En plus d’une option à la carte, trois packs sont proposés aux entreprises pour un accès plus ou moins élargi aux infrastructures et à l’expertise du C3, allant de 1.500 à 20.000 euros par an. (Photo: DR)

En plus d’une option à la carte, trois packs sont proposés aux entreprises pour un accès plus ou moins élargi aux infrastructures et à l’expertise du C3, allant de 1.500 à 20.000 euros par an. (Photo: DR)

Une clé USB infectée par un ransomware et un virus qui se diffuse comme l’éclair dans le système informatique interne. Voilà le point de départ de l’un des scénarios qui sera utilisé dans la Room #42, le service de simulation de cyberattaques du C3, le tout nouveau centre de compétences luxembourgeois en matière de cybersécurité inauguré ce jeudi.

Dans une pièce sombre d’une vingtaine de mètres carrés sont réunis des membres de la direction, du service IT et de l’administration. Durant une heure, ils vont devoir gérer une situation de crise minutieusement orchestrée par un directeur d’exercice et un observateur, positionnés derrière un miroir sans tain.

«Nous voulons rendre le côté palpable d’une cyberattaque en recréant les conditions les plus réelles possible», explique Jérôme Jacob, en charge de ce projet pour Securitymadein.lu (Smile). «Une simple clé USB peut devenir une arme de destruction massive et nous constatons que les premières minutes qui suivent une attaque sont déterminantes dans la portée qu’elle va avoir au sein de l’entreprise», ajoute celui qui a travaillé pendant sept ans en tant que responsable de la sécurité informatique du data center du Parlement européen.

Impliquer les prestataires privés

L’idée de cette simulation est de vérifier la capacité de réaction de l’ensemble des services concernés par une cyberattaque dans une entreprise. Une sorte d’exercice incendie qui vise à faire intégrer à son personnel les bons réflexes. Une autre simulation de cyberattaques, mais cette fois-ci destinée à des profils experts, est également proposée. Ces deux services sont complètement nouveaux au Luxembourg et s’ajoutent à ceux déjà connus du Smile.

«Le C3 se base sur trois piliers: l’observation du cyberespace, effectuée par le Circl, l’analyse proactive des risques en termes de cybersécurité, fournie par le Cases, et la formation de tous les acteurs de l’entreprise impliqués dans la gestion d’une cyberattaque», a détaillé la secrétaire d’État à l’Économie, Francine Closener.

La création du C3 permet également au Smile de prendre une nouvelle dimension et d’élargir son public cible. «Notre idée est aussi de mettre en commun cette infrastructure avec des prestataires de services en cybersécurité», complète Pascal Steichen, le CEO du Smile. «Ils pourront de ce fait proposer des services de simulation à leurs propres clients et utiliser la Room #42 pour les effectuer.»

Un service payant... en partie

Mais l’utilisation du C3 aura un coût. En plus d’une option à la carte, trois packs sont ainsi proposés aux entreprises pour un accès plus ou moins élargi aux infrastructures et à l’expertise du C3, allant de 1.500 à 20.000 euros par an.

Cette clarification de la politique tarifaire ne signifie pas que les services actuellement gratuits du Smile deviendront payants. Ainsi, l’expertise fournie par le Computer Emergency Response Team (Cert) du Circl restera entièrement gratuite, ainsi qu’un premier diagnostic des vulnérabilités informatiques pour les PME et des start-up, qui lui est effectué par le Cases.