Un immense avantage compétitif
L’été qui se termine n’a pas seulement apporté coups de soleil, blues de retour de vacances et chute des bourses asiatiques. La belle saison a également vu l’émergence d’une loi nouvelle sur l’archivage électronique, cette norme double qui concerne la numérisation et la conservation de documents. Nous interviewons à ce sujet Carlo Harpes, fondateur et directeur de la compagnie Itrust consulting, et dressons avec lui un bilan de la cybersécurité au Luxemboug.
Quels sont les dangers qui guettent les compagnies luxembourgeoises en matière de sécurité informatique?
La principale menace est le social engineering, une forme illicite d’acquisition d’information qui repose sur les failles humaines d’une personne liée à un système informatique. Le vol de mots de passe par ruse en est un exemple.
Dans le cadre d’une sensibilisation chez un client, nous proposons un test que nous avons développé face à cette menace. Nous jouons le rôle d’un voleur. Un vecteur d’attaque typique est l’email provenant d’une personne clé: l’employeur, le cadre,… Nous vérifions alors si l’individu testé suit les indications du message qui, contrairement aux apparences, ne provient pas de son chef. Ce piège a été développé dans la volonté d’éduquer les utilisateurs, et non pour les dénoncer à leur société; les résultats en sont donc anonymes.
L’espionnage est une source de revenu important. Même si celui des services secrets est le plus médiatisé, je suis convaincu que l’espionnage économique est le plus dangereux et le plus courant.
La situation du Luxembourg en ce domaine est-elle enviable en comparaison à celles de ses voisins?
Selon moi oui, la situation de la cybersécurité est meilleure au Luxembourg que dans d’autres pays. Bien que nous souffrions d’un marché très petit et de l’obligation de travailler en trois langues, le Grand-Duché a su proposer des solutions globales et innovantes. De plus, nous avons profité d’un milieu bancaire épanoui aux très hautes exigences de sécurité, intégrité, confidentialité et disponibilité. Aujourd’hui, ce secteur bancaire n’est plus, et de loin, le premier client en matière de sécurité de l’information. Ainsi les administrations publiques et européennes ont perçu l’enjeu de protection de toute la société et des infrastructures critiques contre les menaces, et la nécessité d’agir en conséquence.
Vous avez créé Itrust consulting il y a plus de huit ans. Quelles sont vos compétences?
Après autant d’années d’existence, nous ne sommes plus une start-up. Nous sommes désormais bien incrustés dans l’écosystème luxembourgeois. Notre core business est le conseil en matière de sécurité de l’information. Nous réalisons également des vérifications, des audits internes et externes et surtout des tests d’intrusion. De plus, la formation et la sensibilisation font également partie de nos prérogatives. Nous donnons notamment des cours à l’Université du Luxembourg, au sein de nos locaux ou bien en entreprise.
Nous nous distinguons d’autres sociétés IT car nous combinons nos fonctions avec de la recherche. Cela nous donne la possibilité de développer des services très innovants et nous apporte le recul nécessaire pour préparer l’avenir. Cette intense activité est essentielle pour servir au mieux nos clients, et également pour attirer les meilleurs collaborateurs, des experts qui désirent prendre le temps nécessaire pour maîtriser au mieux ce que la technologie a à offrir. En outre, nous sommes actifs en normalisation, ce qui nous donne des contacts intéressants également.
En parlant de normalisation, pouvez-vous me décrire le contenu de la nouvelle loi née cet été relative à l’archivage électronique?
L’archivage est en quelque sorte la mémoire du patrimoine d’une société. En effet, le patrimoine est de plus en plus composé d’informations et de connaissances; l’archivage électronique devient donc un secteur crucial pour les entreprises. Par conséquent, elles se doivent de sécuriser leurs données. Lorsqu’elles transmettent leurs informations à un prestataire professionnel, elles désirent une assurance, au-delà du simple intérêt économique, que leur patrimoine immatériel est entre de bonnes mains. Voilà le postulat de cette loi double qui régule à la fois l’aspect dématérialisation (la numérisation de documents analogiques) et la conservation (la création et la préservation à travers le temps d’archives numériques).
