Pouvez-vous nous rappeler le rôle de la LHC ?

La Luxembourg House of Cybersecurity est un Groupement d’Intérêt Économique (GIE) qui dépend du ministère de l’Économie est dont la mission est de renforcer le niveau de cybersécurité des acteurs qui constituent l’écosystème luxembourgeois, en particulier les PME et les municipalités. Ceux-ci n’ont en effet pas toujours les ressources nécessaires pour déployer les mesures et mettre en œuvre les bonnes pratiques leur assurant un niveau de protection suffisant. La LHC est constituée de deux grands centres. Le premier, le National Cybersecurity Competence Center (NC3) agit sur le volet préventif, en proposant des formations, des outils, des actions de sensibilisation pour aider les acteurs à prendre conscience des menaces et des risques afin de pouvoir y répondre. D’autre part, le Computer Incident Response Center Luxembourg (CIRCL) offre un accompagnement des acteurs victimes d’une attaque, à la manière des pompiers chargés d’éteindre un incendie. Ces deux centres permettent, d’une part, d’être au contact des menaces et incidents qui ont cours au Luxembourg pour, d’autre part, conseiller les acteurs et les accompagner afin de bien les prendre en considération et prévenir les risques.

Quelle est votre mission, en tant que CISO, au sein d’une institution comme le LHC ?

Elle est la même que celle d’un CISO dans n’importe quelle autre organisation. Elle vise à protéger les actifs numériques qu’elle détient, à préserver leur confidentialité, intégrité et disponibilité, tout au long de la chaîne opérationnelle. Pour cela, je travaille au quotidien avec les experts en sécurité, les équipes IT, les personnes du métier, l’ensemble des utilisateurs, pour mettre en place les mesures techniques, les contrôles et procédures qui garantissent la sécurité de l’ensemble de la structure ou qui assurent la conformité réglementaire des opérations.

Au sein du LHC, on imagine que la cybersécurité est un sujet maîtrisé dans la mesure où il est au cœur des missions de l’institution… Est-ce que cela contribue à rendre votre mission plus aisée ?

Pas nécessairement. L’enjeu, lorsque l’on parle de sécurité, réside en un engagement permanent de l’ensemble des personnes impliquées au sein de l’organisation. Au-delà de la mise en place des mesures techniques, qui contribuent à prévenir les risques, il y a aussi une dimension humaine importante qu’il faut considérer. À aucun moment, nous ne pouvons affirmer que nous sommes à l’abri de tout risque. En permanence, il faut se préparer à pouvoir répondre à un incident, renforcer sa capacité à réagir. Les menaces évoluent, la technologie aussi. Ce qui est important, dans la fonction que j’occupe, avec les équipes qui m’entourent, c’est de toujours envisager comment s’améliorer, de chercher à apprendre pour faire mieux.

Tout de même, la prise de conscience des risques, la maîtrise des bonnes pratiques, doit être plus élevée au sein du LHC qu’ailleurs ?

Le fait que l’on soit expert, que les enjeux relatifs à la sécurité nous occupent au quotidien, facilite la prise de conscience au niveau de l’ensemble des équipes. Puis, dans la mesure où nous sommes la LHC, il y a aussi un devoir d’exemplarité. Répondre à la menace, aux risques, prévenir les incidents, au demeurant, est un enjeu collectif. Cette responsabilité n’incombe pas au CISO seul. S’il se positionne en capitaine, il doit s’appuyer sur l’ensemble de l’équipage, constitué des acteurs de l’informatique, du business, du management, coordonner l’ensemble, veiller à ce que chacun adopte les bonnes pratiques, pour maximiser les chances d’amener le bateau à bon port. Nous naviguons en permanence au milieu d’une mer agitée, avec de nombreuses menaces qu’il faut prendre en compte. Pour rester à flot, il faut s’inscrire dans une démarche d’amélioration continue.

