La Luxembourg House of Cybersecurity a été réorganisée, fin 2022. Pouvez-vous nous détailler son fonctionnement actuel?
. – «Cette restructuration vise à rendre son organisation plus cohérente par rapport à ce qui se fait à l’échelon national et européen. En effet, au Luxembourg, le Haut-Commissariat à la protection nationale (HCPN), qui se concentre sur la cybersécurité des structures publiques et de l’infrastructure critique, compte deux pôles: l’un dédié à la réponse aux incidents et l’autre qui agit proactivement afin de prévenir les risques. Au niveau européen aussi, l’European Cybersecurity Competence Centre (ECCC) et l’European Union Agency for Cybersecurity (ENISA) couvrent ces deux besoins en réactivité et proactivité.
Nous avons voulu nous organiser de la même manière au sein de la Luxembourg House of Cybersecurity avec, d’une part, le Computer Incident Response Center Luxembourg (CIRCL), qui peut réagir rapidement en cas d’attaque et, d’autre part, le National Cybersecurity Competence Center (NC3), qui fait de la prévention. L’accent mis sur l’accompagnement des entreprises reste toutefois le même. Notons que l’écosystème de la cybersécurité au Luxembourg est chapeauté par le Premier ministre et un comité interministériel dédié, présidé par le HCPN, qui établit une stratégie commune en matière de cybersécurité, basée sur celle de l’UE.
La nature de la menace a-t-elle évolué au cours des dernières années? Varie-t-elle selon qu’elle vise une structure publique ou privée?
«En réalité, environ 80% des attaques détectées ne sont pas dirigées vers un acteur en particulier, qu’il soit public ou privé. Les pirates vont s’engouffrer dans la première faille qu’ils trouvent et entrer dans une machine, puis un système. Cet opportunisme doit inciter l’ensemble des organisations à se protéger.
Depuis 2006-2007, il est clair que le monde de la cybercriminalité s’est professionnalisé.
Les 20% restants sont des attaques plus spécifiques, qui varient en fonction de l’actualité. Pendant la pandémie, beaucoup d’acteurs de la santé ont été touchés, tout comme les plateformes proposant de la vidéoconférence. Aujourd’hui, nous sommes davantage confrontés à des attaques sur des sociétés actives dans l’énergie, en lien avec ce qui se passe en Ukraine. Ces attaques sont souvent les plus médiatisées, mais elles ne représentent que la partie émergée de l’iceberg.
Depuis 2006-2007, il est clair que le monde de la cybercriminalité s’est professionnalisé. Une économie parallèle s’est construite petit à petit, avec des entreprises qui offrent leurs services de cybercriminalité et qui se concurrencent les unes les autres. Les cybercriminels sont désormais, pour la grande majorité, membres d’organisations complexes et bien structurées.
Disposez-vous de données sur le nombre et le type d’attaques menées au Luxembourg?
«Le CIRCL met en effet à disposition une série de chiffres qui comptabilisent le nombre de tickets ouverts par ses services chaque année. Depuis 2018, nous constatons qu’environ 1.000 tickets sont ouverts chaque année, avec des pics en 2020 et 2021, années de la pandémie. Au niveau du type d’attaques, nous notons que le phishing reste l’un des principaux types de menaces.
Comment lutter contre ce phénomène, sachant qu’il s’agit d’un type d’attaque qui profite avant tout de la naïveté de certains utilisateurs?
«Beaucoup d’efforts ont déjà été réalisés. Mais si la sensibilisation a progressé, l’efficacité des cybercriminels aussi. Ils développent aujourd’hui des campagnes de phishing bien plus sophistiquées qu’il y a quelques années.
Aujourd’hui, la cybersécurité fait partie du top 5 des préoccupations des entreprises.
Pour expliquer la prégnance de ce type d’attaque encore aujourd’hui, il faut évoquer la digitalisation accrue de certains secteurs qui n’avaient pas encore fait beaucoup de chemin en la matière. Je pense par exemple à l’industrie. Dans ces domaines, il arrive qu’on fasse encore des erreurs grossières parce que l’on n’a pas la culture de la cybersécurité. Pour les cybercriminels, c’est évidemment le jackpot: ils disposent de portes d’entrée facilement accessibles et ne se privent pas de les enfoncer.
La cybercriminalité est un combat permanent et, en ce qui concerne le phishing, il faut donc continuer à répéter quels sont les bons gestes à adopter, ce qu’il ne faut surtout pas faire… C’est un peu comme pour la ceinture de sécurité: elle existe depuis des décennies, mais on fait encore des campagnes aujourd’hui pour inciter les gens à la boucler.
Avez-vous tout de même le sentiment que les organisations accordent désormais plus d’importance à la cybersécurité?
«Oui, la sensibilité au sujet a considérablement augmenté, car tout le monde en parle: le Forum économique mondial, les grands acteurs de l’assurance, les groupes de consultance, etc. Aujourd’hui, la cybersécurité fait partie du top 5 des préoccupations des entreprises. Les plus petites structures, avec lesquelles nous sommes le plus souvent en contact, sont aussi mieux sensibilisées qu’avant. Il y a quelques années, on devait encore expliquer aux gens ce qu’était la cybersécurité. Aujourd’hui, ces entreprises nous demandent directement ce qu’elles peuvent faire pour mieux se protéger.
Concrètement, comment aidez-vous les entreprises à se protéger ou à bien réagir en cas d’attaque?
«Au sein de la Luxembourg House of Cybersecurity, notre leitmotiv est “Don’t suffer in silence”. Notre priorité est que chaque organisation au Luxembourg sache qui contacter lorsqu’une attaque est constatée ou suspectée. Chacun doit savoir que notre mission de service public est précisément d’assister les entreprises dans de telles situations.
Il est essentiel, à ce niveau, de développer d’abord des compétences permettant d’accélérer la détection des cyberattaques.
Par ailleurs, nous accompagnons aussi les sociétés qui le souhaitent dans la définition d’une feuille de route leur permettant de mieux se protéger. Nous sommes d’avis qu’il est essentiel, à ce niveau, de développer d’abord des compétences permettant d’accélérer la détection des cyberattaques. Il faut savoir qu’entre l’incursion d’un hacker dans un système et sa détection, il se passe en moyenne 200 jours.
Ensuite, nous pouvons travailler ensemble pour identifier les risques propres à chaque entreprise et construire un dispositif de protection efficace. Nous essayons toutefois d’être le plus pragmatiques possible, considérant que, pour de nombreuses PME, il n’est pas possible d’allouer en une fois autant de moyens à cette thématique. Nous procédons donc pas à pas, en les aidant à identifier leurs besoins, puis en les orientant vers les bons fournisseurs de services.»
Cet article a été rédigé pour le supplément de l’édition de parue le 20 juin 2023. Le contenu du magazine est produit en exclusivité pour le magazine. Il est publié sur le site pour contribuer aux archives complètes de Paperjam.
. Votre entreprise est membre du Paperjam+Delano Business Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via