Digital&Trust : édition 2021-2022 by EBRC

DIGITAL &TRUST

Édition 2021-2022

ABORDER LE GRAND DÉFI DE LA RÉSILIENCE Comprendre les enjeux, s’auto-évaluer / Norme ISO 22301 et définir son plan d’action

PROTECTION DE DONNÉES Cloud souverain & Gaia-X, Data Centres écologiques Tier IV, RGPD, Trusted Back-Up and Resilience Services pour Microsoft 365

GAGNER EN AGILITÉ ET EN SÉCURITÉ Red Hat Ansible automatise vos infrastructures IT

SOMMAIRE EDITO

GAIA-X EBRC DANS LE SILLAGE DU CLOUD EUROPÉEN

TRUSTED CLOUD EUROPE

RÉSILIENCE D’ENTREPRISE «MODE D’EMPLOI»

L’AUTOMATISATION L’ATOUT DE LA TRANSFORMATION NUMÉRIQUE

EBRC LA FIABILITÉ ET LE SAVOIR-FAIRE D’UN GROUPE EUROPÉEN

TECH FOR LIFE EBRC & BMS : QUAND LA TECH LUXEMBOURGEOISE SAUVE DES VIES AUX QUATRE COINS DU MONDE

CYBER-RÉSILIENCE LA GESTION DE CRISE AU CENTRE DE TOUTES LES PRÉOCCUPATIONS

SUSTAINABLE DATA CENTRE DIX ANS POUR ATTEINDRE LA NEUTRALITÉ CLIMATIQUE

DATACLOUD GLOBAL AWARDS EBRC «EXCELLENCE IN REGIONAL DATA CENTRE EUROPE AWARD 2021»

CONFORMITÉ RGPD COMMENT GÉRER ET PILOTER VOTRE CONFORMITÉ RGPD ?

POUR ALLER PLUS LOIN

#EXPERTTALK TRUSTED BACKUP & RECOVERY SERVICES 365

21-22

Editeur : EBRC, 5 Rue Eugène Ruppert, 2453 Luxembourg / Tel. : +352 26 06 1 / marketing.support@ebrc.com / Edité en octobre 2021 à 1 000 exemplaires — Réalisation graphique : The Dots — Couverture : Mikado — Gestion éditoriale : Jean-François Hugon, EBRC & Elodie Fedick, EBRC

EDITO Il y aura un avant et un après COVID-19. La donnée est la ressource clef du futur et l’Europe a compris l’urgence d’assurer son autonomie stratégique, non seulement sur la santé mais également sur le digital. La Commission Européenne n’aura jamais lancé autant d’initiatives, pour préparer notre prochaine décennie numérique. Tout d’abord, le programme « Next Generation EU », doté de 800 milliards d’euros vise à sortir plus fort de la pandémie. 20% devrait être dédié au digital. Ensuite, la CE a proposé fin 2020 le « Digital Governance Act », le « Digital Act », le « Digital Services Act » et le « Digital Markets Act ». Ils visent à réformer l’espace numérique européen. En 2021, La CE va encore plus loin avec le « Artificial Intelligence Act », basé sur les valeurs européennes et sur une approche risque. Il s’agit par exemple d’interdire les pratiques IA inacceptables. D’autre part, la CE a émis en septembre 2021, le « Cyber Resilience Act » afin d’accroitre la résilience collective de l’Europe face aux menaces cyber croissantes. Les attaques visant les infrastructures cloud ont été multipliées par 5 en un an. 2020 et 2021 ont connu des cyberattaques d’une sophistication inégalée (par ex. l’attaque sur SolarWinds). Enfin, dès 2020, s’est structuré le projet GAIA-X. EBRC s’est rapidement mobilisé sur ce projet, car il correspond à 100% à notre stratégie de développement. GAIA-X vise à construire une infrastructure de données de nouvelle génération européenne, par les européens, pour les européens, axée sur les valeurs : ouverture, transparence, portabilité, interopérabilité, sécurité, protection des données, souveraineté. En conclusion, la pandémie a radicalement accéléré la transformation digitale de nos sociétés. Elle a également éveillé les consciences par rapport aux dérives d’une transformation digitale sauvage, non maitrisée, non régulée, voire l’omniprésence du digital et notre dépendance croissante par rapport au digital. Cette dépendance est particulièrement critique si le digital pilote des services essentiels, comme l’énergie, la sante, la mobilité, les paiements, la distribution d’eau… Il y aura d’autres pandémies, mais celle que nous devons réellement redouter et pour laquelle nous ne sommes pas prêts, c’est une pandémie Cyber, un Cyber COVID 2X. La (Cyber) Résilience c’est anticiper, prévoir, mitiger les risques, se protéger, et surtout être capable d’encaisser les chocs, survivre et en sortir plus fort. Elle est un prérequis pour construire notre Europe digitale dans tous domaines comme les villes intelligentes, la santé, la finance, la mobilité, l’énergie, l’IoT, l’agriculture, le spatial… L’Europe a posé les fondations pour construire cette nouvelle ère du digital. En tant qu’entreprise européenne nous sommes alignés à 300% avec la stratégie digitale européenne et totalement engagés dans l’initiative GAIA-X. Bonne lecture ! Yves Reding, CEO - EBRC

D I G I TA L & T R U S T _ PAG E 3

Nous sortons enfin d’un long tunnel dans lequel nous sommes entrés violemment il y a presque 2 ans. En mars 2020, face au tsunami COVID-19, l’Europe a brutalement pris conscience de sa perte d’autonomie dans le secteur clef de la santé. En parallèle, le digital a pris une importance stratégique croissante car il a permis d’assurer la continuité de nos activités dans le domaine socio-économique, politique comme éducatif. Si le digital a sauvé l’écosystème socio-économique, il a également mis en évidence notre dépendance dans ce secteur vital.

D I G I TA L & T R U S T _ PAG E 4

G A I A -X

GAIA-X

EBRC dans le sillage du cloud européen La Commission européenne a pour ambition affichée «de faire de la décennie qui s’ouvre, la décennie numérique de l’Europe». Et pour cause, les données disponibles sont en passe de se multiplier de manière exponentielle pour atteindre déjà plus de 40 zettabytes. Il y aurait donc plus de données dans les «nuages» que d’étoiles dans l’univers observable. Traitées par l’intelligence artificielle, ces données sont un véritable moteur d’innovation. Encore faut-il leur offrir un écosystème cloud sécurisé et fédéré qui réponde aux plus hauts standards de souveraineté numérique. C’est l’objectif du projet GAIA-X que nous présente Yves Reding, CEO d’EBRC.

PRENDRE LE TRAIN EN MARCHE Dans toute crise sommeillent des opportunités, le tout est de savoir les saisir. C’est ce qu’a fait l’Union européenne avec son plan de relance « Next Generation EU » doté de 800 milliards d’euros dont une grande partie sera consacrée au digital. Un bond en avant pour l’Europe numérique tant attendue par les acteurs du secteur. En effet, l’éruption de la crise sanitaire a, s’il le fallait encore, fini d’éveiller les consciences en même temps qu’elle a révélé la dépendance de l’Europe en ce domaine. « Avec le confinement, le monde a basculé du physique au numérique, au point où le digital est devenu vital. Malheureusement, l’Europe numérique reste

à construire. Si la crise du Covid-19 a révélé que l’Europe ne disposait pas d’autonomie suffisante dans un domaine essentiel, comme la santé, elle a également mis en exergue sa très faible autonomie dans le secteur d’avenir qu’est le digital. Le Vieux Continent est aujourd’hui un acteur digital de second plan au niveau mondial. Par chance, le digital se construit par vagues. Nous avons raté la première, il s’agit maintenant de ne pas manquer la deuxième, celle de l’intelligence artificielle », avertit Yves Reding. Qu’il s’agisse de conduite autonome sécurisée, d’évaluation des risques financiers ou encore de diagnostics médicaux plus fiables, l’intelligence artificielle est en effet en passe de révolutionner de nombreux secteurs.

G A I A -X

UNE QUESTION DE VALEURS Dans son dernier discours sur l’état de l’Union, la présidente de la Commission a mis en garde: « l’Europe doit montrer la voie à suivre dans le domaine du numérique, sinon elle sera contrainte de s’aligner sur d’autres acteurs qui fixeront ces normes pour elle ». C’est le moteur franco-allemand qui, le premier, s’est attaché à montrer la voie en initiant le projet GAIA-X en novembre 2019. « Cette initiative, née en Allemagne, a pour ambition de construire une infrastructure européenne de données basée sur des valeurs telles que la transparence, la portabilité, la confiance et la souveraineté. Aujourd’hui, le digital est aux mains de géants qui sont de véritables boîtes noires. A la fois joueurs et arbitres, ils peuvent changer les règles du jeu à leur avantage et traitent les données comme des marchandises. Cela génère, entre autres, de graves distorsions en termes de libre concurrence, d’innovation, de respect des données personnelles, considérées comme inacceptables à nos yeux d’Européens. L’ambition de GAIA-X n’est pas de construire de nouveaux géants du cloud, mais de fédérer tous les acteurs de cet écosystème autour de certaines règles de conduite et de redonner la gouvernance du digital aux autorités et acteurs européens, tout en respectant les valeurs européennes », explique Yves Reding. Fondée en une AISBL (Association Internationale Sans But Lucratif), l’initiative est ouverte à tous depuis septembre 2020. Déjà, les géants du digital, que ce soit les acteurs américains Microsoft, Oracle, Amazon ou Google ou chinois Alibaba ou Huawei l’ont rejointe. Un élargissement qui a soulevé quelques contestations mais qui, selon Yves Reding, n’altère en rien le bien-fondé du projet: « L’important est de détenir la gouvernance au niveau européen et d’impliquer tous les acteurs, car les valeurs prônées sont finalement universelles. Qu’y a-t-il de plus normal que de promouvoir la transparence, l’ouverture, la confiance, la souveraineté et la portabilité ? Il est de l’intérêt de tous qu’un maximum d’acteurs suive ces principes. Les statuts de l’AISBL prévoient néanmoins que seuls les membres considérés comme des entreprises européennes aient le droit de décision ».

