François Thill (Cases): «Il y a encore beaucoup à faire.» (Photo: archives paperJam)

François Thill (Cases): «Il y a encore beaucoup à faire.» (Photo: archives paperJam)

Un ancien ministre de l’Économie (Henri Grethen) et un encore en exercice pour quelques jours (Étienne Schneider): il y aura du beau monde, ce jeudi, au Château de Septfontaines, pour célébrer les 10 années de la structure Cases Luxembourg (Cyberworld Awareness and Security Enhancement Structure), créée officiellement le 21 juillet 2003 par la Commission nationale pour la société de l’information.

C’est la moindre des choses. Car cette structure, même si elle ne défraie pas spécialement la chronique, n’en reste pas moins un maillon important dans l’arsenal gouvernemental de lutte contre la cyber-criminalité. La protection des données personnelles, la sécurité des réseaux et des systèmes informatiques, les attaques de «pirates» du net… autant de sujets d’actualité qui préoccupent tout autant les particuliers que les entreprises.

Cases constitue l’un des trois piliers de l’action gouvernementale centralisée sous l’égide du GIE Smile (Security made in Lëtzebuerg) créé en 2010 et dont la coordination a été confiée au ministère de l’Économie. Les deux autres structures sont Bee-Secure et le Circl (Computer Incident Response Center Luxembourg, qui intervient après un incident de sécurité touchant aux réseaux et systèmes d’information pour en analyser les tenants et les aboutissants).

Comportements édifiants

La mission de Cases est simplissime sur le papier, autant que complexe sur le terrain: coordonner les domaines de la sensibilisation et de la prévention en matière de sécurité des systèmes et réseaux d’information, tout en démocratisant les méthodologies et les bonnes pratiques en la matière.

Sécuriser les infrastructures, c’est une chose. Mais la vulnérabilité la plus sensible reste et restera sans doute pour longtemps l’être humain. On a coutume de dire que 90% des problèmes informatiques sont dus à une mauvaise connexion entre le clavier et la chaise. Cela concerne également tout ce qui a trait à la sécurité des données et des systèmes.

Quoi de plus tentant que de regarder par-dessus l’épaule d’une personne en train de tapoter sur son clavier dans une salle d’embarquement d’un aéroport ou sur son siège dans un train? Quoi de plus naturel que de vouloir ouvrir un mail censé contenir des photos prises la veille lors d’une fête d’entreprise? Ces deux exemples sont pour le moins banals, mais ils illustrent la très grande fragilité de la sécurisation des données d’une entreprise, au travers de comportements totalement innocents… mais pas pour tout le monde.

Une récente étude publiée en août 2012 au Luxembourg révélait, du reste, des résultats assez édifiants… Sur 1.206 personnes (toutes possédant un ordinateur) interrogées, dans la rue, à Esch, Diekirch et Luxembourg-ville, 30% n’ont pas hésité à révéler aux étudiants qui réalisaient ce sondage, leurs mots de passe, certains allant même jusqu’à l’inscrire sur le formulaire d’enquête!

Les dirigeants d’entreprises responsables

Et si 95% des personnes interrogées reconnaissaient se servir d’un mot de passe sur leur ordinateur au travail, 56% se disaient prêts à le dévoiler à l’un de leurs collègues… «Les différents projets de sensibilisation que nous avons menés ont tout de même montré une réelle prise de conscience de la chose», constate aujourd’hui François Thill, directeur de Cases. «Les gens et les entreprises sont clairement mieux informés, ils écoutent les alertes qui sont diffusées en matière de virus et ils sont davantage conscients des différents vecteurs d’attaque possibles. Mais il y a encore beaucoup à faire.»

À l’échelle d’une entreprise, la problématique est d’autant plus sensible que selon les termes de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, ce sont les dirigeants de la société qui encourent jusqu’à un emprisonnement de huit jours à six mois et/ou une amende de 251 à 125.000 euros, en cas de manquement à leurs obligations.

Évidemment, en matière de fraude informatique, rares sont les entreprises qui ont le courage d’étaler au grand jour leurs mésaventures. Il y a quelques années, une banque de la Place avait perdu plus d’un million d’euros suite à un piratage informatique, mais s’était contentée de faire passer son préjudice en pertes et profits sans faire de vagues… En 2012, le Circl (Computer Incident Response Center Luxembourg, voir encadré) a tout de même traité près de 11.000 «événements» déclarés (contre 4.500 en 2011) et mené un millier d’investigations techniques. C’est dire l’ampleur du phénomène…

Articles Associés