ÉDITION 2019
CYBER-RÉSILIENCE : Les dirigeants doivent donner le ton p.09 OUTSOURCING IT : Les normes, vecteur de confiance p.12 DEVSECOPS : La sécurité en plus p.20 TÉMOIGNAGES CLIENTS : Banque de Patrimoines Privés, LuxTrust p.26
Ensemble vers la transition énergétique On a tout à gagner à développer les énergies renouvelables. Enovos s’engage pour le futur énergétique du Luxembourg et vous accompagne dans vos démarches pour l’environnement. En tant qu’expert en matière de production d’énergie verte, Enovos vous aide à mettre en place votre projet photovoltaïque, de la planification à l’exploitation de votre installation. Renseignez-vous sur renewables.enovos.lu et devenez, vous aussi, partenaire de la transition énergétique.
Energy for today. Caring for tomorrow.
03
CHIFFRES CLÉS
ÉDITO YVES
50%
Crédit photo : EBRC
REDING
C EO - EBRC
LE DIGITAL REQUIERT AVANT TOUT LA CONFIANCE.
de réduction de l’empreinte carbone des clients d’EBRC, grâce au programme innovant « Green IT »
+400
clients nous confient la gestion complète ou partielle de leur infrastructure
10
implantations data centre en Europe : Angleterre, France, Suisse, Allemagne, Luxembourg
3
data centres certifiés Tier IV par l’Uptime Institute
Complexité croissante, digitalisation exponentielle, globalisation effrénée, accélération et automatisation des échanges qui se font désormais dans des dimensions hors de portée de l’être humain, la civilisation humaine fonce à une vitesse vertigineuse vers son ou ses futurs possibles.
+33%
La digitalisation à marche forcée permet de mieux affronter la complexité mais génère également plus d’incertitude et réduit drastiquement le temps de décision.
de croissance depuis 2015
Dans ce torrent digital continu, particulièrement turbulent, tel le kayakiste, il faut être prêt, physiquement et mentalement, en permanence, à anticiper, prévenir, détecter, affronter, éviter les obstacles de la rivière ainsi que les évènements attendus et inattendus, parer aux menaces, encaisser et en même temps surfer sur la vague, accélérer, profiter du débit, des opportunités, rebondir, récupérer, repartir dans le courant, afin d’atteindre nos objectifs ambitieux, ceux de notre entreprise, de notre organisation, de notre équipe...
de disponibilité data centre depuis 2000
Accompagner nos clients dans le torrent digital, telle est notre ambition : leur donner et leur procurer de la confiance, leur proposer de l’agilité mais en même temps de la sécurité. La Cyber-Résilience by EBRC, les Trusted Services Europe, c’est cela : des services de confiance, des services data centre Tier IV, des services cloud souverains certifiés et hybrides, une prise en charge des opérations IT jusqu’au DevOps, des services d’accompagnement par nos Trusted Advisors. Dans notre monde de plus en plus complexe et incertain, la construction d’un écosystème digital de confiance est clé.
100%
4X
Best WorkPlace depuis 2014
+70
Awards et Certifications
100%
d’approvisionnement en énergie verte
76,4 M€
de chiffre d’affaires en 2018
Ce n’est qu’ensemble que nous arriverons à le construire, cet écosystème digital de confiance, dont nous avons tous besoin, et cela à l’échelle de l’Europe digitale. Notre futur se construit aujourd’hui, ensemble.
40
clients FinTech
+200
collaborateurs
Bonne lecture !
ÉDITION 2019
04
ÉDITION 2019
SOMMAIRE 06 /
TENDANCES
36 /
— Quelle(s) innovation(s) pour répondre aux défis socioéconomiques de notre société ? P.06 /
— « Powered by EBRC » : accélérer le développement des clients et l’hybridation du business P.36 /
— Cyber-Résilience : « les dirigeants doivent donner le ton » P.09 / 12 /
— Les entreprises membres du programme « Powered by EBRC » P.37 /
P AROLES D’EXPERTS
38 /
— Outsourcing IT : les normes, vecteur de confiance P.12 / — Cloud Hybride, DevOps et Stockage Objet : accélérateurs de votre transformation P.18 /
P ROGRAMME PARTENAIRES
26 /
ÉTUDE DE CAS
— DevSecOps : la sécurité en plus P.20 /
— Banque de Patrimoines Privés se certifie, une première au Luxembourg P.26 /
— Trusted Advisory Services, la voie vers la résilience P.23 /
— Sécurité et confiance, les deux piliers stratégiques de LuxTrust P.30 / 34 /
ACTUS
— EBRC et Wallix Group s’associent pour renforcer la protection des actifs critiques des organisations en Europe P.38 / — Out of Band Management, l’ultime Cyber-Résilience au sein du data centre P.41 /
TÉMOIGNAGES
— Vidéos : nos clients témoignent P.34 /
Editeur : EBRC, 5 Rue Eugène Ruppert, 2453 Luxembourg / Tel. : +352 26 06 1 / marketing.support@ebrc.com / Edité en novembre 2019 à 15 500 exemplaires — Réalisation graphique : Nicolas Bœuf / Farvest Group — Couverture : Mikado — Gestion éditioriale : Jean-François Hugon, EBRC / Alexandre Keilmann, Farvest Group
TRUST US WITH YOUR SENSITIVE DATA IMAGINE YOUR DIGITAL BUSINESS WE BUILD IT TOGETHER
TRUSTED SERVICES EUROPE It is much more than a certified European IT Service Provider guaranteeing you high protection. It is first and foremost an international team of 300 experts at your service to advise and help you achieve your goals. Discover our “Trusted Services Europe”
Advisory
Managed Services
Cloud
Security
Resilience
Data Centre
www. e b rc .c o m
06
TE NDANCE S
Marc Giget Président du Club de Paris des Directeurs de l’Innovation
| Nouvelles stratégies d’innovation 2018-2020
Auteur : Alexandre Keilmann
QUELLE(S) INNOVATION(S)
POUR RÉPONDRE AUX DÉFIS SOCIOÉCONOMIQUES DE NOTRE SOCIÉTÉ ? Le 28 mars 2019, Marc Giget, le Président du Club de Paris des Directeurs de l’Innovation, s’est rendu à EschBelval pour donner une conférence à la première édition luxembourgeoise de WOOP (World of Opportunities) à l’initiative de la société InTech et sponsorisée par EBRC. Avant son speech devant une salle comble, il a répondu aux questions de Jean-François Hugon, Head of Marketing d’EBRC. Retour sur cette discussion centrée sur les grands enjeux socio-économiques actuels, entre les objectifs de l’innovation et les impacts de la digitalisation.
L
e Club de Paris des Directeurs de l’Innovation,
JFH : Sur la base de cette récente étude,
réunissant une centaine de groupes mondiaux
à quelles tendances socio-économiques
parmi lesquels on recense de nombreux leaders
majeures nos sociétés vont-elles devoir faire
dans leurs domaines respectifs, a récemment
face ? De futures crises pourraient-elles
publié les résultats de son étude intitulée « Les
émerger de prochains changements
nouvelles stratégies d’innovation 2018-2020 ». Comme son
et des déséquilibres qu’ils pourraient créer ?
nom l’indique, celle-ci se base sur l’analyse des stratégies
MG : Nous observons avant tout une augmentation significa-
de ces groupes internationaux ainsi que sur leur perception
tive, voire une explosion, de la population mondiale. Elle est
des défis auxquels l’humanité doit aujourd’hui faire face.
moins importante que prévu en Chine et en Inde, mais l’Afrique
—
LES
DÉFIS
SOCIO- ÉCONOMIQ UE S
DE
NOTRE
SO CIÉ TÉ
07
—
L’IA ? UN MYTHE, TOUT SIMPLEMENT ! CELLE-CI N’A RIEN DE COMPARABLE AVEC L’INTELLIGENCE HUMAINE, SES ÉMOTIONS ET SON EMPATHIE.
continue son fort développement, entrainant une redistribution
JFH : Quels constats faites-vous concernant
de la population mondiale. L’Europe, quant à elle, ne repré-
l’évolution des cyber-menaces ?
sentera bientôt plus que 8%. De plus, cette augmentation
MG : Cette cyber-menace, de plus en plus sophistiquée, ne
s’accompagne d’une concentration dans les villes, regroupant
cessera en aucun cas de s’accentuer dans les 3 ou 4 années
65% de la population et plus de 60% du PIB mondial (selon
à venir, avec un sérieux avantage donné aux attaquants
McKinsey, les 600 plus grandes villes créent 60% du PIB mon-
dans le contexte actuel. Le Club de Paris et ses membres
dial). En plus de ces changements démographiques avec une
travaillent ainsi à comprendre ce monde qui bouge, avec pour
population vieillissante, citons également le réchauffement
mission d’échanger les bonnes pratiques afin de faire face à
climatique, la transition écologique, ou encore le fait que les
ces situations risquées. Il ne faut pas ignorer le constat : la
analyses montrent que le pouvoir d’achat n’augmente pas, et
situation est dégradée. Une prise de conscience est néces-
ce depuis plusieurs années.
saire. Puis, il faudra se regrouper pour recoller les morceaux,
Cette stagnation, qui tend à la baisse, représente un défi impor-
car comme nous l’avons déjà observé précédemment dans
tant pour les sociétés qui ont tendance à se tourner vers le haut
l’Histoire, la solution ne tombera pas du ciel !
de gamme, le premium, quand il serait plus adapté d’offrir des produits et services moins chers. Avec un risque économique
JFH : Quelle interprétation faites-vous
important et le retour annoncé d’une importante crise, avec
de cette transformation digitale de notre
une dette mondiale gigantesque (320% du PIB mondial), des
environnement ? Faisons-nous face à une
prêts à taux zéro, une spéculation importante et la percée des
rupture majeure ?
cryptomonnaies… je me demande si nous sommes aujourd’hui
MG : Pour moi, il ne s’agit pas d’une rupture, mais plutôt
mieux armés pour faire face à une potentielle crise écono-
d’une transition numérique. Je tiens également à distinguer
mique. Puis, il y a également les conflits ouverts, en Europe
« mega-trend » et « transition » : dans le premier cas, nous
et au-delà, entre les incertitudes liées au Brexit et l’idée que
observons le monde et nous le voyons se transformer. Dans
d’autres pays puissent imiter le Royaume-Uni, avec la crainte
le second, nous décidons d’agir et de gérer ce changement.
de voir se former une Europe à trois vitesses, mais aussi la
Dès lors, il est plus adapté de parler aujourd’hui de transition
montée du protectionnisme, notamment aux Etats-Unis, qui
digitale, et non de disruption. Nous créons un monde virtuel,
réduit inévitablement les échanges tout en faisant exploser les
mais il ne s’agit pas d’une révolution copernicienne comme a
prix de certains biens.
pu l’être la création du téléphone, l’invention de l’imprimerie
ÉDITION 2019
08
—
LES
DÉFIS
SOCIO- ÉCONOMIQ UE S
DE
NOTRE
SO CIÉ TÉ
—
ou encore l’avènement de l’aviation, notamment. Il est aussi
sur ce « socle de vérité ». À titre d’exemple, l’innovation
nécessaire de clarifier le terme « disruption », trop souvent
scientifique, bien souvent discrète, avance et accumule
galvaudé et utilisé à mauvais escient selon qu’il s’agisse de la
les connaissances. Elle se traduit par le développement de
langue française ou anglaise. Ainsi, dans la langue de Molière,
nouvelles technologies, qui ne créent pas de rupture, ni de
celui-ci signifie « coupure », alors que pour Shakespeare et
cassure, mais transforment l’ancien.
les siens, il correspondra à une « simple déstabilisation ».
Comme l’économiste américain Joseph Schumpeter a pu
Les évolutions technologiques actuelles ne créent pas de
l’observer durant ses années de recherche, la destruction
rupture sociétale. Les gens continuent d’utiliser des appareils
arrive bien souvent avant la création, créant ainsi des mou-
photos, qu’ils soient analogiques ou numériques, Amazon
vements sociaux et entrainant la peur des citoyens devant
fait de la grande distribution : les exemples sont nombreux
un manque d’information. Aujourd’hui, cette destruction est
et parlants. Aujourd’hui, nous assistons à une rationalisation
plus rapide et bien plus violente, alors que la création met
de l’existant, sans qu’elle ne change profondément notre
plus de temps qu’initialement prévu, créant ainsi un déca-
civilisation. Nous nous trouvons donc dans une période
lage important. J’invite alors les leaders et entrepreneurs à
de stagnation séculaire. Selon moi, cette transition digitale
former leurs collaborateurs et à partager leurs visions tout
dont nous parlons aujourd’hui n’est autre qu’une illusion
en organisant le passage d’un état à un autre. Ils ont un
technologique !
rôle clé, un rôle d’anticipation. En France, les chaînes de télévision classiques payent leurs taxes et impôts, tandis
JFH : Le marketing se nourrit régulièrement
que les plateformes de streaming telles que Netflix ne dé-
de buzz-words, l’intelligence artificielle
boursent rien. Elles utilisent la technologie pour, en quelque
en est un. Selon vous, porte-t-elle de vraies
sorte, contourner les méthodes traditionnelles. Les leaders
promesses ? Lesquelles ?
ne peuvent en aucun cas être aveuglés et doivent anticiper,
MG : L’IA ? Un mythe, tout simplement ! Celle-ci n’a rien de
car la loi peut s’avérer difficile à transformer, donnant ainsi
comparable avec l’intelligence humaine, ses émotions et son
lieu à des frictions.
empathie. Ainsi, cette vague de numérisation n’apporterait que peu de nouveautés et n’aurait que peu d’impact sur la
JFH : N’a-t-on pas trop oublié le rôle
productivité, à des années lumières de la Renaissance : le
de l’innovation dans l’amélioration de la
numérique devient simplement une commodité, il devient
condition humaine dans nos sociétés ?
banal.
