DIGITAL &TRUST
Édition 2020-2021
TIME FOR RESILIENCE!
URGENT & IMPORTANT INTERVIEW CROISÉE Les pionniers de l’Europe digitale p.04 INNOVATION Kubernetes... à la demande et sous forme managée p.12 ENQUÊTE Sur l’utilisation du Cloud au Luxembourg p.14 STRATÉGIE La sécurité des Data Centres et la disponibilité de l’information sont au cœur de la stratégie d’EBRC p.17
02
ÉDITION 2020-2021
SOMMAIRE 04 /
I NTERVIEW CROISÉE
20 /
— Les pionniers de l’Europe digitale P.04 / 06 /
— EBRC et l’Université de Strasbourg : partenariat gagnant P.20 / — Limonetik, une référence dans le monde du paiement digital P.22 /
TENDANCE
— Résilience : comment rebondir après une crise P.06 / — COVID-19 : les entreprises face à l’épreuve de la résilience P.09 /
P ROGRAMME PARTENAIRES
10 / C YBERRÉSILIENCE — La Cyber-Résilience dans votre organisation P.10 /
— Openbanking LUXHUB : de DSP2 à la marketplace de services financiers P.24 / — Bankable s’appuie sur EBRC pour son développement international P.26 / — Finologee P.28 /
12 / I NNOVATION — Kubernetes... à la demande et sous forme managée P.12 /
— i-Hub renforce la continuité de ses services avec l’expertise EBRC et obtient la certification ISO 22301 P.30 /
14 / E NQUÊTE — Sur l’utilisation du Cloud au Luxembourg P.14 / 17 / S TRATÉGIE — La sécurité des Data Centres et la disponibilité de l’information sont au cœur de la stratégie d’EBRC P.17 /
Editeur : EBRC, 5 Rue Eugène Ruppert, 2453 Luxembourg / Tel. : +352 26 06 1 / marketing.support@ebrc.com / Edité en novembre 2020 à 15 000 exemplaires — Réalisation graphique : Nicolas Bœuf / Farvest Group — Couverture : Mikado — Gestion éditioriale : Jean-François Hugon, EBRC
03
EDITO 2000 - 2020 : VINGT ANS DÉJÀ ! EBRC (European Business Reliance Centre) fête cette année ses 20 années de développement. eBRC a été lancé en été 2000 en pleine euphorie du « e-Business », de zéro, en mode startup. C’était le temps où la nouvelle économie « e » allait raser la vieille économie. Après l’euphorie, 2001 fut l’année de la grande désillusion. L’explosion de la bulle internet et les attentats du 11 septembre furent à 2001 ce que la crise de la COVID-19 est à 2020 : un choc socio-économique violent, suivi de grandes incertitudes. eBRC a démarré ses activités en pleine tempête. Notre credo à l’époque était : « Ensemble, en toute confiance, dans l’ère de l’information ». En vingt années, ce credo n’a pas changé. La start-up eBRC est devenue EBRC, un centre de confiance digital de 340 experts, basés en Europe, au Luxembourg, dans 7 grandes villes françaises et au Maroc, servant, avec sa filiale Digora, 900 clients. Depuis 20 années, nous poursuivons la même passion : accompagner nos clients dans cette révolution digitale, en toute confiance, via nos « Trusted Services », une proposition de valeur de bout-en-bout, intégrée et certifiée via les meilleurs standards, couvrant les services Data Centre, Résilience, Cloud, Managed Services jusqu’aux services Advisory. Nos clients ont tous un point commun : ils gèrent et veulent protéger leurs informations sensibles. Nos clients recherchent un partenaire durable qui leur offre en même temps des services d’agilité, de prise en charge de l’IT afin qu’ils puissent accélérer et se consacrer à leur core business tout en les protégeant face aux nouveaux risques Cyber. Pendant ces vingt années, EBRC a grandi grâce à vous, chers lecteurs. Chers clients, un tout grand MERCI pour votre confiance. Que vous soyez actifs dans le monde bancaire et financier, des FinTechs, du secteur de la santé, des pharmas ou bio-banques, du e-commerce, des industries critiques, des institutions internationales, du spatial, du secteur de la défense, du secteur public, des bureaux d’avocats ou des start-ups, nous sommes présents en 24/7 pour vous aider et vous accompagner, y compris dans la tempête. Toute crise constitue un moment unique pour lancer de nouvelles opportunités, c’est ce que nous appelons la résilience : anticiper, gérer, encaisser et rebondir pour sortir plus fort. La crise de la COVID-19 va accélérer la digitalisation en cours et cette digitalisation effrénée va offrir encore plus d’agilité, ouvrir de nouvelles opportunités mais également générer un accroissement considérable des risques et des dérives du digital. Cette crise constitue aussi une prise de conscience. Elle va générer un changement de paradigme majeur : l’Europe a enfin lancé des initiatives importantes pour se doter d’une Europe digitale forte, basée sur une véritable souveraineté numérique et un espace numérique cyber-résilient, dont le projet « GAIA-X ». Plus que jamais, il nous faut nous serrer les coudes et ensemble, en Europe, construire une Europe digitale de confiance, cyber-résiliente qui donne le ton dans l’ère de l’information. Bonne lecture ! Yves Reding, CEO - EBRC
ÉDITION 2020-2021
04
INTERV IE W
CROISÉ E
Jean-Noël de Galzain Président - Hexatrust
Crédit photo : Erez Lichtfeld
Propos recueillis par Stéphane Etienne, Hypallages
LES PIONNIERS
DE L’EUROPE DIGITALE En juin 2019, EBRC a rejoint l’association Hexatrust, qui réunit en
des transactions, les services cloud de
France et en Europe, des entreprises disposant de savoir-faire
confiance (dont EBRC Trusted Cloud
d’excellence en cybersécurité, Cyber-Résilience et soutient le projet de faire émerger un cloud de confiance européen efficient et sécurisé. Mais quelle est sa stratégie et en quoi ses propositions rejoignent-elles celles de EBRC ? Explications avec Jean-Noël de Galzain, président de Hexatrust, et Yves Reding, CEO d’EBRC.
H
Europe) et la Cyber-Résilience (EBRC Cyber-Resilience Portal). — UN SAVOIR-FAIRE UNIQUE EN EUROPE « Toutes ces pépites technologiques défendent les mêmes valeurs : innovation,
exatrust
est
un
de chiffres d’affaires, connaissent une
union, action, excellence », commente
d’une
croissance de 19% et réinvestissent
Jean-Noël de Galzain. « Notre objectif
soixantaine d’entreprises
près de 30% de leurs bénéfices dans
est de réunir les meilleures solutions de
petites, moyennes et
l’innovation. Les solutions proposées
cyber-sécurité et de cloud computing.
grandes qui proposent des solutions
vont du chiffrement aux objets connectés
Le monde politique et économique doit
innovantes dans toutes les étapes de
en passant par les problématiques de
être conscient qu’il existe un savoir-faire
la gestion du risque et de la protection
gouvernance, de traçabilité et d’audit,
unique en Europe et que celui-ci ne de-
des données personnelles. Actifs sur
la gestion des identités et des accès,
mande qu’à se développer pourvu qu’on
l’ensemble du globe, les membres
la sécurité des systèmes industriels, la
lui en donne les moyens. Dès le début
rassemblent plus de 2500 experts,
sécurité de la messagerie, la sécurité
de la pandémie du Coronavirus, nos
totalisent plus de 400 millions d’euros
des flux mobiles et du web, la sécurité
membres se sont immédiatement mo-
groupement
05
Yves Reding CEO - EBRC
bilisés pour permettre aux entreprises de s’organiser en mode confinement afin de continuer à fonctionner dans les meilleures conditions. Nous voulons ainsi démontrer, particulièrement en cas de crise, que notre industrie numérique est indispensable au soutien de l’ensemble de l’activité économique européenne. Notre groupement, avec ses partenaires européens comme Teletrust en Allemagne et d’autres associations en Europe, est prêt à participer à la reconstruction après-coronavirus et à contribuer à la création de véritables
Crédit photo : EBRC
infrastructures numériques capables de préparer l’Union européenne à l’usage massif du numérique. »
— CRÉER DES PONTS ENTRE
membre d’Hexatrust. Au-delà de la
Dans cette même volonté de jouer la
LES DIFFÉRENTES
relation de confiance qui s’est peu
carte de la coopération et de la syner-
ASSOCIATIONS
à peu installée au fil des ans entre
gie pour mieux défendre les intérêts
La politique d’ouverture de Hexatrust,
EBRC et WALLIX, nous nous sommes
du secteur, Hexatrust a mis en place
sa volonté de mettre en place avec
rendu compte que nous avions des
un guichet unique à valeur ajoutée :
d’autres une industrie numérique euro-
valeurs et une stratégie communes
Hexatrust Distribution. « Son rôle
péenne forte et crédible ont d’emblée
et c’est tout naturellement qu’EBRC
est de porter le catalogue d’offres de
séduit EBRC, comme l’explique son
a rejoint Hexatrust. Ensemble, nous
nos différents membres de manière
CEO, Yves Reding. « Nous défendons
réfléchissons aux éléments qui doivent
groupée auprès des organisations
les valeurs européennes depuis long-
permettre de garantir la confiance du
publiques et privées qui souhaitent
temps. Le « E » de « EBRC » signifie
marché dans les services numériques
s’équiper de solutions souveraines et
« European » ! Notre stratégie a toujours
européens. »
de confiance dans le domaine de la
été de promouvoir l’Europe digitale, la
« Notre rôle au sein du groupement est
cybersécurité et du cloud computing »,
Cyber-Résilience et la confiance dans le
aussi de faire le lien avec d’autres as-
poursuit Jean-Noël de Galzain. « Cette
cloud. Il se fait que nous sommes égale-
sociations similaires dans d’autres pays
organisation nous permet de répondre
ment très présents dans l’Hexagone par
européens. Chez EBRC, nous sommes
à trois exigences : centraliser, optimiser
l’intermédiaire de notre filiale Digora,
persuadés que c’est en créant des ponts
et acheter. Les clients bénéficient, au
qui compte quelque 140 collaborateurs,
entre les différentes associations tant
travers d’un même point de contact,
dont une vingtaine au Maroc, et qui
locales qu’européennes que l’Europe
d’un canal de communication privilégié
est présente dans toutes les grandes
numérique pourra se construire. Certes,
et d’un accompagnement personnalisé
villes de France. Nous disposons aussi
l’Union européenne peut, par certains
et centralisé pour chaque éditeur pour
de nos propres clients et partenaires
côtés, ressembler à une tour de Babel,
toutes les informations commerciales
stratégiques sous l’égide de EBRC,
mais nous avons une longue histoire
et techniques. Ils sont accompagnés
notamment l’éditeur de logiciels de
et une vision du monde commune,
par une équipe d’experts capables de
sécurité informatique WALLIX, dont
ce sont nos différentes cultures, nos
proposer la combinaison optimale de
Jean-Noël est le président. Nous avons
différentes langues et nos différents
solutions pour répondre à une grande
également un partenariat stratégique
pays qui la rendent si ouverte au monde
variété de besoins. Ils simplifient leurs
avec EGERIE, éditeur de logiciels spé-
et si enrichissante. En Europe, le vrai
démarches d’achat via un point de
cialisés dans l’analyse et le pilotage
débat est possible et ce débat ne peut
contact unique. »
intégré des cyber-risques, également
que nous faire grandir. »
ÉDITION 2020-2021
06
TE NDANCE
Yves Reding CEO - EBRC
Propos recueillis par Alexandre Keilmann, Farvest
RÉSILIENCE :
COMMENT REBONDIR APRÈS UNE CRISE Yves Reding, CEO d’EBRC, évoque l’importance cruciale pour les entreprises de développer une culture profonde de la résilience, et la nécessité de se protéger contre les menaces qui peuvent - et ne peuvent pas - être anticipées. Suite à la crise de la COVID-19, les concepts de gestion des risques et de (Cyber-) Résilience sont devenus plus importants que jamais : l’expert nous en dit plus sur sa vision et sa philosophie, et nous fait également part de ses réflexions sur le lancement de l’initiative Gaia-X.
a changé la façon dont les choses sont
pleinement le concept de la résilience
DE LA RÉSILIENCE :
perçues, et a même remis en question
prôné par EBRC depuis 20 ans.