DES RETOMBÉES DANS TOUS LES SECTEURS GAIA-X, c’est donc une infrastructure cloud, mais pas seulement. L’initiative entend surtout développer une multitude de cas d’usage basés sur l’utilisation de l’intelligence artificielle. A cet égard, le projet fonctionne sur une approche « top-down » au niveau européen: l’AISBL GAIA-X, basée à Bruxelles, assure la gouvernance du projet, avec aujourd’hui plus de 300 membres et couvrant l’ensemble des cas d’usage du digital (« data spaces ») dans l’activité socio-économique. GAIA-X est également un projet « bottom up » qui repose sur des « regional GAIA-X hubs ». « Aujourd’hui, la construction du hub luxembourgeois est en cours. Il identifiera les cas d’utilisation qui sont stratégiques pour le pays afin de les porter au niveau européen, parmi lesquels la finance, l’énergie, la santé, l’industrie 4.0, la mobilité… En octobre 2020, en tant que « Day-One member » de l’AISBL, EBRC a pris son bâton de pèlerin et a constitué, avec le Groupe RHEA, CS Group et 3DS OUTSCALE, une nouvelle alliance transfrontalière dans le domaine des données spatiales. Ce consortium a connu un réel succès puisqu’il a été rejoint par de grands acteurs du domaine tels qu’Airbus, Thales Alenia Space, Capgemini, Safran ainsi que l’ESA, et a permis la création d’un nouveau data space « Espace ». Dans les différents groupes thématiques, les membres de GAIA-X développeront des standards d’échange et de sécurité propres à leur secteur. C’est donc un projet européen extrêmement complexe et ambitieux car le digital touche à tous les domaines d’activités. Il apportera une vraie valeur ajoutée au citoyen européen », développe Yves Reding. INSCRIRE LE LUXEMBOURG SUR LA CARTE Lancée officiellement en juin 2020, l’initiative GAIA-X était initialement un projet francoallemand regroupant quelque 22 membres. Elle a désormais convaincu plus de 300 organisations. Dès l’ouverture à d’autres pays, EBRC s’est empressé de devenir « Day-One member » de l’organisation, en tant que représentant de l’ensemble de notre groupe. « Cela fait dix ans qu’EBRC a lancé son « Trusted Cloud Europe »

et promeut la nécessité de standards européens élevés, basés sur des principes de souveraineté européens. Si nous avons pu avoir l’impression de prêcher dans le désert, l’initiative GAIA-X nous a donné l’opportunité de sensibiliser l’écosystème luxembourgeois via les associations dont nous sommes membres, comme nous l’avons fait d’abord le 12 octobre 2020 lors d’une conférence organisée par Cloud Community EuropeLuxembourg, ICT Luxembourg et la FEDIL. Par la suite, nous avons organisé avec ces trois associations ainsi que Luxinnovation, le lancement officiel du Gaia-X Luxembourg Hub le 25 mars 2021 avec pour conférencier principal Hubert Tardieu, Président du Conseil d’Administration de l’AISBL Gaia X, ainsi que les responsables des German et French Hubs. Ces derniers nous ont présenté les cas d’usage développés dans le domaine de l’IoT et de la mobilité et ont dévoilé les projets supportés par GAIA-X dans les secteurs de la finance », rappelle Yves Reding. Bien que le projet n’en soit encore qu’à ses débuts, force est de constater qu’il se développe à toute vitesse, preuve s’il en est de l’importance des enjeux qu’il soulève. Retrouvez les deux conférences du 12 octobre 2020 et du 25 mars 2021 sur vimeo :

TRUSTED CLOUD EUROPE

Trusted

Cloud Europe Un service de Cloud computing tourné vers une stratégie de Cloud souverrain

D I G I TA L & T R U S T _ PAG E 6

Notre service Trusted Cloud Europe est géré et maintenu entièrement par nos équipes. Lancé en 2010, le Trusted Cloud Europe d’EBRC est conforme à la certification ISO 27001 et à la régulation PSF. Il offre l’agilité et la flexibilté nécessaires au développement de votre business avec des services DevOps et des technologies containeurs basés sur les offres Kubernetes-as-a-Servide et Redhat Openshift. Pionner du cloud de confiance, EBRC est naturellement devenu « Day-One Member » de l’initiative GAIA-X.

Notre infrastructure Cloud est entièrement sécurisée et repose sur des Data Centres certifiés Tier IV fault-tolerant implantés au Luxembourg. EBRC est également certifié ISO 20000 pour la gestion de l’information et ISO 22301 pour la continuité des activités. Grâce à nos services Trusted Cloud Europe, vous accédez à une solution Cloud sécurisée et régulée tout en ayant la liberté de choisir parmi nos trois modes de déploiement : public, privé et cloud hybride qui vous permettent d’accéder à plus de 100 destinations vers des clouds du marché en toute sécurité !

RÉSILIENCE MODE D’EMPLOI

Résilience d’entreprise « Mode d’Emploi »

Plus aucune entreprise n’échappe aux ransomwares, malwares et autres attaques lancées par les cybercriminels. Pour EBRC, elles doivent aussi mieux anticiper, en analysant l’ensemble des risques auxquels elles sont exposées, pour mieux réagir et ainsi garantir la continuité de leurs activités.

LA CYBERSÉCURITÉ NE SUFFIT PLUS... EBRC a fait de la cyber-résilience une stratégie centrale pour approcher ses clients. Une approche visant non seulement à mettre les

EBRC c’est 70 Certifications et Awards, 200 spécialistes à votre service pour assurer votre

CYBER-RÉSILIENCE PCI

DSS COMPLIANT

CERTIFIED

Payment Card Industry – Data Security Standard

www.ebrc.com

outils en place pour se défendre face aux attaques, mais incluant aussi une organisation à même de réagir vite et de maintenir ses activités, même dans le cas où l’incident se produirait.

« La résilience, une valeur pour l’entreprise, une garantie pour les actionnaires. » Certifiée ISO 27001 et ISO 22301, la société peut faire bénéficier ses clients de retours d’expérience via des évaluations de maturité et a conçu une auto-évaluation disponible gratuitement en ligne. « Cette première étape permet de dresser un état des lieux pour les accompagner dans des programmes d’amélioration de leur sécurité ou de continuité d’activité, poursuit Philippe Dann. Nous intervenons donc comme consultants conseil. Nous avons aussi développé une application unique – Le Cyber Resilience Portal – qui permet justement de lier les besoins métiers en termes de continuité et de sécurité avec la capacité informatique à supporter ces besoins. » EBRC a noué, au sein d’Hexatrust,

un partenariat avec la société française Egerie, dont la solution logicielle de pilotage des risques et de la conformité permet de réaliser des évaluations très fines et de manière efficiente. « Cette approche préventive permet à chaque entreprise de définir les réponses adaptées à son activité de façon spécifique et optimisée. Mieux préparées elles sont mieux armées pour faire face aux menaces et préserver leurs activités, une garantie importante pour les actionnaires » estime Jean-François Hugon. Et Philippe Dann de conclure : « Le terme cyber-résilience prend tout son sens dans une organisation puisqu’une organisation n’est pas une accumulation d’activités mais plutôt un ensemble d’activités qui ont des interdépendances internes et externes qu’il convient d’avoir à l’esprit quand on veut bien se protéger ».

D I G I TA L & T R U S T _ PAG E 7

EBRC est née en 2000, au Luxembourg, des besoins exprimés par les entreprises et le régulateur du secteur de la finance afin de sécuriser et garantir leurs activités dans un contexte de digitalisation accrue de l’économie. « Pour commencer nous avons construit des datacenters de haute qualité certifiés Tier IV. Cela nous permet d’assurer à nos clients 100% de disponibilité, en d’autres termes, zéro seconde d’indisponibilité depuis 20 ans, une performance ! explique Jean-François Hugon, Head of Marketing EBRC. « Puis nous avons développé une gamme complète de services Trusted Services Europe. EBRC opère son propre cloud souverain européen EBRC-Trusted Cloud Europe. Par ailleurs, EBRC a rejoint l’initiative GAIA-X en tant que « Day-One Member » et a lancé une initiative GAIA-X dans le secteur du spatial avec trois autres partenaires. L’entreprise est présente dans toutes les grandes villes de France via sa filiale DIGORA. Certifiée ISO 27001 (sécurité de l’information) et ISO 22301 (Continuité des affaires), EBRC connait un développement rapide de son activité conseil dans des secteurs ultra-sensibles. « A nos yeux, les entreprises font face à deux enjeux principaux. Elles doivent d’abord s’assurer d’une bonne compréhension de leurs besoins métiers en termes de sécurité et de continuité, et d’une cartographie claire de leurs activités. L’objectif est de garantir la capacité de leur infrastructure informatique (interne, externe ou externalisée), et de celle de leurs partenaires et fournisseurs, à supporter ces besoins en cas d’incident opérationnel ou d’attaque. Il s’agit d’anticiper les moyens nécessaires pour assurer la continuité de l’activité. Et le deuxième enjeu est d’évaluer le plus justement les risques IT auquel elles sont exposées », détaille Philippe Dann, directeur de l’activité Consulting chez EBRC.

A U T O M AT I S AT I O N - R E D H AT A N S I B L E

AUTOMA TISATION

L’automatisation, D I G I TA L & T R U S T _ PAG E 8

l’atout de la transformation numérique De nombreuses études le démontrent : la crise sanitaire a accéléré la transition numérique. Au cœur de cette révolution technologique où la cybersécurité, la flexibilité et la résilience des infrastructures informatiques sont devenues des enjeux majeurs, l’automatisation joue un rôle crucial. Pour en parler, une table ronde a réuni Niko Vanraes, Alliance Partnership Account chez Red Hat, et trois experts de EBRC : Thomas Flachaire, CISO ; Olivier Raggi, Senior System Engineer – Technical Architect; et Gilles Fersing, Project and Service Account Manager.

La transformation digitale comporte deux facettes. D’un côté, elle permet aux organisations de devenir plus efficaces et compétitives en gagnant en flexibilité et en agilité. De l’autre, elle crée de nouveaux risques et la sécurité doit être renforcée. « Nos clients recherchent à la fois une haute disponibilité et une sécurisation maximale, de la flexibilité et une réduction des coûts », explique Gilles Fersing. « Pour répondre à leurs besoins d’agilité et de sécurité, nous avons conclu un partenariat avec Red Hat et son système d’automatisation évolutif : Ansible Automation Platform. » Cette plateforme, devenue un standard, contient tous les outils nécessaires pour mettre en œuvre une automatisation informatique à l’échelle de l’entreprise. « Notre solution est non-intrusive, rapide à déployer et pourvue d’un catalogue de procédures prêtes à l’emploi », poursuit Niko Vanraes. « Les modules offrent aux utilisateurs un langage commun facile à apprendre, à lire et à partager, même pour les utilisateurs qui ne sont pas des développeurs confirmés. La solution permet d’accorder des accès selon les rôles et de planifier des tâches. Elle offre également la possibilité d’analyser et de com-

