François Thill (Photo: Etienne Delorme/archives)

François Thill (Photo: Etienne Delorme/archives)

Un peu comme jadis lorsque les voleurs en traction allaient plus vite que les gendarmes à vélo, l’évolution permanente des technologies précède la sécurité des systèmes. Il est d’autant plus primordial, dès lors, de ne pas se laisser distancer. C’est une des missions récurrentes du programme CASES, développé par la direction du Commerce électronique et de la Sécurité informatique du ministère de l’Economie et du Commerce extérieur. «Il y a un gros effort de réflexion sur tout ce qui touche à la sécurité des systèmes électroniques, souligne François Thill, attaché de gouvernement, en charge de ce programme. Depuis plusieurs années, le Luxembourg est reconnu comme un pionnier en la matière, pour ce qui est de la veille, de la transparence et de la surveillance.» En un mot, la confiance, valeur cardinale sur une place luxembourgeoise en quête d’excellence et de visibilité internationale.
«De nouvelles professions émergent. Il y a un vrai business.» Ainsi, dans le domaine de la dématérialisation des données et de l’archivage électronique, pour lequel le Luxembourg se dote d’un cadre juridique innovant, adapté, guidé par des standards bien définis et encadré par des professionnels dûment accrédités, «la chaîne de valeurs est importante et l’enjeu est de garantir que tous les maillons de la chaîne sont entièrement fiables».

Le CASES, dans ses missions quotidiennes, n’ignore pas du tout que «le maillon faible dans une chaîne d’information électronique, c’est l’être humain». D’où des campagnes pour rappeler ce qui relève de l’évidence, mais que l’expérience et les études mettent à mal, comme le besoin de mots de passe complexes et régulièrement changés. Les besoins de sécurité, à l’épreuve des solutions techniques en matière de virtualisation et de mobilité notamment, vont évidemment au-delà: données morcelées pour ne pas avoir tout sur son laptop, accès sécurisé et personnalisé, par carte à puce ou par token…

Un retard à rattraper

Un des enjeux majeurs dans l’économie luxembourgeoise est de toucher l’important maillage de petites et moyennes entreprises. «Les grosses sociétés ont le plus souvent mis en place des moyens pour la sécurité des systèmes. Les PME en revanche ont un retard certain, observe François Thill. Il y a encore une frilosité à ce niveau: on pense qu’on n’est pas concerné ou que cela est inabordable. Mais, là encore, un véritable marché émerge. Parce que des outils adaptés aux besoins se développent.»
Depuis 2005, CASES travaille sur les standards ciblant la sécurité informatique et n’a de cesse d’analyser les critères cruciaux, en vue de finaliser un modèle adapté aux PME, sensibilisées par ailleurs à la démarche. Avec le CRP Henri Tudor, les analystes ont décliné le plus pointu des standards, ISO 27001. «L’idée est de rendre ce niveau de sécurité optimal accessible à tous, en particulier aux PME. Accessible en termes de besoins adaptés et en termes de coût. Ce modèle est en phase de derniers tests et devrait être opérationnel fin d’année. L’outil sera mis à la disposition des entreprises, labellisées, qui installent et accompagnent les systèmes de sécurité informatique. En rendant le standard abordable, on est dans le gagnant-gagnant: hausse de la sécurité dans les PME d’où valeur ajoutée, création d’une niche pour les spécialistes en sécurité informatique, voire création de PME dans cette profession, le tout contribuant à l’image de confiance et d’excellence du tissu économique national.»

Cette approche, assez unique en Europe, se prolonge par des initiatives qui en partagent la philosophie globale. «Nous nous intéressons de près au cloud computing, par exemple. Tout ce qui touche à la sécurité physique des serveurs, aux systèmes de sauvegarde, peut être développé en pensant aux PME, au marché… Security as a Service, c’est plus qu’un slogan.» C’est aussi le sens des actions de CASES, dans les écoles, mais aussi auprès des administrations ou des professions libérales. Vers le grand public, donc. «On labellise des spots Wi-Fi, on encourage la recherche, la veille technologique, la mise en réseau, on organise des formations pour sensibiliser à l’espionnage industriel lors de missions économiques, par exemple… Le fil rouge est clair: enfoncer le clou et inviter à l’analyse des risques. Quelle est la menace? Quelle est ma vulnérabilité? Quel pourrait être l’impact d’une perte de données? Ces questions sont fondamentales.» Et s’avèrent d’autant plus réelles à chaque fois que l’on franchit un pas dans un monde virtuel.