UNE PRISE DE CONSCIENCE
— COVID-19 ET L’ÉMERGENCE
les priorités d’écosystèmes, des gou-
« La crise du Coronavirus n’est pas un
« Nous tirons actuellement les leçons de
vernements, des entreprises, etc. sur le
cygne noir : elle aurait pu/aurait dû être
la crise de la COVID-19. Le monde que
plan politique, social et économique, »
anticipée. Les entreprises ont dû faire
nous connaissions auparavant et celui
dit Yves Reding. L’expert digital partage
face à plusieurs crises sanitaires au cours
dans lequel nous naviguons aujourd’hui
notamment l’exemple des modèles éco-
des deux dernières décennies : en 2003
ne sont pas les mêmes. Cette pandémie
nomiques qui doivent désormais intégrer
avec l’épidémie du SRAS, puis en 2009
—
RÉSILIENCE
:
COM M ENT
RE BO NDIR
APRÈ S
UNE
CRISE
—
07
lorsque l’Organisation mondiale de la
d’absorber, de gérer, de récupérer et
de santé, aux flux financiers, à l’énergie,
Santé a déclaré la pandémie de grippe
même d’accélérer ».
aux transports, à l’approvisionnement et
H1N1. En outre, les pandémies et les
Et en ce qui concerne le digital, Yves
à la distribution d’eau, aux infrastruc-
crises sanitaires font désormais partie
Reding remarque que davantage de
tures numériques, etc. de continuer à
de la culture populaire, de nombreux
progrès ont été réalisés au cours des
fonctionner. « Le digital devient alors
livres et films traitant de ces questions.
trois derniers mois que dans les trois
systémique ! Et la crise de la COVID-19
Le risque est là et nous aurions tous dû
dernières années, avec l’émergence
l’a clairement fait comprendre aux orga-
en être conscients, » déclare le CEO
du pendant digital de la résilience : la
nisations et aux individus : nos activités
d’EBRC.
Cyber-Résilience.
ne pouvaient se poursuivre que grâce au digital. Mais demain, le numérique
Au sein d’EBRC, le concept de résilience est bien connu et fait partie de la stratégie globale de l’entreprise. Comme l’explique Yves Reding, le
— AU-DELÀ DE LA RÉSILIENCE
pourrait être mis à mal et menacé par
TRADITIONNELLE : LA VOIE
des cyber-attaquants. Alors que le digital
VERS LA CYBER-RÉSILIENCE
devient l’épine dorsale de notre société,
terme de résilience est surtout utilisé en
À cet égard, le digital a prouvé - si be-
il doit devenir résilient et, par définition,
psychologie - lorsqu’un individu vit un
soin était - son formidable intérêt et ses
cyber-résilient », souligne Yves Reding.
événement traumatisant et s’en remet
avantages indéniables. Par exemple,
par la suite - et dans l’industrie métal-
le Luxembourg tout entier, grâce à sa
— SOUTENIR LES ENTREPRISES
lurgique, lorsque, par exemple, les rails
flexibilité et à sa solide infrastructure
DANS LA LUTTE CONTRE LES
et les ponts doivent absorber des chocs
informatique, a pu se tourner rapidement
CYBER-MENACES
thermiques importants. Il ajoute : « le
vers le travail à domicile, sans avoir à
Les stratégies de résilience - et de Cyber-
terme est également couramment utilisé
ralentir son activité. « Les notions de
Résilience - reposent sur des ressources
pour décrire une forêt qui a besoin de se
gestion des risques, de résilience et, bien
spécifiques et dédiées. « Plusieurs
régénérer. C’est ce que font les humains
sûr, de Cyber-Résilence sont devenues
programmes existent déjà, mais nous
et la nature : le concept devrait déjà être
les nouvelles normes », explique le CEO,
constatons encore un écart important
intégré par tous les individus et toutes
dont les équipes ont adopté le travail à
entre ce qui est disponible pour les en-
les entreprises. Pourtant, beaucoup n’en
domicile dès le premier jour de la période
treprises et la façon dont elles utilisent
étaient pas conscients avant la crise
de confinement. Il s’interroge : « mais
réellement ces outils », souligne Yves
de la COVID-19, et certains acteurs
que se passerait-il si le réseau ou les
Reding, qui cite notamment les multiples
pourraient même disparaître en raison
systèmes informatiques s’effondraient ?
certifications ISO 22301, qui concerne
de leur manque de connaissance ».
Qu’en est-il du nombre croissant de cy-
la continuité des activités et 27001, qui
Dans un tel contexte, les entreprises
berattaques au cours des trois derniers
traite de la gestion de la sécurité de
transforment maintenant leur modèle
mois ? Lorsqu’elles ont été réussies,
l’information. EBRC participe également
économique en un modèle résilient,
elles ont clairement eu un impact sur
depuis plusieurs années aux exercices
capable de s’adapter et de rebondir, en
les entreprises visées. Par conséquent,
créés par l’Agence européenne pour
se débarrassant du court-termisme et
la prochaine étape pour parvenir à un
la cybersécurité (ENISA) pour étudier
des objectifs purement financiers, pour
modèle économique global résilient est
la manière dont les cyber-attaquants po-
investir plutôt dans la responsabilité
d’investir dans la Cyber-Résilience ».
tentiels pourraient avoir un impact sur les
sociale des entreprises, la durabilité,
Il y a quelques années, la Commission
fournisseurs de services cloud (FSC) et
les personnes, etc. Le CEO souligne :
Européenne a mis en œuvre la directive
les fournisseurs d’accès à Internet (FAI),
« un modèle économique résilient per-
NIS, qui prévoit des mesures juridiques
un type d’événement qui pourrait très
mettra aux entreprises d’analyser les
visant à renforcer le niveau général de cy-
bien se produire dans un avenir proche.
tendances futures - les changements
bersécurité au sein de l’UE et qui identifie
En plus de ces normes et des exercices
démographiques et les questions re-
les « Opérateurs de Services Essentiels ».
réguliers, les équipes d’EBRC ont tra-
latives à l’hygiène, le réchauffement
Le nom de la directive est révélateur : ces
vaillé sur un outil d’évaluation ayant pour
climatique, la numérisation, etc. - et
services sont essentiels pour permettre
mission de faciliter la vie des décideurs.
donc d’anticiper, de prévoir, de protéger,
aux gouvernements, aux établissements
« Nous avons développé une solution
ÉDITION 2020-2021
08
comment un hôpital pourrait-il survivre sans la connaissance et le contrôle des données ? Comment l’industrie automobile peut-elle construire des véhicules autonomes si elle ne comprend pas et ne maîtrise pas les données ? », se demande Yves Reding. Gaia-X s’articule
Coronavirus COVID-19 au microscope. Illustration 3D.
autour de la valorisation de données par le biais de cas d’utilisation spécifiques, basée sur l’analyse des processus du
gagé depuis des années en faveur de la
qui permettront aux différentes industries
client et la production d’un rapport
souveraineté digitale de l’Europe. Nous
d’analyser les risques et d’anticiper, en
mettant en évidence l’écart entre leurs
sommes ravis de voir que les choses
utilisant effectivement des données per-
processus et les meilleures pratiques
bougent maintenant au niveau politique.
sonnelles sensibles qui seront anonymi-
de l’industrie en termes de résilience et
La Commission européenne, dirigée par
sées, sous la gouvernance de l’Europe.
de Cyber-Résilience. Il faut environ 45
Ursula von der Leyen, a fait connaître
En conclusion, Yves Reding souligne
minutes pour les informer de leur niveau
ses ambitions et nous sommes en plein
la formidable accélération digitale si-
de maturité et les guider ensuite vers la
changement de paradigme », souligne
lencieuse qui a eu lieu ces trois derniers
meilleure protection », explique le CEO
le CEO qui est en contact avec les éco-
mois, tout en reconnaissant le change-
de cette entreprise digitale ayant 20 ans
systèmes allemand et français depuis de
ment de mentalité en matière de risques
d’existence.
nombreuses années. Il poursuit : « Tout
et de résilience. Les entreprises savent
Par ailleurs, en février 2020, juste avant la
comme avec le RGPD et la directive NIS,
désormais qu’elles doivent être capables
période de confinement, EBRC a mené
l’Europe doit reprendre possession de
de faire face à tous types de crises, en
une enquête auprès des décideurs et
son écosystème digital en transmettant
particulier aux cyber-menaces, dans un
des professionnels de l’informatique au
et en utilisant ses principales valeurs :
monde plus digital que jamais. Défenseur
Luxembourg et en France sur le thème
transparence, ouverture, interopérabilité,
d’une approche élargie du risque par la
des services cloud et de la « souverai-
confiance et souveraineté. L’Europe
Cyber-Résilience et de la gestion des
neté digitale » : 55 % des personnes
sera alors aux commandes et imposera
données et de la souveraineté, le CEO
interrogées l’ont qualifiée de « nécessité
ses règles transparentes connues de
d’EBRC, avec son équipe, a passé les
pour l’Europe », alors que moins de
tous les acteurs ». De nombreux projets
trois derniers mois à travailler sur des
10 % seulement des entreprises et des
théoriques ont été menés au fil des ans,
projets innovants pour atténuer et anti-
particuliers la jugent inutile ou impossible
mais selon le CEO, Gaia-X constitue une
ciper ces risques, et félicite également
à réaliser. Et dernièrement, un projet clé
déclaration et une volonté politique clé.
le lancement de Gaia X.
vient d’être lancé au niveau de l’UE pour
Il ajoute : « Les pays membres de l’UE
« Nous avons connu une violente pandé-
renforcer la « souveraineté digitale » de
parlent désormais d’une seule voix, avec
mie avec la COVID-19, mais nous devons
l’Europe et viser une indépendance de
les moyens et l’énergie appropriés. EBRC
tirer les leçons de cette crise : nous allons
l’UE en matière de cloud computing.
s’inscrit dans ce projet ambitieux, tout
changer notre monde et devenir plus
comme de nombreuses associations
forts. Nous devons construire un monde
européennes ».
plus résilient et cyber-résilient pour les
— GAIA-X ET LA NÉCESSITÉ POUR L’EUROPE DE
Les données étant souvent décrites
prochaines générations, capable de
CONTRÔLER ET DE
comme étant le « pétrole du XXI
ème
faire face aux crises futures », conclut le
MAÎTRISER LES DONNÉES
siècle », l’un des principaux objectifs
CEO, « de plus, nous devons reprendre le
Yves Reding félicite l’initiative Gaia-X
de Gaia-X est de maintenir le contrôle
contrôle de nos ressources stratégiques
lancée par les ministères de l’économie
des données et des services grâce à
digitales et des données. Le temps est
allemand et français, avec le soutien de
l’indépendance technologique. « Dans
venu de prendre des mesures décisives,
chercheurs talentueux et d’acteurs clés
l’environnement actuel, la maîtrise des
à tous les niveaux, pour construire notre
de l’industrie digitale : « EBRC s’est en-
données est essentielle. Par exemple,
Europe digitale de confiance ».
09
T E N D A N C E
Propos recueillis par Isabelle Couset, Entreprises Magazine
COVID-19 : LES ENTREPRISES FACE À L’ É P R E U V E D E L A R É S I L I E N C E .
Christophe Ruppert - EBRC
— Qui doit prendre l’initiative de mettre en place un BCP ?
Durant la crise sanitaire, l’absence d’un Business Continuity Plan (Plan de Continuité d’Activité) aura valu à de nombreuses entreprises de se trouver dans une situation – très –inconfortable. Principes clés et bénéfices du BCP : Entretien avec Christophe Ruppert, Business Continuity Management - Practice Lead chez EBRC
2019. En termes simples elle adresse la
Plan (gestion des priorités en fonction
capacité d’une organisation à continuer
de la crise), Risk Mitigation Plan (car-
Il s’agit avant tout d’anticiper et de prépa-
à délivrer ses biens/services avec un
tographie des risques afin de les éviter
rer l’entreprise à préserver son fonction-
niveau acceptable prédéfini sur la base
ou les minimiser), et Restauration Plan
nement en cas de crise avec pour objectif
de l’écoute des signaux faibles. Le BCP
(revenir à ses activités normales sur le
la protection de leur patrimoine : social, et
comprend donc une analyse des risques
site 1er de l’entreprise).