piler des données et de générer des rapports sur le statut des déploiements en matière d’automatisation. » PLUS D’INNOVATION, PLUS DE RÉACTIVITÉ ET PLUS DE SÉCURITÉ Pour Olivier Raggi et Thomas Flachaire, le choix de cette solution s’imposait pour plusieurs raisons. « Grâce à elle, nous pouvons proposer à nos clients les meilleurs outils actuels sur le marché tout en réduisant leurs coûts d’exploitation et de fonctionnement et avons créé en interne une véritable communauté entièrement tournée vers l’automatisation. En agissant de la sorte, nous avons pu briser certains silos et augmenter notre capacité d’innovation. » « Les contextes technologiques et économiques sont favorables à ce genre de solutions. Des services comme le cloud, qui est de plus en plus utilisé, incitent à l’automatisation. Les entreprises doivent être de plus en plus réactives et réduire au maximum le délai de mise sur le marché de leurs produits ou services. En prenant en charge les tâches répétitives, l’automatisation permet à nos équipes de se consacrer davantage à des activités à plus haute valeur ajoutée et d’améliorer la qualité de nos pres-

tations auprès de nos clients. Nous pouvons également déployer en un temps relativement court un processus de sécurisation homogène sur tous nos systèmes et ainsi garantir une sécurité maximale pour tous nos clients. » Pouvoir garantir la sécurité à ses clients a d’ailleurs été un point non-négociable pour la société experte en gestion et protection des données. « Nous portons une très grande attention sur la sécurité des infrastructures de nos clients mais également sur nos processus. L’automatisation nous permet de réduire le risque d’erreur humaine qui peut être important lorsque l’on gère un parc conséquent de clients et où les activités manuelles sont très présentes. Nous pouvons ainsi avoir une homogénéisation et une standardisation de l’ensemble des infrastructures que nous gérons. Nos équipes RISC peuvent donc effectuer un meilleur contrôle ». UNE COLLABORATION FRUCTUEUSE AVEC LUXTRUST Frédéric Laurain est Head of Operations chez LuxTrust, le fournisseur national de services de confiance au Grand-Duché. Dans un entretien en ligne, il a confirmé tous les bénéfices de l’automatisation. « La solution que

A U T O M AT I S AT I O N - R E D H AT A N S I B L E

les experts de EBRC ont mise en place nous a beaucoup apportés. Nous gagnons un temps considérable lors de nos opérations de masse comme les sessions de patching (corrections de programmes) que nous effectuons plusieurs fois par an. Notre parc informatique est homogène avec des environnements standardisés. De ce fait, nous avons renforcé notre sécurité et réduit nos coûts. Nous sommes à ce point satisfaits que nous voulons à présent aller plus loin en automatisant cette fois-ci la partie applicative de notre infrastructure. » « Notre collaboration avec LuxTrust est une parfaite illustration de la tendance du marché », conclut Thomas Flachaire. « L’automatisation est souvent vue comme un moyen de réduire les coûts. En réalité, c’est bien plus que cela. Avec des besoins IT en forte croissance, il importe d’être sans cesse plus agile, plus rapide et plus performant. Grâce à Ansible qui nous permet de gérer toutes nos technologies à l’aide d’un seul et même outil, l’automatisation nous a apporté une incontestable valeur ajoutée, à la fois pour nous et pour nos clients, et est devenue un véritable support stratégique. »

Vous pouvez visionner l’intégralité de cette table ronde en vous rendant sur notre page Vimeo (vimeo.com/ebrc) ou nous contacter si vous voulez en savoir plus sur nos solutions d’automatisation.

E B R C - F I A B I L I T É E T S AV O I R - FA I R E

INTER VIEW

EBRC

D I G I TA L & T R U S T _ PAG E 1 0

La fiabilité et le savoir-faire d’un groupe européen European Business Reliance Centre (EBRC) est aujourd’hui certifié Hébergeur de Données de Santé (HDS) sur les six activités. Une reconnaissance supplémentaire de l’expertise et du savoir-faire de cet acteur européen de la gestion des données, comme nous l’expliquent Anthony Ambrogi, Chargé de la Sécurité des Systèmes d’Information, et Thomas Flachaire, Responsable de la Sécurité des Systèmes d’Information.

Thomas Flachaire, RSSI et Anthony Ambrogi, chargé de la Sécurité des Systèmes d’Information

« Nous affichons zéro seconde d’interruption de service depuis 2000 »

Vous faites, tous deux, partie de l’équipe Risque, Sécurité de l’Information et Continuité (RISC) d’EBRC. Quelles sont ses missions exactes ? Anthony Ambrogi : Composée de cinq personnes, notre équipe traite toutes les problématiques relatives à la gestion des risques de l’entreprise, la gestion de la sécurité de l’information et la continuité de l’activité, à travers par exemple la mise en place de contrôles de sécurité, d’évaluations, de procédures de suivi… Un de nos objectifs est de prévenir au mieux les incidents cyber afin de protéger et maintenir la continuité de nos activités et celles de nos clients. Thomas Flachaire : Assurer un service permanent et qualitatif représente en effet un enjeu majeur pour EBRC, qui intervient dans de nombreux domaines stratégiques comme la santé, l’énergie, le secteur bancaire et financier, le Spatial, les Institutions Internationales… La notion de continuité de service fait donc partie intégrante de notre chaîne de valeur, et se matérialise dans nos offres. Depuis 2000, nous avons fait de la protection et la gestion des données sensibles notre stratégie et avons développé toute une gamme de services Conseil, Cybersécurité, Résilience, Cloud, Infogérance et Data Centre. A titre d’exemple nous opérons nos

E B R C - F I A B I L I T É E T S AV O I R - FA I R E

propres data centres, tous sont certifiés Tier IV par l’Uptime Institute. Ce haut niveau de qualité nous permet d’afficher zéro seconde d’interruption de service depuis 2000 : une nécessité pour la plupart des activités critiques de nos clients. Vous êtes également, certifiés Hébergeur de Données de Santé (HDS), désormais des activités 1 à 6, pour la France. Pourriezvous nous en parler ? AA : La France est l’un des premiers pays à exiger ce type de certification, qui est en parfaite synergie avec notre propre stratégie et notre vision à long terme. Obtenir la certification HDS était donc pour nous une évidence. Cette norme exigeante est en effet gage de qualité et de garanties de bout en bout. Il faut savoir que le standard HDS porte sur six activités, deux applicables aux hébergeurs et quatre aux infogéreurs. En 2018, EBRC a été certifié sur la première activité, relative au maintien des sites physiques. Et depuis mars 2021, nous sommes désormais certifiés HDS pour toutes les activités, depuis les infrastructures Data Centre, les plateformes Cloud (IaaS, PaaS, et SaaS), les logiciels jusqu’à la gestion des sauvegardes. TF : La norme HDS a un autre atout : elle facilite grandement les échanges lors des appels d’offres et audits effectués par nos clients, en offrant un cadre clair sur lequel s’appuyer. C’est une mise en application de notre stratégie de cyber-résilience, pour délivrer les meilleures garanties en termes de sécurité, continuité et efficacité. La mise en application de ce standard représente donc pour nous une étape supplémentaire, après la conformité RGPD et les certifications, déjà obtenues, selon les normes ISO 27001 pour les systèmes de management de la sécurité de l’information, ISO 22301 pour la continuité des opérations ou encore ISO 20000 pour la gestion de services IT. Comment cette stratégie répond-elle aux enjeux du monde de la santé ? AA : Les acteurs de santé, notamment en France, ont de fortes contraintes réglementaires pour garantir la sécurité des données. Celles-ci ont d’ailleurs été renforcées avec le RGPD, qui a pris l’ascendant sur d’autres exigences normatives en matière de protec-

tion des données à caractère personnel. Tout prestataire retenu par un établissement de santé doit donc être certifié sur les services délivrés, qu’il s’agisse de l’hébergeur des serveurs informatiques que de l’infogéreur chargé de maintenir les systèmes de production en conditions opérationnelles. TF : C’est d’autant plus nécessaire en 2021, en pleine crise sanitaire, les établissements de santé ont été la cible de cyber-attaques particulièrement virulentes. Nous sommes convaincus que pour améliorer le niveau de sécurité globale d’une structure, il faut y associer ses équipes, les faire participer autant que possible à l’élaboration des plans et des procédures. Les sessions de formation et de sensibilisation représentent également une activité cruciale pour renforcer l’implication des utilisateurs, mais elles ne rivalisent pas encore avec l’ingéniosité des hackeurs. Il est donc essentiel de travailler sur plusieurs axes, la prévention et l’identification des risques, la réaction à avoir en cas de menace avérée, l’amélioration continue des processus en vigueur… Fort de son expérience opérationnelle, EBRC, dispose d’une équipe de vingt-cinq consultants qui accompagne les organisations jusqu’aux certifications ISO 27001 (Sécurité de l’Information) et ISO 22301 (Continuité des affaires). EBRC propose justement un accompagnement en cybersécurité et résilience… AA : La sécurité est un tout, et elle doit se penser comme tel. La notion de cyber-résilience est donc au cœur de notre métier et sous-tend toutes les activités de nos équipes, qui fonctionnent en groupes restreints donc agiles. Cette approche nous permet d’offrir des services hautement qualitatifs dont bénéficient par exemple, depuis déjà plusieurs années, le dossier de soins partagé luxembourgeois ou l’Integrated Biobank of Luxembourg (IBBL) – preuve, s’il en est, de notre savoir-faire et de notre expérience sur les problématiques de santé. EBRC s’implique également au niveau européen, avec notamment le projet Gaia-X. Pourquoi ? TF : Par des initiatives telles que Gaia-X – qui vise à développer une infrastructure de données efficace, compétitive, sécurisée et

fiable pour l’Union Européenne – tout porte à croire qu’un standard européen verra le jour. Cela est d’autant plus envisageable depuis la crise sanitaire : les différents pays souhaitent tous garantir la santé de leur population pour, notamment, limiter les impacts sur leur économie. Pour cela, l’idéal serait de pouvoir partager certaines informations de santé, comme les données de vaccination lors de la saison touristique. Or il faut, pour cela, commencer par garantir la sécurité des données de santé, ce qui semble difficile sans standard applicable à l’échelle européenne. Nous sommes donc convaincus qu’il existera, à terme, une norme communautaire relative à la gestion des données de santé, à l’instar de ce qui a été mis en œuvre avec le RGPD. Et si cette tendance vient à se confirmer, EBRC se doit d’en être un acteur majeur pour rester le partenaire idéal des établissements de santé. Plus d’informations : www.ebrc.com

TECH FOR LIFE

D I G I TA L & T R U S T _ PAG E 1 2

DOS SIER

Luc Provost, CEO de B Medical Systems et Yves Reding, CEO d’EBRC

EBRC & BMS

Quand la Tech luxembourgeoise sauve des vies aux quatre coins du monde B Medical Systems, leader international de la chaîne du froid médical, a joué un rôle majeur dans la sortie de la crise COVID en permettant d’assurer la logistique de transport des vaccins à ARN Messager. Confronté au développement rapide de ses activités, B Medical Systems a fait appel à EBRC pour l’accompagner en lui confiant l’outsourcing de ses activités IT.

