« La cybersécurité expliquée à ma grand-mère. » C’est le titre du podcast que vous avez créé et que vous animez depuis juin 2022. Pouvez-vous nous raconter l’origine de ce podcast ?

Il existe de nombreux podcasts qui traitent de la cybersécurité. Beaucoup portent sur des considérations techniques. C’est plus di”cile d’en trouver un qui évoque le sujet au sens large. L’idée, à travers ce podcast, c’est deparler de cybersécurité à chacun, pour qu’il comprenne les principes et puisse les appréhender. C’est l’idée de la grand-mère. Mamy, comme je l’appelle au début de chaque épisode, est une personne non identifiée, un peu comme la femme de Colombo, à qui j’essaie d’expliquer des principes de cybersécurité. On aborde les enjeux sous divers angles, parfois avec des personnes venant d’autres horizons. Cela m’a aussi permis de faire de nombreuses rencontres, d’interviewer des personnes extrêmement intéressantes et passionnées.

Parce que renforcer la cybersécurité, et la sécurité en général, concerne tout le monde…

Aujourd’hui, pour de multiples raisons, si on veut mettre en œuvre des politiques de sécurité e”caces, il faut discuter avec tout le monde. Il faut pouvoir parler aux équipes techniques, mais aussi au département légal ou encore à la communication.

Combien d’épisodes avez-vous produits ?

Il y en a à ce jour plus de 40. Mais j’ai des idées pour en réaliser encore bien plus. C’est un sujet inépuisable.

Vos épisodes mêlent grands principes et culture populaire. Vous recourez régulièrement à des références cinématographiques pour évoquer les enjeux de cybersécurité. Rapidement, on se rend compte qu’on ne devrait pas parler de cybersécurité, mais de sécurité tout court et même d’appréhension des risques avant tout…

Effectivement. L’un des premiers enjeux c’est de rendre les concepts accessibles, de s’accorder sur les définitions. On ne peut parler de sécurité sans mettre les enjeux en lien avec des risques. On pourrait par exemple longtemps s’attarder sur le concept de malveillance, tant il peut prendre de nombreuses formes. On peut se demander quelle est la différence entre un malware ou un programme qui plante. Où commence la malveillance ?

Ne faudrait-il pas avant tout considérer ce qui fait mal et mieux identifier ce qui est susceptible de causer du tort ?

Exactement. L’objectif, quel est-il ? Si ce n’est de préserver l’organisation, l’activité, la société de ce qui pourrait perturber son bon fonctionnement. Il faut donc raisonner en matière de risque. Il ne s’agit plus uniquement de construir les protections les plus épaisses possibles, mais de partir de ce qui est vraiment essentiel pour une organisation afin d’envisager, au travers de la mise en place de mesures diverses de contrôle ou encore de remédiation, la manière de se préserver, de pallier les risques.

Il s’agit là d’un changement d’approche de la cybersécurité qui est assez récent, non ?

Il est intéressant de regarder comment la perception de la cybersécurité a évolué. Quand j’étais étudiant, la cybersécurité se limitait à des éléments de cryptographie. À la Fac, j’avais eu l’audace d’expliquer comment écrire un malware. Cela m’a valu des remarques assez virulentes de la part de mes professeurs. On m’a fait comprendre que je ferais mieux de m’occuper d’autre chose, comme si j’étais passé du côté obscur.

Et pourtant, aujourd’hui, on s’accorde à dire que pour mieux se protéger, il est important de comprendre les modes opératoires des attaquants…

Oui. Tout à fait. Dans les années 2000, imaginer les possibilités de déstabiliser un système était mal vu. À cette époque, le rôle des professionnels de la cybersécurité consistait à installer des antivirus et à configurer des firewalls. C’était essentiellement technique. Les responsables de la sécurité étaient considérés comme des chevaliers de l’apocalypse, annonçant en permanence une attaque, mettant en garde contre le pire.

Comment les choses ont-elles évolué ?

On a progressivement pris conscience de l’intérêt de comprendre comment fonctionnaient les attaquants, de mieux gérer les failles et les vulnérabilités qui pouvaient être exploitées et de limiter autant que possible les risques. On a compris que pour avoir une bonne posture de sécurité, il fallait maîtriser un ensemble d’aspects techniques, mais pas seulement. Au final, le niveau de robustesse d’un système d’information correspond à celui de son élément le plus faible.

Comment, d’autre part, la menace a-t-elle évolué ?

À ce niveau aussi, le monde a changé. Dans les années 2000, les hackers étaient avant tout des geeks, souvent isolés, qui opéraient plus pour s’amuser qu’autre chose. Petit à petit, on a vu des groupes aux intentions mafieuses se constituer, souvent soutenus par des gouvernements. Beaucoup de ces groupes émanent des pays de l’Est, où s’est développée une culture de l’électronique et de l’informatique très avancée. Très vite, c’est l’appât du gain qui a constitué la première motivation, avec une réelle volonté de faire mal. Ces groupes se sont organisés, professionnalisés. Une économie s’est constituée avec des spécialisations, des échanges de services. Par exemple, des sous-groupes vont être spécialisés dans la recherche de points d’entrée dans des systèmes. Ces accès vont pouvoir être revendus sur le marché noir à d’autres, dont la mission sera d’exploiter des failles. On peut trouver des offres de « malware as a service » par exemple.

C’est donc particulièrement organisé…

Oui. Quand on y regarde, cela fonctionne comme une industrie, avec des organisations semblables et les mêmes problèmes de recrutement, de recherche de talents, de négociation salariale que dans n’importe quelle entreprise. Ces personnes gagnent d’ailleurs beaucoup d’argent. On trouve même des agences qui vont valider et noter des hackers, comme on pourrait le faire pour un Uber.

Vous dites que ces groupes sont souvent liés à des États, ou du moins soutenus par eux. Cela aussi, c’est récent…La cybersécurité devient un enjeu géopolitique.

C’est la raison pour laquelle beaucoup d’États ont commencé à penser la cyberdéfense de manière différente. À côté des domaines aérien, maritime, terrestre, on trouve aujourd’hui le cyberespace. Par exemple, en France, j’ai personnellement fait partie d’une réserve de cyberdéfense opérationnelle. En cas de crise, j’étais mobilisable par l’armée. À ce titre, j’ai suivi une formation et pris part à des séances d’entraînement qui n’avait pas grand-chose à voir avec la cybersécurité, à crapahuter dans la nature en treillis militaire, en soldat. C’était une expérience. Mais j’en garde un très bon souvenir.

Nos sociétés sont en effet dépendantes du numérique et dès lors exposées à des risques croissants. Est-ce cela qui justifie une réglementation croissante des pratiques numériques ?

On peut évoquer DORA ou l’IA Act. Oui, il s’agit de démarches entreprises par le régulateur pour prévenir certains risques. DORA vise à garantir la stabilité de l’écosystème financier. Ses acteurs se sont considérablement digitalisés. À tel point que, considérant les menaces, les autorités ont jugé nécessaire de renforcer le cadre, obligeant les institutions à prendre un ensemble de mesures garantissant leur résilience. Il ne s’agit pas uniquement de se prémunir des cyberattaques, mais aussi de mieux appréhender les risques de dépendance vis-à-vis d’un prestataire de services informatiques qui, éventuellement, pourrait faire défaut. Si tout le monde commence à mettre son infrastructure dans le cloud, ce qui est possible, il faut veiller à un certain nombre de choses et avoir conscience du risque de devenir dépendant d’un fournisseur de services.

Comment intégrer ces enjeux ?

Il ne s’agit pas de dire que le cloud c’est mal. Mais de s’organiser pour y placer son infrastructure en gardant une certaine indépendance. Il y a des organisations au Luxembourg qui ont très bien géré le sujet, comme la Bourse de Luxembourg par exemple. Il faut bien étudier les risques et anticiper les éventualités. Ce que demande DORA, au fond, c’est de renforcer sa résilience, d’être en capacité de faire face à tout incident et de garantir la continuité du service. Il faut se préparer au pire quand tout va bien afin de pouvoir se surpasser quand tout va mal.

DORA impose de penser la résilience à l’échelle de l’organisation de manière transversale. Qu’est-ce que cela implique pour le CISO que vous êtes ?

Oui, cela implique de pouvoir mobiliser toutes les parties prenantes de l’entreprise, pour identifier les fonctions critiques, les risques et les contraintes de chacun. Il faut une approche structurée et transversale. La fonction de CISO, dès lors, change fondamentalement. Elle évolue de jour en jour. Au-delà des aspects techniques ou liés au risque, il faut intégrer les enjeux de conformité réglementaire. Nous devons à la fois, garantir la stabilité des systèmes, accompagner le business et veiller à la bonne intégration des technologies.

Permettre l’intégration des technologies nouvelles tout en prévenant les risques, n’est-ce pas l’ambition poursuivie par l’IA Act ?

Oui, mais pas seulement. Des textes comme l’IA ou DORA contribuent aussi à préserver nos valeurs européennes, notamment vis-à-vis des géants du numérique non-européens. GDPR, au départ, vient garantir la protection des données personnelles. L’IA Act limite les usages qui peuvent être faits de l’intelligence artificielle en fonction des risques, mais aussi de ces valeurs. Par exemple, la réglementation interdit le recours à la technologie pour mettre en œuvre un crédit social, comme cela peut se voir dans certains pays. La réglementation veut prévenir des manipulations de l’opinion par la génération de fake news par exemple. D’une certaine manière, elle cherche à protéger notre démocratie. Cela va bien au-delà de la cybersécurité. En cela aussi notre rôle change.