économique. C’est donc une démarche
pour faire face à divers scenarii : pro-
stratégique, sous la responsabilité directe
blèmes IT, absence des collaborateurs,
du CEO. Les enjeux dans certains cas
indisponibilité des bâtiments, rupture de
feriez-vous aux entreprises
sont vitaux, ce qui en fait une composante
fournisseurs critiques… une pandémie. Le
à l’issue de la crise de la
critique pour la direction de l’entreprise.
but du BCP est de prévoir le maintien des
COVID-19 ?
— Quels bénéfices en tire-t-on ?
activités de l’entreprise d’abord en mode
Le BCP agit comme un amortisseur,
dégradé avant le retour à la normale.
il permet d’encaisser les chocs, sans
— Pourriez-vous nous
plus de sérénité pour le CEO et surtout
Notre expérience nous permet d’identifier une dizaine d’axes d’intervention qui
— Quelles recommandations
casse, avec une meilleure sécurité et
vont agir directement sur la performance
donner quelques clés pour
il doit permettre de sortir plus vite de la
de l’entreprise. Plus globalement ils se
initialiser cette démarche de
crise. Ceci étant, nous disposons aussi
résilience ?
de capacité d’intervention rapide. Ces
répartissent en trois grandes familles : établir une réponse adaptée en cas de
Globalement la démarche s’articule
dernières semaines, nos consultants ont
crise, optimiser les processus vitaux,
autour de six étapes définies par la
accompagné plusieurs entreprises dans
garantir le respect de la règlementation
norme ISO 22301 le tout permettant
la création ou l’adaptation de leur plan
métier de l’entreprise. In fine l’exercice
d’établir le BCMS (Business Continuity
et nous sommes déjà sur les scenarii
permet d’optimiser les coûts en adaptant
Management System) adapté à l’entre-
de sortie de crise. Ma recommandation
les réponses à leur juste niveau. Mais il
prise. Nous optimisons l’approche en
sera de tirer les leçons apprises durant
y a mieux, les donneurs d’ordres véri-
la personnalisant sur la base du niveau
la crise et de les mettre à profit pour la
fient la capacité de résilience de leurs
de maturité et de l’activité de l’entre-
création d’un « BCP 2.0 », notre dia-
prestataires de services en exigeant
prise. Nous avons pour cela conçu un
gnostique est gratuit.
la certification ISO 22301 cela en fait
outil d’évaluation rapide. Les bonnes
un avantage concurrentiel et un critère
pratiques liées à la norme comportent
qualitatif de choix.
6 niveaux : Emergency Responsability (préserver l’humain), Disruption Recovery
— Comment définiriez-vous la
Téléchargez le Livre Blanc Cyber-Résilience vers la Cyber-Reliance.
Plan (repli sur site secondaire), Business
norme ISO 22301, élément
Recovery Plan (assurer la continuité des
central de la résilience ?
activités critiques et la communication
La norme ISO 22301 a été mise à jour fin
BESOIN D’EN SAVOIR PLUS ?
interne et externe), Crisis Management
ÉDITION 2020-2021
10
CYBE R-RÉ SIL IE NCE
LA CYBER-RÉSILIENCE
DANS VOTRE ORGANISATION Assurer la continuité de votre business
— LES POINTS CLES DE LA CYBER-RÉSILIENCE : 01 Connaître et respecter le cadre règlementaire : RGPD, NIS, autorités de contrôle (finance, assurance, transport, santé...)
04 Concevoir ou transformer les infrastructures existantes en adoptant une conception intégrant la “Security and privacy by design” : Proxy, Firewall, Anti-virus, Anti-DDoS, Mail security, Sandboxing, IPS/IDS, WAF
05
02
Sensibiliser, former et informer en continu l’ensemble des collaborateurs et les parties prenantes à la Cyber-Résilience
Adopter les standards internationaux pour la gestion des risques et la résilience des activités : ISO 31000, ISO 27001, ISO 27018, ISO 27032, ISO 22301, ISO 22316
06
03 Adopter et/ou imposer à ses fournisseurs de services le niveau de sécurité et de continuité approprié sur la base de certifications : Data Centre Tier IV, PCI DSS, HDS (Hébergeur de Données de Santé), ISO 27001, ISO 22301
Arbitrer sur la capacité de l’entreprise à déployer ces moyens ou opter pour un partenaire en mesure d’accompagner la mise en oeuvre de la Cyber-Résilience : Audit, conseil, Risk Management, continuité d’activités, data centres certifiés, gestion opérationnelle et intégrée de la sécurité (SOC/CERT), gestion des infrastructures IT, programmes de certification...
—
LA
ROUE
DE
DE MMING
11
—
Amélioration continue
PREPARE KEY PEOPLE CEO, CISO, BCM, CRO, DPO ACTIVITIES •B usiness impact analysis •R isk assessment •C yber-Resilience audit •C ompliance & standards •C yber-Resilience strategy •G overnance & policies • Awareness & exercise
RECOVER ADV CERT MS SOC
ADV
KEY PEOPLE CIO, CISO, BCM, CRO ACTIVITIES • Back to normal operations • Forensics • Continuous improvement • Legal • Communication
IDENTIFY KEY PEOPLE CIO, CISO, BCM
ADV CERT
ACTIVITIES • Gap analysis Business/IT • Vulnerability assessment • Penetration test • Technology watch • Vulnerability watch
01
ADV CERT MS SOC
02
07
RESPOND
PROTECT
KEY PEOPLE CEO, CISO, BCM, CRO, DPO ACTIVITIES • Decisional crisis management • Crisis communication • Containment • Remediation • Business continuity
KEY PEOPLE CIO, CISO, BCM
05
A N A LY S E ADV CERT MS SOC
ACTIVITIES • Risk mitigation • Continuity management • Security management • High availability architecture • Data centre availability • Change management
03
06
04
DETECT
KEY PEOPLE CIO, CISO, BCM
KEY PEOPLE CIO, CISO, BCM
ACTIVITIES • Threat analysis • Prioritization • Operational crisis management
ACTIVITIES • Log correlation • Real-time alert • Incident management
ADV CERT MS SOC
ebrc expertise: ADV
: ADVISORY / CERT : COMPUTER EMERGENCY RESPONSE TEAM / MS
: MANAGED SERVICES / SOC
: SECURITY OPERATION CENTER
ÉDITION 2020-2021
ADV CERT MS
12
INNO VATION
Propos recueillis par Alain de Fooz, Solutions Numériques
KUBERNETES...
À LA DEMANDE ET SOUS FORME MANAGÉE En créant KaaS, Kubernetes-as-a-Service, EBRC accélère le rythme de l’innovation au profit du business de l’entreprise. Une solution économique et hautement sécurisée.
P
our les acteurs des
célérer leurs développements jusqu’au
et peuvent ainsi réaliser simplement et
services en ligne, s’adapter
produit final », confirme Yuri Colombi,
de façon permanente les changements
rapidement et innover est
Head of Solutions & Innovation, EBRC.
incrémentiels jugés utiles par leurs clients. « Les entreprises en écoute perma-
devenu essentiel pour
s’assurer la préférence des clients
— SE CONCENTRER SUR LES
nente du comportement de leurs clients,
face à la concurrence. Pour répondre
CHANGEMENTS ET LES
peuvent ainsi y répondre plus vite en
à ces besoins business, les technologies
BESOINS BUSINESS
adaptant leurs offres à la demande »,
relatives aux méthodologies DevOps,
« Rien n’est permanent sauf le chan-
enchaîne Gérard Miceli, Innovation
de type cloud natives, en particulier
gement », affirmait déjà le philosophe
Consultant, EBRC.
Kubernetes, ont vu le jour. Elles
Héraclite d’Ephèse, 500 ans avant JC.
Libérés de nombreuses contraintes liées
fournissent l’automatisation et
Cette affirmation inaltérable illustre le
aux déploiements, tests ainsi que des
l’agilité nécessaires aux équipes
besoin permanent de changement ou
échanges et synchronisation avec les
de développement pour gérer des
d’évolution que l’économie numérique
équipes de production qui vont opérer
applications qu’elles adaptent,
impose aux fournisseurs de services
l’application, les développeurs peuvent
testent et améliorent en permanence
en ligne pour séduire et conserver leurs
se concentrer sur les fonctionnalités
sur la base des besoins émis par les
clients. Désormais il ne s’agit plus comme
attendues et nécessaires au business.
ventes et le marketing pour le business
par le passé de créer des applications
autant que les équipes sécurité pour le
conçues sur cahier des charges avec
volet robustesse.
des mises à jour tous les 18 mois. Les
EFFICACES ET PLUS
Résultat : les entreprises se libèrent des
applications muent en permanence pour
RENTABLES
contraintes des déploiements planifiés
étendre leurs fonctionnalités, améliorer
Dans la pratique, au lieu d’attendre
et à des fréquences très espacées, elles
l’interface utilisateur, corriger une faille
des semaines, voire des mois, juste
peuvent désormais envisager des dé-
de sécurité ou corriger un bug. En cela
pour avoir l’infrastructure dont ils ont
ploiements continus en toute simplicité
Kubernetes accélère les étapes de
besoin, ou du choix des clouds qui
au bénéfice du métier et de la sécurité.
développement et de livraison tout
seront retenus pour faire tourner leurs
Simplifier les mises en production
en fournissant des outils de confi-
applications, les développeurs peuvent
tout en réduisant leurs coûts, tel est
guration permettant de suivre les
désormais disposer rapidement de ces
le principal avantage de la solution
bonnes pratiques. Les développeurs
environnements en self-service.
Kubernetes-as-a-Service. « Notre
bénéficient de cycles de mise à dispo-
La beauté de KaaS réside sur son statut
mission est d’aider nos clients à ac-
sition plus courts, moins contraignants
de plateforme « agnostique » pour le
— DES RESSOURCES PLUS
—
K U B ER NETES . . .
À
LA
D E MANDE
E T
SO US
FO RME
MANAGÉ E
—
13
cloud. Cela signifie qu’une application
nouveaux défis de déploiement. Les
compris les mises à niveau sans temps
peut être utilisée sans modifica-
équipes ont besoin de Kubernetes
d’arrêt, les correctifs et sécurité, etc.
tion tant sur une version de KaaS
en mode as-a-service.
on-premise que sur un KaaS uti-
EBRC déploie, héberge et maintien l’en-
— LES DONNÉES SONT DONC
lisé sur un cloud hyperscale. Elles
semble des composants nécessaires au
STOCKÉES, EN EUROPE,
peuvent aussi croître vite sans avoir
fonctionnement du service Kubernetes
AU LUXEMBOURG
à redéfinir et reconstruire l’infrastruc-
(KaaS). EBRC libère les clients des
Basée sur une distribution Kubernetes
ture à chaque nouveau projet. « Peu
contraintes de support de ce type
certifiée CNCF (Cloud Native Computing
importe l’infrastructure sous-jacente,
de plateforme afin qu’ils puissent
Foundation), Kubernetes-as-a-Service
KaaS fournit un environnement de
se concentrer dans ce qui apporte
est une plate-forme DevOps managée,
gestion focalisé sur le conteneur. Il
de la valeur et de l’innovation à leur
fournie dans une architecture cloud
orchestre les ressources (computing,
développement.
hybride, avec une charge de travail sur
network, storage) sur les workloads
« Les gérer à grande échelle, tout en
site et une infrastructure de contrôle
des utilisateurs, tout en gardant de
assurant la mise à jour en temps oppor-
dans des centres de données luxem-
la portabilité entre les différents four-
tun des nombreux modules associés à
bourgeois certifiés Tier IV. Les données
nisseurs d’infrastructures », complète
Docker et Kubernetes, peut être une
sont donc stockées au Luxembourg.