En tant que structure qui promeut les bonnes pratiques en matière de cybersécurité, jouez-vous un rôle de sensibilisation vis-à-vis de la communauté des professionnels de la cybersécurité ?

C’est un rôle qui ne fait pas directement partie de mes missions, mais que j’aime porter. J’apprécie m’investir auprès de la communauté des CISO et des professionnels de la cybersécurité au Luxembourg, en prenant part à des événements, en endossant le rôle de modérateur lors d’échanges entre professionnels en vue d’aborder des sujets clés, notamment autour des évolutions réglementaires comme NIS2, DORA, CSA, l’IA Act. L’année dernière, dans la cadre de la mission du LHC, en collaboration avec l’ILNAS, j’ai aussi eu l’opportunité de coordonner un projet européen afin d’évaluer l’opportunité de mettre en place une certification en lien avec le Cybersecurity Act. L’un des défis est de soutenir les PME dans l’appréhension des nouvelles exigences réglementaires en matière de cybersécurité, cela au travers d’une démarche de certification.

Quels sont les enjeux ?

Les PME, au regard des ressources dont elles disposent, ne sont pas en mesure d’engager des démarches qui répondent aux exigences de normes comme ISO 27001. Il est cependant important de leur donner des outils pour améliorer leur niveau de sécurité, les inviter à renforcer leur posture. Ici, l’idée était de leur donner des clés, par l’intermédiaire d’une démarche d’autoévaluation régulière autour de questions en phase avec la réglementation, pour les inviter à évoluer. Au-delà de cette autoévaluation, l’idée était aussi de leur permettre de se soumettre à un audit externe afin de certifier leur démarche.

Qu’est-ce qui a résulté de ce projet ?

Nous avons eu de bons échanges autour de ces enjeux, avec de nombreux acteurs européens, et notamment les experts de l’ENISA. Il faudra voir, à l’avenir, comment la démarche peut aboutir à l’échelle européenne. Cela devrait répondre à de nombreux défis auxquels seront prochainement confrontés de nombreux acteurs, notamment avec l’entrée en vigueur de NIS2. Si le Cybersecurity Act entend induire une démarche d’engagement volontaire des organisations dans l’amélioration de la sécurité, NIS2, pour sa part, introduit de nouvelles obligations pour de nouveaux acteurs. La certification doit permettre de soutenir les efforts, de part et d’autre. Je tiens à préciser, toutefois, qu’il ne faut pas voir la certification comme un objectif en soi. Ce serait une erreur majeure. L’enjeu ne doit pas être d’aller chercher un « stample », mais bien de s’inscrire dans une démarche d’amélioration, d’engager un travail de renforcement de la sécurité à tous les niveaux. C’est très important.

Car, comme vous le disiez, on n’est jamais vraiment suffisamment sécurisé…

Une organisation évolue dans un monde en proie à de nombreux changements permanents. Le business évolue, les outils et les technologies déployées aussi. La menace se diversifie. C’est ce qui rend les métiers de la cybersécurité particulièrement intéressants. Le challenge est permanent. Le vrai défi est de comprendre les risques, les impacts que peut avoir l’introduction d’une nouvelle technologie ou encore l’identification d’un nouveau risque ou d’une menace.

Ces dernières années, on a vu les buzzwords se multiplier, que l’on parle de l’intelligence artificielle, des cryptomonnaies ou encore de la blockchain.. Si ces nouvelles technologies attisent l’appétit des utilisateurs ou même des dirigeants, le rôle du CISO est aussi d’inviter l’organisation à appréhender ces évolutions en considérant les impacts et les risques qui peuvent en découler. D’une société à l’autre, en fonction de l’usage qui en fait, l’impact de l’introduction d’une technologie émergente ne sera pas le même.

On a longtemps reproché à la cybersécurité d’être un frein aux projets des organisations. Comment, au contraire, peut-elle se positionner comme un soutien au business ?

Il est vrai que le CISO a longtemps été considéré comme un élément bloquant. Cela est sans aucun doute dû au fait que l’on regarde les évolutions en considérant les risques qui leur sont associés, les incidences d’un projet sur la conduite du business. Par moment, nous pouvons nous montrer paranoïaques, cela en fonction du contexte. Toutefois, l’on se rend compte que cela est moins le cas à partir du moment où des pratiques de sécurité ont déjà été mises en place, si les équipes ont pris conscience des risques, si l’on parvient à aligner les stratégies business et de sécurité, si des procédures et des plans de reprise sont opérationnels. À partir du moment où les risques sont mitigés, on peut plus facilement accompagner la mise en œuvre de nouvelles solutions, l’intégration de technologies plus avancées. Mais il faut pour cela de bonnes fondations. Plus la cybersécurité est mature, moins elle est perçue comme un élément bloquant. Pour bien accompagner la transformation de l’organisation, des processus, soutenir les projets envisagés, il est essentiel de s’assurer que tout le monde puisse prendre la mesure des enjeux. Pour cela, le CISO doit veiller à une communication optimale avec les diverses parties prenantes, adapter le discours en fonction des cibles. On ne parle pas aux équipes techniques de la même manière qu’aux managers ou aux utilisateurs. Il est aussi important de soutenir une communication franche et honnête, même en cas d’incident.

Comment avez-vous vu évoluer le rôle de CISO ?

Il s’est considérablement transformé. Dans les années 1990, l’enjeu était de sécuriser un périmètre bien défini. Le défi était essentiellement technique. Aujourd’hui, les contours de l’environnement à protéger sont plus difficiles à cerner. Les actifs numériques peuvent être en local ou dans le Cloud. Les acteurs sont en permanence interconnectés. En plus des compétences techniques qu’il doit maîtriser, en s’entourant notamment des bonnes expertises, le CISO a aussi dû acquérir des compétences sociales, de leadership, de communication, d’adaptation, pour accompagner les enjeux de sécurité et amener l’ensemble d’une structure à améliorer sa posture en permanence.

Comment répondre à ces défis de complexification de l’environnement à protéger ?

Plus que jamais, il faut adopter une approche basée sur les risques et qui s’inspire des pratiques aujourd’hui mises en œuvre dans le domaine de la protection des données. La réglementation autour des données personnelles, notamment, contraint les acteurs à assurer la protection de ces informations, en veillant à la gestion de leur cycle de vie, peu importe où elles se trouvent.

Aujourd’hui, il y a lieu de gérer l’ensemble des actifs numériques de l’entreprise de la même manière. Il importe dès lors pour le CISO de commencer par les identifier, par les cartographier, pour mieux appréhender les risques auxquels ils sont exposés afin de mieux les mitiger. Comme nous le disions, le périmètre à protéger est éclaté, avec des terminaux dans tous les sens, des ressources distribuées, des échanges entre acteurs à tous les niveaux. Aujourd’hui, tout est connecté, au sein de l’entreprise comme dans la sphère privée. Au-delà du smartphone, des tablettes, des laptops, nos voitures sont connectées, mais aussi nos machines à laver, nos lave-vaisselles, nos fours micro-ondes. Il est de plus en plus difficile, dans un magasin d’électroménager, de trouver des équipements qui ne sont pas connectés. Cela signifie que, quoi qu’on fasse, on laisse des traces, souvent sans en avoir conscience, avec les risques que cela représente. L’hygiène à adopter, au regard des données, est devenue un défi clé.

