|
 |
|
|
|
Interview avec LG.
Les administrations communales sont-elles préparées face aux défis de la cybersécurité et de la loi NIS2 ? Comment s’y prendre ? Interview avec Lynn Pinto, DPO, Camar Houssein, responsable SECaaS, et Carlo Harpes, gérant de l’itrust consulting s.à r.l. et président du comité (luxembourgeois) de normalisation en sécurité.
Carlo : Le texte de la directive NIS2 est publié depuis 2022 ; le Luxembourg a choisi l’option d’une transposition aussi simple et minimaliste que possible ; toutes les entités pratiquant les soumissions publiques sont visées ; elles devront maîtriser les risques de cybersécurité, reporter leurs dépendances, l’état de leur sécurité et le résultat de leur traitement des risques à l’ILR. En plus, elles doivent remonter les incidents et peuvent recevoir des injonctions de l’ILR, si nécessaire pour maîtriser des risques.
Le ministre Léon Gloden, les a encouragés à prendre ce défi au sérieux, à ne pas attendre la loi pour se préparer. Le lendemain du vote, chaque entité doit avoir une analyse de risque approuvée qui justifie qu’elle a trouvé le bon équilibre entre investir en mesures de sécurité et accepter des risques résiduels ; elle doit montrer régulièrement son plan d’amélioration à l’ILR.
Camar : Nous sommes d’accord avec l’ILR que la loi NIS2 n’exige rien de plus qu’un dirigeant responsable. Pourtant il impose une politique de sécurité des ressources humaines, une gestion (formalisée) des accès, une gestion des actifs, c’est-à-dire une inventorisation, classification et attribution de responsabilité liée à ces actifs, et le plus dur, une appréciation et un traitement des risques tenant compte des normes en vigueur, virtuellement inconnues dans le secteur. Nous pouvons facilement former une personne à estimer les risques, mais cette estimation reste incertaine, même pour un expert. Mon responsable dit toujours que mener une analyse de risque est un art plutôt qu’une science, car ce processus doit produire des résultats argumentés et « reproductibles ».
Lynn : Oui clairement, encore trouvons-nous toujours des entités qui y sont mal préparées : sans registre des activités de traitement ou avec registre incomplet, sans notice d’information facilement accessible aux personnes concernées, et ceci après 7 ans d’entré en vigueur et une CNPD qui a engagé plus de 60 fonctionnaires pour contrôler et enseigner. Récemment nous sommes encore tombés sur des secrétaires communaux qui sont aussi DPO, donc en situation de conflit d’intérêts, ce qui montre l’insouciance des décideurs à respecter les lois et règlements.
Carlo : Le Collège du bourgmestre et des échevins, bien que nous ayons souvent de la compassion pour eux, tant ils sont submergés par ce type d’exigences. Notez que plus de 100 décideurs politiques communaux ont démissionné depuis le début du mandat il y a 3 ans. Ils ne peuvent pas maîtriser tout domaine technique et le personnel en place est réticent aux changements, et refuse parfois à accepter des responsabilités, et ce malgré une sécurité d’emploi extraordinaire. A ceci s’ajoute un support trop rudimentaire des entités institutionnelles, l’autonomie communale étant une excuse partiellement valable. Et pour NIS2, une liste d’exigences du régulateur mal élaborée.
Camar : NIS2 exige de s’orienter vers les normes de sécurité en vigueur pour trouver les bonnes protections. Ces mesures nous sont bien connues, et souvent déjà implémentées par nos clients : il s’agit d’ISO/IEC 27002 pour les mesures générales, 27001 pour le management la gouvernance, 27701 pour la protection des données, 22301 pour la continuité, aujourd’hui appelée résilience… Ces connaissances n’existent pas dans l’outil d’analyses de risques promu par l’ILR et chaque entité devra les étudier et ajouter manuellement. Alors qu’on pourrait laisser un libre choix sur l’outil comme le fait la CSSF, l’ILR impose un format très particulier, défini par un outil luxembourgeois et une guidance qui présente des signes d’immaturité. Les opérateurs d’électricité en Allemagne se sont engagés à une certification indépendante basée sur 27001, 27002, 27019, par des entités accréditées par l’État. Ceci crée un écosystème avec des mécanismes de contrôle bien rodé (par L’OLAS), à des prix similaires, mais avec des garanties et un niveau de sécurité bien supérieur à nos auto-évaluations.