Gérard Miceli.
lourde tâche sans le soutien d’une ex-
En cela, la solution se distingue des
Indirectement, cette vélocité accrue
pertise globale », note Yuri Colombi.
propositions dans le cloud public.
libérera des ressources. Des pans entiers
De là, l’intérêt du mode managé, qui
« Le client a le choix : le service peut
du portefeuille applicatif pourront être
peut être présenté comme une approche
être géré « on premise », dans un cloud
modernisés plus rapidement et à des
holistique de la gestion des charges de
privé, voire -s’il le souhaite- dans le
coûts moindres. Et favorisera l’innova-
travail conteneurisées. C’est ici que le
cloud public. Rien n’est exclu, assure
tion de l’entreprise en lui permettant
savoir-faire d’EBRC en matière de gestion
Gérard Miceli. Le mode d’exploita-
d’exposer sous forme de composants
des opérations en proposant Kubernetes
tion reste identique : pas de CAPEX,
applicatifs ses services clés.
en mode à la demande répond à ce
uniquement de l’OPEX. Une fois Kubernetes-as-a-Service déployé, les
EBRC DÉPLOIE, HÉBERGE ET MAINTIEN L’ENSEMBLE DES COMPOSANTS NÉCESSAIRES AU FONCTIONNEMENT DU SERVICE KUBERNETES (KAAS).
développeurs n’ont pas à se soucier de l’infrastructure et des configurations sous-jacentes. Les applications auront une portabilité multi-cloud sur les clouds publics et privés. » — ACCÉLÉREZ VOTRE CROISSANCE « Kubernetes-as-a-Service fournit aux équipes DevOps des clients l’autonomie nécessaire pour gérer
besoin. Concrètement, EBRC installe,
leurs pipes CI/CD sans contraintes.
LA DIMENSION
exploite et gère la solution, garantis-
Le mode managé leur permet de se
SUPPLÉMENTAIRE
sant un SLA supérieur à 99,9% avec
concentrer sur ce qui leur est essen-
Toutefois, cette flexibilité conduit à un défi.
un service 24 heures sur 24, 7 jours
tiel en se reposant sur la plateforme
En effet, à mesure que la communauté
sur 7. La prestation inclut également du
EBRC, conclut Yuri Colombi. Les
open source Kubernetes se développe,
conseil, notamment des bonnes pratiques
clients peuvent se concentrer sur
de nombreuses équipes DevOps doivent
sur l’utilisation des fonctionnalités de
leur métier et leur innovation, EBRC
créer des processus plus rationalisés
Kubernetes. Toutes les opérations quo-
assure la disponibilité et l’évolution de
et automatisés capables de relever de
tidiennes sont ainsi prises en charge -y
la plateforme KaaS. »
— LE ‘AS-A-SERVICE’,
ÉDITION 2020-2021
14
ENQUÊTE
SUR L’UTILISATION DU CLOUD AU LUXEMBOURG — 1. Adoption du cloud au Luxembourg 2020 Taux de pénétration dans l’IT des entreprises
Taux de pénétration du cloud sur le marché
ACTUEL
À COURT TERME
70% utilisent le cloud 25% prévoient d’utiliser le cloud
32%
5% n’utilisent pas le cloud
Déjà 32% de l’IT des entreprises est opéré dans le cloud et devrait rapidement atteindre 50%
95% utilisent ou prévoient l’utilisation du cloud
Un sujet perçu comme stratégique pour les CEO
Les CEO s’engagent fortement dans les décisions sur le cloud
51%
45-50%
Classement des plateformes privées ou publiques les plus utilisées par les entreprises (3 réponses possibles par répondant)
70%
36%
26% 26%
Microsoft Azure devance VMware, AWS et Google Cloud dans les plateformes les plus utilisées
— 2. Motivations à la mise en œuvre d’un projet cloud Objectifs principaux
Evaluation de l’atteinte des objectifs de flexibilité, mobilité et de réduction des coûts
Flexibilité
95%
71% 24%
Flexibilité
Stratégie de mobilité
Réduction des coûts
Stratégie de mobilité
86%
64% 22%
71%
77%
51%
65,71%
68,57%
42,86%
8,57%
5,71%
8,57%
Satisfait Réduction des coûts
80%
Très important
16% 64%
Dépasse les espérances
Important
Les entreprises visent la flexibilité, la mobilité et une réduction des coûts comme objectifs dans leurs projets
Les entreprises estiment être très satisfaites principalement pour la flexibilité et la stratégie de mobilité mais sont plus nuancées pour la réduction des coûts
15
— 3. Retours d’expériences Un taux de satisfaction médian plutôt élevé à 67,5%
La performance, le critère le plus évident à mesurer
- stratégie de mobilité 77,2%
Néanmoins
85%
60%
- haute disponibilité 77% - flexibilité 72% - sécurité des données 60% - réduction des coûts 51% RÉPONSES Satisfait ou dépasse leurs espérances
60% des entreprises estiment simple de démontrer des gains de performances dans un projet cloud
85% des entreprises estiment difficile ou complexe de - sécuriser l’architecture - respecter les exigences règlementaires
— 4. Critères de sélection d’un CSP (Cloud Service Provider) Certifications
Data Centre certifié et national
Environ 55% des entreprises
55% des entreprises
considèrent la certification Tier IV du Data Centre et une localisation au Luxembourg comme critères importants pour le choix d’un cloud public
estiment déterminantes les normes ISO 27001, ISO 22301 et ISO 27018 dans le choix de leur CSP, ce taux grimpe entre 70 et 90% si on ajoute les acteurs qui les considèrent comme « moyennement important » Analyse de risques
Autres critères
66% des entreprises s’appuient sur une analyse de risques avant de réaliser leur projet
60%
pour 60% des entreprises il est déterminant de s’assurer - du non-verrouillage contractuel (lock-in) - de la notoriété du CSP
— 5. Tendances et évolutions en cours DevOps
Cloud hybride
40-45% des entreprises ont adopté les méthodes de développement agile et la containerisation, 20% en envisagent l’adoption
50% des entreprises utilisent une architecture de cloud hybride
ÉDITION 2020-2021
16
— 6. Principaux freins au déploiement du cloud hybride
— 7. Tendances et évolutions en cours
Manque de compétences
44% estiment qu’il existe un manque de compétences en interne 30% relèvent un manque de compétences chez leur prestataire de service IT Complexité
90% des entreprises souhaitent un cloud souverain, car elles estiment que c’est
40% des entreprises estiment que le cloud hybride reste complexe à maîtriser
- une nécessité pour l’Europe (55%) - une alternative souhaitable à offrir aux entreprises (25%) - un changement incontournable pour garantir la protection des données (10%)
Synthèse • Forte percée du cloud dans les entreprises et organisations du Luxembourg, en particulier vers MS-Azure qui distancie VMware, AWS et Google Cloud • La réduction des coûts (80%), la flexibilité (95%) et la mise en place d’une stratégie de mobilité (86%) sont les véritables motivations pour migrer • Les améliorations en termes de flexibilité, performances, haute disponibilité et mobilité sont bien au rendez-vous • En revanche, la satisfaction exprimée est plus nuancée, surtout en termes de coûts, de sécurité et de conformité règlementaire • Les contrats et les offres tarifaires des prestataires cloud restent difficiles à interpréter et à comparer • Les offres cloud privé rassurent davantage que les offres cloud public • Une pénurie de compétences (temporaire ?) freine le développement et le déploiement d’applications cloud professionnelles • Un cloud public européen (souverain et respectueux de la vie privée) et une analyse préalable des risques conditionnent une adoption plus massive
Cette étude a été conduite par EBRC et Farvest ITone, au Luxembourg sur les mois d’avril et mai 2020 auprès de décideurs de 65 entreprises
17
S T R AT É G I E
Propos recueillis par Alexandre Keilmann, Farvest
LA SÉCURITÉ DES DATA CENTRES ET LA DISPONIBILITÉ DE L’INFORMATION
SONT AU CŒUR DE LA STRATÉGIE D’EBRC
Rencontre avec Bruno Fery (Head of Data Centre Services, EBRC). Cet expert chevronné nous en dit plus sur l’évolution des Data Centres et nous décrit le caractère unique d’EBRC et des services que la société fournit dans le monde entier. Il partage avec nous ses réflexions sur l’avenir des centres de données, notamment en ce qui concerne la RSE et les bonnes pratiques de durabilité préconisées par EBRC.
— UN PARTENAIRE
HDS (Hébergeur de Données de Santé),
à la gestion et l’efficacité énergétique.
STRATÉGIQUE SITUÉ
PCI DSS (Certification des paiements),
« Toutes ces certifications nous per-
AU CŒUR DE L’EUROPE
E
et autres, la société luxembourgeoise
mettent de répondre aux besoins de nos
BRC est un acteur historique
est devenue un partenaire stratégique
clients, qu’il s’agisse de continuité des
dans le domaine des Data
pour les entreprises effectuant des
activités, de sécurité de leur environne-
Centres en Europe et a été
transactions critiques ou exploitant des
ment ou, bien sûr, de durabilité. En effet,
l’une des premières sociétés
informations sensibles dans le secteur
la durabilité est l’une des principales
informatiques au monde à posséder et
de la santé, le monde de la finance,
valeurs ‘EARTH’ d’EBRC : Excellence,
gérer trois Data Centres Tier IV, certifiés
ainsi que dans plusieurs autres secteurs.
Agility, Responsibility, Trust, Human
par l’Uptime Institute. « Nos trois
Grâce à ses certifications ISO, EBRC as-
(Excellence, Agilité, Responsabilité,
Data Centres Tier IV, combinés à nos
sure la gestion de la qualité (ISO 9001),
Confiance, Humain). Nos clients bé-
multiples certifications internationales
gère également les impacts environ-
néficient clairement de notre engage-
et à nos services innovants, sont ce qui
nementaux immédiats et à long terme
ment à protéger l’environnement par
rend EBRC unique dans le paysage
de ses produits, services et processus
une gestion efficace de l’énergie et à
des TIC », explique d’abord Bruno
(ISO 14001), et effectue le suivi des
réduire leur empreinte carbone », sou-
Fery. La certification Tier IV garantit
processus de gestion pour fournir des
ligne le Head of Data Centre Services.
une disponibilité de 99,995%, ce
services informatiques plus efficaces
Ces certifications ajoutent une plus
qui représente moins de 26 minutes
(ISO 20000). EBRC est également spé-
grande valeur aux services fournis par
cumulées d’interruption de service par
cialisé dans la Cyber-Résilience, grâce
EBRC, avec une structure cohérente
an. Mais en réalité, les Data Centres
à la norme ISO 22301 (continuité des
et des audits annuels réalisés par des
exploités par EBRC n’ont jamais connu
activités) et possède la certification
sociétés externes. « Associées à notre
d’interruption de service depuis l’an 2000,
ISO 27001 (sécurité de l’information).
capital humain, ces certifications nous
ce qui signifie une disponibilité de 100%.
De plus, la société détient également la
permettent de gérer des données et des
De plus, et grâce à ses certifications ISO,
certification ISO 50001, norme relative
informations sensibles, en garantissant
ÉDITION 2020-2021
18
des niveaux élevés de disponibilité,
gamme complète de services de conseil,
activités connexes ont profondément
d’intégrité et de confidentialité », ajoute
EBRC a souvent démontré sa valeur
évolué. A l’époque, on parlait surtout
Bruno Fery.
significative sur toute la chaîne de valeur
de gestion des installations alors que
Au fil des ans, EBRC a su se position-
numérique, aidant finalement ses clients
l’on parle aujourd’hui de gestion opé-
ner en tant que partenaire stratégique,
à améliorer la qualité de leurs services
rationnelle des Data Centres », ajoute
travaillant main dans la main avec des
et de leurs produits. Dernièrement,
Bruno Fery en décrivant les experts
acteurs internationaux ayant les plus
EBRC a participé au projet Gaia-X,
Data Centre d’EBRC. Les membres
hautes exigences et les plus grands
mené conjointement par la France et
des équipes suivent souvent des cours
besoins en termes de disponibilité et
l’Allemagne, qui vise à développer
pour développer leurs compétences et
de continuité des activités. « Ces der-
des exigences communes pour une
même pour se recycler si nécessaire,
nières années, les clients demandent
infrastructure de données européenne.
la plupart d’entre eux étant aujourd’hui
des services flexibles tels qu’un cloud
Bruno Fery souligne également le
les fiers détenteurs d’accréditations et
hybride et des managed services, qui
fait que le Luxembourg possède la
de certifications individuelles. Comme le souligne l’expert, « cette stratégie de
AU COURS DES 10 OU 12 DERNIÈRES ANNÉES, LA GESTION DES DATA CENTRES ET SES ACTIVITÉS CONNEXES ONT PROFONDÉMENT ÉVOLUÉ. A L’ÉPOQUE, ON PARLAIT SURTOUT DE GESTION DES INSTALLATIONS ALORS QUE L’ON PARLE AUJOURD’HUI DE GESTION OPÉRATIONNELLE DES DATA CENTRES.
