LE MAG L’IT au service des secteurs d’aujourd’hui et de demain Édition 2O18-2O19
CYBER-RÉSILIENCE,
DÉFI MAJEUR DU 21 ÈME SIÈCLE
P.4
KBL,
TRANSFORMATION DIGITALE
P.16
LA FINTECH
AU COEUR DE L’EUROPE
P.19
COMPLIANCE BY DESIGN
GRÂCE À LA BLOCKCHAIN
P.2O
RELEVER LE DÉFI DE LA CONFIANCE
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Sommaire CYBER-RÉSILIENCE : PAR OÙ COMMENCER ? Téléchargez notre Livre Blanc « Cyber-Résilience vers la Cyber-Reliance » sur https://ebrc.com/en/whitepapers
4
CYBER-RÉSILIENCE,
défi majeur du XXIème siècle – Yves Reding, CEO, EBRC
6 8
LA CYBER-RÉSILIENCE
dans votre organisation
LE CONSEIL
en Risk Management
– Philippe Dann, Head of Risk & Business Advisory, EBRC
9 1O
QUATRE COMPOSANTES CLÉS
de la Cyber-Résilience
LES 5 RÈGLES
de la « Business Resilience » – Christophe Ruppert, Senior Consultant, EBRC
12
RADIOSCOPIE
d’un Data Centre Tier IV
– Bruno Fery, Head of Data Centre Services, EBRC
16
TRANSFORMATION DIGITALE
à tous les étages pour KBL epb
– Eric Mansuy, Group Head of IT & Operations, KBL epb
19
LA FINTECH
au cœur de l’Europe digitale – Jean-François Hugon, Head of Marketing, EBRC
Publication EBRC
Mise en page
ASSURER LA COMPLIANCE BY DESIGN 2O grâce à la Blockchain – Fabrice Croiseaux, CEO, Intech
22
KAMOO STUDIO
arnaud@kamoostudio.com www.kamoostudio.com +352 691 461 806
i-HUB, PLATEFORME KYC mutualisée en gestion continue – Pascal Morosini, CEO, i-Hub
24
LE DIGITAL
nouvelle arme de reconnaissance des viols en temps de guerre – Céline Bardet, Fondatrice & Présidente, WWoW
26
BIOLOGIE MÉDICALE
secteur sous haute tension
– Dr Jean-Luc Dourson, Dirigeant & Fondateur de BioneXt LAB
2
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Chers clients, chers partenaires, chers confrères, chers lecteurs, Nous sommes tous membres, acteurs, décideurs ou dirigeants de la commu-
et EBRC nous inspire tous. C’est un exemple concret de la démarche « Tech-
nauté digitale.
4Good » à lire sans modération pages 24 et 25 et à partager…
Dans un précédent livre blanc intitulé « Digital needs Trust », nous avons tenté
Oui, le digital permet de développer un monde plus socialement res-
de décrire les challenges qui nous attendent dans notre « core business » :
ponsable.
comment construire ensemble un écosystème digital de confiance ? Oui, la transformation digitale permet d’améliorer les services bancaires, Nous sommes, chacun dans nos secteurs d’activité, que ce soit la banque, la
d’assurer une meilleure transparence des transactions via la technologie
finance au sens large, les FinTechs, le commerce électronique, le secteur de
blockchain ou de faciliter l’analyse de ses clients (KYC).
la santé, de la pharma, des biotechnologies, des institutions européennes et internationales, de l’industrie, des services digitaux, du spatial, de la défense,
Oui, nous croyons au formidable potentiel du digital.
des bureaux d’avocats, des start-ups… animés par la même ambition : Mais ne soyons pas candides. Se lancer dans le monde digital ne s’impro-
Construire un monde meilleur avec le digital.
