Miguel De Bruycker pilote le Centre pour la Cybersécurité Belgique. Il relève quotidiennement le défi sans fin de la protection de la population, des « secteurs vitaux » et des entreprises face aux cybercriminels.

Spécialiste informatique à la Défense puis aux Renseignements généraux, Miguel De Bruycker est depuis 2015 le patron du CCB, gardien suprême de la cybersécurité en Belgique. Sa mission: penser et coordonner la stratégie nationale contre la criminalité informatique en plein boom. « Notre défi est d’identifier en permanence les menaces pour notre population, nos entreprises et nos secteurs vitaux comme les services gouvernementaux ou les centrales nucléaires », souligne le boss. La sécurité des entreprises figure en bonne place dans ses cyberpriorités. »

Quelle approche avez-vous du monde des entreprises, souvent ciblé par la cybercriminalité? 
« Le CCB mène un travail de sensibilisation. Nous avons publié un guide de conseils aux PME et un autre guide plus spécialisé arrive fin d’année. Il détaillera les mesures de protections essentielles pour toute société en Belgique. Dès 2018, un nouveau système « early warning » sera opérationnel pour pouvoir alerter, notamment les entreprises, en cas de risques. On l’a déjà fait sur les ransomware ou la « fraude au CEO ». L’an prochain, la collecte d’infos sur les menaces sera accentuée via une plate-forme d’infos techniques et des liens renforcés avec police, justice et sociétés spécialisées en cybersécurité. »

La Belgique était  jugée mauvaise élève dans ce domaine. Où en est-elle aujourd’hui?  
« C’est vrai qu’il y a deux ans une enquête situait la Belgique en bas de classement des plus vulnérables. Cette année, le même rapport nous cite en exemple! Entretemps, le CCB a été créé. Les trois premiers mois, on a analysé en profondeur avec l’aide d’une société spécialisée l’état de vulnérabilité de notre pays et ses causes. Après, comme coordinateur, nous avons en priorité sensibilisé les particuliers, les sociétés privées et les systèmes providers pour qu’ils réagissent. »

 

Chaque évolution amène de nouveaux défis à relever. Le dernier c’est “the Internet of everything”

 

Les entreprises belges sont pourtant encore très vulnérables selon une récente enquête de la KUL concluant que 2/3 des entreprises belges ont été les cibles d’activités cybercriminelles en 2016…
« Ces résultats sont un peu surpondérés. 300 entreprises ont répondu alors qu’il y en a des milliers. Des sociétés sondées avouant avoir été attaquées, il ressort que pour une majorité l’impact a été nul voire limité. Ce n’est que pour 9 % d’entre elles que les conséquences ont été plus lourdes. Mais cela vaut la peine de se concentrer sur ces 9 % et de les conseiller. Aujourd’hui, la cybercriminalité se caractérise par le vol, le cryptage ou la destruction de données pour extorquer de l’argent à des entreprises. Si elles ne paient pas, les infos sont divulguées et les hackers révèlent la vulnérabilité de vos systèmes. Les sociétés détestent cela. Beaucoup ne portent pas plainte et se résignent, paient. Heureusement, une vraie culture de la protection est en train de se développer. »

Le secteur bancaire se protégerait mieux que celui de la grande distribution, alors que ce dernier brasse autant de données privées et financières. C’est vrai? 
« Oui. Les sociétés financières ou d’assurances sont par nature mieux protégées que d’autres… On a tenu récemment une Cybersecurity Convention avec 500 personnes des entreprises belges. On réfléchit aussi à une sorte de roadshow du CCB dans toutes les provinces, à la rencontre des patrons. Le message est que tout système informatique peut être protégé. »

 

Aujourd’hui, la cybercriminalité se caractérise par le vol, le cryptage ou la destruction de données pour extorquer de l’argent à des entreprises

 

Quelles règles sont essentielles?  
« Primo, chaque entreprise, quelle que soit sa taille, doit intégrer la gestion des risques cyber dans la gestion globale de ses risques classiques. Secundo, il faut assurer la gouvernance de la cybersécurité dans l’entreprise par une répartition précise des rôles et responsabilités de chaque membre de l’équipe dans ce domaine. La gestion optimale des risques est un travail collectif sur les points sensibles, les menaces potentielles et  les mesures adéquates. Tertio, se protéger c’est prendre un tas de mesures techniques indispensables. Et ce n’est pas un luxe mais une nécessité absolue. »

De nouveaux risques cybercriminels se profilent-ils? 
« On suit de près les menaces émergentes. Le monde s’oriente rapidement vers the Internet of everything, le tout-connecté. Avec ses avantages mais aussi ses nouveaux risques cyber. Particuliers et entreprises s’équipent d’appareils – caméras, gestion domotique à distance… – pas chers mais… sans norme de protection. La Belgique pousse aujourd’hui l’Europe à une évaluation, une certification et une labellisation des systèmes et équipements actuellement en vente. Non protégés, ils sont des portes d’entrée pour les pirates dans les systèmes de particuliers ou d’entreprises. »

Une autre menace? 
« La centralisation d’énormément d’infos – Big Data – à certains endroits dont des clouds. Ces nouveaux modes de stockages énormes imposent de nouveaux défis. Si quelqu’un « cracke » ces systèmes-là, c’est la cata. La priorité est donc de créer des niveaux de protection encore plus élevés. C’est la responsabilité des sociétés qui gèrent ces noyaux de data. Il ne faut pourtant pas dissuader les entreprises d’utiliser ces clouds. Parmi les entreprises attaquées par WannaCry ou d’autres ransomware, celles dont les data étaient dans le cloud ont disposé de vrais back-ups up to date. »

En mai 2018, entre en vigueur la nouvelle législation européenne GDPR qui obligera toutes sociétés, publiques comme privées, à informer ses clients en cas d’attaques sur leurs données. De quoi rendre les sociétés plus responsables et transparentes? 
« Oui. Elles seront en effet obligées d’informer leurs clients en cas de perte d’informations privées ou sensibles. Tous les acteurs qui gèrent des infos privées devront prendre des mesures pour respecter le GDPR. S’ils ne le font pas, des amendes sont prévues. L’usager est gagnant: il sera à l’avenir informé de toutes atteintes à ses données. »

Comme patron du CCB, vous n’êtes jamais démotivé d’exercer ce travail sans fin?
« Sans fin comme l’évolution d’Internet… Au contraire, cela me booste et cela rend le travail passionnant. Chaque évolution amène ses nouveaux défis et problèmes à résoudre. Mon boulot c’est la gestion et la réduction sans fin des risques pour maintenir ceux-ci à un niveau acceptable. »

Si vous n’aviez pas été « monsieur cybercriminalité Belgique », qu’auriez-vous fait d’autre dans la vie?
« Pilote d’avion! Voler, c’est génial et cela m’a toujours fasciné. J’ai pratiqué par le passé le vol à voile. Récemment pour mon anniversaire ma femme m’a offert un stage de planeur. Un super cadeau! »