TRANSFORMATION & ORGANISATION
“Améliorer nos services en garantissant la protection des données de tous nos assurés”
C’est le responsable sécurité de la Sécurité Sociale luxembourgeoise. Guy Isler, CISO of The Year 2022, est aussi responsable de la sécurité des systèmes d’information de l’ensemble des institutions de sécurité sociale au Luxembourg depuis une vingtaine d’années. Au quotidien, il veille donc sur les nombreuses données personnelles sensibles de celles et ceux qui cotisent et bénéficient de prestations sociales au Luxembourg, dans la mesure où ces données touchent à leurs revenus ou encore à leur santé.
August 22, 2024
Vous rejoignez le CCSS en 2005. Il y a presque 20 ans. Comment avez-vous vu évoluer les enjeux inhérents à la sécurité des systèmes d’information au fil de ces deux dernières décennies ?
En commençant à travailler au Luxembourg, en 1996, nous en étions au début de l’ère Internet. Durant les dix années suivantes, dans la banque et les assurances, où j’ai travaillé, on commençait à tirer profit des possibilités que cette évolution technologique offrait. Les dangers étaient alors limités. Ils étaient en tout cas sans commune mesure avec les risques auxquels nous faisons face aujourd’hui. Les menaces et les risques ont grandi avec l’expansion d’Internet, avec des systèmes bien plus ouverts, interconnectés, avec des transferts d’information vers l’extérieur des entités en nette progression, avec pour but une meilleure communication globale. Par le passé, le profil du RSSI était essentiellement technique.
Imaginez le contexte de l’époque : avec un bon firewall et un antivirus, on couvrait presque tout le périmètre technique. Depuis 2005, l’évolution des technologies nous force à prendre en considération des éléments qui ne relèvent pas uniquement de la technique. Les attaques prennent des formes très diverses, entre le social engineering, les ransomwares, les chevaux de Troie, et des systèmes beaucoup plus complexes et en interconnexion croissante. Pour ne citer que quelques exemples, le cloud, l’intégration de l’IA, la virtualisation, créent de nouveaux risques que l’on ne peut se permettre d’ignorer. Toutes ces nouvelles technologies, la plupart étant connectées à Internet, d’où proviennent les principales menaces, doivent être bien encadrées. Cela ne peut se faire qu’à partir d’analyses de risques spécifiques à chaque activité.
Comment, dès lors, la fonction de RSSI a-t-elle évolué ?
Au-delà des aspects techniques, le RSSI doit désormais considérer de nombreux autres enjeux. Le principal se situe aujourd’hui au niveau de la protection de la donnée, et plus particulièrement de la protection des données personnelles, comme en atteste par ailleurs l’évolution des normes orientées vers la sécurité de l’information, qui intègrent dorénavant la protection des données. Le RSSI protège les systèmes sur lesquels les informations à caractère personnel se trouvent ou transitent. Pour mener à bien sa mission, il est essentiel que le responsable de la sécurité de l’information se rapproche davantage des équipes IT, d’une part, et du DPO, d’autre part. Trop souvent, on constate que ces trois fonctions ne travaillent pas bien ensemble, bien que partageant des objectifs communs. L’IT n’intègre pas toujours, de manière optimale, les enjeux de sécurité en mettant la priorité sur le business. Le DPO, pour sa part, est souvent très orienté sur les aspects juridiques et moins sur les aspects opérationnels, alors que ses analyses d’impact à la personne ont l’obligation d’intégrer la sécurité de l’information. Pour ma part, je prône une collaboration active entre ces différentes fonctions. Parce que j’ai eu la chance d’acquérir des compétences liées à la protection des données, je parviens à maintenir une collaboration efficace avec les divers DPO des Institutions de Sécurité sociale. Néanmoins, je constate, en tant que membre d’associations pour la protection des données au Luxembourg, que dans beaucoup de structures, sécurité de l’information et protection des données à caractère personnel sont des domaines encore très cloisonnés. Je le regrette.
Comment avez-vous vu évoluer la menace ?
Aujourd’hui, selon moi, bien qu’il ne faille pas mettre de côté le domaine technique, l’un des enjeux majeurs en matière de sécurisation des systèmes d’information réside dans la sensibilisation des utilisateurs. Il y a quelques années, nous devions essentiellement faire face à des attaques techniques, des tentatives d’intrusion dans nos réseaux informatiques. Aujourd’hui, les attaquants cherchent à exploiter les vulnérabilités humaines des utilisateurs afin de leur soutirer des informations. Il est donc important de faire prendre conscience à ces derniers des dangers, à travers un effort de sensibilisation permanent. Ce sont eux notre dernier rempart. Chaque nouvel agent rejoignant les Institutions de sécurité sociale est formé à la sécurité de l’information et à la protection des données à caractère personnel. Même si on a veillé à sécuriser techniquement l’ensemble du périmètre d’attaque, un simple clic malencontreux d’un utilisateur peut conduire à un incident majeur pour l’ensemble du système d’information.
