Luxcontrol face au défi NIS2
À présent que la loi luxembourgeoise transposant la directive européenne NIS2 a été adoptée, les secteurs publics et privés doivent accélérer leur mise en conformité en matière de cybersécurité. Face à ce constat, Luxcontrol renforce progressivement son positionnement sur ce marché en développant une offre articulée autour du « Cyberscore », une démarche d’évaluation et d’accompagnement pensée avant tout pour les structures qui ne savent pas toujours par où commencer. Olivier Antoine, David Covelli et Sébastien Weiland, respectivement directeur technique des services de cybersécurité, chargé de clientèle et directeur des systèmes d’information, reviennent sur ces enjeux.
Une approche progressive de la cybersécurité
Depuis septembre 2024, le département cybersécurité de Luxcontrol poursuit sa montée en puissance. Cette évolution est portée par la multiplication des demandes sur le terrain, mais aussi par le contexte réglementaire devenu plus exigeant avec l’entrée en vigueur de la loi luxembourgeoise transposant la directive NIS2.
C’est dans cette optique que le Cyberscore a été conçu, comme une démarche progressive destinée principalement aux PME, aux communes et aux structures disposant de ressources limitées en cybersécurité. « À la différence d’un audit classique, qui peut parfois être perçu comme très documentaire ou normatif, nous privilégions une approche davantage tournée vers l’échange et le conseil. Nous sommes davantage dans une logique d’évaluation et d’accompagnement », déclare Olivier Antoine.
Concrètement, l’intervention se déroule sur site, généralement avec deux profils complémentaires : un expert IT et un spécialiste cybersécurité. Ensemble, ils analysent plus de 90 points de contrôle répartis sur 18 domaines, allant de la gestion des comptes utilisateurs aux sauvegardes, en passant par la protection des e-mails, la sensibilisation du personnel ou encore la gestion des incidents.
À l’issue de cette évaluation, l’organisation obtient une note de maturité allant de A à E ainsi qu’un plan d’action détaillé. « Aujourd’hui, la majorité des structures que nous évaluons se situent encore entre C et E. L’objectif est ensuite de les accompagner vers un niveau A ou B, considérés comme des niveaux de maturité satisfaisants », explique Olivier Antoine.
La démarche se veut également indépendante. Luxcontrol souligne ne pas vendre de solutions technologiques derrière ses évaluations, laissant les clients libres de choisir leurs prestataires pour mettre en œuvre les recommandations formulées. « Les clients apprécient cette neutralité. Nous ne sommes pas là pour vendre un produit spécifique, mais pour apporter une vision objective de leur niveau de maturité », précise David Covelli.
NIS2, l’accélérateur de prise de conscience
Depuis la publication de la loi du 5 mai 2026 au Luxembourg, les organisations concernées doivent progressivement se mettre en conformité avec les nouvelles exigences européennes liées à NIS2.Dans un premier temps, les entreprises concernées doivent notamment s’identifier et s’enregistrer auprès de l’autorité compétente, avant de renforcer progressivement leur dispositif de gouvernance, de gestion des risques et de notification des incidents. Elles doivent notamment déterminer si elles relèvent de la catégorie des « entités essentielles » ou des « entités importantes ».
« Beaucoup d’acteurs sont encore dans une phase d’attente », observe Sébastien Weiland. Les prochaines années devraient voir se multiplier les obligations liées aux analyses de risques, aux évaluations de maturité ou encore aux reportings réglementaires. Ces mécanismes, déjà bien connus dans le cadre de NIS1, devraient progressivement être étendus à un plus grand nombre d’organisations. Pour Luxcontrol, cette évolution réglementaire met en lumière la nécessité d’accompagner davantage la préparation du tissu économique local.
Des communes et des PME en phase de préparation
Si les grandes administrations locales ont déjà initié des démarches de mise en conformité, de nombreuses petites communes restent en recherche de repères. « Certaines ne savent tout simplement pas par où commencer. Souvent, elles dépendent fortement de prestataires externes pour leur informatique et manquent de visibilité sur leur propre niveau de sécurité », explique Olivier Antoine.
C’est précisément pour répondre à cette problématique que le Cyberscore mise sur une approche terrain et collaborative. Lors des évaluations, les prestataires IT des communes ou des organisations sont directement intégrés aux échanges afin d’obtenir une vision claire des pratiques réellement en place. Luxcontrol affirme également vouloir maintenir des coûts accessibles pour favoriser l’adoption de cette première démarche de cybersécurité. Une évaluation standard représente ainsi un budget inférieur à 5.000 euros HT, incluant l’analyse sur site, le rapport et le plan de recommandations », déclare David Covelli.
Le domaine de la santé apparaît également comme un secteur particulièrement concerné par les enjeux de cybersécurité. Hôpitaux, structures de soins et acteurs de l’aide à domicile figurent parmi les organisations directement impactées par NIS2. « La protection des données de santé devient un enjeu majeur », souligne Sébastien Weiland.
CISO as a service
Afin d’accompagner cette montée en puissance des besoins, Luxcontrol poursuit le développement de ses services avec le soutien de sa maison mère TÜV Rheinland en Allemagne, qui dispose de plusieurs centaines de spécialistes cybersécurité, preuve que les enjeux liés à ce domaine se développent de façon exponentielle.Luxcontrol, initialement composée d’une seule personne en 2024, compte désormais plusieurs collaborateurs et élargit progressivement son portefeuille de services : gouvernance, gestion des risques, tests d’intrusion ou encore sécurité offensive.
« Parmi les offres qui suscitent le plus d’intérêt figure notamment le CISO as a Service, ou RSSI externalisé ». Le principe : mettre à disposition des PME ou des communes un responsable cybersécurité externalisé à temps partiel. Souvent, cette responsabilité est ajoutée à celle d’un responsable IT déjà fortement sollicité. Avec cette approche, nous mettons à disposition une ressource capable d’aider à structurer la gouvernance, les analyses de risques et la documentation nécessaire », conclut Olivier Antoine.