Cette régulation était inéluctable et met en évidence des exigences clés, comme par exemple la continuité de l’archive même au-delà d’une faillite de l’entreprise archiveur; la maîtrise technologique de la solution choisie; ou encore le maintien de la valeur légale de données archivées dans le temps. En effet, avant de pouvoir détruire un original, il faut s’assurer que l’élément dématérialisé ait la même valeur juridique, afin de pouvoir l’utiliser devant un tribunal par exemple. La loi explicite que si l’organisation qui réalise la dématérialisation est certifiée comme répondant aux exigences de sécurité demandées, le document dématérialisé est équivalent à son original papier, qui peut alors être détruit. Sans cette norme, les entreprises qui détruisent leurs originaux sont à la merci d’un débat d’experts sur la valeur d’une pièce électronique, si un plaignant ne reconnaît pas un document numérisé. La loi induit en ce sens la création d’une nouvelle accréditation professionnelle pour un nouveau genre de prestataire de service, le statut PSDC, Prestataire de Services de Dématérialisation ou de Conservation.
Etes-vous satisfaits du résultat?
Cette loi était grandement attendue dans notre milieu et nous sommes globalement très contents qu’une telle régulation existe enfin. Cependant la règle technique qui accompagne la norme est parfois trop compliquée à mettre en œuvre pour les prestataires, et comporte de plus quelques erreurs qui créent la confusion entre obligation et recommandation. Un groupe de travail composé d’experts en norme de sécurité et d’archivage s’est constitué pour commenter la loi. Dans notre compte-rendu, nous pointons ces défauts de structure. Nous nous exprimons notamment sur le sous-point 12.9.1.3. qui se développe en six pages d’exigences: une nomenclature absurde pour le lecteur prenant connaissance de la norme. Nos recommandations de restructuration ont déjà été transmises au Ministère. Celui-ci doit maintenant se donner les moyens de mettre à niveau cette règle.
Pensez-vous que vos revendications vont être écoutées?
Oui, je crois que nos conseils constructifs vont être appréciés. La question à l’heure actuelle est celle de la vitesse de réactivité. L’idéal serait que cette question soit réglée à la rentrée, pour pouvoir certifier les premières compagnies d’ici fin de cette année.
Cependant tous les éléments à considérer ne peuvent pas être clarifiés uniquement par une règle technique. La pratique et les problèmes qui se poseront concrètement dans les semaines à venir nécessiteront des adaptations également. L’un des soucis qui se posera est celui de la sous-traitance. Une compagnie désireuse d’exercer des activités d’archivage utilisera à son tour des prestataires, un fournisseur Cloud par exemple. Dans quelles mesures ces sous-traitants doivent-ils aussi répondre aux exigences demandées par la norme? Cette question mérite d’être précisées si nous voulons que cette loi soit un succès.
Nous avons la grande chance de rester pour encore quelques temps le seul pays au monde disposant d’une règle nationale pour cette activité, ce qui fait des entreprises luxembourgeoises du genre les toutes premières et seules prestataires d’une activité de numérisation et archivage de façon réglementée. D’ores et déjà les normes européennes se préparent. Si l’environnement n’est pas adapté très rapidement, les entreprises IT risquent de perdre cet énorme avantage compétitif, qui était pourtant le point d’origine de cette loi.
La société itrust consulting s. à r. l., créée en 2007, s’est donnée pour objectif principal le conseil en sécurité de l’information adaptée aux exigences métiers. Elle répond aux besoins croissants de la société de connaître et de maîtriser les risques liés à la confidentialité, l’intégrité, et la disponibilité des informations à traiter, en proposant du conseil, des audits, des méthodologies, des formations, mais aussi quelques outils comme p.ex. pour l’estimation quantitative de risques résiduels. La gamme de produits et services d’itrust consulting inclut :
1. Conseil en Management: itrust consulting apporte un conseil dans la conception d’un système de management de la sécurité, de l’organisation de projet, de la définition de projet de recherche, et surtout au déroulement d’une analyse de risques.
2.Assistance aux Responsables de la Sécurité des Systèmes d’Information: itrust aide à implémenter les normes ISO 270xx, gère des projets sécurité, réalise des audits complets externes, contribue à la certification, donne des avis externes sur les choix technologiques, met en œuvre des analyses légales ou des tests de pénétration.
3.Ingénierie de sécurité: itrust consulting accompagne des projets informatiques et de projets de recherche requérant des compétences techniques spécifiques (conception d’architecture de sécurité, formulation d’exigences de sécurité, PKI, cartes à puces, sécurité Internet, analyse de risques, protocoles cryptographiques,…)
4. Formation et sensibilisation: itrust consulting propose des enseignements ciblés en entreprise ou des campagnes de sensibilisation. L’élaboration du matériel didactique et des critères de mesure d’efficacité est réalisée en partenariat avec le client.