Un monde plus accessible, mais plus vulnérable
La numérisation des processus opérationnels a atteint un rythme sans précédent: aujourd’hui, l’informatique est devenue le moteur des activités tout au long de la chaîne de valeur. Le rôle central désormais joué par les systèmes et les réseaux d'information implique qu’un simple incident peut entraîner l’arrêt de l’activité ou compromettre l’existence même de l’entreprise. En même temps, les cybermenaces prennent de l’ampleur, à la fois en nombre et en complexité. Gérard Hoffmann, Président et Administrateur délégué de Telindus Luxembourg, nous expose la manière dont l'intégrateur aide ses clients à appréhender ces nouveaux défis.
Q: Vous qui accompagnez les entreprises dans leurs projets de transformation numérique, quelle analyse portez-vous sur l'évolution des dangers qui pèsent sur nos économies interconnectées et sur les mesures à prendre pour améliorer nos moyens de défense?
GH: "Depuis quelque temps, le contexte mondial, ressenti comme plus agressif, contribue à accroître la visibilité des secteurs de la sécurité de l'information et de la protection des données. Certains moments saillants, comme l'affaire des Panama Papers, ont par exemple alarmé les cabinets d'avocats qui se sont mis à nous solliciter pour mettre en œuvre des projets de cybersécurité."
"L'interconnexion des économies, l'omniprésence du mobile et l'avènement des réseaux sociaux ont rendu le monde plus accessible, mais en même temps plus vulnérable. La menace augmente de manière proportionnelle à l'accessibilité et, en contrepartie, nous observons un accroissement du besoin de protection des données privées comme des processus d'entreprise. L'un de nos clients a ainsi vécu la pénétration de son système de production par un élément extérieur, lequel a réussi à prendre le contrôle de machines de production."
"Sur notre marché, nous constatons une croissance de la part attribuée à la cybersécurité dans les projets. Aujourd'hui, un projet ICT intègre de manière quasi systématique un volet consacré à la sécurité de l'information et des données. C'est pourquoi le groupe Proximus a fait le choix d'investir dans ces technologies. La cybersécurité constitue d'ailleurs l'une des quatre priorités de Telindus, avec les communications fixes et mobiles, le cloud et l'outsourcing. Dans ce contexte, le groupe Proximus a également décidé d'investir au Luxembourg dans un Security Operations Center qui sera opérationnel à la fin de cette année."
Q: Les entreprises - notamment celles du secteur financier - citent volontiers la sécurité des données comme l'un des principaux freins à l'adoption des services cloud. Mais au bout du compte, quel est le lien entre la localisation des données - et des infrastructures - et la sécurité de l'information?
GH: "Il est vrai que la sécurité est souvent ressentie comme un frein à l'adoption du cloud. La menace est réelle: nous avons assisté ces dernières années à des pénétrations de services cloud et internet et à la mise en danger des données. Qui plus est, le secteur financier est légalement tenu d'héberger ses données sur le territoire luxembourgeois. Le frein est donc aussi réglementaire, même s'il reflète le souci du secteur de garder le contrôle sur ses données sensibles."
"Mais aujourd'hui, nous commençons à disposer de solutions de cloud hybride qui permettent aux entreprises de stocker des données sensibles dans un cloud privé tout en conservant la possibilité d'exploiter les ressources du cloud public pour exécuter des applications reposant sur ces données. Opter pour le cloud hybride, c’est donc bénéficier du meilleur des deux mondes en fonction de la typologie des applications, des variations ponctuelles de la consommation en ressources IT et des impératifs de sécurité."
"Dans ce contexte, Telindus s'est alliée à Microsoft pour commercialiser une solution de cloud hybride public-privé basée sur la pile logicielle Azure Stack. Contrairement aux autres grands acteurs du cloud, Microsoft pratique depuis toujours une stratégie de partenariat avec des opérateurs et des intégrateurs tels que Telindus. Nous avons donc combiné notre service de cloud privé, localisé au Luxembourg, avec le cloud public du deuxième acteur mondial en la matière, à travers une interface unique."
"Cette solution innovante était attendue depuis des années par le secteur financier qui peut désormais déplacer vers le cloud des applications non stratégiques, en fonction de critères économiques. Une telle solution de cloud hybride permet aussi de se composer une protection à la carte, selon la nature des informations à héberger, en privilégiant soit la diminution des coûts que permet le cloud public, soit la continuité de service et le contrôle sur les données qu'autorise le recours à un fournisseur de services cloud local. Telindus est la première société à offrir cette solution au Luxembourg."
