Dans l’ombre de la cybercriminalité: état des lieux au Luxembourg
Face à des cybermenaces toujours plus opportunistes et à l’arrivée de nouvelles réglementations telles que DORA et NIS2, les organisations luxembourgeoises doivent renforcer leur résilience. Discussion avec Thomas Wittische et Maxime Pallez, respectivement Audit Managing Director Risk Assurance et Cybersecurity Director chez PwC Luxembourg, autour des vulnérabilités persistances, des évolutions et des leviers essentiels pour mieux se préparer.
Comment décririez-vous aujourd’hui le paysage des cybermenaces au Luxembourg ? Qu’est-ce qui permet d’identifier une entreprise plus exposée qu’une autre ?
MP : Le Luxembourg est clairement impacté par les cybermenaces. Même si le pays bénéficie d’un environnement relativement mature, notamment dans le secteur financier, où les réglementations de la CSSF (Commission de Surveillance du Secteur Financier) ou du CAA (Commissariat aux Assurances) imposent des standards élevés, il reste une cible attractive. Ce tissu économique local concentre des activités stratégiques, ce qui attire naturellement les cyberattaquants. Cette maturité permet à ces organisations de réduire leur exposition, mais elle ne les protège pas totalement, le risque demeure bien réel. Une spécificité intéressante de l’écosystème luxembourgeois est sa dépendance par rapport à des prestataires externes du fait de ses nombreuses branches et subsidiaires.
TW : Dans plusieurs de ces segments, une attaque peut entraîner des conséquences considérables. Dans le transport aérien, par exemple, une compromission pourrait interrompre le trafic aérien et générer un impact majeur. De manière générale, il faut comprendre que les cybercriminels sont aujourd’hui très opportunistes. La plupart ne ciblent plus spécifiquement une industrie ou une entreprise ; ils cherchent à toucher le plus grand nombre possible. Une fois qu’ils identifient une victime potentielle ou une faille exploitable, ils vont plus loin. Que cette victime soit située au Luxembourg ou ailleurs en Europe ne fait aucune différence pour eux. Les infrastructures dites plus critiques incluent toutes les infrastructures dont la compromission nuirait au bon fonctionnement de la société et la continuité des services, tels que l’énergie, la santé, le transport ou encore le numérique.
Ces dernières années, avez-vous remarqué une évolution des cybermenaces, tant en volume qu’en sophistication ?
TW : Les attaquants scannent en continu des systèmes à la recherche de vulnérabilité. Lorsqu’ils en identifient une, un opérateur humain prend ensuite le relais pour vérifier s’il existe réellement une porte d’entrée exploitable. C’est à ce moment-là que l’attaque est lancée. En plus des technologies d’hacking utilisées, la sophistication provient surtout de l’organisation des groupes criminels. Nous parlons aujourd’hui de véritables bandes organisées : un premier groupe va identifier une faille et la vendre ; un second va déposer un ransomware (logiciel malveillant qui chiffre les fichiers) ; un troisième sera chargé de monétiser l’attaque et de récupérer l’argent. Ce fonctionnement montre une professionnalisation croissante, même si les attaques suivent toujours les mêmes logiques.
MP : Les menaces évoluent au rythme des technologies, mais les modes d’intrusion restent largement identiques. La majorité des attaques passent encore par du phishing ou du social engineering, c’est-à-dire par l’exploitation du facteur humain. Là où la sophistication se renforce, c’est dans la finalité ; les hackers cherchent moins à détruire qu’à rentabiliser. Ils vont analyser l’environnement métier, comprendre les interactions internes et les processus clés afin de maximiser le gain potentiel, par exemple en facilitant une transaction frauduleuse, en volant des données revendables, ou en perturbant une activité critique pour obtenir une rançon. Mettre un système hors service n’est plus l’objectif ; ce qui compte, c’est le profit. À cela s’ajoute désormais l’essor des deepfakes (forme d’intelligence artificielle qui peut être utilisée pour créer du contenu), qui complexifient encore la tâche des utilisateurs finaux en rendant les tentatives de fraude plus crédibles et plus difficiles à identifier.