certification des personnes a débuté en 2010 et notre département de services Data Centre compte actuellement quatre concepteurs Tier et deux experts certifiés dans la gestion des opérations, des processus et des fournisseurs de services ». D’autres sont certifiés par CNet (Data Center Design Professional, Data Center Energy Professional) ou TIA 942, tous les membres de l’équipe suivant des cours de formation ITIL sur
sont maintenant fournis par EBRC
plus forte concentration de centres de
la gestion d’incidents, du changement
et ajoutent une valeur significative à
données Tier IV au monde. Comme le
de manière à être en mesure de com-
notre offre globale. La combinaison
souligne l’expert, « le Grand-Duché
muniquer efficacement avec les clients.
de ces services et de l’expertise et des
est stratégiquement situé au cœur de
Chaque année, les compétences sont
connaissances de notre Data Centre
l’Europe, avec une connexion par fibre
mesurées et évaluées grâce à un plan
donne à EBRC un avantage concurren-
optique qui le relie aux principales villes
de développement personnel prenant en
tiel grâce à un portefeuille plus large »,
européennes, permettant le dévelop-
compte les souhaits des experts et les
commente le Head of Data Centre. Au
pement d’activités transfrontalières,
besoins du département Data Centre au
cours des derniers mois, le concept de
une connectivité à faible latence… ».
sein d’EBRC. « Un programme de forma-
résilience a été largement utilisé : EBRC
L’environnement réglementaire per-
tion est ensuite défini : nous préconisons
en fait la promotion depuis près de 20
met le développement d’entreprises
la formation et le développement, qu’il
ans, faisant de la « résilience » et de la
et d’activités dans un cadre exigeant
s’agisse de compétences techniques ou
« Cyber-Résilience » deux des princi-
mais en même temps carré et sûr. Le
de soft skills. Les certifications apportent
pales composantes de son ADN. Alors
Luxembourg dispose de talents qua-
une valeur ajoutée, notamment en ce
que l’économie numérique continue de
lifiés, avec une expertise unique et des
qui concerne notre offre de services de
croître et de se développer, la qualité et
compétences multilingues.
conseil », explique Bruno Fery.
— UNE ÉQUIPE D’EXPERTS
— LA DURABILITÉ AU CENTRE
la disponibilité des infrastructures restent d’autant plus importantes. En couvrant des services allant des Data Centres
CHEVRONNÉS ET CERTIFIÉS
aux diverses offres cloud, y compris
« Au cours des 10 ou 12 dernières an-
le cloud hybride, et en fournissant une
nées, la gestion des Data Centres et ses
DE LA STRATÉGIE GLOBALE D’EBRC Comme expliqué précédemment, la
19
Bruno Fery Head of Data Centre Services - EBRC
RSE est un élément clé de la stratégie
nique qui s’intéresse notamment aux
autres initiatives locales et internationales
globale d’EBRC. En 2010, la société
derniers enregistrements européens
visant à réduire l’empreinte carbone
a également été l’une des premières
et objectifs à l’horizon 2030 et 2050. Il
et à améliorer l’efficacité énergétique.
entreprises luxembourgeoises à obte-
ajoute : « dans 30 ans, nous visons à
L’entreprise participe notamment à un
nir le « label RSE » délivré par l’INDR
atteindre la neutralité carbone, ce qui
projet mené par la FEDIL et le Ministère
(Institut National pour le Développement
signifie atteindre un équilibre entre les
de l’Environnement du Luxembourg
Durable et la RSE), et participe au rapport
émissions de carbone et l’absorption
qui visait une diminution de 14 % de
annuel du groupe POST qui consolide
du carbone de l’atmosphère dans des
l’empreinte carbone entre 2010 et 2020.
des résultats financiers et non financiers.
puits de carbone. Il s’agit de l’une des
Au niveau européen, EBRC participe ac-
« A travers ces actions, et notamment
principales initiatives visant à limiter le
tivement à l’initiative « Code of Conduct
en ce qui concerne nos Data Centres,
réchauffement climatique à 1,5 degré
Europe » et produit donc un rapport
notre principale préoccupation est la
Celsius ».
annuel, en mettant l’accent sur les résul-
protection de l’environnement et nous
« A cet égard, nous menons une dis-
tats obtenus et les actions entreprises.
travaillons donc en permanence à l’amé-
cussion autour de l’avenir des Data
Grâce à son approche globale - qui met
lioration de la gestion de l’énergie et
Centres : Comment les concevoir ?
l’accent sur la durabilité, la résilience, la
de la consommation », souligne Bruno
Comment les exploiter ? Quelles sont
sécurité et la disponibilité -, EBRC est
Fery. Il poursuit : « Nous travaillons
les normes requises ? Qu’en est-il des
devenu un partenaire stratégique pour
quotidiennement sur ces questions et
certifications ISO ? » demande l’expert.
les entreprises en quête de flexibilité,
nous sommes régulièrement audités.
De nombreux acteurs de l’industrie se
d’agilité et d’innovation en matière de
Nous avons décidé de mettre en œuvre
réunissent pour définir ce à quoi pour-
solutions numériques. Des services
les technologies les plus récentes - et
raient ressembler les futurs Data Centres
Data Centres et des offres de cloud
les plus efficaces -, de disposer d’un
dans les prochaines années et comment
multiples aux managed services primés,
système de refroidissement Kyoto… Cela
ils pourraient fonctionner : « Plusieurs
en passant par la cybersécurité et le
s’inscrit dans nos processus d’amélio-
acteurs discutent, échangent et ex-
tout nouveau « Trusted IT Services
ration constante ».
plorent les Data Centres du futur. Même
on Demand », la société « spécialisée
L’entreprise fondée en 2000 est égale-
s’ils sont concurrents, ils travaillent tous
dans la gestion et la protection des
ment membre fondateur et membre du
vers un objectif commun qui est celui
informations sensibles » fournit à ses
conseil d’administration de l’EUDCA
de réduire l’empreinte globale et donc
clients les solutions les plus efficaces
- European Data Centre Association.
de protéger l’environnement ». EBRC
tout en travaillant constamment à la
Bruno Fery participe au comité tech-
est actuellement engagé dans plusieurs
réduction de son empreinte carbone.
ÉDITION 2020-2021
20
P R OGRAMME
PARTE NAIRE S
Propos recueillis par Stéphane Etienne, Hypallages
EBRC ET L’UNIVERSITÉ DE STRASBOURG :
PARTENARIAT GAGNANT
Une très haute disponibilité de service, 120 racks informatiques pouvant accueillir jusqu’à 5000 serveurs, une surface utile de 450 m2 : le Data Centre de l’Université de Strasbourg est le fruit d’un ambitieux projet initié en 2013. Opérationnelle depuis novembre 2019, cette infrastructure à la pointe de la technologie a pour objectif de mettre à disposition de l’université et de ses partenaires institutionnels et académiques un lieu d’hébergement unique pour leurs équipements et leurs données informatiques. Pour concevoir et réaliser cet espace de haute technicité, la Direction du patrimoine immobilier et la Direction du numérique ont fait appel à EBRC. Romaric David, responsable du Data Centre de l’Université de Strasbourg, retrace le parcours de ce partenariat couronné de ce succès. — UN PARTENARIAT NOUÉ DÈS LES PRÉMICES DU PROJET
C
millier de détails et nous ne disposions pas d’une expérience suffisante dans ce domaine. EBRC nous a tout de suite
omme il s’agissait d’un projet de grande
impressionnés par le professionnalisme de ses équipes et
ampleur et qu’il restera probablement unique,
ses multiples certifications. Elle est notamment la seule au
l’Université de Strasbourg a voulu mettre toutes
monde à compter trois Data Centres Tier IV certifiés par
les chances de son côté et s’adjoindre les
l’Uptime Institute. Pour nous, c’était indubitablement un
conseils d’un expert en matière de Data Centres. « Il nous
gage de qualité. »
fallait un partenaire affichant à la fois des certifications et des
« EBRC a été associé pratiquement dès le début au pro-
références concrètes à même de nous apporter un retour
jet qui s’est déroulé en deux étapes. Dans la phase de
pratique. Pour qu’un projet réussisse, il faut être attentif à un
construction, la société a accompagné la Direction du patri-
— E B R C E T L’ U N I V E R S I T É D E S T R A S B O U R G : PA R T E N A R I AT G A G N A N T —
21
moine immobilier en tant qu’assistant au maître d’ouvrage.
PUE (Power Usage Effectiveness) de 1,25. La Commission
Concrètement, EBRC a aidé à concevoir et à réaliser le
européenne a également validé que notre Data Centre
projet. Elle a ensuite participé à la phase d’urbanisation qui
répondait aux critères du « Code of Conduct » (Code de
était pilotée par la Direction du numérique. Sa méthodologie
Conduite) en matière d’efficacité énergétique avec 190
et son haut degré d’exigence nous ont permis de vérifier
critères respectés sur les 200 contrôles ce qui lui a valu de
que toutes les fonctionnalités prévues dans le cahier des
recevoir à ce titre un Award du Code of Conduct au niveau
charges étaient présentes et en parfait état de marche. »
européen en 2019. Cette distinction, nous l’avons obtenue grâce à la double innovation du confinement des flux d’airs chauds et froids
NOTRE DATA CENTRE EST L’UN DES PLUS VERTUEUX EN TERME D’EFFICIENCE ÉNERGÉTIQUE EN FRANCE.
pour les racks dans les salles informatiques, combinée à la géothermie utilisée pour les échanges caloriques. A cet effet, deux puits ont été forés pour capter l’eau de la nappe phréatique située en dessous du bâtiment afin de refroidir le Data Centre. Les calories issues du fonctionnement des équipements IT sont récupérées par pompe à chaleur et permettent de chauffer une partie du campus optimisant ainsi l’utilisation de l’énergie et réduisant d’autant l’empreinte carbone. » — AU FINAL, UNE RÉUSSITE TOTALE
— UN DATA CENTRE SÉCURISÉ, REDONDANT, PUISSANT ET VERT
Aujourd’hui, après seulement quelques mois d’exploitation, nous engrangeons déjà des retombées positives. Notre
Après six années de travail intenses, nous sommes plus que
site va bientôt faire partie des Data Centres régionaux de
satisfaits du résultat. Sans être officiellement certifié, notre
l’enseignement supérieur et de la recherche en voie d’être
Data Centre s’aligne sur les normes internationales les plus
labellisés. Nous recevons de nombreuses demandes d’hé-
élevées, que ce soit en matière de sécurité, de redondance
bergement, non seulement de la part du monde enseignant
ou de résilience. Le contrôle d’accès est entièrement sécurisé
et de la recherche qui est notre principal cœur de cible mais
et tous les équipements sont dupliqués tel que défini dans
aussi des hôpitaux universitaires, des écoles d’ingénieurs
le niveau Tier III de l’Uptime Institute permettant d’atteindre
d’Alsace ainsi que du privé. L’intérêt de ce dernier secteur
moins de 1,6 heure d’indisponibilité par an. Outre son énorme
est la meilleure preuve que notre Data Centre est au final
capacité d’hébergement, notre Data Centre a la particularité
une réussite issue en particulier de notre partenariat avec
d’avoir une densité électrique supérieure à la moyenne. Il
EBRC.
est alimenté par deux postes de transformation totalement indépendants l’un de l’autre. Il dispose d’une puissance de 1,2 mégawatt, soit une moyenne de 10kW par baie informatique avec un pic pouvant aller jusqu’à 25-30 kW pour certaines d’entre elles. Nos unités de recherche au sein de l’université disposent ainsi des capacités nécessaires pour un centre de calcul à hautes performances (HPC), particulièrement gourmand en énergie. Ce dispositif électrique, complété par des onduleurs à très haut rendement et deux groupes électrogènes immédiatement opérationnels en cas de besoin, était indispensable. « Une autre valeur ajoutée du projet est son accent mis sur l’écoresponsabilité. Notre Data Centre est l’un des plus ver-
Crédit photo : Université de Strasbourg
tueux en terme d’efficience énergétique en France avec un
ÉDITION 2020-2021
22
PR OGRAMME
PARTE NAIRE S
Christophe Bourbier CEO - Limonetik Crédit photo : Limonetik
Propos recueillis par Stéphane Etienne, Hypallages
LIMONETIK,
UNE RÉFÉRENCE DANS LE MONDE DU PAIEMENT DIGITAL Depuis quelques années, l’industrie du paiement connaît une profonde mutation. Les services en ligne ayant recours à la transaction électronique, instantanée et internationale, en ont largement développé l’usage. Le paiement en espèces laisse progressivement la place à une multitude de moyens de paiement virtuels. Mais plus l’expérience de paiement deviendra simple et intégrée pour les clients, plus les tâches de vérification et de gestion en back-office deviendront complexes. La société française Limonetik en a fait sa spécialité et propose de simplifier les processus des services de paiement de façon rationnelle. Rencontre avec son cofondateur et CEO, Christophe Bourbier, client chez EBRC depuis 2012.