"Le cadre légal est bien entendu appelé à évoluer avec la disponibilité des nouvelles solutions de cloud hybride. Je suis par ailleurs président d'ICTluxembourg et de Fedil-ICT, et dans ces enceintes, nous travaillons à façonner ce nouvel environnement réglementaire avec le régulateur."
Q: Pensez-vous que les décideurs politiques évaluent à sa juste mesure le danger que représentent les cybermenaces? Avons-nous besoin d’un cadre légal mieux adapté, voire d'incitants fiscaux ou financiers, pour soutenir les mécanismes de défense des agents économiques et des services publics?
GH: "L'année dernière, Fedil-ICT a réalisé, en collaboration avec le cabinet EY, une étude portant sur le paysage cybersécuritaire au Luxembourg qui révèle un certain nombre de faiblesses de la part du dispositif public. Nous avons rencontré le gouvernement à plusieurs reprises et l'avons invité à créer un centre de cybersécurité qui regroupe les fonctions aujourd'hui dispersées entre différents ministères. Le 8 juin dernier, le ministre de l’Économie nous a fait part de la volonté du gouvernement de clarifier la structure du dispositif public et de la rendre plus visible."
"De manière générale, je pense que la menace est bien comprise par les décideurs politique, ainsi que les différents niveaux auxquels elle se situe et les besoins qui en résultent: si le secteur privé est concerné en premier chef, il ne faut pas perdre de vue le secteur public et ses besoins particuliers en matière de Défense ou de Santé, entre autres services du gouvernement central."
"Le cadre réglementaire doit par contre s'adapter aux mutations technologiques. L'évolution à terme vers le cloud public, via la variante hybride, nécessite d'aménager la réglementation. Les régulateurs – CSSF, CNPD, ILR,… - doivent s'en emparer et adopter une approche itérative pour la faire évoluer. Quant aux incitants fiscaux ou financiers, j'estime que la menace est aujourd'hui suffisamment bien comprise pour que la charge que représentent les investissements s'efface devant les enjeux, à la manière d'une police d'assurance dont la pertinence est claire pour tous. De tels incitants pourraient cependant aider les petites entreprises à prendre plus rapidement conscience des risques encourus et à s'équiper en conséquence."
"Le problème dépasse en fait le seul champ de la cybersécurité. En tant que promoteurs de l'industrie des Technologies de l'Information, nous constatons, tant chez Fedil-ICT que chez ICTluxembourg, que notre secteur souffre d'un désavantage général en matière d'investissements. Le crédit d'impôt, notamment, porte sur les équipements de production à l'exclusion de l'IT, a fortiori lorsque celle-ci est externalisée auprès de prestataires spécialisés. Nous demandons l'extension – du moins partielle - de cet incitant fiscal aux systèmes d'information."
Q: Dans ce contexte, en quoi un service de sécurité managé, comme celui de Telindus, peut-il aider les entreprises – particulièrement les plus petites - à faire face à l'évolution rapide de l'arsenal des cybermenaces et à se prémunir contre les vulnérabilités?
GH: "Je le répète, l'outsourcing est l'une des quatre priorités de notre groupe. Et les services managés apportent clairement une réponse à la rapidité de l'évolution technologique. C'est aussi une question de culture d'entreprise: il faut convaincre les petites entreprises de l'intérêt pour elles de confier leurs systèmes d'information à un prestataire extérieur. Elles le font depuis toujours pour les télécommunications, mais elles n'ont pas atteint le même niveau de maturité en matière de services IT et cloud. Nous devons donc accroître nos efforts pour leur faire comprendre les avantages que peuvent leur apporter les solutions d'infogérance."
"Dans le cadre de la stratégie de rapprochement de Telindus et de Tango initiée au début de cette année, un accent particulier a été mis sur les PME, un segment où nous avons identifié un véritable potentiel de croissance. Sur ce marché, nous faisons face à un environnement IT qui accuse un retard de cinq ans par rapport aux grands comptes, c'est flagrant. Or les entreprises ne peuvent plus assumer seules la transformation permanente des outils de production: les besoins des PME en IT, en télécom et en cybersécurité doivent être sous-traités auprès d'opérateurs comme Telindus et Tango."
"Certains gouvernements l'ont bien compris - en Suisse, à Singapour et dans les pays scandinaves, notamment - et ont mis en place des stratégies assorties d'incitants conséquents pour permettre aux PME de réduire leur retard technologique par rapport aux grandes structures. Le gouvernement luxembourgeois devrait s'inspirer de ces pays et pousser davantage la digitalisation de ses propres services, montrant ainsi la voie à nos petites entreprises."