Le Luxembourg doit s’organiser face aux risques liés aux technologies de l’information. Une réalité confirmée par le vice-Premier ministre et ministre de l’Économie, Étienne Schneider, interrogé par les députés CSV Diane Adehm et Gilles Roth concernant la cybercriminalité.
Dans une récente étude du Digitalverband Bitkom e.V., qui représente plus de 2.400 entreprises œuvrant dans les technologies de l’information en Allemagne, «53% des entreprises ont déjà été victimes d’une cyberattaque» et «la cybercriminalité a entraîné des dommages de plus de 55 milliards d’euros pour l’économie allemande», d’après l’enquête menée auprès de 1.069 entreprises comptant au moins 10 salariés.
Si aucune étude de ce genre n’est à recenser au Luxembourg, le ministère de l’Économie dispose des statistiques des différentes initiatives lancées dans le domaine depuis 2003. Cases.lu (Cyberworld Awareness and Security Enhancement Services), actif dans la prévention et l’analyse des risques et des menaces, a été intégré en 2010 au sein de Securitymadein.lu.
Plus de 1.200 investigations techniques en 2016
«Depuis sa création, les équipes de Securitymadein.lu ont été en contact avec environ 6.000 entreprises au Luxembourg», rapporte le ministre de l’Économie. «Le plus grand nombre de ces contacts concerne des situations où un acteur a été victime d’une cyberattaque.» En 2016, «plus de 1.200 investigations techniques sur des incidents informatiques ont été conduites par Circl» (Computer Incident Response Center Luxembourg), l’interface entre les entreprises et les experts du ministère.
Ces incidents informatiques, en «accroissement continu» depuis 2010, concernent pour moitié la cybercriminalité (objectif financier), suivie du cyberespionnage (objectif informationnel, 40%) et du cyberactivisme (objectif ludique/idéologique, 10%).
C3, un centre de compétences dévolu aux cyberrisques
L’équipe de Cases.lu a multiplié en 2016 les actions de sensibilisation et de formation au sein des entreprises. 40 diagnostics et analyses de risques ont été établis, 27 experts en sécurité ont été formés à l’utilisation de Monarc, «un outil d’analyse de risques qui fait profiter les entreprises qui l’utilisent des expériences acquises par d’autres». Monarc a d’ailleurs été adopté par le gouvernement belge, le groupe Post, ainsi que l’Inspection générale de la sécurité sociale et ses sept instituts de sécurité sociale. Cases a encore organisé 44 séances de formation en partenariat avec l’École supérieure du travail et la House of Training.
«Suite à l’informatisation et la digitalisation de notre société, le moment est venu d’avancer et de regrouper en un centre de compétences en cybersécurité, appelé le C3, l’ensemble des expériences, c’est-à-dire d’informations opérationnelles et de connaissances sur les menaces, les vulnérabilités et l’efficacité des mesures de protection, acquises par le ministère de l’Économie et Securitymadein.lu et de les mettre à profit de toute l’économie», estime le ministre de l’Économie. «Cette nouvelle ‘intelligence’ constitue la base du C3 qui sera mis sur pied par Securitymadein.lu en étroite collaboration avec des partenaires-clés.»
Le C3, annoncé il y a un an lors du Cyber Security Day et dont l’inauguration est prévue le 12 octobre dans les locaux de Securitymadein.lu, sera chargé de l’élaboration de rapports et informations nécessaires à la bonne gouvernance de la sécurité («threat intel»), de la formation (via un simulateur de scénarios d’attaques permettant des entraînements opérationnels réalistes) et du contrôle ou «testing» de nouvelles technologies, provenant notamment de start-up, qui sera également effectué grâce au simulateur de scénarios d’attaques. Une approche innovante de la prévention et de la réponse aux cyberattaques, permettant aux entreprises de bénéficier du savoir-faire développé par les services d’intelligence informatique de l’État.