Accueil | Dossiers | Cybersécurité : le Luxembourg à l’avant-garde

Cybersécurité : le Luxembourg à l’avant-garde


Dans les locaux du C3, une équipe d'experts œuvre à la défense des piliers de la sécurité digitale. (photos François Aussems)

Malware, phishing, DDoS… Nos outils de travail sont menacés ! Visite du nouveau Centre de compétences en cybersécurité (C3) à Luxembourg, qui fait de la sécurité digitale un enjeu… et un jeu !

Vous connaissez l’escape room, ce jeu qui consiste à devoir s’échapper d’une pièce en résolvant des énigmes ? Transposez le concept dans un bureau où un hacker prépare une cyberattaque et vous obtenez Room#42, l’une des «attractions» de ce centre qui a de grandes ambitions internationales…

Dans une pièce plongée dans la pénombre, les «joueurs» ont à leur disposition ordinateurs, téléphones, messageries, bref, l’attirail classique de l’employé de bureau. Sauf que derrière une vitre sans tain se cache un pirate qui orchestre les attaques et les effets spéciaux. Car oui, un pirate peut non seulement faire planter votre ordinateur, mais il peut aussi prendre le contrôle de la lumière ou des portes !

Dans cette pièce, les joueurs vont «souffrir» pour la bonne cause.

Dans cette pièce, les joueurs vont «souffrir» pour la bonne cause.

Ce pirate, c’est Jérôme Jacob, qui nous fait visiter Room#42. «Vous êtes dans un simulateur de cyberattaque», explique cet expert. Aujourd’hui, apprendre la théorie des cyberattaques, bien assis derrière un bureau, ne suffit plus. Il faut vivre l’attaque. L’idée, c’est de laisser les gens autonomes, sans arbitrage, qu’ils comprennent le problème d’eux-mêmes et tentent de le résoudre.»

Aujourd’hui, l’attaque prend la forme d’une simple clé USB. Aussitôt branchée sur le PC, le mal est fait. «Cette clé est une arme de destruction massive. Elle contient un crypto-ransomware.» Soit un logiciel malveillant qui va crypter les données et demander une rançon pour les rendre à nouveau accessibles.

«Regardez, l’attaque est déjà lancée. On ne peut plus rien faire, tous vos fichiers sont cryptés. Si votre poste est en réseau, tout va être contaminé : les autres PC, les serveurs… Vous voyez, votre activité économique peut être mise en péril par ce simple geste.»

« Limiter 80 à 90% des risques »

Et c’est là qu’on comprend qu’on n’est pas ici pour s’amuser. «Les gens vont « souffrir » pendant une heure. Il faut apprendre les bons réflexes, car ce sont dans les premières heures, voire les premières minutes, que se décide la gravité des conséquences. Or il peut être 22h ou bien le responsable IT peut être absent… Bref, les procédures tombent à l’eau, une équipe doit apprendre à se décider sans les personnes clés. D’autant qu’une attaque est souvent suivie par d’autres, qu’il faut anticiper la communication interne, celle avec la presse… Donc notre objectif, c’est d’apprendre à prévenir plutôt qu’à guérir et d’apprendre à limiter les dégâts, sachant que la sécurité absolue n’existe pas, mais qu’on peut limiter 80 à 90% des risques.»

490_0008_14848444_rom1

On l’aura compris, Room#42 n’est pas un jeu, mais une très sérieuse formation destinée à tous ceux qui, dans le secteur public ou privé, sont confrontés à de tels risques. Les entreprises peuvent par exemple venir tester leurs procédures, apprendre à améliorer le dialogue entre le management et le service IT… Un service qui n’est pas encore très répandu dans le monde : «On est plutôt des précurseurs», estime Jérôme Jacob.

Ce service est donc l’une des facettes d’un nouveau-né appelé C3. S’appuyant sur l’expertise acquise par les plateformes Securitymadein.lu, circl.lu et cases.lu, ce centre a l’ambition de réunir sous un même toit les trois piliers de la sécurité digitale.

Au second étage d’un bâtiment situé boulevard d’Avranches à Luxembourg, on trouve donc plusieurs pôles de compétences, comme un observatoire des menaces et vulnérabilités. Là, un expert nous rappelle que «les attaquants eux-mêmes font des erreurs, erreurs qui permettent de trouver les infrastructures qu’ils utilisent et d’apprendre à les combattre». Un autre expert nous explique qu’il modélise le risque informatique de chaque société pour identifier ses failles : droits d’accès aux bâtiments, mots de passe, etc.

On y trouve aussi un centre de formation ainsi qu’un laboratoire où sont testés de nouveaux produits et des solutions numériques. En effet, chaque nouvel ordinateur, chaque nouveau terminal et programme apporte son lot de risques… Bref, le progrès est ainsi fait que la sécurité digitale est un secteur qui ne risque pas de connaître la crise !

Romain Van Dyck

« Un pilier de notre économie »

La cybersécurité devient un facteur crucial, un pilier de notre politique économique, car si on veut développer le secteur des FinTech, il est indispensable d’offrir un environnement digital le plus sécurisé possible», a confié Francine Closener au Quotidien. «Le C3 doit donc devenir une référence nationale et internationale en la matière», poursuit la secrétaire d’État à l’Économie.

Le Luxembourg, avec des initiatives comme le Circl (Computer Incident Response Center Luxembourg) ou Monarc (Méthode optimisée d’analyse des risques), avait déjà une bonne réputation. Mais le C3 offre «un instrument qui nous manquait, puisqu’il s’adresse aux grandes entreprises qui ont une équipe IT et qui peuvent venir ici tester si leurs programmes et plans de sécurité sont optimales». Le C3 s’adresse aussi «aux PME qui ont des prestataires extérieurs pour leur IT, et qui peuvent faire venir leur équipe ici pour les former aux bons réflexes».

Enfin, «Les start-up peuvent venir ici tester les produits qu’ils sont en train de développer, pour vraiment convaincre leurs clients que leur programme est performant et fiable, donc c’est un formidable outil !»