«La cybersécurité est un sujet d’intérêt majeur»
Si la transformation digitale est synonyme de grandes opportunités, elle présente également des risques importants de sécurité pour toutes les entreprises. Industries, banques, institutions ou administrations, quelle que soit leur taille, doivent se protéger d’une potentielle cyberattaque. Pour évoquer ce sujet, nous avons rencontré Carlo Harpes, fondateur et gérant d’itrust consulting, société experte en cybersécurité au Luxembourg depuis 2007.
Pouvez-vous nous présenter l’entreprise, son activité, ses clients?
itrust consulting est une entreprise luxembourgeoise fondée il y a quinze ans, dont l’activité couvre tous les aspects de ce que l’on nomme la sécurité de l’information, cybersécurité inclue. Autrement dit, nous aidons nos clients à assurer la confidentialité, l’intégrité ainsi que la disponibilité de leurs données, et donc la pérennité de leurs activités. Nous disposons pour cela de méthodologies et d’outils d’analyse de risque, de modèles de documents, d’exigences et de processus standards, simples à intégrer dans une culture d’entreprise. Nos solutions permettent, entre autres, de mettre en place un système de management de la sécurité certifiable, d’améliorer l’organisation de la sécurité et d’identifier des failles techniques.
Notre secteur d’activité s’est progressivement réorienté du secteur bancaire vers des entreprises industrielles et des prestataires de services essentiels, en particulier dans le domaine de l’énergie. Le secteur public, en particulier les administrations luxembourgeoises ou européennes, fait aussi partie de nos clients les plus importants. Depuis la Réglementation Générale sur la Protection des Données (RGPD), nous accompagnons également de nombreuses petites entreprises, souvent en tant que DPO, dans la mise en place d’une gouvernance efficace de la sécurité des informations.
En quoi itrust se démarque-t-elle de ses concurrents?
Nous sommes probablement la société privée la plus active dans le domaine de la recherche appliquée. Nous participons notamment à des projets de recherche à l’échelle européenne. Si les demandes et les délais de nos clients sont un moteur de développement, nos collaborateurs mènent de manière autonome des travaux de R&D qui leur permettent d’approfondir et de rafraîchir leurs connaissances. C’est essentiel dans un secteur en perpétuelle évolution comme le nôtre.
Où en sommes-nous en matière de cybersécurité à l’échelle du Luxembourg?
Officiellement, c’est un sujet d’intérêt majeur, mais sa complexité fait qu’il est trop souvent négligé au moment des prises de décisions. Les prestataires et les outils de cybersécurité étant très présents au Luxembourg, les décideurs atteignent un niveau de sécurité souvent plus élevé que dans d’autres pays. Mais, à l’inverse, nous observons parfois des lacunes et une compréhension erronée dans la gouvernance et l’organisation, dans l’analyse des risques ou dans les audits de sécurité.
Quels conseils adressez-vous aux décideurs et entrepreneurs?
Osez déléguer vos décisions à des experts sur le terrain et arbitrez en cas de conflit d’intérêts entre différents métiers au sein de l’entreprise. Dans ce cas, prenez le soin de bien écouter les arguments de part et d’autre avant de décider. Ainsi, vous éviterez que des vulnérabilités ignorées sur le moment deviennent la cible d’attaques par la suite.
Soyez vigilants aux dépendances que pourraient causer des attaques sur la chaîne d’approvisionnement. Prenons un exemple concret: lorsque la guerre en Ukraine a éclaté, des cyberattaques ont pris pour cible un module du satellite qui assurait la communication entre les éoliennes en Europe et leurs propriétaires. Ainsi, une seule attaque avait un effet sur toute la production d’énergie éolienne européenne, car, par manque de visibilité, les exploitants ont souvent décidé de mettre leurs infrastructures à l’arrêt.
itrust consulting a récemment fêté ses quinze ans d’existence lors d’un événement, quel regard portez-vous sur le chemin parcouru?
C’est un regard empreint de joie et de fierté bien sûr. La «startup de l’année» que nous étions en 2008 a bien grandi. Ces dernières années, nous avons rédigé la gouvernance sécurité pour plus de 20 clients, dont beaucoup ont obtenu la certification 27001. Nous avons appliqué nos outils et méthodologies d’analyse de risque à cinq acteurs principaux dans le secteur de l’énergie entre autres. Malgré de nombreux défis économiques et humains et une complexité technique croissante, nous restons dans un mouvement d’accélération continue.
Cette belle soirée était aussi l’occasion de remercier notre personnel, nos clients et nos partenaires. Nous en avons profité pour annoncer quelques perspectives d’avenir, notamment la création d’une nouvelle société, «itrust Abstractions Lab», dédiée à la cryptographie, aux ordinateurs quantiques, aux méthodes de développement sécurisé, et aux vérifications et certifications de logiciels.
Parmi les perspectives évoquées lors de l’événement, peut-on revenir sur CyFORT?
IPCIE-CIS est une initiative européenne devant encourager les sociétés à investir dans les technologies Cloud. Le Luxembourg a quant à lui choisi de mettre l’accent sur la cybersécurité du Cloud et a incité la Place à proposer ses idées, dans un esprit d’ouverture et de partage avec tout le secteur.
Dans ce cadre, itrust a développé le projet Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience (CyFORT). Dans ce projet national supporté par le ministère de l’Économie, nous créerons six outils: un lié à la détection et la prévention des intrusions, un autre dédié aux menaces enrichies sémantiquement, un pour la création de logiciels sécurisés et certifiables, une application de «contrats intelligents», un programme de recherche doctorale contre des attaques quantiques et, enfin, un ensemble d’outils fournissant des fonctionnalités de gouvernance de la sécurité du Cloud.
Les quinze prochaines années s’annoncent donc chargées pour itrust!
Oui, les projets ne manqueront pas! Nous souhaitons vraiment rendre la gouvernance de la sécurité plus efficace et encourager les échanges entre les acteurs de la Place. C’est la clé pour réussir face à un milieu de la cybercriminalité extrêmement bien organisé. À cet égard, il convient de privilégier des acteurs locaux, qui fonctionnent de manière ouverte et créent des compétences locales, au lieu d’investir dans des produits de leaders mondiaux. Le gain financier initial de ces produits se traduit finalement trop souvent en dépendances supplémentaires, en augmentations de prix, et en pertes de connaissances internes. Nos produits open sources inciteront à aller dans une direction de compétence et de maîtrise interne renforcée.
itrust consulting
55, rue Gabriel Lippmann
L-6947 Niederanven
www.itrust.lu