À la tête de Cases depuis 10 ans, François Thill en a vu passer des cyberattaques. (Photo: Étienne Delorme / archives)

À la tête de Cases depuis 10 ans, François Thill en a vu passer des cyberattaques. (Photo: Étienne Delorme / archives)

Qui se souvient encore du virus «I Love You»? C’était le 4 mai 2000. Presque la préhistoire à l’échelle de l’évolution des technologies de l’information. Le monde «connecté» venait de passer sans trop d’encombres la grande peur du bug de l’an 2000, et se retrouva, en l’espace de quelques jours, frappé par un «simple» code malicieux, du type «ver», initialement attaché à ce qui ressemblait à une lettre d’amour. Le type de déclaration dont des millions de gens se seraient bien passés. En l’espace de quelques jours, les machines endommagées par ce virus se sont comptées par millions et les pertes engendrées par milliards de dollars.

Un mal pour un bien? C’est à la suite de cette «pandémie» planétaire qu’ont été jetées les bases de la création de Cases Luxembourg (Cyberworld Awareness and Security Enhancement Structure), un projet eLuxembourg, adopté par la Commission nationale pour la société de l’Information le 21 juillet 2003, et qui fête donc ses 10 années d’existence légale sous l’égide du ministère de l’Économie et du Commerce extérieur. «Les spécialistes en matière de sécurité étaient restés bouche bée de voir qu’un code aussi simpliste avait pu faire tellement de dégâts», se souvient François Thill, attaché de gouvernement 1er en rang au ministère et responsable de Cases.

Il travaillait déjà, à l’époque, au sein du ministère, en tant que spécialiste dans le domaine de la cryptographie, affecté à la mise en place des systèmes d’accréditation pour les infrastructures à clés publiques. «Nous savions que le régulateur belge souhaitait mettre en place une structure d’alerte pour ce type de codes malicieux. L’idée était très bonne, mais nous avons voulu, au Luxembourg, aller encore plus loin et développer des actions de sensibilisation et de prévention. Nous avons privilégié cette approche pédagogique plutôt que répressive. Ce n’est pas avec un bâton que l’on apprend à quelqu’un à marcher. Le nom même de Cases avait été imaginé par les Belges. Nous l’avons repris et nous avons alors été les seuls à nous lancer. Aujourd’hui, la Belgique n’a toujours rien fait de concret en la matière.»

La mission de Cases est aussi simple dans son descriptif qu’elle est tentaculaire sur le terrain: coordonner les domaines de la sensibilisation et de la prévention en matière de sécurité des systèmes et réseaux d’information. Dix ans plus tard, sa raison d’être ne se discute même pas et l’activité ne manque pas dans la «fourmilière» de ses bureaux délocalisés du ministre, dans le vétuste Centre Mercure de l’avenue de la Gare.

L’être humain, le maillon faible

Régulièrement, il est fait état, dans l’actualité, de «cyberattaques» de plus ou moins grande envergure, plus ou moins destructrices et plus ou moins médiatisées à des fins commerciales. En tout début d’année, l’éditeur de logiciels d’origine russe Kaspersky avait révélé une attaque mondiale baptisée Octobre Rouge, qui passa également par le Luxembourg, mais avec des effets plus que limités, puisqu’officiellement, selon les investigations menées par le Governmental Computer Emergency Response Team (CERT), seule une machine du réseau informatique de l’État a été touchée. «Ce n’est pas la première attaque du genre et ce ne sera certainement pas la dernière, avait commenté, sur paperjam.lu, Jean-Paul Zens,le directeur du Service des médias et des communications au ministère d’État. Cela nous incite, en tous les cas, à faire toujours plus en matière de sécurisation de nos infrastructures.»

Sécuriser les infrastructures, c’est une chose. Mais la vulnérabilité la plus sensible reste et restera sans doute pour longtemps l’être humain. On a coutume de dire que 90% des problèmes informatiques sont dus à une mauvaise connexion entre le clavier et la chaise. Cela concerne également tout ce qui a trait à la sécurité des données et des systèmes.

