LA SÉCURITÉ SUR MESURE

Crise sanitaire sur fond de mutations sociétales, économiques et technologiques ; les temps qui courent nécessitent une attention bien particulière à toutes les formes de sécurité, informatique notamment. Carlo Harpes, fondateur et directeur d’itrust consulting, société active dans la recherche et le conseil en matière de cybersécurité, intervient sans détour sur ce sujet dans l’air du temps.

Smart cities, smart industries, smart infrastructures… Notre environnement est de plus en plus « intelligent », connecté et, par conséquent, sujet aux intrusions et cyberattaques. Quels sont les défis et les risques en matière de cybersécurité ?

Nous faisons face à plusieurs défis. Le premier réside dans les protocoles de sécurité simplistes des dispositifs de plus en plus compacts et rapides qui sont utilisés actuellement. Le second relève de l’ouverture de l’information. La société de l’« open data » dans laquelle nous vivons rend possible l’apparition de nouveaux services en même temps qu’elle permet à certains, grâce à l’intelligence artificielle, de collecter un grand nombre de données sans l’accord de leur propriétaire. Troisièmement, le climat d’inquiétude qui règne actuellement profite aux cyberattaquants qui tirent parti d’une certaine négligence ou de décisions prises un peu trop rapidement.

Vos activités en termes de recherche et développement vous permettent d’y proposer des solutions innovantes. L’enjeu est ensuite de passer à un produit opérationnel. Quels sont les derniers qu’itrust ait commercialisés ?

Nous avons commencé par commercialiser des produits destinés aux professionnels de la sécurité, notamment un outil d’analyse de risques utilisé pour recenser les failles potentielles et planifier des mesures d’amélioration. Il vise à démontrer que l’effort investi en sécurité est en adéquation avec les moyens et les risques. Mais cette approche statique ne suffit pas toujours. Un monitoring de la situation est parfois essentiel. C’est pourquoi nous avons développé les outils nécessaires à la mise à jour de cette vue sur la situation des risques. Evidemment, cette solution de monitoring doit forcément être adaptée aux spécificités de l’entreprise ou du réseau auquel elle est destinée. Cela nécessite un certain temps d’adaptation ainsi qu’un travail de suivi. Nous attendons des sociétés qu’elles investissent davantage dans ces systèmes. Pour l’instant, ils sont surtout utilisés par les gestionnaires d’infrastructures critiques. Nous cherchons donc d’abord des améliorations de la sécurité dans ce domaine. C’est l’objectif du projet de recherche européen CRITISEC coordonné par Hitec et que nous menons en partenariat avec l’Université du Luxembourg. Financée à plus de 50% par le ministère de l’Economie, cette initiative vise à développer un produit commercial permettant d’augmenter la sécurité des réseaux d’infrastructures critiques via un dispositif qui observe des comportements inhabituels dans un réseau de contrôle industriel.

Nous devrons miser sur des solutions de sécurité locales faites sur mesure

Pour rentabiliser davantage cet investissement, nous avons décidé de simplifier les algorithmes de cette solution consacrée à des systèmes complexes pour les transposer aux réseaux domestiques. Nous développons dès lors un boîtier destiné à alerter les occupants de maisons intelligentes en cas de trafic anormal. Notre solution se mue ainsi en un produit plus universel qui a toute son importance car, avec l’émergence rapide de nouveaux systèmes et le nombre croissant de dispositifs connectés à cet environnement, il est impossible pour tout un chacun de maîtriser parfaitement l’IT de son habitation. Le moindre appareil, comme la télévision, peut être un vecteur d’attaque. Ce boîtier doit renforcer la confiance de l’occupant dans son équipement en lui offrant une aide dans la surveillance et un support en cas d’anomalie.

Vous évoquiez précédemment la crise actuelle liée à l’épidémie de coronavirus. Votre rôle est-il renforcé dans le dispositif de sécurité mis en place chez vos clients ?

En théorie, nous imaginions que nos clients, qui seraient plus absorbés par leur cœur de métier, nous sous-traiteraient plus de travail. En pratique, les entreprises sont tellement occupées qu’elles risquent de ne plus penser à la sécurité, ou en tout cas beaucoup moins. Elles sont prêtes à courir de plus grands risques – ce qui est compréhensible car leur existence même et les problèmes de santé priment évidemment sur la sécurité de l’information – mais nous les appelons tout de même à rester vigilantes et à ne pas négliger les bons réflexes. Bien que la crise tende à ralentir notre activité de conseil, le projet CRITISEC, pour lequel nous avons malgré tout recruté trois personnes, va bon train et nous permettra de proposer un produit commercialisable à la fin de l’épidémie.

Contrairement à ce que considèrent certains, j’estime que les PME ou les créateurs de solutions n’ont pas tellement besoin des mesures anti-crises ponctuelles consenties par le gouvernement luxembourgeois mais plutôt d’une sorte de plan Marshall qui permettrait au secteur public d’investir dans les innovations qu’ils génèrent. Pour les décideurs politiques, cette crise pourrait représenter l’occasion de renforcer l’économie locale dans divers domaines, notamment celui de la sécurité où se vérifient, comme dans la chaîne d’alimentation pharmaceutique, les limites de notre dépendance à l’import. Les principales solutions IT ne proviennent généralement pas de sociétés européennes et sont, pour la plupart, vendues sans support et développées sans maîtrise profonde des activités des clients. Ainsi, s’il est très difficile de prédire comment évoluera la société après la crise du nouveau coronavirus, je suis convaincu qu’il nous faudra de meilleurs outils de sécurisation. Pour cela, je reste persuadé que nous devrons miser sur des solutions locales faites sur mesure.

Itrust consulting
55, rue Gabriel Lippmann
L-6947 Niederanven
www.itrust.lu