La Sécurité sociale, plus que la plupart des institutions, gère des données à caractère personnel sensibles, liées aux revenus ou à la santé de toutes les personnes vivant, travaillant ou ayant travaillé au Luxembourg. Qu’est-ce que cela implique en matière de gestion de la sécurité ?
Nous gérons effectivement des données avec divers niveaux de sensibilité. Il y a des données publiques comme ailleurs, mais surtout des données personnelles qui doivent être protégées conformément au GPDR, dont certaines sont particulièrement sensibles : les salaires de toutes les personnes travaillant au Luxembourg, des données de santé, celles relatives aux pensions ou aux allocations familiales par exemple. Nous sommes amenés à gérer des données présentant ce niveau de sensibilité pour plusieurs millions d’assurés à l’heure actuelle. Notre priorité, dès lors, est de protéger ces informations et, par conséquent, nos assurés, afin de les mettre à l’abri de toute fuite de données personnelles qui aurait un impact sur leur vie privée. Au niveau de la sécurité de l’information, cela implique de prendre des mesures techniques et organisationnelles parfois drastiques, pour éviter toute fuite ou perte de données, et pouvoir assurer notre mission et garantir les prestations sociales au quotidien. Toutes ces informations, en effet, sont importantes afin de verser correctement les prestations sociales auxquelles nos assurés ont droit.
En raison de la sensibilité de ces données, la sécurité n’est-elle pas un frein à la transformation digitale d’une administration comme la vôtre ?
Notre rôle premier est de soutenir les Institutions de sécurité sociale dans la réalisation des missions qui leurs sont confiées, et non de les freiner. Cependant, les exigences en matière de sécurité imposent un certain nombre de contraintes techniques et organisationnelles pour bien protéger les données. Il y a, effectivement, à ce niveau, un équilibre à trouver. Ce qui est parfois loin d’être évident. Dans la même logique, il faut trouver des terrains d’entente lorsqu’il s’agit de mettre en œuvre de nouvelles solutions technologiques, que l’on parle de cloud, d’intelligence artificielle, d’internet des objets pour n’en citer que quelques-unes.
Il y a de réelles attentes de nos assurés pour des services encore simplifiés, mais aussi des contraintes techniques et organisationnelles vis-à-vis de la digitalisation de nos services. A ce niveau également, un compromis est à trouver entre le niveau de sécurité souhaité et la qualité de service. La règle est de s’assurer de bien encadrer chaque nouveau déploiement et de veiller à ce que ces technologies ne génèrent pas des impacts négatifs ni sur la mission, ni sur la sécurité des données des assurés.
Vis-à-vis de ces déploiements, qu’entendez-vous par « bien encadrer » ?
Il faut avant tout procéder à des analyses de risques spécifiques, liées à la mise en œuvre et au déploiement de nouvelles solutions ou approches. Celles-ci sont nécessaires afin de se positionner sur l’opportunité de réaliser un changement ou non, ou pour fixer d’éventuelles mesures de sécurité supplémentaires dans le but de mitiger ou d’éliminer les risques identifiés. Au-delà, il faut aussi se doter d’une gouvernance solide, de procédures claires pour encadrer l’utilisation de ces technologies. Si on prend l’exemple de l’IA générative, il faut s’assurer que les utilisateurs respectent les règles de protection des données, comme le fait de ne pas saisir de données à caractère personnel dans ces outils qui vont stocker ces données en externe. De nombreuses solutions informatiques nécessitent aujourd’hui le cloud ou dans des environnements extérieurs aux nôtres, ce qui représente un risque potentiel pour nos données. Nous privilégions bien évidemment les solutions de stockage en local, mais nous n’avons pas toujours le choix et nous devons aviser en conséquence.
Aujourd’hui, au niveau de l’administration, n’y a-t-il pas un réel enjeu à renforcer le lien, à mieux interagir avec les assurés ?
Effectivement. Cette montée en puissance de l’interaction administration/assuré fait d’ailleurs l’objet de processus d’optimisation depuis de nombreuses années dans nos institutions respectives. Le CCSS et les Institutions de sécurité sociale du Luxembourg s’ouvrent effectivement davantage vers l’extérieur à travers la mise en place de la plateforme mySecu ou le lien avec MyGuichet. Il y a une réelle demande pour cette simplification des échanges, au grand bénéfice des assurés, mais aussi des Institutions de sécurité sociale afin de rationaliser leur traitement opérationnel interne. L’enjeu, pour les équipes de sécurité, est d’accompagner ce changement. Il s’agit de trouver le juste équilibre afin de garantir une même qualité de service et de sécurité tout en améliorant la communication avec les assurés. Le fait est que ces échanges passent par Internet, qui de surcroît est le canal idéal dans une optique zéro-papier, et s’effectuent via des e-mail ou d’autres canaux digitaux comme les SMS. C’est à ce niveau que cela peut s’avérer dangereux car on peut tromper l’assuré en se faisant passer pour une Institution de sécurité sociale, comme cette campagne de phishing visant actuellement nos assurés.