TECH FOR LIFE

Au cours des derniers mois B Medical Systems a dû faire face à une croissance ultra-rapide de son activité pour fournir les équipements indispensables au transport et à la conservation à -80°C des vaccins COVID-19 de type ARN messager. Cette pépite luxembourgeoise qui développe avec succès des solutions de chaîne du froid pour le secteur médical a joué un rôle primordial dans la réussite de la vaccination massive pour sortir de la crise sanitaire organisée partout dans le monde. Pour l’accompagner dans cette étape cruciale et dans cette montée en charge exponentielle de sa production, B Medical Systems a choisi EBRC pour l’outsourcing de ses activités IT avec deux leitmotivs principaux : agilité et sécurité de ses opérations. Les deux entreprises démontrent ce que la Tech for Life Made in Luxembourg peut faire de mieux dans le monde pour sauver des vies. Luc Provost CEO de B Medical Systems et Yves Reding CEO d’EBRC reviennent sur ce tour de force réalisé par leurs équipes dans un délai très court et nous exposent leur perspective de développement. LA QUALITÉ « MADE IN LUXEMBOURG » S’EXPORTE BIEN « Nous partageons de nombreux traits communs avec EBRC », confirme Luc Provost, CEO de B Medical Systems, « à commencer par notre ancrage luxembourgeois. » Petite entreprise luxembourgeoise à l’origine, B Medical Systems est parvenue au fil des années à développer un cœur de métier exclusif, orienté vers la gestion de la chaîne du froid dans le secteur médical que la société exerce à l’échelle internationale. Les similitudes entre les deux sociétés ne s’arrêtent pas là. Toutes deux présentent une empreinte géographique qui dépasse de loin les frontières du Grand-Duché. Depuis 2019, B Medical Systems dispose d’un bureau de vente, d’un entrepôt et d’une équipe complète en Amérique du Nord. Cette année, la société a étendu ses activités en Inde, premier pro-

ducteur de vaccins au monde, et y a implanté sa première unité de fabrication en dehors du Luxembourg. B Medical Systems a aujourd’hui des clients dans plus de 120 pays. « Notre large présence internationale nous permet d’envoyer du matériel ‘Made in Luxembourg’ vers des pays aussi divers que la République Démocratique du Congo, l’Ethiopie, le Brésil ou le Pérou. Nous y disposons d’équipes formées au Luxembourg et capables de répondre aux conditions locales pour assurer l’installation et la maintenance des équipements », explique Luc Provost. LES HEALTHTECHS UN SECTEUR HAUTEMENT SENSIBLE ET CRITIQUE Au fil des 40 dernières années, B Medical Systems a acquis une position de leader mondial sur trois lignes de solutions : la chaîne du froid vaccinal, la réfrigération médicale et la gestion des composants sanguins. « Dans le domaine de la transfusion sanguine, par exemple, nos solutions sont utilisées au quotidien aussi bien par la Croix-Rouge luxembourgeoise que par l’Etablissement Français du Sang », dit Luc Provost. Les solutions de contrôle de la chaîne du froid de B Medical Systems ont également permis de vacciner plus de 300 millions d’enfants dans les pays en développement, au cours des 20 dernières années. « Pour donner aux professionnels des soins de santé les moyens d’agir, nous échangeons en permanence avec eux pour rester à l’écoute de l’évolution de leurs besoins. Nous sommes convaincus qu’ensemble, nous pouvons réellement avoir un impact non seulement sur les individus et les communautés, mais aussi sur l’humanité », assure-t-il. « Dans le digital, EBRC a tracé la voie de la ‘Tech for Life’ dès 2011 avec la biobanque IBBL », intervient Yves Reding, CEO d’EBRC. « Nous avons poursuivi nos efforts avec l’agence e-Santé et le Dossier de Soins Partagé, le laboratoire BioNextLab... Au-

jourd’hui, nous continuons à construire sur ces fondations avec B Medical Systems pour créer et exploiter avec les services d’infogérance EBRC, des solutions intelligentes qui contribuent à sauver des vies ». TECH FOR LIFE : L’INNOVATION AU BÉNÉFICE DE LA VIE Depuis 2015, B Medical Systems a injecté des capitaux importants dans son site de fabrication luxembourgeois de Hosingen. « Nous avons mis en place des systèmes de cobotique où les hommes et les robots collaborent, ainsi que des machines de rotomoulage pour la production de nos réfrigérateurs, congélateurs et équipements de la chaîne du froid vaccinal », explique Luc Provost. La technologie de moulage par rotation, en particulier, est unique dans l’industrie de la réfrigération médicale et permet de fabriquer des produits robustes et de haute qualité dans un délai très court. « Nous sommes ainsi capables de répondre rapidement aux nouveaux besoins de gestion de la chaîne du froid, comme la lutte contre la pandémie de Covid-19, qui imposent des températures de conservation des vaccins de l’ordre de -80°C », poursuit-t-il. La crise sanitaire a dans un premier temps fortement sollicité les laboratoires d’analyse médicale, faute de protocole de soin. « Des tests à grande échelle ont été organisés, mais très rapidement, nous nous sommes mobilisés pour mettre en place toute la logistique de diffusion des futurs vaccins. Comme chacun le sait maintenant, la technologie à ARN messager exige une conservation à -70°C pour les vaccins développés par Pfizer et BioNTech, ou à -20°C pour celui développé par Moderna. Cette spécificité diffère grandement des vaccins traditionnels et demande une logistique différente. C’est là que nos solutions sont entrées en action et ont démontré leur efficacité. Notre rôle a été de fournir des dispositifs de transport intelligents permettant le contrôle permanent de la chaîne du froid garantissant la sécurité des produits vaccinaux. Nos solutions intègrent des tech-

TECH FOR LIFE

« Les solutions innovantes que nous développons permettent de sauver des vies, tout en aidant des communautés à se développer et à prospérer. » Luc Provost, CEO de B Medical Systems

D I G I TA L & T R U S T _ PAG E 1 4

nologies IoT communicantes, permettant l’échange de données nécessaires au traçage de chaque colis, c’est-à-dire son monitoring complet depuis le lieu de production jusqu’au point d’administration des doses », explique Luc Provost. La gestion des données sensibles et leurs protections sont depuis 20 ans au cœur de la stratégie d’EBRC. « Le secteur de la finance et ses exigences règlementaires de sécurité et de confidentialité élevées ont été très structurant pour le développement de notre offre de service. Cette caractéristique propre au marché luxembourgeois nous a permis de devenir un partenaire naturel du secteur de la santé : protection des données, cloud souverain, culture de la résilience. Comme B Medical Systems, notre savoir-faire s’exporte et nous adoptons rapidement les exigences des pays en matière de règlementation relative au traitement des données de santé, à titre d’exemple EBRC est certifié Hébergeur de Données de Santé en France » explique Yves Reding. LA RÉSILIENCE UN MAÎTRE MOT POUR LE SECTEUR DE LA SANTÉ « Comme j’ai pu le constater lors de ma visite du Resilience Centre South, datacenter dit « Fault Tolerant » certifié Tier IV, la redondance est un principe essentiel pour EBRC. Il en va de même pour B Medical Systems. Nos équipements frigorifiques disposent par exemple de doubles joints de fermeture et de quadruples charnières. La fiabilité de nos solutions est indispensable pour assurer l’intégrité et la sécurité de la chaîne du froid », affirme le CEO de B Medical Systems. « Pour répondre aux exigences terrain de tout ordre, nos réfrigérateurs et congélateurs de vaccination acceptent différents modes d’alimen-

tation électrique, ils peuvent être directement reliés à des panneaux solaires sans utiliser de batteries ni de régulateurs, points faibles de ce type d’équipement », souligne-t-il. La gamme de B Medical Systems comprend notamment des équipements adaptés aux zones géographiques où l’approvisionnement en électricité est peu fiable, où les moyens de transport demandent des solutions robustes et une autonomie prolongée pour les longs voyages. « A titre d’exemple, en Indonésie, nous avons déployé des réfrigérateurs capables de maintenir la température pendant un mois sans électricité et au Tchad, nos solutions de stockage des vaccins fonctionnant à l’énergie solaire supportent sans aucun problème des températures de l’ordre de 45°C à l’ombre », dit-t-il. La qualité et la fiabilité des solutions de B Medical Systems reflètent la vaste expérience acquise par la société au cours de ses 40 années d’existence. « Nous nous efforçons d’être les meilleurs dans ce que nous faisons et de montrer l’exemple », dit Luc Provost. « Nous sommes convaincus que les solutions et les services que nous fournissons favorisent la qualité des soins ; c’est pour cette raison que nous nous imposons un niveau de qualité élevé dans tout ce que nous faisons. L’importance que nous accordons à la R&D, notre savoir-faire technologique étendu et notre réseau mondial de partenaires nous permettent de fournir à la fois des solutions et des services innovants dans des délais très courts ». « Nous sommes parfaitement aligné sur ce principe de qualité totale, décrit par Luc Provost c’est aussi celui que nous appliquons sur l’ensemble de notre gamme Trusted Services Europe », explique Yves Reding,

« nous recherchons toujours l’excellence et la qualité de bout en bout dans notre chaine de valeur. C’est ce qui nous permet entre autres d’afficher, zéro seconde d’arrêt de nos datacenters depuis 20 ans. En médecine, la vie des patients dépend de la disponibilité de leurs données. » LE CHOIX D’UN PARTENAIRE DOIT ÊTRE RIGOUREUX : « ON NE JOUE PAS AUX DÉS AVEC LA SANTÉ » « Face à l’explosion des besoins causée par la crise du Covid, nous avons investi énormément tant dans les ressources humaines que dans la technologie », poursuit Luc Provost. « Mais nous nous sommes rapidement aperçus que nous ne pouvions pas couvrir tous les aspects d’une problématique aussi large avec nos seuls moyens », indique-il. « Nous devions faire appel à des partenaires experts et innovants partageant le même type de stratégie à long terme que nous. Notre système d’information occupe un rôle central dans l’orchestration de notre organisation : c’est donc un élément essentiel du succès de notre projet. C’est pourquoi nous avons choisi de confier la gestion de nos systèmes informatiques à EBRC », dit-t-il. « Pour agir sur un marché mondial, ultra-sensible et à haute visibilité nous avions besoin d’un partenaire agile capable de réaliser notre projet dans un temps très court, mais surtout en mesure de nous donner des garanties de sécurité et d’éthique propre aux exigences du secteur de la santé », explique le CEO de B Medical Systems. « Au-delà de la solution proposée et du respect des engagements, nous cherchions un partenaire réactif et capable de nous proposer un accompagnement permanent en conseil pour nous permettre une montée rapide en maturité et

