Cyberscore : le nutri-score de la sécurité pour les PME au Luxembourg.

Crédit photo : IT Nation
 

Salut Olivier, peux-tu te présenter en quelques mots pour nos lecteurs qui ne te connaissent pas encore ?

Bonjour à tous, je m’appelle Olivier Antoine et je suis le responsable de l’équipe Information Security Management qui regroupe les Information Security Officers de POST Luxembourg et POST Telecom. Membres du département CyberForce nous gérons au quotidien les aspects de sécurité liés à la gouvernance, aux risques et à la compliance.

Peux-tu nous expliquer ce qu’est le cyberscore ?

Le cyberscore est le fruit d’une initiative développée par POST et Luxcontrol dans le but d’aider les petites et moyennes organisations au Luxembourg à aborder plus facilement les enjeux de cybersécurité. Nous sommes partis du constat que le secteur des PME n’était pas au cœur, jusqu’aujourd’hui, des attentions en ce qui concerne la sécurité de l’information et nous avons voulu proposer avec Luxcontrol une approche qui leur serait dédiée.

Les PME ne sont pas épargnées par les cyber-attaques, elles sont même devenues des cibles privilégiées, car plus faciles à compromettre. D’où l’importance de mettre en place les moyens pour répondre efficacement aux attaques d’autant plus qu’il n’est pas évident de déterminer quelles sont les mesures prioritaires à mettre en œuvre et encore moins les moyens à y consacrer. Le budget des PME n’étant pas forcément extensible.

Le cyberscore est un outil d’évaluation permettant de connaître le niveau de maturité en termes de sécurité d’une entreprise. Sur base d’une évaluation effectuée sur site, l’entreprise se voit attribuer un Cyberscore allant de de A à E, accompagné d’un rapport indiquant les forces et faiblesses spécifiques. Dans la mesure où une entreprise n'atteint pas un Cyberscore suffisant, le rapport détaillé incluant de multiples recommandations lui permettra d’établir un plan d'action en matière de cybersécurité. L’entreprise pourra également profiter de l’accompagnement des experts de la Cyberforce de POST.

Comment est calculé le cyberscore ?

Le cyberscore est calculé grâce aux réponses à un questionnaire basé sur le cadre de contrôles proposé par le CIS. POST et Luxcontrol souhaitant une démarche accessible pour les PME, ce cadre a été choisi car il est orienté sur les réponses pratiques à mettre en œuvre par rapport à des menaces connues. Ce cadre a été adapté au contexte luxembourgeois.

Sur les 153 points de contrôles établis par le CIS par rapport à 3 niveaux de sécurité proposés, nous en avons sélectionné 91. À nos yeux, ils correspondent aux éléments essentiels à considérer pour pouvoir prétendre avoir une bonne posture en matière de cybersécurité et savoir réagir efficacement en cas d’attaque.

Les différents points concernent des thématiques clés comme la gestion des accès, la sensibilisation et la formation des équipes, la protection des e-mails, , la sauvegarde et la récupération des données … Certains points de contrôle sont rédhibitoires. Si des mesures ne sont pas mises en place vis-à-vis de certains enjeux, la note finale sera négative.

Comment devenir une PME « cyber-responsable » ?

Suite à l’évaluation, chaque PME dispose d’une feuille de route, lui permettant de corriger les problèmes relevés. Une fois les recommandations appliquées, avec l’aide ou non de la Cyberforce de POST, l’ESCEM qui fait partie du groupe Luxcontrol effectue un audit plus approfondi, de manière neutre et indépendante, permettant à l’entreprise de prétendre au label Cyber Responsable. Nous souhaitons qu’à l’avenir, ce label soit reconnu à l’échelle du pays et devienne une référence pour les régulateurs et les assureurs notamment.

Ta conclusion pour nos lecteurs ?  

La gestion de la sécurité relève d’un processus d’amélioration continue. Avec le cyberscore, nous souhaitons proposer un outil accessible aux PME pour élever leur niveau de maturité en matière de sécurité. Cela ne veut pas dire qu’elles ne seront pas attaquées, mais elles seront mieux préparées et protégées. Et pour les entreprises qui souhaitent aller plus loin, les mesures mises en place à travers ce label constituent un socle solide permettant d’aborder des normes plus élaborées comme ISO/IEC 27001.