Quoi de plus tentant que de regarder par-dessus l’épaule d’une personne en train de tapoter sur son clavier dans une salle d’embarquement d’un aéroport ou sur son siège dans un train? Quoi de plus naturel que de vouloir ouvrir un mail censé contenir des photos prises la veille lors d’une fête d’entreprise? Ces deux exemples sont pour le moins banals, mais ils illustrent la très grande fragilité de la sécurisation des données d’une entreprise, au travers de comportements totalement innocents… mais pas pour tout le monde.

Une récente étude publiée en août 2012 au Luxembourg dans le cadre de la campagne européenne «Eastereggs and Toothbrushes» de sensibilisation à la sécurité de l’information a donné, en la matière, des résultats assez édifiants… Sur 1.206 personnes (toutes possédant un ordinateur) interrogées, dans la rue, à Esch, Diekirch et Luxembourg-ville, 78% d’entre elles ont reconnu avoir déjà partagé des coordonnées personnelles (nom, date de naissance, numéro de téléphone), ce qui constitue déjà une première prise potentielle pour tout cybercriminel en quête de porte d’entrée dans un système.

Mais il y a bien pire: 30% de ces sondés n’ont pas hésité à révéler aux étudiants qui réalisaient ce sondage, leurs mots de passe, certains allant même jusqu’à l’inscrire sur le formulaire d’enquête! Et si 95% des personnes interrogées reconnaissaient se servir d’un mot de passe sur leur ordinateur au travail, 56% se disaient prêts à le dévoiler à l’un de leurs collègues… «Les différents projets de sensibilisation que nous avons menés ont tout de même montré une réelle prise de conscience de la chose, constate M. Thill. Les gens et les entreprises sont clairement mieux informés, ils écoutent les alertes qui sont diffusées en matière de virus et ils sont davantage conscients des différents vecteurs d’attaque possibles. Mais il y a encore beaucoup à faire.»

La structure Cases fonctionne avec une dotation annuelle de quelque 2 millions d’euros apportée par le ministère de l’Économie et du Commerce extérieur. L’équipe est relativement réduite (une douzaine de personnes), «mais avec que des seniors experts», précise M. Thill. Et il n’y aura jamais trop d’expertise en la matière, tant les possibilités de commettre des actes délictueux se démocratisent.

Responsabilité pénale

Pour quelques milliers d’euros, il est aujourd’hui très facile d’acheter un code malicieux chez un professionnel avec un service de maintenance très poussé qui permet de rendre quasi indétectable ledit code. Il suffit ensuite de composer avec les sources de vulnérabilité d’une entreprise, principalement via ses employés et leurs activités sur les réseaux sociaux par exemple.

Et à l’heure où l’approche BYOD (Bring your own device) devient très répandue en entreprise, les points d’entrée pour des menaces potentielles se multiplient au rythme des terminaux mobiles utilisés par les salariés. Des appareils souvent partagés, d’ailleurs, entre des utilisations professionnelles et privées. «Le comportement des gens, leur insouciance par rapport à leurs données et la totale méconnaissance de ce qui peut leur arriver vraiment demeurent les facteurs principaux de risques, confirme Carlo Harpes, actuellement director, senior security consultant chez itrust consulting, et grand spécialiste de la question, qui fut aussi par le passé vice-président du Clussil (le Club de la sécurité des systèmes d’information – Luxembourg, devenu en 2012 le Clusil, Club de la sécurité de l’information – Luxembourg). Souvent, les gens savent que de tels problèmes de sécurité peuvent survenir, mais ils pensent que ça n’arrive qu’aux autres. Certaines entreprises agissent pourtant de manière proactive en faisant des tests, mais pas toujours assez poussés. Le management pense avoir bien fait son devoir, mais c’est parfois insuffisant.»

Peut-être aussi les dirigeants d’entreprises ne sont-ils pas tous au courant qu’ils sont, aux yeux de la loi, pénalement responsables en cas de manquement en matière de protection des données à caractère personnel détenues au sein de leur société? Selon les termes de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, ils encourent jusqu’à un emprisonnement de huit jours à six mois et/ou une amende de 251 à 125.000 euros, en cas de manquement à leurs obligations. «Cette législation est très sévère en la matière, et condamne parfois l’entreprise plus lourdement que le fraudeur, note M. Harpes. Il est dommage que le cadre légal ne soit pas plus proactif pour encourager et vérifier que les entreprises se protègent suffisamment à l’avance. Mais peut-être le législateur n’a-t-il pas d’autres choix que d’attendre qu’un incident ait eu lieu et ait été déclaré pour agir.»

