Proximus Luxembourg : l’atout d’un SOC local pour protéger les communes

Face à la montée des cyberattaques, les communes se retrouvent en première ligne, souvent avec des moyens limités pour y faire face. Dans ce contexte, la question des solutions locales, capables d’intervenir rapidement et de comprendre les réalités du terrain, devient centrale. Éclairage avec David De Bartolo, Cyber Security Analyst chez Proximus Luxembourg.

Pourquoi les communes sont-elles devenues des cibles privilégiées des cyberattaques ces dernières années ? 

Nous constatons une hausse nette des cyberattaques visant les communes, ce qui se traduit aussi par un intérêt grandissant pour les dispositifs de cybersécurité, comme les SOC (Security Operations Center). Cette évolution s’explique en grande partie par la digitalisation des services publics. Là où une grande partie des informations était autrefois conservée sur papier, elles sont aujourd’hui stockées dans des systèmes informatiques ou dans le cloud. Ce basculement vers le numérique a mécaniquement élargi la surface d’exposition, rendant ces données plus accessibles aux attaquants. Il faut également tenir compte d’une réalité budgétaire. Les communes n’ont pas les mêmes moyens que de grandes entreprises pour investir dans la cybersécurité. Les dispositifs de protection sont donc souvent moins avancés, ce qui peut les rendre plus vulnérables face à des attaques de plus en plus sophistiquées.
De plus, les données qu’elles détiennent constituent une cible de choix. Il s’agit d’informations très sensibles liées aux citoyens, comme l’identité, des éléments administratifs ou parfois même des informations de santé. Celles-ci ont une forte valeur sur les circuits illégaux, notamment pour des usages comme l’usurpation d’identité ou des campagnes de phishing ciblées. Leur exploitation peut entraîner des conséquences très concrètes, ce qui en fait un levier particulièrement attractif pour les cybercriminels.

Quels types d’attaques observez-vous aujourd’hui le plus fréquemment ?

Nous voyons très clairement une explosion des attaques de type phishing, avec une tendance de plus en plus marquée vers des campagnes ciblées. Concrètement, cela passe très souvent par des courriels qui semblent parfaitement légitimes, par exemple avec une facture en pièce jointe au format PDF. L’utilisateur télécharge le document sans méfiance, mais celui-ci contient en réalité un malware. Une fois ouvert, il peut se connecter à des serveurs externes, récupérer des informations ou, dans certains cas, chiffrer les données via un ransomware.

Ce qui a véritablement changé, c’est le niveau de sophistication. Il y a quelques années, ces courriels étaient relativement faciles à repérer, notamment à cause de fautes d’orthographe ou de formulations approximatives. Aujourd’hui, avec l’essor des intelligences artificielles, les messages sont beaucoup mieux rédigés, beaucoup plus crédibles et donc bien plus difficiles à identifier. Même les liens peuvent sembler fiables au premier regard, alors qu’ils redirigent en réalité vers des sites frauduleux qui imitent parfois très fidèlement les plateformes officielles. Résultat, le phishing reste aujourd’hui l’un des vecteurs d’attaque les plus utilisés, mais aussi l’un des plus efficaces. 

Quel est concrètement le rôle d’un SOC auprès des communes, au-delà de la simple surveillance des systèmes ?

Un SOC ne se limite pas à une surveillance passive. Concrètement, nous centralisons l’ensemble des événements issus des infrastructures informatiques : journaux systèmes, logs des serveurs, des postes de travail ou encore des équipements de sécurité. Toutes ces informations sont regroupées et analysées dans un point unique afin d’avoir une vision globale de ce qui se passe en temps réel. À partir de là, nous appliquons des règles de détection qui permettent d’identifier des comportements suspects ou des schémas d’attaque. Lorsqu’une activité anormale est détectée, nous pouvons intervenir rapidement, alerter la commune concernée et surtout l’accompagner dans les premières actions à mener. Dans le cas d’un ransomware, par exemple, il peut s’agir d’isoler une machine pour éviter la propagation, tout en conservant les éléments nécessaires à l’analyse. Nous assurons également un suivi continu de l’incident, depuis les premières alertes jusqu’à sa résolution complète. Cela permet de comprendre l’évolution de l’attaque, d’orienter la réponse en temps réel et d’accompagner la commune dans la phase de rétablissement, ce que nous appelons le « recovery ». L’objectif est d’avoir une réaction rapide, structurée et surtout coordonnée pour limiter au maximum l’impact.

En quoi le fait de travailler avec un SOC local constitue-t-il un véritable avantage pour les communes par rapport à un prestataire étranger ?

Le choix d’un partenaire local ne relève pas uniquement d’une question de proximité géographique, mais bien d’efficacité opérationnelle en situation de crise. Lorsqu’un incident de cybersécurité survient, chaque minute compte. Le fait de pouvoir compter sur des équipes situées dans le même pays, voire à quelques kilomètres seulement, change concrètement la capacité de réaction. Les équipes de réponse à incident peuvent se déplacer rapidement si nécessaire, échanger directement avec les interlocuteurs sur place et surtout intervenir sans les délais inhérents à des prestataires basés à l’étranger, où la logistique est forcément plus lourde.

Il y a également des contraintes concrètes liées au fonctionnement même des équipes. Les fuseaux horaires, par exemple, peuvent devenir un vrai frein : un incident qui se déclenche en pleine journée au Luxembourg peut tomber en pleine nuit pour une équipe située à l’autre bout du monde. Dans ces conditions, la gestion n’est pas la même, notamment en termes de réactivité et de coordination. À cela s’ajoute la question de la communication, qui est loin d’être anodine dans ce type de situation. Travailler dans le même environnement linguistique, avec une compréhension partagée du cadre réglementaire luxembourgeois et européen, permet d’éviter les incompréhensions et d’accélérer les prises de décision.
Enfin, il existe un enjeu de connaissance du terrain qui est souvent sous-estimé. Un SOC local comprend mieux les spécificités des communes, leur organisation, leurs contraintes et leur écosystème réglementaire. Cette proximité permet d’adapter les réponses de manière beaucoup plus fine et pertinente. Dans la gestion d’un incident cyber, cette combinaison entre réactivité, compréhension du contexte et coordination directe constitue un avantage très concret au quotidien.

En quoi cela s’inscrit-il dans les enjeux de souveraineté numérique ?

Aujourd’hui, une grande partie des infrastructures cloud repose encore sur des acteurs américains comme Microsoft, Google ou Amazon. Cette dépendance n’est pas anodine : certaines pannes récentes ont montré à quel point de nombreux services pouvaient devenir indisponibles en cascade. Cela soulève une question de fond, celle du contrôle réel des données et des infrastructures. À l’échelle européenne comme nationale, des initiatives émergent pour développer des alternatives, mais le chantier reste conséquent et s’inscrit dans le temps. L’enjeu consiste à trouver un équilibre. Les solutions proposées par les grands acteurs restent attractives, notamment pour des raisons économiques et technologiques, mais il devient essentiel de prévoir des alternatives ou des solutions de repli. Dans ce contexte, certaines approches hybrides se développent. Proximus propose par exemple un cloud reposant sur une technologie existante, tout en étant entièrement opéré et maîtrisé en interne, avec la possibilité d’être déconnecté de l’écosystème du fournisseur.