Secteur public et cybercriminalité : entre fragilités et robustesse
Pas plus tard que fin mars, les infrastructures informatiques de plusieurs administrations ont été victimes d’une cyberattaque ayant entraîné l’indisponibilité de certains services publics. Celle-ci n’aura engendré que des dommages minimes compte tenu de sa sophistication, preuve que le Luxembourg déploie des moyens conséquents pour se protéger, mais fâcheux rappel que tous les risques ne sont pas écartés. Discussion avec Othmane Mouline, Senior Manager chez BDO Luxembourg, sur la cyber-résilience luxembourgeoise.
En Europe, les cyberattaques sophistiquées se multiplient et des infrastructures publiques luxembourgeoises en ont récemment fait les frais. Pourquoi les administrations publiques sont-elles particulièrement exposées à la
cybercriminalité ?
Ce sont notamment les bouleversements survenus sur la scène diplomatique internationale qui rendent le secteur public vulnérable. La guerre russo-ukrainienne, qui se joue aux portes de l’UE, ne se fait pas que sur le champ de bataille : elle est aussi virtuelle et cible, sur ce plan, des infrastructures vitales et/ou publiques. L’objectif : handicaper les services publics et entacher la réputation de la résilience informatique européenne. C’est sous ce prisme qu’il faut analyser la cyberattaque dont ont été victimes certains services luxembourgeois fin mars. C’est un exemple parmi d’autres, car plusieurs États ont été confrontés à des attaques, mais celui-ci est véritablement notable si l’on considère les moyens déployés par les pirates.
Ce type d’attaque doit-il nous faire douter des ressources humaines, technologiques et financières dont dispose le Luxembourg pour assurer sa sécurité ?
Non. Au contraire, le pays est doté de moyens financiers, technologiques et organisationnels de pointe lui permettant de limiter les risques cybers et de faire face à bon nombre d’attaques. Dès le mois de mars 2022, le Haut-Commissariat à la protection nationale avait lancé une alerte à tous les opérateurs d’infrastructure critique. L’Institut Luxembourgeois de Régulation (ILR) avait ainsi renforcé sa veille du secteur et invité les opérateurs de services essentiels à lui « fournir des rapports sur l’état de la sécurité des réseaux et systèmes d’information » et à lui notifier les mesures en place. Les principaux acteurs responsables de la sécurité informatique dans le secteur public, comme le Centre des technologies de l’information de l’État (CTIE), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou encore le Luxembourg National Cybersecurity Competence Center (NC3), font aujourd’hui preuve d’une maturité sécuritaire certaine et le pays bénéficie d’infrastructures solides. C’est d’ailleurs la raison pour laquelle l’attaque du mois de mars a engendré des dommages limités comparativement à son ampleur. La robustesse luxembourgeoise doit rassurer l’utilisateur.
En outre, la ministre de la Défense, Yuriko Backes, et l’armée luxembourgeoise ont dévoilé la participation du Luxembourg au test « Locked Shields », plus grand exercice mondial de cyberdéfense orchestré par l’OTAN, lors duquel 5.500 systèmes virtuels ont été déployés pour contrer 8.000 attaques, le tout avec une équipe belgo-luxembourgeoise constituée de 130 participants.
Quels sont les risques encourus par l’utilisateur lorsqu’il recourt à un service public vulnérable ou touché par une action malveillante ?
L’attaque de mars dernier a privé l’usager de certains services, comme ceux de MyGuichet.lu ou de gouvernement.lu, durant un laps de temps relativement court, mais ses conséquences auraient pu être bien plus désastreuses. C’est le cas par exemple lorsque l’action est dirigée vers les services de santé ou de transport, ou lorsque l’attaque entraîne une fuite de données confidentielles.
Aujourd’hui, l’utilisateur est véritablement le maillon faible de la chaîne. Sa position pourrait être renforcée par une amélioration de la sensibilisation, notamment auprès des personnes âgées. Celles-ci manquent d’informations sur les risques qu’elles encourent en utilisant des services numériques. Or, la sécurité informatique nous concerne tous et repose sur la vigilance de toutes les parties prenantes : acteurs publics, privés et usagers confondus.
Le législateur exige que de plus en plus d’acteurs améliorent la protection de leurs activités et de leurs utilisateurs. La directive européenne NIS2, à laquelle est soumis le secteur public, entrera d’ailleurs en application au mois d’octobre. À quoi faut-il se préparer ?
Cette directive succède à la première version de la « Network and Information Security Directive », adoptée par l’Union européenne en 2016 et visant à établir un niveau de sécurité des réseaux et des systèmes d’information élevé et commun à tous les États membres. La règlementation initiale ciblait principalement les opérateurs de services essentiels et les fournisseurs de services numériques, imposant des exigences en matière de sécurité et de notification des incidents de cybersécurité. Sa nouvelle mouture introduit plusieurs changements la rendant plus logique et plus robuste. D’abord, elle étend ses exigences à de nouveaux secteurs ainsi qu’à des administrations publiques qui n’étaient pas concernées précédemment. Elle introduit d’ailleurs une distinction entre les entités essentielles – les infrastructures considérées comme vitales pour le maintien des services sociaux et économiques critiques du pays tels que les services publics, de santé, de transport ou liés à l’énergie – et les entités importantes – des entreprises de taille intermédiaire qui jouent un rôle non négligeable dans l’économie et la société. Les premières ont l’obligation de se munir d’outils technologiques de pointe et toutes doivent notifier rigoureusement les risques auxquels elles sont exposées, signaler les incidents de cybersécurité aux autorités nationales compétentes, à savoir l’ILR, dans un délai plus court et les informer des procédures de remédiation mises en œuvre. Ce que prévoit aussi NIS2, c’est un système de sanctions (financières) harmonisé à travers l’Europe pour assurer une application des règles plus uniforme. Toutes ces mesures doivent permettre d’ériger une sorte de « muraille de Chine » autour des frontières européennes afin que les États membres puissent assurer la continuité de leurs services mais aussi innover en toute sécurité.
Quels conseils donneriez-vous aux administrations qui désirent se montrer plus cyber-résilientes ?
Avant tout, j’aimerais souligner le fait que cette responsabilité n’incombe pas qu’au département IT ; elle concerne aussi bien le comité exécutif – ses membres peuvent d’ailleurs voir leur responsabilité personnelle engagée en cas de manque de prévoyance – mais aussi le personnel dans son ensemble, raison pour laquelle la directive NIS2 enjoint d’ailleurs les entités concernées à assurer la formation continue de leurs collaborateurs en matière de cybersécurité.
Néanmoins, ma recommandation serait d’adopter les règles actuellement en place. Si les défis sont trop importants en termes de ressources humaines ou de délais (le calendrier ne laisse plus que quelques mois pour s’y conformer), une aide peut être trouvée auprès d’experts comme ceux de BDO. Nous proposons des analyses très poussées sur les processus des administrations et émettons des recommandations qui leur permettront d’être alignées avec ces règlementations. L’erreur serait bien entendu de considérer l’exercice terminé en fin d’année, après la mise en conformité, mais aussi de s’imaginer complètement protégé. Les mesures préconisées visent à réduire le danger et non pas à l’éliminer. En cybersécurité, le risque zéro n’existe pas : l’informatique évolue de manière trop rapide, tout comme les pratiques d’une organisation, et de nouvelles menaces émergent jour après jour. C’est la raison pour laquelle nous recommandons une réévaluation annuelle des menaces. Que les administrations publiques se rassurent tout de même : la règlementation européenne est suffisamment forte pour assurer un niveau de sécurité élevé !