Les entreprises, dès lors, sont exposées à des risques dont elles n’ont souvent pas conscience…

Oui. On l’a encore vu cet été, avec la panne d’envergure mondiale liée à CrowdStrike. En l’occurrence, il ne s’agissait pas d’une attaque, mais bien d’un problème lié à un défaut dans un logiciel utilisé dans un environnement complexe. On a pu se rendre compte, dans ce contexte, qu’un petit défaut pouvait mettre à mal tout un système. Une brique mal positionnée dans le mur d’une maison et c’est l’ensemble qui s’effondre. La tendance à recourir de plus en plus à des sous- traitants, à mettre en œuvre des écosystèmes complexes, fragilise nos environnements. Les responsables informatiques doivent prendre conscience de ces risques et prendre les mesures qui s’imposent. Souvent, on se contente de régler ces aspects au niveau du contrat qui nous lie à un sous-traitant. Cela me paraît insuffisant. Avant d’entrer en relation avec un partenaire, l’organisation doit s’assurer de la qualité du service rendu, vérifier que des mesures de sécurité requises sont effectivement mises en place. Il faut, a minima, poser les questions et, idéalement, effectuer des contrôles. Il faut pouvoir évaluer le coût d’une externalisation. Je ne parle pas ici du coût du service, mais aussi de prendre en compte les risques associés à toute externalisation ou à l’intégration d’une solution extérieure.

Les femmes occupant la fonction de CISO sont rares. Qu’est-ce qui vous a amenée vers les métiers de la sécurité informatique ?

Mon parcours est assez atypique. Je suis d’origine roumaine. Enfant, j’ai toujours été attirée par les sciences et les langues étrangères. J’étais forte en maths, en informatique. J’aimais jongler avec les algorithmes. Aussi, je me suis tournée vers un Master en Science de l’informatique, pour devenir ingénieure, à l’école polytechnique de Bucarest. Je me suis spécialisée dans le développement applicatif. À l’époque, le cursus n’abordait pas encore la sécurité informatique, si ce n’est au niveau de la gestion des réseaux. Étudiante, j’ai eu la chance de me mettre au service de projets de développement pour une société éditrice de solutions antivirus. J’ai par la suite décidé d’orienter la défense de mon master, effectué à Munich, autour du thème de la sécurité des systèmes distribués. Par la suite, dans le cadre de mon doctorat, en Italie, dans le domaine de la sécurité informatique, j’ai pu effectuer un stage à l’Université de Louvain puis un autre auprès de British Telecom.

Il était important pour moi de me confronter, au-delà de la recherche académique, aux enjeux de l’industrie. C’est ce qui m’a amenée au Luxembourg, au SnT, dans le cadre de projets de recherche appliquée. J’ai ensuite opté pour une carrière de consultant, auprès d’un Big Four, autour des enjeux de protection des données et de sécurité informatique. Ce fut une expérience particulièrement enrichissante et intense, au plus près des enjeux des organisations, avec la volonté de leur délivrer une vraie valeur ajoutée. Puis, à un moment, j’ai souhaité me concentrer sur la gestion, appréhender ces enjeux en tant que responsable. C’est là que j’ai rejoint le LHC. Au fil de ma carrière, j’ai toujours cherché à appliquer ce que j’avais appris dans mes expériences précédentes dans des environnements nouveaux.

Depuis votre position, vous êtes une observatrice privilégiée de l’écosystème cybersécurité luxembourgeois, de la maturité des acteurs de la place. Que pouvez-vous nous en dire ?

C’est une question délicate, dans la mesure où il y a beaucoup de disparités entre les acteurs. On constate qu’il y a un potentiel énorme au Luxembourg, avec de nombreuses sociétés, petites et grandes, de grande qualité, avec une maturité élevée en la matière. Aussi, je dirais qu’il y a un véritable enjeu à soutenir les échanges entre les acteurs, à inviter ceux qui sont perfectibles à aller à la rencontre de ceux qui ont déjà engagé des efforts depuis un certain moment. Il nous faut créer un environnement où les acteurs se sentent libres d’échanger ouvertement sur ces sujets, de partager leurs avis, leurs idées, leurs expériences, de manière à tirer tout le monde vers le haut. Face aux défis à venir, notamment avec l’entrée en vigueur de NIS2, c’est essentiel. C’est un des sujets sur lequel le LHC travaille.