INCERT : le cyberbouclier du secteur public, mais pas que !
L’opinion s’accorde aujourd’hui pour dire que la cybersécurité ne concerne plus uniquement le particulier qui utilise son ordinateur et s’expose aux virus. La société se digitalise et cela demande à l’État et ses administrations de trouver de nouveaux outils pour protéger leurs données sensibles dématérialisées. Afin d’y parvenir, l’agence publique INCERT a pour mission d’apporter les solutions technologiques nécessaires, autant pour le secteur public que privé, à l’échelle nationale et internationale. Interview avec Sylvain Arts, Chief Business Officer, et Benoît Poletti, Chief Executive Officer de l’agence.
Pouvez-vous présenter INCERT et le cœur de son activité ?
SA : INCERT est une agence publique, plus précisément un groupement d’intérêt économique (GIE), directement rattachée à l’État luxembourgeois via le ministère de l’Économie. Elle a été créée en 2012 dans le but de mutualiser des compétences cyber et crypto en une seule et même entité au service de l’État. Sa première mission a été – et est encore – de sécuriser les puces,électroniques des passeports grand-ducaux. Elle mobilise donc des PKI, c’est-à-dire des infrastructures à clés publiques, pour émettre des certificats cryptés et, ainsi, authentifier les documents de voyage.
Nous conseillons et accompagnons le secteur public dans son ensemble sur les sujets relatifs à la transition digitale
Par ailleurs, l’agence représente le secteur public national auprès d’organismes du monde entier. L’objectif est de faire valoir les compétences luxembourgeoises et les solutions développées au niveau national pour les commercialiser au-delà de nos frontières. Les bénéfices générés sont réinjectés dans l’agence afin de les réinvestir, entre autres, dans notre secteur Recherche et Développement (R&D). Ainsi se dessine un cercle vertueux. Par exemple, nous avons élaboré le produit Novento qui permet de sécuriser les événements sensibles, de l’inscription jusqu’aux badges d’accès physiques. Il a notamment été utilisé pour le dernier Sommet de chefs d’État à Grenade. Grâce à l’expérience acquise dans le cadre de près de 3.000 événements internationaux, nous sommes en mesure d’encore mieux répondre aux demandes luxembourgeoises. Nous pouvons notamment supporter le ministère des Affaires étrangères dans la digitalisation du protocole d’État.
BP : En tant que GIE, la neutralité est intrinsèque à notre identité. De ce fait, nous fonctionnons de manière tout à fait indépendante vis-à-vis de notre ministère de tutelle, ce qui nous permet de nous investir dans des projets qui ne le concernent pas. Ainsi, nous conseillons et accompagnons le secteur public dans son ensemble sur les sujets relatifs à la cybersécurité, menons pour lui des études de vulnérabilité et opérons un travail de surveillance du darknet afin de repérer d’éventuelles fuites de données sensibles ou d’identité.
Au fil du temps, les missions attribuées à INCERT se sont diversifiées. Dites-nous en plus.
SA : Le conseil de gérance et les représentants de l’État ont assez rapidement constaté que nos équipes avaient créé de la valeur à exploiter. Ils ont alors décidé de s’en servir pour s’ouvrir à d’autres domaines, toujours en lien avec les activités historiques. Nous avons donc développé une offre autour des algorithmes de la cryptographie et des PKI, mais en l’ouvrant cette fois au secteur privé. Pour ce dernier, nous bénéficions d’une référence intéressante au niveau international puisque nous collaborons avec le groupe Harman, une filiale de Samsung, qui évolue notamment dans la cybersécurité. Aujourd’hui, cette solution est utilisée pour mettre à jour les systèmes embarqués dans les véhicules connectés de grandes marques allemandes sur quatre continents.
Nous nous engageons également dans des missions de contribution ou d’assistance dans certains projets. Par exemple, nous soutenons le passage de l’ère du papier à celle du digital dans les communes, syndicats ou ministères en développant l’identité numérique. À cet égard, nous travaillons sur l’eWallet national, le futur portefeuille électronique pour toutes les pièces d’identité. Au niveau international, nous sommes la seule agence à avoir signé un mémorandum d’entente avec l’Organisation internationale pour les migrations (OIM). Cette dernière fait appel à nous pour mettre en place, par exemple, des solutions de gestion des registres nationaux ou des systèmes de digitalisation des processus étatiques à destination de pays émergents. Ce partenariat permet un meilleur encadrement des crises migratoires, nécessitant d’importantes ressources pour l’authentification des documents d’identité et de voyage, mais également de booster le développement de la cybersécurité dans les pays en difficulté dans ce domaine. Cette mission est capitale car, si ces derniers ne suivent pas la cadence mondiale, leurs citoyens ne pourront plus sortir de leur territoire, ou très difficilement.