Si vous deviez résumer votre mission, au regard de ces évolutions, comment le feriez-vous ?

Notre rôle est de protéger l’organisation au sens large. En d’autres termes, il s’agit de lui assurer les moyens de continuer à faire du business. La posture a changé. Pendant longtemps, le CISO pouvait se contenter de dire non. Il s’agissait de protéger. Maintenant, on nous demande d’être inventifs, de comprendre les problèmes, de trouver des solutions. Notre rôle, tout en veillant à la pérennité du business, est aussi de le soutenir. C’est beaucoup plus complexe. Il nous appartient souvent d’être la voix de la raison dans un monde qui est déraisonnable. Pour y parvenir, il faut s’assurer que chacun a conscience des enjeux. Nous devons pouvoir être compris de tous et avoir la capacité de comprendre.

Comment vous positionnez-vous au sein de l’organisation ?

Je rapporte directement au responsable du risque de l’organisation. De là, on peut facilement s’adresser à toute l’organisation, de manière transversale et neutre. Si la fonction de CISO reste quand même un métier éminemment technique, sur le fond, nous devons nous adresser à tout le monde. Je dois pouvoir dialoguer avec les responsables des achats, pour régler des enjeux contractuels vis-à-vis de prestataires de services IT par exemple, pouvoir parler aux métiers, pour comprendre les besoins et les risques. Il ne faut pas négliger le volet sensibilisation et formation des équipes. Il y a aussi tout le volet réglementaire, qui gagne en importance. Mes journées sont très diversifiées.

À l’échelle d’une banque comme la BIL, quels sont les principaux défis du CISO ?

On a déjà évoqué les aspects réglementaires, avec la mise en œuvre de DORA notamment. À ce niveau, il est important de comprendre le fond de la réglementation. Pourquoi a-t-elle été adoptée, dans quel contexte ? Cela afin de pouvoir y répondre au mieux. Au départ de cette compréhension, en collant à l’esprit, on peut mieux envisager les mesures pour y répondre. Si l’on considère DORA, un gros volet concerne l’anticipation des crises pour s’y préparer, en pensant aux procédures à mettre en place, à la communication de crise, aux aspects légaux qui y sont liés. L’autre grand défi réside dans l’accompagnement du business, l’intégration des technologies dans le respect du cadre réglementaire, mais aussi en veillant à bien appréhender les risques. L’environnement technologique est de plus en plus complexe et versatile.

En résumé, il faut pouvoir changer toujours plus vite tout en garantissant un niveau de sécurité optimal…

Oui. Et c’est un vrai challenge. En 2021, j’avais déjà écrit un article un peu provoc, intitulé « cloud partout, sécurité nulle part ? ». Dans un monde versatile, il est notamment important de comprendre comment fonctionnent les environnements, les technologies mises en œuvre, leur incidence sur l’activité ou sur les données, quelles en sont les limites… L’entreprise, au final, doit s’assurer de la maîtrise de son environnement. Le plus grand danger en informatique, c’est de commencer à faire des choses sans les maîtriser vraiment sur le fond. Or, la technologie évolue toujours plus rapidement. Le business peut être demandeur et exercer une pression importante pour l’intégrer.

Comment répondre à cela ?

Pendant longtemps, on a pensé à la cybersécurité comme un empilement. Il faut désormais la considérer comme un continuum. Il faut s’assurer que la sécurité et l’ensemble des éléments constitutifs de l’organisation, de l’infrastructure jusqu’au client final, en passant par les produits et services, sont bien alignés. Il est essentiel d’éviter autant que possible les angles morts, les zones d’ombre et les exceptions. C’est le défi. Aujourd’hui, toute personne qui travaille dans la sécurité sait qu’il y a forcément des trous dans la raquette quelque part. Il faut cependant tenter de limiter les failles. C’est tout l’enjeu d’une stratégie de continuité, qui permet de monitorer, de contrôler et de faire évoluer les systèmes de manière cohérente.

Et ça, c’est possible ?

Bien sûr. D’autres grands acteurs, soumis à des contraintes plus importantes que nous, y parviennent. Je pense notamment à Airbus. C’est vers cela qu’il faut aller. Et c’est d’ailleurs ce que nous demande la réglementation : d’évaluer en permanence les risques liés à un projet, à un changement, à un service, et de prendre des contre-mesures en fonction.