La Cybersécurité : Une chance pour les vendeurs — un cauchemar pour les initiés
Alors que le crime organisé a trouvé dans les cyberattaques une mine d’or engendrant des bénéfices plus rapides que les drogues, et que des chefs d’État voulant mettre en danger notre démocratie financent la cybercriminalité, la défense ne tient plus la route et les dirigeants répètent leurs erreurs, selon Carlo Harpes, dirigeant de l’entreprise itrust consulting et initié dévoué depuis 1992.
Le moment est-il opportun pour vendre des améliorations en cybersécurité ?
Beaucoup de sociétés vendent des outils de supervision, de détection et des assurances que les décideurs acquièrent pour leur bonne conscience plutôt que pour maîtriser la situation. Cela accroît souvent la complexité, la dépendance du cloud et d’acteurs externes, mieux armés, mais aussi plus exposés à des pannes à grande échelle. Il faut donc réduire ces dépendances et renforcer les compétences et moyens d’actions locales.
Pouvez-vous illustrer ces dépendances ?
L’Ukraine a obtenu des terminaux de communication bon marché de Starlink avant de se rendre compte qu’ils dépendent d’une seule personne, Elon Musk, qui a le pouvoir de décider d’arrêter ou non la majorité des communications militaires. Beaucoup d’entreprises créent des sous-traitances sans plan de sortie et sans idée du coût d’un divorce.
Les éoliennes en Europe étaient à l’arrêt au début de la guerre en Ukraine à la suite d’une cyberattaque sur un équipement de communication dans le satellite de Viasat utilisé par plus de 5.000 éoliennes.
L’UE a voté une directive sur la cybersécurité, NIS2. Sera-t-elle efficace ?
à la conférence des utilisateurs NISDUC organisée par l’ILR en mai au Luxembourg, les experts étaient tous d’accord : NIS2 ne rend qu’obligatoire ce que toute organisation aurait dû faire depuis longtemps. NIS2 ne prescrit pas de solutions techniques, mais une maîtrise des risques, donc une documentation adéquate des risques et contre-mesures, une prise de responsabilité par la direction qui le cas échéant peut être désavoué, une orientation aux normes et une sécurité obligatoire dans certains domaines, comme la gestion des actifs.
Quelle est la situation au Luxembourg ?
Triste, ce qui m’amène à un premier cauchemar : le HCPN et le Parlement n’ont pas réussi à transposer la directive dans les 2 ans prévus. Le ministre délégué a exprimé début mai l’espoir que ce sera fait pour fin 2025, donc avec plus d’une année de retard. Où sont les ambitions luxembourgeoises de leadership en matière de digitalisation ? Le législateur a reçu 10 oppositions formelles bien justifiées, et 7 mois après, aucune correction n’est disponible. Voilà pourquoi, plusieurs clients potentiels m’ont fait comprendre qu’ils préfèrent attendre la loi et une ordonnance de l’ILR plutôt que de se préparer maintenant.
Pour les responsables en sécurité, cette stagnation est un cauchemar — sans parler des vrais cauchemars vécus par les CISO après une cyberattaque. Ceux qui étaient autrefois perçus comme des gêneurs sont vus, après un incident, comme les grands perdants.
Pourquoi nos décideurs ne sont-ils pas vigilants face à ces risques ?
Par commodité, j’utilise des outils comme l’iPhone, ChatGPT, Windows ou Google, et mes données s’envolent. Les alternatives « open source » offrent un contrôle bien plus grand, mais au prix de compétence, de temps et souvent de personnel qualifié, en interne ou via un prestataire, un choix qui est bien justifié. La sécurité aussi coûte, soit en temps, soit en argent ou soit en perte de confort. Le compromis entre facilités et risques est difficile à trouver. Selon NIS, c’est l’analyse des risques qui doit nous guider, mais comme cela réduit l’autonomie du décideur en l’obligeant à documenter une analyse, ce mécanisme est souvent mal accueilli.
Quels outils « open source », donc gratuits, mettez-vous à disposition pour supporter les analyses de risques ?
OpenTRICK est compatible avec les exigences de l’ILR : il contient déjà des formulaires d’analyse d’écart, des graphes comparatifs entre différentes analyses, des exports / imports Excel pour éviter les saisies répétitives. OpenTRICK offre des critères d’évaluation objective normalisé contrairement à la méthode de l’ILR qui tolère une évaluation subjective entre 0 et 4 pour une vulnérabilité. OpenTRICK exprime les risques en perte annuelle attendue, compréhensible par tous dirigeants, alors que l’ILR préconise une évaluation par un chiffre qui résulte d’une multiplication de chiffres estimés et sans relation avec une réalité économique. Avec OpenTRICK, une organisation peut analyser en détail selon ses propres critères et nomenclatures, puis exporter en un clic via une table de correspondance ce qui est demandé par le régulateur.
Vous avez aussi démarré un service de lanceur d’alerte, WSaaS ?
Au Luxembourg, la culture des lanceurs d’alertes fait encore défaut. Nous devrions en profiter pour nous améliorer. Beaucoup de sociétés n’ont pas communiqué comment dévoiler anonymement un soupçon de non-respect légal, comme le détournement de fonds par un dirigeant, et ce malgré l’obligation légale de 2023. itrust consulting a transformé un outil gratuit SecureDrop, en service WSaaS et offre ce service à prix coûtant. En complément d’un acheminement sécurisé et anonymisé de l’alerte, nos experts peuvent en revoir la qualité, proposer une clarification ou protection d’identité, puis ils identifient le destinataire adéquat du problème dans l’entreprise visée, et si souhaité, modèrent, mais sans prendre position. Comme alternative à ce service hébergé et modéré, nous déployons aussi la solution sans intermédiaires auprès d’un client.
Et l’intelligence artificielle (IA) vous apporte-t-elle aussi des défis ?
Oui, et des changements radicaux. Aujourd’hui, les grands modèles de langage donnent les réponses les plus plausibles, avec un taux d’erreur assez élevé.
Dans notre projet de recherche CyFORT soutenu par l’État, nous développons depuis 2023 avec itrust Abstractions Lab une IA incluant des moteurs de raisonnement pour détecter des menaces sur les systèmes et réseaux. Nous avons publié SATRAP (en alpha) et IDPS-ESCAPE intégrant les outils ouverts TypeDB, Wazuh et Suricata autour de cette IA entièrement conçu au Luxembourg. Nous l’entraînons sur notre réseau interne et cherchons d’autres responsables IT pour des tests pilotes avec ou sans notre aide. Nos outils ont été développés avec C5DEC, notre outil de développement sécurisé, avec lequel nous nous proposons d’accompagner d’autres développeurs vers le développement sécurisé.
Quels sont pour vous les plus grands chantiers à venir ?
Mener des analyses de risques, c’est difficile ; rédiger des gouvernances, des politiques et procédures, c’est ennuyeux mais indispensable ; convaincre et sensibiliser de leur utilité, c’est la clé du succès, et puis, intégrer nos techniques de pointe comme SATRAP-DL, IDPS-ESCAPE, C5-DEC, c’est le plus motivant.