D I G I TA L & T R U S T _ PAG E 1 6

TECH FOR LIFE

« B Medical Systems et EBRC incarnent qualité et savoir-faire Made in Luxembourg » Yves Reding, CEO d’EBRC en performance. Mais l’un des points clés de notre partenariat est la force de proposition dont ont fait preuve les équipes d’EBRC », précise-t-il. « Aujourd’hui, nous pouvons étendre notre solution en toute sérénité et nous concentrer sur ce que nous connaissons le mieux : notre métier. Nous l’exerçons dans le monde entier et c’est formidable de pouvoir nous appuyer sur un partenaire de confiance. Nous apportons notre solution et EBRC offre son expertise en protection des données médicales. EXCELLENCE ET LA CONFIANCE AU CŒUR DE NOTRE RELATION « De plus, la capacité d’EBRC d’agir à l’échelle internationale est pour nous un gage que nous pourrons continuer à nous développer sans nous heurter aux obstacles des législations nationales sur l’hébergement des données personnelles ou médicales, par exemple », dit le CEO de B Medical Systems. « Le savoir-faire du Luxembourg - et d’entreprises comme EBRC en particulier - dans le domaine de la sécurité de l’information est pour nous un argument de poids à faire valoir auprès des autorités publiques avec lesquelles nous sommes amenés à travailler ». En la matière, rien de mieux que les normes internationales comme passeport reconnu pour disposer de vraies garanties. Depuis plusieurs années, EBRC dispose des certifications ISO 27001 relative à la sécurité de l’information et ISO 22301 relative à la continuité d’activité. Ces deux piliers constituent le socle fondamental pour assurer sécurité et résilience. « S’agissant de gestion des risques, de sécurité, de qualité et de conformité, le Luxembourg jouit effectivement d’une grande crédibilité à l’étranger », confirme Yves Reding. « C’est ce qui permet aux entreprises du pays de se différencier sur le marché international et à ses interlocuteurs de le voir comme une porte d’entrée privilégiée en Europe. B Medical Systems comme EBRC sont représentatives

de ces qualités ‘Made in Luxembourg’ ». Pour lui, les similitudes entre les deux sociétés sont multiples : des clients dont les enjeux sont vitaux, une vision à long terme, des certifications qui rendent tangibles la valeur réelle des produits, des services et des savoir-faire. « Ces certifications dont nos deux sociétés font une priorité, permettent aussi de créer, à travers les processus, une spirale vertueuse qui tire toutes les forces vives de l’entreprise vers une amélioration continue de la qualité », explique-t-il. « EBRC et B Medical Systems partagent le même ADN », ajoute Luc Provost. « Nous accordons notamment la même importance à la certification ». Les dispositifs médicaux de B Medical Systems répondent effectivement aux plus hauts standards de qualité et de sécurité. « En devenant, par exemple, l’une des premières sociétés à adopter avec succès le nouveau MDR européen et le SCoPE de l’AABB, nous avons fait la preuve de notre savoir-faire et renforcé notre position de leader du marché », assure-t-il. « EBRC détient quant à elle des certifications internationales uniques en matière de qualité, de sécurité et de résilience parfaitement adaptées à notre métier : HDS, ISO 27001, ISO 22301, ISO 9001. EBRC garantit également la haute disponibilité des systèmes d’information avec ses Data Centres Tier IV », souligne Luc Provost. « De plus, ils disposent d’une expérience reconnue dans ce secteur critique qu’est le domaine de la santé, avec notamment le Dossier de Soins Partagés de l’agence e-Santé et la Biobanque de l’IBBL ». LE FROID MÉDICAL TOUJOURS PLUS DIGITAL B Medical Systems est par ailleurs devenue un producteur de données en temps réel pour de nombreuses autorités sanitaires autour du monde. La société dispose en effet de plus de 40.000 frigos connectés en temps réel à travers le monde. « Nos systèmes IoT embarqués ont déjà permis d’améliorer l’efficacité des structures de santé dans les pays qui

disposent de peu de moyens », indique Luc Provost. A l’avenir, nous comptons développer davantage les services que nous apportons aux services de santé en termes de données relatives aux équipements, mais aussi aux produits et aux patients », confie-t-il. Et ces capacités accrues de monitoring en temps réel ne manqueront pas d’engendrer des besoins nouveaux en stockage de données, en sécurité informatique et en intégrité de l’information. « Avec EBRC, nous avons trouvé le partenaire technologique idéal pour nous aider à faire face aux défis que nous réservent l’avenir », se réjouit-il. LE SAVOIR-FAIRE LUXEMBOURGEOIS SE PORTE BIEN « Nos deux entreprises incarnent parfaitement le savoir-faire européen ‘Made in Luxembourg’ que nous diffusons dans le monde entier », résume Luc Provost. Nous nous sommes parfaitement retrouvés dans un slogan commun que nous partageons ‘Quand la Tech sauve des vies’ : nous accordons une place essentielle à l’humain au centre de nos préoccupations ainsi qu’en offrant des solutions de confiance et d’excellence. « Nous sommes fiers de partager les mêmes valeurs et de développer désormais ensemble nos activités à l’international », déclare pour sa part Yves Reding. « Une fois de plus, la preuve est faite que le savoir-faire luxembourgeois se porte bien. Il repose sur la volonté d’innovation, de qualité et d’intégrité dont font preuve des entreprises comme B Medical Systems et EBRC, et contribue au rayonnement des valeurs européennes à travers le monde », conclut-il.

CYBER- RÉSILIENCE

DOS SIER

La résilience,

la gestion de crise au centre de toutes les préoccupations

D I G I TA L & T R U S T _ PAG E 1 8

Votre organisation est-elle prête ?

POURQUOI EST-IL IMPORTANT D’AVOIR UN PLAN DE CONTINUITÉ D’ACTIVITÉ ? Au cours des dernières années les entreprises ont eu à traverser des crises de plus en plus soudaines, variées et avec un fort impact pour leurs activités. Outre la pandémie de COVID19 avec ses contraintes de déplacement et le repli économique qui s’en est suivi, les directions doivent faire face à la montée exponentielle des cybermenaces et l’apparition des risques liés au réchauffement climatique pour ne citer que les plus importants. Pouvoir évoluer dans un monde incertain est une

condition de survie qui pousse les entreprises à développer ou revoir à la hausse leurs Plan de Continuité d’Activité-PCA / Plan de Reprise d’Activité-PRA et s’assurer d’un niveau de résilience idéal. DÉFINITION DU PLAN DE CONTINUITÉ D’ACTIVITÉ : LE PCA VA BIEN AU-DELÀ DU SEUL ASPECT IT Les projets de PCA (Plan de Continuité d’Activité) et de PRA (Plan de Reprise d’Activité) sont souvent abordés comme des projets IT uniquement, or ces approches doivent couvrir

l’ensemble des activités et des processus qui constituent le métier de l’entreprise, les systèmes informatiques mais aussi les fournisseurs d’énergie, de logistique et des locaux où les employés pourront reprendre le travail si ceux de l’entreprise ne sont plus praticables. Le concept de continuité d’activité est éprouvé. Apparu dans les années 80, il adressait une partie de la problématique avec les plans de reprise d’activités (ou disaster recovery plans). Les efforts portaient essentiellement sur l’informatique, avec la volonté de garantir la disponibilité des systèmes ou

CYBER- RÉSILIENCE

permettre leur remise en fonction rapide après un incident. C’est avec la publication de la norme BS 25999 et l’établissement de la certification ISO 22301, que le concept a été élargi. Désormais, les projets relatifs à la continuité d’activités couvrent un spectre étendu. Ils sont portés par le board, en considérant l’activité avec une approche holistique. EBRC accompagne ses clients avec la volonté de les rendre plus cyber-résilients. A ce titre, la continuité d’activités fait partie de ses principaux domaines d’expertise. 5 RÈGLES POUR ÉLABORER UN PLAN DE CONTINUITÉ D’ACTIVITÉ Règle n° 1 : Partez du métier pour évaluer les impacts C’est en considérant le métier que l’analyse doit se construire, en prenant en compte l’ensemble des facteurs qui peuvent nuire à la bonne marche de l’activité. Ces enjeux dépassent de loin la gestion des systèmes en commençant par identifier les activités essentielles à l’organisation ou à travers une meilleure compréhension des processus, pour ensuite effectuer une analyse d’impact. Il est important de comprendre quels pourraient être les effets de l’arrêt d’un processus critique dans le temps et sur l’ensemble de l’activité. Cette première étape relève du Business Impact Analysis. Elle ne peut être conduite qu’en menant une étude approfondie de l’ensemble des départements constituant l’organisation pour identifier les activités entreprises et la manière dont chacun prend part aux procédures. Règle n° 2 : Identifiez les activités critiques et évaluez le niveau de tolérance à l’interruption A travers les entretiens menés, identifiez les activités critiques, les liens d’interdépendance existants vis-à-vis d’autres départements ou d’acteurs externes. Dans chaque département et direction, challengez les équipes. Au départ d’un framework établi au regard de notre expérience et des bonnes pratiques reconnues, évaluez également les effets d’une interruption de l’activité au niveau de chaque équipe selon différents critères comme le Recovery Time Objective (RTO), le Recovery Point Objective (RPO), le Maximum Acceptable Outage (MAO) ou encore le Minimum Business Continuity Objective (MBCO). A

travers ces indicateurs, on relève ce qui est acceptable en termes d’interruption pour chaque département, et ce jusqu’à la capacité réelle de l’IT à supporter les métiers. Règle n° 3 : Alignez les besoins au service du business Parce que, d’un département à l’autre, les perceptions de ce qui est acceptable peuvent diverger, un des objectifs sera de réconcilier les sensibilités au regard des besoins réels du métier. « Dans la plupart des cas, c’est au sommet de l’entreprise que les arbitrages ont lieu, le top management étant souvent le seul à pouvoir statuer vis-à-vis des risques encourus. Le management rationalise et décide souvent par rapport au niveau d’exposition admissible des affaires, donc du secteur d’activité et de la clientèle de l’entreprise, en cas d’incident majeur. Pour l’obtention d’une certification liée à la continuité d’activités, il est indispensable de réconcilier l’ensemble des besoins des équipes autour d’un processus critique. Règle n° 4 : Evaluez les processus afin de retenir les meilleures solutions L’analyse de l’impact business est au cœur de toute démarche relative aux enjeux de continuité d’activités. Elle sera complétée par une analyse des risques. Celle-ci se traduit par l’identification des menaces pouvant conduire à l’interruption d’une activité jugée critique et par l’évaluation de la probabilité de leur survenance. Si une entreprise considère l’ensemble de ces éléments, alors des scénarii et des plans de reprise de l’activité dans les meilleurs délais peuvent être imaginés selon les différents cas de figure. Prenons les processus par exemple, soumettez-les à la menace afin d’envisager les solutions à mettre en place, comme la relocalisation des collaborateurs ou un plan de redéploiement des systèmes des garanties relatives à la restauration des lignes de télécommunication, sans oublier d’évaluer le niveau de résilience de vos fournisseurs critiques. Règle n° 5 : Simplifiez-vous la vie. Tirez parti de la certification ISO 22301 La certification ISO 22301 a été élaborée spécialement afin de permettre aux organisations de s’inscrire dans une démarche d’amélioration continue : c’est un cadre standardisé idéal pour démarrer. L’enjeu principal est de mieux protéger l’activité dans sa globalité, par une meilleure compréhension

des processus et des risques, et de s’assurer de sa robustesse avec l’ensemble des parties prenantes tels que les clients, les partenaires ou encore le régulateur de l’entreprise. Une telle certification est de nature à rassurer, à garantir la confiance vis-à-vis de la tenue des activités. EBRC accompagne des institutions actives dans le secteur de la finance, des banques, de l’industrie et de l’assurance pour l’obtention de cette certification. ENFIN, DISTINGUER LE RISQUE DE LA MENACE POUR RÉUSSIR SON PLAN DE CONTINUITÉ D’ACTIVITÉ Beaucoup d’acteurs confondent risque et menace. Il est toutefois important de les distinguer. La menace est un élément bien particulier, une occurrence parfaitement identifiable. Il peut s’agir de la divulgation d’informations, une tentative de corruption, une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente. Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation, ou encore vis-à-vis des obligations règlementaires. On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter. Evaluez-vous dès maintenant :

