Pouvez-vous expliquer le mandat de Securitymadein.lu?
Bertrand Lathoud. – «Le ministère de l’Économie s’implique dans les questions de sécurité depuis une bonne vingtaine d’années. C’est un point sur lequel il faut lui reconnaître une certaine capacité visionnaire. Au début des années 2000, les questions de sécurité liées aux technologies étaient avant tout perçues soit comme un sujet de sécurité intérieure, soit comme des questions de défense nationale. Toutefois, le ministère de l’Économie, à l’époque, a su en voir les impacts potentiels pour toute l’activité économique, et a donc commencé à investir en la matière. Le premier aspect a été la prévention et la sensibilisation, puis est venue la réaction aux incidents. La première équipe créée, ‘Cases’, a beaucoup travaillé sur la sensibilisation et développé, par la suite, une compétence accrue sur la gouvernance des risques liés aux systèmes d’information. Ensuite, pour répondre aux incidents, s’est créé Circl, le Cert (Computer Emergency Response Team) de l’économie. L’idée est d’agir comme les sapeurs-pompiers, c’est-à-dire que, quand une entreprise est touchée, nous pouvons intervenir rapidement et stabiliser la situation en attendant qu’un prestataire privé puisse prendre le relais. Le dernier-né est le C3, le Cybersecurity Competence Center, qui s’est focalisé sur les parties ‘testing’ et ‘training’ pour faire monter en compétences les acteurs de l’économie.
Quel est l’objectif de l’exercice à grande échelle Locked Shields?
«Locked Shields permet de faire travailler ensemble des équipes de différentes nations dans une situation de crise à grande échelle. Le fait de mettre des groupes hétérogènes ensemble, sous pression, parce qu’il y a les attaques et un temps limité pour y répondre, permet de faire ressortir ce qui ne fonctionne pas. Du point de vue culturel, c’est très important que tout le monde accepte qu’il y ait des choses qui ne fonctionnent pas et qu’on identifie ensuite comment les améliorer.
Lire aussi
Cela permet de travailler la résilience de l’ensemble. La question de la résilience est centrale, car, dans le cadre de notre mission pour le ministère de l’Économie, nous devons renforcer l’économie du pays face aux menaces cyber, et c’est très souvent vu sous l’angle protection et prévention, mais on se rend bien compte, maintenant, que les attaques à grande échelle existent, que la question de la résilience est importante. Elle ne concerne pas que les infrastructures critiques. On doit faire en sorte que le pays continue à vivre normalement. L’aspect cyber occupe une place souvent invisible, mais réelle dans tous les aspects de notre vie.
Le fait de mettre des groupes hétérogènes ensemble, sous pression, parce qu’il y a les attaques et un temps limité pour y répondre, permet de faire ressortir ce qui ne fonctionne pas.
Comment est née la participation de Securitymadein.lu à l’exercice Locked Shields?
«L’exercice existe depuis une dizaine d’années. Au début, c’était quelque chose de très focalisé avec une option plus défense. Progressivement, on a vu que les infrastructures plutôt civiles étaient aussi essentielles dans le cadre d’un conflit, en tous les cas pour la partie cyber. Les Cert nationaux y participaient déjà. En ce qui nous concerne, c’est venu l’année dernière. Le ministère de la Défense avait été sollicité et a donc pensé que c’était le bon moment pour envoyer des Luxembourgeois dans une équipe Benelux. Cette année, nous nous sommes à nouveau retrouvés au sein d’une équipe Benelux, menée cette fois-ci par le ministère de la Défense luxembourgeois. Il y a une dimension symbolique importante, politique aussi, puisque c’est le Luxembourg qui est en charge de la direction de l’équipe. Il fallait en particulier qu’il y ait un maximum de participants luxembourgeois. Nous nous sommes tous mobilisés, jusqu’à représenter un tiers de l’équipe. Pour nous, à chaque fois, c’est quelque chose qui est très important parce que ça permet de faire travailler ensemble des techniciens et des non-techniciens dans une situation de crise assez large. Les cultures sont très différentes. Il y a souvent des incompréhensions au quotidien. Un tel exercice à grande échelle permet donc de comprendre pourquoi certains imposent des contraintes particulières quand ils configurent des systèmes ou pourquoi d’autres ont des demandes spécifiques au moment du design des systèmes.
Outre Securitymadein.lu et le ministère de la Défense, y a-t-il eu une participation d’autres acteurs luxembourgeois à Locked Shields?