Même avec l’essor de l’intelligence artificielle, les risques identifiés renvoient aux fondamentaux
Qu’est-ce que vos audits révèlent généralement sur le niveau de maturité des entreprises en matière de cybersécurité ?
MP : Ce que nous observons, c’est que les entreprises se préoccupent beaucoup des nouvelles tendances, comme le quantique ou l’IA, mais que, lorsque nous évaluons réellement leurs environnements, les problématiques restent les mêmes qu’il y a quelques années. Les faiblesses récurrentes restent fondamentales et concernent toujours la gestion des accès, le manque de surveillance, l’absence de mises à jour ou de correctifs, ou encore des politiques de mots de passe insuffisantes, etc. Lorsque nos équipes offensives réalisent leurs tests, elles identifient souvent les mêmes problématiques. Même avec l’essor de l’intelligence artificielle, les risques identifiés renvoient aux fondamentaux. Les technologies évoluent, mais les failles restent les mêmes, souvent parce que les organisations doivent gérer des systèmes hérités, une grande complexité opérationnelle et une pression réglementaire croissante.
TW : Aujourd’hui, des outils tels que l’authentification multifacteur existent et réduisent certains vecteurs d’attaque, mais ils ne sont toujours pas déployés partout. Résultat : en 2025, nous rencontrons encore des mots de passe inchangés depuis plusieurs années. Les fondamentaux restent donc la principale source de vulnérabilité, et les hackers, eux, ne s’en lassent pas.
Que changent finalement les réglementations, comme DORA et NIS2 pour les organisations, qu’elles soient financières, non financières ou publiques ?
TW : DORA concerne exclusivement le secteur financier, tandis que NIS2, qui vise à renforcer le niveau de cybersécurité des tissus économiques et administratifs des pays membres de l’UE, s’étend beaucoup plus largement, y compris vers le secteur public et surtout les infrastructures critiques. Tant que la transposition luxembourgeoise n’est pas officielle, les obligations précises restent difficiles à commenter à ce stade, notamment pour les communes où le cadre n’est pas encore clairement défini.
MP : Pour beaucoup d’acteurs non régulés jusqu’à présent, NIS2 représente un vrai tournant. Dans certaines structures, une ou deux personnes seulement devront absorber une réglementation assez lourde, l’interpréter et la mettre en œuvre. C’est ce qui crée aujourd’hui le plus d’inquiétude : le manque de ressources, de compétences et de temps. Beaucoup se demandent encore ce qui sera attendu d’eux et s’ils auront réellement les moyens de s’y conformer. À l’inverse, les secteurs déjà encadrés ou ayant vécu des incidents cyber ont généralement un niveau de maturité plus élevé. La réglementation joue un rôle moteur, mais elle ne peut pas être la seule réponse : elle arrive toujours après les menaces. Attendre la transposition pour investir serait dangereux. Les premières étapes devraient donc être engagées dès maintenant, à savoir : impliquer la direction, réaliser une évaluation de maturité en tenant compte des mesures de sécurité prévues par la directive, puis définir un plan d’action pour combler les écarts identifiés.
TW : Au-delà de la conformité, la préparation reste essentielle. Il faut entraîner les équipes, tester des scénarios de crise crédibles et ne pas se reposer uniquement sur les scénarios historiques, comme un accès restreint aux bâtiments ou à l’IT, qui de nos jours ne sont plus suffisants. D’autres scénarios de crise doivent être considérés pour bien se préparer. L’objectif est de créer des automatismes, d’assurer la continuité des fonctions critiques et de pouvoir réagir plus vite. Comme nous le disons souvent chez PwC : se préparer, répondre et ressortir plus fort. Finalement, un autre aspect est celui du partage d’informations. Dans un pays à taille humaine comme le Luxembourg, le fait que les entreprises du secteur privé et public puissent anonymiser une attaque subie et la partager avec une autre permettrait à tout l’écosystème de s’y préparer. NIS2 encourage cette logique et l’ILR (Institut Luxembourgeois de Régulation) avance clairement dans ce sens. Une plateforme sécurisée et anonymisée serait un levier majeur pour monter collectivement en résilience.
L’objectif est de créer des automatismes, d’assurer la continuité des fonctions critiques et de pouvoir réagir plus vite