Il y a moins de 20 ans, le virus «I Love You» semait la pagaille à travers la planète. Pendant 10 jours, ce malware s’est propagé à travers tous les réseaux, infectant plus de 50 millions de machines et causant entre 5,5 et 8,7 milliards de dollars de dégâts. «10% des ordinateurs connectés à internet ont été touchés», a expliqué Pascal Steichen, le CEO de Securitymadein.lu, la plate-forme nationale pour la promotion de la cybersécurité. Il intervenait en introduction de l’événement «Cybersecurity for successful innovation: Challenges and tools» organisé le 17 octobre par Luxinnovation dans le cadre de la semaine de la Cybersécurité.
«I Love You» fut l’élément déclencheur d’une grande réflexion qui mena, en 2002, à la publication par l’OCDE de guidelines en matière de sécurité informatique. Un an plus tard, le Luxembourg lançait sa première initiative en la matière, avec la création de Cases.lu, Cyberworld Awareness and Security Enhancement Services.
«La période 2008-2012 a été une période charnière pour l’écosystème», a rappelé M. Steichen, évoquant les créations successives du Computer Incident Response Center Luxembourg (Circl) en 2008, de l’initiative Bee Secure (fruit d’un partenariat entre les ministères de l’Économie, de l’éducation nationale et de la Famille) en 2009 et de Securitymadein.lu en 2010, regroupant les plateformes Cases et Circl. De tout cela a découlé la première stratégie nationale mise en œuvre à partir de 2012.
En 2018, enfin, Securitymadein.lu a ajouté une troisième corde à son arc, avec la création du Cybersecurity Competence Center, alors que la problématique de la cybersécurité est de plus en plus prégnante. «Être en permanence connecté à l’aide de différents appareils nous aide évidemment au quotidien, mais augmente aussi les risques potentiels et l’exposition aux menaces», a rappelé M. Steichen.
Un écosystème bien rôdé
Cette structure publique a largement contribué au développement d’un véritable écosystème privé au Luxembourg, décrit dans la cartographie présentée à l’occasion de l’ouverture de cette Cybersecurity Week.
Elle recense 304 entreprises qui sont totalement ou partiellement actives dans cette matière, dont 74 (employant un millier de personnes) ont la cybersécurité comme activité principale. 22% de ces 304 entreprises sont des start-up, dont plus d’un tiers ont la cybersécurité comme activité principale.
«Les solutions proposées par ces entreprises concernent notamment la gouvernance, la gestion du risque et la compliance; la gestion des accès et la sécurisation des données», a résumé M. Steichen, qui a pu tirer un bilan très positif de ces deux décennies écoulées. «Construire une telle culture de la sécurité prend du temps. Le pragmatisme et la persévérance sont essentiels et il est important d’avoir une stratégie, en commençant à un petit niveau mais en évoluant rapidement.»
Et de se réjouir que le gouvernement se soit impliqué dès le début, afin de donner l’impulsion nécessaire, «mais il est important que le cadre de son intervention soit bien défini, afin d’encourager et non pas entraver la concurrence sur le marché.»
Des menaces toujours plus sophistiquées
Dans ce marché, certains gros acteurs se sont fait une réputation mondiale, comme Kaspersky, groupe international spécialisé dans la sécurité des systèmes d’information (antivirus, anti-spyware, anti-spam…) fondée il y a 22 ans.
Timur Biyachuev, VP Threat Research chez Kaspersky Lab, a rappelé que si en 1994, il se créait en moyenne un virus chaque heure au niveau mondial, on recense aujourd’hui 360.000 nouveaux cas par… jour.
«Les menaces les plus sophistiquées d’aujourd’hui sont très ciblées», a indiqué M. Biyachuev. «Aucun fournisseur de sécurité n’a une visibilité totale sur toutes les attaques et menaces existantes.» Pour le seul premier semestre 2019, 105 millions d’attaques provenant de 276.000 adresses IP uniques ont été détectées par Kaspersky.
