|
 |
|
|
|
Interview avec LG.
Les administrations communales sont-elles préparées face aux défis de la cybersécurité et de la loi NIS2 ? Comment s’y prendre ? Interview avec Lynn Pinto, DPO, Camar Houssein, responsable SECaaS, et Carlo Harpes, gérant de l’itrust consulting s.à r.l. et président du comité (luxembourgeois) de normalisation en sécurité.
Carlo : Le texte de la directive NIS2 est publié depuis 2022 ; le Luxembourg a choisi l’option d’une transposition aussi simple et minimaliste que possible ; toutes les entités pratiquant les soumissions publiques sont visées ; elles devront maîtriser les risques de cybersécurité, reporter leurs dépendances, l’état de leur sécurité et le résultat de leur traitement des risques à l’ILR. En plus, elles doivent remonter les incidents et peuvent recevoir des injonctions de l’ILR, si nécessaire pour maîtriser des risques.
Le ministre Léon Gloden, les a encouragés à prendre ce défi au sérieux, à ne pas attendre la loi pour se préparer. Le lendemain du vote, chaque entité doit avoir une analyse de risque approuvée qui justifie qu’elle a trouvé le bon équilibre entre investir en mesures de sécurité et accepter des risques résiduels ; elle doit montrer régulièrement son plan d’amélioration à l’ILR.
Camar : Nous sommes d’accord avec l’ILR que la loi NIS2 n’exige rien de plus qu’un dirigeant responsable. Pourtant il impose une politique de sécurité des ressources humaines, une gestion (formalisée) des accès, une gestion des actifs, c’est-à-dire une inventorisation, classification et attribution de responsabilité liée à ces actifs, et le plus dur, une appréciation et un traitement des risques tenant compte des normes en vigueur, virtuellement inconnues dans le secteur. Nous pouvons facilement former une personne à estimer les risques, mais cette estimation reste incertaine, même pour un expert. Mon responsable dit toujours que mener une analyse de risque est un art plutôt qu’une science, car ce processus doit produire des résultats argumentés et « reproductibles ».
Lynn : Oui clairement, encore trouvons-nous toujours des entités qui y sont mal préparées : sans registre des activités de traitement ou avec registre incomplet, sans notice d’information facilement accessible aux personnes concernées, et ceci après 7 ans d’entré en vigueur et une CNPD qui a engagé plus de 60 fonctionnaires pour contrôler et enseigner. Récemment nous sommes encore tombés sur des secrétaires communaux qui sont aussi DPO, donc en situation de conflit d’intérêts, ce qui montre l’insouciance des décideurs à respecter les lois et règlements.
Carlo : Le Collège du bourgmestre et des échevins, bien que nous ayons souvent de la compassion pour eux, tant ils sont submergés par ce type d’exigences. Notez que plus de 100 décideurs politiques communaux ont démissionné depuis le début du mandat il y a 3 ans. Ils ne peuvent pas maîtriser tout domaine technique et le personnel en place est réticent aux changements, et refuse parfois à accepter des responsabilités, et ce malgré une sécurité d’emploi extraordinaire. A ceci s’ajoute un support trop rudimentaire des entités institutionnelles, l’autonomie communale étant une excuse partiellement valable. Et pour NIS2, une liste d’exigences du régulateur mal élaborée.
Camar : NIS2 exige de s’orienter vers les normes de sécurité en vigueur pour trouver les bonnes protections. Ces mesures nous sont bien connues, et souvent déjà implémentées par nos clients : il s’agit d’ISO/IEC 27002 pour les mesures générales, 27001 pour le management la gouvernance, 27701 pour la protection des données, 22301 pour la continuité, aujourd’hui appelée résilience… Ces connaissances n’existent pas dans l’outil d’analyses de risques promu par l’ILR et chaque entité devra les étudier et ajouter manuellement. Alors qu’on pourrait laisser un libre choix sur l’outil comme le fait la CSSF, l’ILR impose un format très particulier, défini par un outil luxembourgeois et une guidance qui présente des signes d’immaturité. Les opérateurs d’électricité en Allemagne se sont engagés à une certification indépendante basée sur 27001, 27002, 27019, par des entités accréditées par l’État. Ceci crée un écosystème avec des mécanismes de contrôle bien rodé (par L’OLAS), à des prix similaires, mais avec des garanties et un niveau de sécurité bien supérieur à nos auto-évaluations.
Autre problème, cette auto-évaluation n’utilise pas la norme 27002, mais un guide européen peu répandu et n’est pas intégrée dans l’outil d’analyse de risque.