S U S TA I N A B L E D ATA C E N T R E

INTER VIEW

Centre de données

D I G I TA L & T R U S T _ PAG E 2 0

Dix ans pour atteindre la neutralité climatique

En 2018, ils représentaient quelques 2,7% de la consommation totale d’électricité en Europe (soit 76,8 TWh). Pour 2030, ils devront être climatiquement neutres. C’est le défi que lance la Commission européenne aux centres de données de ses 27 États membres. Certains ont déjà amorcé le tournant. C’est le cas d’EBRC, opérateur de trois Data Centres au Luxembourg et véritable pionnier en matière d’intégration de technologies éco-efficientes. Bruno Fery, Head of Data Centre Services, évoque ainsi quelques solutions qui permettraient d’atteindre l’ambitieux objectif européen. LA STRATÉGIE NUMÉRIQUE EUROPÉENNE ENTEND RENDRE LES CENTRES DE DONNÉES CLIMATIQUEMENT NEUTRES D’ICI 2030. QUELLES SOLUTIONS FAUDRAIT-IL METTRE EN PLACE POUR Y PARVENIR ? L’objectif de neutralité « climatique » laisse entendre que d’éventuelles émissions persistantes peuvent être compensées ou revalorisées. Pour atteindre cet objectif aussi ambitieux que nécessaire, les Data Centres d’ancienne et de nouvelle génération devront être super-efficients et capables de valoriser les calories excédentaires qu’ils génèrent. Cela nécessitera forcément des investissements plus conséquents pour le futur. Techniquement, il sera nécessaire en priorité d’améliorer davantage l’efficience énergétique des Data Centres en continuant à optimiser le refroidissement des serveurs, aussi bien avec de nouvelles technologies tout air qu’en immersion dans du liquide. En termes de solutions « Green », l’augmentation du recours aux énergies renouvelables sera tout aussi essentiel. Certaines régions étant plus favorables que d’autres à leur développe-

Bruno Fery, Head of Data Centre Services ment, il serait utile de disposer d’un « Smart Green Grid » européen, c’est-à-dire d’un réseau interconnecté d’électricité d’origine renouvelable que chaque centre de données pourrait utiliser et qui permettrait de gommer les disparités entre les différentes régions européennes. Les recherches et développements récents en termes de « Green Hydrogen » et de stockage d’énergie électrique par des batteries à haute performance sont également des solutions envisagées à moyen et long termes. De plus, l’implantation des futurs centres de données devrait s’insérer dans des projets d’aménagement de communauté urbaine avec intégration et consolidation des systèmes de production d’énergie

interne et externe aux Data Centres. Evidemment, d’autres évolutions devront se faire au niveau IT. Prenons l’exemple de l’acceptance de températures beaucoup plus hautes à l’entrée des serveurs, qui joue énormément sur l’efficience d’un Data Centre. Le « Code of Conduct » de la Commission européenne relatif à l’efficience énergétique des Data Centres (EBRC est participant depuis 2010) recommande des valeurs de température supérieures à 30°C et préconise que les nouvelles technologies de serveurs puissent être capables de supporter ces températures. Les développements seront peut-être plus rapides au niveau IT qu’au niveau des infrastructures.

Enfin, soulignons que les analyses qui imputent aux services numériques quelques 2% des émissions mondiales de gaz à effet de serre omettent les gains qu’ils génèrent à d’autres titres. L’importante économie de carburant que nous devons au télétravail depuis près d’un an ne trouve aucun écho dans ces calculs. C’est un exemple parmi d’autres qui démontre que la digitalisation engendre également des économies d’énergies indirectes qui mériteraient d’être contrebalancées. EBRC SE POSITIONNE COMME OPÉRATEUR ÉCORESPONSABLE DEPUIS QUELQUES ANNÉES DÉJÀ. QU’AVEZ-VOUS ENTREPRIS POUR CE FAIRE ? Le nouveau défi que nous impose la Commission européenne s’inscrit finalement dans la continuité de notre politique RSE. Nous avons en effet réalisé beaucoup d’efforts pour limiter notre empreinte carbone, comme en témoignent les nombreux prix que nous avons reçus et les différentes certifications d’EBRC dont celles relatives à la gestion des aspects environnementaux (ISO 14001) et à la gestion de l’énergie (ISO 50001). La gestion de l’énergie est réalisée de manière automatisée en temps réel aux niveaux monitoring et pilotage. Dès 2007, nous avons élaboré un programme d’économie d’énergie avant de signer, à deux reprises, l’accord volontaire de la FEDIL pour l’utilisation rationnelle de l’énergie. Sur les périodes 2010-2016 et 2017-2020, nous avons réduit notre empreinte carbone de 14% en recourant, lors de la construction de nos deux derniers centres de données, à de nouvelles technologies efficientes comme les Roues de Kyoto – un système de refroidissement à l’air qui fonctionne quasiment sans apport d’énergie 85% de l’année – ou des

« Le nouveau défi que nous impose la Commission européenne s’inscrit finalement dans la continuité de notre politique RSE » machines frigorifiques de type « Turbocor » à paliers magnétiques qui offrent des coefficients de performance jusqu’à six fois supérieurs à charge moyenne par rapport aux systèmes de production frigorifiques traditionnels. Les solutions de type « Free cooling » et « Free-chilling » sont privilégiées lors de la conception et de la modernisation de nos Data Centres. Nous utilisons également des variateurs de fréquences qui adaptent la vitesse des moteurs des ventilateurs à la charge du Data Centre et pratiquons le confinement d’allées froides. Pour notre Data Centre de Kayl, nous recourons à des pompes à chaleur qui permettent de chauffer l’entièreté du bâtiment voisin de la société, Editus. Tous ces systèmes qui nous permettent de réduire ou de revaloriser l’énergie, sont, depuis des années, intégralement alimentés par de l’électricité d’origine renouvelable. En complément, des panneaux solaires sont installés en toiture du Data Centre de Kayl et une nouvelle installation de ce type est prévue durant le premier trimestre de 2021 dans notre Data Centre de Windhof. En outre, nous stockons l’eau de pluie pour alimenter les éléments de climatisation et évitons ainsi de consommer l’eau de ville. Bien sûr, au-delà des infrastructures techniques, nos équipes IT sélectionnent les solutions applicatives et les serveurs éco-efficients afin de rendre nos centres encore plus efficients.

UN MOT SUR LES RÉPERCUSSIONS QUE POURRAIT AVOIR L’OBJECTIF DE LA COMMISSION SUR LES ACTIVITÉS D’EBRC ? EBRC peut être considéré comme un véritable pionnier en matière d’intégration de technologies et de solutions visant à diminuer l’empreinte carbone des Data Centres. S’il est évident qu’il nous reste du chemin à parcourir pour atteindre cet objectif de neutralité climatique, il est dans les gènes d’EBRC de s’engager toujours davantage. Nos efforts sont importants, comme notre volonté d’investir dans de nouvelles solutions et dans le développement des compétences de nos collaborateurs qui nous permettent d’être à la hauteur de notre responsabilité environnementale. Reste à la Commission de définir précisément, avec des critères de taille ou de puissance, ce qu’est un « centre de données ». Une société disposant d’un petit Data Centre en interne devra-t-elle elle aussi se soumettre à cette exigence de neutralité climatique? La question se pose car, dans l’affirmative, la solution de facilité pour ces mini-centres serait d’être hébergée auprès de grands opérateurs comme EBRC. Aborder ce nouveau marché est une opportunité car, forts de vingt ans d’expérience, EBRC propose déjà son savoir-faire en dehors du périmètre de ses Data Centres auprès de certaines sociétés et organismes que ce soit au Luxembourg et en France comme c’est le cas actuellement pour le centre de données de l’Université de Strasbourg.

E XC E L L E N C E I N R E G I O N A L D ATA C E N T R E

EBRC Data Center Services

remporte le prix « Excellence in Regional Data Centre - Europe Award 2021 »

D I G I TA L & T R U S T _ PAG E 2 2

Les résultats des Datacloud Global Awards 2021 ont été révélés et nous sommes ravis d’annoncer que nous avons été récompensés par le prix « Excellence in Regional Data Centre - Europe Award 2021 ». Le jury a fait l’éloge de la stratégie d’EBRC et de sa capacité à montrer l’exemple. L’accent mis sur la confiance et les normes de sécurité et de qualité de haut niveau permet à l’entreprise de devenir un partenaire de renommée internationale, ainsi qu’un facilitateur pour les entreprises en devenir qui ont besoin de services IT robustes. Jean-François Hugon, Head of Marketing, EBRC, nous en dit plus sur l’approche adoptée par EBRC.

