En octobre prochain, une nouvelle édition de la Cybersecurity Week sera organisée au Grand-Duché de Luxembourg. L’événement vise à promouvoir les nouvelles approches de cybersécurité mais surtout à sensibiliser les professionnels à ces enjeux digitaux. Rencontre avec Pascal Steichen, le CEO de SECURITYMADEIN.LU, qui prendra une part active à cette semaine d’échange de bonnes pratiques, pour discuter de l’apport des stratégies de cybersécurité ainsi que du rôle qu’occupe actuellement le Luxembourg dans l’Europe numérique.

Tous acteurs de la cybersécurité

Le nombre croissant de cyberattaques, menaces et vulnérabilités le prouve : il est aujourd’hui impossible pour les entreprises, de la multinationale à la PME locale, d’ignorer les enjeux colossaux de la cybersécurité. Comme l’explique Pascal Steichen, ce phénomène est dû à la digitalisation généralisée de la société dans laquelle nous évoluons désormais, exposant les entreprises à des attaques toujours plus virulentes et sophistiquées : « Nécessairement, ces questions sont désormais à l’agenda des conseils d’administration, car les sociétés risquent gros si elles ne mettent pas en place une stratégie de cybersécurité ».

Le CEO de SECURITYMADEIN.LU souligne une véritable prise de conscience de la part des CEO et décideurs, faisant notamment suite aux législations nationales et européennes en matière de protection des données, et remarque que les processus de gestion de risque et d’anticipation des menaces, sont discutés fréquemment. « Si le sujet peut parfois sembler être trop technique, voire mystique, les interactions avec les gérants et responsables d’entreprise se multiplient. Cette problématique n’est pas réservée qu’aux experts : la cybersécurité, c’est l’affaire de tous ! » souligne Pascal Steichen.

En effet, les enjeux liés à la sécurité des entreprises sont cruciaux et il en va de la survie de celles-ci. Une des approches aujourd’hui plébiscités consiste à intégrer ces questions de cybersécurité dans une police d’assurance, permettant à l’entreprise de bénéficier d’un « filet de secours en cas d’incident ». « Nous parlons alors de cyber assurance et notons que ce type d’approche va permettre de développer plus rapidement l’implication des CEO et des décideurs, » ajoute le CEO de SECURITYMADEIN.LU.

Combiner compétences humaines et innovations technologiques

Pour une protection optimale, Pascal Steichen et les experts de SECURITYMADEIN.LU préconisent une stratégie complète et holistique, couvrant tous les aspects de la cybersécurité. « Le côté technologique, avec la mise en place de solutions et outils adéquats, est important bien qu’il ne faille absolument pas délaisser l’aspect organisationnel. En effet, celui-ci est crucial car il consiste à mettre en place une structure claire en définissant notamment les responsabilités de chacun et impliquant toutes les parties prenantes. Enfin, le côté humain reste fondamental car il doit permettre d’atteindre un certain niveau de sensibilisation afin de gérer les situations journalières.

Pour résumer, la cybersécurité doit intégrer la culture d’entreprise ! » explique-t-il. En effet, une externalisation totale ne semble pas être la stratégie à adopter, car suite aux dernières règlementations, la responsabilité reste l’affaire de la structure : les ressources humaines internes doivent dès lors être compétentes et développer les réflexes de premiers secours afin de permettre une réaction rapide. Fort heureusement, de nombreux documents, références et modèles sont mis à disposition des sociétés luxembourgeoises, leur permettant de mettre le pied à l’étrier. « C’est justement l’un des rôles de SECURITYMADEIN.LU d’accompagner les entreprises dans ces démarches, et c’est la raison pour laquelle notre structure se compose de trois domaines d’action : techniques, organisations et compétences, » ajoute le CEO du GIE luxembourgeois. Quant à l’intelligence artificielle, elle pourrait également peser dans la balance, et offrir de nouvelles opportunités en matière de cybersécurité, tout en amenant son lot de menaces : « Aujourd’hui, il est préférable de parler d’algorithmes qui peuvent assister les équipes sécurité car ils permettent une analyse plus rapide et peuvent détecter facilement certains cas d’intrusion. Cependant, c’est la globalité de la stratégie de cybersécurité qui permettra à l’entreprise de naviguer sereinement dans le cyber espace, et se reposer uniquement sur un logiciel prometteur ou une innovation technologique ne donne pas toutes les garanties nécessaires à la sécurisation de l’entreprise et de ses données sensibles ».

