Rencontre avec Pascal Steichen, Managing Director CIRCL – CERT, CASES autour de l’importance de la sécurité informatique.

Par Sébastien Lambotte.

Monsieur Steichen, dans quelle mesure la sécurité informatique est-elle un élément crucial pour le développement du secteur ICT au Luxembourg ?

Au Luxembourg, on nourrit l’ambition de faire de l’ICT un pilier de la diversification économique. La cyber sécurité est un sujet critique. C’est un facteur à ne pas négliger si l’on veut devenir compétitif en matière d’ICT, accroitre la compétitivité et l’attractivité de la Place aux yeux des entreprises qui pourraient profiter des infrastructures et services ICT au Luxembourg.

Comment fournir toutes les garanties nécessaires en matière de protection des systèmes informatiques ?

On ne peut pas. Il faut partir du principe que les gros pépins qui pourraient nous arriver vont se produire.

C’est plutôt alarmiste comme message…

Non, c’est plutôt réaliste. Des structures de tout type se font attaquer en permanence. Cela ne concerne pas uniquement les entreprises qui gèrent des données sensibles ou des grandes sociétés, mais tout le monde. En étant conscient de cette réalité, on peut envisager les choses différemment, pas seulement sous l’angle de la protection, mais en se préparant à réagir à un incident, en mettant en place des procédures de gestion de crise.

Comment se préparer à la crise, justement ?

Avoir à l’esprit que l’on est la cible d’une attaque, que quelque chose est en train de se passer, constitue déjà un grand pas, dans la mesure où cela nous invite, plus que de nous protéger, à placer une partie des efforts sur la détection de la menace et sur l’apport des réponses une fois qu’elle a été révélée. Il y a six ou sept ans, la quasi-totalité de l’effort en matière de sécurité visait la protection uniquement. En considérant la manière avec laquelle la menace évolue et en partant du principe qu’elle a sûrement déjà attaqué vos systèmes, la protection ne suffit plus.

Qu’entendez-vous par « se préparer à la crise » ? Quelle est l’ampleur du risque ?

Cela dépend des attaques. Je ne dis pas que chacune d’elles peut se transformer en crise, mais le risque, aujourd’hui, peut être lourd de conséquences. Le digital s’immisce dans toutes les couches de la société, tout est interconnecté. Si bien que l’on doit faire face à une multitude de risques systémiques. Imaginez que l’on attaque un fournisseur en électricité, avec pour conséquence un black-out plus ou moins important. Ce scénario n’est pas le plus improbable. Et le caractère systémique du risque ne va aller qu’en augmentant.

Comment chaque acteur peut-il se préparer ou contribuer à amoindrir le risque ?

Il faut travailler sur plusieurs niveaux. D’abord en mettant en place une procédure de gestion des incidents au jour le jour, qui permet de mieux prendre conscience des menaces et attaques en cours, de les comprendre et de réagir en fonction. Une grande crise peut découler d’une petite défaillance que l’on a négligée. Derrière, il faut pouvoir mettre en place un « Business Continuity Planning », en se demandant ce qu’il se passe si une infrastructure tombe. L’enjeu, ici, est d’établir des scénarios relatifs à des incidents potentiels et de bien s’y préparer, en commençant par les gros risques, puis en descendant progressivement vers des niveaux de menaces moindres. Enfin, naturellement, il convient d’établir des « Disaster Recovery Plans », permettant de relancer une activité le plus rapidement possible suite à une crise.

Comment le Luxembourg est-il préparé face à ce risque de crise ? Quels éléments peuvent-ils être améliorés ?

De manière générale, les acteurs conscients du risque travaillent principalement sur le « Business Continuity Planning », sur les divers scénarios pouvant conduire à une crise, et mettent en place des réponses adaptées à travers des DRP. Par contre, au niveau de la gestion des incidents au jour le jour, pour mieux comprendre la menace, pour l’analyser, il y a encore des efforts à faire. C’est important, car bien comprendre les menaces, petites ou grandes, est indispensable pour améliorer le sécurité en général, pour anticiper et déceler des risques auxquels on ne pense pas, ou pas encore. Mais de manière générale, le Luxembourg appréhende bien les enjeux de sécurité, par ses investissements dans les infrastructures et dans la sécurité, avec de la sensibilisation, mais aussi des services de réponse sur incident.

Comment la menace a-t-elle évoluée ces dernières années ?

Derrière un malware ou une intrusion, il y a de l’humain. L’activité malveillante s’est professionnalisée, voire industrialisée. Il y a une économie qui s’est créée, avec des spécialisations dans la récupération de données par exemple, dans la recherche d’adresses e-mail, la création de malwares, leur distribution… Chaque spécialiste rend des services à d’autres. La menace profite aussi justement de la complexification des systèmes, qui rendent parfois l’intrusion plus facile, dans la mesure où l’on oublie de protéger une extension par exemple.