BUSINESS · TECHNOLOGY · INDIVIDUALS
Pascal Steichen : regard sur les challenges de la cybersécurité

2019, année de la révolution digitale ?

Je ne sais pas si on peut parler de révolution… Quand on est dans une révolution, en général, on ne s’en rend pas compte. Mais il est clair que la digitalisation bouleverse le monde de l’entreprise, pour ne pas dire de la société tout entière. Depuis 2-3 ans, on ressent un besoin et une demande croissants en matière de cybersécurité.

La sensibilisation a porté ses fruits. Dans les sondages, la cybersécurité arrive dans le top 5 des facteurs qui vont impacter les entreprises.

Notre tâche aujourd’hui est de faire en sorte que l’offre augmente au même rythme que les besoins. Nous devons d’une part développer de nouveaux services et formations pour les entreprises qui ont déjà identifié leurs besoins et d’autre part continuer à faire de la sensibilisation auprès des PME / TPE qui n’ont pas encore pris conscience des nouveaux risques cyber.

Bien gérer les données, c’est le must d’une « digital nation ». Comment s’en sort-on ?

Le fuel de la numérisation, ce sont les données, leur manipulation, leur gestion. C’est cela qui va guider l’évolution. Ce n’est pas pour rien que le Ministère de l’Économie est en train de lancer une stratégie pour développer une « data driven economy ». De son côté, la réglementation du traitement des données favorise le développement de l’économie digitale.

Dans ce contexte, il faut mettre en place des mécanismes pour bien gérer les données. Il faut garantir à la fois l’intégrité et la disponibilité des données, car sans accès à celles-ci une entreprise ne peut plus fonctionner. Et la cybersécurité devra aborder de nouveaux aspects, tels que l’Internet des Objets (IoT), l’intelligence artificielle et l’émergence de systèmes hybrides (« Cyberphysical »).

Ici ce sont deux mondes totalement différents qui se rencontrent et qui doivent apprendre à se connaître. Les standards de qualité et de sécurité IT ne sont généralement pas appliqués par les constructeurs d’objets connectés, ou de voitures, car ceux qui les ont créés sont des techniciens ou des ingénieurs qui n’ont pas forcément une sensibilité aux enjeux de la cybersécurité.

Vers des « cyber droits de l’Homme »

Internet est secoué de toutes parts, comment réagir ?

C’est très clair que l’Internet est secoué.  Beaucoup de voix s’élèvent pour dire qu’il devient trop anarchique, que l’on devrait le réglementer à l’instar des espaces aériens ou maritimes. Il faudrait plus de règles fortes par rapport aux codes de bonne conduite qui prévaut jusqu’à présent.

Il y a d’ailleurs pas mal de discussions au niveau de l’ONU ou dans différentes autres instances internationales. Cette démarche a été baptisée « Cyberdiplomacy ». Il y a une série de normes qui ont été identifiées, mais elles sont toujours à l’état de « bonnes pratiques », et non pas de règles de droit international. Cependant, on peut espérer qu’un jour des « cyberdroits » feront l’objet d’une convention internationale qui aura la même valeur que la Déclaration universelle des Droits de l’Homme.

C’est un travail de longue haleine, il a débuté depuis 10 ans et certains voudraient avancer plus rapidement en commençant par signer des pactes multilatéraux avec les pays les plus motivés. C’est notamment le sens d’initiatives telles que l’Appel de Paris, la « Charter of Security » ou du « Contract for the Web » lancé par Tim Berners Lee. On y retrouve la même philosophie : donner au gouvernement, aux entreprises et aux citoyens des lignes directrices claires en termes de bonnes pratiques cyber.

Quitter Facebook, c’était votre bonne résolution pour 2019 ? Vous allez vraiment le faire ? N’est-ce pas un peu radical ?

