Pour Michael Hofmann, il est dangereux de croire que le Luxembourg échappe à la cybercriminalité internationale. (Photo: KPMG)

Pour Michael Hofmann, il est dangereux de croire que le Luxembourg échappe à la cybercriminalité internationale. (Photo: KPMG)

Monsieur Hofmann, quel est le panorama légal en matière de cybercriminalité?

«Tout d’abord, je tiens à préciser que le Luxembourg est clairement la cible d’attaques cybercriminelles internationales. Croire que le pays est trop petit ou pas assez intéressant pour ce type de menace est naïf et constitue une erreur qui pourrait se révéler fatale. Il existe de nombreuses initiatives gouvernementales et privées en charge de la protection et de l’aide aux individus et aux entreprises faisant l’objet d’attaques: le CERT, Security made in Luxembourg (Smile), le Computer Incident Response Center Luxembourg (Circl), pour n’en citer que quelques-unes.

Dès lors, il est nécessaire d’adapter certaines lois aux évolutions de cette problématique. En ce qui concerne la protection de données, il existe encore et toujours une disproportion des conséquences légales lors de cyberattaques. Pour donner un exemple, l’amende infligée peut être plus sévère pour l’entreprise attaquée que pour le hacker. Avec le futur règlement européen de droit de protection, ces amendes peuvent s’élever jusqu’à 100 millions d’euros pour les entreprises qui n’ont pas su protéger leurs données, alors qu’un hacker qui ne se trouve pas sur le territoire luxembourgeois/européen se verra très difficilement jugé devant un tribunal.

Comment se protéger en tant qu'entreprise?

«Le Luxembourg est une plateforme où le nombre d’acquisitions et de fusions est très important. Les hackers ciblent les informations confidentielles des entreprises ainsi que les données brevetées en recherche et développement. Avant toute chose, chaque organisation devrait se doter d’une gouvernance contenant l’ensemble des règlementations en vigueur. Il conviendrait également de comprendre que laisser la cybersécurité uniquement dans les mains des experts informatiques constitue une erreur stratégique. La direction d’une entreprise doit se sentir à l’aise avec le risque consciemment pris. Ce dernier doit être suivi de près et réajusté le cas échéant. Pour cela, il est impératif de savoir quoi définir et de pouvoir localiser la 'Mona Lisa' de la firme. La direction devra donc déterminer exactement le ou les élément(s) qu’il faut impérativement protéger et en avoir une connaissance parfaite. Il est impossible et onéreux de tout protéger. Des choix doivent être faits et pour chacun d’entre eux, il convient de déterminer le risque encouru, sa nature et la réponse à apporter. Trop souvent, les entreprises estiment que la cybersécurité n’arrive pas au niveau du conseil d’administration, c'est ce que révèle notre étude. Or elle n’est pas qu’une question technique de calculs et de chiffres, elle va bien au-delà! 

Les entreprises sont-elles généralement conscientes des risques encourus?
«Beaucoup d’entreprises ont tendance à penser que les risques existent là où il y a de l’argent (c’est à dire des attaques sur les cartes de crédit, les comptes bancaires, etc.). Or, dans le secteur de la santé, par exemple, les données ont une valeur d’échange sur le marché noir bien plus élevée que les données financières. Certaines données peuvent être utilisées à plus long terme, ce qui peut notamment avoir des conséquences pour les primes d’assurance. Ce deuxième type d’attaques est en constante augmentation».