Bertrand Lathoud, COO & Strategy Advisor au sein de la LHC et Dominique Kogue, nouveau directeur du NC3. (Illustration: Maison Moderne)

Bertrand Lathoud, COO & Strategy Advisor au sein de la LHC et Dominique Kogue, nouveau directeur du NC3.  (Illustration: Maison Moderne)

Au Luxembourg, les initiatives de développement de l’écosystème «cybersécurité» s’envisagent dans une démarche de défense des intérêts économiques nationaux. L’un des défis, aujourd’hui, est d’accompagner les PME face à la menace, en soutenant la mise en œuvre de mesures adaptées et en facilitant l’accès aux solutions de sécurité abordables.

Le renforcement de l’écosystème «cybersécurité» répond à des enjeux nationaux. En particulier, la démarche doit contribuer à l’amélioration de la résilience de l’économie du pays. «Le Luxembourg a très tôt pris conscience de cet enjeu», commente , COO & Strategy Advisor au sein de la Luxembourg House of Cybersecurity (LHC). «C’est notamment au niveau du ministère de l’Économie que ces questions ont été appréhendées. C’est assez unique. Dès 1999, un ensemble d’initiatives ont été mises en œuvre pour permettre aux entreprises de mieux faire face aux risques de cybersécurité. En la matière, Luxembourg a souvent agi en pionnier, précédant des programmes européens.»

Sensibiliser l’ensemble de l’écosystème

 Le LHC, avec notamment son Centre national de compétences en cybersécurité (NC3), fédère aujourd’hui ces initiatives, sensibilise et anime les acteurs de l’écosystème. «La manière de considérer la sécurité a fortement évolué au fil du temps. On ne peut plus se contenter d’une approche réactive et technique, comme cela a longtemps été le cas. Il y a notamment une dimension humaine importante, essentielle si on veut efficacement prévenir les risques», poursuit Bertrand Lathoud.

C’est notamment sur l’humain que la NC3 travaille, sensibilisant les acteurs, à commencer par les PME, à l’importance de considérer sérieusement la menace et de prendre des mesures en conséquence. Dans cet esprit, , nouveau directeur du NC3 souligne «les formations en sensibilisation sont essentielles pour le management car elles sont la première étape d’une montée en compétence dans le domaine Cyber. Sans cela, il est difficile aux responsables techniques de trouver des interlocuteurs en mesure de les soutenir.»

Les PME de plus en plus concernées

«Le fait d’être petit ne vous met pas à l’abri d’une attaque, assure Dominique Kogue, nouveau directeur du NC3. Les évolutions technologiques, en effet, ont contribué à renforcer les capacités des cybercriminels. Désormais, ils peuvent facilement mettre en place, et à moindres coûts, des campagnes ciblant des petites structures.»

Pour une PME, la menace est réelle. Une attaque, sous une forme ou une autre, peut lui coûter très cher. «Ses systèmes peuvent être compromis dans le but de réclamer une rançon, ou encore pour cibler d’autres acteurs plus importants. De plus, avec la mise en œuvre de nouvelles réglementations comme NIS2 ou Dora, les PME sont aussi tenues de répondre à un ensemble d’exigences», assure Bertrand Lathoud.

Soutenir l’engagement d’une démarche de sécurité

Il n’est toutefois pas aisé, pour une PME, de mettre en place les mesures appropriées. Afin de les accompagner, le LHC et plus particulièrement le NC3 développent un ensemble d’outils leur permettant de mettre le pied à l’étrier et d’améliorer leur maturité. «Lorsque nous rencontrons des PME, nous nous rendons compte qu’elles sont généralement sensibilisées à ces enjeux. Le problème est que, souvent, elles ne savent pas par où commencer. Au départ d’un questionnaire, nous permettons à ces acteurs de s’autoévaluer, de cibler leurs besoins et de pouvoir engager une conversation structurée autour des mesures à prendre avec des consultants en cybersécurité par exemple», commente Dominique Kogue.

Faciliter la rencontre de l’offre et de la demande

«Notre rôle n’est pas de prendre la place des acteurs économiques experts en cybersécurité, mais de faciliter la rencontre de la demande et de l’offre à l’échelle du marché», précise Bertrand Lathoud. L’ambition, de cette manière, est de soutenir le développement d’un écosystème plus robuste. «Au Luxembourg, nous avons répertorié plus de 300 acteurs qui proposent des solutions et des services de cybersécurité, qui innovent dans ce domaine», poursuit le COO. «Cependant, le marché financier tend à capter l’essentiel de ces ressources. Notre rôle, en contribuant à rendre visibles les besoins des PME, est de soutenir le développement d’une offre ou encore attirer de nouveaux acteurs pour y répondre. Au-delà de notre plateforme, nous coopérons activement avec les autres organisations sectorielles, telles que la FEDIL, l’ABBL, la Chambre des métiers ou encore la Chambre de commerce, sans parler des différentes agences du ministère de l’Économie et des autorités de standardisation ou de régulation.»

L’accessibilité à la cybersécurité, un enjeu clé

L’un des défis, au-delà de la prise de conscience, est aussi de démontrer que l’on peut engager une démarche d’amélioration de sa sécurité sans que cela implique des coûts conséquents. «Avant tout, il faut travailler sur l’humain, le renforcement des compétences. Cela passe par la sensibilisation et la formation de tous les acteurs au sein de l’entreprise. S’il faut prendre des mesures, il est important qu’elles n’impliquent pas des coûts opérationnels qui ne puissent pas être supportés par les acteurs», commente Dominique Kogue.

L’accessibilité aux solutions de sécurité est un élément clé. «On voit souvent la sécurité comme un domaine trop compliqué. On ne sait par où commencer, et cela peut paralyser l’action. Toutefois, des mesures simples, abordables, peuvent être facilement mises en œuvre et permettent déjà de faire la différence», précise Bertrand Lathoud. «On peut par exemple penser à l’importance d’effectuer un back-up régulier des données sur des disques durs externes afin de limiter les risques associés à un incident. Cela ne remplace pas une stratégie élaborée, mais permet de sauvegarder l’essentiel. Toujours dans un esprit d’action, il faut souligner que si la sécurité est l’affaire de tous, il est essentiel d’en confier la responsabilité à une personne afin d’avancer efficacement sur le sujet.»

S’appuyer sur des outils open source

À côté de ce questionnaire d’auto-évaluation, au sein du LHC, d’autres outils open source ont été développés, comme , qui facilite l’évaluation des risques. Le LHC a aussi mis en place un qui permet à chaque acteur d’accéder à des informations sur les vulnérabilités récentes ou les attaques de phishing en cours. La «» est une autre infrastructure de l’agence qui permet aux entreprises de tester leur vulnérabilité en lien à leur exposition à internet.

Pour ceux dont la maturité technologique est suffisante, l’autre centre de LHC, le , met à disposition des outils open source permettant d’aller plus loin dans la sophistication en matière de détection de menaces, ou de partage et analyse .