Il n’est pas toujours évident d’appréhender les enjeux en matière de cybersécurité lorsque l’on est une PME. Si les dirigeants sont de plus en plus conscients des risques d’une cyberattaque ou d’une fuite de données pour leur entreprise, il n’est pas évident de déterminer quelles sont les mesures prioritaires à mettre en œuvre et encore moins les moyens à y consacrer.

Afin d’accompagner les PME et les aider à renforcer la protection de leurs actifs numériques ainsi que la résilience de leurs activités, POST et Luxcontrol se sont rapprochés autour d’une nouvelle initiative. « Les PME, épargnées dans le passé par les cyber attaques, sont devenues des cibles de plus en plus privilégiées par les attaquants, explique Olivier Antoine, Head of Information Security Management au sein de POST Luxembourg. Souvent, les cybercriminels vont tenter de compromettre des prestataires de services de petite ou moyenne taille pour atteindre de plus gros acteurs. De plus en plus, ils s’attaquent aussi à de plus petites structures, plus faciles à compromettre. Au regard de ces évolutions, les acteurs doivent donc relever leur niveau de sécurité et mettre en place une meilleure approche de la cybersécurité, pour notamment mieux appréhender leurs risques Cyber. »

Une approche pragmatique

Alors que les moyens d’une PME sont souvent limités, que ces structures n’ont pas la possibilité de se doter de compétences dédiées vis-à-vis de ces enjeux, comment bien appréhender la cybersécurité ? POST et Luxcontrol ont souhaité allier leurs compétences pour répondre à cette problématique. « Il existe des normes et standards, à l’instar d’ISO/IEC 27001, qui permettent d’engager une démarche cohérente pour mettre en place un Système de management en matière de sécurité de l’information. Toutefois, ces standards restent assez difficiles à aborder. Nous nous sommes donc demandés si nous pouvions proposer une démarche plus accessible, davantage concrète, vis-à-vis de ces enjeux », poursuit Sébastien Weiland, Chief Information Officer au sein de Luxcontrol.

S’ils ont d’abord envisagé de proposer une version adaptée aux PME de l’ISO/IEC 27001, les deux partenaires se sont finalement tournés vers les bonnes pratiques de la cybersécurité avec le cadre de contrôles proposé par le CIS1, beaucoup plus pragmatique. « ce cadre est plus orienté sur les réponses pratiques à mettre en œuvre et moins sur la gouvernance. Considérant un ensemble de contrôles établis par rapport aux attaques et menaces les plus connues, les contrôles du CIS formulent des actions à mettre en œuvre et directement compréhensibles des PME », poursuit Sébastien Weiland.

Un cadre adapté aux PME luxembourgeoises

POST et Luxcontrol ont donc adapté la démarche au contexte luxembourgeois. « Nous aurions pu prendre le cadre proposé et l’appliquer tel quel. Cependant, il nous a semblé opportun d’adapter la démarche suite à notre connaissance approfondie du marché. Sur les 153 points de contrôles établis par le CIS par rapport à trois niveaux de sécurité proposés, nous en avons sélectionnés 91. À nos yeux, ils correspondent aux éléments essentiels à considérer pour pouvoir prétendre avoir une bonne posture en matière de cybersécurité et savoir réagir efficacement en cas d’attaque», précise Olivier Antoine. À partir de ces contrôles, chaque entreprise peut évaluer son niveau de sécurité et, in fine, prétendre à un label « Cyber Responsable » délivré par ESCEM, après vérification des éléments mis en œuvre. « La démarche s’effectue en plusieurs temps. Une première évaluation, effectuée lors d’un atelier d’une ou plusieurs demi- journées selon la complexité du SI. Celle-ci est réalisée sur base d’un questionnaire permet de rédiger un rapport détaillé qui doit permettre à l’entreprise de cerner sa maturité sur la sécurité de son SI, et d’identifier les faiblesses et de fixer des priorités afin de les corriger », commente Sébastien Weiland.

À chacun son CYBERSCORE

À l’issue de cette évaluation, l’entreprise se voit attribuer un CYBERSCORE, à l’image du Nutri-score, rendant compte de son niveau de sécurité. Ce score est établi en tenant compte d’un ensemble de critères sur des thématiques clés, comme la gestion des accès, la sensibilisation et la formation des équipes, la protection des e-mails, la protection, la sauvegarde et la récupération des données … « Certains points de contrôle sont rédhibitoires. Si des mesures ne sont pas mises en place vis-à-vis de certains enjeux, la note finale sera négative », ajoute Sébastien Weiland, faisant une analogie avec la sécurité routière. « De la même manière qu’un véhicule sera recalé au contrôle technique pour des éléments considérés comme critiques, à l’instar des freins, certaines mesures de sécurité sont devenues incontournables », explique-t-il.

Un nouveau label

La PME dispose alors d’une feuille de route, lui permettant de corriger les problèmes relevés. Elle peut, pour cela, faire appel à des prestataires, qui pourront la conseiller ou l’accompagner dans la mise en œuvre de mesures de renforcement de la sécurité. Parmi ces acteurs, POST peut notamment faire valoir une expertise approfondie vis-à-vis de ces sujets et peut accompagner les PME grâce à un vaste ensemble de solutions et services. « Au terme de cette mise à niveau, un contrôle plus approfondi est effectué par ESCEM, qui agit de manière neutre et indépendante, permettant à l’entreprise de prétendre au label Cyber Responsable », explique Sébastien Weiland. Les deux partenaires souhaitent que, à l’avenir, ce label soit reconnu à l’échelle du pays et devienne une référence pour les régulateurs et les assureurs notamment.

Un socle solide pour faire face à la menace

Aux yeux des deux partenaires, la démarche présente l’avantage de mettre le pied à l’étrier à de nombreuses structures, de petite et moyenne envergure. « La gestion de la sécurité relève d’un processus d’amélioration continue, commente Olivier Antoine. Notre souhait est de proposer un outil accessible aux PME, leur permettant de mettre en place les bases et de les inviter à élever leur niveau de maturité vis-à-vis de ces enjeux. Cela ne veut pas dire qu’elles ne seront pas attaquées. Toutefois, face à chaque attaque, elles seront mieux préparées et protégées. Elles auront mis en place les moyens pour y répondre efficacement. »

Et pour les entreprises qui souhaitent ou doivent aller plus loin, les mesures mises en place à travers ce label constituent un socle solide permettant d’aborder des normes plus élaborées comme ISO/IEC 27001.