La question de la valeur de l’information est aujourd’hui essentielle au cœur de nombreux business. La protection des données personnelles et la sécurisation des échanges d’information constituent des éléments critiques. C’est vrai partout et cela retentit d’une manière toute particulière au Luxembourg, où l’État a misé sur le développement du secteur ICT et des télécommunications pour diversifier son économie.
« En matière d’hébergement des données, le Luxembourg travaille pour se positionner comme le coffre-fort de l’Europe, explique Cyril Pierre-Beausse, président de la Fédération de l’Information Lifecycle Management, du Stockage et de l’Archivage (Fedisa) au Luxembourg, et juriste spécialisé dans la protection des données au sein du cabinet Allen & Overy. On a assisté, au niveau de la Place, à des développements importants, en termes d’infrastructures, d’amélioration de la connectivité, des possibilités d’hébergement des données. L’État, encore, veut favoriser ce positionnement par le développement d’une loi ambitieuse sur l’archivage électronique, la première du genre, qui devrait bientôt être présentée. »
Le Luxembourg, dans ce contexte, est particulièrement sensibilisé aux questions de sécurité de l’information et de protection des données personnelles. « Sur ces aspects, il faut tendre vers l’excellence, afin de nous positionner au mieux parmi nos concurrents européens. Aujourd’hui, un travail important a été réalisé, ce qui n’est pas le cas partout en Europe. Il porte ses fruits au-delà des frontières », confirme Stéphane Ries, directeur général de Luxtrust.
Cette société, créée sous impulsion étatique, a, depuis plusieurs années, développé une expertise avancée en matière de sécurisation des données et d’authentification des personnes pour les opérations en ligne.Le statut de professionnel du secteur financier (PSF), par exemple, contraint les acteurs de la finance à des obligations très précises pour la sécurisation des informations. Une Commission nationale pour la protection des données (CNPD) a par ailleurs été instituée il y a 10 ans. Indépendante, cette autorité est responsable du respect de la loi relative à la protection des personnes vis à vis du traitement des données à caractère personnel. « On peut encore citer la création de centres d’expertises de très haut niveau en termes de sécurité informatique, comme le SnT (le centre de recherche interdisciplinaire sur la sécurité informatique) de l’Université de Luxembourg. Ou encore l’ILNAS (Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services), organisme d’accréditation luxembourgeois qui se positionne fortement au niveau des organismes de standardisation européens », ajoute Stéphane Ries.
Obligations légales
Les acteurs de la finance, parce que les données qu’ils traitent sont particulièrement sensibles, et parce que le Luxembourg hérite d’une culture importante de la confidentialité, sont particulièrement concernés par ces questions de sécurité. Pour eux, le Luxembourg a défini des obligations extrêmement précises. Mais ce n’est pas le cas pour l’ensemble des entreprises. « On constate que, souvent, dans la mesure où la loi est plus floue sur ce qu’il convient de mettre en œuvre en matière de sécurité, il y un décalage entre la prise de conscience des enjeux de la sécurisation des données par les dirigeants et la protection effective des systèmes sur le terrain, explique Adèle Folleti, security practice director chez Bull Belux. Les acteurs ont encore trop tendance à penser que les attaques des systèmes informatiques et la perte de données, cela n’arrive qu’aux autres. »
La victime risque plus que l’auteur
De manière générale, beaucoup d’entreprises ne sont pas forcément conscientes des menaces réelles qui pèsent sur elles. Ni des risques auxquels elles s’exposent. « Au niveau de la loi, le Luxembourg, dans la transcription qu’il a faite de la directive européenne relative à la protection des données, a été beaucoup plus loin que la plupart des autres pays d’Europe, précise pourtant Cyril Pierre-Beausse. En mettant notamment plus de pression sur celui qui détient les données que sur celui qui va orchestrer une attaque pour tenter de les subtiliser. C’est un des rares cas de figure où la victime risque plus que l’auteur d’une attaque. L’État a voulu, à ce niveau, responsabiliser le détenteur des données. » Force est de constater que cela ne suffit pas toujours.
L’actualité, de plus en plus régulièrement, en apporte la preuve. Au début de l’année, le site Internet d’ArcelorMittal a été la cible d’Anonymous, collectif de hackers qui avait pourtant annoncé son attaque. Ce genre d’incidents doit-il inquiéter ? « C’est une attaque qui a marqué l’opinion. Elle a suscité, pour de nombreux acteurs, une prise de conscience des vulnérabilités de leurs systèmes informatiques et de la nécessité d’avoir une meilleure visibilité sur la sécurité et les risques encourus, commente Laurent Marion, security solutions manager chez Dimension Data Financial Services au Luxembourg. Le cas d’ArcelorMittal, même s’il n’y a pas eu d’incidence majeure, démontre que la mise en évidence de vulnérabilité peut coûter cher à l’entreprise, ne fut-ce qu’au niveau de son image. »
Le Luxembourg a connu dernièrement d’autres cas plus inquiétants encore. On citera l’affaire « Médicoleaks », avec la prise de connaissance par un tiers de près de 49.000 dossiers médicaux luxembourgeois, contenant des données personnelles sensibles qui auraient dû être mieux sécurisées.