Autre problème, cette auto-évaluation n’utilise pas la norme 27002, mais un guide européen peu répandu et n’est pas intégrée dans l’outil d’analyse de risque.
Carlo : Un modèle de collaboration est notre projet commun pour Diekirch et Ettelbruck qui mutualisent les coûts de notre assistance CISO, et qui sont déjà conformes pour les services industriels. Certaines autres veulent mutualiser un poste de CISO tout comme certaines mutualisent déjà le service agent municipal.
Nous avons aussi proposé à l’ILNAS de créer un comité de normalisation pour les Communes, de façon que le secteur élabore des bases communes pour leurs activités, non seulement en cybersécurité.
Finalement l’ILR a annoncé de se concerter avec les prestataires de service en cybersécurité qui sont les accélérateurs pour la mise en œuvre et les concepteurs de solutions plus performantes que ceux actuellement en place, mais cette collaboration n’a jamais démarré.
Lynn : Il « suffit » de généraliser la procédure des gestions des incidents, de créer ou planifier un système de gestion de la sécurité, donc une organisation avec idéalement la désignation d’un CISO interne ou externe qui surveille la sécurité dans l’IT et les métiers, de former les dirigeants, de mettre en applications quelques politiques de sécurité supplémentaires inspirées des normes et façonnées au besoin d’une petite administration, puis de documenter et de gérer les risques.
Camar : Il est simple de devenir « conforme », à condition que le personnel accepte de nouvelles responsabilités, est disponible en moyenne une journée pour y être formé et lire la documentation, contribue à remonter les problèmes et les corriger. Et de disposer d’un budget de 15 à 30 k€ d’assistance externe pour créer une documentation initiale, coacher le personnel, et guider les dirigeants dans le traitement des risques.
Mais conforme ne veut pas dire sécurisé, et accepter une responsabilité ne veut pas dire avoir le temps et les compétences pour prendre les bonnes décisions. Atteindre un bon niveau de sécurité peut prendre des années, mais NIS2 n’impose pas de délai. En d’autres mots, la conformité NIS2 n’assure pas la sécurité, mais permet aux dirigeants de prendre les bonnes décisions pour plus de cybersécurité.
Carlo : Après 15 analyses soumises à l’ILR, nous connaissons leurs méthodes et exigences. Ayant implémenté la protection des données auprès de 15 communes avec des budgets limités, nous connaissons le contexte, et nous avons réussi de les mettre en conformité.
Nous avons conçu un outil gratuit, OpenTRICK, pour simplifier la gestion des risques. Il importe les actifs de notre inventaire ; il documente les paramètres de risques, le niveau de conformité pour le plan de traitement des risques et pour l’auto-évaluation, il exporte les informations dans le format et la précision demandée de l’ILR. Il facilite le suivi dans un outil de tickets, comme Redmine, soit in-house ou dans un espace hébergé chez nous : redmine.opentrick.eu.
L’observation de règles de sécurité nécessite cependant un effort et une attention supplémentaire, mais à voir les vulnérabilités et pratiques actuelles, les améliorations demandées valent bien leur prix.
Lynn : Dans le cadre de CyFORT, nous offrons bientôt une IA gratuite pour les administrations communales pour les aider à inventorier les actifs IT et améliorer les documents, pour les entraîner et encourager l’interopérabilité entre communes, plutôt qu’avec des multinationales.
itrust consulting a bénéficié des IA à plusieurs niveaux : pour améliorer notre documentation, dans notre outil RADAR, pour trouver les premières traces d’un piratage… Mais le plus préoccupant demeure les avantages qu’en tirent les fraudeurs : Les arnaques deviennent de plus en plus sophistiquées et personnalisées sur les faiblesses des victimes.
Carlo : Conformité n’est pas sécurité. Il est simple de se mettre en conformité, il est difficile et coûteux de sécuriser une infrastructure. Nous préconisons les quick-win : la formation du personnel, les vérifications indépendantes de la configuration des systèmes, le recours à des logiciels libres et ainsi l’investissement en compétences locales plutôt qu’en licence IT de produits IT mal exploités.
Le plus difficile est de changer les habitudes, d’accepter qu’on doive justifier ses choix, de remplacer la confiance par des vérifications, surtout en matière de gestion de l’IT où les erreurs sont simplement humaines, et souvent facilitées par un manque de temps. Voilà pourquoi, le secteur doit collaborer et chercher des synergies.