« Aujourd’hui, EBRC fournit une gamme complète de services IT fiables, innovants et standardisés en s’appuyant sur deux initiatives stratégiques. Tout d’abord, nous avons adopté l’engagement de confiance au niveau international, qui est devenu le fondement de notre stratégie de cyber-résilience. D’autre part, nous avons développé et investi dans la création d’un portefeuille de services IT totalement intégrés apportant une valeur ajoutée à nos clients, » commence Jean-François Hugon. « C’est un honneur pour nous que d’avoir figuré sur la liste des vainqueurs aux Datacloud Awards aux côtés de nombreuses autres entreprises ; cela récompense la stratégie que nous promouvons depuis plus de 20 ans. Pour EBRC, la Cyber-Résilience est plus qu’un concept, elle a été placée au cœur des activités de notre entreprise et fait désormais partie de notre culture. » GÉNÉRER LA CONFIANCE ET PROMOUVOIR LA CYBERRÉSILIENCE PAR UNE GESTION DES SERVICES IT DE HAUTE QUALITÉ Du fait de travailler avec des clients évoluant dans des secteurs fortement réglementés - à savoir la finance, la santé ou l’espace, pour n’en citer que quelques-uns -, EBRC a adopté une stratégie qui consiste à tirer profit de la réglementation en s’appuyant réellement dessus. Si se conformer à la réglementation est évidemment obligatoire, pousser le

concept plus loin a permis à la société IT, spécialisée dans la gestion des informations sensibles, de se différencier sur le marché. Elle se conforme notamment au RGPD, au NIS, et aux autorités de contrôle comme la CSSF ou la certification HDS en France. « De plus, la direction de l’entreprise a entamé une stratégie de processus de certification qui indique d’emblée qu’EBRC, en tant que prestataire de services, se conforme à plusieurs normes internationales. Aujourd’hui, EBRC détient plus de 70 certifications et récompenses, portant notamment sur la gestion des risques et la résilience des entreprises - ISO 31000, ISO 27032, et d’autres encore, ainsi que sur la sécurité - ISO 27001, ISO 22301, Tier IV, PCI DSS, etc… » ajoute l’expert Marketing. EBRC préconise et intègre également les concepts de « Security and Privacy by design », dès les premières étapes de la conception de l’infrastructure, allant de l’anti-DDoS et de la sécurité des e-mails à DevSecOps et au sandboxing. En outre, EBRC est un membre de premier jour de l’initiative européenne GAIA-X. « Avec 3DS OUTSCALE, CS GROUP et RHEA Group, nous avons uni nos forces pour développer de nouveaux « Trusted services » pour le secteur sensible et en pleine croissance de l’espace, et ainsi nous suivons et stimulons l’initiative européenne GAIA-X, » commente Jean-François Hugon. Les éléments clés de l’entreprise que sont la confiance et la sécurité sont régulièrement partagés en interne et la sensibilisation est permanente, les em-

ployés et les parties prenantes étant formés et informés sur le concept de cyber-résilience qui a soudain gagné en popularité au cours des 16 derniers mois, dans le contexte de la crise Covid-19. UN PORTEFEUILLE DE SERVICES IT ET DE DATA CENTER INTÉGRÉS EBRC a été l’une des premières entreprises au monde à posséder et exploiter trois Data Centers certifiés Tier IV par Uptime Institute, représentant 15.000 m² d’espace serveur et répondant aux normes les plus strictes en matière de sécurité, de disponibilité, d’alimentation et de connectivité. Cette certification Tier IV, réputée et reconnue, garantit une disponibilité de 99,995 %. « Ainsi, en deux décennies, EBRC Trusted Data Center Services n’a jamais connu d’interruption de service », souligne Bruno Fery, Head of Data Center Services. En plus des services d’hébergement, EBRC propose désormais des solutions à valeur ajoutée couvrant l’ensemble de la chaîne de valeur. Les « Trusted Advisory Services » consistent à fournir un soutien et des conseils pour maîtriser les risques liés aux TIC par le biais de la gouvernance, du risque et de la conformité, de la gestion de la continuité des activités, des tests et de gestion des vulnérabilités, des tests de pénétration et des services d’expertise judiciaire. Ses « Trusted Managed Services » fournissent une gestion IT fiable, puissante et sécurisée par le biais

E XC E L L E N C E I N R E G I O N A L D ATA C E N T R E

de l’externalisation. Grâce à « Trusted Cloud Europe », EBRC fournit des solutions de cloud computing. « Ses trois modèles de déploiement (Privé, Public et Hybride) constituent un levier unique de développement commercial et répondent aux exigences réglementaires les plus strictes, » souligne Jean-François Hugon. La sécurité étant un élément crucial de l’ADN d’EBRC, le « Trusted Security Europe » se concentre sur les services de sécurité informatique, par le biais du conseil et la gestion de la sécurité. Enfin, les « Trusted Resilience Services » de l’entreprise consistent à concevoir et mettre en œuvre des plans de continuité d’activité et de reprise après sinistre au sein d’infrastructures résilientes. VISER L’EXCELLENCE EBRC, a son siège au cœur de l’Europe et du Luxembourg, siège majeur des institutions de l’Union Européenne, ce qui lui confère de nombreux avantages commerciaux tels qu’une situation géographique idéale, une orientation vers le spatial et la défense (L’Agence OTAN de soutien et d’acquisition, Luxembourg Space Agency SES, etc.), et une place financière reconnue basée sur une connaissance historique du secteur. De plus, EBRC a aligné ses services sur des

certifications internationales, régulièrement examinées par des auditeurs indépendants, afin de servir des industries nécessitant des services de haut niveau dans un cadre réglementé. « Nous avons été l’une des toutes premières entreprises au monde à obtenir la certification Tier IV Design « fault tolerant » pour nos trois Data Centers. Les ingénieurs d’EBRC ont développé un solide savoir-faire, la plupart d’entre eux étant accrédités Tier Specialists et Designers par Uptime Institute, » ajoute Bruno Fery. Grâce à ses connaissances et à ses professionnels expérimentés, EBRC garantit la réussite de projets IT clés en main : « nous conseillons, concevons, construisons, exploitons et maintenons des infrastructures IT, grâce à 340 experts IT, à notre filiale DIGORA basée en France et à nos six métiers IT dont les services de sécurité avec un SOC et un CERT, les services de continuité d’activité et les services de conseil ». En outre, grâce à la stratégie de certification décrite précédemment, EBRC a pu obtenir les habilitations de l’OTAN et de l’ESA, ainsi que développer une proposition de valeur solide sur la cyber-résilience, qui est intégrée dans tous les services Trusted IT d’EBRC. Enfin, l’aspect RSE est abordé au sein de l’entreprise à travers plusieurs initiatives : EBRC assure le développement durable

de son activité, accroît la satisfaction et la fidélité de ses clients, et agit pour assurer la cohésion avec les communautés locales et les pouvoirs publics. Depuis sa création en 2000, EBRC promeut la qualité, la disponibilité, ainsi que la sécurité, et mesure donc en permanence la satisfaction de ses clients. Répondre aux exigences des clients - et même les dépasser - a toujours été un élément clé de l’ADN de l’entreprise. Cette stratégie s’est avérée fructueuse et permet aujourd’hui à EBRC de travailler avec des institutions internationales et des opérateurs de services essentiels ainsi qu’avec des entreprises issues de divers secteurs tels que la finance, les Fintech et RegTech, la santé et les sciences de la vie, le secteur public, la sécurité, la défense, l’espace et les services en ligne.

CONFORMITÉ RGPD

RGPD

Comment gérer et piloter votre conformité RGPD ?

D I G I TA L & T R U S T _ PAG E 2 4

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018. Trois ans après, où en est-on ? Même si de nombreuses entreprises ont nommé un Data Protection Officer (DPO) et fourni de gros efforts pour se mettre en conformité, ces derniers mois le sujet s’est vu éclipsé par la crise sanitaire. De nets reculs ont été constatés, comme en témoignent les nombreuses sanctions administratives prononcées en 2020 par les autorités européennes de protection des données : 326 pour un montant cumulé de 170 millions d’euros. Comment dès lors rentrer dans un processus d’amélioration continue en impliquant toutes les parties prenantes ?

Christelle Amodio, Business Manager chez EBRC, Aline Moyret, Gouvernance Risk & Compliance Practice Lead chez EBRC, et Stéphane Omnes, Data Protection Officer chez Post Luxembourg, ont débattu de la question au cours d’un webinaire organisé par EBRC et dédié au pilotage du RGPD. Pour eux, se mettre en conformité avec le RGPD à un moment donné ne suffit plus. Les entreprises évoluent – de nouveaux services ou produits apparaissent, d’autres disparaissent – et, avec elles, le traitement de leurs données. Il est donc plus qu’urgent de dépasser le mode projet et de mettre en place un vrai système de gestion de la protection des données à caractère personnel.

Le plan de contrôle s’articule autour de 9 thèmes : la gouvernance et ses moyens, le registre des traitements, leur conformité, la protection de la vie privée dès la conception (Privacy By Design), les droits des personnes concernées, les violations de données, la gestion des sous-traitants, la gestion des clients professionnels et la sécurité. Ces 9 thèmes sont déclinés en 24 points de contrôle pour lesquels une correspondance a été établie avec le schéma de certification GDPR-CARPA (Certified Assurance Report-Based Processing Activities), élaboré par la Commission Nationale de Protection des Données (CNPD), et l’ISO27701, la norme internationale pour la protection des données.

GÉRER VOTRE CONFORMITÉ RGPD GRÂCE À UN RÉFÉRENTIEL DE CONTRÔLE BASÉ SUR 9 THÈMES ET 24 POINTS DE CONTRÔLE La démarche proposée par EBRC s’inscrit dans une politique de gestion des risques basée sur un plan de contrôle. Celui-ci permet de dresser un état des lieux de la conformité de l’entreprise, d’identifier les points d’amélioration, de pouvoir donner un retour aux différentes parties prenantes, que ce soient les responsables métiers ou la direction, de réévaluer les risques et de mettre à jour les politiques et les procédures afin d’améliorer en permanence le système de gestion de protection des données.

PROTÉGER VOS INFORMATIONS SENSIBLES - TROIS NIVEAUX DE RESPONSABILITÉS : DES RESPONSABLES MÉTIERS AUX AUDITEURS INTERNES Sur base de ce référentiel de mise en conformité, trois niveaux de contrôle sont prévus. Le premier niveau est du ressort des responsables métiers. Leur mission principale à cet égard est de réaliser, à intervalles réguliers – en général deux fois par an- , une auto-évaluation de leur conformité au RGPD. Les contrôles de niveau 2 sont de la responsabilité du Data Protection Officer et de son équipe. Ils auditent, également sur une base régulière, les responsables métiers, analysent leurs réponses et les challengent sur leur

auto-évaluation. L’objectif est de mesurer à l’aide d’indicateurs reproductibles (KPIs) l’état de leur mise en conformité et d’identifier les points qui ont été améliorés et ceux qui doivent encore l’être, les risques résiduels et l’éventuel manque de ressources allouées à la mise en conformité. Les résultats et les plans d’action à mettre en place sont ensuite documentés sous forme de rapports qui permettent de remonter l’information à la direction et aux comités spécialisés et ainsi de leur donner plus de visibilité sur la mise en conformité RGPD. La troisième ligne de défense est prise en charge par l’audit interne. Les avantages de ce système de gestion de la protection des données sont multiples. Vous surveillez et contrôlez en permanence votre mise en conformité RGPD. Vous gérez les risques. Vous informez et formez toutes les parties prenantes sur leur niveau de responsabilité dans le traitement des données personnelles. En outre, l’approche est simple – un tableur du type Excel suffit pour créer un tableau de bord unique et décentralisé -, pragmatique, agile, itérative et adaptable à tous les secteurs d’activité, quelle que soit la taille de votre entreprise.