Le Luxembourg, pionnier de la cybersécurité

De l’aveu de Pascal Steichen, la maturité des entreprises locales en matière de cybersécurité s’améliore continuellement : les expertises et compétences se construisent au sein des entreprises. C’est le constat positif que tirent ses experts de CIRCL (Computer Incident Response Center Luxembourg), véritable « pompier d’internet », actif depuis maintenant 10 ans, alors que les premières initiatives en cybersécurité au Luxembourg remontent à l’année 2000, avec CASES (Cyberworld Awareness and Security Enhancement Services), plateforme de sensibilisation et des bonnes pratiques. Ces projets orchestrés par le gouvernement luxembourgeois et opérés par SECURITYMADEIN.LU sont également décuplés par la volonté grandissante des entreprises – clients et fournisseurs – de produire des efforts communs autour de telles thématiques, avec au centre de ces échanges la notion « security by design ». Comme l’explique l’expert en cybersécurité, « les solutions estampillées « made in Luxembourg » prolifèrent et on retrouve aujourd’hui au Grand-Duché un écosystème complet regroupant tous les acteurs nécessaires à la mise en place de stratégies fortes. Diversité et complémentarité y sont les maître-mots ».

Au centre de cet écosystème, SECURITYMADEIN.LU occupe un rôle fédérateur en développant des relations régulières avec les experts locaux, notamment via l’organisation de petits déjeuners permettant l’interaction et le partage de bonnes pratiques. Le GIE gère également une plateforme de « Threat Intelligence », connue sous la dénomination MISP, compilant des informations spécifiques, techniques et détaillées sur des menaces et vulnérabilités actuelles, que les équipes opérationnelles peuvent utiliser à leur guise.

Pour Pascal Steichen, l’échange est la clé : « Cela permet d’éviter la redondance, mais surtout de bénéficier des expériences des différents membres de cet écosystème. Il est important que nous ayons tous les mêmes sensibilités quant aux cyber menaces : fournisseurs de solutions, institutions publiques et responsables IT, mais également tous les autres départements de l’entreprise, du marketing à la finance, en passant par les experts juridiques ».

Au cœur de futurs projets locaux et européens

Le Luxembourg, avec l’ouverture du C3 (Cybersecurity Competence Center) œuvre par la même occasion à la création d’infrastructures et plateformes communes, mais également à la formation. Le développement des compétences dans le secteur de la cyber sécurité couvre en effet un éventail très vaste, allant de la sensibilisation (ou l’acquisition des bons réflexes), jusqu’à la mise en place de programmes et cursus universitaires complets (en collaboration avec l’Université de Luxembourg et avec d’autres institutions situées dans la Grande Région). Avec le programme BEE SECURE, plus de 15 000 étudiants sont sensibilisés chaque année, dès leur plus jeune âge, aux principaux enjeux de la cybersécurité. Les nouveaux fonctionnaires, dès leur embauche, suivent quant à eux une session visant à les informer des dangers des cyberattaques. « Ces différentes initiatives ne visent pas à créer des experts, mais bien à sensibiliser, à inculquer les réflexes de base. Il s’agit d’efforts à long terme, car la cybersécurité demande finalement de changer la structure d’une société, sa culture, ainsi que les comportements des employés. De plus, il s’agit d’un apprentissage continue, le domaine évoluant constamment, » souligne le CEO de SECURITYMADEIN.LU, dont les équipes travaillent actuellement à la mise en place d’un observatoire de la cybersécurité. Ce nouveau service dont la mission sera d’informer sur les dernières tendances du secteur à travers des rapports documentés, devrait être déployé en parallèle d’une infrastructure de testing afin de permettre aux entreprises et individus de régulièrement tester puis, si cela est nécessaire, de renforcer leurs compétences.

Enfin, la Commission Européenne ambitionne quant à elle de créer un réseau mêlant innovation, recherche ou encore développement des compétences dans le domaine de la cybersécurité. « Aux côtés de l’Université et du LIST, SECURITYMADEIN.LU est l’un des acteurs luxembourgeois qui participe activement à ce réseau dont la mission est de renforcer la position de l’Europe dans cet environnement numérique. Le Grand-Duché, avec son dynamisme et ses nombreux initiatives locales, y tiendra un rôle important » termine Pascal Steichen.