BP : En 2019, les ministères de la Santé et des Douanes nous ont sollicités pour que nous mettions en place un système de traçabilité des produits du tabac. Nous devions répondre à la réglementation européenne « Track & Trace » dont l’objectif est d’identifier chaque paquet de tabac vendu et/ou produit en Belgique et au Luxembourg. Ainsi, nous sommes devenus « national ID issuers » et, désormais, nous émettons en moyenne 850 millions d’identifiants uniques par an !
Nous avons réitéré notre partenariat avec le ministère de la Santé durant la pandémie. Comme nous sommes reconnus par le ministère des Affaires étrangères comme faisant autorité pour la production des visas sous forme de code QR, il nous a été demandé d’exploiter la même technologie pour les Covid Check utilisés notamment pour voyager. En effet, leur système est similaire : la production des documents de voyage digitaux, que ce soit les visas ou les certificats de vaccination, se fait par le biais d’une signature électronique contenue dans le code QR, ce qui permet son identification. Ainsi, nous sommes passés d’une technologie verticale (la production de documents) à une technologie transversale répondant à divers besoins et utilisations.
Avez-vous constaté une évolution dans les besoins nationaux et internationaux en matière de cybersécurité ?
SA : Nous évoluons dans un secteur en perpétuelle mouvance, mais il est indéniable que nous constatons une accélération dans le dépoilement de solutions de cybersécurité et, surtout, une prise de conscience : la population a désormais une vision plus pragmatique des risques. Il ne s’agit plus uniquement de se protéger d’éventuels virus sur son ordinateur. Les menaces sont multiples et il est indispensable d’adopter une vue à 360° du problème pour en prendre toute la mesure. Évidemment, la crise sanitaire – en particulier le premier confinement – a eu un véritable impact sur cette conscientisation. La généralisation du télétravail a nécessairement créé de nouveaux impératifs de sécurité.
Les cybermenaces sont multiples et il est indispensable d’adopter une vue à 360° pour en prendre toute la mesure
Nous avons énormément ressenti la hausse des exigences durant cette période puisque nous devions répondre rapidement à des demandes qui évoluaient presque tous les jours. En revanche, en matière de technologie, nous n’avons pas connu d’énorme révolution, car nous maîtrisons notre activité et nous développons au rythme de celle-ci. Nous investissons beaucoup dans notre secteur R&D pour tenir la cadence. Aujourd’hui, ce qui revient de plus en plus sur la table, c’est la cryptographie post-quantique, c’est-à-dire la branche de notre activité qui vise à garantir la sécurité de l’information face à un ordinateur quantique. Celle-ci devrait, elle, provoquer une révolution. Les algorithmes protégeant notamment les transactions bancaires ou les passeports étaient jusqu’il y a peu considérés comme incassables, à tort ! Nous arrivons à l’heure du post-quantum et, bientôt, certains parviendront à résoudre ces fonctions mathématiques et, grâce aux résultats, à générer les mêmes clés que celles des cartes de crédits, des navigateurs et bien d’autres. Nous travaillons donc activement pour nous protéger de ces risques.
Quelles valeurs portent l’agence INCERT ?
BP : Nous avons à cœur de nous investir pour la société au sens large. Grâce au chiffre d’affaires que nous générons par le biais de la vente de services et solutions à l’international, nous sponsorisons diverses associations. Par exemple, nous soutenons l’association SEVE – Savoir Être et Vivre Ensemble qui organise des ateliers philosophiques pour les enfants. Sa volonté d’enseigner le discernement et le pragmatisme dès le plus jeune âge a résonné avec notre métier. Nous avons également aidé une jeune navigatrice dans sa participation à la Mini-Transat, une course solitaire et sans assistance entre l’Europe et l’Amérique. Son projet illustrait des valeurs qui nous sont chères, telles que la rigueur, l’expertise et la résilience.
SA : En parallèle, nous nous investissons dans le transfert de nos connaissances en organisant des séminaires dans les communes et les syndicats. Nous y enseignons les clés pour identifier les faux documents, évoquons l’identité digitale du futur et son impact sur les services communaux, etc. Notre panel de services est donc très large : nous pouvons répondre à la sollicitation d’une commune aujourd’hui, aider une association paraétatique en Éthiopie demain et collaborer avec une des plus grandes entreprises au monde après-demain.