Quelles recommandations pourriez-vous donner aux entrepreneurs, porteurs de projets ou
JFH : En matière d’innovation, vous faites
décideurs pour développer l’innovation ?
souvent référence à la Renaissance. Cette
MG : Les CEOs et chefs d’entreprises ne portent pas suffi-
période de l’Histoire a vu le développement
samment attention à la transition digitale, 80% des projets
de nombreuses méthodes et techniques
n’aboutissant pas. Quelle est la raison de ces échecs ? Le
innovantes, l’apparition des brevets, la genèse
digital est projeté sur les collaborateurs, quand ces derniers
des « capital ventures », l’invention du design
devraient être à la base de cette transition, partant de leurs
et de la R&D. Pourquoi cette période est elle
désirs et de leurs attentes. Tech, tech et encore tech… La
si représentative de l’Innovation ? Quelles
dimension humaine est bien souvent laissée de côté. Le digital
différences y voyez-vous avec notre époque ?
devrait être au service des collaborateurs. Nous sommes
MG : La Renaissance fut une véritable révolution humaniste.
allés jusqu’à demander aux gens de se robotiser. Fort heu-
C’est à cette époque qu’on a décrit les quatre objectifs
reusement, aujourd’hui, l’Humain se replace naturellement
avoués de l’innovation : améliorer la condition humaine, har-
au milieu de cette discussion, mais la transition est violente,
moniser les relations entre les Hommes, créer la Cité idéale
car nous nous sommes trompés pendant trop longtemps.
et enfin, améliorer notre relation à la nature. Inchangés, ces
Comme au temps de la Renaissance, privilégions la pensée
principes sont aujourd’hui encore à la base de l’innovation.
humaine et gérons cette transition vers l’émergence d’une
La technologie change, certes, mais pas la philosophie.
société de progrès partagé !
Revenons donc sur ces valeurs qui unissent et se basent
09
TE NDANCE S
Auteur : Alexandre Keilmann Crédit photo : Olivier Dessy
Yves Reding CEO - EBRC
CYBER-RÉSILIENCE :
« LES DIRIGEANTS DOIVENT DONNER LE TON »
L
e Forum Economique Mondial de Davos 2019 a, comme chaque année, permis de mettre en lumière les tendances économiques globales, de poser les défis et les opportunités qui retiennent l’attention des leaders d’opinion actuels.
Le Forum s’appuie également sur la publication d’indicateurs macroéconomiques et recueille le sentiment de ceux qui la dirigent. Ainsi, 29% des chefs d’entreprises (contre 5% en 2018) s’attendent à un ralentissement de la croissance ; un pessimisme qui s’explique par l’augmentation significative de certains risques parmi d’autres : le réchauffement climatique, les risques géopolitiques et en particulier l’augmentation des cyber-menaces. Ces tensions, au plus haut depuis les cinq dernières années, concernent les entreprises et les organisations de toute taille et de tous secteurs. Yves Reding, CEO d’EBRC (European Business Reliance Centre), perçoit également les inquiétudes de ces dirigeants qui constatent une augmentation exponentielle des cyber-menaces sur les organisations. La vision d’EBRC est d’être un centre d’excellence et de confiance au cœur de l’Europe en protection et gestion de l’information sensible. EBRC emploie 200 collaborateurs et réalise un CA de 76 millions d’euros. La société est par ailleurs entrée dans le capital de la société DIGORA, forte de
ÉDITION 2019
10
TE NDANCE S
130 experts, basée en France et au Maroc, spécialiste dans
des logiciels malveillants), les atteintes à la sécurité des
la gestion des données et des bases de données. Opérant
données et les fuites d’information connaissent une aug-
sur ses data centres de niveau Tier IV, qui constitue le plus
mentation croissante. Celles-ci atteignent des dimensions
haut niveau de sécurité et de disponibilité, EBRC propose
encore inimaginables il y a quelques années. Nous allons de
des services cloud de confiance, d’outsourcing IT et de
record en record. Les origines peuvent être liées à des cyber-
conseil à une clientèle internationale particulièrement exi-
criminels, des Etats, des entreprises ou organisations, des
geante en termes de sécurité, d’intégrité et de disponibilité
cyber-terroristes... or la digitalisation en cours est exponentielle
de l’information et de respect des règlementations pour
et les menaces suivent cette tendance. Le fond du problème
les marchés de la Finance, de la Santé, des Opérateurs de
est que la protection contre ces menaces progresse mais
Services Essentiels, des institutions internationales, de la
seulement de manière linéaire. L’écart entre des menaces qui
défense et du spatial.
croissent de manière exponentielle et des protections qui se
Entretien avec Yves Reding, CEO d’EBRC, l’occasion d’abor-
développent de manière linéaire augmente et constitue un
der les menaces actuelles rencontrées par les dirigeants et
danger majeur pour la révolution digitale en cours.
l’approche préconisée pour tendre vers la Cyber-Résilience et ainsi réduire les cyber-menaces.
La prise de conscience de l’ensemble de l’écosystème IT a-t-elle eu lieu ?
Yves Reding, cette inquiétude des chefs
YR : Le digital est un nouveau monde dans lequel les risques
d’entreprise face aux cyber-menaces n’est-elle
restent difficiles à appréhender pour l’humain. Dans le monde
pas exagérée ?
physique, les risques sont proches et visibles. L’Homme
YR : Sur les dix dernières années, les dirigeants d’entreprise
regarde instinctivement à gauche et à droite avant de tra-
ont ressenti les fluctuations macroéconomiques avec une
verser une route pour voir s’il ne risque pas d’être renversé
sensibilité assez juste. C’est ce qui ressort de la publication
par un véhicule. Dans le monde digital, ce réflexe est peu
des indicateurs du rapport présenté au World Economic
développé. Une attaque DDOS peut être lancée de l’autre
Forum. Or aujourd’hui, leurs quatre préoccupations majeures
côté de la planète et être silencieuse. Il est vital de procéder
sont relatives aux enjeux économiques exacerbés par des
à une sensibilisation massive des utilisateurs du cyberes-
replis protectionnistes de plus en plus visibles, les contextes
pace, que ce soit dans le monde professionnel ou privé.
géopolitiques instables, le défi climatique et… effectivement,
La Commission européenne a lancé plusieurs initiatives,
les cyber-risques. Chez EBRC, nos clients sont culturellement
dont la directive NIS, qui vise à construire un écosystème
allergiques à toute prise de risque surtout dans le digital. Ces
cyber-résilient en Europe, protéger les Opérateurs de Services
clients opèrent des transactions critiques ou des informations
Essentiels, comme les fournisseurs d’énergie, le transport,
sensibles. Depuis 20 ans, EBRC apporte des réponses à ce
les services de santé, les transactions financières... contre
besoin de la protection et la gestion de l’information sensible,
les cyber-risques.
c’est sa mission et c’est une préoccupation majeure pour
Par ailleurs, l’agence de cyber-sécurité européenne, l’ENISA,
chacun d’entre nous…
disposera de pouvoirs accrus. Elle organise déjà depuis plusieurs années des exercices de gestion de crise à l’échelle
Comment expliquez vous la situation actuelle,
européenne, par rapport à des risques majeurs. EBRC avait
l’ampleur de la menace et les raisons à l’origine
participé en 2016 à l’exercice Cyber Europe dont l’objectif
de l’augmentation des incidents de sécurité ?
était de simuler des attaques massives et coordonnées sur
YR : Les menaces en termes de cyber-sécurité sont rela-
les cloud providers en Europe.
tivement étendues. Les plus courantes restent les logiciels malveillants (malwares), les attaques « Web Based ou Web
Quels conseils pourriez-vous donner
Application » ou le phishing (hameçonnage sur le net). Les
aux entreprises pour se préparer à faire face
attaques par déni de service, qui visent à inonder les réseaux
aux cyber-menaces ? par où commencer ?
pour les rendre indisponibles sont en forte croissance et de
YR : Dans un environnement où les cyber-menaces sont
plus en plus puissantes et sophistiquées. Les usurpations
de plus en plus nombreuses et sophistiquées, les stratégies
d’identité, les botnets (réseaux d’ordinateurs infectés par
de sécurité traditionnelles sont inadaptées. Désormais, la
—
LES
DIR IGEA NTS
DOIV E NT
DONNE R
L E
TON
11
—
question n’est plus de savoir si une entreprise sera attaquée,
les nouveaux besoins de nos clients et les menaces. Via
mais quand cette attaque aura lieu et avec quelle violence.
le processus d’amélioration continue, il s’agit de créer une
Les organisations doivent adopter une approche de la sé-
véritable culture de la Cyber-Résilience. Celle-ci doit faire
curité et de la continuité des activités basée sur la gestion
partie des gènes de chacun et être intégrée dans tous les
et la mitigation du risque et non sur son élimination. Il s’agit
actes de l’organisation.
de passer de la cyber-sécurité à la Cyber-Résilience. La Cyber-Résilience c’est, comme dans le monde physique, se doter d’un système immunitaire pour faire face aux menaces. Pour les organisations et les usagers du digital, en permanence, il faudra pouvoir identifier, protéger, détecter, répondre aux menaces, récupérer si on est touché, pour garantir la continuité de l’activité et rebondir. La mise en place d’une culture de Cyber-Résilience passe par le Top Management. Il faut que la direction donne le « ton » et insuffle à l’entreprise les réflexes de base pour se protéger, ce qu’on appelle l’« hygiène numérique », mais également qu’elle construise l’organisation, les processus pour se doter de ce système immunitaire permanent. Des certifications existent, quelles sont celles qui vous paraissent indispensables pour évaluer un partenaire ou un fournisseur de son écosystème ? YR : Pour mettre en place la Cyber-Résilience dans une entreprise, les certifications sont un véritable gage de confiance. Les programmes de certifications forcent les entreprises dans des processus d’amélioration continue. La Cyber-Résilience porte typiquement sur quatre normes
LES MENACES EN TERMES DE CYBER-SÉCURITÉ SONT RELATIVEMENT ÉTENDUES. LES PLUS COURANTES RESTENT LES LOGICIELS MALVEILLANTS (MALWARES), LES ATTAQUES « WEB BASED OU WEB APPLICATION » OU LE PHISHING (HAMEÇONNAGE SUR LE NET).
internationales que sont : • ISO 27001 : gestion de la sécurité de l’information • ISO 22301 : gestion de la continuité d’activité • ISO 31000 : gestion du risque
Par ailleurs, la Cyber-Résilience ne peut s’enrichir qu’à
• ISO 22316 : sécurité et résilience
travers le partage d’expérience ou grâce à des équipes
Pour les sociétés de services ICT, il est important de se
multidisciplinaires. Si les 400 clients d’EBRC sont issus de
doter également de la certification ISO 20000, qui régule la
pays ou de métiers très divers, ils font face à des risques
gestion des services IT, selon les meilleures pratiques, dont
et des menaces similaires. Pour mieux servir nos clients,
les pratiques ITIL. La protection des données à caractère
il nous revient également de participer à la création d’un
personnel peut par exemple être garantie pour certains ac-
écosystème de Cyber-Résilience à l’échelle européenne.
teurs via la certification ISO 27018. Des secteurs sensibles
Seul, dans son pays, on ne peut y arriver. Nous devons fa-
ont adopté des normes spécifiques comme la certification
voriser l’émergence de mécanismes de lutte plus efficients
« Hébergeur de Données de Santé » (HDS), qui requiert les
à l’échelle du marché digital unique. À nous, spécialistes de
certifications ISO 27001, ISO 20000 et ISO 27018. Dans le
la protection et de la gestion de l’information sensible, de
domaine des certifications, EBRC a volontairement, et ce
montrer l’exemple. L’objectif est de garantir la confiance des
depuis de nombreuses années, intégré progressivement
clients et des stakeholders dans le cyberespace.
toutes ces normes et bonnes pratiques, afin d’anticiper
ÉDITION 2019
12
PAR OL E S
D’E X PE RTS
Philippe Dann Head of Risk & Business Advisory - EBRC
Auteur : Alexandre Keilmann Crédit photo : EBRC
OUTSOURCING IT :
LES NORMES, VECTEUR DE CONFIANCE Rencontre avec Philippe Dann et Jean-François Hugon,
d’obtention de certifications. De la créa-
respectivement Head of Risk & Business Advisory et Head
tion de nouveaux services à l’intégration,
of Marketing au sein d’EBRC. Ils abordent l’importance
en passant par la gestion de l’informa-
des certifications détenues par la société spécialisée dans la
tion sensible, chaque branche et activité
gestion des informations sensibles, ainsi que les avantages qu’elles lui confèrent et dont bénéficient les clients d’EBRC, entre standardisation et relation de confiance.
d’EBRC est aujourd’hui couverte par des certifications bien spécifiques ». Cette démarche de certifications accrue s’inscrit également dans la stratégie d’amélioration constante et continue
« L’ambition d’EBRC est de se position-
d’abord Philippe Dann, avant de pour-
promue par EBRC et ses experts, selon
ner comme un centre d’excellence en
suivre : « Pour ce faire, nous avons en-
le principe de la roue de Deming (voir
Europe dans la gestion et la protection
clenché plusieurs mécanismes et avons
page 17 « Cyber-Resilience Lifecycle »),
des données sensibles », explique tout
notamment opté pour une stratégie
ou le PDCA – Plan, Do, Check, Act.
TRUST US WITH YOUR SENSITIVE DATA DEVELOP AND BOOST YOUR AGILITY AND SECURITY
TRUSTED ADVISORY SERVICES It is an international team of 300 experts at your service to advise you in Risk Management, Cyber-Resilience, IT transformation and to help you achieve your goals. Discover our “Trusted Services Europe”
Advisory
Managed Services
Cloud
Security
Resilience
Data Centre
www. e b rc .c o m
14
PAR OL E S
D’E X PE RTS
Nous évoluons dans des domaines tels que la finance...
— N AVIGUER DANS
...ou la santé avec des statuts spécifiques.
aux attentes des régulateurs », com-
ce règlement concerne principalement
DES ENVIRONNEMENTS
mente Philippe Dann. Il s’agit dès lors
les organismes du secteur public et les
TOUJOURS PLUS RÉGULÉS
d’aspects clés dans le développement
prestataires de services de confiance
Ces différentes normes et certifications
international d’EBRC et dans son posi-
établis sur le territoire de l’Union euro-
étant régulièrement auditées, elles repré-
tionnement en tant que « centre d’ex-
péenne. Il instaure un cadre européen
sentent une garantie probante pour les
cellence européen ». Les certifications,
en matière d’identification électronique
clients et prospects d’EBRC, démon-
qui font office de véritable « carte de
et de services de confiance, afin de
trant d’une manière formelle la qualité
visite », démontrent les capacités de
faciliter l’émergence du marché unique
et le savoir-faire des prestations offertes
la société à respecter ces standards
numérique. Il couvre notamment le sujet
par l’entreprise luxembourgeoise. De
bien spécifiques. « Nous évoluons dans
de la signature électronique, et abroge la
plus, les audits externes effectués par
des domaines tels que la finance ou
directive 1999/93/CE. L’ANSSI est l’un
les organismes certifiants représentent
la santé avec des statuts spécifiques,
des organismes nationaux chargés de
un gain de temps significatif pour les
respectivement PSF (Professionnel du
la mise en œuvre de ce règlement. En
clients : cette démarche poussée de
Secteur Financier) au Luxembourg et
bref, elles permettent de faire sauter les
certification renforce la confiance au
HDS (Hébergeur de Données de Santé)
barrières que nous pourrions retrouver à
sein d’un environnement toujours plus
en France, nous obligeant à opter pour
l’entrée et assurent aux clients et acteurs
digital et réglementé, notamment avec
des certifications et normes inhérentes
d’un écosystème que nous parlons le
le GDPR. « L’arrivée de la directive NIS a
à la règlementation du secteur. Pouvoir
même langage. Ces certifications en
également eu un impact : elle oblige les
accéder à un marché règlementé et
cascade donnent une garantie supplé-
sociétés à mettre en place des contrôles
améliorer la qualité des réponses et
mentaire dans la mesure où elles sont
effectifs. Avec les certifications actuelles,
prestations, tel est également l’intérêt
régulièrement auditées. Finalement,
EBRC est en mesure d’effectuer de tels
d’une démarche de certification. Je
elles démontrent la maturité d’un sa-
contrôles et de prouver qu’elle répond
pourrais citer à titre d’exemple l’eIDAS :
voir-faire que nous avons modélisé en
—
LES
NOR M ES,
V E CTE UR
DE
CONFIANCE
15
—
EBRC COMPTE AUJOURD’HUI PLUS DE 70 CERTIFICATIONS ET AWARDS LOCAUX ET INTERNATIONAUX, QUI, COMBINÉS, PERMETTENT AUX CLIENTS D’ÉVALUER NOS PERFORMANCES ET NOS SERVICES, VOIRE MÊME NOS BONNES PRATIQUES AINSI QUE NOTRE STRATÉGIE.
travail qui permettra aux différentes par-
certifications et awards locaux et inter-
ties-prenantes de gagner du temps.
nationaux qui, combinés, permettent aux
« Les normes obligent à se structurer et
clients d’évaluer nos performances et
améliorent la communication en interne.
nos services, voire même nos bonnes
Les rôles de chacun doivent être définis
pratiques ainsi que notre stratégie »,
alors que des KPI – Key Performance
commente Jean-François Hugon.
Indicators – mais aussi des KRI – Key
La certification ISO 9001, liée aux sys-
processus. Les phases d’audits faci-
Risk Indicators – doivent être mis en
tèmes de gestion de la qualité, permet
litent l’amélioration continue de nos
place. Un exercice qui peut s’avérer
la définition de standards entrant dans
services, ce qui s’inscrit parfaitement
délicat mais qui n’en reste pas moins
le cadre global de la société : elle in-
dans notre démarche pour délivrer
crucial », ajoute Philippe Dann. D’ailleurs,
clut les exigences pour la conception,
des services de confiances « Trusted
la certification ISO 20000 dont bénéficie
le développement, la production et le
Services » et qui contribue activement
EBRC insiste sur ce point. Elle spécifie
SAV des produits. « Une certification
à la Cyber-Résilience », ajoute Jean-
les exigences destinées au fournisseur
qui pose les jalons, qui sert de fonda-
François Hugon. Le Head of Marketing
de services pour planifier, établir, implé-
tion », selon Philippe Dann. Quant à
insiste également sur le bénéfice des
menter, exécuter, surveiller, passer en
la norme ISO 20000, comme abordé
certifications au profit des prestataires
revue, maintenir et améliorer un Système
précédemment, elle est orientée sur la
de service comme EBRC. Celles-ci se
de Management des Services, de la
gestion et l’organisation des services
sont imposées autant sous la pression
conception à l’amélioration des ser-
informatiques, entre processus, rapports,
des futurs clients, qui recherchent une
vices. « Aujourd’hui, mieux connaître
relation clients, helpdesk ou encore inci-
solution, que celle des régulateurs au
ses processus, c’est également prévoir
dents. La continuité des opérations est
niveau international.
et anticiper. Deux éléments clés dans
assurée via la certification ISO 22301 :
Enfin, comme le soulignent les deux
un monde où l’incertitude est quasi
il s’agit de la définition des processus
experts, cette stratégie de certification
constante », ajoute le Head of Risk &
permettant de s’assurer qu’en cas de
permet avant tout de maîtriser la qua-
Business Advisory.
sinistre, la société sera à même de fournir les services à ses clients. Une forte
lité des services en interne, chacune d’entre elles apportant un cadre bien
— L ES CERTIFICATIONS,
orientation sécurité et gestion du risque
précis avec des obligations à respecter
AU CENTRE DE LA
est assurée par la norme ISO 27001 : ces
STRATÉGIE D’EBRC
aspects doivent être gérés en amont,
et améliorant, in fine, la structuration des services en optimisant le cadre de
« EBRC compte aujourd’hui plus de 70
dès la conception ou la mise en place
ÉDITION 2019
16
PAR OL E S
ACTIF DANS LE SECTEUR DE LA SANTÉ DANS L’HEXAGONE, EBRC EST ÉGALEMENT CERTIFIÉ HDS – HÉBERGEUR DE DONNÉES DE SANTÉ – ET PEUT AINSI OFFRIR SES SERVICES AUX ACTEURS DANS LA GESTION DES DONNÉES SENSIBLES ET PERSONNELLES.
D’E X PE RTS
d’un nouveau service ou produit. « On
EBRC répond aussi à la norme PCI DSS
y retrouve la notion Trusted, chère à
(Payment Card Industry – Data Security
EBRC », ajoutent les experts. EBRC
Standard) Level 1. Avec ses cinq data
bénéficie également de la certification
centres au Luxembourg, EBRC met un
ISO 27018, qui concerne la protection
point d’honneur à œuvrer à la protec-
des données personnelles dans le cloud.
tion de l’environnement. Cet aspect
Trois sources sont à considérer afin
« Green IT » est défini à travers la norme
de vérifier les exigences de sécurité :
ISO 14001, comprenant la planification et
l’environnement légal, réglementaire et
la mise en place d’actions pour respecter
contractuel, l’évaluation des risques
cette politique environnementale, mais
mais aussi les références internes à
aussi la norme ISO 50001 qui concerne
l’entreprise.
les performances énergétiques et qui
Actif dans le secteur de la santé dans
promeut une gestion efficace de l’éner-
l’Hexagone, EBRC est également certifié
gie. Certifiés Tier IV, ces data centres
HDS – Hébergeur de Données de Santé
ont été conçus dans l’optique d’assurer
– et peut ainsi offrir ses services aux
les plus hauts standards de continuité.
acteurs dans la gestion des données
« La certification prévoit un taux de dis-
sensibles et personnelles. Comme l’ex-
ponibilité de 99,995%, correspondant
plique le Risk & Business Advisor, « il
à moins de 26 minutes d’arrêt cumulé
s’agit d’une certification de nos services
par an. Le data centre doit ainsi être
data centre dans nos infrastructures
autonome dans sa gestion et sa capa-
Tier IV ». Afin d’accompagner ses par-
cité de réponse aux incidents », précise
tenaires du secteur financier offrant des
Philippe Dann.
services de paiement par carte bancaire,
Pourquoi – et comment – externaliser ses activités IT ? Pour le Head of Risk & Business Advisory d’EBRC, « il est crucial de se pencher sur ses processus internes avant même d’externaliser. Ensuite, le choix du fournisseur est tout aussi important : celui-ci passe par une étude et doit résulter en une relation de confiance. C’est à ce moment que les certifications entrent en compte ». Les équipes Business Advisory ou IT Transformation recueillent tout d’abord les besoins clients avant de mettre en place une stratégie, avec un plan d’action, qui sera par la suite implémenté. Philippe Dann et Jean-François Hugon partagent alors leurs recommandations quant au choix d’un fournisseur de services IT : « Tout d’abord, nous conseillons de débuter par un audit interne afin de mesurer le niveau de maturité de l’entreprise en vue d’une externalisation. Par la suite, des workshops peuvent être animés par des experts d’EBRC ». Selon eux, les sociétés peuvent également envisager une certification et décrire leurs processus en se basant sur un framework connu, ce qui permettra de faciliter la transformation et la migration vers l’outsourcing. « La création du cahier des charges et l’identification des KPIs suivront. Ces derniers, indicateurs métier et business, doivent être alignés avec la direction générale. Certains doivent être techniques, alors que d’autres s’intéressent à la satisfaction des employés avec un focus sur l’utilisabilité », expliquent-ils. Le fournisseur, de son
côté, dans un souci constant d’amélioration de la relation client, veille à apporter de nouvelles solutions innovantes, anticipant ainsi et répondant aux besoins futurs : une fois choisi, le fournisseur sera intégré dans la chaine de valeur du client. « Par la suite, les sociétés doivent évaluer les gains possibles d’une éventuelle migration vers l’outsourcing : financiers, qualitatifs et business. Sans oublier les potentielles pertes, notamment de contrôle. Ainsi, la notion de stratégie prend tout son sens : s’agit-il d’un métier stratégique ou pas ? La réponse déprendra du client, de son activité mais aussi de sa maturité » ajoute-Philippe Dann. Sa démarche poussée de certification, EBRC ne l’oppose en rien à l’agilité requise pour naviguer dans l’environnement actuel, digital et changeant. Si les certifications imposent un cadre, elles apportent une vraie valeur ajoutée, flexible et pragmatique selon les besoins des métiers clients. Pour être efficaces, elles doivent également être compréhensibles des gens qui les appliquent. Selon Jean-François Hugon et Philippe Dann, « c’est la combinaison de ces aspects qui font que les normes vivent avec la société ». Si la mise en place de celles-ci peut s’avérer délicate de prime abord, elles apporteront par la suite des gains significatifs aux entreprises, en faisant bénéficier par ailleurs leurs utilisateurs finaux.
17
CYBER-RESILIENCE LIFECYCLE
PREPARE KEY PEOPLE CEO, CISO, BCM, CRO, DPO ACTIVITIES • Business impact analysis • Risk assessment • Cyber-Resilience audit • Compliance & standards • Cyber-Resilience strategy • Governance & policies • Awareness & exercise
RECOVER ADV CERT MS SOC
ADV
KEY PEOPLE CIO, CISO, BCM, CRO ACTIVITIES • Back to normal operations • Forensics • Continuous improvement • Legal • Communication
IDENTIFY KEY PEOPLE CIO, CISO, BCM
ADV CERT
ACTIVITIES • Gap analysis Business/IT • Vulnerability assessment • Penetration test • Technology watch • Vulnerability watch
01
ADV CERT MS SOC
02
07
RESPOND
PROTECT
KEY PEOPLE CEO, CISO, BCM, CRO, DPO ACTIVITIES • Decisional crisis management • Crisis communication • Containment • Remediation • Business continuity
KEY PEOPLE CIO, CISO, BCM
05
A N A LY S E ADV CERT MS SOC
ACTIVITIES • Risk mitigation • Continuity management • Security management • High availability architecture • Data centre availability • Change management
03
06
04
DETECT
KEY PEOPLE CIO, CISO, BCM
KEY PEOPLE CIO, CISO, BCM
ACTIVITIES • Threat analysis • Prioritization • Operational crisis management
ACTIVITIES • Log correlation • Real-time alert • Incident management
ADV CERT MS SOC
ebrc expertise: ADV
: ADVISORY / CERT : COMPUTER EMERGENCY RESPONSE TEAM / MS
: MANAGED SERVICES / SOC
: SECURITY OPERATION CENTER
ÉDITION 2019
ADV CERT MS
18
Auteur : Sébastien Lambotte Crédit photo : EBRC
PAR OL E S
D’E X PE RTS
Yuri Colombi - Head of Solutions & Innovation, et Gérard Miceli - Innovation Consultant - EBRC
CLOUD HYBRIDE, DEVOPS, STOCKAGE OBJET :
ACCÉLÉRATEURS DE VOTRE TRANSFORMATION
— A DOPTION DE LA CONTENEURISATION POUR GÉRER ET FACILITER LES DÉPLOIEMENTS HYBRIDES L’un des premiers défis est de permettre au service IT de gagner en agilité dans la gestion de la ressource informatique. L’évolution technologique a comme corollaire la mise sur le marché d’applica-
Afin de s’adapter à la transformation du business et
tions de plus en plus conteneurisées.
permettre à l’entreprise d’accroître ses performances,
« La technologie du conteneur facilite
l’environnement informatique doit évoluer en permanence.
la gestion de l’informatique à travers
L’heure est à l’hybridation des ressources,
des environnements de plus en plus
entre infrastructure dédiée et cloud public, mais aussi à un rapprochement des acteurs du développement et des opérations. Afin d’aider ses clients à mieux évoluer, EBRC
hybrides, c’est-à-dire utilisant des infrastructures on-premise, private cloud et public cloud » commente Gérard Miceli, Innovation Consultant au sein d’EBRC.
complète son portfolio de services en mettant en œuvre
« Les conteneurs offrent un niveau d’abs-
des plateformes plus flexibles, facilitant la migration d’un
traction supplémentaire. Ils peuvent dès
environnement vers un autre, et fournissant à ses clients
lors être déployés à travers tout type
une agilité accrue.
d’environnement, grâce notamment à l’outil d’orchestration Kubernetes que nous utilisons. Dans une perspective
« Pour bon nombre d’organisations, un
en matière de résilience, de continui-
de migration vers le cloud public par
des enjeux actuels pour accompagner
té du business et de protection des
exemple, la technologie offre une grande
la transformation digitale du business
données. »
flexibilité. »
réside dans le renforcement de leur
Dans cette perspective, EBRC a dé-
capacité à déployer des services de
veloppé une offre d’accompagnement
manière plus agile et sécurisée », com-
à la transformation digitale pour aider
mente Yuri Colombi, Head of Solutions
les organisations à migrer plus facile-
Aujourd’hui, EBRC se positionne comme
& Innovation au sein d’EBRC. « Il faut
ment vers le cloud hybride, à mettre
un acteur du cloud à part entière, en per-
pour cela qu’elles puissent s’appuyer
en œuvre des démarches DevOps, le
mettant à ses clients d’accéder aux envi-
sur un environnement informatique plus
tout s’appuyant sur une gouvernance
ronnements les plus adaptés à leurs be-
évolutif, offrant en outre des garanties
robuste.
soins, qu’il s’agisse d’un environnement
— C HEMINER VERS LE CLOUD HYBRIDE
—
LES
ACCÉLÉR ATEURS
DE
V OTRE
TRANSFORMATIO N
19
—
dédié ou largement mutualisé. « Nous
plateforme, à travers laquelle on peut
— U N STOCKAGE PLUS
les accompagnons dans l’analyse des
facilement orchestrer les conteneurs,
FLEXIBLE ET MIEUX
opportunités liées à l’évolution de leur
facilite grandement la mise en place
GARANTI DANS LE TEMPS
environnement. Contrairement à l’idée
d’une approche DevOps. Nos clients, à
Dans ce contexte d’accompagnement
répandue, le recours au cloud public
travers elle, accèdent à une palette d’outils
des clients vers le cloud, EBRC a aussi
n’est pas forcément la solution la moins
certifiés de déploiement ainsi qu’à une
mis en place un service d’hébergement
coûteuse. Une analyse, au regard des
diversité de solutions de data analytics. »
et de préservation des données à partir
besoins, doit être menée. À partir d’une
L’ensemble doit permettre aux organi-
de la technologie de stockage objet
bonne compréhension des enjeux, nous
sations de gagner en autonomie, d’être
« S3 ». « Dans cette évolution vers des
pouvons mieux orienter les organisations
moins dépendantes des ressources tech-
environnements plus hétérogènes, la
dans le cheminement vers le cloud hy-
niques et de plus facilement déployer des
volonté est de proposer des solutions
bride », commente Yuri Colombi.
services et micro-services en fonction de
améliorant le stockage des données,
leurs besoins du moment. « On peut dès
garantissant leur intégrité dans le temps,
lors considérablement réduire le time-to-
avec une plus grande flexibilité », com-
market », confirme Gérard Miceli.
mente Gérard Miceli. « Le stockage objet
— U NE PLATEFORME POUR FACILITER LE DEVOPS Au-delà, EBRC veut faciliter la création de ponts entre le développement et les
vient répondre à ces nouveaux défis. » — A CCOMPAGNER LA
Le stockage objet facilite la migration et
opérations. « La souplesse à laquelle
TRANSFORMATION DES
l’intégration vers le cloud public dans un
nos clients accèdent au niveau de la
MÉTHODES ET APPROCHES
contexte d’hybridation des systèmes.
gestion des environnements peut aussi
Face à ces enjeux, EBRC entend être plus
La technologie intègre les grands stan-
se traduire dans la manière de développer
qu’un partenaire technologique. Tout en
dards du marché et notamment les API
et de déployer de nouvelles fonction-
continuant à veiller sur la gestion des as-
utilisées par les géants du cloud. Le
nalités, notamment par le recours aux
pects opérationnels, avec des niveaux de
client profite d’une grande réversibilité
approches DevOps », assure Gérard
service garantis dépendant des besoins
et peut donc facilement migrer d’un
Miceli. « Le défi est de pouvoir mettre en
de chacun, le prestataire de confiance ac-
environnement vers un autre, en ga-
place une démarche de développement
compagne l’évolution de la gouvernance
rantissant l’intégrité de ses données.
en continu, et de garantir une intégra-
et de la gestion de l’architecture de ses
En abordant d’une nouvelle manière
tion facilitée et sécurisée des nouvelles
clients. « Pour cela, nous leur proposons,
les enjeux de stockage, cette techno-
fonctionnalités. »
au-delà de la plateforme technologique,
logie permet de gérer plus facilement d’importants volumes de données non
DANS CE CONTEXTE D’ACCOMPAGNEMENT DES CLIENTS VERS LE CLOUD, EBRC A AUSSI MIS EN PLACE UN SERVICE D’HÉBERGEMENT ET DE PRÉSERVATION DES DONNÉES À PARTIR DE LA TECHNOLOGIE DE STOCKAGE OBJET « S3 ».
structurées. « Le stockage objet a été spécialement conçu pour garantir la protection des données et leur intégrité de manière pérenne », précise Yuri Colombi. « Quand hier, l’accès aux éléments se faisait au niveau du disque, avec ce nouveau mode de stockage, chaque objet peut aujourd’hui être protégé et
Dans cette optique, EBRC facilite l’in-
tout un ensemble de services et de for-
crypté individuellement. On s’assure
dustrialisation du déploiement au départ
mations afin qu’ils puissent activer cette
de répondre de cette manière aux exi-
d’une plateforme pensée à cet égard.
transformation tout au long de la chaîne
gences réglementaires les plus élevées.
« Nous accompagnons nos clients dans
de valeur de l’innovation », explique Yuri
Le stockage objet intègre dès le départ
la gestion opérationnelle de la plateforme
Colombi. « Chaque organisation peut
les mécanismes d’écriture et de lecture
que nous mettons à leur disposition et
donc profiter de toute la compétence
des éléments, assurant redondance et
qui s’appuie sur un environnement mul-
d’EBRC et de ses partenaires pour entrer
correction automatique des erreurs. »
ti-cloud », explique Yuri Colombi. « Cette
pleinement dans l’ère numérique. »
ÉDITION 2019
20
PAR OL E S
D’E X PE RTS
Fabrice Croiseaux CEO - InTech
Auteur : Michaël Renotte Crédit photo : InTech
DEVSECOPS :
LA SÉCURITÉ EN PLUS EBRC et InTech, toutes deux membres du groupe POST, conjuguent leurs expertises pour aider les entreprises à tirer pleinement parti de l’agilité et de la réactivité de l’approche DevOps tout en y incorporant directement des pratiques de sécurité. Cette approche intégrée permet de concilier le développement continu et les impératifs de cyber-sécurité et de protection des données.
—
DEVS ECOP S
:
L A
SÉ CURITÉ
E N
PL US
21
—
« Les décideurs IT s’appuient aujourd’hui
dans les infrastructures, les opérations
informatiques à laquelle nous assistons
sur trois leviers pour transformer leur
IT critiques ainsi que la transformation IT,
introduit un changement dans la ma-
organisation : la modernisation des sys-
bénéficie d’une grande expérience dans
nière d’aborder les projets », souligne
tèmes existants, la cyber-sécurité et
l’exploitation des systèmes et assure
Jean-François Hugon. « Les entreprises
l’évolution vers des modèles de dévelop-
la gestion opérationnelle d’environne-
tendent vers plus d’agilité tant pour le
pement et de livraison agiles », analyse
ments IT pour le compte de nombreux
business que pour l’IT. Les développeurs
Jean-François Hugon, Head of Marketing
clients », assure-t-il. « Quant à InTech,
sont investis de davantage de res-
chez EBRC. « Dans ce dernier domaine,
il s’agit d’un acteur de référence dans
ponsabilités, notamment vis-à-vis de
l’adoption d’une démarche DevOps, is-
les domaines du développement logi-
considérations transverses telles que
sue en droite ligne des méthodes agiles,
ciel, des architectures applicatives et
la qualité et la sécurité. Cette dernière
permet aux équipes informatiques de
de la mise en œuvre de plateformes de
n’est plus rejetée en bout de chaîne,
mettre en place un cycle continu de
développement industrielles. »
elle est intégrée by design. »
LA TRANSFORMATION GLOBALE DES SERVICES INFORMATIQUES À LAQUELLE NOUS ASSISTONS, INTRODUIT UN CHANGEMENT DANS LA MANIÈRE D’ABORDER LES PROJETS.
— D ONNER LA PRIORITÉ À LA SÉCURITÉ L’approche DevSecOps repose en effet sur une sécurité intégrée, et non sur un périmètre de sécurité protégeant les applications et les données. Lorsque la sécurité est reléguée à la fin du processus de développement, les entreprises qui adoptent l’approche DevOps peuvent se retrouver confron-
développement et de mise en produc-
— D ÉVELOPPEMENT,
tées à de longs cycles de développe-
tion, augmentant ainsi leur réactivité
OPÉRATIONS ET SÉCURITÉ
ment, ce qu’elles essayaient précisé-
dans la prise en compte des demandes
Pourtant, si une approche DevOps effi-
ment d’éviter. La démarche DevSecOps
métiers et réduisant du même coup le
cace garantit des cycles de développe-
implique donc de réfléchir à la sécurité
time-to-market des applications. » Dans
ment rapides et fréquents, elle ne prend
de l’application et de l’infrastructure dès
un contexte DevOps, les silos tradition-
pas en considération un aspect critique
le départ. Elle s’articule autour d’une
nels entre les développeurs, les testeurs,
du développement, celui de la sécurité
collaboration étroite entre les équipes
les responsables de la mise en produc-
des applications. Or, des pratiques de
de développement et celles dédiées à
tion et les administrateurs systèmes sont
sécurité inadaptées peuvent réduire à
la cyber-sécurité dans le but d’assurer
démantelés. Durant tout le processus
néant les bénéfices des projets DevOps
la sécurité des produits tout au long de
de développement et de déploiement,
les plus efficaces. C’est dans le cadre
leur cycle de vie. Cette approche donne
tous collaborent plus étroitement, leur
de cette problématique qu’est en train
la priorité à la sécurité en établissant
permettant de mieux comprendre leurs
d’émerger une évolution des principes
un cadre de référence pour les activi-
attentes et défis respectifs.
DevOps, le DevSecOps, une démarche
tés de développement. « Les bonnes
« En joignant leurs forces, EBRC et
qui permet non seulement de rapprocher
pratiques de sécurité en développe-
InTech sont en mesure d’assurer un
les services informatiques des besoins
ment sont connues et documentées.
accompagnement de bout en bout
des métiers, mais aussi de renforcer
À l’instar d’OWASP, par exemple, qui
dans la mise en œuvre de la chaîne
la sécurité des développements, d’en
liste les failles majeures de sécurité des
de valeur DevOps, de la conception à
améliorer la qualité et de faire preuve
applications et donne les clés pour que
l’exploitation, en passant par le déve-
de plus de proactivité en matière de
les développeurs puissent les adresser.
loppement, le test et le déploiement »,
performance, de résilience et de haute
Par contre, les contrôles OWASP sont
explique Fabrice Croiseaux, CEO
disponibilité.
assez peu intégrés automatiquement
d’InTech. « EBRC, entreprise spécialisée
« La transformation globale des services
dans le processus d’industrialisation
ÉDITION 2019
22
—
DEVS ECOP S
:
L A
SÉ CURITÉ
E N
PL US
—
des développements. C’est justement
plateforme hébergée au Luxembourg,
EBRC accompagnent leurs clients dans
ce que nous faisons avec EBRC dans la
dans le Trusted Cloud Europe et les data
leur parcours DevSecOps en les aidant à
mise en œuvre de DevSecOps » précise
centres Tier IV d’EBRC, et rencontrer
transformer leurs méthodes de développe-
Fabrice Croiseaux.
tant les exigences réglementaires des
ment mais aussi en assurant un transfert
différents régulateurs que les critères de
de compétences quant aux nouvelles
conformité des normes internationales
manières d’aborder les infrastructures. »
ET CONTRÔLE CONTINU
les plus exigeantes telles que ISO 27001,
Tant l’envergure que l’impact d’une tran-
Pour éviter tout ralentissement des
ISO 20000, ISO 22301, Tier IV et PCI
sition vers le DevSecOps sont considé-
flux DevOps et puisque l’exécution de
DSS, entre autres. »
rables. Et si le DevOps reste complexe
contrôles de sécurité manuels peut être
La plateforme cloud EBRC Kubernetes
aux yeux de développeurs fortement
laborieuse et coûteuse en temps, l’auto-
as a Service comprend toutes les briques
responsabilisés, les administrateurs sys-
matisation des tâches répétitives est un
nécessaires pour industrialiser le déploie-
tèmes sont contraints d’adapter leurs
élément clé de l’approche DevSecOps.
ment, la mise à l’échelle et l’orchestra-
savoir-faire traditionnels à des systèmes
L’automatisation s’applique notamment
tion d’architectures de micro-services
d’informations configurés et gérés par
au contrôle des développements : les
et d’applications conteneurisées. Avec
du code. Ce sont là des éléments de
développeurs peuvent tester en continu
la solution Red Hat OpenShift - une
risque dont il convient de tenir compte
leur code pour identifier au plus tôt les
plateforme orientée sécurité continue
dans toute stratégie DevSecOps.
— A UTOMATISATION
éventuelles vulnérabilités et réduire le nombre de correctifs post-déploiement. Elle touche également le contrôle des systèmes à travers la conteneurisation des solutions qui permet d’isoler les différentes fonctions d’un système, d’automatiser les opérations d’audit de sécurité et de vérifier à chaque instant
AUJOURD’HUI, LES TECHNOLOGIES QUI PERMETTENT D’ATTEINDRE LES OBJECTIFS D’AGILITÉ ET DE RÉACTIVITÉ QUE VISE L’APPROCHE DEVOPS PEUVENT DANS UNE LARGE MESURE ÊTRE MISES EN ŒUVRE SUR LE CLOUD PUBLIC.
que les politiques de cyber-sécurité sont bien mises en application. L’utilisation d’environnements conteneurisés permet
commune aux équipes de dévelop-
Du développement à l’exploitation, de
en outre de sécuriser l’infrastructure en
pement et d’exploitation qui permet
l’idéation à la maintenance, EBRC et
automatisant la détection des incidents.
de créer, déployer et gérer des appli-
InTech conjuguent tous les atouts pour
Ainsi, lorsqu’une tentative d’intrusion
cations conteneurisées -, EBRC KaaS
permettre aux entreprises d’intégrer
ou un flux anormal est détecté, il est
forme le socle de l’offre technologique
sereinement, à leur organisation infor-
possible de désactiver et d’isoler les
DevSecOps d’InTech et EBRC. En privilé-
matique, les facteurs-clés sur lesquels
instances corrompues et de rediriger
giant ainsi l’ouverture et l’interopérabilité,
reposent une transition réussie vers le
instantanément le trafic.
les sociétés du groupe POST se différen-
DevSecOps, qu’il s’agisse d’instaurer
cient des acteurs traditionnels du cloud
une collaboration active entre l’ensemble
public et permettent aux entreprises de
des parties prenantes, de normaliser
se prémunir contre le risque de vendor
les processus de développement et de
« Aujourd’hui, les technologies qui per-
lock-in. « EBRC présente également de
livraison en y intégrant les exigences de
mettent d’atteindre les objectifs d’agi-
très hauts niveaux de compétences en
cyber-sécurité, d’introduire de nouveaux
lité et de réactivité que vise l’approche
matière de sécurité de l’information et
outils technologiques d’automatisation
DevOps peuvent dans une large mesure
de Cyber-Résilience ainsi qu’en ges-
des contrôles et des opérations, ou d’or-
être mises en œuvre sur le cloud public »,
tion des processus et en gouvernance
ganiser une gouvernance transverse,
constate Fabrice Croiseaux. « Nos clients
des systèmes d’information », rappelle
commune à tous les métiers impliqués
peuvent cependant bénéficier d’un ni-
Jean-François Hugon. « En combinant
dans le cycle de vie des applications.
veau de service comparable à travers une
leurs expertises », résume-t-il, « InTech et
— O UVERTURE ET INTEROPÉRABILITÉ
PAR OL E S
23
D’E X PE RTS
Auteur : Michaël Renotte Crédit photo : EBRC
TRUSTED ADVISORY SERVICES,
LA VOIE VERS LA RÉSILIENCE Convaincu que les entreprises doivent acquérir la résilience indispensable à leur développement dans l’économie numérique, EBRC a déployé une offre de conseil qui répond aux défis posés par la transformation digitale. Cette activité de conseil couvre aujourd’hui la gestion de la continuité d’activité, la cyber-sécurité, la transformation informatique, l’audit des centres de données ainsi que tout le spectre de la Gouvernance, du Risque et de la Conformité.
« Nos missions de conseil et d’accompagnement sont menées par notre équipe de Trusted Advisors », explique Philippe Dann, Head of Risk & Business Advisory chez EBRC. « Nos experts rencontrent les responsables des différentes activités de l’entreprise qui fait appel à nos services, pour identifier ses processus et activités critiques. Ils peuvent ainsi identifier les besoins métiers et analyser la capacité de l’IT à répondre à ces impératifs. » Philippe Dann Head of Risk & Business Advisory - EBRC
Les investigations des experts d’EBRC couvrent tout le spectre de la continuité d’activité, du DRP - c’est-à-dire la continuité
ÉDITION 2019
24
PAR OL E S
D’E X PE RTS
de l’infrastructure - jusqu’aux analyses d’impact business. « Nos consultants travaillent à la fois avec les métiers et avec l’IT pour s’assurer de l’alignement des deux pôles », précise Philippe Dann. « Ils mènent des campagnes d’analyse d’impact, identifient les applications, les éléments à risque ou les plus critiques, et mettent ensuite en place, avec le client, ses propres stratégies et plans de continuité ainsi que la gestion de crise ». Les Trusted Advisors d’EBRC peuvent ensuite accompagner le client jusqu’à l’obtention de la certification ISO 22301 qui régit le domaine de la continuité d’activité. « En matière de gestion de la continuité d’activité, nous avons accompagné Arendt Services dans leur parcours de certification, premier PSF luxembourgeois à obtenir la certification ISO 22301, Banque de Patrimoines Privés, pionnière parmi les banques de la place, et une missions d’audit de data centres sont
NIS et qui concernent le périmètre du
témoigne Philippe Dann. « En ce mo-
menées par les équipes certifiées qui
data centre », détaille Philippe Dann.
ment », poursuit-il, « nous accompa-
gèrent et exploitent les propres centres
« Pour cela, nous menons systéma-
gnons une demi-douzaine d’entreprises
de données Tier IV d’EBRC. « Au-delà
tiquement une analyse des risques
dans leur processus de certification.
des audits classiques portant sur les
auxquels est exposé le data centre de
Pour d’autres, notre intervention se
infrastructures et leur exploitation, ces
notre client par rapport à son activi-
concentre sur l’analyse de risque ou
missions intègrent l’analyse et la gestion
té économique et son environnement
la Business Impact Analysis ».
des risques, qu’il s’agisse des risques
informatique. Nous combinons ainsi
L’offre de conseil Trusted Advisory inclut
environnementaux liés aux data centres,
notre expertise technique des centres
en outre l’audit et l’accompagnement
des risques cyber, ou encore des élé-
de données - sécurité physique, sécurité
à la certification de data centres. Ces
ments mis en évidence par la directive
logique, disponibilité - et le pilotage
compagnie d’assurance française »,
des risques ». « Nos activités de conseil s’étendent
NOTRE ACTIVITÉ DE CONSEIL EST BASÉE SUR UN ENSEMBLE DE COMPÉTENCES DÉVELOPPÉES EN INTERNE CAR CE QUE NOUS RECOMMANDONS À NOS CLIENTS, NOUS L’APPLIQUONS À NOS PROPRES ACTIVITÉS.
également à la GRC, Governance Risk & Compliance, un domaine qui relève de la sécurité du système d’information, notamment de la norme ISO 27001. Nous aidons nos clients à mener leurs analyses de risques, à mettre en place un pilotage du risque et à élaborer leurs stratégies de sécurité », expose Philippe Dann. « Dans ce cadre », ajoute-t-il, « nous intégrons à la fois les régulations et
—
TR USTED
les directives européennes - GDPR et
ADV ISORY
SE RV ICE S
— UNE APPROCHE
25
—
nous font confiance, parce que nous
NIS notamment - les standards inter-
RÉSOLUMENT PRAGMATIQUE
connaissons intimement les sujets que
nationaux et les règles internes propres
« Notre activité de conseil est basée
nous abordons et que nous possédons
à l’entreprise pour définir un tableau
sur un ensemble de compétences dé-
l’expérience nécessaire pour dialoguer
de bord du pilotage du risque et de la
veloppées en interne car ce que nous
d’une part avec les informaticiens, les
cyber-sécurité afin d’en évaluer la confor-
recommandons à nos clients, nous
CISO, les Risk Managers ou les DPO,
mité ». La transformation IT constitue un
l’appliquons à nos propres activités »,
et d’autre part avec les métiers ».
autre volet de l’offre de conseil d’EBRC.
explique Philippe Dann.
« Notre intervention peut ainsi avoir pour
« Nous aidons nos clients à faire le choix
« Notre approche est pragmatique. Elle
point de départ une demande émanant
de la solution la plus adaptée à leurs be-
se fonde sur le partage d’informations
des métiers, relative à la continuité d’ac-
soins, leurs métiers et leurs applications
avec nos clients et le retour d’expérience.
tivités par exemple, ou un besoin lié
dans le cadre de la transformation de
Nous ne sommes pas des théoriciens
au risque identifié par le CISO, le Risk
leur environnement informatique, que ce
de la continuité d’activité, pas plus que
Manager ou le DPO. Dans les deux cas,
soit en termes de relocalisation de data
de la gouvernance », souligne-t-il. « À ce
l’alignement avec l’IT devra faire l’objet
centres ou de migration vers le cloud »,
jour, nous comptons plus de 800 tests de
d’une évaluation », souligne Philippe
poursuit Philippe Dann. Et pour aider
continuité à notre actif et de nombreuses
Dann.
les entreprises à mieux protéger leurs
réalisations en matière de gestion de
« C’est ce qui nous permet de couvrir
données et l’intégrité de leurs systèmes,
crise », indique Philippe Dann. « Et nous
l’ensemble des besoins de l’entreprise
les experts d’EBRC évaluent, afin de
détenons la certification ISO 27001 de-
et, en combinaison avec nos activités
le renforcer, le niveau de sécurité des
puis 2010, renouvelée chaque année, ce
Cloud, SOC, et data centre, d’offrir une
infrastructures et des applications sur
qui nous permet de capitaliser sur une
solution de bout en bout aux clients qui
la base d’analyses de risques, de tests
expérience acquise de longue date. C’est
le souhaitent », conclut Philippe Dann.
de vulnérabilité et d’intrusion.
notamment pour cela que nos clients
ÉDITION 2019
26
ÉTUDE
DE
CAS
Auteur : Michaël Renotte Crédit photo : Michaël Renotte
BANQUE DE PATRIMOINES PRIVÉS SE CERTIFIE,
UNE PREMIÈRE AU LUXEMBOURG banquedepatrimoinesprives.com
Carlos Fernandez-Rubies de Lillo Managing Director Josep Arseni Ramoneda Chief Operating Officer/Chief Financial Officer & François Clausse Head of IT Department - BPP
—
B ANQUE
DE
PATRIMO INE S
PRIV É S
27
—
La Banque de Patrimoines Privés en quelques données...
er
Création en 2010
7 milliards d’actifs gérés au Luxembourg
Première banque certifiée ISO 22301 au Luxembourg
En accédant, avec le soutien d’EBRC, à la certification ISO 22301, la Banque de Patrimoines Privés devient la première institution financière luxembourgeoise à mettre en place un système de management de la continuité d’activité
L
en totale conformité avec la norme. a Banque de Patrimoines
— A GILITÉ ET RÉACTIVITÉ :
Privés est une instruction
DES CONDITIONS
financière luxembourgeoise
PROPICES À LA
orientée vers la banque
CERTIFICATION
privée. Elle a été fondée
« Notre stratégie est essentiellement
en 2010 et propose principalement des
centrée sur nos clients, qui proviennent
services de gestion de patrimoine, de
de toutes les régions du monde. C’est
garde et d’administration des fonds
pour assurer à notre clientèle le meilleur
d’investissement et de gestion de por-
niveau de service que notre politique est
tefeuilles. En 2011, BPP a été acquise
de faire figure de premier de classe dans
par le groupe Crèdit Andorrà, leader du
les activités que nous exerçons », poursuit
marché en Andorre.
Carlos Rubies. « La petite taille relative
« Le groupe Crèdit Andorrà est engagé
de notre banque fait de nous des acteurs
dans un important programme de dévelop-
très agiles sur un marché de plus en plus
pement à l’international », explique Carlos
complexe. Nous sommes en outre très
Rubies, Managing Director de la Banque
enclins à ancrer la qualité et l’efficience
de Patrimoines Privés. « Aujourd’hui,
de nos processus dans un cadre normatif
Crèdit Andorrà est présent en Europe -
exigeant, ce qui constitue à la fois un
Andorre, Espagne, Luxembourg et Suisse
gage de sécurité pour nos clients et un
- ainsi qu’en Amérique. »
élément différenciateur sur le marché ».
ÉDITION 2019
28
ÉTUDE
DE
CAS
« Avec l’acquisition de Banque de
académique. Nous avons en effet utilisé
de gestion de crise et de communication
Patrimoines Privés par Crèdit Andorrà »,
la banque et les procédures en place afin
automatique, cette dernière s’appuyant
commente François Clausse, Head of IT
que le cadre de la formation soit le plus
sur l’application F24. L’expérience a en-
Department de la banque, « différents
proche possible de la réalité du terrain ». Au
suite été validée par nos services d’audits
projets destinés à soutenir l’essor de
cours de ce cycle de formation, François
interne et externe, ce qui nous a permis
nos activités ont vu le jour, tels que
Clausse a réuni les différentes parties
de positionner notre banque vis-à-vis de
l’adoption du logiciel bancaire Avaloq,
prenantes de l’entreprise et, ensemble, ils
la norme et d’obtenir la certification »,
le déploiement de l’application NeoXam
ont mené une réflexion de fond à travers
détaille François Clausse.
GP3 - pour accompagner le dévelop-
plusieurs séances de Business Impact
pement de l’industrie des fonds - ou
Analysis et de Risk Assessment.
— U NE NORME EXIGEANTE…
encore la mise en place d’une solution
« Les sessions de Business Impact
« ISO est une instance internationale
de gestion des flux électroniques ».
Analysis et de Risk Assessment ont no-
de normalisation », rappelle-t-il. « Dès
tamment pour avantage de permettre
lors, la norme ISO 22301 nous permet
aux responsables des processus métiers
d’établir et de modifier notre modèle -
L’INTEROPÉRABILITÉ
de mettre en perspective la place que
mais aussi de le contrôler, de le maintenir
ENTRE LES MÉTIERS
prennent ces derniers dans le flux global
et de le tester - à l’aide d’un système
ET L’INFORMATIQUE
du système d’information de la banque »,
de management inaltérable et éprouvé
explique François Clausse. « Cet exer-
à l’échelle mondiale. De plus, les rôles
— A SSURER
« Parallèlement, nous avons entrepris de mettre en place des procédures relatives à la reprise d’activité, mais la vision que nous en avions était purement IT, orientée Disaster Recovery, et déconnectée des besoins des départements métiers. Or, nous voulions assurer l’interopérabilité
« NOUS NE POUVONS QUE NOUS FÉLICITER DE L’APPUI QUE NOUS AVONS REÇU DES ÉQUIPES D’EBRC. »
entre les flux métiers et les flux informatiques, ce qui nécessite de tenir compte
cice nous a permis de cartographier les
et les responsabilités de chacun y sont
de temps de reprise différents ».
principaux processus bancaires ainsi que
clairement évoqués, la stratégie émanant
C’est pour résoudre cette équation que
les interdépendances associées. Nous
du Conseil d’Administration, la tactique
la direction de BPP a décidé, en 2017, de
avons dès lors été capables de formaliser
étant du ressort du Business Continuity
doter la banque d’un Business Continuity
une politique qui a donné le jour à une
Coordinator et l’opérationnalité étant
Coordinator en proposant à son respon-
stratégie et à différentes procédures de
assurée par les différents départements
sable informatique de se former en vue
reprise des activités ».
de l’entreprise ».
d’obtenir le titre de Lead Implementer de
« Mais la portée de la norme ISO 22301
la norme ISO 22301 et d’acquérir ainsi
— CERTIFIER LA BANQUE
ne se limite pas au plan de reprise »,
l’expertise nécessaire pour accompagner
À l’issue de ce premier cycle, la Direction
observe François Clausse. « La norme
l’entreprise lors de la mise en œuvre et la
de BPP a décidé d’augmenter le niveau
englobe aussi la protection des employés,
gestion de son système de management
de maturité de l’entreprise en lui faisant
la maintenance des activités vitales, des
de la continuité d’activité.
prendre le chemin de la certification.
contrats et des SLA de l’entreprise, une
Après validation par le Conseil d’Ad-
plus grande prédictibilité et une meilleure
ministration, tous les efforts ont conver-
appréhension des événements en cas de
— UNE FORMATION EN CONDITIONS RÉELLES
gé, au cours de l’exercice 2018, vers
crise, ainsi que la protection de la répu-
« Pour atteindre cet objectif, nous avons
l’obtention de la certification ISO 22301.
tation de l’entité et de sa compétitivité ».
choisi de travailler avec le leader en la
« Au cours du cycle de certification de
Pour satisfaire aux exigences de la norme
matière au Luxembourg, EBRC. Nous
la banque, nous avons ainsi formalisé,
ISO 22301, il est en outre indispensable
avons décidé d’un commun accord que la
éprouvé et testé l’ensemble de nos pro-
de développer une bonne compréhension
formation ne se déroulerait pas de manière
cédures et mis en place des procédures
de l’organisation et d’établir des limites
—
B ANQUE
DE
PATRIMO INE S
PRIV É S
29
—
claires quant à la portée du système de
Ramoneda, Chief Operating Officer de
totalement sécurisés qui autorisent le
management. En particulier, il importe
BPP.
basculement complet et totalement
que l’organisation respecte les intérêts,
« Nous devons donc être capables de
transparent de nos opérations suite à un
les besoins et les attentes des différentes
démontrer à nos clients et à nos par-
sinistre ou une indisponibilité », confirme
parties prenantes – départements métiers,
tenaires que nos processus sont aussi
François Clausse. « C’est dans ce même
services informatique et personnel – ainsi
efficients que solides. Cet effort ouvre
centre de résilience et avec le support
que la position des organismes de régle-
également la voie vers d’autres parcours
d’un Service Account Manager d’EBRC
mentation et de supervision. « Ainsi »,
de certification, en matière de qualité
que nous avons testé pour la première
souligne François Clausse, « la mise en
et de sécurité par exemple ».
fois notre système de management de la
place d’un système de management de la continuité d’activité nous permet de répondre à certaines exigences régula-
continuité d’activité. Ce test s’est soldé — S ’APPUYER SUR UN LEADER DU MARCHÉ
par un réel succès et, après validation par le Comité Exécutif de la banque, notre
toires, notamment que la banque soit
Dans le cadre de cette certification, la
système de management a été audité par
capable d’éprouver la robustesse et la
Banque de Patrimoines Privés a choisi
PECB, un prestataire mondial de forma-
résistance de ses systèmes ».
de travailler en partenariat avec EBRC.
tion, d’examen, d’audit, et de services
« Fort d’une expertise internationale en
de certification pour un large éventail de
— … QUI OUVRE
la matière, les professionnels de l’équipe
normes internationales. Qu’il s’agisse de
DES PERSPECTIVES
Advisory d’EBRC ont été capables d’op-
notre parcours pour obtenir la certification
CONSIDÉRABLES
timiser la mise en place de la norme
ISO 22301 ou de la mise en place de nos
« Enfin », ajoute-t-il, « obtenir une certifi-
à travers des documents de synthèse
positions de secours, nous ne pouvons
cation internationale telle que l’ISO 22301
permettant d’encadrer efficacement le
que nous féliciter de l’appui que nous
démontre l’intérêt que nous portons à la
système de management de la conti-
avons reçu des équipes d’EBRC. Outre
gestion des risques et à la reprise des
nuité d’activité », témoigne le Head of
le grand professionnalisme que j’ai déjà
activités de notre organisation. L’effort
IT Department de la banque. L’année
souligné, les consultants d’EBRC ont fait
consenti par la banque lui permet en effet
dernière, la banque a également fait le
preuve, au cours de leurs interventions,
d’affirmer la robustesse de son système ».
choix d’installer ses positions de secours
d’un rare sens de l’écoute, du partage et
« Nous parvenons effectivement à réaliser
dans le Resilience Centre Luxembourg
de l’intérêt commun qui nous a permis
des performances qui paraissent a priori
South d’EBRC à Kayl. « EBRC est le
d’établir une relation de confiance »,
difficilement possibles pour une banque
leader de la place avec 1 000 positions
conclut François Clausse.
de notre taille », ajoute Josep-Arseni
de secours utilisateurs dans des espaces
La norme ISO 22301:2012 - Systèmes de Management de la Continuité d’Activité Depuis quelques années, les entreprises doivent composer avec les risques classiques - pannes, erreurs ou sinistres modérés - et les risques émergents - catastrophes climatiques, cyber-menaces, terrorisme, pannes en cascade qui provoquent des interruptions de service généralisées, etc. Ce changement de perspective appelle à mettre en œuvre de nouvelles stratégies pour assurer la croissance et la pérennité des organisations. Publiée en 2012, ISO 22301 est une norme de système de management de la continuité d’activité qui peut être utilisée par des organisations de toutes tailles et de tous types. Une fois leur système de management en place, les organisations ont la possibilité de solliciter une certification de conformité à la norme pour prouver leur respect des bonnes pratiques en matière de management de la continuité d’activité aux instances législa-
tives et réglementaires, aux clients potentiels et à d’autres parties intéressées. ISO 22301 peut aussi servir de référence à l’entreprise pour évaluer sa situation par rapport aux bonnes pratiques et aux auditeurs pour rendre leur rapport à la direction. L’intérêt de la norme ne se limite pas à la simple obtention d’un certificat de conformité : elle permet notamment d’identifier et de gérer les menaces actuelles et futures, de suivre une approche proactive pour minimiser l’impact des incidents, de maintenir les fonctions essentielles en temps de crise, de minimiser les temps d’arrêt pendant les incidents et de faire preuve de résilience. iso.org
ÉDITION 2019
30
ÉTUDE
DE
CAS
De gauche à droite : Pascal Rogiest - CEO, Stefano Susca - CIO, Frédéric Laurain - Head of IT Systems OPS - LuxTrust Ludovic Gilles - Director Client Development et Yves Reding - CEO - EBRC
Auteur : Alexandre Keilmann Crédit photo : Dominique Gaul
SÉCURITÉ ET CONFIANCE,
LES DEUX PILIERS STRATÉGIQUES DE LUXTRUST www.luxtrust.lu
—
L UX TRUST
31
—
700 000 utilisateurs luxembourgeois et transfrontaliers avec plus de 300 000 connexions quotidiennes.
Dans un contexte de transformation numérique qui touche aussi bien les entreprises que les particuliers, LuxTrust, créée au Luxembourg il y a plus de 13 ans, a pour objectif de fournir aux citoyens et aux entreprises un environnement sûr et sécurisé. L’équipe IT One a rencontré Pascal Rogiest, CEO de LuxTrust, pour discuter de sa vision d’expert en sécurité et en données, des dernières collaborations de son entreprise – notamment avec le spécialiste en IT et société partenaire EBRC (European Business Reliance Centre) ayant son siège au Luxembourg –, mais aussi du rôle pionnier du Luxembourg et du développement de l’écosystème numérique du pays. « LuxTrust a été créée à l’initiative du
comme un prestataire de services de
gouvernement luxembourgeois, avec
confiance qualifié, non seulement au
le soutien de plusieurs banques na-
Luxembourg mais également dans le
tionales. Notre mission principale était
reste de l’Union Européenne. LuxTrust
de fournir des outils à l’ensemble de
est connue pour ses tokens qui per-
la population active afin de gérer les
mettent une connexion sécurisée aux
identités numériques – par le biais d’un
comptes bancaires en ligne, sa décli-
accès bancaire sécurisé et d’une signa-
naison mobile, mais aussi pour son offre
ture électronique – ce que nous avons
de signature électronique ayant valeur
fait », dit Pascal Rogiest. Il souligne
juridique forte. Depuis deux ans, l’offre
également que depuis la mise en œuvre
de signature électronique constitue un
de l’eIDAS – Electronic IDentification
élément clé pour LuxTrust, elle a pour
Authentication and trust Services – il y a
mission de fournir une solution intégrée
quelques années en Europe, la société
permettant la numérisation de proces-
s’est ouverte à un marché européen
sus entiers au sein d’organisations et
plus large et est désormais considérée
d’institutions. « Remplacer le papier
ÉDITION 2019
32
ÉTUDE
DE
CAS
par du numérique nécessite des plate-
en proposant un environnement stable
faisons aujourd’hui pour la Commission
formes complètes au sein desquelles
et le plus haut niveau de sécurité de
européenne ».
l’authentification, la sécurité et la signa-
l’information. Comme l’explique Pascal
Par conséquent, les experts d’EBRC,
ture sont les principaux éléments d’un
Rogiest, « notre développement au ni-
s’appuyant sur les connaissances de
processus numérique qui doit être mis
veau européen passe par un nombre
l’équipe de LuxTrust, ont dû gérer le
en œuvre de bout en bout », ajoute le
plus élevé de demandes de la part de
déplacement des opérations informa-
CEO. Prises ensemble, toutes ces so-
nos clients et donc par plus de flexibi-
tiques critiques d’un data centre externe
lutions, qu’elles soient interopérables
lité et d’agilité. Travailler avec EBRC,
vers l’un des leurs, et ce sans affecter
et/ou intégrées, permettent la création
un partenaire local ayant une expertise
la qualité de service. De la demande de
et la gestion d’identités numériques en-
internationale, ajoute plus de profon-
propositions et la définition de la nou-
tières, attribuées à des personnes mais
deur et de crédibilité à notre offre de
velle architecture à la mise en place de
également à des institutions. « Dans les
services. Encore une fois, la confiance et
l’infrastructure et à son audit, en pas-
environnements numériques et mobiles
la fiabilité sont des éléments importants
sant par le transfert au département
« LUXTRUST EST LE PREMIER CLIENT D’AUTORITÉ DE CERTIFICATION POUR EBRC. CELA CORRESPOND PARFAITEMENT À NOS PRATIQUES EN MATIÈRE DE MANAGED SERVICES, AXÉES SUR LA GESTION DES INFRASTRUCTURES CRITIQUES ET DES CHARGES DE TRAVAIL À TRAVERS L’EUROPE. » actuels, la sécurité reste essentielle et ne
dans le monde numérique actuel ». Les
Opérations IT d’EBRC, le projet a duré
doit pas être reléguée au second plan. Il
données LuxTrust sont hébergées au
12 mois. Le transfert a été effectué avec
faut trouver des solutions qui s’adaptent
Luxembourg dans des infrastructures
succès durant une nuit de septembre
à la fois aux entreprises qui demandent
dédiées, ce qui signifie qu’elles ne sont
2018, sans interruption de service. Cette
plus de flexibilité et aux utilisateurs qui
pas partagées avec d’autres, et offrant
collaboration fructueuse a récemment
attendent des interactions plus simples
le niveau le plus élevé de sécurité requis
été récompensée par le prix « Managed
et plus fluides », explique Pascal Rogiest,
pour répondre à des besoins d’audit
Services of the Year » décerné à EBRC
dont la société travaille actuellement
spécifiques. « Chez LuxTrust, en tant
et à LuxTrust en décembre dernier, lors
à augmenter et développer la valeur
que tiers de confiance, nous devons
du Gala IT One. Ludovic Gilles, Director
des identités numériques en passant
garantir un niveau de sécurité, avec
Client Development, déclare : « LuxTrust
notamment par l’ajout d’informations
6 audits différents organisés chaque
est le premier client d’autorité de cer-
personnelles supplémentaires.
année. Conserver ce statut est crucial
tification pour EBRC. Cela correspond
pour LuxTrust ; nous avions donc be-
parfaitement à nos pratiques en matière
soin d’une infrastructure spécifique à la
de Managed Services, axées sur la ges-
AVEC UN ACTEUR LOCAL
hauteur des réglementations locales et
tion des infrastructures critiques et des
DE CONFIANCE
— UN PARTENARIAT
européennes, de la CSSF à l’ILNAS en
charges de travail à travers l’Europe.
Dans un tel contexte d’internationali-
passant par le CNPD et bien d’autres
Avec ce projet, nous avons pu adapter
sation et de développement de pro-
encore en Europe. Par exemple, la certi-
nos services aux exigences les plus
duits, LuxTrust, qui revendique plus de
fication QTSP – Qualified Trusted Service
élevées de sécurité et de disponibilité
700 000 utilisateurs luxembourgeois et
Provider - nous permet de déployer nos
demandées par LuxTrust, un excellent
transfrontaliers avec plus de 300 000
services d’authentification, nos identités
partenaire dans notre collaboration ».
connexions quotidiennes, avait besoin
numériques et nos services de signa-
Cette collaboration avec EBRC et cette
d’un partenaire capable de permettre un
ture, dans tous les secteurs en Europe
nouvelle infrastructure permettent à
développement actif des processus de
et dans le monde », déclare le CEO,
LuxTrust de proposer « plus de numé-
fourniture de services de LuxTrust, tout
avant d’ajouter : « c’est ce que nous
rique » à ses clients luxembourgeois et
—
L UX TRUST
33
—
étrangers à une époque où toutes les so-
qui naviguent dans un environnement
bancaires, ou encore en utilisant et en
ciétés sont confrontées à des transforma-
numérique. « Réunir sécurité et régle-
acceptant les signatures électroniques.
tions concrètes et parfois fondamentales,
mentation d’une part – notamment
Ainsi, notre pays est déjà bien placé
tout en devant suivre et se conformer à
avec le RGPD, qui a déjà un impact
dans la course à la numérisation, ayant
un nombre croissant de réglementations
sur les grands acteurs et les petites et
mis en place un écosystème efficace en
européennes et mondiales.
moyennes entreprises –, et besoins des
matière d’identité digitale. Cependant,
clients et exigences commerciales de
plusieurs autres processus pourraient
l’autre, demande d’abord de définir les
être développés dans les secteurs tant
— LES DÉFIS DE LA CRÉATION D’IDENTITÉS NUMÉRIQUES
limites que les entreprises ne veulent
privé que public. Mais saluons le fait
Au fil des ans, LuxTrust s’est efforcée
pas franchir tout en recherchant la meil-
que nos administrations publiques aient
de fournir des moyens de paiement
leure expérience pour les utilisateurs.
déjà pris le train du numérique avec de
sécurisés, travaillant ainsi à renforcer
Construire et proposer un parcours client
nombreuses initiatives, comme Digital
la confiance de ses partenaires et ses
idéal prend du temps, et chaque étape
Luxembourg, grâce aux services fournis
utilisateurs. « Nous avons commencé
de la numérisation doit être abordée
par le CTIE. L’économie nationale pourrait
par fournir des tokens aux banques,
indépendamment en fonction des cas
profiter davantage de l’élan créé et nous
mais les générations actuelles et futures
d’utilisation de nos clients. À cet égard,
travaillons activement à la réalisation de
demandent des applications mobiles
la numérisation se doit d’être plus prag-
cet objectif », évoque Pascal Rogiest
à la fois sûres et simples d’utilisation.
matique », indique l’expert.
à propos de la situation de notre pays.
Pour les signatures électroniques aussi,
Enfin, Pascal Rogiest souligne le fait
Avec l’aide du gouvernement luxembour-
LuxTrust a créé un produit qualifié et
que le Grand-Duché de Luxembourg
geois, LuxTrust travaille actuellement au
performant. Cependant, des défis sub-
possède un niveau avancé et élevé en
renforcement des identités numériques
sistent ; et inciter le public à utiliser ces
matière d’expertise numérique : c’est une
pour en augmenter la valeur.
outils innovants et numériques est l’un
belle vitrine que le pays doit continuer à
Devant la nécessité accrue de la confi-
d’eux », souligne Pascal Rogiest. Selon
mettre en avant. Par exemple, LuxTrust
dentialité des données, la société ba-
l’expert, la plupart des gens ne les ont
travaille au niveau international depuis
sée à Capellen souhaite augmenter le
pas encore acceptés, d’où la nécessité
quelques années maintenant, avec un
nombre d’informations intégrées aux
de campagnes et d’actions de marketing
grand intérêt de la part de plusieurs
identités numériques des citoyens, leur
et de communication visant à montrer
clients en France et en Belgique.
permettant ainsi de gérer et de parta-
aux citoyens la manière dont ils peuvent
En outre, la société a conclu plusieurs
ger leurs données de santé, d’éduca-
tirer profit des outils numériques déjà
partenariats en Belgique et en Italie, et
tion, professionnelles et privées. « Le
disponibles, en les rassurant et en les
a également conclu un contrat avec la
Luxembourg construit également tout un
informant au sujet de notre monde nu-
Commission européenne pour lui fournir,
écosystème qui conduira éventuellement
mérique. « Cela a peut-être commencé
ainsi qu’à 80 pays non membres de
à la création d’une économie fondée sur
avec les services bancaires en ligne, les
l’UE, une signature électronique sé-
les données. Il est de notre devoir, en
identités numériques et les signatures
curisée pour l’importation de denrées
tant que partenaire TIC possédant une
électroniques, mais les tendances vont
alimentaires dans l’UE. Un autre défi
expertise en matière de données et de
clairement de plus en plus vers une dé-
s’est alors posé : veiller à ce que les
cyber-sécurité, de proposer ces nou-
matérialisation accrue ; nous devons
identités numériques soient compatibles
velles opportunités aux utilisateurs tout
donc changer les esprits pour réussir
et interopérables dans tous ces pays.
en veillant à ce qu’ils puissent les utiliser dans un environnement sûr, sécurisé et
cette transformation en profondeur », — UN PIONNIER DU NUMÉRIQUE
de confiance. Cependant, cette stratégie
L’ambiguïté et l’ambivalence entre le
DANS UN PAYS NUMÉRIQUE
de digitalisation ne pourra réussir que
besoin de sécurité et la nécessité de
« Au Luxembourg, presque tout le monde
si les gens font confiance à leur identité
fournir des services plus fluides et plus
a déjà une identité numérique, que ce
numérique. À nous de garantir cette
faciles à utiliser sont un autre défi de taille
soit en utilisant un token ou un télé-
confiance », conclut Pascal Rogiest.
pour la quasi-totalité des entreprises
phone portable pour accéder aux relevés
souligne le CEO de LuxTrust.
ÉDITION 2019
34
TÉ MO IGNAGE S
COMO Dans cette vidéo, Henning Theobald, General
VIDÉOS : nos clients témoignent Nous avons laissé la parole à sept de nos clients pour leur permettre de revenir sur notre collaboration. Dans cette série de courtes vidéos, ils reviennent sur le partenariat avec nos équipes ainsi que l’accompagnement dont ils ont pu bénéficier tout au long de leur projet.
Counsel au sein de l’entreprise COMO, nous livre son retour d’expérience suite à sa collaboration avec EBRC, qui a pris la forme d’un véritable partenariat, grâce à un accompagnement personnalisé par les équipes d’EBRC. Comme il le souligne, celles-ci ont toujours été à son écoute.
IBBL Dominic Allen est le COO de l’IBBL (Integrated Biobank of Luxembourg). Il nous rappelle tout d’abord la mission de la biobanque puis explique les raisons de son choix pour EBRC dans le lancement de son projet. Certifié Hébergeur de Données de Santé et ISO 27001, EBRC répond parfaitement aux exigences de sécurité qu’impose la gestion d’informations sensibles telles que les données médicales.
AGENCE E-SANTÉ Pascale Lucas et Hervé Barge, « Dans le digital, notre rôle est d’accompagner nos clients : du côté pile, leur offrir l’agilité pour qu’ils puissent accélérer et innover dans leur core business ; du côté face, les protéger, réduire l’incertitude et la complexité croissante. Notre objectif est de les accompagner en toute confiance dans le cyberespace, leur offrir en même temps agilité et protection » explique Yves Reding, CEO d’EBRC.
respectivement Directrice Générale Opérationnelle et CEO de l’Agence e-Santé, exposent le challenge relevé par l’Agence dans la mise en place d’une plateforme nationale de santé avec, en particulier, l’instauration d’un dossier de soins partagé. L’hébergement et la gestion de données de santé hautement sensibles, tout comme la capacité à respecter le délai de neuf mois pour la réalisation de l’infrastructure, furent déterminants dans le choix de l’Agence en faveur d’EBRC.
35
TÉ MO IGNAGE S
Banque de Patrimoines Privés
LuxTrust Stefano Susca, Directeur des Systèmes
Les trois responsables
d’Information au sein de LuxTrust, partage
de la première banque
son expérience avec EBRC dans le cadre de son
certifiée ISO 22301 au
projet de migration de ses centres de données
Luxembourg, Carlos F.
et d’exploitation d’une infrastructure critique nécessitant une
Rubies, Josep-Arseni Romoneda et François Clausse,
haute disponibilité en 24/7. Il explique les raisons du choix
partagent leurs retours d’expériences afin d’atteindre cet
de LuxTrust pour les services d’EBRC qui reposent sur de
objectif. Grâce à un accompagnement de bout en bout
nombreuses certifications et le statut PSF, puis nous livre
et en s’appuyant sur un leader du marché, la Banque de
son évaluation sur la relation entre les deux équipes sur un
Patrimoines Privés a pu bénéficier du professionnalisme
projet de plus de douze mois.
des équipes d’EBRC ainsi que de leur sens de l’écoute tout au long du partenariat.
i-Hub
KBL epb Abdelha Tayeb, Head of Cyber Security chez i-Hub, revient sur les hautes exigences que
Eric Mansuy, Group Chief Operating Officer
requiert l’opération des technologies de ce PSF
chez KBL epb revient sur le projet de migra-
de support délivrant des services d’AML/KYC.
tion du centre de calcul de la banque au sein
Les critères pris en compte lors du choix d’EBRC étaient
des infrastructures EBRC, mené en parallèle du
nombreux : opérer des technologies de dernière génération
remplacement de la Core Banking Platform du groupe. Le
et les monitorer en 24/7, s’intégrer avec le centre des opé-
choix de travailler avec les équipes d’EBRC s’est basé sur
rations de sécurité d’i-Hub et délivrer du conseil en termes
plusieurs critères dont l’aspect sécurité, la relation entre les
de plan de continuité ou de gouvernance aux standards
équipes mais aussi la constance du discours. Finalement,
internationaux. EBRC a su apporter son expertise et ses
le projet a été réalisé dans les délais et dans le respect du
compétences dans des domaines à très haute valeur ajoutée
planning.
pour mener à bien le projet d’i-Hub.
Pour visionner ces témoignages, flashez les différents QR codes affichés.
ÉDITION 2019
36
P R O G R A M M E PA RT E N A I R E S
mation digitale avec nos services IT de-
concrètes. Des solutions sélectionnées
puis nos data centres Tier IV », explique
et portées par des clients d’EBRC in-
Jean-François Hugon, Head of Marke-
tègrent ce catalogue. « Ces solutions
ting au sein d’EBRC. « Notre expertise
s’appuient sur notre infrastructure et
intègre les enjeux réglementaires ainsi
notre expertise. Avec « Powered by
que les standards et normes les plus
EBRC », l’objectif est de créer un cercle
élevés en termes de qualité, intégrité,
vertueux en aidant nos partenaires à
sécurité et confidentialité. Aujourd’hui,
convaincre leurs clients », poursuit Jean-
elle est un catalyseur précieux pour nos
François Hugon.
clients souhaitant déployer des services
« Le label est synonyme de services à
digitaux innovants, en profitant d’un
forte valeur ajoutée, de haute disponibi-
très haut niveau de services et d’un
lité et de protection de la donnée traitée.
time-to-market extrêmement réduit ».
Nous souhaitons faciliter l’identification des partenaires qui utilisent nos services
Jean-François Hugon Head of Marketing EBRC
— S’ADRESSER PLUS DIRECTEMENT AU BUSINESS
et qui héritent ainsi des meilleures garanties intrinsèques à EBRC ».
EBRC répond aux besoins d’acteurs internationaux désireux de développer leur
— UNE APPROCHE WIN-WIN
business en Europe. L’entreprise accom-
Les solutions « Powered by EBRC »
pagne aussi bien des grands comptes
opèrent des données sensibles, dans
dans leurs processus de transforma-
les secteurs FinTech, de la santé, de
tion numérique que des start-ups ou
l’intelligence artificielle ou encore du
FinTechs qui développent de nouveaux
spatial. « Ce programme renforce les
services digitaux. « Tous ces acteurs
relations que nous entretenons avec nos
ont un niveau d’exigence très élevé en
clients pour formaliser des partenariats
matière de protection des données et
forts. Nous sommes conscients que la
de disponibilité de leurs systèmes opé-
réussite de nos clients contribue à notre
rationnels, souvent dans un contexte
croissance. « Powered by EBRC » a pour
réglementaire strict et contraignant ».
vocation de les soutenir, de les aider
Dans le contexte de digitalisation que l’on
plus encore à construire des solutions
connaît, les entreprises recherchent des
business en mode OPEX. Nos relations
solutions clés en main pouvant répondre
doivent leur permettre de mieux répondre
à leurs besoins métiers. « Nos interlocu-
à des demandes particulières émanant
teurs qui recherchent des solutions de
de grands clients, exigeant par exemple
digitalisation de leur business doivent
la mise en œuvre d’environnements dé-
n Europe, EBRC s’est ins-
s’assurer de la qualité de leur prestataire.
diés offrant toutes les garanties utiles.
tallé comme acteur de ré-
Le label « Powered by EBRC » fournit
À travers cette démarche, nous pou-
férence dans la gestion de
un premier niveau de garantie, le service
vons convaincre de nouveaux acteurs
l’information sensible. L’en-
proposé étant hébergé par EBRC », dé-
de s’appuyer sur notre écosystème de
treprise luxembourgeoise
veloppe Jean-François Hugon.
confiance. Il s’agit de favoriser l’hybrida-
Auteur : Jean-François Hugon Crédit photo : EBRC
« POWERED BY EBRC »
ACCÉLÉRER LE DÉVELOPPEMENT DES CLIENTS ET L’HYBRIDATION DU BUSINESS
E
a déployé un écosystème de confiance unique. « Nous accompagnons des entreprises dans la mise en œuvre et la
tion des Systèmes d’Information de nos — UN CATALOGUE DE SOLUTIONS « TRUSTED »
gestion de leur environnement IT, en
Le programme « Powered by EBRC »
s’inscrivant au cœur de leur transfor-
apporte une réponse à ces attentes
clients en les enrichissant de solutions labellisées et prêtes à l’emploi », conclut le responsable Marketing.
PR OGRAMME
37
PARTE NAIRE S
LES ENTREPRISES MEMBRES DU PROGRAMME « POWERED BY EBRC »
Découvrez trois entreprises Powered by EBRC, et retrouvez leurs solutions sur notre site web.
BANKABLE
LIMONETIK
BIONEXTLAB
Grâce à Bankable, la filiale d’ABN AMRO
Créée en 2008, Limonetik est aujourd’hui
Fondé en 2017, le laboratoire d’analyses
« Moneyou » a pu proposer un service de
considérée comme l’une des entreprises les
de biologie médicale propose entre autres
compte courant à ses 500.000 clients, en
plus disruptives sur le marché du paiement
la solution MyLAB, une interface évolutive
moins d’un an. La FinTech londonienne,
et prouve sa valeur au travers des contrats
de communication entre professionnels de
qui héberge sa plateforme chez EBRC au
majeurs signés avec les plus grandes PSP,
santé et patients incluant une application
Luxembourg, permet à de nouveaux acteurs
acquéreurs internationaux, et Marketplaces
compatible iOS et Android. L’outil est per-
de la banque d’émerger plus facilement et à
B2B. Traiter et créer des moyens de paiement,
sonnalisable, mobile, rapide et permet un
des institutions établies de lancer de nou-
simplifier et accélérer leur développement
traitement qui l’est tout autant, en simplifiant
veaux services en profitant d’un time-to-
sur Internet, tels étaient les premiers enjeux
la vie des patients et des professionnels
market réduit.
de Limonetik.
de santé.
Bankable a choisi d’héberger sa solution au
« Limonetik travaille avec EBRC depuis 2012
« L’écosystème de santé numérique myLAB
Luxembourg, au sein des data centres Tier IV
et a choisi ses services car la société était
assure la prise en charge du patient depuis
d’EBRC. « Pour gagner la confiance de nos
alors l’unique fournisseur disposant de l’ac-
la prescription médicale, jusqu’aux résultats
clients, nous devons nous appuyer sur des
créditation PCI DSS, et pouvait fournir des
en passant par l’étape de prise de sang.
partenaires offrant une excellente qualité
services bancaires complets grâce à ses trois
myLAB se complète d’une interface inte-
de service », assure Eric Mouilleron, CEO
data centres certifiés Tier IV. Aujourd’hui,
ractive dédiée à la médecine préventive
de Bankable. « Les certifications d’ERBC,
EBRC garantit la disponibilité du service pour
nommée B-Next CARE qui contribue à
appuyées par des procédures strictes et
tous les moyens de paie-
passer d’une situation de gestion de la
des infrastructures de pointe, nous garan-
ment qu’offre Limonetik »
pathologie déclarée à une médecine 4P
tissent le plus haut niveau de sécurité et de
commente Olivier Berthelier,
qui se veut prédictive, personnalisée et
disponibilité. La certification PCI DSS dont
CTO & co-Founder.
faisant participer le patient en tenant compte
dispose EBRC, nous permet
de ses spécificités (y compris génomique)
en outre de proposer des
en vue d’anticiper la pathologie à venir et
services de paiement par
d’y répondre de manière
carte de crédit aux clients. »
préventive » explique JeanLuc Dourson, Founder & General Manager.
ÉDITION 2019
38
ACTUS
EBRC ET WALLIX GROUP s’associent pour renforcer la protection des actifs critiques des organisations en Europe
ACTUS
EBRC (European Business Reliance Centre), opérateur de services IT spécialiste de la gestion de l’information sensible, et WALLIX Group, éditeur européen de logiciels de gestion des comptes à privilèges (PAM), concluent un partenariat dans le but d’établir une protection « by design » des systèmes d’information et de garantir la confiance des organisations dans le numérique.
D
ans des environnements numériques de plus en plus exposés à des risques de cyber-attaques et soumis à des contraintes réglementaires extrêmement fortes, notamment dans les secteurs de la finance, de la santé ou dans
les organismes publics, EBRC et WALLIX veulent donner les moyens aux entreprises et organisations d’établir une stratégie de Cyber-Résilience. WALLIX aide les organisations à protéger leurs infrastructures informatiques critiques en sécurisant et en traçant les accès aux serveurs, aux terminaux et aux objets connectés en environnement cloud. En encourageant les organisations à concevoir leur politique de cyber-sécurité selon le principe du « Privacy & Security by Design », WALLIX leur permet également de satisfaire aux exigences de conformité et de répondre aux évolutions réglementaires. EBRC s’est positionné, dès sa création en 2000, comme le spécialiste de la gestion et de la protection de l’information sensible, et a développé une offre unique sur le marché puisqu’elle intègre la totalité de la chaîne de valeur : conseil, infogérance, cloud, sécurité, business continuity et data centre,
IS YOUR DIGITAL FUTURE SECURE ? DON'T LET CYBERTHREATS PUT YOUR BUSINESS ACTIVITY IN DANGER WALLIX is a cybersecurity software vendor dedicated to defending and fostering organizations’ defense against the cyberthreats they face and offers solutions to ease their Digital Transformation IDENTITY PROTECTION,
ACCESS SECURITY, END POINT AND DATA PROTECTION WALLIX Identity An Identity-as-a-Service solution including unique authentication features (SSO), Multi-Factor Authentication (MFA), and access management
WALLIX Access
identity
All-in-one PAM solution including session management, password management, access management and privilege elevation delegation management
WALLIX Data
access
End-to-end encryption technology which enables complete security of client data in any application
w w w . w A L L I x . C O M
data
40
ACTUS
lui permettant aujourd’hui de proposer une offre de service
priorités inscrites à l’agenda des Directeurs des Systèmes
cyber-résiliente. Cette offre s’aligne sur les plus hauts niveaux
d’Information. Et ceci passe aussi par des besoins de plus en
d’exigence, dont des standards et certifications internationales :
plus marqués sur les aspects de traçabilité des interactions
ISO 27001, ISO 22301, ISO 20000, PCI DSS ou Tier IV à titre
avec le patrimoine digital des entreprises. Avec le Bastion
d’exemples. En s’appuyant sur un partenaire européen de
de WALLIX, nous renforçons encore le cadre de confiance
confiance comme WALLIX, EBRC renforce encore sa pro-
que nous avons mis en place chez EBRC depuis 2000. De
position de valeur en protection des données critiques des
plus, nous sommes particulièrement ravis d’avoir sélectionné
entreprises. Ainsi, EBRC propose le Bastion de WALLIX dans
une solution européenne faisant de WALLIX un partenaire
la mise en œuvre des projets informatiques stratégiques au
stratégique au cœur de notre offre intégrée Trusted Services
sein d’un environnement normalisé. Les clients de la filiale
Europe », ajoute Yves Reding, CEO d’EBRC. « WALLIX et
d’EBRC, Digora, peuvent bénéficier des avantages de la
EBRC s’appuient sur le constat alarmant de l’augmentation
solution Bastion.
des menaces dans le cyberespace et de la faible prise en considération des risques associés. Nos deux entités par-
En établissant ce partenariat, les deux entités contribuent
tagent la même vision d’un monde numérique qui doit aller
à renforcer la confiance digitale en mettant à la disposition
vers davantage de conformité, de confiance et de sécurité. En
des organisations une solution de cyber-sécurité simplifiée
concluant ce partenariat, nous proposons un moyen simple
pour assurer leur mise en conformité avec l’ensemble des
d’y parvenir », souligne Jean-Noël de Galzain, Président du
règlementations. « La confidentialité, la haute-disponibilité
Directoire de WALLIX GROUP.
et la protection des données font partie des plus hautes
LES 3 MODULES DU BASTION SIEM (Security Information and Event Management) Log Management
Audit Risk compliance
Privileged user
ACCESS MANAGER
SESSION MANAGER
PASSWORD VAULT
Application windows server web console
Appliance Linux/Unix server
PASSWORD MANAGER External service providers
Cloud ready
Network and security equipment Industrial equipment AAPM (Application-to-Application Password Management)
41
ACTUS
OUT OF BAND MANAGEMENT, l’ultime Cyber-Résilience au sein du data centre
En intégrant la technologie Out of Band Management avec les partenaires RAHIZPE Systems au cœur de ses centres de données, EBRC permet d’éliminer les « Single Points of Failure » résiduels pour garantir à chacun un niveau optimal de disponibilité de ses systèmes et améliorer la Cyber-Résilience.
B
une perte d’accessibilité à la plateforme. Dans ce cas, il faut procéder à un redémarrage physique de l’équipement. Si cette opération dépend d’une intervention humaine sur site, le temps de résolution peut s’avérer incompatible avec les exigences business de l’utilisateur de la plateforme. Anticiper grâce à l’apport des technologies, tel est l’objectif de la technologie Out of Band Management ». ÉVITER LA PARALYSIE ET AMÉLIORER
ien que les data centres exploitent lar-
LA CYBER-RÉSILIENCE /
gement la redondance des équipements
Plusieurs grandes entreprises dans le monde, et notamment
pour garantir la résilience des systèmes
de grandes banques européennes, ont déjà été confrontées
hébergés, les infrastructures comportent
à la situation où l’accès au réseau s’avère impossible. Les
encore quelques SPOF (Single Points of
utilisateurs et administrateurs des systèmes se trouvent alors
Failure) qui peuvent affecter leur taux de disponibilité. En
paralysés. « Le seul moyen de remédier à cette situation est
mettant en œuvre la technologie « Out of Band Manage-
une intervention physique dans chaque data centre concer-
ment » (OOB), EBRC entend bien les éliminer et permettre
né afin d’y relancer les composants défaillants », poursuit
à ses clients de profiter d’un niveau de disponibilité sup-
Michel Ackerman. « Une telle intervention, qui dépend des
plémentaire et optimal.
temps d’opération et de déplacement des équipes, peut occasionner un impact business hors des tolérances de
ÉLIMINER LE RISQUE RÉSIDUEL POUVANT
l’entreprise selon son domaine d’activité et selon l’application
AFFECTER LE BUSINESS /
concernée. Or dans un environnement économique digital et
La technologie OOB offre la possibilité de garder la main sur
interconnecté, la haute disponibilité devient le standard. Le
les composants actifs du réseau, et ce même si ce dernier
Out of Band Management se positionne donc comme une
venait à faire défaut. « Malgré toutes les mesures de sécurité
brique technologique essentielle de la Cyber-Résilience ».
adoptées afin de garantir un haut niveau de résilience, certaines failles subsistent et induisent encore un risque résiduel
GARDER LE CONTRÔLE EN TOUTE
minime pour la continuité du business », commente Michel
CIRCONSTANCE SUR LES ÉQUIPEMENTS /
Ackerman, Business Consultant au sein d’EBRC. « Ces failles
EBRC et RAHI Systems, intégrateur de la technologie ZPE
se situent le plus souvent au niveau des éléments actifs du
Systems, offrent désormais une solution originale permettant
réseau. À titre d’exemple, si un firewall se met en défaut
de couvrir les risques résiduels liés au pilotage de l’infrastruc-
partiel, il peut rendre inopérant tout son cluster, causant ainsi
ture IT. « L’Out of Band Management permet de prendre la
ÉDITION 2019
42
ACTUS
main à distance sur des composants considérés comme
sur ces composants », précise Bruno Paolini. « En outre,
critiques », commente Bruno Paolini, Directeur Europe au
l’architecture ouverte et développée dans un monde Open
sein de RAHI Systems. « Il s’agit de permettre aux admi-
Source sous Linux/Intel ajoute un potentiel d’automatisation
nistrateurs d’accéder aux infrastructures critiques via les
pour plus de proactivité afin de prévenir plutôt que de guérir ».
‘NodeGrid Services Routers’, ceci en utilisant un service de communication parallèle (Internet, MPLS, 4G...). Grâce
UNE TECHNOLOGIE RECONNUE ET ÉPROUVÉE /
à cette infrastructure OOB, il est désormais possible de
« L’apport de l’OOB au sein des infrastructures est tel que
réaliser à distance, via une console d’administration avec
les grands acteurs mondiaux de l’Internet et de la finance
une interface ‘HTLM5’, ce qui habituellement nécessite une
l’ont adopté », poursuit Bruno Paolini, « rendant ainsi les
intervention sur site comme par exemple éteindre/allumer,
plateformes au sein de leurs nombreux data centres acces-
reconfigurer ou monitorer n’importe quel composant actif
sibles et opérables à distance en toutes circonstances ».
(Firewall, router, Load-Balancer, réseau, serveur, baie de stockage, PDU, et bien d’autres encore) ».
LA CYBER-RÉSILIENCE OUT OF BAND MANAGEMENT DISPONIBLE CHEZ EBRC
AMÉLIORER LE SERVICE DE MAINTENANCE
EN MODE « AS A SERVICE » /
ET RÉDUIRE LES ERREURS HUMAINES /
EBRC intègre désormais cette technologie au cœur de ses
Outre le fait d’éviter les déplacements très chronophages,
propres data centres, « nous sommes les premiers à proposer
son ergonomie lui apporte l’avantage supplémentaire de
cette technologie en mode ‘As a Service’ », commente Michel
réduire d’éventuelles erreurs humaines et d’optimiser la
Ackerman, avant de conclure : « Nous avons investi dans l’in-
maintenance. « L’interface CRM associée à la solution Out
frastructure et profitons des possibilités que permet l’interface
of Band Management offre la possibilité au gestionnaire
de gestion en matière de segmentation multi-tenants et de
d’avoir accès à la vue à 360° sur l’ensemble des éléments
ségrégation pour la mutualiser au profit de nos clients. Les
du réseau, facilitant ainsi toute intervention à distance en
utilisateurs paieront en fonction du nombre de composants qu’ils
cas de problème, mais offrant aussi la possibilité de réaliser
choisiront de gérer grâce à ces outils, dans un mode OPEX ».
plus efficacement de nombreuses actions de maintenance
LA SOLUTION OUT OF BAND EN IMAGE
AUTO SWITCHING
INTERNET
zpe SERVERS/STORAGE ROUTERS/SWITCHES Local user
Remote user
PDU POWER UPS POWER
A
Introduce
OUT OF THIS WORLD...
OUT OF BAND MANAGEMENT to your company
- Eliminate Single Points of Failure - Remotely Control Network Active Components - Improve Cyber Resilience - Cut Operational Costs MANAGE YOUR NETWORKS, ANYTIME, ANYWHERE.
www.rahisystems.com bruno@rahisystems.com
The Inuksuk represents the HEART of EBRC: Human, Excellence, Agility, Responsibility, Trust
Inuksuk Inuk = human being suk = substitute, acting on behalf of Inuksuks are piles of stones which serve as a reference point (orientation = consulting), but also, a hiding place (store = Data Centre). They are closely associated with orientation and resilience; with survival in a hostile world. Their longevity is legendary, as well as their resistance to the elements. This symbol, our logo, ties in perfectly with the polar iconography, resilience, solidarity and orientation. It is a concept which stands out and is coherent with our company history.
w w w. e b r c. c o m