— L I M O N E T I K , U N E R É F É R E N C E D A N S L E M O N D E D U PA I E M E N T D I G I TA L —
— Quels sont, selon vous, les principaux enjeux auxquels
commerciales qui lui sont propres. Bref,
avons tout de suite trouvé un terrain
un véritable casse-tête !
d’entente. Ils ont été directs, concrets
est actuellement confrontée l’industrie du paiement ?
23
et proactifs. Ils nous ont rassurés et ont — Quelle solution apportez-
su nous accompagner dans des choix
Cette industrie s’est considérablement
vous pour répondre à cette
ou des négociations difficiles. Le fait
internationalisée et complexifiée. Pour
complexification croissante ?
qu’ils travaillent avec de nombreuses
illustrer mon propos, je vais vous donner
Nous sommes une des rares plateformes
institutions financières et qu’ils disposent
un simple exemple. Imaginons une tou-
de paiement à proposer une solution full
de la certification PCI DSS (Payment
riste chinoise qui achète un sac de luxe
service à la demande. Nous offrons un
Card Industry Data Security Standard
dans une grande enseigne parisienne et
accès à 185 – bientôt 250 – moyens de
ou Norme de Sécurité de l’Industrie des
le paie avec son portefeuille électronique.
paiement à travers le monde, que ce soit
Cartes de Paiement) a également été
Pour la cliente, l’opération est facile. Il
en Inde, aux États-Unis, en Afrique du
un argument décisif pour nous.
lui suffit d’afficher le QR code sur son
Sud ou en Europe. Via une API unique,
Avec le temps, notre partenariat s’est
smartphone et de le faire scanner par la
nous proposons des services avancés
solidifié et même amplifié suite à notre
caissière. Par contre, dans les coulisses,
qui vont du simple traitement à la col-
volonté en 2018 de mettre en place
l’opération est un peu plus délicate à
lecte des fonds et à la réconciliation des
une politique RSE ambitieuse au sein
gérer. L’argent va transiter d’un compte
opérations financières en passant par
de notre entreprise. Nous avons en
chinois à celui du magasin à Paris avec,
la conversion de devises, les rapports
effet eu l’agréable surprise de constater
au passage, des frais prélevés notam-
détaillés des transactions, la répartition
que EBRC répondait à 100% à notre
ment par la société de paiement mobile.
des règlements d’un nombre illimité de
cahier des charges environnemental.
Aujourd’hui, plus de 30% des transac-
vendeurs et le calcul des commissions.
EBRC alimente ses cinq Data Centres
tions mobiles sont transfrontalières. Et
Nous contrôlons également l’identité des
avec une énergie entièrement verte,
contrairement à ce que l’on pourrait
tous les interlocuteurs et garantissons
émanant de l’éolien ou de l’hydrau-
croire, les cartes bancaires n’ont plus
la conformité à la réglementation perti-
lique et a investi fortement dans des
le monopole. Environ trois quarts des
nente. Pour résumer, nous faisons en
solutions d’optimisation énergétique
transactions en ligne se font à présent
sorte que les paiements internationaux
(Roues de Kyoto, pompes à chaleur,
avec des moyens de paiement alternatifs
deviennent un jeu d’enfant pour tous
free cooling, couloirs froids…) ce qui
comme AliPay, WeChat Pay, Apple Pay
nos clients et partenaires.
réduit la consommation d’énergie et
ou encore Google Pay pour ne citer que
Grâce à ce positionnement, l’un des plus
lui permet d’épargner plus de 10.000
les plus connus. Au total, il existe plus
disruptifs sur le marché du paiement,
tonnes de CO2 par an.
de 300 moyens de paiement différents
nous avons pu signer des contrats ma-
Enfin, ce qui nous conforte aussi dans
dans le monde. Par conséquent les deux
jeurs avec les plus grands PSP inter-
notre décision de rester chez eux, c’est
tendances – paiements transfrontaliers et
nationaux et des marketplaces BtoB.
leur imposante capacité de produc-
multiplication des moyens de paiement
Les transactions que nous gérons ont
tion et de stockage. Nos volumes de
– s’intensifieront dans les années à venir.
augmenté de près de 70% par an sur
transactions ont augmenté de manière
Cette évolution touche tous les acteurs
ces trois dernières années.
exponentielle ces dernières années et
de la chaîne de valeur : prestataires de services de paiement (PSP), com-
toutes nos données sont hébergées chez — EBRC est votre partenaire
eux. Aujourd’hui, nous en sommes à 1,5
merçants, marketplaces, acquéreurs,
depuis plus de 8 ans.
milliard d’euros de transactions par an
compagnies aériennes et industriels
Qu’est-ce qui vous a séduit
et nous comptons bien atteindre les 2
du tourisme. Ils sont et seront de plus
chez EBRC et pourquoi
milliards d’ici la fin de cette année. Nous
en plus amenés à gérer quasiment de
continuez-vous à lui faire
sommes devenus un client important
manière instantanée des flux d’argent
confiance ?
pour EBRC et nous espérons bien le
provenant du monde entier et réalisés
Plus que l’exceptionnelle qualité des
devenir davantage dans le futur. Ce
avec de nombreux moyens de paiement,
infrastructures d’EBRC, c’est l’exper-
sera pour nous la meilleure preuve de
chacun d’entre eux étant doté de règles
tise des hommes avec lesquels nous
notre succès !
ÉDITION 2020-2021
24
P R O G R A M M E PA RT E N A I R E S
Jacques Pütz CEO - LUXHUB Yves Reding CEO - EBRC
Propos recueillis par Juliette Paoli, Solutions Numériques
OPENBANKING LUXHUB :
DE DSP2 À LA MARKETPLACE DE SERVICES FINANCIERS La startup LUXHUB propose des services pour aider les banques et autres services de paiement électronique à se conformer aux exigences de la directive européenne sur les services de paiement, alias DPS2, mais aussi des moyens de connecter les institutions bancaires et les FinTech via des API sécurisées.
L
UXHUB doit sa création à une initiative portée
Les banques sont ainsi devenues des service providers, un
conjointement par quatre grandes banques
métier qu’elles ne maîtrisent pas », explique Jacques Pütz,
luxembourgeoises (BCEE, BGL BNP Paribas,
CEO de LUXHUB. Elles doivent composer avec un lourd hé-
BANQUE RAIFFEISEN et POST Luxembourg) qui
ritage informatique et une mise en œuvre lente des stratégies.
ont uni leurs forces pour répondre à une nouvelle obligation réglementaire, la directive européenne sur les services de
— LA MISE EN CONFORMITÉ SIMPLIFIÉE
paiement, plus connue sous le nom de DSP2.
Cette startup, née en 2018, a réussi « dans un temps record »,
Rappelons que la DSP2 s’appuie notamment sur ce sujet ma-
en moins de 12 mois, à mettre à la disposition de l’écosystème
jeur : la communication sécurisée entre les banques et les Third
financier et numérique une plateforme qu’elle a développée,
Party Providers (TPP), que sont les agrégateurs de comptes et
securisée « by design », qui est destinée justement à aider les
initiateurs de paiement, Les banques ont dû trouver un moyen
banques – pas seulement les 4 à l’origine de sa création – et
de mettre en place un système de partage des informations
les établissements de monnaie électronique à se mettre en
qu’elles détiennent concernant les données de paiement des
conformité avec les exigences de cette nouvelle réglementa-
clients, à destination des TPP, et cela de manière sécurisée.
tion. « On ouvre cette plateforme à d’autres entités pour les
« Dans ce contexte, les banques ont la même obligation lé-
aider à être en conformité. » La startup est ainsi aujourd’hui
gale d’exposer des interfaces techniques permettant à des
active dans 10 pays et œuvre pour 38 banques. Son premier
tiers de se connecter avec le consentement du client final.
atout est évident, résumé en cette phrase par le dirigeant :
—
OP ENB A NKI NG LUXHUB : DE DSP2 À L A MARK E T PL AC E D E SE RV I C E S F I N AN C I E RS —
25
« On comprend nos clients ». Son deuxième atout ne l’est
différentes, et dont la moyenne d’âge de 41 ans révèle toute
pas moins : « Nous sommes audités, hautement sécurisés et
l’expérience. L’entreprise compte 38 clients et gère 2,5 mil-
surveillés par les régulateurs. »
lions de comptes. Elle est présente dans 10 pays d’Europe.
La plateforme n’est, de fait, évidemment pas exposée dans le Cloud public, mais est hébergée par l’opérateur européen de
— GÉRER LA CROISSANCE
services IT, d’origine luxembourgeoise, EBRC, dans son Trusted
Son plus grand défi est aujourd’hui de bien gérer sa crois-
Cloud Europe. Le choix d’EBRC se justifie « parce que c’est un
sance, estime Jacques Pütz, le CEO. Une croissance
Tier IV » et qu’il offre « un environnement hautement sécurisé. »
dans l’Europe, qui bénéficie de cette DSP2, réglementation unique, qui s’avère, au-delà de la contrainte, un moteur de
— UNE API UNIQUE ET UNE MARKETPLACE Si la startup LUXHUB propose des services pour aider les
croissance. Une chose est sûre : fondée par quatre banques, « elle ne sera pas revendue au premier qui met de l’argent sur la table », ce qui la rend très différente d’autres FinTechs.
banques et autres services de paiement électronique à se conformer aux exigences de DSP2, elle offre aussi des moyens de connecter les institutions bancaires et les FinTech via des
— EBRC, DES GARANTIES DE SÉCURITÉ ET DE RÉSILIENCE
API sécurisées.
« Lorsqu’il s’est agi de mettre en place les infrastructures
« Nous avons ajouté des services à valeur ajoutée autour de
sur lesquelles développer nos activités, nous avons choisi
cette plateforme », explique le dirigeant. LUXHUB One est
EBRC, témoigne Claude Meurisse, COO de LUXHUB. Nous
une couche d’intégration donnant accès à n’importe quelle
avons fait ce choix pour diverses raisons, notamment pour
banque via une API unique, alors que les interfaces des
l’implantation d’EBRC au Luxembourg qui répond aux exi-
banques mises à disposition sont complètement hétérogènes,
gences d’hébergement local des données de certains clients,
sans standardisation. Les établissements de crédit et les tiers
comme les banques privées, mais aussi pour les garanties
peuvent ainsi regrouper de grands nombres de comptes de
de sécurité et de résilience offertes par un Professionnel du
paiement via cette API standardisée.
Secteur Financier spécialisé dans la gestion de l’information
LUXHUB va aussi lancer sa marketplace, sa propre place
sensible. D’autres facteurs ont encore joué, comme le fait
de marché, sorte d’« Amazon des services financiers », en
que la société est active depuis de nombreuses années,
réutilisant la plateforme mise en place. « Le banquier peut se
ce qui est un gage de stabilité, ou encore les nombreuses
connecter et utiliser les services de différents prestataires ».
certifications détenues par EBRC ».
Les banques pourront ainsi consulter un catalogue de so-
« J’ai été particulièrement impressionné par l’organisation
ciétés FinTechs et RegTechs et expérimenter leurs services.
et la structuration dont ont fait preuve les équipes d’EBRC
L’avantage : une seule connexion et une sécurisation standard.
pendant la mise en place du projet », ajoute Jacques Pütz,
LUXHUB Marketplace vise ainsi à devenir un guichet unique
CEO de LUXHUB. « Comme tout projet, le nôtre a connu
de l’API pour l’écosystème financier européen.
des déviations et des changements, nuance-t-il, mais les
D’ailleurs, LUXHUB organise des « Open Banking Party »
consultants d’EBRC ont fait preuve de beaucoup de flexi-
mettant en relation les banques et les fournisseurs tiers.
bilité et d’un grand sens de l’écoute. Tout au long du projet,
Deux événements ont déjà été organisés au Luxembourg
nous avons pu délivrer aux dates attendues. »
et la startup compte reproduire bientôt l’expérience à Paris.