Ces SMS, envoyés par des attaquants à vos utilisateurs, sont en dehors de votre périmètre. Comment répondre à ces tentatives d’usurpations dont sont aujourd’hui victimes de nombreuses institutions ayant pignon sur rue ?
En effet, ces attaques ne nous visent pas directement et s’opèrent en dehors de notre périmètre. Les principales victimes de ces usurpations, ce sont malheureusement les assurés, auxquels les attaquants vont chercher à extorquer de l’argent. Nous avons cependant une responsabilité vis-à-vis d’eux. En premier lieu, il nous appartient de les informer au maximum et de les mettre en garde par rapport à ces campagnes de phishing. Ensuite, nous effectuons également une veille technologique. Nous avons mis en place des outils de prévention, qui nous permettent une réaction immédiate en cas de tentative d’usurpation de notre identité qui pourrait tromper les assurés. Non seulement nous veillons à renforcer la sécurité des données de nos assurés dans nos systèmes, mais nous faisons aussi le maximum pour protéger nos assurés lors de leurs communications. Dans la mesure où l’on nous utilise comme vecteur pour les cibler, il en va de notre responsabilité de prendre des mesures pour les soutenir et les protéger.
Comment répondre efficacement à une menace croissante ?
Le volume d’attaques augmente et celles-ci sont de plus en plus sophistiquées et de mieux en mieux préparées. Cela implique, à notre niveau, d’être davantage proactifs, pour assurer la détection des attaques, y répondre efficacement, mais aussi gérer nos vulnérabilités en parallèle. Sur tous ces aspects, nous avons une équipe dédiée qui fait un excellent travail. Nos mécanismes de défense intègrent une multitude de technologies qui sont régulièrement mises à jour. Il est clair que le maintien d’un haut niveau de sécurité représente aujourd’hui un travail considérable.
Au regard de tous ces enjeux, est-ce qu’un RSSI parvient à bien dormir ?
Dormir, c’est quoi ? Tous les RSSI que je connais ne dorment jamais ! (rires). Dans cette fonction, il est vrai, que le niveau de stress et d’inquiétude est relativement élevé, mais quand on est passionné, et que l’on raisonne en terme de mission pour nos assurés, on reste concentré et on prépare l’avenir. D’un autre côté, un RSSI qui ne dort pas bien ne peut pas faire un bon travail le lendemain. Au terme de chaque journée, il faut pouvoir se dire que l’on a fait le maximum, que l’on a pris les bonnes décisions, mis en place les bonnes mesures pour répondre aux menaces en optimisant les ressources mises à notre disposition.
Justement, il appartient aussi au RSSI d’aller chercher les moyens, de convaincre la direction d’investir dans la sécurité…
De toute évidence ! Il faut évidemment que la direction soit le premier sponsor. À notre niveau, je bénéficie pleinement du soutien de celles et ceux qui dirigent nos entités administratives. Ceci me permet de disposer des moyens nécessaires pour répondre aux enjeux. Il est aussi important de faire remonter les informations relatives à la sécurité, pour que les responsables comprennent ce qui est mis en œuvre et aient conscience des défis auxquels nous sommes confrontés, surtout dans l’environnement hostile et le contexte géopolitique actuel. S’il est vrai que l’on peut toujours faire plus et mieux, il faut aussi avoir conscience que ce ne sont pas forcément les mesures les plus coûteuses qui contribueront à renforcer le mieux le niveau de sécurité. Il faut pouvoir justifier les investissements au regard des résultats attendus.
Les diverses institutions de la Sécurité sociale ont été récemment rassemblées dans un nouveau bâtiment, la Cité de la Sécurité sociale, dans le quartier de la Gare à Luxembourg. Comment,
en ce qui concerne la sécurité, un tel déménagement est-il appréhendé ?
Avec l’installation dans ce nouveau bâtiment, qui accueille bien plus de collaborateurs que celui que nous occupions jusqu’alors, nous avons été amenés à revoir l’architecture technique de nos systèmes d’information. Il s’agissait avant tout de garantir une bonne connectivité à chacun, avec une implantation nouvelle de certains services répartis géographiquement de manière différente dans le passé. La sécurité a été entièrement revue à cette occasion. Nous en avons profité pour intégrer des éléments supplémentaires de sécurité physique, principalement au niveau des accès au bâtiment. Ce déplacement de nos locaux a constitué une réelle opportunité de revoir et de renforcer la sécurité du système d’information de la sécurité sociale luxembourgeoise et par conséquent celle des données des assurés dans son ensemble.