Or, en matière de fraude informatique, rares sont les entreprises qui ont le courage de faire la démarche d’étaler leurs éventuelles mésaventures sur la place publique. Il y a quelques années, une banque de la Place avait perdu plus d’un million d’euros suite à un piratage informatique, mais s’était contentée de faire passer son préjudice en pertes et profits sans faire de vagues… En 2012, le Circl (Computer Incident Response Center Luxembourg, voir encadré) a tout de même traité près de 11.000 «événements» déclarés (contre 4.500 en 2011) et mené un millier d’investigations techniques. C’est dire l’ampleur du phénomène…

La «guerre» est déclarée

L’une de ces démarches proactives, qui peuvent être entreprises, réside dans la norme ISO 27001, la seule qui fournit les exigences pour la mise en place de système de management de la sécurité de l’information. Elle compile 39 objectifs de sécurité, décomposés en 133 mesures de sécurité, et relatifs à 11 domaines (politique de sécurité, sécurité du personnel, contrôle des accès…).

Au Luxembourg, le site du Mouvement luxembourgeois pour la qualité (www.mlq.lu) recense cinq sociétés étant certifiées 27001: Loterie Nationale, Codasystem Benelux, Ebrc, Euroscript International et IFOnline. Une sixième est venue rejoindre cette liste en avril dernier: Luxcloud, certifiée pour ses activités cloud. Autant dire que la démarche est loin d’être vraiment entrée dans les mœurs. «Tout le travail de prévention consiste aussi à expliquer aux entreprises que ça vaut la peine de dépenser de l’argent pour la sécurité, note M. Harpes. Et dans ce domaine, il ne faut pas raisonner en termes de retour sur investissement, car il est souvent bien difficile de mesurer le coût que pourraient avoir les conséquences d’une cyberattaque. Il est essentiel que ce concept de sécurité fasse partie intégrante de l’ADN d’une entreprise et de sa façon de fonctionner. Une entreprise ne se pose que rarement la question du ROI quand il s’agit de se conformer à la loi. La même réflexion devrait se faire pour la sécurité des données. Bien sûr, la sécurité à 100% n’existe pas. Mais ceux qui estiment être sécurisés à 99% doivent réfléchir aux investissements nécessaires pour passer à 99,9%.»

La prévention et l’information, c’est également la tâche quotidienne à laquelle s’attachent les quelque 250 membres du Clusil. Présidé depuis 2010 par Jean Goetzinger, head of risk prevention section à la Banque Centrale du Luxembourg. «Les menaces auxquelles les entreprises doivent faire face dépendent bien souvent des comportements de chacun, résume-t-il. Il est essentiel de créer une culture de la sécurité, afin de mieux se rendre compte des réels dangers. Et cette sensibilisation doit se faire à tous les niveaux de l’entreprise, de la simple personne en charge de l’accueil jusqu’à la direction générale. Aujourd’hui, les attaques sont de plus en plus sophistiquées et les réseaux collaboratifs du type de Facebook sont autant de sources de menaces potentielles.»

Actif depuis 1996, bien avant la création de Cases et la mise en place du plan gouvernemental pour la sécurité des systèmes et réseaux de l’information, le Clusil mise essentiellement sur la force de son réseau de membres, tous spécialisés sur la question. Deux groupes de travail planchent actuellement sur les questions de business continuity management, d’une part, et d’information security management d’autre part. D’autres groupes plus «techniques» (gestion des logs, sécurisation des systèmes) vont être progressivement mis en place.

L’objectif est double: publier des «bonnes pratiques» sur les sujets traités, mais surtout asseoir la reconnaissance du Clusil en tant que centre d’excellence. Ce qui, pour l’heure, n’est pas encore le cas. «C’est un peu notre point faible: notre visibilité ne reflète pas tout le travail que nous faisons, malgré nos collaborations extérieures, en particulier avec le CRP Tudor», regrette M.Goetzinger. La tenue au Luxembourg, les 24 et 25 juin prochains, d’un symposium international réunissant les «clubs» de plusieurs pays (France, Belgique, Italie, mais aussi des pays du Maghreb), pourrait contribuer à y remédier en partie.

