Le Mois de la cybersécurité a commencé en Europe, dans un contexte de télétravail et de recrudescence d’attaques face à la fragilité supposée d’entreprises qui ont dû basculer en un instant. Cybersecurity Luxembourg pensait célébrer son 20e anniversaire avec faste et doit, comme beaucoup d’organisations, composer avec le Covid-19.
«Notre plateforme a été revue avec le Nation Branding pour que les acteurs puissent se l’approprier et l’utiliser. Le recensement de tous les acteurs, pour l’instant 304 dont 74 dont c’est le cœur de métier, sera actualisé à la fin du mois par le ministre de l’Économie, (LSAP), mais nous devons continuer à réunir tout le monde», explique , occupé sur plusieurs fronts depuis des semaines, notamment avec la .
Puisque vous parlez du futur, Cybersecurity Luxembourg va lancer une campagne de sensibilisation à l’internet des objets. Des études de marché estiment que cinq milliards d’objets connectés seront vendus en Europe d’ici 2025, soit une croissance annuelle de près de 16%. Ça doit nous faire peur?
Pascal Steichen. – «La dépendance que nous avons, en tant que société ou en tant qu’entreprise, par rapport à la technologie, ne vient pas de nulle part. Nous nous plaçons nous-mêmes en position de dépendance. Nous devons oser dire que nous n’en voulons pas! Ne pas brancher le câble internet de sa climatisation… Chacun doit être cohérent.
Dans ce monde de l’IoT, où des objets ou des machines connues deviennent connectés, on n’a quasiment plus le choix, dans les magasins, d’acheter un micro-ondes qui n’est pas connecté… Deuxièmement, en tant que société, nous sommes habitués à ce que ces technologies soient installées par quelqu’un. On nous explique comment ça fonctionne, et nous faisons comme on nous a dit, sans jamais questionner cela.
Beaucoup de réflexes tombent, et nous devons remettre une couche de sensibilisation pour que les gens prennent leur décision en connaissance de cause. Nous allons aussi nous adresser aux créateurs pour toute la partie «security by design», parce qu’on voit sur le marché des choses qu’on n’a plus vues depuis 20 ans, mais les problèmes se posent de la même manière qu’il y a 20 ans…
Depuis le début de la crise, les entreprises sont passées plus facilement au télétravail, avec toute la part d’incertitude que cela comporte en termes de sécurité des infrastructures et de craintes des salariés. Que vous inspirent le recours à un VPN, pas toujours considéré comme la panacée, ou le succès de Zoom, la solution de chat vidéo, par exemple?
«Le concept de VPN, derrière lequel se cachent différentes technologies, n’est pas tout nouveau. C’est assez mature et assez maîtrisé, mais la sécurité dépend toujours de l’implémentation, comment c’est utilisé, comment c’est géré, quels sont les protocoles. Vu comment internet fonctionne, c’est le seul moyen de faire, à part avoir des lignes sécurisées pour chacun, ce qui n’est pas vraiment réaliste.
Zoom a assez bien réagi , mais fondamentalement, ça ne change pas le problème. Si je veux faire une réunion confidentielle interne avec mes collaborateurs, je ne choisis pas une solution qui est gérée par un acteur qui n’est pas sous mon contrôle. Ou qui pourrait être contraint de transférer des données. Du point de vue de la souveraineté des entreprises, le contrôle sur les solutions est important. Maintenant, si c’est pour organiser une conférence publique, ça ne pose pas de problème particulier…
L’autre grand enjeu de la cybersécurité, sur lequel on ne doit pas s’endormir en Europe, ce sont les talents et les compétences. Selon les chiffres de l’Union européenne, il manquera 350.000 experts dans les années à venir, dans un monde en perpétuel changement. C’est un point-clé auquel vous êtes sensible?
«Former les talents est un gros challenge! Il y a plusieurs dimensions. Naturellement, impliquer tout le monde, sensibiliser, est un effort permanent depuis 20 ans pour avoir les bons réflexes. Il faut continuer et le faire rentrer dans la culture. C’est difficile à évaluer, comme dans d’autres domaines. Prenez la voiture: 100 ans après son lancement, il faut encore des affiches et des campagnes pour dire de mettre sa ceinture!
Ensuite, il faut identifier ou cultiver les experts. Faire en sorte qu’il y ait des cycles de formation, que les jeunes aient envie d’aller dans ces directions-là. Actuellement, nous créons un BTS en cybersécurité qui va commencer l’an prochain. À l’université, il y a déjà des formations. Ces efforts-là doivent dépasser le cadre national. Nous allons mettre sur place un concours pour les jeunes, pour mesurer la motivation et identifier les talents en Europe et au Luxembourg.
Enfin, dans les structures qui existent, via l’innovation ou le monde des start-up, il faut regarder les développements. À quoi va servir l’intelligence artificielle? Est-ce qu’il y a des choses, dans la cybersécurité, qui pourraient se passer de personnes? Qu’on pourrait automatiser? Encore plus en cybersécurité que dans l’IT en général, à la fin de la journée, il faut avoir des personnes qui ont l’expertise nécessaire.
D’année en année, l’analyse des incidents devient de plus en plus complexe. Pas parce que les attaques sont plus complexes, mais parce que les technologies et les plateformes sont plus complexes. Avec l’iPhone, il y a une trentaine de couches qu’il faut connaître et à travers lesquelles il faut passer avant d’arriver au vrai problème. Quand il y a un souci, aujourd’hui, il y a très peu de gens qui comprennent ce qui se passe.»