A l’occasion des 30 ans du Club de la Sécurité de l’Information Luxembourg (CLUSIL), Cédric Mauny, son président depuis 2021, revient sur l’évolution de la cybersécurité à l’échelle nationale. D’une approche essentiellement technique centrée sur les infrastructures internes à un enjeu stratégique mêlant régulation, innovation, souveraineté et intelligence artificielle, le rôle du CISO s’est profondément transformé. Dans un contexte d’accélération technologique et de pression réglementaire croissante, il appelle à un équilibre subtil : accompagner l’innovation sans renoncer à la maîtrise du risque, tout en investissant massivement dans les compétences qui feront la résilience numérique de demain.

 

Le CLUSIL fête ses 30 ans cette année. Revenons au point de départ. Pouvez-vous nous expliquer dans quel contexte l’association a été créée ?

Le CLUSIL a été créé en 1996. Depuis opérons depuis lors sous la statut d’ASBL. À l’origine, son nom signifiait “Club de la Sécurité des Systèmes d’Information”. CLUSIL s’écrivait donc avec deux « S ». Et en 2010 nous en  avons retiré un, pour élargir la vision : il ne s’agit plus uniquement de sécuriser des systèmes, mais bien de protéger l’information dans toutes ses dimensions, qu’elle soit numérique, organisationnelle ou stratégique.
Il faut se replacer dans le contexte de l’époque. En 1996, Internet n’était pas démocratisé comme aujourd’hui. Il n’y avait pas de data centers Tier IV au Luxembourg. Les banques hébergeaient leurs infrastructures directement dans leurs bâtiments. La redondance et la résilience des systèmes n’étaient pas structurées comme elles le sont aujourd’hui.

 

Quels étaient les enjeux de l’époque ?

Les discussions portaient sur des sujets qui nous semblent désormais évidents : la sauvegarde, la redondance des infrastructures, la continuité d’activité. Mais à l’époque, rien n’était standardisé comme aujourd’hui. Il fallait construire les bases.

La menace principale était largement interne : fraudes internes, accès non autorisés, abus de privilèges. L’exposition externe via Internet était bien plus limitée. Les premiers groupes de travail étaient donc très techniques
: cryptographie, firewall, authentification, configuration réseau. On parlait d’adresses IP fixes, de segmentation réseau élémentaire. C’était une époque où la cybersécurité était essentiellement une discipline d’ingénieurs.

 

«En trente ans, la cybersécurité est passée d’une discipline d’ingénieurs à un enjeu stratégique qu i concerne toute organisation. »

 

Comment la mission du CLUSIL a-t-elle évolué ?

La mission fondamentale n’a pas changé. Nous avons toujours vocation à être une plateforme d’échange neutre et non commerciale entre professionnels de la cybersécurité. Le CLUSIL rassemble aujourd’hui environ 150 membres personnes physiques. C’est un point important que nous avons renforcé lors de la mise à jour de nos statuts avec la nouvelle loi sur les ASBL. Nous ne sommes pas une association d’entreprises, mais un groupement d’experts, de praticiens, de professionnels, et de futurs professionnels, intéressés par la sécurité de l’information. Dans les faits, une trentaine d’organisations sont représentées via leurs collaborateurs. Mais l’esprit reste celui d’une communauté d’individus qui viennent échanger librement, en dehors de toute logique commerciale.

Ce qui a changé en trente ans, c’est la diversité des profils que nous rassemblons. Historiquement, le secteur financier était très dominant. Aujourd’hui, nous avons des membres issus de la santé, de l’industrie, des PME, du
secteur public, des cabinets de conseil. La cybersécurité est devenue transversale. Elle ne concerne plus seulement les banques ou les grandes infrastructures critiques. Elle concerne tout le tissu économique.

 

Comment les échanges s’articulent-ils aujourd’hui ?

Au fil des années, on constate une forte évolution. À une époque, les groupes de travail produisaient de nombreux livrables structurants. L’un des principaux rapports fondateurs a été celui consacré à la fonction CISO : « RSSI : le protecteur de vos informations » en 2007, qui avait permis d’aligner les visions dans l’écosystème et de clarifier les attentes autour de ce rôle, repris en 2020 pour répondre aux besoins de la fédération ICTLuxembourg, dont le CLUSIL est membre, pour porter des propositions globales sur la cybersécurité. Il y a également eu des études, des présentations et des surveys à plusieurs reprises.

Avec le temps et la pression croissante sur les professionnels, il est devenu plus difficile de mobiliser les membres sur des travaux longs. Le quotidien des CISO est extrêmement chargé. Les menaces évoluent vite, les régulations se multiplient, les arbitrages budgétaires sont permanents.

Nous avons donc progressivement renforcé notre rôle de plateforme d’échange. Depuis la sortie du Covid, nous organisons environ un événement par mois. Nous invitons un intervenant sur un thème précis – régulation, AI Act, cyberdéfense, partage d’information – puis nous ouvrons la discussion de manière informelle. Cela favorise la rencontre, le partage d’expérience, la confrontation de points de vue.

