Comme nous pouvons suivre l’évolution des conditions météorologiques, securitymadein.lu compte développer un outil de suivi des tendances en cybersécurité.

«Les experts parlent entre eux, c’est utile. Mais c’est restrictif, l’information ne remonte que rarement ou trop lentement. Or, la cybersécurité nous concerne tous, estime Pascal Steichen, CEO, securitymadein.lu. A commencer par les entreprises. Comme nous suivons les prévisions météorologiques, j’estime normal de pouvoir suivre l’actualité de la cybersécurité : tendances, risques à venir, prévention immédiate… En qualité d’agence liée au Ministère de l’Economie, c’est notre rôle !»

Le projet est en cours. Il relève du C3 (Cybersecurity Competence Center), un des trois piliers de l’agence. C3 opère comme un centre de formation chargé de développer les compétences des collaborateurs de l’entreprise. «On met en place une approche basée sur le long terme, précise le CEO de securitymadein.lu. À côté des formations classiques, qui s’adressent aux collaborateurs d’une entreprise de façon plus individuelle, nous proposons des outils qui permettent de tester la réaction du groupe face à une attaque.»

En y simulant une attaque informatique et en analysant la réaction de chacun -pas seulement les responsables IT, mais aussi les collaborateurs d’autres secteurs de l’entreprise-, l’objectif est de faire comprendre que les solutions pour limiter les dégâts d’une telle attaque sont à 80 % non-techniques. «L’erreur serait de réduire la cybersécurité à une affaire de spécialistes. Notre message, au Ministère de l’Economie, est clair : la cybersécurité est l’affaire de tous… comme la sécurité routière !»

Un effort important, reconnu à l’international

En 2020, securitymadein.lu soufflera dix bougies. Depuis 2010, l’année où fut découvert le virus Stuxnet, Security Made In Lëtzebuerg (securitymadein.lu) intervient en urgence en entreprise en cas d’incident cyber et forme toutes les personnes intéressées aux bonnes pratiques en la matière. «Pour beaucoup, nous sommes des pompiers !» C’est la mission du CIRCL (Computer Incident Response Center Luxembourg), deuxième pilier de l’agence. En somme, stabiliser la situation, identifier et cerner les menaces. Mais aussi conseiller l’entreprise sur les éléments à mettre en place pour se prémunir d’une nouvelle attaque.

Ces missions d’urgence sont bien évidemment nécessaires. Selon l’UIT (Union Internationale des Télécommunications), le Luxembourg se classe au 11e rang sur 175 pays évalués en 2018. Il figure en 7ème position dans la région ‘Europe’, sur 46 pays évalués. À l’occasion de la précédente édition, publiée en 2017, le Luxembourg occupait le 36ème rang au niveau mondial, respectivement la 20ème place au niveau européen.

L’apport de CASES

Soulignons ici que plusieurs bonnes pratiques en cybersécurité au Luxembourg ont été reprises dans la partie narrative du rapport, afin de servir comme exemples positifs pour d’autres pays, notamment la plateforme MISP (Malware Information Sharing Platform) du CIRCL, utilisé par d’autres CSIRT (Computer Security Incident Response Teams) de par le monde. Les activités de coopération des différents CERT au Luxembourg, ainsi qu’en matière de recherche (SnT) ou de sensibilisation des jeunes (BEE-SECURE) ont également été mises en exergue.

L’apport de CASES, ici, est indéniable. CASES (Cyberworld Awareness and Security Enhancement Services), troisième pilier, offre des services de sensibilisation, de prévention et d’éducation à tous les acteurs professionnels publics et privés. CASES entretient un site Internet didactique ainsi que la plateforme d’analyse de risques MONARC et un guide de rédaction de politiques de sécurité. CASES propose un catalogue de services de formation et est agent de formation pour le gouvernement au niveau de l’Institut national d’administration publique (INAP).

Un éco-système autour de la cyber-sécurité

«Le fuel de la numérisation, ce sont les données, leur manipulation et leur gestion, renchérit Pascal Steichen. C’est cela qui guide l’économie. La ‘data driven economy’ est là, à notre porte. Par ailleurs, la réglementation du traitement des données favorise le développement de l’économie digitale…».

Outre la protection de ses entreprises en général, le Luxembourg veut également développer son savoir-faire. La cyber-sécurité devient un secteur d’activité à part entière. 74 entreprises en ont fait leur core business. 50% de celles-ci sont nées durant les cinq dernières années. Il apparait aussi que les start-up représentent 20% de l’écosystème de la cyber-sécurité (57% sont hébergées dans un incubateur).

«Outre ces entreprises, il s’agit de considérer l’écosystème dans sa globalité. C’est d’ailleurs une particularité du Luxembourg avec des acteurs issus tant du domaine public que du domaine privé. Au départ d’un besoin, nous sommes en train de créer un savoir-faire de tout premier plan que nous comptons bien faire connaître par-delà nos frontières…»