Quel regard portez-vous sur l’évolution de la cybersécurité ces 20 dernières années au Luxembourg et sur la politique du gouvernement dans ce domaine ?
La cybersécurité a énormément évolué ces deux décennies. Dans l’opinion publique, la sécurité informatique était perçue il y a 20 ans comme un simple produit, qu’il suffisait d’acquérir. Force est de constater aujourd’hui qu’elle est un domaine complexe faisant appel à des analyses complexes et des corps de métier spécialisés.
Cette évolution est due à la fois à la professionnalisation de la menace, à une certaine monoculture des systèmes d’exploitation et à une augmentation quasiment exponentielle des impacts probables liés à une cyberattaque.
En début de siècle le pourcentage des « script-kiddies », les jeunes pirates en informatique, était encore très élevé. Aujourd’hui, les amateurs font place à de vrais professionnels qui lancent des attaques ciblées ou de grande envergure touchant un nombre élevé de personnes ou d’entreprises.
Le gouvernement du Luxembourg a suivi de près cette évolution et a pu mettre en place très tôt certaines mesures de protection aussi bien pour les entreprises que pour les citoyens. Ces mesures persistent dans le temps et sont adaptées aux défis.
Le gouvernement est très conscient que la cybersécurité présente un important facteur d’attractivité pour une économie, qu’elle est discriminatoire du point de vue complexité et coûts et qu’elle représente un défi collaboratif. C’est pour ces raisons que des structures ont été mises en place.
Ainsi, au sein de l’Etat, il y a des structures comme le CERT gouvernemental et l’ANSSI, ou encore les experts du CTIE et de l’INAP qui proposent des mesures techniques et organisationnelles ou des formations aux agents de l’Etat.
Pour le grand public, le gouvernement a lancé il y a une dizaine d’années l’initiative BEE SECURE, qui s’occupe, entre autres, des sensibiliser aux risques cyber et bonnes pratiques de façon obligatoire dans les écoles et offre un accompagnement au personnel éducatif, tout comme aux parents et seniors.
Pour les entreprises, SECURITYMADEIN.LU propose une large panoplie de services et produits qui couvrent les aspects de la sécurité organisationnelle et technique sans oublier une offre de formations pour les employés.
La coordination de tous les acteurs étatiques est assurée par le ‘Cyber Security Board’ gouvernemental, également responsable de développer la stratégie cyber nationale.
L’écosystème de la cybersécurité, composé des acteurs publics et de nombreux acteurs du domaine privé, est très mature et propose les produits et services innovants pour relever les défis de l’avenir amenés par l’économie des données.
Avec le recours massif au télétravail, la crise du COVID-19 a été un réel révélateur de l’importance de disposer au sein des entreprises d’une infrastructure IT résiliente avec le niveau de sécurité adéquat. Dans ce contexte, comment voyez-vous la réaction des entreprises et du marché en général ?
L’organisation du télétravail pour une entreprise n’est pas une tâche facile, d’autant plus s’il est mis en place en urgence. En effet, beaucoup d’entreprises ont dû faire des compromis au détriment de la cybersécurité.
Nombre d’employés ont dû avoir recours à leur outils informatiques privés pour effectuer le travail à domicile. Leur matériel n’est pas nécessairement sécurisé aux standards de l’entreprise et ils souvent aussi accessibles aux autres personnes du foyer.
Certaines entreprises ont su mettre en place un accès par réseau privé virtuel (VPN) pour que les employés puissent travailler sur des données se trouvant sur les serveurs de l’entreprise. Pour d’autres, n’ayant pas cette possibilité, des problèmes accrus de communication se sont posés, surtout par rapport à l’utilisation du mail, incluant éventuellement l’utilisation d’adresses mail privées des employés.
D’autres encore ont décidé d’aller en « cloud », soit auprès d’un fournisseur luxembourgeois ou chez Microsoft, Google ou encore Amazon.