Nous continuons néanmoins à produire des contributions lorsque cela fait sens. Par exemple, nous consolidons actuellement les retours de la communauté sur la révision de la stratégie nationale de cybersécurité. Là, nous retrouvons une logique de groupe de travail, avec un objectif structurant pour les prochaines années.

 

Pourquoi est-il si important d’avoir une association comme le CLUSIL aujourd’hui ?

Parce qu’en cybersécurité, personne ne peut rester seul. À travers  les diverses organisations, les professionnels font face aux mêmes problématiques : manque de ressources, pénurie de talents, pression réglementaire, accélération technologique, attentes croissantes des clients. L’échange permet d’éviter de devoir réinventer la roue chacun de son côté. Il permet aussi de relativiser certaines difficultés et d’identifier des solutions déjà mises en œuvre ailleurs.

Le CLUSIL permet également d’identifier des initiatives parfois méconnues. Il existe au Luxembourg des capacités mises à disposition par des acteurs étatiques ou paraétatiques – plateformes de simulation, programmes d’accompagnement, initiatives de cyberdéfense – qui ne sont pas toujours suffisamment connues. 

Le CLUSIL joue alors un rôle de relais.

Et puis il y a un élément fondamental : la confiance. Se rencontrer, discuter de manière informelle, partager des difficultés opérationnelles crée un climat de confiance. Or, la confiance entre les acteurs est essentielle à la cybersécurité. Sans confiance, il n’y a pas de partage d’information. Et sans partage, la résilience collective est affaiblie tout comme le niveau de protection globale dont nous dépendons tous.

 

Comment la fonction de CISO a-t-elle évolué en trente ans ?

Radicalement. À l’origine, le CISO était essentiellement un expert technique. Aujourd’hui, il agit comme un chef d’orchestre. Il doit coordonner des équipes, dialoguer avec le top management, gérer des budgets, prioriser des investissements, prendre sa part dans la gestion des incidents, produire du reporting structuré et souvent réglementé. La multiplication des régulations a joué un rôle déterminant dans cette évolution. Dans le secteur financier, la fonction est structurée depuis longtemps avec le modèle des trois lignes de défense. Mais dans d’autres secteurs, c’est plus récent et parfois à construire selon leurs spécificités.

Avec NIS2, de nombreuses organisations vont devoir formaliser une gouvernance cybersécurité. Cela implique un pilotage stratégique, qui incombe à cette fonction de CISO. Il n’est plus uniquement celui qui configure des dispositifs techniques. Il doit aligner la sécurité sur la stratégie d’entreprise. Il devient un interlocuteur du conseil d’administration. Il doit parler le langage du risque, du business, de la continuité d’activité.

 

La régulation est-elle devenue le principal moteur de renforcement de la cybersécurité ?

Elle est un moteur important, mais ce n’est pas le seul. Aujourd’hui, nous avons DORA, NIS2, le Cyber Resilience Act, l’AI Act et de nombreux autres. À cela s’ajoutent encore les exigences contractuelles des clients et partenaires. La pression réglementaire est évidemment forte. Mais si un CISO se contente de faire de la conformité, il passe à côté de sa mission. La sécurité ne doit pas être uniquement défensive ou bureaucratique. Elle doit soutenir le business, permettre l’innovation, renforcer la confiance. Le véritable défi est de trouver l’équilibre entre régulation et innovation.

 

« En cybersécurité, personne ne peut rester seul : le partage d’expérience est devenu un facteur clé de résilience collective. »

 

Justement, comment concilier innovation et sécurité ?

Le CISO ne peut pas être celui qui freine l’innovation. Sinon, il risque d’être contourné. Prenons l’exemple de l’intelligence artificielle. Interdire ChatGPT ou d’autres outils similaires en entreprise est irréaliste. Les collaborateurs trouveront des moyens de les utiliser.

Le rôle du CISO est d’accompagner cette innovation en sécurité. Il faut encadrer, définir des règles d’usage, sensibiliser, analyser les risques, mais sans bloquer. L’IA évolue à une vitesse exceptionnelle. Il y a deux ans, on s’amusait de ses erreurs. Aujourd’hui, elle génère du code, développe des applications complètes, automatise des processus.

Le défi n’est pas seulement technologique. Il est organisationnel. Les entreprises doivent absorber cette innovation, comprendre ses impacts, l’intégrer de manière structurée. Le CISO doit donc anticiper, évaluer, encadrer, tout en permettant au business d’avancer.

 

La résilience est devenue un concept central ces dernières années. Était-ce déjà le cas à la création du CLUSIL ?

Oui, mais dans un contexte très différent. En 1996, au moment de création de l’association, la CSSF avait publié une Circulaire concernant la mise en place d’un plan de continuité de l’activité pour le secteur financier, le fameux BCP / Business Continuity Planning. Cela a donné l’impulsion et de quoi alimenter le premier groupe de travail où la résilience allait de pair avec duplication des serveurs et des sauvegardes. Aujourd’hui, elle inclut la dépendance aux fournisseurs cloud, la géopolitique, la souveraineté numérique. La souveraineté numérique n’est plus un concept abstrait. Elle devient très concrète lorsqu’on parle de dépendance aux fournisseurs technologiques, de chaînes d’approvisionnement, d’extraterritorialité du droit.

Pendant longtemps, on considérait que le cloud était synonyme de résilience. Aujourd’hui, on doit aussi se poser la question : que se passe-t-il en cas de tension géopolitique majeure ? Que se passe-t-il si l’accès à certains services devient restreint ?

Cela ne veut pas dire qu’il faut tout rapatrier localement. Ce serait peu réaliste. Mais il faut avoir une vision claire des dépendances et des impacts sur les lignes métiers et intégrer ces dimensions dans l’analyse de risque.

 

Vous évoquiez la révision de la stratégie nationale de cybersécurité. Pourquoi est-ce un moment clé ?

Parce qu’une stratégie nationale n’est pas un simple document politique. C’est un cadre structurant qui va orienter les priorités, les budgets et les projets pour les cinq prochaines années. Nous avons déjà des stratégies nationales sur la Résilience, la Data, l’IA et le Quantum. La cybersécurité est un pilier central de la stratégie
de résilience. La mise à jour de la stratégie cyber va déterminer comment le Luxembourg souhaite se positionner : quelles capacités développer, quelles priorités soutenir, quels projets structurants lancer.

Le CLUSIL joue ici un rôle de consolidation. Nous collectons les retours de la communauté, des CISO, experts et praticiens, et nous les synthétisons. C’est important que la voix du terrain soit entendue.
Une stratégie efficace ne peut pas être uniquement descendante. Elle doit intégrer l’expérience opérationnelle.

 

Quels sont, selon vous, les axes qui devraient absolument figurer dans cette stratégie ?

D’abord, la question des compétences. Sans talents pour exécuter les ambitions, une stratégie reste théorique. Ensuite, la capacité de détection et de partage d’information. Si l’on veut renforcer la résilience nationale, il faut faciliter les échanges d’informations sur les menaces et améliorer la coordination entre acteurs. Enfin, la projection stratégique. La cybersécurité ne doit pas être pensée uniquement comme un mécanisme de protection. Elle doit être considérée comme un levier d’attractivité et de confiance pour l’économie luxembourgeoise.

 

« La confiance entre professionnels est le socle de la cybersécurité : sans confiance, il n’y a pas de partage, et sans partage, il n’y a pas de résilience. »

 

La formation et le développement des compétences sont donc un enjeu majeur ?

Oui. Le premier pilier de la souveraineté, ce sont les compétences. Aujourd’hui, on peine à pourvoir aux ressources nécessaires pour soutenir une approche de sécurité performante. Au Luxembourg, nous avons un BTS en cybersécurité et des masters dont un récemment créé en cyberdéfense. Mais il manque un bachelor structurant, permettant de couvrir les besoins intermédiaires. 

Les étudiants sont parfois contraints de partir à l’étranger et le risque serait qu’ils ne reviennent pas. Au-delà de la formation initiale, il faut recréer des vocations dès le plus jeune âge. Sensibiliser les jeunes, mais aussi les parents. Encourager les carrières scientifiques et ICT. Et il ne s’agit pas seulement de formation initiale. Le reskilling et l’upskilling sont essentiels. Permettre à des professionnels d’acquérir des compétences cyber contribue directement à notre souveraineté.

 

Le CLUSIL a récemment mené une action originale autour des clés USB. Pourquoi ?

Nous voulions vérifier si ce vecteur d’attaque restait pertinent aujourd’hui dans l’ère du cloud.

Disposer de métriques de risque à jour à essentiel. Nous avons donc distribué 240 clés USB dans différents lieux publics. Les clés ne contenaient aucun contenu malveillant, mais l’ouverture de certains fichiers générait une requête vers un serveur, nous permettant de mesurer l’activation. Résultat : 16 % des clés ont été ouvertes volontairement. Un quart l’ont été le jour même. La médiane était de trois jours. Cela montre qu’un vecteur perçu
comme ancien reste exploitable. Pour un CISO, cela signifie qu’il ne faut pas négliger ces scénarios dans son analyse de risques.

 

Si vous deviez résumer les grands défis actuels d’un CISO au Luxembourg,
comment le feriez-vous ?

Je dirais : régulation, innovation et compétences. La régulation impose un cadre structurant. L’innovation, notamment avec l’IA, avance à une vitesse inédite. Et les compétences sont le socle de tout le reste. Le CISO doit naviguer entre ces trois dimensions. Il doit toujours protéger, accompagner, anticiper, encadrer et remettre en perspective. La cybersécurité n’est plus un centre de coût technique, elle est un levier stratégique de confiance, de résilience et de compétitivité.