Alerter en toute indépendance

Concentrant ses activités sur la recherche et le développement, le conseil et la protection des données, itrust consulting vient de se lancer dans un nouveau projet de recherche, CRITISEC. Partant du constat que la protection des infrastructures critiques est primordiale pour assurer le bon fonctionnement de la société et la sécurité des citoyens, Carlo Harpes, fondateur et directeur d’itrust consulting, nous explique les avantages d’une solution en voie de développement qui répondrait à ce besoin.

 

Comment est né le projet CRITISEC et en quoi consiste-t-il?

Le projet ATENA visait à développer des méthodes et outils de lutte contre les cyberattaques, tout en préservant une gestion efficace et flexible des systèmes de gestion d’électricité, de gaz ou d’eau. Dans ce cadre, nous avons pu tester de nouveaux outils sur l’ancien système de distribution d’électricité de Creos. En travaillant dans un environnement réel, nous avons montré que notre dispositif fonctionnait dans un environnement complexe. Malgré cette expérience, notre outil n’avait pas encore atteint la maturité d’un produit commercial, faute d’un environnement réel dans lequel nous aurions pu le faire tourner en permanence.

L’initiative CRITISEC prend donc le relais et visera, comme son nom l’indique, à développer un produit commercial dont l’objectif est d’assurer la sécurité des réseaux d’infrastructures critiques. Ce nouveau projet, lancé au début du mois de novembre, est coordonné par Hitec et sera mené en partenariat avec l’Université du Luxembourg.

Dans ce cadre, notre objectif sera de développer deux produits commerciaux. Le premier est un dispositif à installer dans un réseau de contrôle industriel et qui observe des comportements inhabituels, comme une congestion du réseau. Cette information est remontée à un point central, qui pourrait être le responsable sécurité du réseau, de façon à ce qu’il dispose d’une information complémentaire et indépendante par rapport à celle qu’il reçoit du responsable informatique ou opérationnel. Cette initiative permet de répartir les responsabilités et de limiter les risques en favorisant la concertation de plusieurs responsables pour prendre des décisions quant à la sécurité d’un réseau.

Nos algorithmes sont actuellement conçus pour observer des réseaux complexes. Pour les rentabiliser, nous voulons créer un second produit, dans une forme simplifiée, qui servirait à surveiller des réseaux domestiques, complexifiés par le nombre d’objets que l’on y connecte. Ce dispositif pourrait être installé dans le routeur et alerter le consommateur en cas d’anomalie. A travers des partenaires déjà actifs dans l’installation d’éléments de réseaux domestiques, nous pourrions proposer que ces alertes nous soient directement adressées afin que nous identifiions le problème en toute indépendance par rapport à tous les fournisseurs gravitant autour du réseau (TV, téléphone, ordinateur, compteur intelligent, système d’alarme,…).

A l’heure actuelle, l’algorithme servant à repérer des anomalies est fonctionnel, mais nous devons encore développer le système de communication qui vise à remonter cette information à l’opérateur. Pour sa mise en application, nous envisageons la création d’un laboratoire «Smart Home et équipement RTU» dans nos locaux. Nous sommes également à la recherche de partenariats commerciaux dans le cadre desquels nous fournirions le dispositif afin qu’il soit testé en situation réelle.

 

Les opérateurs d’infrastructures critiques ont-ils conscience de l’importance de leur sécurisation?

L’Europe a émis une directive sur la sécurité des réseaux et de l’information (NIS) qui clarifie la responsabilité des opérateurs et les encourage à améliorer leur management de la sécurité et à développer davantage de solutions en ce sens. Tous les opérateurs de réseaux souffrent d’une accélération du changement et d’une pénurie des ressources. Or les changements nécessaires à la garantie de la sécurité des réseaux nécessitent de nombreuses ressources…

De plus, la sécurité fait partie des frais d’infrastructures qui se répercutent sur le client final. Dans le cas de réseaux de distribution d’eau ou d’électricité, c’est le prix de ces ressources qui sera impacté par ces nouveaux coûts de sécurité. A l’heure actuelle, ce sont par exemple des considérations comme la qualité de l’eau qui priment sur la sécurité de l’approvisionnement et le citoyen ne voit pas encore la nécessité de cette sécurisation, il n’est donc pas prêt à payer ce service plus cher. La directive NIS oblige à présent les Etats à définir un régulateur qui doit définir des exigences de sécurité, ce qui favorisera le déploiement de produits comme le nôtre.

 

Comment itrust consulting fait-elle face au manque de ressources touchant son secteur d’activité?

Nous manquons de personnel qualifié pour étendre nos activités car les grandes entreprises et l’Etat sont plus attractifs que des petites structures comme les nôtres… Un BTS en cybersécurité devrait voir le jour au Luxembourg, mais il ne démarrerait vraisemblablement qu’à la rentrée 2021. Nous avons donc pris le parti de contacter des étudiants en master dans ce domaine pour leur proposer de travailler sur nos outils dans le cadre de leur mémoire. A travers nos projets de recherche, nous avons construit une expérience dans l’encadrement d’étudiants et nous leur donnons ainsi l’opportunité de travailler sur un produit réel et commercialisable.

Pour mieux répartir nos ressources, nous avons décidé de cesser notre activité de tests d’intrusion. Nous ferons appel à un sous-traitant de confiance pour continuer à suivre nos clients actuels dans ce domaine. Nous n’abandonnerons toutefois pas la protection des données! Nous avons développé des outils comme l’analyse de risques, un registre efficace pour documenter les traitements, des modèles de documents et de procédures,… Le tout en plusieurs langues. Nous avons de plus en plus de demandes à ce niveau par des entreprises qui ont pris du retard dans leur mise en conformité. Ces outils sont déjà éprouvés et nous y allouons beaucoup de ressources.

En parallèle, nous conservons nos activités de conseil. Par exemple, nous accompagnons des gestionnaires d’infrastructures critiques vers la certification de leur système de management. Deux de nos clients dans ce domaine veulent par exemple être certifiés avant la fin de l’année!

Lire sur le même sujet: