Pour Karim Sabbagh, CEO de SES, la cybersécurité n'est pas seulement un enjeu stratégique, mais un prérequis indispensable au développement de l'économie. (Photo: Paperjam/ archives)

Pour Karim Sabbagh, CEO de SES, la cybersécurité n'est pas seulement un enjeu stratégique, mais un prérequis indispensable au développement de l'économie. (Photo: Paperjam/ archives)

Afin de rassembler toutes les forces vives concernées et ouvrir le dialogue, EY organisait avec la Fedil-ICT une matinée dédiée à la sécurité des données au Luxembourg autour de leur étude conjointe «Security landscape in Luxembourg». Comme le rappelle Karim Sabbagh, président et CEO de SES, la cybersécurité est un prérequis dans toute société qui veut tirer profit des nouvelles technologies. «Plus notre économie sera fructueuse, plus elle sera une cible. D’ici une dizaine d’années, les nanotechnologies augmenteront encore l’emprise des technologies digitales dans nos vies. Dans ce contexte, la cybersécurité n’est pas seulement un accessoire, elle est critique.»

Sans fiabilité des systèmes et intégrité des données, pas de services bancaires en ligne, pas de start-up, d’innovation digitale, ni de fintech… «Bien plus que technique, l’enjeu est stratégique et intéresse les CEO. Ce n’était pas le cas il y a cinq ans. La prise de conscience de la dangerosité des risques et de la rapidité d’évolution des attaques a beaucoup progressé», affirme Brice Lecoustey, partner chez EY. Pour définir une stratégie sécuritaire cohérente à l’échelle nationale, entreprises et administrations, mais aussi universités et centres de recherche doivent collaborer plus intensivement. Sans oublier que les cybercriminels sont eux-mêmes de plus en plus structurés et ne connaissent pas de frontières.

Simplifier le tableau

Sensibilisation, éducation des utilisateurs finaux ou formation de spécialistes dédiés constituent une responsabilité partagée. La manque de ressources locales fait partie des challenges prioritaires. «La cybersécurité n’échoue pas uniquement au gouvernement, les entreprises ont leur rôle à jouer, notamment en mettant en place des procédures solides. «C’est un débat qui doit être concerté», cadre François Thill, président de Security Made In Lëtzebuerg (Smile). Et Karim Sabbagh de renchérir: «Aucune solution ni approche n’est universelle. Il faut adapter sa stratégie au contexte et à la culture nationale. Une organisation dédiée permettrait de rationaliser les efforts et initiatives.»

Le risk management doit être la lingua franca du gouvernement

François Thill, Smile.

Smile, Circl (Computer Incident Response Center Luxembourg), ou encore Bee Secure, les initiatives publiques sont nombreuses, mais malheureusement pas toujours connues des entreprises. Pour nos interlocuteurs, elles manquent de visibilité et/ou d’une ombrelle commune. «Les rôles des uns et des autres ne sont pas toujours clairs, constate encore Brice Lecoustey. Il nous manque un numéro à appeler en cas de risque ou de cyberattaque.» Du côté réglementaire, le panorama se complexifie, puisque différents organes interviennent à différents niveaux pour encadrer les TIC: la CSSF du côté des acteurs de la finance; la CNPD, l’Ilnas ou encore l’ILR.

La protection à 100% n’existe pas

Wojciech Soltysiak

«Harmoniser la surveillance est indispensable, déclare François Thill. Le risk management doit être la lingua franca du gouvernement. C’est cette approche qu’il nous faut privilégier dans tous les secteurs et expliquer la philosophie dès que possible. Tester et retester ses systèmes est une des clés. Bien choisir ses prestataires en est une autre.»

Autre élément à prendre en considération pour améliorer la maturité du marché et l’intelligence collective: partager et comparer ses vulnérabilités, ses failles et types de menaces pour apprendre les uns des autres. «La protection à 100% n’existe pas, soutient Wojciech Soltysiak, directeur technology services chez Champ Cargosystems SA. Il faut avoir un plan B, C et D, diversifier son approche et choisir les sujets à protéger.»

Articles Associés