EBRC apporte la capacité de pouvoir monter en charge facilement, une scalabilité et une agilité qui permet à LUXHUB
— UNE STARTUP DEUX FOIS RÉCOMPENSÉE
d’envisager de nouveaux services, en s’appuyant notam-
En juin 2019, LUXHUB a été classée au deuxième rang
ment sur l’offre Kubernetes-as-a-Service d’EBRC et sur
européen des hubs d’open banking selon la société Innopay,
l’outillage de sécurité qui l’accompagne. La sécurité est une
dans le cadre de la conférence annuelle de l’Euro Banking
composante majeure des produits et services de LUXHUB
Association. Et en septembre, elle a rejoint la liste du RegTech
et la startup peut compter sur EBRC et sur son approche
100, un classement mondial des 100 Regtechs les plus
DevSecOps qui intègre la sécurité by design. Les certifications
innovantes. Une belle reconnaissance pour une startup
que détient EBRC, l’ISO 27001 en particulier, sont également
forte de 24 collaborateurs, composée de 11 nationalités
de précieux atouts pour l’entreprise et pour ses clients.
ÉDITION 2020-2021
26
P R OGRAMME
PARTE NAIRE S
Eric Mouilleron Fondateur et CEO BANKABLE Propos recueillis par Michaël Renotte, Youneek
BANKABLE S’APPUIE SUR EBRC
POUR SON DÉVELOPPEMENT INTERNATIONAL La FinTech britannique Bankable, dont la plateforme de Banking-as-a-Service est hébergée dans les Data Centres Tier IV d’EBRC, a conclu un partenariat stratégique avec le géant des systèmes de paiement Visa. Eric Mouilleron, fondateur et CEO de la société, nous présente les raisons de ce succès et dévoile les ambitions de l’entreprise.
B
ankable est un concepteur de services de
que d’émission et de gestion de cartes. « En conséquence,
paiements innovants et un fournisseur de solutions
six mois après nous avoir attribué le contrat, MoneYou a
de Banking-as-a-Service (BaaS). Sa plateforme
été en mesure de déployer son nouveau service sur deux
de gestion de comptes et de cartes de paiement
marchés européens», témoigne le fondateur de Bankable.
est disponible en marque blanche ou via des APIs (Application
« Aux Pays-Bas, la banque a pu lancer un compte associé à
Programming Interface). Elle permet à n’importe quelle
une carte de débit Maestro. En Allemagne, c’est une carte
organisation, réglementée (c’est-à-dire ayant sa propre licence
de crédit qui a été émise, notre plateforme permettant de
bancaire) ou non, de déployer rapidement des solutions de
soutenir différents instruments. »
paiement : comptes courants, comptes virtuels et portefeuilles
Chez MoneYou, Bankable a choisi de travailler sur base
électroniques, cartes virtuelles et physiques, services de
des systèmes informatiques existants, conformément à une
transfert de fonds ou de gestion de trésorerie.
approche technologique qui lui est propre et qui repose sur
« Bankable a été fondée en 2010. Nous étions alors les
le respect des environnements hérités. « Nous avons ainsi
pionniers de ce qui est devenu par la suite le Banking-as-
créé une couche technique agile en complément du moteur
a-Service », retrace Eric Mouilleron. « Concrètement,
bancaire existant, notre plateforme devenant le système de
cela signifie que nous aidons les institutions financières
tenue de compte, le compte principal à partir duquel a été
et autres à créer des activités de type banque digitale. À
construit l’expérience client en temps réel », raconte Eric
cette fin, nous nous adossons aux systèmes informatiques
Mouilleron. « Graduellement, tout au long du projet, nous
de notre client et nous lui fournissons toute la technologie
avons mis à jour le système existant pour gérer des aspects tels
nécessaire au déploiement rapide de ses projets digitaux. »
que la régulation ou la comptabilité. Mais toute l’expérience client en temps réel repose bel et bien sur notre plateforme
— 500.000 COMPTES COURANTS EN UN TEMPS RECORD
et sur ses capacités de traitement, de gestion des cartes de paiement et de banque digitale. »
Bankable a ainsi permis à MoneYou, filiale du géant bancaire
La société a également pour politique de travailler en partenariat
néerlandais ABN AMRO spécialisé dans l’épargne en ligne, de
étroit avec ses clients. « Bankable n’est ni un fournisseur de
fournir un compte courant à ses 500.000 clients. La FinTech
licences, ni une société de consultance », souligne le CEO
a apporté à la banque ses capacités en matière de création
de la société. « Nous avons mis au point une plateforme que
et de gestion de comptes, de traitement des paiements ainsi
nous configurons en fonction des besoins particuliers de nos
— B A N K A B L E S ’ A P P U I E S U R E B R C P O U R S O N D É V E L O P P E M E N T I N T E R N AT I O N A L —
27
clients. Dans le cas dont il est question, ce sont les équipes
certains de nos clients dans plus de 40 pays et ce, depuis
d’ABN AMRO qui ont réalisé le front-end de la solution, ce
les infrastructures dont nous disposons au Luxembourg »,
qui a permis à la banque de rester aux commandes en matière
explique-t-il.
de gestion de marque et de pilotage de l’expérience client. » — BANKABLE ET EBRC : — DES NORMES STRICTES
UNE CULTURE DE L’EXCELLENCE COMMUNE
Cette double approche permet aux clients de Bankable de se
« Lorsque nous avons fait le choix d’EBRC pour héberger
concentrer sur les aspects commerciaux de leur projet, la FinTech
nos infrastructures, c’est notamment en raison de la place
prenant en charge la création et le lancement du produit mais
particulière qu’occupe l’industrie du Data Centre sur la place
aussi sa gestion. « Notre capacité à gérer le produit au cours
luxembourgeoise », confie le CEO de Bankable. « En plus
de son cycle de vie est un point d’attention important pour
de la priorité accordée par les instances gouvernementales
nos clients du secteur bancaire », explique Eric Mouilleron.
aux infrastructures et aux solutions de connectivité de pointe,
« Nous respectons d’ailleurs des standards très stricts. Nous
nous avons trouvé chez EBRC un partenaire à la hauteur
sommes non seulement certifiés SOC 2 , un standard ban-
des exigences de nos clients. Nous avons développé une
caire, mais également PCI DSS, une norme de sécurité des
parfaite entente avec les équipes d’EBRC, avec lesquelles
données applicable à l’industrie des cartes de paiement, et
nous partageons non seulement une culture de l’excellence
ISO 27001. Rares sont les acteurs sur le marché qui détiennent
commune, mais qui sont également capables de répondre à
toutes ces certifications », ajoute-t-il. « Chaque année, nous
toutes nos contraintes techniques. Les Data Centres Tier IV
sommes soumis à des tests de pénétration à la demande de
d’EBRC et les nombreuses certifications dont dispose notre
différentes banques. Notre infrastructure et nos applications
partenaire nous garantissent une excellente qualité de service
sont en effet stratégiques pour ces banques, parce que ce
assortie du plus haut niveau de sécurité et de disponibilité. »
sont les données critiques de leurs clients que nous traitons. »
« De plus, la nature même de l’actionnariat d’EBRC et le fait que la société soit détenue indirectement, entièrement par
— SERVIR UNE CLIENTÈLE MONDIALE DEPUIS LE LUXEMBOURG
l’Etat est, pour nous comme pour nos clients, un gage de stabilité et de pérennité. Enfin, s’il est vrai que Bankable est
Bankable a en effet pour particularité de compter de nombreuses
une société anglaise, il faut avoir à l’esprit que 85% de nos
banques parmi ses clients, avec pour corollaire que la société
revenus proviennent de l’international. Etant hébergés au
doit adhérer aux standards de sécurité et qualité les plus élevés.
Luxembourg, nous bénéficions de facto d’une infrastructure
« C’est d’ailleurs un avantage pour nos clients non-bancaires,
Brexit-proof », s’amuse-t-il.
essentiellement d’autres FinTechs ou des grands comptes, qui peuvent ainsi bénéficier d’une architecture éprouvée, utilisée tous les jours, 24 heures sur 24, par des institutions financières
— UN LEVIER PUISSANT POUR LE DÉVELOPPEMENT INTERNATIONAL
aux exigences élevées », note Eric Mouilleron. Bankable a
Lors du mois d’avril 2019, Bankable a bénéficié d’un inves-
développé un réseau de distributeurs pour sa plateforme. Ces
tissement et conclu un partenariat mondial avec Visa. Ce
distributeurs, au nombre de 25 à ce jour, sont des banques
partenariat permettra aux membres du réseau Visa à travers le
et des FinTechs ayant elles-mêmes de nombreux clients. Les
monde d’accéder à la plateforme de Bankable et de déployer
seules exceptions à ce mode de distribution sont quelques
des services bancaires digitaux et de paiement en temps réel.
très grandes entreprises actives dans le secteur de l’aviation
« Notre stratégie commune consiste à nous appuyer sur les
ou de l’ingénierie avec lesquelles la société opère en direct.
quelques 21.000 membres du réseau Visa pour promouvoir
« Nous servons de nombreux clients en Europe - en Allemagne,
l’innovation auprès de ces banques », expose le fondateur de
en France, aux Pays-Bas, ou encore dans les pays scandi-
Bankable. « La plupart d’entre elles utilisent des architectures
naves », reprend Eric Mouilleron. « Certains de nos clients
héritées. Notre plateforme leur permet de lancer de nouveaux
ont des activités au niveau mondial. Nous collaborons essen-
produits dans des délais record tout en préservant les actifs
tiellement avec ces entreprises dans le cadre de programmes
informatiques en place. Nous avons déjà ouvert deux filiales
de Corporate Expenses qui doivent pouvoir être déployés
sur d’autres continents, l’une à Dubaï, l’autre à New York, pour
dans tous les pays où elles sont actives. Nous servons ainsi
nous rapprocher des clients de Visa et mieux les servir. »
ÉDITION 2020-2021
28
P R OGRAMME
PARTE NAIRE S
Georges Berscheid CTO - Finologee
Propos recueillis par Sébastien Lambotte, T2U
TOUS LES AVANTAGES DU DEVOPS
AU CŒUR D’UN CLOUD DE CONFIANCE Au départ de son Trusted Cloud Europe, EBRC déploie de nouveaux services innovants pour soutenir la transformation des acteurs de l’économie numérique. Avec sa solution Kubernetes as a Service (KaaS), elle permet à ses clients d’automatiser les processus de développement et de mise en production de leurs applications. De cette manière, ils peuvent s’inscrire dans une démarche de déploiement continu et gagner en flexibilité.
L
es prestataires dont les services s’appuient
en mesure de faire évoluer leur offre en continu. Réduire
essentiellement sur le numérique doivent sans
le « time to market » au maximum implique de réduire le
cesse renforcer leur capacité à s’adapter, à la
temps s’écoulant entre chaque mise en production de
fois pour répondre aux exigences des clients
nouvelles fonctionnalités applicatives. « Pour cela, nos
mais aussi pour faire face à une concurrence toujours
clients cherchent à automatiser les processus opérationnels
plus féroce. Ces acteurs, de plus en plus, doivent être
liés au développement, au déploiement et à l’exploitation
— T O U S L E S A V A N TA G E S D U D E V O P S A U C O E U R D ’ U N C L O U D D E C O N F I A N C E —
29
des applicatifs informatiques, explique Yuri Colombi,
guise. Nous la maintenons, en nous assurant qu’elle intègre
Head of Solutions & Innovation au sein d’EBRC. Notre
les dernières évolutions apportées par Kubernetes et son
volonté est de les accompagner dans cette voie et de leur
écosystème associé. » Si EBRC est amené à intervenir au
permettre d’adopter une approche DevOps au départ de
cœur du processus de mise en production des applicatifs,
notre plateforme cloud de confiance européenne, hébergée
c’est avec des services complémentaires visant notamment
au Luxembourg. »
à renforcer la sécurité et la disponibilité de l’environnement applicatif. « Par exemple, nous travaillons à la mise en
— UNE PLATEFORME DE CONTENEURISATION POUR PLUS D’AGILITÉ
place d’un service de vérification automatique de chaque conteneur déployé avant sa mise en production, afin de
Dans cette optique, EBRC a mis en œuvre une nouvelle
s’assurer qu’il ne présente aucune vulnérabilité, explique le
offre baptisée Kubernetes as a Service. Il s’agit d’une
Head of Solutions & Innovation d’EBRC. Cela apporte une
plateforme unique de conteneurisation, établie et admi-
réelle valeur ajoutée, basée sur une expertise en matière
nistrée depuis les infrastructures EBRC au Luxembourg,
de sécurité et continuité des activités, sans pour autant
permettant aux organisations de gérer le développement
générer de lourdeurs supplémentaires dans le processus
de leurs applications et leurs mises en production au
de déploiement du client. En outre, à travers la plateforme,
sein de l’environnement sécurisé proposé par EBRC,
l’utilisateur accède à de nombreux indicateurs relatifs à la
sans avoir à interagir avec le gestionnaire des ressources
disponibilité, la performance, mais également l’utilisation
informatiques. « Nos équipes travaillent depuis 2017 à
faite des différentes applications. »
la mise en œuvre de cette offre de service, avec, entre autres, la volonté de répondre aux acteurs de la place financière ainsi qu’aux acteurs de la FinTech qui gran-
— FINOLOGEE PEUT DÉSORMAIS ÉVOLUER EN TOUTE AUTONOMIE
dissent au départ du Luxembourg, poursuit Yuri Colombi.