«Il y avait d’autres institutions. Je ne peux pas parler en leur nom, mais elles étaient aussi bien civiles que militaires.
Parmi les institutions civiles, y avait-il des acteurs privés du pays?
«Non, pas à ma connaissance, mais c’est d’ailleurs un point qui est très intéressant. De notre point de vue, il paraîtrait utile, à l’avenir, de commencer à impliquer un peu plus des acteurs du secteur privé. Il faut être réaliste. Si une crise majeure impactait le pays, on aurait besoin de toutes les énergies et compétences. À terme, je pense que ça aurait du sens. En revanche, savoir comment on va mettre cela en œuvre est à discuter avec les différents ministères concernés.
De notre point de vue, il paraîtrait utile, à l’avenir, de commencer à impliquer un peu plus des acteurs du secteur privé. Il faut être réaliste. Si une crise majeure impactait le pays, on aurait besoin de toutes les énergies et compétences.
Quel était le rôle de l’équipe du Luxembourg au sein de l’équipe Benelux?
«L’équipe Benelux était organisée cette année par les représentants du ministère de la Défense luxembourgeois. Nous avons ensuite été répartis dans les différentes sous-équipes formées par spécialités. Il y en a une qui est, par exemple, en charge des infrastructures critiques, une autre en charge des réseaux. Il y avait aussi une sous-équipe juridique, car toutes les décisions prises par les responsables de l’équipe doivent être validées ou, en tous les cas, orientées par les juristes.
Pouvez-vous parler du scénario de l’exercice?
«Il s’agissait d’un pays pacifique agressé par un voisin qui a des prétentions territoriales. Il a subi plusieurs manœuvres de déstabilisation qui ont précédé une phase plus traditionnelle de conquête de territoire. Nous avons eu une première partie centrée sur la guerre de l’information, plusieurs minorités reliées au pays agresseur étant instrumentalisées par le pays en question. Ensuite, il y a eu une attaque des infrastructures à proprement parler, opérée en parallèle d’une attaque physique. Le but était alors d’éviter que le pays se retrouve paralysé alors qu’il subissait une attaque militaire. Le pays a fait appel à un certain nombre d’alliés, chaque fois dans un cadre bilatéral. Une équipe était activée pour prendre en compte une partie du pays agressé et en assurer la défense. Chaque secteur du pays agressé a été affecté à un pays allié.
L’exercice Locked Shields est développé en partie sur des infrastructures critiques basées sur des composants réels, en l’occurrence des relais connectés comme ils le sont dans la réalité. Quand l’attaquant arrive à les neutraliser, cela signifierait dans la réalité une disparition du service correspondant, par exemple la fourniture en eau.
Comment les attaques se matérialiseraient-elles au niveau des systèmes?
«L’exercice Locked Shields est développé en partie sur des infrastructures critiques basées sur des composants réels, en l’occurrence des relais connectés comme ils le sont dans la réalité. Quand l’attaquant arrive à les neutraliser, cela signifierait dans la réalité une disparition du service correspondant, par exemple la fourniture en eau. L’équipe chargée de défense doit être réellement compétente en la matière, car, si elle ne l’est pas, cela se verra tout de suite: les systèmes tomberaient dans les minutes suivant le début de l’exercice.
Y a-t-il d’autres types de systèmes visés?
«Il y a aussi des systèmes de production et de distribution de l’électricité et les réseaux de communication. Ce sont des attaques très sophistiquées où l’idée est soit de prendre le contrôle, soit de rediriger les flux, soit de les intercepter, soit de les détruire, selon les besoins de l’agresseur. Pour ce qui est de la production d’électricité, l’objectif est clairement d’en provoquer la destruction. La simulation est assez réaliste, puisque, pour provoquer la destruction, des fusibles branchés sur ces systèmes vont fondre s’il est passé sous le contrôle de l’adversaire et mis en surcharge. Cela signifie que l’agresseur doit tenir le contrôle pendant un temps suffisant pour obtenir cette destruction matérielle. Il y avait aussi des éléments autour de la Banque centrale. On est plus sur des interfaces du site web et les informations qui y sont transmises. L’idée de l’attaquant est d’opérer une prise de contrôle du site en question pour diffuser de fausses informations et, par conséquent, provoquer de la panique.»
La seconde partie de cet entretien a été publiée le 5 mai sur Paperjam.lu et est .