Carlo : Un modèle de collaboration est notre projet commun pour Diekirch et Ettelbruck qui mutualisent les coûts de notre assistance CISO, et qui sont déjà conformes pour les services industriels. Certaines autres veulent mutualiser un poste de CISO tout comme certaines mutualisent déjà le service agent municipal.
Nous avons aussi proposé à l’ILNAS de créer un comité de normalisation pour les Communes, de façon que le secteur élabore des bases communes pour leurs activités, non seulement en cybersécurité.
Finalement l’ILR a annoncé de se concerter avec les prestataires de service en cybersécurité qui sont les accélérateurs pour la mise en œuvre et les concepteurs de solutions plus performantes que ceux actuellement en place, mais cette collaboration n’a jamais démarré.
Lynn : Il « suffit » de généraliser la procédure des gestions des incidents, de créer ou planifier un système de gestion de la sécurité, donc une organisation avec idéalement la désignation d’un CISO interne ou externe qui surveille la sécurité dans l’IT et les métiers, de former les dirigeants, de mettre en applications quelques politiques de sécurité supplémentaires inspirées des normes et façonnées au besoin d’une petite administration, puis de documenter et de gérer les risques.
Camar : Il est simple de devenir « conforme », à condition que le personnel accepte de nouvelles responsabilités, est disponible en moyenne une journée pour y être formé et lire la documentation, contribue à remonter les problèmes et les corriger. Et de disposer d’un budget de 15 à 30 k€ d’assistance externe pour créer une documentation initiale, coacher le personnel, et guider les dirigeants dans le traitement des risques.
Mais conforme ne veut pas dire sécurisé, et accepter une responsabilité ne veut pas dire avoir le temps et les compétences pour prendre les bonnes décisions. Atteindre un bon niveau de sécurité peut prendre des années, mais NIS2 n’impose pas de délai. En d’autres mots, la conformité NIS2 n’assure pas la sécurité, mais permet aux dirigeants de prendre les bonnes décisions pour plus de cybersécurité.
Carlo : Après 15 analyses soumises à l’ILR, nous connaissons leurs méthodes et exigences. Ayant implémenté la protection des données auprès de 15 communes avec des budgets limités, nous connaissons le contexte, et nous avons réussi de les mettre en conformité.
Nous avons conçu un outil gratuit, OpenTRICK, pour simplifier la gestion des risques. Il importe les actifs de notre inventaire ; il documente les paramètres de risques, le niveau de conformité pour le plan de traitement des risques et pour l’auto-évaluation, il exporte les informations dans le format et la précision demandée de l’ILR. Il facilite le suivi dans un outil de tickets, comme Redmine, soit in-house ou dans un espace hébergé chez nous : redmine.opentrick.eu.
L’observation de règles de sécurité nécessite cependant un effort et une attention supplémentaire, mais à voir les vulnérabilités et pratiques actuelles, les améliorations demandées valent bien leur prix.
Lynn : Dans le cadre de CyFORT, nous offrons bientôt une IA gratuite pour les administrations communales pour les aider à inventorier les actifs IT et améliorer les documents, pour les entraîner et encourager l’interopérabilité entre communes, plutôt qu’avec des multinationales.
itrust consulting a bénéficié des IA à plusieurs niveaux : pour améliorer notre documentation, dans notre outil RADAR, pour trouver les premières traces d’un piratage… Mais le plus préoccupant demeure les avantages qu’en tirent les fraudeurs : Les arnaques deviennent de plus en plus sophistiquées et personnalisées sur les faiblesses des victimes.
Carlo : Conformité n’est pas sécurité. Il est simple de se mettre en conformité, il est difficile et coûteux de sécuriser une infrastructure. Nous préconisons les quick-win : la formation du personnel, les vérifications indépendantes de la configuration des systèmes, le recours à des logiciels libres et ainsi l’investissement en compétences locales plutôt qu’en licence IT de produits IT mal exploités.
Le plus difficile est de changer les habitudes, d’accepter qu’on doive justifier ses choix, de remplacer la confiance par des vérifications, surtout en matière de gestion de l’IT où les erreurs sont simplement humaines, et souvent facilitées par un manque de temps. Voilà pourquoi, le secteur doit collaborer et chercher des synergies.
Article pour Lëtzebuerger Gemengen
Alors que la directive NIS2 impose aux organisations européennes un niveau de maturité nettement plus élevé en matière de surveillance de sécurité, les PME se retrouvent face à un défi disproportionné : répondre aux obligations de détection, de remédiation et de documentation, tout en fonctionnant avec des ressources limitées. Dans ce contexte, itrust Abstractions Lab et itrust consulting introduit une pile technologique ouverte articulée autour de deux systèmes complémentaires développés dans le contexte du projet CyFORT.
Pour lire tout l'article, cliquez ici.
