«Cette semaine, il n’y a pas que la Cybersecurity Week, mais aussi la Semaine européenne de la protection des consommateurs et la Semaine africaine de la microfinance», oppose d’emblée le CEO de Securitymadein.lu, Pascal Steichen, ce lundi, alors que s’ouvre officiellement la semaine dédiée aux questions de cybersécurité et qui est déclinée en une quarantaine d’événements. «En début d’année, en partenariat avec l’Université du Luxembourg et deux entreprises, nous avons formé un consortium pour développer un centre africain de ressources en cybersécurité, qui a débuté ses opérations il y a quelques mois au Sénégal. Il lancera ses activités au Rwanda cette semaine, où se déroule la Semaine de la microfinance.»

Qu’est-ce qui a amené la cybersécurité dans toutes les conversations? Le Covid et les nombreuses attaques?

Pascal Steichen – «Nous avons senti cette tendance il y a trois ou quatre ans. À l’époque, nous allions proactivement informer les entreprises qu’une de leurs machines était impliquée dans une attaque ou qu’un réseau international nous avait informés que l’entreprise était visée par une attaque. Aujourd’hui, nous avons reçu beaucoup plus de demandes d’aide sur le sujet. L’autre grand sujet est l’effort de digitalisation dans de nombreux secteurs. Le Covid a renforcé ce mouvement parce que la société a compris qu’on était dépendants.

Au vu des pertes de données et des attaques, l’inquiétude grandit-elle au Luxembourg?

«Il y a beaucoup de discussions. Les différentes réglementations et, surtout, aujourd’hui, les applications de ces différentes réglementations, au regard des arrêts Schrems, Schrems II, etc. On se rend compte de la mise en application à faire avec le RGPD et il y a toute la discussion sur la migration vers le cloud. Il y a un grand push des fournisseurs de technologie. Au niveau européen, les discussions tournent autour de Gaia-X, ou comment cette migration va pouvoir être compatible avec les règles européennes. Ces discussions vont nécessiter beaucoup d’ajustements structurels dans les entreprises.

Pourquoi? Parce que les solutions de cloud sont fournies par des acteurs américains?

«C’est très clairement un élément du problème. Selon Schrems II, si on passe par un acteur américain ou chinois, ou indien, ou africain, on ne peut pas mettre les mêmes données…

L’accord Thales-Google sur un cloud «souverain» dans une société française contrôlée principalement par les Français est-il un début de solution?

«Ça semble être un début de solution. Naturellement, il faudra veiller à ce que ce soit un transfert technologique et pas un ‘service caché’, sinon on ne serait plus dans le cadre du ‘privacy shield’. Il y aura peut-être un nouveau ‘privacy shield’, c’est une autre question, mais, aujourd’hui, les idées dans ce sens-là pourraient devenir la solution. À côté de cela, il y a beaucoup d’efforts qui sont réalisés dans le renforcement des cloud européens existants ou dans la création d’infrastructure ou de capacité européenne pour le cloud.

Les fournisseurs de cloud américains restent branchés au continent américain. Peut-on garantir où sont les données?

«Il y a quelqu’un qui sait exactement où sont les données. Il faut que des opérateurs ou administrateurs système sachent où sont les données, sinon ça ne fonctionne pas. Comment les données sont-elles gérées? Via quel mécanisme? Selon quels algorithmes et quelle technologie? On va répartir les données pour faire de la bonne redondance. La question avec Thales et Google est de savoir si c’est vraiment un transfert de technologie ou si on répartit les données sur des capacités sous le contrôle de Thales. Ou est-ce que c’est connecté avec l’infrastructure globale de Google?

Si on veut résoudre le problème, faut-il imaginer que la totalité de l’infrastructure soit déconnectée de l’infrastructure américaine ou chinoise, ou autre, sur le sol européen?

