Un Cyberscore pour évaluer et renforcer la cybersécurité
Encore beaucoup d’organisations au Luxembourg ne se préoccupent de l’aspect cybersécurité qu’après avoir été la cible d’une attaque. Avec son évaluation sur site baptisée Cyberscore, Luxcontrol a l’ambition de changer les mentalités et, surtout, d’instaurer une culture de la prévention aussi bien dans le secteur privé que public. Cyril Basile, consultant cybersécurité, Olivier Antoine, directeur technique pour les services de cybersécurité et Sébastien Weiland, directeur des systèmes d’informations chez Luxcontrol, nous en disent plus.
Une méthode accessible et structurée
« D’un point de vue général, on est encore souvent dans la réaction plutôt que dans l’anticipation au niveau de la cybersécurité », déplore Olivier Antoine. Et pourtant, les cybermenaces n’épargnent ni les entreprises, petites ou grandes, ni les administrations. Luxcontrol, historiquement spécialisée dans les contrôles techniques des bâtiments et de l’industrie, s’est également lancée dans la cybersécurité. Son objectif : fournir aux entreprises et aux institutions une photographie claire et surtout objective de leur niveau de sécurité numérique et de leurs faiblesses pour corriger et mieux structurer leurs défenses. « C’est dans cette optique que nous nous sommes initialement associés avec POST Cyberforce pour développer une méthode d’évaluation rigoureuse basée sur les menaces courantes baptisée Cyberscore », explique Sébastien Weiland.
Le Cyberscore est une évaluation indépendante. Il repose sur 18 thématiques clés et 90 points de contrôles dont font par exemple partie la gestion des incidents, la sécurisation des réseaux, la sauvegarde des données ou la gestion des fournisseurs. « Nos experts se déplacent sur site, interrogent ensuite les responsables informatiques, puis examinent les processus en place, la documentation ainsi que les pratiques quotidiennes », indique Olivier Antoine. Le Cyberscore offre ainsi un rapport clair et pédagogique. « Notre ambition est de construire un écosystème luxembourgeois de partenaires de confiance (INCERT GIE, CEGECOM,…)
pour les PME. Cependant, notre rôle n’est pas de commercialiser des solutions techniques ou des outils mais bien de dresser un état des lieux objectif pour que dirigeants, responsables sécurité ou IT et même élus locaux puissent agir et renforcer leur défense. À l’issue de notre évaluation, nous délivrons une note finale, des recommandations prioritaires et un plan stratégique adapté aux moyens », explique Sébastien Weiland. La finalité étant de délivrer notre label Cyber-responsable aux entreprises ayant atteint la note A ou B.
L’ambition d’un futur label national
Luxcontrol promeut le Cyberscore pour en faire un label cyber responsable reconnu depuis plus d’un an. « L’idée ? Pouvoir afficher son niveau de maturité en matière de cybersécurité. Une première entreprise au Luxembourg, SeeZam, a déjà été labelisée cette année car ils ont mis en œuvre le plan de recommandations dans des délais très courts », déclare Sébastien Weiland. Luxcontrol a déjà contacté différents ministères et la Chambre des métiers pour promouvoir le label à l’échelle nationale.
« Avec ce dernier, l’objectif n’est pas de créer un outil gadget, mais d’apporter de la lisibilité et de la crédibilité à des efforts qui passent souvent inaperçus. Aucune organisation n’est à l’abri d’une cyberattaque, mais une entreprise capable de démontrer qu’elle avait mis en place des procédures, formé son personnel et audité ses systèmes sera non seulement mieux considérée sur le plan juridique, mais aussi mieux préparée pour se relever », précise Olivier Antoine.
Les organisations au révélateur
Sur le terrain, les résultats parlent d’eux-mêmes. Ils démontrent certaines failles majeures qui sont souvent ignorées ou méconnues dans un bon nombre d’organisations. « Il reste un véritable travail de sensibilisation à mener. Lors de nos évaluations Cyberscore, on constate encore que de nombreuses PME ne sont pas en conformité avec le Règlement Général sur la Protection des Données (RGPD). D’autres organisations ne semblent pas non plus concernées car elles se disent trop petites, non stratégiques ou non attractives pour les hackers. C’est une erreur fondamentale car les cybercriminels visent justement les entités les plus vulnérables qui ne sont pas protégées », déclare Olivier Antoine.
Le Cyberscore permet également de clarifier les rôles de tout un chacun en interne. « Dans les communes ou dans les PME, la cybersécurité est souvent confiée à une personne pour qui ce n’est pas le véritable cœur de métier. Pourtant, le simple fait d’identifier les différents rôles et responsabilités en la matière, ainsi que de former les collaborateurs constitue déjà un premier pas important vers une meilleure protection », rappelle Cyril Basile.
Depuis peu pourtant, la prise de conscience s’accélère, notamment avec l’entrée en vigueur de la directive NIS2, la directive européenne qui impose à de nombreux acteurs des secteurs publics et privés des obligations claires en matière de cybersécurité. « Les communes sont en effet concernées par la directive. On ne s’en rend pas toujours compte, mais elles gèrent des services critiques : la distribution d’eau potable, le traitement des eaux usées, la gestion de la circulation, etc. Elle peuvent être une cible de choix, mais peu d’entre-elles sont réellement préparées », explique Olivier Antoine.
Une culture de la cybersécurité
Au fond, ce que l’équipe de Luxcontrol veut impulser, c’est une évolution des mentalités. « On ne protège pas seulement des équipements, mais des organisations, des équipes et des utilisateurs. Aujourd’hui, tout est connecté : du téléphone au véhicule en passant par le verrouillage des portes d’une maison individuelle. La cybersécurité devient une compétence plus que nécessaire », indique Sébastien Weiland.
En effet, Luxcontrol voit aujourd’hui la cybersécurité s’inviter dans tous les secteurs qu’elle accompagne. Les risques numériques deviennent omniprésents et cette montée en puissance du digital doit naturellement amener les dirigeants à développer des services de cybersécurité dans la continuité de ses missions dans une réalité où la sécurité physique et la sécurité numérique sont de plus en plus imbriquées.