Abstractions Lab annonce la publication de la version 0.6 d'IDPS-ESCAPE, désormais disponible sur GitHub. Cette version poursuit l'évolution initiée avec l'introduction du sous-système RADAR dans la version 0.4 et renforce considérablement la position d'IDPS-ESCAPE en tant que plateforme SOAR (Security Orchestration, Automation, and Response) ouverte, modulaire et axée sur la recherche.
Après l'extension fonctionnelle apportée tout au long de la série v0.5, la version v0.6 met l'accent sur la consolidation, la robustesse et la maintenabilité. Cette version améliore les scénarios opérationnels de RADAR, renforce la transparence grâce à une documentation détaillée et refactorise la couche d'automatisation afin de prendre en charge l'évolution à long terme et la reproductibilité. L'ensemble de scénarios actuel comprend la détection basée sur les signatures pour les connexions suspectes, la détection basée sur une liste blanche GeoIP et un scénario de détection des anomalies utilisant RRCF pour surveiller les changements de volume des journaux.
Cliquez ici pour lire l'article complet
|
Nous vous souhaitons de paisibles fêtes de Noël et une bonne année 2026 L’envoi de nos voeux par mail nous permet de reverser notre
|
|
|
La CNIL¹ a publié une étude intitulée « Quels bénéfices économiques du DPO en entreprise ? », qui montre que la désignation d'un délégué à la protection des données (DPO) n’est pas seulement une obligation ou une protection juridique : c’est aussi un levier économique pour l’entreprise.
Voici un aperçu des principaux avantages identifiés par l'étude :
Trouvez l’étude complète de la CNIL ici : https://www.cnil.fr/fr/quels-benefices-economiques-du-dpo-en-entreprise
[1] La Commission Nationale de l'Informatique et des Libertés est l'autorité française chargée de la protection des données.
Risk-aware Anomaly Detection-based Automated Response (Réponse automatisée basée sur la détection des anomalies et la prise en compte des risques)
L'équipe IDPS-ESCAPE est heureuse d'annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d'opérations de sécurité (SOC) modernes.
Cliquez ici pour lire l'article complet
itrust consulting est heureux d'annoncer le lancement de Whistleblowing as a Service. WBaaS garantit un moyen de signaler les violations de la loi au sein d'une entreprise sans répercussions pour l'employé, assurant ainsi la conformité à la loi du 16 mai 2023 concernant les entreprises de plus de 50 employés et les communes de plus de 10 000 habitants.
Le service comprend la mise en place d'un canal interne, et notre expert examinera tous les signalements effectués via la plateforme afin de vérifier l'anonymisation et la clarté des informations fournies. Seules les personnes autorisées et mandatées de l'organisation ciblée ont accès au signalement. Il est possible d'effectuer un signalement par téléphone ou lors d'une réunion, mais la méthode la plus simple consiste à le remplir sur la plateforme, qui garantit les normes de sécurité les plus élevées.
Pour plus d’informations, cliquez ici.
itrust consulting, en collaboration avec CyFORT, a le plaisir d'annoncer le lancement de son initiative de distribution de normes, visant à fournir des fichiers de normes et d'autres fichiers utiles au format Excel. Ces fichiers sont conçus pour une intégration transparente avec des outils open-source populaires comme Ariana et OpenAriana, OpenTrick. L'initiative permet aux organisations de générer facilement des politiques, d'effectuer des évaluations des risques, de réaliser des audits et bien plus encore, tout en tirant parti de la puissance et de la flexibilité des solutions open-source.
En proposant des normes dans un format Excel standardisé, itrust consulting simplifie le processus d'alignement sur les normes internationales et améliore l'efficacité des activités de gestion des risques et de conformité. Cette initiative prend en charge un large éventail d'applications, ce qui permet aux entreprises de gérer efficacement leurs tâches liées à l'ISO en utilisant les outils qu'elles connaissent et auxquels elles font confiance.
Cliquez ici pour télécharger des fichiers Excel gratuits
Cliquez ici pour soumettre un formulaire web afin de demander le fichier des normes ISO par les détenteurs de licences
Article pour Lëtzebuerger Gemengen
Alors que le crime organisé a trouvé dans les cyberattaques une mine d’or engendrant des bénéfices plus rapides que les drogues, et que des chefs d’État voulant mettre en danger notre démocratie finance la cybercriminalité, la défense ne tient plus la route et les dirigeants répètent leurs erreurs, selon Carlo Harpes, dirigeant de l’entreprise itrust consulting et initié dévoué depuis 1992.
Pour lire tout l'article, cliquez ici (page 36-37).
Le European Cybersecurity Competence Centre and Network a organisé le « Luxembourg GRC Summit » le 5 juin 2025 à la Chambre de commerce du Luxembourg.