vise pas. Traverser les cyber-océans nous ouvrira de nouvelles perspectives et de nouveaux horizons. Il s’agit non seulement d’adapter ses techniques
Le digital offre en effet des opportunités illimitées et pourrait nous permettre
de navigation mais également d’apprendre à se protéger par rapport aux
de solutionner les plus grands défis de l’Humanité, dont l’abolition de la faim
risques intrinsèques du cyber-espace, afin de devenir cyber-résilient (voir
dans le monde, d'améliorer considérablement les diagnostics médicaux, les
pages 4 à 15).
soins de santé et donc de sauver des vies. EBRC - European Business Reliance Centre - se veut un partenaire de Le dossier « patient » de l’agence e-Santé auquel nous avons participé et pour
confiance, spécialiste du digital, un guide pour vous aider à naviguer en
lequel nous réalisons les opérations IT poursuit ce but : sauver des vies et
toute cyber-confiance sur les cyber-océans, accélérer, profiter des vents
améliorer la santé par le développement de la médecine personnalisée.
porteurs, éviter ou traverser les cyber-tempêtes afin d’arriver à bon port, sain, sauf et meilleur.
Le projet de Céline Bardet « We are not weapons of war », développé avec
Yves Reding CEO I EBRC
Share IT au sein de l’incubateur français « Station F », et supporté par InTech
EBRC EN CHIFFRES
12 %
+ de 4OO
depuis 2015
tion partielle ou intégrale de
de croissance moyenne
clients nous confient la ges-
+ de 7O
awards et certifications
leur ICT et de leur sécurité
71 M€
O downtime
3
en 2017
Data Centre depuis 2000
Tier IV
7
5O
+ de 34O
de chiffre d'affaires
présences dans 7 grandes villes françaises
100 % de disponibilité
clients FinTech depuis 2011
Data Centres certifiés
collaborateurs
(210 au Luxembourg et 130 en France)
3
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
La Cyber-Résilience, ème défi majeur du XXI siècle En ce début de XXIème siècle, nous vivons une période charnière. Notre monde bascule rapidement, de manière exponentielle vers un nouveau monde virtuel, le digital. Alors que la troisième révolution industrielle, basée sur l’exploitation du nouvel « or noir », la donnée, est en marche, déjà se profile à l’horizon des prochaines décennies la quatrième révolution industrielle, véritable tsunami, basée sur la convergence des nouvelles technologies, comme l’intelligence artificielle, la robotique poussée à l’extrême, le calculateur quantique, les nanotechnologies et le génie génétique. Nos générations ne seront peut-être plus de ce monde physique, mais nos enfants ou petits-enfants connaîtront et subiront la réalité que nous leur façonnons aujourd’hui. Au courant de ce XXIème siècle, notre civilisation fera face à deux défis majeurs : • Développer la résilience dans le monde physique qu'est l’écosystème de notre planète Terre, en maîtrisant, entre autres, le réchauffement climatique. Il s’agit d’un véritable challenge aujourd’hui perceptible par plus de 7,5 milliards d’êtres humains, tous les jours ; • Développer la résilience dans le monde virtuel, en cours de construction. En effet, notre monde digital présente deux faces, une face paradisiaque, qui nous annonce un nouveau « nirvana » digital et une face un peu plus sombre, qui nous annonce un nouveau monde type « Big Brother is watching you » (Georges Orwell), « A brave new world » (Aldous Huxley). D’autres ouvrages plus récents et plus concrets décrivent les nouveaux Yves Reding CEO I EBRC
risques générés par l’entrée dans le cyber-espace par exemple : « Cyber War – The next threat to national security » (Richard Clarke, 2010) ou « Dark Territory » (Fred Kaplan, 2016). Les risques intrinsèques au monde numérique ne sont aujourd’hui perçus que par un nombre très restreint d’êtres humains. L’hygiène numérique ou la cyber-immunité ne sont pas encore pratiquées en « business as usual » dans nos organisations, nos entreprises et notre vie digitale quotidienne. La Cyber-Résilience constitue pourtant un défi majeur, car demain l’écosystème planétaire sera totalement dépendant du digital.