Mais c’est évidemment sur le terrain que «ce combat», comme l’appelle M. Goetzinger, se mène. Et sur le terrain, Cases va proposer, à partir de cet été, une amélioration de sa plateforme d’analyse de risques déjà active depuis 2012. Il s’agira notamment de proposer aux entreprises des méthodes basées sur la norme ISO 27005 pour les systèmes de management des risques liés à la sécurité de l’information.

Stratégie nationale

5 axes prioritaires

En juillet 2011, le gouvernement a décidé la mise en place d’une stratégie globale en matière de cybersécurité, visant à renforcer la protection des infrastructures et systèmes de communication et de traitement de l’information, sous l’égide d’un Cyber Security Board créé, pour l’occasion, au sein du ministère d’État.

Cinq axes ont été définis pour mener à bien cette stratégie: assurer la protection opérationnelle des infrastructures et systèmes de communication et de traitement de l’information; moderniser le cadre légal; développer les coopérations nationale et internationale; informer, éduquer et sensibiliser sur les risques encourus et, enfin, mettre en place des normes et des standards contraignants. Au cours de l’année 2012, ce Cyber Security Board s’est réuni à six reprises et a notamment créé quatre groupes de travail chargés, entre autres, de la création d’un portail unique permettant de centraliser le signalement des incidents en matière de cyber sécurité effectuée par les citoyens et de permettre de centraliser le signalement d’incidents pour les rediriger vers les acteurs en charge d’en assurer le suivi.

Acteurs

Souriez, vous êtes protégés

Les actions en matière de sensibilisation, d’éducation, de standardisation ou d’analyse et de réaction se déclinent en plusieurs axes au niveau de l’action gouvernementale. En 2010 a été créé le GIE Smile (Security made in Lëtzebuerg), regroupant trois ministères (Économie et Commerce extérieur, Famille et Intégration, Éducation nationale et Formation professionnelle), ainsi que les syndicats intercommunaux Syvicol et Sigi.

Trois piliers sont actifs sous cette structure faîtière, dont la coordination a été confiée au ministère de l’Économie: Bee-Secure, qui a pour vocation la sensibilisation et l’éducation du grand public; Cases, orienté entreprises, et qui vise la démocratisation des méthodologies et des bonnes pratiques en matière de sécurité informatique, et, enfin, le Circl (Computer Incident Response Center Luxembourg), qui intervient après un incident de sécurité touchant aux réseaux et systèmes d’information pour en analyser les tenants et les aboutissants.

Parallèlement existe le Governmental Computer Emergency Response Team (GovCert), dépendant du ministère d’État, dont la création fut décidée par le conseil de gouvernement du 15 juillet 2011 sur proposition du ministre des Communications et des Médias, qui était alors François Biltgen. Cette cellule, composée d’une demi-douzaine d’experts, est dédiée à la lutte, au sein des administrations gouvernementales et publiques, contre les cyberattaques et la prise en charge d’incidents d’envergure en relation avec les systèmes de communication et de traitement de l’information. Elle est également active pour les opérateurs d’infrastructures critiques du pays.

Le GovCert fait partie des trois composantes du portail CERT officiel du Luxembourg, aux côtés du Circl et de Restena-CSIRT (Computer Security Incident Response Team), le réseau d’interconnexion de l’ensemble des institutions de l’éducation et de la recherche au Luxembourg.

Plusieurs autres initiatives privées existent et cohabitent de manière la plus efficace possible avec toutes ces structures publiques: le Clusil (Club de la sécurité de l’information – Luxembourg), le CPSI (Collège des professionnels de la sécurité de l’information, qui vise une meilleure reconnaissance de la profession de responsable de la sécurité de l’information au sein des entreprises); le chapitre luxembourgeois de l’Isaca (Information Systems Audit and Control Association) ou encore Hack.lu, un groupe qui organise, chaque année, une grande conférence en matière de sécurité.

Enfin, LuxTrust, société spécialisée dans la garantie de l’identité digitale et la sécurité des données électroniques des entreprises et des citoyens, s’intègre également dans ce schéma. Aujourd’hui société anonyme (détenue aux deux tiers par l’État), Luxtrust avait été constituée en 2003 sous forme de GIE entre l’État et un consortium de banques.