Comment éviter une nouvelle panne majeure de LuxTrust ?
Le Ministre de l’Économie Lex Delles et des représentants de la société LuxTrust ont répondu aux questions des députés sur l’incident qui a affecté les services de LuxTrust entre le 16 et le 17 décembre 2025, entraînant « la mise hors service du système d’authentification du même nom pendant environ 24 heures ».
Cette rencontre a été organisée sur demande des groupes politiques CSV et LSAP, qui ont souhaité aborder plusieurs points. Les questions ont notamment porté sur les causes de l’incident et sur les mesures mises en place ou à mettre en place pour éviter un tel incident à l’avenir.
Les questions étaient nombreuses auprès des parlementaires de toutes les formations politiques présentes lors de la réunion de la Commission de l'Économie de ce jeudi 5 février.
Est-ce que le gouvernement a procédé à une analyse de la panne ? Quelles mesures ont été mises en place depuis ? Est-ce que LuxTrust, qui a un quasi monopole au Luxembourg en termes d’authentification digitale, est considéré comme une infrastructure critique par le Haut-Commissariat à la protection nationale (HCPN) ? Faut-il diversifier les moyens d’authentification en s’appuyant sur d’autres fournisseurs que LuxTrust ?
Les députés ont encore affirmé qu’il fallait « reconstruire la confiance » et ont demandé si le Ministre de l’Économie aurait dû communiquer au moment de l’incident. Ils ont également mis en question le rattachement de LuxTrust au Ministère de l’Économie, se demandant si le Ministère de la Digitalisation ne serait pas plus pertinent.
Lex Delles a globalement reconnu que la situation était perfectible, mais qu’il n’était pas possible de garantir des services infaillibles. La communication de crise de l’entreprise aurait cependant été insuffisante au moment de l’incident, a affirmé Lex Delles, soulignant que des améliorations étaient en cours. LuxTrust ne ferait pas pour l’instant partie des infrastructures reconnues comme critiques par le HCPN. Mais selon le Ministre, cela n’aurait pas fait de différence par rapport à cette panne spécifique.
L’échange a porté sur la question du monopole de LuxTrust en termes d’authentification, monopole qui est remis en cause par les questions des députés. Lex Delles a expliqué qu’il trouvait son origine dans le développement de l’entreprise il y a plus de 20 ans, à une époque où aucun autre prestataire n’était disponible pour assurer ce type de service. Lex Delles a déclaré que ce n’était pas à lui de prendre position là-dessus, tout en soulignant que l’État menait des échanges avec d’autres fournisseurs, comme la société RCDevs, qui met déjà en place des solutions d'authentification pour les pouvoirs publics.
La situation majoritaire de Post en tant qu’actionnaire de LuxTrust résulterait de l’évolution historique de l’entreprise. Elle ne pourrait pas être liée à la panne qu’a connue LuxTrust, a expliqué le Ministre.
Atteindre les 99,9 % de fiabilité
Un responsable de l’entreprise a expliqué plus en détail les causes de la panne. Il s’agirait de la défaillance d’une carte réseau, qui a dû être remplacée. Le remplacement aurait ensuite fait « s’exprimer » un bug logiciel. Le volume des transactions opérées par LuxTrust, de l’ordre des 500 par seconde, aurait ensuite empiré la situation et entraîné une corruption des données. Le plan catastrophe aurait ainsi échoué, et la base de données a dû être redémarrée de zéro. Cela a mené à ce que l’incident dure 21 heures, ce qui est inacceptable pour un système aussi critique, comme ils l’ont reconnu. L’objectif est une restauration en 4 heures.
Malgré ce scénario « désastre » les représentants de LuxTrust ont affirmé que la moyenne d’accessibilité du service était actuellement de 99,7 %, et que des solutions étaient en cours d’implémentation afin d’atteindre les 99,9 %. Ainsi, pour le mois de mai 2026, LuxTrust prévoit d’augmenter le nombre de « data centers » sur lesquels sont distribuées ses données à trois.
D’autres mesures à moyen terme sont prévues à l’horizon 2027. Les représentants de LuxTrust ont souligné que leurs frais annuels en matière d’infrastructure s’élèvent à 3 millions d’euros, et que les investissements en la matière représentent 2 millions d’euros par an, une part considérable du chiffre d’affaires de l’entreprise qui s’élèverait à 30 millions d’euros par an.
En réponse aux questions des députés, les représentants de LuxTrust ont encore affirmé que depuis trois ans la société menait des investissements dans la souveraineté. Ainsi, tous les composants non-européens sont progressivement remplacés dans les dispositifs de la société.
Aucune procédure n’a été engagée par des clients contre LuxTrust à ce jour
Certains députés ont souligné que les services utilisés par les communes dans le cadre de leurs paiements semblaient avoir été remis en activité plus tard que le reste des services LuxTrust. Les représentants de LuxTrust n’ont pas confirmé ce fait supposé, soulignant que les communes utilisaient les mêmes services d’authentification que les autres entités pour leurs paiements MultiLine et que les fonctionnalités ont été restaurées en même temps pour tous les clients.
Les députés ont interrogé les représentants de LuxTrust sur les conséquences de la panne pour les clients. Ceux-ci ont affirmé que pour l’instant, aucune procédure en dommages et intérêts n’avait été entamée à leur encontre dans le cadre de la panne de LuxTrust.
La discussion a encore porté sur la technologie du E-Wallet qui devra être implémentée par les États membres de l’UE en 2027 de manière interopérable, et sur les implications de cette évolution pour le Luxembourg.
Les députés ont demandé au Ministre de l’Économie de leur fournir le « service level agreement » (SLA) qui existe entre l’État et LuxTrust. Ce type de document contient le service qu’un prestataire est tenu de fournir et les conséquences en cas de non-respect de ces engagements. Lex Delles a accepté de fournir ce document aux parlementaires, et de revenir plus globalement pour d’autres échanges en ce qui concerne le rapport entre l’État et les fournisseurs de systèmes d’authentification.