Je l’ai annoncé et je l’ai fait, en direct lors du Cybersecurity Breakfast #28, du 31/01/2019. Cela peut sembler radical, mais c’est une action concrète, symbolique et simple à réaliser. C’est évidemment en relation avec les scandales à répétition que Facebook a rencontrés en 2018. J’ai déjà reçu plusieurs réactions positives sur cette prise de position. Beaucoup m’ont dit qu’ils voulaient aussi le faire, certains qu’ils l’avaient déjà fait. Le respect de la vie privée est une des forces majeures d’un Internet sûr et mature. Je suis persuadé que 2019 sera une année charnière.

Vraiment simple à réaliser ?

Oui, mais il est évident que la difficulté n’est pas technique, elle est avant tout psychologique. Et selon que l’on est actif sur un réseau social depuis 10 ans ou bien seulement depuis quelques mois, cela change votre relation à celui-ci ainsi qu’à votre communauté numérique.

Ne jamais perdre une journée sans apprendre quelque chose

Vous avez étudié l’astrophysique ? Quel rapport avec la Cybersécurité ?

Il n’y a pas de lien direct entre les deux. A l’inverse, il y a même une grande différence, dans l’espace on ne peut que regarder, essayer de comprendre, interpréter, mais on ne peut pas expérimenter ni tenter d’influencer la course des astres. En cybersécurité, c’est tout le contraire : il faut intervenir, agir et aider les autres à se protéger. Ce qui rassemble ces deux univers est toutefois leur niveau de complexité. Il y a une forme de « relativité » dans la cybersécurité, qui fait que selon le point de vue où l’on se place la perception n’est pas la même. Dans un domaine comme dans l’autre, il est absolument impossible de passer une  journée sans apprendre quelque chose, ce qui est d’ailleurs mon credo dans la vie.

Revenons sur terre. La cybersécurité progresse… Mais elle manque encore de structure, de lien ?

Tout à fait, cela fait un certain temps que SECURITYMADEIN.LU investit dans ce sens. Il est nécessaire de fédérer les acteurs de l’écosystème de la cybersécurité. Il faut d’abord les identifier, comprendre leur rôle, leurs besoins. Et dans un secteur en forte évolution depuis quelques années, il n’était pas utile de figer les choses trop rapidement. Le système s’est autorégulé, au sens biologique du terme. Maintenant, nous arrivons à un stade où certaines régulations viennent de l’extérieur. C’est donc le bon moment pour structurer et renforcer l’écosystème.

Globalement, les entreprises ne doivent pas considérer les nouvelles règles comme des contraintes ou comme des opportunités marketing, mais comme des outils pour progresser, pour devenir plus efficaces et résilientes.

Avec le Cybersecurity Act, un tout nouveau cadre de certification du monde numérique va être mis en place. Il faut s’y préparer en adoptant dès maintenant la bonne posture.

Quels sont les grands challenges pour 2019 ?

Tout d’abord au niveau des ressources : les experts IT deviennent rares. Cela va se ressentir de manière accrue dans les mois et les années qui viennent. En réponse à cette pénurie, nous allons lancer une série d’initiatives qui vont proposer de nouvelles formations, notamment en formation continue.

Nous voulons aussi nous adresser aux jeunes, pour susciter des vocations. Nous avons besoin de profils techniques, mais pas uniquement : la cybersécurité est une discipline transversale qui demande également des compétences organisationnelles, juridiques, et de communication. Il faut également s’efforcer de plus intégrer les femmes qui sont gravement sous-représentées dans les métiers de la cybersécurité.

Bref, il y a du pain sur la planche, et nous comptons sur tous les acteurs de l’écosystème luxembourgeois de participer à l’effort. Nous voulons aussi travailler sur les compétences collectives, qui ne sont pas suffisamment prises en compte dans les formations classiques, mais qui sont cruciales dans des situations de crise.

Bien qu’elle ait gagné ses lettres de noblesse, la cybersécurité est encore un secteur en plein essor qui nécessite la participation de tout un chacun afin de faire face à ses futurs défis.