Des télécommunications à l’énergie en passant par le secteur de la santé ou des transports, chaque entreprise est soumise à des régulations qui encadrent son activité et tendent à prévenir tout type de risques. Si certaines s’intéressent à la sécurité environnementale ou la sécurité du personnel par exemple, la sécurité de l’information prend une place grandissante dans un monde de plus en plus digital.
Pour assurer leur conformité vis-à-vis de ces régulations, les entreprises doivent non seulement appliquer des bonnes pratiques, mais aussi gérer leurs risques, soumettre leurs analyses et déclarer leurs incidents. Un exercice fastidieux et complexe pour lequel il n’existe souvent pas de méthodologie claire, de bases de connaissance utiles, ou encore d’outil centralisé.
C’est ici que le LIST entre en scène. En étroite collaboration avec l’Institut Luxembourgeois de Régulation (ILR) depuis une dizaine d’années, les chercheurs du LIST ont en effet mis au point un prototype puis créé une plateforme de régulation du nom de SERIMA (de l’anglais : SEcurity RIsk Management). Conçue par le LIST ainsi que l’ILR et développée par Westpole Luxembourg SA, cette plateforme permet aux opérateurs de procéder à des analyses de risques, notamment dans le secteur des télécommunications.
Grâce à cette instance, l’ILR interagit avec les entités dites régulées sur une même interface. Chaque entreprise concernée peut ainsi recevoir les notifications du régulateur, disposer d’une méthodologie commune pour effectuer des analyses de risque et déclarer des incidents en fonction des régulations en vigueur. « Cela signifie qu’il n’y a plus de différences de format tout comme de problèmes de méthodologie, de réconciliation de données, ou encore de comparaison et d’analyse de données. Il n’y a qu’une seule plateforme qui regroupe, en quelques sortes, les deux faces d’une même pièce », détaille Nicolas Mayer, chercheur au LIST impliqué depuis les débuts de cette collaboration. De plus, des formations sont données chaque année pour faciliter l’utilisation de la plateforme.
Déjà adoptée sous la forme d’une autre instance par l’Institut Belge des services Postaux et des Télécommunications (IBPT), qui est l’autorité compétente du secteur des télécommunications en Belgique, SERIMA a aussi pour ambition de s’appliquer à de multiples autres domaines. Depuis 2020, l’ILR et le LIST travaillent à la préparation des méthodologies et des bases de connaissances adaptées à la Directive NIS (de l’anglais : Network and Information Security) ainsi qu’à la loi luxembourgeoise qui la transpose (loi du 28 mai 2019).
« Nous travaillons depuis plus d’un an et demi à l’intégration de la directive NIS, en plus de celle sur les télécommunications. Ainsi, d’autres secteurs tels que celui de l’eau, de l’électricité, du gaz, de la santé, ou encore du transport pourront à terme utiliser la plateforme », précise Sébastien Pineau, en charge du projet.
Plus qu’un partenariat stratégique prolifique, les chercheurs du LIST partagent une vision commune à moyen et long terme avec l’ILR, qui permet de sans cesse repousser les limites de la recherche pour une innovation à fort impact. En une décennie, les deux parties ont ainsi menées de nombreux projets de recherche à travers, notamment, des investissements propres, des financements européens ou du Fonds National de la Recherche du Luxembourg.
Les ambitions de ce partenariat de longue date sont grandes pour les mois et les années à venir avec l’inauguration de fonctionnalités uniques en Europe : « Beaucoup d’outils de gestion des risques existent à ce jour, mais aucune plateforme intégrée ne permet de réunir régulateur et entreprises régulées, d’adresser plusieurs régulations, de partager des librairies sectorielles ou d’analyser des données de risque sectorielles. Demain, la plateforme intègrera plus d’intelligence et de recommandations, et permettra aux régulateurs d’accéder à une maitrise complète de l’écosystème des secteurs et acteurs concernés, pour plus de sécurité et de protection des services concernés. Grâce à l’aide de notre partenaire industriel Westpole, ces fonctionnalités s’apprêtent à devenir réalité », concluent Nicolas et Sébastien.