Ces deux dossiers tendent à prouver que des failles, parfois béantes, existent. Et que la sécurisation des systèmes n’est jamais une mince affaire. « Alors que les réseaux sociaux pénètrent les entreprises, que l’on utilise de plus en plus des devices mobiles dans le cadre professionnel, la sécurisation de systèmes multiples et interconnectés est de plus en plus complexe », assure Adèle Folleti.
Les menaces, d’autre part, changent. « Elles évoluent très logiquement avec la technologie. On doit aujourd’hui faire face à certains types de menaces qui n’existaient pas du tout auparavant, notamment au niveau des terminaux, assure Stéphane Ries. Le ‘threat landscape’ est très complexe et est intimement lié à la valeur des données. Les données personnelles n’ont, pour la plupart des gens, que peu de valeur, au moment où ils les livrent. Mais pour un escroc, un vol d’identité aura beaucoup de valeur. Une personne bien placée pourrait être soumise au chantage si des informations compromettantes ont pu être subtilisées. Plus généralement, en prenant connaissance de données personnelles, ou non protégées, un futur employeur pourrait se renseigner sur un candidat, le fisc sur le train de vie des citoyens. »
Responsabilisation accrue
Toute entreprise peut être victime d’attaques non ciblées, profitant de failles au sein de leurs systèmes. On parle par exemple de malware (logiciels malveillants), qui s’installent sur divers terminaux suite à un téléchargement malencontreux, et qui sommeillent quelque temps, puis récoltent des données et les transmettent à des personnes mal intentionnées qui trouveront peut-être un moyen de les exploiter. Mais l’entreprise peut aussi être la cible d’un pirate qui sait précisément ce qu’il cherche et qui est à même de déployer des moyens considérables pour arriver à ses fins. Chaque entreprise est responsable des données qu’elle a recueillies et donc accepté de protéger. C’est la loi qui le dit. Plus ces données sont sensibles, plus les risques auxquels l’entreprise s’expose sont importants.
Des sanctions pénales sont prévues en cas de manquement à ce devoir. « Même si, de manière générale, ces sanctions sont rarement appliquées, assure Cyril Pierre-Beausse. Selon le législateur, le niveau de sécurité à mettre en place dépend d’abord du risque d’atteinte pour la sécurité des données personnelles, donc de la sensibilité de ces données. Sont ensuite pris en considération les moyens disponibles pour mettre en œuvre des mesures de protection. Une PME qui gère des données sensibles aura donc plus de devoirs qu’une grosse entreprise qui gère des informations qui ne le sont pas. »
Cette loi, et donc cette responsabilisation des acteurs qui gèrent des données, devrait être prochainement renforcée par un nouveau règlement communautaire qui prévoit des sanctions plus dures encore en cas de défaillance. Ce règlement est actuellement à l’état de projet.
Dès lors, comment bien se protéger ? Quels sont les leviers d’amélioration pour une sécurisation des données bien plus efficiente ? « Il faut avant tout réduire le risque au maximum. La complexité et l’hétérogénéité des systèmes de sécurité informatique, c’est une réalité qui s’impose à toutes les entreprises. Cela est parfaitement illustré avec le concept de ‘bring your own device’, qui se répand dans les entreprises, explique Laurent Marion. Il faut pouvoir lutter contre la fuite d’information sur n’importe quel média. Par ailleurs, la visibilité des entreprises sur la sécurité de leur système d’information constitue un maillon faible et ne permet pas de se prémunir de manière optimale des risques. Ceci induit la mise en place de tableaux de bord de sécurité qui permet une proactivité et une vision simple de son système d’information. Le respect des méthodologies et la remise en cause des bonnes pratiques orientées sécurité restent primordiales. » Si la sécurisation des données, face à la menace qui évolue, s’apparente à une course contre la montre, elle ne doit pas pour autant constituer, au niveau des dépenses, un puits sans fond. « Une bonne sécurisation des données commence par un audit précis de la sécurité des systèmes, une identification des risques, commente Adèle Folleti. Cela permettra de définir les moyens à mettre en œuvre, en faisant preuve d’un certain bon sens, à l’égard de l’entreprise, des données qu’elle gère. »
Réduire le risque
La sécurisation des données peut prendre de multiples formes. Elle commence, avant même de protéger les systèmes ou de parler d’attaques, par une prise de conscience réelle des risques encourus à confier certaines informations personnelles à des tiers. Ici, il est question de sensibilisation de la population en général. D’autres aspects, plus comportementaux que techniques doivent être pris en considération. Il est par exemple regrettable d’investir dans des systèmes perfectionnés, si des utilisateurs, en interne, peuvent aisément subtiliser des données avec une clé USB. « L’enjeu est de garder la maîtrise sur ses données. La problématique est à la fois sociale et technique. La technique doit nous aider à protéger les données et les systèmes, par exemple grâce à une cryptographie adaptée des données ou une authentification exigeante des utilisateurs, explique Laurent Marion.
Au-delà de la technique, la formation des utilisateurs et la mise en place d’une politique de sécurité adéquate sont primordiales. La sécurisation des données ne peut se passer, aujourd’hui, d’une veille, de la mise en place de processus d’amélioration permanente de la protection des systèmes. En étant bien orchestrée, elle doit permettre d’être proactif plus que réactif et d’anticiper des menaces qui se feront toujours plus subtiles. »