre de l’Economie avait souligné que:
« Les initiatives de l’Etat en matière de cybersécurité ont souvent précédé les besoins des entreprises en les alertant sur des dangers qu’elles n’avaient pas encore perçus. »
Monsieur le Ministre avait par ailleurs expliqué que l’un des problèmes majeurs des entreprises côté menaces en matière de sécurité informatique serait « le « vol » et l’usurpation des mots de passe, via des attaques dites de « phishing », qui sont facilités par le manque de rigueur et de bonnes pratiques lié à la gestion et l’utilisation des mots de passe. »
A cet égard, il est utile de se fonder sur des affirmations d’un des clients lésés par l’opération du phishing, lequel dénonce en effet des failles au niveau du processus d’identification et d’accès aux comptes en ligne de la banque même.
C’est dans ce contexte que nous aimerions poser les questions suivantes à Messieurs les Ministres :
· Messieurs les Ministres peuvent-ils confirmer que l’établissement de crédit en question était au courant de l’imminence d’une cyberattaque depuis au plus tard le 21 février 2020 ? Messieurs les Ministres peuvent-ils nous informer pour quelles raisons les clients n’avaient pas été informés de manière plus proactive ?
· Messieurs les Ministres peuvent-ils confirmer que le code d’accès LuxTrust restent disponibles pendant 3 minutes (donc même après que le code d’accès ne soit plus visible sur l’écran Token) ? Ne faudrait-il pas réduire ce temps pour minimiser le risque d’une cyberattaque ?
· Existe-t-il un code de bonnes pratiques sur la Place financière pour ce qui est du processus d’identification et d’accès aux comptes en ligne de la banque même ? A défaut, ne faudrait-il pas accentuer et intensifier les échanges en la matière ?
· Est-ce que la CSSF a été saisie d’une plainte de la part des clients concernés ?
· Messieurs les Ministres peuvent-ils nous informer si seul un établissement de crédit a été visé par cette cyberattaque ?
· Messieurs les Ministres sont-ils d’avis que les autorités de poursuite disposent de suffisamment de moyens humains et techniques pour mener à bien d’éventuelles enquêtes pénales ? Combien de personnes travaillent actuellement au sein de la section « Cybercriminalité du Service de Police Judiciaire ? Comment les effectifs de service ont-ils évolué depuis 2013 ?
Nous vous prions d’agréer, Monsieur le Président, l’expression de notre très haute considération.
Laurent Mosar
Député
Gilles Roth
Député
Zréck