«Dit d’une manière simple, c’est cela. Passer dans le cloud, d’un pur point de vue de sécurité opérationnelle, il y a beaucoup d’avantages. C’est beaucoup mieux, en tant que petite entreprise, que de vouloir le faire soi-même. Mais c’est une problématique différente pour la gestion des données. Le choix du fournisseur de cloud est fondamental. Il faut regarder la partie opérationnelle et les compétences, mais aussi les questions structurelles et réglementaires. Ce n’est pas évident du tout de migrer vers un fournisseur de cloud.

Quand les géants annoncent qu’ils se sont réunis dans les «trusted principles» pour dire ‘ne vous inquiétez pas, nous nous sommes mis d’accord pour respecter les règles du jeu de chaque endroit’, peut-on les croire?

«C’est sûrement de la bonne volonté. Mais, de nouveau, cela se concentre sur la partie de sécurité opérationnelle pour assurer que les données soient au bon endroit, mais cela n’empêche pas du tout que l’État américain demande au fournisseur d’avoir accès aux données, peu importe où elles se trouvent sur la planète. Et en Chine, à mon avis, ça ne doit pas être très différent.

Est-ce naïf de croire qu’on peut se passer des technologies américaines? Ou chinoises?

«C’est comme si vous disiez de manière générale qu’on ne peut plus se passer de technologies. Ce ne serait pas vrai non plus. Il y a peut-être beaucoup de gens qui se sont rendus dépendants d’une technologie, surtout quand on regarde comment nos enfants sont éduqués ou initiés à la technologie. Aujourd’hui, on a encore le choix afin d’éviter de tomber dans une situation de dépendance. Dans 10 ou 15 ans, on sera peut-être dans une situation où on ne pourra plus faire machine arrière. Et dans l’entreprise, c’est pareil.

L’open source offre des possibilités, non?

«Oui, il y a énormément de technologies qui existent, qui sont finalement assez peu connues et qui font tout. C’est juste qu’elles n’arrivent pas toutes prêtes et qu’il n’y a plus qu’à signer. Tout dépend à quelle vitesse on veut avancer. Si on veut aller très, très vite, c’est sûr que c’est plus simple de souscrire à des offres toutes prêtes. Si on veut réfléchir, on a les moyens de le faire sans les grands noms faciles à trouver…

Les États et l’État luxembourgeois ont une responsabilité particulière dans l’idée de retrouver une autonomie, n’est-ce pas?

«Il y a très clairement des responsabilités. On voit aussi de plus en plus d’actions en ce sens, très poussées par l’Europe, où de nombreux programmes permettent d’assurer une pérennité de l’open source déjà beaucoup utilisé et où on essaie de pousser au développement en open source. Comme ce grand projet IPCEI de cloud services, qui veut que la technologie soit en open source pour que toute l’économie puisse en profiter. Plus proche de la cybersécurité, le nouveau centre de compétences, qui est en train de se mettre en place à Bucarest, est là pour favoriser les développements en open source. Il faut considérer ces solutions pour renforcer l’autonomie technologique au bénéfice de chaque acteur individuel. Qu’il ne soit plus obligé de se lier avec un fournisseur et de se retrouver embêté. Cela va devoir se développer beaucoup dans le futur, mais c’est remonté dans les priorités des entreprises et du monde politique. Cela veut dire qu’on met en place des équipes pour regarder aussi les projets et les possibilités en open source. D’abord avec ce qui est très utilisé et utile. Il faudrait créer des mécanismes de qualité. Aujourd’hui, on s’est un peu reposé sur la communauté, qui ne l’a pas forcément fait. Du côté du logiciel propriétaire, l’entreprise a un intérêt à ce que son logiciel ait une bonne qualité, un choix pas toujours évident à faire. Il y a des challenges des deux côtés et des solutions différentes des deux côtés.

C’est quelque chose que vous recommandez à l’État?

