STATEC – Institut national de la statistique et des études économiques du Grand-Duché de Luxembourg
Résumé: Le STATEC (Institut national de la statistique et des études économiques du Grand-Duché de Luxembourg) est une administration publique, sous l’autorité du Ministère de l’Économie. Ses missions consistent à fournir aux décideurs publics et privés ainsi qu’aux citoyens un service public d’information statistique de haute qualité.
Dans le cadre de ces activités, la sécurité lors de la collecte, du traitement, du stockage et de la diffusion de l’information constitue un enjeu majeur, que ce soit en termes de confidentialité, d’intégrité, de disponibilité ou de traçabilité. En effet, en tant qu’entité étatique, mais aussi par la nature des informations qu’il publie ou le public qu’il touche, le STATEC peut être la cible d’attaques informatiques. De plus, dans un contexte global de numérisation, et d’interconnexions ou de sous-traitance, des vulnérabilités peuvent apparaître et compromettre la sécurité de l’information. Finalement, le contexte légal contribue également au devoir de sécurité grâce à des réglementations qui visent à protéger les informations à caractère personnel.
Il est donc primordial de définir les principes, les objectifs, les règles de sécurité ainsi que le système de management qui gouvernent la sécurité de l’information au sein du STATEC, ce qui est réalisé à travers cette politique de sécurité de l’information et tous les documents y référés.
Notre approche est alignée avec l’approche générale de l’État luxembourgeois et s’appuie sur les normes ISO/IEC 27001:2013 qui décrit les exigences à un système de management que le STATEC aimerait atteindre à terme, et ISO/IEC 27002:2013, qui est le guide de référence des bonnes pratiques en matière de sécurité de l’information. Le cadre d’évaluation, prôné par EUROSTAT au travers de l’ESS IT Security Framework, est également basé sur cette norme.
Je demande à tous les agents et tout le personnel impliqué à respecter cet engagement, à contribuer avec toutes leurs compétences pour atteindre l’objectif de protection adéquate des informations que nous gérons.