D’ici le 17 octobre 2024, chaque État membre de l’UE devra transposer le NIS2 dans son droit national. Benoît Poletti, PDG d’INCERT, revient sur l’impact de ces mesures et sur la manière dont l’agence sert de bouclier de cybersécurité au niveau national et au-delà.
L’adoption de la directive NIS2 représente une étape importante en matière de cybersécurité pour l’UE et, comme le dit INCERT, « un moment charnière pour les entreprises et les organisations européennes, signalant un changement dans leur position et leurs obligations en matière de cybersécurité ».
Comme l’explique Benoît Poletti, directeur général de l’agence, cela aura un impact important sur les organisations concernées, et la mise en place d’une gestion des risques, de processus de notification et de rapports « n’est pas quelque chose qui peut être fait en un mois ».
La directive NIS2 est entrée en vigueur en 2023, mise à jour à partir des règles introduites en 2016, qui couvraient initialement sept secteurs. La directive NIS2 étendra la couverture à 15 secteurs et concernera les moyennes et grandes entreprises opérant dans des infrastructures critiques, notamment l’énergie, la santé, les transports, la finance, l’approvisionnement en eau, les infrastructures numériques, l’administration publique, les fournisseurs numériques, les services postaux, la gestion des déchets, l’espace, les denrées alimentaires, la fabrication, les produits chimiques et la recherche.
« Lorsque vous devez vous conformer à un si grand nombre de réglementations, il devient très compliqué de gérer toutes ces exigences », explique Benoit Poletti.
À titre d’exemple, il souligne que ces organisations doivent signaler les cyberincidents à l’Institut luxembourgeois de régulation (ILR) dans les 24 heures suivant leur détection ; par ailleurs, en cas de violation de données personnelles, celle-ci doit être signalée à la Commission nationale pour la protection des données (CNPD) dans les 72 heures. Les délais et les exigences en matière de notification aux différentes entités peuvent poser des problèmes.
« INCERT s’est vraiment développé rapidement au cours des cinq dernières années. »
La mission d’INCERT
Selon Benoit Poletti, l’intérêt d’INCERT réside dans le fait qu’il s’agit d’un groupement d’intérêt économique fonctionnant selon des règles privées, mais appartenant à l’État. « L’objectif était de créer une entité, un centre d’expertise, dans le domaine de la cryptographie et de la cybersécurité, au service des différents ministères de manière transversale dans ces deux domaines », explique le CEO.
Fondée en 2012 sur proposition du ministre de l’économie de l’époque, Etienne Schneider, du Conseil de gouvernement et de la Chambre de commerce, elle est passée de deux à 35 depuis son lancement et s’est développée, avec des projets sur quatre continents.
Selon Benoit Poletti, l’agence a aujourd’hui deux missions principales. La première consiste à s’occuper des données contenues dans les puces des documents de voyage et d’identité luxembourgeois et à les identifier numériquement. Cela signifie que les contrôles de données pour les Luxembourgeois voyageant à l’étranger sont envoyés numériquement par INCERT, et que l’agence offre également la possibilité de vérifier les données électroniques sur les documents étrangers.
D’autre part, INCERT représente le Luxembourg dans plusieurs organisations internationales, dont l’Organisation de l’aviation civile internationale (OACI), l’Association du transport aérien international (IATA) et l’Organisation internationale de normalisation (ISO), « et la Commission européenne, pour les questions liées aux passeports et aux documents de voyage, les spécifications techniques qui s’y rapportent… mais aussi en donnant la vision de nouveaux types de documents de voyage qui pourraient être sur le téléphone, basés sur le cloud, une nouvelle technologie pour [ces] documents », ajoute Benoit Poletti.
« La technologie doit résoudre un problème et non l’inverse – la technologie ne doit pas être le début du problème lui-même. »
Des cas d’utilisation concrets
Depuis son lancement, M. Poletti explique qu’INCERT a diversifié ses solutions et « s’est vraiment développé rapidement au cours des cinq dernières années ». En 2020, INCERT a été chargé de la mise en œuvre des certificats covid et du système CovidCheck. Un programme de suivi et de traçabilité du tabac, initié par le ministère de la santé et l’administration des douanes en 2018, a également permis de générer plus de 900m d’identifiants uniques par an, dont environ deux tiers pour la Belgique.
Depuis, elle a diversifié ses solutions. Les certificats de contrôle Covid aussi à travers
La traçabilité du tabac avec des identifiants uniques qui sont vendus ou produits au Luxembourg ou en Belgique. Elle est également impliquée dans les voitures avec des clients privés tels qu’HARMAN International. Nous leur fournissons des clés cryptographiques utilisées pour les systèmes audio des voitures. Le client recherchait une solution technique, mais aussi une certaine garantie en termes d’expertise et de stabilité dans le domaine de la cryptographie.
L’entreprise, qui comptait deux personnes au départ, s’est agrandie et compte aujourd’hui une équipe de 35 personnes. « Nous avons connu une croissance rapide au cours des cinq dernières années. Nous sommes considérés par le gouvernement comme un bouclier de cybersécurité pour eux ».
Benoit Poletti explique également qu’INCERT travaille avec des clients privés, comme Harman, une filiale de Samsung, pour leur fournir des cryptomonnaies utilisées dans les systèmes audio des voitures. « Le client recherchait une solution technique, mais aussi une certaine garantie en termes d’expertise et de stabilité de la cryptographie », explique-t-il.
Actuellement, INCERT développe également la mise à niveau du portefeuille numérique luxembourgeois conformément au cadre européen. Dans tous ses efforts, Benoit Poletti souligne que « notre position est de travailler sur la gouvernance et sur des cas d’utilisation concrets. La technologie doit résoudre un problème et non l’inverse – la technologie ne doit pas être le début du problème lui-même. »