Le compliance officer n’était pas le collègue le plus apprécié d’une entreprise, surtout financière. Le «monsieur de la cybersécurité» ne l’est pas davantage, . 

Selon l’étude, alors que les équipes de cybersécurité ont en général de bonnes relations avec les fonctions connexes telles que l’IT, les risques et le juridique, il existe une déconnexion avec les autres composantes de l’entreprise. Près de trois quarts des sondés (74%) indiquent que la relation entre la cybersécurité et le marketing est neutre, dans le meilleur des cas, si ce n’est une relation de défiance ou inexistante, alors que 64% d’entre eux ont les mêmes commentaires à propos de l’équipe de recherche et développement et 59% pour les lignes métier. Plus de la moitié (57%) indiquent que leur relation avec la finance, de laquelle ils dépendent pour l’approbation de leurs budgets, est également tendue.

Dans un contexte difficile dans lequel deux entreprises sur trois ont été confrontées à un nombre croissant d’attaques significatives, ces faibles progrès ne s’expliquent pas.

Thomas, année après année, attaque d’envergure après attaque d’envergure, on pourrait s’attendre à ce que les entreprises se décident à muscler leurs défenses contre les cyber-risques…

Thomas Koch. - «Oui, on pourrait. Disons que les secteurs très réglementés, comme le secteur bancaire et financier au Luxembourg,  sont assez bien préparés, même si les entités ont leur quartier général ailleurs qu’ici. Mais le phénomène le plus notable est que seul un tiers des sociétés intègrent la cybersécurité dès la conception d’un projet ou d’une initiative. Il n’y en a même que 7% qui considèrent que la cybersécurité puisse être un argument de vente, quelque chose de positif pour l’entreprise. Cela vient probablement du fait que les responsables de ce sujet ne sont pas assez présents dans le conseil d’administration. C’est une dynamique qui s’autoalimente parce que faute de cette expertise, le conseil d’administration n’a pas assez de connaissance, de conscience, de ces problèmes.

Est-ce que la cybersécurité est «trop chère»? Je veux dire nécessite des investissements trop importants? Où mettre le curseur?

«Vous pouvez dépenser autant que vous voudrez, tout dépend d’où vous portez votre attention. Mais soyons réalistes, achetez-vous toute la technologique que vous voulez, mettez-la correctement en place, à la fin, vous serez toujours à la merci d’un employé qui va cliquer sur le mauvais lien. Il vaudrait mieux éduquer ses employés aux risques parce qu’on se retrouve dans un univers où ceux qui attaquent élaborent des stratégies de plus en plus sophistiquées et alimentées par du social engineering, alors que la plupart du temps, nous n’avons aucune idée des risques qui planent.

Les cas de Giorgetti visé par un ransomware ou de BGL BNP Paribas par une attaque de phishing sont des illustrations de ces phénomènes qui ne vont pas épargner le Luxembourg…

«Le Luxembourg n’est pas une île. Tout le monde sait qu’un jour ou l’autre, tout arrive ici. Je ne veux pas m’exprimer sur ces deux cas, même si je ne crois pas qu’aucun des deux ne soit pas préparé. Mais cela souligne autre chose: quand une vulnérabilité est rendue publique, pas publique comme vous l’entendez, mais quand les fournisseurs d’un logiciel intègrent une vulnérabilité dans un registre spécifique, les attaquants en prennent connaissance en même temps. Et une fois que la vulnérabilité est connue, le fabricant doit patcher, réparer ce problème et ensuite vérifier que tous ceux qui l’utilisent ont bien patché. Dans ce temps, tout est possible.»