Pascal Steichen, CEO de securitymadein.lu. (Photo: Maison Moderne)

Pascal Steichen, CEO de securitymadein.lu. (Photo: Maison Moderne)

Depuis 2010, Security Made In Lëtzebuerg (securitymadein.lu) intervient en urgence en entreprise en cas d’incident cyber et forme toutes les personnes intéressées aux bonnes pratiques en la matière. Dans un contexte de digitalisation accélérée, où la complexité des technologies s’accroît, cette agence du ministère de l’Économie est plus sollicitée que jamais.

Si ses prémices remontent à quelques décennies déjà, la transformation digitale, dans tous les secteurs, s’est considérablement accélérée au cours des dernières années. Dans ce contexte, le Luxembourg a rapidement compris que, pour rester séduisant aux yeux des entreprises, il était crucial de pouvoir proposer un environnement informatique sûr.

Différentes initiatives ont donc vu le jour au fil des années pour s’en assurer et, aujourd’hui, le Luxembourg figure, selon une étude de l’UIT (Union internationale des télécommunications), à la 11e place mondiale en matière de cybersécurité. Parmi toutes ces initiatives, securitymadein.lu est sans doute l’une des plus connues. Elle propose depuis 2010 une offre très complète à destination des entreprises. «En tant qu’agence du ministère de l’Économie, nous sommes une organisation de service public.»

«Notre but est donc de répondre à toutes les problématiques de cybersécurité auxquelles pourraient être confrontées les sociétés installées au Luxembourg», explique Pascal Steichen, CEO de securitymadein.lu. «Dès les premiers développements digitaux, le Luxembourg a en effet compris que le fait de garantir la cybersécurité était un facteur d’attractivité important pour les entreprises, un outil de fortification du business.»

Pompier, analyste et formateur

L’activité de Security Made In Lëtzebuerg est assurée par trois départements: le Circl (Computer Incident Response Center Luxembourg), le Cases (Cyberworld Awareness and Security Enhancement Services) et le C3 (Cybersecurity Competence Center). «L’équipe du Circl, c’est un peu les pompiers d’internet», détaille Pascal Steichen. «Ils interviennent en urgence – et gratuitement – auprès des entreprises qui subissent une attaque informatique.»

«Leur but est de stabiliser la situation, mais aussi de conseiller l’entreprise sur les éléments à mettre en place pour se prémunir d’une nouvelle attaque. Cases est moins technique, plus axé sur la gouvernance, et destiné plutôt aux PME. Son rôle est d’établir un état des lieux de la situation au sein de l’entreprise et de fournir éventuellement les contacts d’acteurs privés qui pourront mettre en place les éléments qui manquent pour assurer une cybersécurité suffisante.»

On met en place une approche basée sur le long terme.
Pascal Steichen

Pascal SteichenCEOsecuritymadein.lu

Dernier développement de securitymadein.lu, le C3 est une sorte de centre de formation qui doit servir à développer les compétences des collaborateurs de l’entreprise. «On met en place une approche basée sur le long terme», précise le CEO de securitymadein.lu. «À côté des formations classiques, qui s’adressent aux collaborateurs d’une entreprise de façon plus individuelle, nous proposons des outils qui permettent de tester la réaction du groupe face à une attaque, comme la ROOM#42.»

«En y simulant une attaque informatique et en analysant la réaction de chacun – pas seulement les responsables IT, mais aussi les collaborateurs d’autres secteurs de l’entreprise –, on tente de faire comprendre que les solutions pour limiter les dégâts d’une telle attaque sont à 80% non techniques, et que la cybersécurité est donc l’affaire de tous.»

Identifier les nouveaux besoins

Tournée vers l’avenir, l’organisation continue à chercher des pistes de diversification. «De nouveaux besoins en matière de cybersécurité apparaissent régulièrement, et c’est notre rôle de les combler s’il n’existe pas encore une offre suffisante pour y répondre», poursuit Pascal Steichen. De nouveaux produits ne cessent en effet d’apparaître sur le marché et le raffinement croissant de ces technologies nous fait parfois oublier les réflexes de sécurité de base. «En matière de cybersécurité, l’histoire repasse les plats», estime le CEO de securitymadein.lu.

«L’Internet of Things connaît ainsi de nombreux développements de nos jours, mais il suscite des comportements qu’on croyait révolus depuis longtemps, comme le fait de ne pas changer un mot de passe par défaut. Cela peut entraîner des risques importants, notamment dans le monde de l’automobile ou de la santé.»

Quand un problème se pose, il faut donc être capable de redescendre toutes ces couches pour en identifier la cause ou pour réparer les dégâts. Cela demande un haut niveau d’expertise.
Pascal Steichen

Pascal SteichenCEOsecuritymadein.lu

Autre nouveauté: le caractère de plus en plus complexe de ces différentes technologies, qui exigent des compétences poussées en cas d’attaque informatique. «Le digital apparaît comme quelque chose de simple, de rapide, d’efficace. Mais les développements actuels sont constitués d’une série de couches qui reposent les unes sur les autres, et dont certaines sont très anciennes. Après tout, l’internet a déjà 50 ans,» rappelle Pascal Steichen. «Quand un problème se pose, il faut donc être capable de redescendre toutes ces couches pour en identifier la cause ou pour réparer les dégâts. Cela demande un haut niveau d’expertise.»

Des services sollicités, un écosystème riche

Ceci explique que securitymadein.lu soit de plus en plus sollicitée par les entreprises, et de plus en plus tôt. «Avant, on nous demandait de jeter un œil au système informatique mis en place pour vérifier que tout était en ordre. Aujourd’hui, on vient plutôt nous voir en amont, pour nous demander conseil. On doit moins prêcher la bonne nouvelle. Et on constate que les différents acteurs nous connaissent peut-être mieux», estime Pascal Steichen.

La nature du tissu économique luxembourgeois est sans doute pour beaucoup dans cette prise en considération croissante du rôle central de la cybersécurité. «Le secteur financier, qui est très représenté au Luxembourg, est particulièrement critique en ce qui concerne les risques d’attaque informatique. Les différents acteurs de ce secteur ont donc eu un réel impact sur le développement rapide de structures veillant à une meilleure sécurité informatique dans tout le pays.»

Selon une étude menée par securitymadein.lu et dont les résultats seront présentés en introduction à la Semaine de la cybersécurité, qui aura lieu pour la troisième fois du 15 au 25 octobre, plus de 250 entreprises au Luxembourg se consacrent à la cybersécurité. Ces acteurs, en plus des structures publiques comme securitymadein.lu, forment donc à présent un véritable écosystème en soi. «L’objectif de la Semaine de la cybersécurité est de permettre à toutes ces organisations de se retrouver et d’échanger. Évidemment, il s’agit aussi, à travers tous les événements qui y sont organisés, d’offrir au public extérieur une réponse à toutes les questions qu’il se pose sur le sujet», conclut Pascal Steichen.