L’un des premiers utilisateurs de cette plateforme est
Ces acteurs, sous la supervision de la CSSF, tout en
Finologee, société FinTech qui facilite la transition des
étant soumis aux mêmes enjeux de marché, cherchent
acteurs de la finance vers l’open banking. « Pour soutenir
à s’appuyer sur des environnements de production ga-
notre développement, nous nous sommes dotés d’un éco-
rantissant un hébergement local des données. » EBRC
système d’outils permettant d’automatiser toutes les étapes
a donc souhaité leur fournir la plus grande flexibilité tout
du développement ainsi que les contrôles, de l’écriture
en leur permettant de répondre facilement aux exigences
d’une nouvelle ligne de code jusqu’au déploiement d’une
réglementaires. « Nos clients ont la possibilité de disposer
nouvelle version d’une application en production », explique
d’une plateforme unique, établie et gérée localement,
Georges Berscheid, CTO de Finologee. « Le recours à la
leur permettant de déployer des applications de manière
technologie de conteneurisation, à travers Kubernetes, nous
rapide et souple sans avoir à se soucier des éléments
permet d’évoluer rapidement sans nous rendre dépendant
d’infrastructure sous-jacents, et qui pourra être utilisée
d’un prestataire particulier. »
tant sur l’infrastructure on-premise des Data Centres
Pour Finologee, et surtout pour ses clients, il était toutefois
d’EBRC que sur des hyper clouds comme Microsoft
important que ses solutions puissent tourner au départ
Azure ou AWS. », assure Yuri Colombi.
d’un environnement établi au Luxembourg, répondant aux exigences PSF. « Ouverte sur le cloud public, la plateforme
— TRANSPARENCE ET SÉCURITÉ ASSURÉES
hybride d’EBRC nous offre la possibilité de développer
La plateforme s’appuie sur une technologie open-source
et tester nos applications dans un cloud public tout en
constituant un standard de facto et garantissant la plus
conservant notre environnement de production hyper-sé-
grande transparence à l’ensemble des utilisateurs, ainsi
curisé et conforme aux exigences du secteur financier
qu’une réelle indépendance dans la gestion et le déploiement
dans le TrustedCloudEurope d’EBRC, explique Georges
de leur environnement applicatif. « Notre volonté est de
Berscheid. Le tout de façon intégrée et transparente, nos
rendre nos clients les plus autonomes possible, assure Yuri
containers pouvant être rapidement déplacés d’un modèle
Colombi. Notre rôle est de garantir que la plateforme soit
public vers la production en mode privé via le service de
disponible en permanence, que le client puisse l’utiliser à sa
cloud hybride EBRC. »
ÉDITION 2020-2021
30
P R OGRAMME
PARTE NAIRE S
Propos recueillis par Sébastien Lambotte, T2U
I-HUB RENFORCE LA CONTINUITÉ DE SES SERVICES
AVEC L’EXPERTISE EBRC ET OBTIENT LA CERTIFICATION ISO 22301 i-Hub, accompagné par EBRC, a obtenu la certification ISO 22301 pour son Système de Management de la Continuité des Activités. En intégrant cette norme au cœur de son organisation, la filiale du groupe POST Luxembourg offrant un service externalisé de gestion des processus AML/KYC renforce la robustesse de ses solutions pour mieux répondre aux exigences de ses clients.
D
— LA CONTINUITÉ, UN VECTEUR DE CONFIANCE Supervisé par la CSSF en tant que PSF de support, i-Hub doit obligatoirement répondre à un niveau d’exigence élevé. En ce qui concerne la continuité des activités, plus particulièrement, les équipes ont pu compter sur le soutien de leur direction à la poursuite de l’excellence. En février 2019, la société a décidé de s’inscrire dans une démarche de certification à la norme ISO 22301, qui spécifie les exigences pour planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir et améliorer de manière continue un système de management
epuis 2017, la société i-Hub développe des
documenté afin de se protéger des incidents perturbateurs,
solutions innovantes dédiées aux acteurs du
réduire leur probabilité de survenance, s’y préparer, y répondre
secteur financier visant à faciliter la gestion de
et de s’en rétablir lorsqu’ils surviennent (source ISO.org).
leurs obligations dans les domaines KYC (Know
« Avec cette démarche, la volonté est de garantir d’une part
Your Customer - Connaître son client) et AML (Anti Money
la pérennité de notre activité, d’assurer la préservation de
Laundering - lutte contre le financement du terrorisme et le
notre réputation, mais surtout de renforcer la confiance que
blanchiment d’argent). Cette filiale du groupe POST Luxembourg
nos clients placent dans nos services, poursuit José Correia.
propose un service unique de collecte, de vérification, de
Nous développons dès lors des réponses structurées pour
maintenance et de stockage, de données et de documents
faire face à toute crise potentielle, et activons tous leviers
liés à l’identité. En offrant à ses clients et à leurs prestataires
d’amélioration à la poursuite de l’excellence et de la résilience
un accès sécurisé à un dossier personnel numérique où sont
opérationnelle. »
stockées les informations utiles, i-Hub réduit l’ampleur des démarches administratives. « Nous sommes amenés à gérer
— RENFORCER LA GESTION DE LA CONTINUITÉ
des données et documents liés à l’identité, ayant trait aux
Afin d’intégrer la norme au cœur de ses processus, i-Hub a
clients finaux de nos clients. Nous devons dès lors garantir le
fait appel à l’expertise des consultants EBRC en matière de
plus haut niveau de sécurité, d’intégrité, de disponibilité et de
continuité. Une des premières étapes a été de procéder à un
confidentialité, commente José Correia, Chief Administration
état des lieux, qui a permis de révéler que des bonnes pratiques
Officer, CISO et Business Continuity Manager d’i-Hub. Depuis
étaient d’ores et déjà mises en œuvre. Restait à documenter
la création de la structure, nous avons investi de façon soutenue
et à répondre à l’ensemble des prescriptions du référentiel
dans la sécurité mais aussi dans la gestion de la continuité
ISO 22301. « Cela a impliqué quelques mois de travail. Il a
des opérations, considérant ces éléments comme essentiels
notamment été nécessaire d’étoffer et de formaliser la do-
pour gagner et pérenniser la confiance de nos clients. »
cumentation, de mettre en place de nouveaux processus et
31
De gauche à droite : Christophe Ruppert, EBRC - Barbara Risse, EBRC - Quentin Mouzard, EBRC - José Correia, i-Hub d’élaborer un système de management de la continuité nous
minime à fournir pour adapter et documenter leurs Plans (de
inscrivant dans une démarche d’amélioration continue et de
continuité, de communication de crise, de gestion de crise,
mesure de la performance », ajoute José Correia. Avec les
de reprise informatique…), leur Politique et leur Stratégie de
consultants d’EBRC, l’équipe d’i-Hub est allée à la rencontre
Continuité à ce contexte inédit. Le travail s’organisant désormais
de ses collaborateurs dans leurs fonctions pour comprendre
à distance, pour limiter la propagation du virus, de nouvelles
leurs processus « en temps normal » et leur appétence aux
mesures de supervision des échanges ont été mises en place.
risques face à une série de menaces spécifiques à leur domaine
« Un Système de Management de la continuité doit avant tout
d’activités. « Les sessions d’analyse d’impact métiers (BIA) et
donner les capacités à l’entreprise de réagir efficacement le
d’analyse de risques permettent de cartographier et d’évaluer la
plus rapidement possible à toute éventualité et de permettre
criticité des activités et des menaces, d’identifier les ressources
à chaque équipe de contribuer à son échelle au maintien de
nécessaires, de répertorier les parties prenantes internes et
l’activité, explique Christophe Ruppert, Consultant Senior
externes à l’organisation… pour in fine établir un niveau de
Business Continuity Management EBRC. Il implique une
tolérance à l’interruption et une chronologie quant à la reprise
parfaite compréhension des métiers, un réel support du
des activités », commente Barbara Risse, Consultante Business
management afin d’insuffler au cœur de l’organisation une
Continuity Management EBRC. « A partir de là, il est possible
véritable culture de la résilience. Au sein d’i-Hub, un réel
d’établir une stratégie de continuité cohérente et efficiente
engagement de chacun dans la démarche est perceptible, au
intégrant les collaborateurs, les bâtiments, les autorités, les
niveau de la direction mais aussi au sein de chaque équipe et
fournisseurs, les applications, les données et les services de
beaucoup de compétence professionnelle à la poursuite des
télécommunication », poursuit Quentin Mouzard, Consultant
objectifs à atteindre », ajoute Christophe Ruppert.
Business Continuity Management EBRC. En découlent les Plans de Continuité des Activités, documentés et déclinés pour
— UN TRAVAIL D’ÉQUIPE
chaque métier. « Ce document a pour vocation de supporter
L’audit mené sur l’ensemble des activités d’i-Hub par un bureau
les Chefs de départements dans la réaction face à un incident
indépendant accrédité, Bureau Veritas, n’a révélé aucune
ou à une crise majeure (indisponibilité des collaborateurs /
non-conformité au référentiel ISO 22301. La qualité de l’en-
du bâtiment, défaut de service de fournisseurs critiques et/
semble de la documentation et plus globalement du Système
ou de la technologie, pandémie, etc.) Il s’agit d’un document
de Management, a été saluée par l’auditeur qui vivait lui aussi
circonstancié auquel se référer pour reprendre l’activité, dans
son premier audit à distance. « L’obtention de la certification
un premier temps en mode dégradé afin d’assurer les services
est l’aboutissement d’un travail d’équipe conséquent, impli-
essentiels, pour revenir ensuite le plus rapidement possible
quant l’ensemble des collaborateurs d’i-Hub, mes collègues
à la normale », poursuit Barbara Risse.
du comité exécutif, l’expertise et le soutien d’EBRC. Tout au long du projet, nous avons constaté une réelle émulation
— LA COVID-19, UN TEST EN SITUATION RÉELLE
positive qui nous a permis d’avancer de manière fluide et
La pandémie COVID-19, qui est intervenue pendant le pro-
coordonnée, précise José Correia. Avec cette certification
cessus d’audits externes de certification, a permis à i-Hub et
ISO 22301, nous répondons aux exigences de nos clients qui
ses équipes d’éprouver l’efficience de son récent Système de
demandent des solutions intégrées, robustes et éprouvées,
Management de la Continuité des Activités. Ce qui a été vécu
ainsi qu’aux autorités qui supervisent nos activités. Cette
par nombre d’acteurs de la Place comme une crise majeure a
certification correspond exactement à la philosophie d’i-Hub
été perçue comme une opportunité pour i-Hub et ses parties
en matière de fiabilité et de culture de la qualité au service
prenantes, qui ont réagi rapidement et n’ont eu qu‘un effort
de la pérennité des affaires de ses clients ».
ÉDITION 2020-2021
The Inuksuk represents the HEART of EBRC: Human, Excellence, Agility, Responsibility, Trust
Inuksuk Inuk = human being suk = substitute, acting on behalf of Inuksuks are piles of stones which serve as a reference point (orientation = consulting), but also, a hiding place (store = Data Centre). They are closely associated with orientation and resilience; with survival in a hostile world. Their longevity is legendary, as well as their resistance to the elements. This symbol, our logo, ties in perfectly with the polar iconography, resilience, solidarity and orientation. It is a concept which stands out and is coherent with our company history.
w w w. e b r c. c o m