«Il y a de plus en plus de discussions. Depuis trois ou quatre ans, le Syndicat intercommunal de gestion informatique est en train de migrer complètement vers une infrastructure en open source. C’est un projet de plusieurs années, mais il y a la volonté de le faire. J’espère que d’autres domaines vont lui emboîter le pas. Une grosse étape a eu lieu il y a deux ou trois ans quand le CERN, à Genève, a décidé d’aller dans ce sens-là. Pour eux, c’était assez facile parce qu’ils avaient déjà beaucoup de technologies en open source. Ça a beaucoup résonné.

Quels seraient les éléments facilitateurs vers l’adoption plus généralisée de l’open source?

«Les discussions autour du RGPD, de cette autonomie technologique. Comme il y a cette dépendance, il faut aussi que cette technologie soit sous mon contrôle total. Que les gens se disent qu’ils ont intérêt à avoir une solution qu’ils contrôlent, qu’ils maîtrisent, qu’ils peuvent regarder en détail. Le challenge est d’avoir le marché qui puisse soutenir ce développement. Si vous avez un projet en open source développé dans tel langage, il faut trouver la compétence pour mettre ça en place.

Ce qui est difficile au Luxembourg…

«Naturellement, un petit pays. Un peu moins d’acteurs. C’est un sujet qu’il faut faire remonter au niveau européen et c’est ce qui se passe.

Parmi les développements, on commence à entendre parler de la quantique, qui pourrait faire en sorte qu’il n’y aurait plus de secrets…

«Une conscience est en train de se former sur ce sujet dans certaines têtes. C’est encore difficile de dire ce qui va se passer, mais j’ai vu récemment quelques start-up qui ont des idées sur le sujet et qui se concentrent là-dessus.

Où en est-on dans la protection de nos données de santé? De nos infrastructures critiques? Je veux dire après la terrible année d’attaques liées au basculement en mode «remote» d’une grande partie de nos sociétés.

«Dans la mise à jour de la stratégie nationale sur la cybersécurité, il y a un chapitre sur ce sujet, ce qui montre la volonté politique. Ce n’est pas seulement sur le radar mais à l’ordre du jour. Pendant le Covid, il y avait cette action d’un ensemble d’acteurs privés qui s’étaient portés volontaires pour accompagner les hôpitaux au niveau technologique pour qu’ils puissent se concentrer sur les questions de santé. Nous devons maintenant structurer cela de manière cohérente et complète, et continuer à faire des efforts.

Justement, ça fait quelques années que vous travaillez à structurer et fédérer le monde de la cybersécurité au Luxembourg. Où en êtes-vous?

«C’est un sujet qui est en perpétuel mouvement. Après un gros effort lors de la troisième version de la stratégie nationale, en 2019, quand nous avons publié la liste des acteurs. Depuis, nous avons travaillé sur la plateforme pour avoir du contenu à jour et dynamique. Aujourd’hui, nous voulons mettre les choses encore plus visiblement ensemble. Très prochainement, nous allons publier le nouveau portail national en cybersécurité, qui va montrer que le comité interministériel de coordination avance vraiment avec un portail commun et différentes entités derrière. Nous allons rester sur ces deux piliers: d’un côté, le Haut Comité pour la protection nationale et GovCert, en charge de la protection de l’État, de la sécurité publique et des infrastructures critiques, et, de l’autre côté, nous, en charge d’accompagner l’économie pour protéger les petites structures et les communes. Il nous faut être proches des acteurs et des fournisseurs.

Ce qui est intéressant est de voir émerger cette stratégie du double pilier au niveau européen avec l’Enisa, qui accompagne les États membres, et le nouveau centre de compétences, qui est plus dans les sujets de développements de marché et d’innovation. C’est un développement très positif: notre choix n’était pas si mauvais.

En Allemagne, il y a quelques jours, on a créé une sorte de comité national de cybersécurité, qui implique quatre ministères au niveau fédéral, avec une grosse agence en dessous qui va récupérer les activités du centre européen de compétences. Il n’y a plus un seul ministère qui centralise tout. J’espère que nous verrons cela aussi en France. Autre exemple en Allemagne, puisque j’étais la semaine dernière à une foire: nous avons discuté avec un land, qui veut adapter notre modèle.»