Actuellement, dans la période de « new normal », les entreprises devraient revoir les solutions qu’elles ont mises en place lors du confinement. Elles pourraient éventuellement réfléchir à la nécessité d’adapter certains processus métier pour faciliter le télétravail et identifier les mesures organisationnelles et techniques adaptées à sécuriser le télétravail. LuxInnovation, via son programme Fit4Resilience peut les accompagner dans cette démarche. Cependant il y aura toujours des cas où, pour des raisons de sécurité, le recours au télétravail ni recommandé, ni possible.
La crise du COVID-19 aura certes mis en lumière les risques liés à la cybersécurité mais également l’importance de la mise en œuvre d’une transformation numérique planifiée stratégiquement. Pensez-vous que cette crise soit un vecteur d’accélération de la digitalisation de notre économie ?
Je suis persuadé que cette crise est un vecteur d’accélération de la digitalisation pour les entreprises et administrations. Cette accélération sera également, à mon avis, suivie d’une offre de services mieux adaptée aux PME, notamment par des solutions de type « cloud » proposées par des entreprises luxembourgeoises offrant des interfaces vers la compatibilité, les finances et les administrations.
Tout un écosystème devra se former, mais je suis convaincu que les acteurs de la place ont déjà commencé à relever ce défi.
Au début de cette année 2020 a été créé un forum sur la cybersécurité dédié au secteur de l’industrie manufacturière, qui suit les principes d’un « Information Sharing and Analysis Center » (ISAC). Les premiers résultats de ce forum seront présentés lors de la « Cybersecurity Week Luxembourg ». Pouvez-vous nous présenter les objectifs du forum et la valeur ajoutée pour les entreprises participantes ?
La cybersécurité est discriminatoire d’un point de vue de la complexité et des coûts. En outre elle représente un défi au niveau collaboratif. L’ISAC industrie a été créé pour soutenir les entreprises à s’échanger, dans un cadre confidentiel, sur des bonnes pratiques et retours d’expériences. L’ISAC a aussi comme objectif d’identifier les défis auxquels les entreprises du secteur de l’industrie manufacturière sont confrontées, afin de capitaliser sur des potentielles synergies. Finalement l’ISAC cherche à identifier des scénarios de risques spécifiques au secteur et à accompagner les entreprises pour qu’elles puissent effectuer des analyses de risques plus objectives et comparables.
Dans le cadre de la prévention de la cybersécurité, il est crucial pour une entreprise de pouvoir auto-évaluer son risque afin de mettre en place des règles d’hygiène strictes. Comment voyez-vous l’utilisation de tels outils en complément des outils d’analyse de risques ?
La cybersécurité n’est pas un produit qu’on peut acheter, mais un processus. Comme pour tout processus, il nécessite une bonne planification et une mise en œuvre correcte. Des outils d’autoévaluation peuvent aider dans cette démarche. Ils aident à identifier des mesures à mettre en place notamment au niveau organisationnel, de la sensibilisation ou même de la formation des employés.
La Fedil a lancé l’année dernière avec grand succès un outil d’autoévaluation cyber qui aide les entreprises à s’évaluer par rapport à 50 bonnes pratiques. Suite à cette auto-évaluation, l’entreprise peut vérifier son positionnement (bien-sûr anonyme) par rapport à un benchmark luxembourgeois. C’est un très bon moyen d’évaluer sa maturité et de le comparer avec les autres sociétés ayant effectué cette auto-évaluation.
SECURITYMADEIN.LU propose des outils gratuits. Le Fit4Cybersecurity propose aux PME d’évaluer leurs besoins et donne des conseils pour la mise en place de mesures de sécurité.
Le Diagnostic CASES est un service gratuit qui par le biais d’une interview avec le directeur évalue la maturité de l’entreprise dans dix domaines de la cybersécurité. Un rapport détaillé de mesures à mettre en place est fourni à l’entreprise.
Pour les entreprises d’une certaine envergure et maturité informatique, nous conseillons généralement de faire une analyse de risques approfondie. Elle doit nécessairement être effectuée par un expert et engendre des coûts. Mais l’investissement en vaut la peine, notamment pour des entreprises fortement dépendantes des technologies de l’information.
LuxInnovation avec son service Fit4Digital contribue à améliorer le système informatique des entreprises, respectivement à augmenter leur niveau de cybersécurité.