POLITIQUE & INSTITUTIONS

Table ronde

Une question d’organisation



5_631x800_tr.jpg

Longtemps considérée comme une spécificité technique sous l’unique responsabilité des services IT, la cybersécurité a désormais toute sa place dans l’agenda des entreprises luxembourgeoises. Même si leur degré de maturité sur ce sujet doit encore s’améliorer.

C’est désormais un acquis. La notion de protection de son cyberespace est comprise, le concept de cybersécurité assimilé, et la volonté d’adapter ses outils et son organisation à ces nouveaux enjeux bien réelle. Bref, le secteur privé luxembourgeois a tout compris à l’importance de ce sujet, et ce n’était pas gagné d’avance.

«Cette prise de conscience est récente et touche tous les secteurs de l’économie, inclusivement ceux qui sont moins liés aux outils digitaux, comme l’artisanat», confirme Pascal Steichen, le CEO de Securitymadein.lu, le service public d’aide aux entreprises sur les problématiques de cybersécurité. «Les PME s’intéressent activement à ces questions, notamment grâce à un gros effort de sensibilisation des chambres professionnelles.»

La médiatisation de cyberattaques internationales, comme WannaCry en début d’année, ou plus confidentielles, comme celle qui a touché Deloitte et dont la presse a fait l’écho au mois de septembre, ont sûrement également joué.

Les patrons se posent les bonnes questions, mais dans les faits, leurs systèmes informatiques sont mis à jour trop peu régulièrement.

François ThillFrançois Thill, Directeur cybersécurité (Ministère de l’Économie)

Mais être conscient de ses vulnérabilités et se convaincre de l’importance de la cybersécurité ne signifie pas être irréprochable en la matière. Et même si les efforts de sensibilisation sont nombreux, la capacité des entreprises luxembourgeoises à se protéger face aux risques de cyberattaques n’est pas à la hauteur.

«Le degré de maturité est encore très faible, même si nous ne sommes pas une exception au niveau européen», reconnaît François Thill, le directeur du service Cybersécurité au ministère de l’Économie. «Les patrons se posent les bonnes questions, mais dans les faits, leurs systèmes informatiques sont mis à jour trop peu régulièrement. Beaucoup de PME travaillent toujours avec des proches pour gérer leurs problèmes informatiques, au lieu de faire appel à des experts.»

Des pompiers du cyberespace

L’État a eu soin ces dernières années de constituer une infrastructure solide pour aider les entreprises à mieux connaître la spécificité des risques liés à la cybercriminalité, mais aussi un système de «premiers secours» en cas d’une cyberattaque d’importance.

Le groupe d’intérêt économique Smile, pour Security made in Lëtzebuerg, a été créé en 2015 et offre aujourd’hui deux types de services. Le premier est un centre de réponse en cas d’incidents, le Circl (Computer Incident Response Center). Joignable à tout moment, il est là pour soutenir les acteurs privés en cas d’urgence.

Le deuxième se présente sous forme de conseil pour la mise en place d’une stratégie de cybersécurité adaptée. L’objectif de ces initiatives est de créer un écosystème solide au niveau national pour rassurer les entreprises.

«C’est un peu comme dans le domaine de la protection incendie. Les pompiers sont financés par l’État et viennent quand le feu s’est déclaré. Mais cela n’empêche pas les entreprises d’investir en amont dans la prévention incendie pour éviter toute catastrophe», rappelle toutefois Pascal Steichen.

Il ne s’agit pas de faire de la concurrence aux prestataires privés, mais de collaborer.

Pascal SteichenPascal Steichen, CEO (Securitymadein.lu)

L’inauguration, le 12 octobre dernier, du centre de compétences C3 doit être la dernière pierre de l’écosystème public que le gouvernement cherche à mettre en place. Des formations y seront proposées, mais aussi des simulations de cyberattaques. L’idée étant de réunir toutes les personnes d’une même entreprise, qui devront être en mesure de s’impliquer en cas d’incident, du département juridique à la direction, en passant par le service Communication et, bien évidemment, informatique.

«Il ne s’agit pas de faire de la concurrence aux prestataires privés», complète Pascal Steichen. «Nous voulons plutôt collaborer en les impliquant dans nos initiatives et avoir un rôle de mise en relation entre les fournisseurs de services et les entreprises qui souhaitent se protéger.»

Une question d’organisation

Le Règlement général sur la protection des données (RGPD), qui entrera en vigueur à partir du 24 mai prochain, a sûrement été un bon stimulant. Il obligera non seulement toutes les entreprises européennes à assurer la confidentialité des données personnelles qu’elles possèdent, mais aussi à être capables de les protéger. Loin d’être un nouveau poids réglementaire, les experts estiment que cette directive va permettre à chaque société de se poser les bonnes questions.

«Le conseil premier du RGPD est de collecter, stocker et conserver uniquement les données dont on a besoin», précise d’ailleurs Cédric Mauny, le manager du service Cybersécurité de Telindus. «Il faut mener une réflexion approfondie sur la notion de gestion des risques et se demander où sont nos points faibles pour se concentrer sur ces derniers en priorité, car les ressources ne sont jamais illimitées.»

Une politique de cybersécurité performante est autant liée à une bonne organisation en interne qu’à la pertinence des solutions techniques.

Cédric MaunyCédric Mauny, Senior manager of the cybersecurity department (Telindus)

Limiter la quantité des données sensibles stockées dans des serveurs internes peut donc être une façon simple d’augmenter sa capacité à se protéger. Car une protection totale est illusoire, et le risque zéro n’existe pas. Une autre manière d’améliorer son exposition aux risques, et dont le coût est proche de zéro, est la mise en pratique de certaines règles très simples.

«Il faut savoir que le succès d’une politique de cybersécurité est autant lié à une bonne organisation en interne qu’à la pertinence des solutions techniques», note Cédric Mauny. «La préparation, l’anticipation et le test régulier de ses procédures sont essentiels. Il faut donc avoir établi une relation de confiance avec son opérateur de sécurité, pour que celui-ci connaisse bien l’environnement de l’entreprise et soit apte à réagir rapidement en cas d’incident.»