Voir la Sécurité comme une Innovation

Du 19 au 21 avril se déroulera le Workshop Advanced Data Collection and Risks, un événement inédit sur le thème de la sécurité et des risques, coordonné par Miguel Martins, Head of Research and Development chez itrust consulting. Cet événement destiné aux entreprises mettra en lumière différents aspects de la sécurité de l’information, un sujet qui bouleverse les modèles entrepreneuriaux… Mais aussi le secteur public, selon Carlo Harpes, directeur et fondateur de cette entreprise experte en la matière.
itrust consulting est connu au Grand-Duché pour son expertise en termes de sécurité de l’information. Vous offrez vos conseils et réalisez des vérifications, des audits ainsi que des tests d’intrusion. Que proposez-vous encore?

CH: Depuis la naissance de notre société en 2007, nous avons comme stratégie d’innover en participant à des projets de recherche internationaux. De plus, la formation et la sensibilisation nous préoccupent beaucoup. C’est dans cette perspective de partage que nous organisons l’ADaCoR ou Advanced Data Collection and Risks Workshop. Durant trois journées, du 19 au 21 avril prochain, des ateliers et exposés mettront en lumière différents sujets «sécurité et risque», avec un focus particulier sur la collecte massive de données.
MM: Chaque journée contiendra des présentations didactiques, des retours d’expériences de cas pratiques, et des discussions modérées entre experts. La première se centrera sur la problématique de la collecte de données, en vue d’une meilleure gestion des incidents de sécurité et des risques. Le deuxième jour sera consacré au sujet de l’Internet of Things qui implique une grande série de services futurs liés aux maisons intelligentes, aux voitures intelligentes ou encore aux Smart Cities. Conséquence: encore plus d’informations circuleront et poseront de nouveaux problèmes de sécurité. Nous avons eu la chance de remporter récemment un projet européen, nommé bIoTope, qui nous donne l’opportunité d’investiguer plus en profondeur ce champ de l’IoT et notamment les fonctions de paiement qui y seront liées. Enfin, la troisième journée sera dédiée à la protection des données à caractère personnel, domaine qui connaîtra une relance forte avec le vote annoncé d’une nouvelle régulation par le parlement européen. L’impact sur tout organisme qui traite de telles données sera grand, et les deux ans laissés pour se mettre en conformité totale passeront vite.
Des experts tels que François Thill du ministère de l’Economie, Georges Wantz de la CNPD, ou encore des chercheurs de l’Université du Luxembourg seront nos conférenciers. Nous travaillons d’ailleurs main dans la main avec l’Université qui accueillera l’ADaCoR. En outre, nous lançons un appel à toute société qui souhaite y contribuer en partageant son expertise. Nous leur proposons un temps de parole pour présenter leur concept lié à la problématique dans une optique technique.

CH:
Cet événement est destiné à tous les acteurs du secteur de l’industrie. Nous souhaitons présenter aux entreprises des éléments et concepts que nous étudions à travers nos grands projets de recherche récents. D’un côté TREsPASS, via lequel nous avons dressé une liste de risques potentiels, en particulier ceux liés aux comportements sociotechniques; et de l’autre bIoTope dont Miguel parlait précédemment, en rapport avec l’IoT. En conclusion, la régulation citée avant, tout comme le défi de la cybersécurité, incite tous les organismes à changer, voire à innover à la fois leurs technologies ICT et leur Management.
Que vous apporte votre engagement dans de tels projets de recherche?
 
CH: Notre intérêt pour la recherche est très utile. Nous en tirons des compétences que nous intégrons non seulement dans notre activité de conseil, mais aussi dans nos outils et qui, au final, servent à nos clients.
L’exemple le plus parlant est TRICK Service, une application web qui aide toute entreprise à apprécier quantitativement et à traiter les risques qui pourraient la menacer. Utilisée auparavant par nos consultants en interne, nous commençons cette année à en commercialiser la licence. Son but principal est de simplifier l’analyse des écarts quant aux mesures de sécurité, puis de quantifier les probabilités d’occurrence et les impacts de certains risques. L’outil produit un tableau des mesures de sécurité à implémenter, classées par état d’urgence et rentabilité; ensuite, il dresse un bilan des coûts et des charges de travail engendrés par chaque phase d’implémentation; enfin, il exporte les données sous forme de rapport selon les exigences de la CSSF ou d’ISO/IEC 27001, ou sous forme de tâches à intégrer dans une application de gestion de tâches.
TRICK Service continue encore à bénéficier de notre engagement en recherche. D’une part, grâce à une bourse du Fonds National de la Recherche, nous accueillons un doctorant qui se penche sur la modélisation de la dépendance entre les différents actifs. Son objectif est de schématiser les interactions entre divers services afin d’observer si la compromission d’un élément engendre – ou non – un risque pour le service au client. Et ses résultats sont réellement intégrés dans l’outil! D’autre part, le projet européen TREsPASS, nous a permis de migrer vers la technologie Web et d’appliquer l’outil à la sécurisation aux «Épreuves standardisées» du système scolaire luxembourgeois. Actuellement TREsPASS nous permet d’examiner la technique des arbres d’attaque pour donner plus de précision à notre modèle d’estimation de l’efficacité des mesures de sécurité. En effet, un arbre d’attaque permet de détailler un scénario d’attaque particulier et donc de voir étape par étape comment se déroulerait une agression et à quelle étape une contre-mesure peut la bloquer. Finalement, le projet de recherche national, SGL Cockpit, en coopération avec Luxmetering, nous permettra d’ajouter le facteur dynamique à nos analyses de risques. Des agents permettront de mettre à jour en temps réel le niveau d’efficacité des mesures de sécurité et l’outil peut alors afficher les niveaux de risque actualisés.


Quel est le secteur le plus prometteur en matière de sécurité de l’information?
CH: Enfants, nous apprenions l’adage «Et ne nous soumets pas à la tentation»; une phrase récurrente que nous intégrions sans en questionner le sens. Je constate qu’à notre ère digitale, cette maxime s’applique parfaitement au sujet de la sécurité de l’information. Les tentations sont trop nombreuses. Pensez au scandale tonitruant de la fuite des questions d’examen divulguées par des professeurs au printemps dernier… Ou bien à la personne qui a accordé des subsides agricoles non mérités à son épouse. Ce sont des exemples de fraudes, interdites mais pratiquées car les auteurs ne croient pas être détectés un jour ou sanctionnés parce qu’ils ont connaissance d’autres fautes de sécurité qu’ils jugent similaires pour lesquelles il n’y a pas eu de poursuite. Ces tentations de fraude seront réduites lorsque le secteur public mettra en place des objectifs et des exigences de sécurité clairs, une responsabilité définie, une traçabilité nette, l’utilisation plus systématique du «principe des quatre yeux», la limitation de l’accès aux informations aux personnes autorisées, et surtout enfin un système de validation et de contrôle.
C’est pourquoi je suis heureux que ministre d’État, Xavier Bettel, ait annoncé, dans le cadre de sa stratégie de cybersécurité, l’instauration future d’une politique de sécurité et d’exigences générales pour l’État. Nous sommes fiers d’avoir déjà pu contribuer, pour plusieurs entités de l’État, à la formulation de telles politiques, à la réalisation d’analyses de risques grâce à notre outil TRICK Service, ainsi qu’à l’implémentation d’une meilleure sécurité. Et il reste du pain sur la planche!

Lire sur le même sujet: