18 minute read
ÉTUDE DE CAS
Auteur : Michaël Renotte Crédit photo : Michaël Renotte
BANQUE DE PATRIMOINES PRIVÉS SE CERTIFIE, UNE PREMIÈRE AU LUXEMBOURG
Advertisement
banquedepatrimoinesprives.com
Carlos Fernandez-Rubies de Lillo Managing Director Josep Arseni Ramoneda Chief Operating Officer/Chief Financial Officer & François Clausse Head of IT Department - BPP
La Banque de Patrimoines Privés en quelques données...
er
Création en 2010
7 milliards d’actifs gérés au Luxembourg
Première banque certifiée ISO 22301 au Luxembourg
En accédant, avec le soutien d’EBRC, à la certification ISO 22301, la Banque de Patrimoines Privés devient la première institution financière luxembourgeoise à mettre en place un système de management de la continuité d’activité en totale conformité avec la norme.
La Banque de Patrimoines Privés est une instruction financière luxembourgeoise orientée vers la banque privée. Elle a été fondée en 2010 et propose principalement des services de gestion de patrimoine, de garde et d’administration des fonds d’investissement et de gestion de portefeuilles. En 2011, BPP a été acquise par le groupe Crèdit Andorrà, leader du marché en Andorre.
« Le groupe Crèdit Andorrà est engagé dans un important programme de développement à l’international », explique Carlos
Rubies, Managing Director de la Banque de Patrimoines Privés. « Aujourd’hui,
Crèdit Andorrà est présent en Europe -
Andorre, Espagne, Luxembourg et Suisse - ainsi qu’en Amérique. »
— AGILITÉ ET RÉACTIVITÉ :
DES CONDITIONS
PROPICES À LA
CERTIFICATION
« Notre stratégie est essentiellement centrée sur nos clients, qui proviennent de toutes les régions du monde. C’est pour assurer à notre clientèle le meilleur niveau de service que notre politique est de faire figure de premier de classe dans les activités que nous exerçons », poursuit Carlos Rubies. « La petite taille relative de notre banque fait de nous des acteurs très agiles sur un marché de plus en plus complexe. Nous sommes en outre très enclins à ancrer la qualité et l’efficience de nos processus dans un cadre normatif exigeant, ce qui constitue à la fois un gage de sécurité pour nos clients et un élément différenciateur sur le marché ».
« Avec l’acquisition de Banque de Patrimoines Privés par Crèdit Andorrà », commente François Clausse, Head of IT Department de la banque, « différents projets destinés à soutenir l’essor de nos activités ont vu le jour, tels que l’adoption du logiciel bancaire Avaloq, le déploiement de l’application NeoXam GP3 - pour accompagner le développement de l’industrie des fonds - ou encore la mise en place d’une solution de gestion des flux électroniques ».
— ASSURER
L’INTEROPÉRABILITÉ
ENTRE LES MÉTIERS
ET L’INFORMATIQUE
« Parallèlement, nous avons entrepris de mettre en place des procédures relatives à la reprise d’activité, mais la vision que nous en avions était purement IT, orientée Disaster Recovery, et déconnectée des besoins des départements métiers. Or, nous voulions assurer l’interopérabilité entre les flux métiers et les flux informatiques, ce qui nécessite de tenir compte de temps de reprise différents ». C’est pour résoudre cette équation que la direction de BPP a décidé, en 2017, de doter la banque d’un Business Continuity Coordinator en proposant à son responsable informatique de se former en vue d’obtenir le titre de Lead Implementer de la norme ISO 22301 et d’acquérir ainsi l’expertise nécessaire pour accompagner l’entreprise lors de la mise en œuvre et la gestion de son système de management de la continuité d’activité.
— UNE FORMATION
EN CONDITIONS RÉELLES
« Pour atteindre cet objectif, nous avons choisi de travailler avec le leader en la matière au Luxembourg, EBRC. Nous avons décidé d’un commun accord que la formation ne se déroulerait pas de manière académique. Nous avons en effet utilisé la banque et les procédures en place afin que le cadre de la formation soit le plus proche possible de la réalité du terrain ». Au cours de ce cycle de formation, François Clausse a réuni les différentes parties prenantes de l’entreprise et, ensemble, ils ont mené une réflexion de fond à travers plusieurs séances de Business Impact Analysis et de Risk Assessment. « Les sessions de Business Impact Analysis et de Risk Assessment ont notamment pour avantage de permettre aux responsables des processus métiers de mettre en perspective la place que prennent ces derniers dans le flux global du système d’information de la banque », explique François Clausse. « Cet exercice nous a permis de cartographier les principaux processus bancaires ainsi que les interdépendances associées. Nous avons dès lors été capables de formaliser une politique qui a donné le jour à une stratégie et à différentes procédures de reprise des activités ».
— CERTIFIER LA BANQUE
À l’issue de ce premier cycle, la Direction de BPP a décidé d’augmenter le niveau de maturité de l’entreprise en lui faisant prendre le chemin de la certification. Après validation par le Conseil d’Administration, tous les efforts ont convergé, au cours de l’exercice 2018, vers l’obtention de la certification ISO 22301. « Au cours du cycle de certification de la banque, nous avons ainsi formalisé, éprouvé et testé l’ensemble de nos procédures et mis en place des procédures de gestion de crise et de communication automatique, cette dernière s’appuyant sur l’application F24. L’expérience a ensuite été validée par nos services d’audits interne et externe, ce qui nous a permis de positionner notre banque vis-à-vis de la norme et d’obtenir la certification », détaille François Clausse.
— UNE NORME EXIGEANTE… « ISO est une instance internationale de normalisation », rappelle-t-il. « Dès lors, la norme ISO 22301 nous permet d’établir et de modifier notre modèle - mais aussi de le contrôler, de le maintenir et de le tester - à l’aide d’un système de management inaltérable et éprouvé
à l’échelle mondiale. De plus, les rôles et les responsabilités de chacun y sont clairement évoqués, la stratégie émanant du Conseil d’Administration, la tactique étant du ressort du Business Continuity Coordinator et l’opérationnalité étant assurée par les différents départements de l’entreprise ». « Mais la portée de la norme ISO 22301 ne se limite pas au plan de reprise », observe François Clausse. « La norme englobe aussi la protection des employés, la maintenance des activités vitales, des contrats et des SLA de l’entreprise, une plus grande prédictibilité et une meilleure appréhension des événements en cas de crise, ainsi que la protection de la réputation de l’entité et de sa compétitivité ». Pour satisfaire aux exigences de la norme ISO 22301, il est en outre indispensable de développer une bonne compréhension de l’organisation et d’établir des limites
claires quant à la portée du système de management. En particulier, il importe que l’organisation respecte les intérêts, les besoins et les attentes des différentes parties prenantes – départements métiers, services informatique et personnel – ainsi que la position des organismes de réglementation et de supervision. « Ainsi », souligne François Clausse, « la mise en place d’un système de management de la continuité d’activité nous permet de répondre à certaines exigences régulatoires, notamment que la banque soit capable d’éprouver la robustesse et la résistance de ses systèmes ».
— … QUI OUVRE
DES PERSPECTIVES
CONSIDÉRABLES
« Enfin », ajoute-t-il, « obtenir une certification internationale telle que l’ISO 22301 démontre l’intérêt que nous portons à la gestion des risques et à la reprise des activités de notre organisation. L’effort consenti par la banque lui permet en effet d’affirmer la robustesse de son système ». « Nous parvenons effectivement à réaliser des performances qui paraissent a priori difficilement possibles pour une banque de notre taille », ajoute Josep-Arseni Ramoneda, Chief Operating Officer de BPP. « Nous devons donc être capables de démontrer à nos clients et à nos partenaires que nos processus sont aussi efficients que solides. Cet effort ouvre également la voie vers d’autres parcours de certification, en matière de qualité et de sécurité par exemple ».
— S’APPUYER SUR UN
LEADER DU MARCHÉ
Dans le cadre de cette certification, la Banque de Patrimoines Privés a choisi de travailler en partenariat avec EBRC. « Fort d’une expertise internationale en la matière, les professionnels de l’équipe Advisory d’EBRC ont été capables d’optimiser la mise en place de la norme à travers des documents de synthèse permettant d’encadrer efficacement le système de management de la continuité d’activité », témoigne le Head of IT Department de la banque. L’année dernière, la banque a également fait le choix d’installer ses positions de secours dans le Resilience Centre Luxembourg South d’EBRC à Kayl. « EBRC est le leader de la place avec 1 000 positions de secours utilisateurs dans des espaces totalement sécurisés qui autorisent le basculement complet et totalement transparent de nos opérations suite à un sinistre ou une indisponibilité », confirme François Clausse. « C’est dans ce même centre de résilience et avec le support d’un Service Account Manager d’EBRC que nous avons testé pour la première fois notre système de management de la continuité d’activité. Ce test s’est soldé par un réel succès et, après validation par le Comité Exécutif de la banque, notre système de management a été audité par PECB, un prestataire mondial de formation, d’examen, d’audit, et de services de certification pour un large éventail de normes internationales. Qu’il s’agisse de notre parcours pour obtenir la certification ISO 22301 ou de la mise en place de nos positions de secours, nous ne pouvons que nous féliciter de l’appui que nous avons reçu des équipes d’EBRC. Outre le grand professionnalisme que j’ai déjà souligné, les consultants d’EBRC ont fait preuve, au cours de leurs interventions, d’un rare sens de l’écoute, du partage et de l’intérêt commun qui nous a permis d’établir une relation de confiance », conclut François Clausse.
La norme ISO 22301:2012 - Systèmes de Management de la Continuité d’Activité
Depuis quelques années, les entreprises doivent composer avec les risques classiques - pannes, erreurs ou sinistres modérés - et les risques émergents - catastrophes climatiques, cyber-menaces, terrorisme, pannes en cascade qui provoquent des interruptions de service généralisées, etc. Ce changement de perspective appelle à mettre en œuvre de nouvelles stratégies pour assurer la croissance et la pérennité des organisations.
Publiée en 2012, ISO 22301 est une norme de système de management de la continuité d’activité qui peut être utilisée par des organisations de toutes tailles et de tous types. Une fois leur système de management en place, les organisations ont la possibilité de solliciter une certification de conformité à la norme pour prouver leur respect des bonnes pratiques en matière de management de la continuité d’activité aux instances législatives et réglementaires, aux clients potentiels et à d’autres parties intéressées. ISO 22301 peut aussi servir de référence à l’entreprise pour évaluer sa situation par rapport aux bonnes pratiques et aux auditeurs pour rendre leur rapport à la direction.
L’intérêt de la norme ne se limite pas à la simple obtention d’un certificat de conformité : elle permet notamment d’identifier et de gérer les menaces actuelles et futures, de suivre une approche proactive pour minimiser l’impact des incidents, de maintenir les fonctions essentielles en temps de crise, de minimiser les temps d’arrêt pendant les incidents et de faire preuve de résilience.
iso.org
De gauche à droite : Pascal Rogiest - CEO, Stefano Susca - CIO, Frédéric Laurain - Head of IT Systems OPS - LuxTrust Ludovic Gilles - Director Client Development et Yves Reding - CEO - EBRC
Auteur : Alexandre Keilmann Crédit photo : Dominique Gaul
SÉCURITÉ ET CONFIANCE, LES DEUX PILIERS STRATÉGIQUES DE LUXTRUST
www.luxtrust.lu
700 000 utilisateurs luxembourgeois et transfrontaliers avec plus de 300 000 connexions quotidiennes.
Dans un contexte de transformation numérique qui touche aussi bien les entreprises que les particuliers, LuxTrust, créée au Luxembourg il y a plus de 13 ans, a pour objectif de fournir aux citoyens et aux entreprises un environnement sûr et sécurisé. L’équipe IT One a rencontré Pascal Rogiest, CEO de LuxTrust, pour discuter de sa vision d’expert en sécurité et en données, des dernières collaborations de son entreprise – notamment avec le spécialiste en IT et société partenaire EBRC (European Business Reliance Centre) ayant son siège au Luxembourg –, mais aussi du rôle pionnier du Luxembourg et du développement de l’écosystème numérique du pays.
« LuxTrust a été créée à l’initiative du gouvernement luxembourgeois, avec le soutien de plusieurs banques nationales. Notre mission principale était de fournir des outils à l’ensemble de la population active afin de gérer les identités numériques – par le biais d’un accès bancaire sécurisé et d’une signature électronique – ce que nous avons fait », dit Pascal Rogiest. Il souligne également que depuis la mise en œuvre de l’eIDAS – Electronic IDentification Authentication and trust Services – il y a quelques années en Europe, la société s’est ouverte à un marché européen plus large et est désormais considérée comme un prestataire de services de confiance qualifié, non seulement au Luxembourg mais également dans le reste de l’Union Européenne. LuxTrust est connue pour ses tokens qui permettent une connexion sécurisée aux comptes bancaires en ligne, sa déclinaison mobile, mais aussi pour son offre de signature électronique ayant valeur juridique forte. Depuis deux ans, l’offre de signature électronique constitue un élément clé pour LuxTrust, elle a pour mission de fournir une solution intégrée permettant la numérisation de processus entiers au sein d’organisations et d’institutions. « Remplacer le papier
par du numérique nécessite des plateformes complètes au sein desquelles l’authentification, la sécurité et la signature sont les principaux éléments d’un processus numérique qui doit être mis en œuvre de bout en bout », ajoute le CEO. Prises ensemble, toutes ces solutions, qu’elles soient interopérables et/ou intégrées, permettent la création et la gestion d’identités numériques entières, attribuées à des personnes mais également à des institutions. « Dans les environnements numériques et mobiles actuels, la sécurité reste essentielle et ne doit pas être reléguée au second plan. Il faut trouver des solutions qui s’adaptent à la fois aux entreprises qui demandent plus de flexibilité et aux utilisateurs qui attendent des interactions plus simples et plus fluides », explique Pascal Rogiest, dont la société travaille actuellement à augmenter et développer la valeur des identités numériques en passant notamment par l’ajout d’informations personnelles supplémentaires.
— UN PARTENARIAT
AVEC UN ACTEUR LOCAL
DE CONFIANCE
Dans un tel contexte d’internationalisation et de développement de produits, LuxTrust, qui revendique plus de 700 000 utilisateurs luxembourgeois et transfrontaliers avec plus de 300 000 connexions quotidiennes, avait besoin d’un partenaire capable de permettre un développement actif des processus de fourniture de services de LuxTrust, tout en proposant un environnement stable et le plus haut niveau de sécurité de l’information. Comme l’explique Pascal Rogiest, « notre développement au niveau européen passe par un nombre plus élevé de demandes de la part de nos clients et donc par plus de flexibilité et d’agilité. Travailler avec EBRC, un partenaire local ayant une expertise internationale, ajoute plus de profondeur et de crédibilité à notre offre de services. Encore une fois, la confiance et la fiabilité sont des éléments importants dans le monde numérique actuel ». Les données LuxTrust sont hébergées au Luxembourg dans des infrastructures dédiées, ce qui signifie qu’elles ne sont pas partagées avec d’autres, et offrant le niveau le plus élevé de sécurité requis pour répondre à des besoins d’audit spécifiques. « Chez LuxTrust, en tant que tiers de confiance, nous devons garantir un niveau de sécurité, avec 6 audits différents organisés chaque année. Conserver ce statut est crucial pour LuxTrust ; nous avions donc besoin d’une infrastructure spécifique à la hauteur des réglementations locales et européennes, de la CSSF à l’ILNAS en passant par le CNPD et bien d’autres encore en Europe. Par exemple, la certification QTSP – Qualified Trusted Service Provider - nous permet de déployer nos services d’authentification, nos identités numériques et nos services de signature, dans tous les secteurs en Europe et dans le monde », déclare le CEO, avant d’ajouter : « c’est ce que nous faisons aujourd’hui pour la Commission européenne ». Par conséquent, les experts d’EBRC, s’appuyant sur les connaissances de l’équipe de LuxTrust, ont dû gérer le déplacement des opérations informatiques critiques d’un data centre externe vers l’un des leurs, et ce sans affecter la qualité de service. De la demande de propositions et la définition de la nouvelle architecture à la mise en place de l’infrastructure et à son audit, en pas-
sant par le transfert au département Opérations IT d’EBRC, le projet a duré 12 mois. Le transfert a été effectué avec succès durant une nuit de septembre 2018, sans interruption de service. Cette collaboration fructueuse a récemment été récompensée par le prix « Managed Services of the Year » décerné à EBRC et à LuxTrust en décembre dernier, lors du Gala IT One. Ludovic Gilles, Director Client Development, déclare : « LuxTrust est le premier client d’autorité de certification pour EBRC. Cela correspond parfaitement à nos pratiques en matière de Managed Services, axées sur la gestion des infrastructures critiques et des charges de travail à travers l’Europe. Avec ce projet, nous avons pu adapter nos services aux exigences les plus élevées de sécurité et de disponibilité demandées par LuxTrust, un excellent partenaire dans notre collaboration ». Cette collaboration avec EBRC et cette nouvelle infrastructure permettent à LuxTrust de proposer « plus de numérique » à ses clients luxembourgeois et
étrangers à une époque où toutes les sociétés sont confrontées à des transformations concrètes et parfois fondamentales, tout en devant suivre et se conformer à un nombre croissant de réglementations européennes et mondiales.
— LES DÉFIS DE LA CRÉATION
D’IDENTITÉS NUMÉRIQUES
Au fil des ans, LuxTrust s’est efforcée de fournir des moyens de paiement sécurisés, travaillant ainsi à renforcer la confiance de ses partenaires et ses utilisateurs. « Nous avons commencé par fournir des tokens aux banques, mais les générations actuelles et futures demandent des applications mobiles à la fois sûres et simples d’utilisation. Pour les signatures électroniques aussi, LuxTrust a créé un produit qualifié et performant. Cependant, des défis subsistent ; et inciter le public à utiliser ces outils innovants et numériques est l’un d’eux », souligne Pascal Rogiest. Selon l’expert, la plupart des gens ne les ont pas encore acceptés, d’où la nécessité de campagnes et d’actions de marketing et de communication visant à montrer aux citoyens la manière dont ils peuvent tirer profit des outils numériques déjà disponibles, en les rassurant et en les informant au sujet de notre monde numérique. « Cela a peut-être commencé avec les services bancaires en ligne, les identités numériques et les signatures électroniques, mais les tendances vont clairement de plus en plus vers une dématérialisation accrue ; nous devons donc changer les esprits pour réussir cette transformation en profondeur », souligne le CEO de LuxTrust. L’ambiguïté et l’ambivalence entre le besoin de sécurité et la nécessité de fournir des services plus fluides et plus faciles à utiliser sont un autre défi de taille pour la quasi-totalité des entreprises qui naviguent dans un environnement numérique. « Réunir sécurité et réglementation d’une part – notamment avec le RGPD, qui a déjà un impact sur les grands acteurs et les petites et moyennes entreprises –, et besoins des clients et exigences commerciales de l’autre, demande d’abord de définir les limites que les entreprises ne veulent pas franchir tout en recherchant la meilleure expérience pour les utilisateurs. Construire et proposer un parcours client idéal prend du temps, et chaque étape de la numérisation doit être abordée indépendamment en fonction des cas d’utilisation de nos clients. À cet égard, la numérisation se doit d’être plus pragmatique », indique l’expert. Enfin, Pascal Rogiest souligne le fait que le Grand-Duché de Luxembourg possède un niveau avancé et élevé en matière d’expertise numérique : c’est une belle vitrine que le pays doit continuer à mettre en avant. Par exemple, LuxTrust travaille au niveau international depuis quelques années maintenant, avec un grand intérêt de la part de plusieurs clients en France et en Belgique. En outre, la société a conclu plusieurs partenariats en Belgique et en Italie, et a également conclu un contrat avec la Commission européenne pour lui fournir, ainsi qu’à 80 pays non membres de l’UE, une signature électronique sécurisée pour l’importation de denrées alimentaires dans l’UE. Un autre défi s’est alors posé : veiller à ce que les identités numériques soient compatibles et interopérables dans tous ces pays.
— UN PIONNIER DU NUMÉRIQUE DANS UN PAYS NUMÉRIQUE
« Au Luxembourg, presque tout le monde a déjà une identité numérique, que ce soit en utilisant un token ou un téléphone portable pour accéder aux relevés bancaires, ou encore en utilisant et en acceptant les signatures électroniques. Ainsi, notre pays est déjà bien placé dans la course à la numérisation, ayant mis en place un écosystème efficace en matière d’identité digitale. Cependant, plusieurs autres processus pourraient être développés dans les secteurs tant privé que public. Mais saluons le fait que nos administrations publiques aient déjà pris le train du numérique avec de nombreuses initiatives, comme Digital Luxembourg, grâce aux services fournis par le CTIE. L’économie nationale pourrait profiter davantage de l’élan créé et nous travaillons activement à la réalisation de cet objectif », évoque Pascal Rogiest à propos de la situation de notre pays. Avec l’aide du gouvernement luxembourgeois, LuxTrust travaille actuellement au renforcement des identités numériques pour en augmenter la valeur. Devant la nécessité accrue de la confidentialité des données, la société basée à Capellen souhaite augmenter le nombre d’informations intégrées aux identités numériques des citoyens, leur permettant ainsi de gérer et de partager leurs données de santé, d’éducation, professionnelles et privées. « Le Luxembourg construit également tout un écosystème qui conduira éventuellement à la création d’une économie fondée sur les données. Il est de notre devoir, en tant que partenaire TIC possédant une expertise en matière de données et de cyber-sécurité, de proposer ces nouvelles opportunités aux utilisateurs tout en veillant à ce qu’ils puissent les utiliser dans un environnement sûr, sécurisé et de confiance. Cependant, cette stratégie de digitalisation ne pourra réussir que si les gens font confiance à leur identité numérique. À nous de garantir cette confiance », conclut Pascal Rogiest.