POUR ALLER PLUS LOIN

Pour aller plus loin Retrouvez toute l’expertise d’EBRC au travers de livres blancs, de publications, d’articles, mais aussi de vidéos et des podcasts ! Retrouvez aussi toutes nos actualités ainsi que celles de nos clients et partenaires sur Ebrc.com Scannez les QR codes pour avoir accès rapidement aux contenus

Interview Comment gérer et piloter votre conformité RGPD ? Aline Moyret, GRC Practice Lead, et Christelle Amodio, Business Manager ont eu le plaisir d’accueillir Stéphane Omnes, DPO de POST, l’occasion pour ces experts de revenir sur le RGPD et dresser un état des lieux au Luxembourg.

Expert Talk Resilience – a key ingredient for the financial sector Nous avons réunis David Hagen (Hagen Advisory), Alexandre Castaing (RBC – ISACA Luxembourg), Stéphane Chmielewski (Finologee) et Philippe Dann (EBRC) pour évoquer la résilience au cœur de la finance.

Paroles de clients Nos clients prennent la parole et nous expliquent pourquoi ils ont choisi les services d’EBRC.

Red Hat – the benefit of automation Une table ronde d’experts sur l’automatisation : du besoin client aux apports business.

Podcast

Livre Blanc

Cloud & Datacenter : Tips & tricks!

Finance & Fintech innovation 2025

Dans cet entretien, Jean-Philippe Germe, Team Leader Platform Services évoque la sécurité dans les Data Centres tant sur le plan physique que digital. À ÉCOUTER JUSTE ICI !

Dans ce livre blanc, des experts du secteur de la finance reviennent sur la situation sanitaire, son impact sur le secteur et ses perspectives d’évolution.

Pour aller encore plus loin et retrouver nos dernières actualités suivez-nous sur nos réseaux sociaux

D I G I TA L & T R U S T _ PAG E 2 5

Résilience, gestion de crise : votre organisation est-elle prête ? Evaluez la préparation de votre entreprise à faire face à une crise, obtenez un bilan chiffré de votre maturité en ligne.

D I G I TA L & T R U S T _ PAG E 2 6

E X P E R T TA L K

#ExpertTalk

Trusted Backup & Recovery Services 365, avec Nicolas Kléber La part de marché des outils de collaboration en ligne a augmenté de manière significative au cours des trois à cinq dernières années. Cette tendance a également connu une énorme croissance en raison de la crise sanitaire de la Covid-19, la plupart des entreprises se tournant rapidement vers le travail à domicile et ayant besoin de solutions collaboratives innovantes. Cela sous-entend que les données collectées et échangées sont d’une importance énorme, même si elles sont moins visibles. Nous avons rencontré Nicolas Kléber pour discuter de la valeur des données et de la meilleure façon de les sécuriser et de les sauvegarder. L’expert nous en dit plus sur la gestion des données, les responsabilités et les risques, et nous présente enfin l’offre « Trusted Backup & Recovery Services 365 » d’EBRC.

« La plupart des entreprises ont maintenant réalisé qu’une partie importante de leur valeur provient de leurs données. Leur protection doit être garantie où qu’elles soient stockées, dans le Data Center de l’entreprise ou dans le Cloud. En ce qui concerne Microsoft 365, il est essentiel de penser à la sécurisation du contenu de l’application de messagerie et des données créées par SharePoint et OneDrive. Il ne faut pas non plus oublier que Teams pourrait très bien contenir des données cruciales, » explique l’expert. Il souligne le fait que de plus en plus d’entreprises échangent désormais des documents critiques par le biais de courriels ou d’outils de collaboration, les transformant en éléments clés qu’il est impératif de protéger et garder sous contrôle.

GÉRER LES RESPONSABILITÉS ET LES DROITS Par conséquent, les entreprises et leurs employés doivent être conscients des responsabilités de chacun en ce qui concerne les données et leur utilisation. Plusieurs modèles de responsabilité partagée ont été développés par les principaux acteurs du SaaS au cours des dernières années. « Dans la plupart des cas, les fournisseurs de services SaaS sont responsables de la disponibilité de leur service, mais la responsabilité de la gestion des données et de l’accès des utilisateurs reste à charge du client, » souligne Nicolas Kléber. Comme l’explique la documentation de Microsoft, la

E X P E R T TA L K

société basée à Redmond protège principalement les données pour pouvoir les restaurer après la survenance d’un incident sur ses propres infrastructures, et indique clairement qu’elle ne couvre pas tous les besoins de protection des données de ses clients. « En tant que « Data Owner » (propriétaire des données), le client reste responsable de la sécurité de ses propres données. Être responsable ne signifie pas seulement sauvegarder les données, mais aussi les mettre à la disposition des personnes qui en ont besoin et qui peuvent effectivement y accéder. La gestion des droits est donc essentielle, tout comme la classification des données et leur cycle de vie, » souligne l’expert. La migration vers le Cloud n’enlève pas aux entreprises la responsabilité des données : il leur appartient toujours de garantir la sécurité des données. Comme l’explique l’expert, la récupération intégrée à un moment donné (integrated point in time recovery) ne couvre pas nécessairement tous les scénarios. « C’est pourquoi, afin de garantir le plus haut niveau de sécurité et de conformité, les entreprises et les responsables informatiques doivent s’assurer que leur solution de sauvegarde est externe à Microsoft 365 et Azure. Ils pourront ainsi limiter les risques de perte de données, même si l’hypothèse d’une catastrophe entraînant la perte de toute l’infrastructure et des données hébergées reste très improbable au sein de M365 », souligne Nicolas Kléber. Les entités réglementées sont encore plus préoccupées, et respectent les lois sur la protection des données : au Luxembourg, la CSSF (Commission de Surveillance du Secteur Financier) exige une sauvegarde externe des données stockées dans un Cloud public, car cette sauvegarde externe garantit la capacité de l’entité réglementée à maintenir ses activités et ses services si le fournisseur de services de Cloud devait faire face à une crise, et peut être utilisée dans une stratégie de plan de sortie si le prestataire de service Cloud met fin à son service. « En fait, il serait souvent tout simplement impossible de reconstruire l’activité et de continuer à fournir les services aux clients si les données n’étaient plus disponibles. Si un plan de sortie clair est obligatoire dans de nombreux secteurs réglementés, c’est tout simplement

une question de bon sens pour tout type d’entreprise utilisant les services XaaS aujourd’hui. », ajoute l’Innovation Consultant. SAUVEGARDER LES DONNÉES POUR PERMETTRE LA CONTINUITÉ DES ACTIVITÉS De multiples enquêtes menées par des entreprises de premier plan telles qu’IDC, Gartner, McAfee et d’autres, ont démontré que les entreprises doivent sauvegarder les données de Microsoft 365, mais aussi qu’une majorité d’utilisateurs sous-estime fortement ce besoin. Par exemple, 70 à 80 % des utilisateurs ne sauvegardent en fait pas du tout ces informations, pensant que Microsoft remplit cette obligation spécifique. « Un retour sur Terre brusque et inattendu se produit trop souvent : lorsque l’utilisateur efface accidentellement ses données ou même le compte entier suite à une cyberattaque externe, un logiciel malveillant (malware), ou lorsqu’un outil tiers n’est pas configuré de manière optimale, etc. » ajoute Nicolas Kléber. Dans l’environnement numérique actuel, TBRS 365 constitue la première étape pour sécuriser et maîtriser les données Microsoft 365 de la société. « Ce service permet à l’entreprise et à ses employés de sauvegarder le contenu suivant : Exchange online, SharePoint online et OneDrive. Les données partagées et créées via l’application Teams sont également protégées si elles sont stockées dans SharePoint. Cette offre est personnalisable et peut être adaptée aux besoins spécifiques de chaque client, » dit Mr. Kléber. Comme tout autre service proposé par EBRC, TBRS 365 offre un modèle clair de responsabilité partagée. « En tant que prestataire de services, EBRC assure la continuité de la prestation de services. Si nécessaire, vos équipes peuvent être formées à l’utilisation de la plateforme et assistées dans la définition d’une politique de sauvegarde robuste, » explique d’abord l’Innovation Consultant, qui poursuit : « En tant que propriétaire des données (Data Owner), le client doit définir sa propre politique de conservation des données et la stratégie de sauvegarde qui lui est directement liée. En tant qu’administrateur de Microsoft 365, le client est également responsable des opérations quotidiennes telles que la validation

des tâches de sauvegarde et des plans de sauvegarde spécifiques ». En outre, si la disponibilité de l’application de messagerie est essentielle pour les opérations de l’entreprise, une approche spécifique et personnalisée peut être définie. La combinaison des ressources Microsoft 365 du client, TBRS 365 et l’option EBRC Hybrid Recovery for Exchange garantira la continuité des activités en cas de crise majeure. Un service similaire sera disponible dans les mois à venir, sécurisant les utilisations de SharePoint et OneDrive. POINTS CLÉS ET CONCLUSION Compte tenu du fait que les données sont désormais un élément clé du développement et du succès des entreprises, la gestion de leur cycle de vie n’a jamais été aussi importante. Dans la plupart des cas d’utilisation des solutions SaaS, le client reste le propriétaire des données (Data Owner) et est toujours responsable de leur sécurisation. Il est essentiel de sauvegarder ces données en dehors du Cloud que vous utilisez quotidiennement. Le risque de voir vos données Microsoft 365 disparaître est proche de zéro, mais que se passerait-il si vous deviez entrer en conflit avec votre prestataire de services actuel ? Veillez à lire correctement les documents contractuels. Il est également crucial de différencier « sauvegarde » (backup) et « archives », car l’archivage consiste à ne conserver qu’une seule copie des données, sans « deuxième copie externe » qui pourrait être utilisée en cas de suppression, de corruption ou de logiciels malveillants (malwares). EBRC, grâce à ses 20 ans d’expérience en matière de résilience numérique et de gestion du cycle de vie des données, est bien placée pour conseiller ses clients dans l’adoption de services de protection des données. « Nous combinons flexibilité, sécurité et résilience pour offrir des services locaux de protection des données de confiance (Trusted data protection services), hébergés dans plusieurs Data Centers Tier IV au Luxembourg. TBRS 365 est un nouvel élément clé de ce portefeuille » conclut Nicolas Kléber.

Relevez le Défi de la Cyber-Résilience

Depuis 20 ans, EBRC gère et protège vos informations sensibles et vous accompagne pour relever le défi de la Cyber-Résilience, en toute sérénité.

Découvrez notre offre Trusted Services Europe

Advisory

Managed Services

Cloud

Security

Resilience

Data Centre

3 FACILITY ebrc - Luxembourg Resilience Centre South June 11, 2013