Le déploiement exponentiel des objets connectés augmente, statistiquement, la survenance d’attaques. «40% des immeubles dits ‘intelligents’ ont été attaqués au cours du premier semestre», a-t-il indiqué. «La protection ‘simple’ des infrastructures n’est plus suffisante. Dans le futur, les risques de dommages sont de plus en plus importants pour les citoyens, puisque tous les systèmes sont de plus en plus interconnectés, y compris entre les villes elles-mêmes. Nous devons tous nous demander si nous sommes prêts pour l’avenir».
Luxembourg, le bon endroit
Les exemples cités ensuite par Dr.-Ing. Marcus Völp, Research Scientist CritiX au sein de l’Interdisciplinary Centre for Security, Reliability and Trust (SnT) de l’Université du Luxembourg, ont parfaitement illustré ce propos: prises de contrôle de véhicules connectés à partir d’un simple laptop; piratage de matériels de santé; accès à des milliards de données médicales de patients privés… «Au cours des dernières années, nous avons assisté à une plus grande sophistication des attaques alors que, dans le même temps, le niveau de connaissance requis pour développer de telles attaques a diminué», a noté M. Völp. «Il est très facile d’acquérir des outils et des logiciels sur le Darknet.»
Devant cette recrudescence des menaces, les «meilleures pratiques» habituelle ne suffisent plus. «Être capable d’aller au-delà de ces ‘meilleures pratiques’ constitue un argument fort. Le Luxembourg constitue le bon endroit pour cela, au bon moment: le pays est suffisamment agile et flexible et dispose de solides supports en matière de recherche académique et de transfert de technologies.»
Intégrer l’humain
Il faut dire que la matière est particulièrement riche quant à la façon de l’aborder, comme en témoignent quelques données présentées par Jurgen De Wever, Strategy Manager chez Siemens Digital Industries Belux. «90% des attaques ayant réussi se sont appuyées sur des vulnérabilités déjà corrigées précédemment. Et 34% des entreprises disposant de systèmes d’automatisation et de contrôle des processus ont été attaquées plus de deux fois en 12 mois.» Et d’indiquer que 44% des entreprises attaquées ne sont pas en mesure d’identifier la source de l’incident. En 2015, le temps moyen pris par une entreprise pour identifier une attaque a été de… 205 jours. «Largement le temps de faire faillite» a ironisé M. De Wever.
Alors que la tendance vers une digitalisation accrue est en plein développement, le monde industriel est encore partiellement épargné par le phénomène, car il y a encore beaucoup de process qui sont manuels. «Mais le défi est, clairement, d’être en mesure d’intégrer tous les aspect de la question, entre les impératifs de la sécurité IT et ceux de la sécurité des technologies opérationnelles.»
L’autre défi consiste également à ne pas se tromper dans l’approche à adopter: «Le plus grand risque vient non pas de l’extérieur, mais de l’intérieur», affirme M. De Wever. «Il faut clairement avoir en tête cet aspect des choses à chaque démarche: c’est aussi la façon dont sont utilisées ces nouvelles technologies qui influe sur la stratégie à mener en matière de cybersécurité.»
Un avantage compétitif
Cette dimension «humaine» a également été mise en avant lors de deux petites tables rondes qui ont complété le programme de cette matinée riche en informations et en échanges. Elles ont aussi permis de mettre en avant la nécessité d’intégrer la cyber-sécurité dans les réflexions stratégiques des entreprises. «L’intérêt d’un tel événement cross-sectoriel est en effet de montrer que cette thématique n’est pas réservée aux seuls spécialistes des technologies, mais concerne directement tous les niveaux de direction d’une entreprise», explique Jean-Paul Hengen, manager du Luxembourg ICT Cluster. «Mettre en place des infrastructures de cybersécurité ne doit pas être considéré comme un coût, mais bel et bien comme un avantage concurrentiel. C’est d’ailleurs comme ça que le gouvernement luxembourgeois voit la cybersécurité.»
Photos : Luxinnovation / Marie De Decker
