DIGITAL SOLUTIONS
« En matière de cybersécurité, il est essentiel de favoriser les interactions »
En marge du « Hack Escape » organisé en clôture de la Cybersecurity Week, nous avons organisé un échange entre Marianne Dutriez, Country Manager de Sopra Steria Luxembourg, François Thill, directeur Cybersécurité du ministère de l’Économie, et Pascal Steichen, CEO de Security made in Lëtzebuerg. Face aux nouvelles menaces, ils plaident pour une collaboration renforcée entre tous les acteurs de la cybersécurité.
November 27, 2019
Le vendredi marquant la fin de la Cybersecurity Week, on sentait une certaine effervescence au sein de la LHoFT. Le matin même, 25 participants s’étaient lancés dans le premier « Hack Escape » luxembourgeois, un événement à mi-chemin entre le hackathon et l’escape room, et dont le scénario avait été minutieusement préparé par les équipes de Sopra Steria. « Cela nous a beaucoup occupé au cours des derniers jours, notamment parce qu’il a fallu construire une plateforme informatique dédiée, indépendante, explique Marianne Dutriez, Country Manager de Sopra Steria Luxembourg. Toutefois, nous avons pu compter sur le soutien de Security made in Luxembourg et du ministère de l’Économie pour la développer. L’idée est de pouvoir réutiliser cette plateforme plus tard, pour d’autres événements, pour des formations, et surtout pour la sensibilisation »
Public et privé, dans le même bateau
Cette collaboration entre acteurs privés et publics en matière de cybersécurité est loin d’être inédite. Au contraire, de nombreuses initiatives existent pour faire échanger les instances publiques chargées de la cybersécurité et les 304 entreprises qui, selon un recensement récent effectué par LuxInnovation, sont actives dans ce secteur au Luxembourg. « A titre d’exemple, nous pouvons citer les petits-déjeuners thématiques organisés depuis trois ans avec l’aide de Security made in Luxembourg, indique François Thill, directeur Cybersécurité du ministère de l’Économie. Leur objectif est de réunir acteurs publics et entreprises privées pour faire connaissance, pour discuter des nouvelles menaces, des façons de se protéger, etc. Favoriser les interactions est en effet absolument essentiel dans ce domaine. »
Cela dit, il n’est pas toujours évident pour des entreprises de discuter ouvertement, avec des concurrents, de sujets aussi critiques que sa propre sécurité informatique. « La menace concerne tout le monde, et je crois que les entreprises en sont bien conscientes, poursuit Marianne Dutriez. Rester dans sa bulle dans le but de se protéger aurait pour seul effet de passer à côté d’un savoir-faire précieux. Pour lutter efficacement contre la menace cyber, il s’agit de lutter ensemble, au cœur d’un écosystème. D’ailleurs, en tant que société de services, le fait de partager une partie de notre savoir-faire est loin de nous faire perdre du business… »
Le riche écosystème luxembourgeois
Il est vrai qu’il serait dommage de se priver de la richesse de l’environnement luxembourgeois dédié à la cybersécurité. Au-delà des entreprises actives dans le domaine et des nombreux acteurs publics existants, le Luxembourg compte aussi 10 CERT (Computer Emergency Response Team) qui, ensemble, offrent une réactivité maximale en cas d’attaque. Le degré de maturité par rapport à la cybersécurité est ainsi très élevé. « Nous insistons souvent sur ce point lorsque nous sommes en mission à l’étranger. Au niveau international, le Luxembourg bénéficie d’ailleurs d’une grande reconnaissance par rapport aux garanties qu’il offre en matière de cybersécurité », relève François Thill.
Si le pays a pris une longueur d’avance à ce niveau, c’est en partie en raison de la demande créée il y a de nombreuses années par le secteur financier, particulièrement sensible aux attaques informatiques. Toutefois, aujourd’hui, bien d’autres domaines d’activité sont concernés : le secteur médical, l’industrie, la construction… « On le remarque durant cette semaine de la cybersécurité : des acteurs issus de très nombreux secteurs participent activement à l’événement, notamment en organisant des conférences, comme l’a par exemple fait le cabinet d’avocats Arendt, expose Pascal Steichen, CEO de Security made in Lëtzebuerg. On remarque cependant que d’autres domaines doivent encore être mieux sensibilisés à la cybersécurité, notamment la construction, qui est concernée par le sujet en raison de son recours de plus en plus poussé à la domotique ou par son utilisation d’outils BIM (Building Information Modeling). Le ministère de l’Économie continue de fournir un gros travail pour sensibiliser tous ces acteurs. »
L’évolution de la menace
Si tous les secteurs sont désormais concernés par la menace cyber, cela ne signifie pas que la nature des attaques a radicalement évolué. « Si l’on prend l’exemple du ransomware, on voit que c’est un type d’attaque qui est ancien, puisqu’il est né dans les années 80. A l’époque, il était toutefois bien plus difficile d’en faire un business, puisqu’il n’existait quasiment aucun moyen de verser de l’argent facilement et de façon non traçable, remarque François Thill. Avec l’arrivée des crypto-monnaies, c’est à présent bien plus simple et c’est la raison pour laquelle ces attaques se sont multipliées, sans pour autant que la nature de la menace ait beaucoup évolué. »
S’il fallait évoquer une tendance sur les cibles des hackers, on pourrait sans doute évoquer leur appétit pour les données personnelles, dont on commence à bien comprendre la valeur. En outre, en matière de modus operandi, on voit que les pirates informatiques n’ont pas toujours recours à des moyens très poussés d’un point de vue technologique pour arriver à leurs fins. « Il faut rappeler que la sécurité de l’information, c’est de la cybersécurité mais aussi de la sécurité physique, explique Marianne Dutriez. Un hacker peut tout à fait rentrer dans un bureau de la direction, appeler le support informatique en se faisant passer pour le directeur et obtenir un mot de passe lui donnant accès à des informations sensibles. Cela se voit souvent, alors qu’on imagine toujours que le hacking se fait à distance, à l’aide de techniques strictement informatiques. »
La cybersécurité, une attitude
Le degré d’éducation par rapport à la cybersécurité est certes en hausse, mais il reste tout de même beaucoup d’efforts à fournir pour que la menace cyber soit prise en compte par l’ensemble d’une société, et pas seulement par son service IT. « Au final, la cybersécurité, ça ne s’achète pas, ça doit se vivre au quotidien par tous les départements de l’entreprise, estime François Thill. La prise en compte de cette problématique peut être l’occasion de réorganiser la structure en décloisonnant ses différents services. De la sorte, la cybersécurité, loin d’être un frein, sera bien plus un ‘enabler’, un outil permettant de mieux travailler ensemble. »