4
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Cyber-Résilience et Services essentiels — Gestion des Risques, Business Continuity, Cyber-Securité, Gestion de crise
La directive européenne NIS (Security of Network and Information Systems), qui vise à renforcer considérablement la résilience de l’Europe digitale, concerne tous les acteurs et en particulier les « opérateurs de services essentiels » comme les secteurs de l’énergie, des transports, les banques, les infrastructures de marchés, le secteur de la santé, les infrastructures numériques mais également les « fournisseurs de services numériques ». EBRC - European Business Reliance Centre - met son expérience et son
meilleures pratiques et certifications internationales. Cette expérience a été
savoir-faire « Cyber-Résilience » au service des entreprises afin de les
acquise essentiellement dans le secteur de la finance européenne (Banque,
accompagner dans leur mise en conformité par rapport à ces nouvelles
Fonds, FinTechs, Assurances…) mais également auprès d’acteurs nationaux
exigences.
et internationaux, du domaine du e-Commerce, du secteur de la Santé et des Biobanques, des Industries critiques, des Institutions Internationales,
L’approche pragmatique « Cyber-Résilience » d’EBRC s’appuie sur
de la Défense, du Spatial, des services ICT, de grands cabinets d’avocats,
18 années d'expérience dans la gestion des risques, dans la continuité
et de start-ups… Les clients d’EBRC doivent pouvoir garantir une haute
des opérations, la gestion, la protection et la sécurisation des données
disponibilité, confidentialité, intégrité et auditabilité de leurs données et
sensibles, le conseil en « Cyber-Security » ainsi que l’alignement sur les
de leurs opérations, dans un environnement de plus en plus réglementé.
EBRC Trusted Advisory Services : un accompagnement de bout-en-bout
— De la Cyber-Sécurité à la Cyber-Résilience - Yves Reding, CEO d’EBRC
« Dans un environnement numérique de
est la capacité d'un corps ou d’un système à
La Cyber-Résilience promue par EBRC
plus en plus exposé aux risques, garantir
récupérer ses propriétés initiales après alté-
place la Cyber-Sécurité au cœur du
la continuité du business exige d’adopter
ration. A la différence de la Cyber-Sécurité,
business.
des approches plus proactives et mieux
la Cyber-Résilience dépasse le cadre tech-
intégrées. EBRC promeut la Cyber-Rési-
nologique et se concentre sur le développe-
En permanence, il faut pouvoir identifier,
lience en appliquant les dernières normes
ment d'un système immunitaire efficace pour
protéger, détecter, répondre à l’incident et
et les meilleures pratiques, pour assurer
chaque activité numériquement dépendante.
restaurer les systèmes pour garantir la conti-
une protection « by design » des systèmes
Il s'agit d'évaluer, de prévenir le risque pour
nuité de l’activité.
et garantir la confiance des organisations
limiter l'impact d'un incident, de détecter rapi-
dans le numérique.
dement les menaces, de permettre aux appli-
Dans ce contexte, EBRC a anticipé la mise
cations critiques de fonctionner, de préserver
en œuvre de la directive NIS, qui devait
2017 a démontré qu'aucune organisation
les données et de permettre une reprise rapide
être traduite dans les juridictions nationales
n'est à l’abri de cyber-attaques ni d’inci-
de l'activité. »
depuis mi-mai. En tant que « fournisseur
dents avec des impacts économiques et/
de service numérique », au service des
ou de réputation. Pour les équipes conseil
« opérateurs de services essentiels », EBRC
d’EBRC, il s'agit de regarder au-delà des principes de protection pour proposer une stratégie de sécurité complète et intégrée de Cyber-Résilience pour la continuité des affaires. Fondamentalement, la résilience
LES BÉNÉFICES APPORTÉS AU CLIENT
IDENTIFIER, PROTÉGER, DÉTECTER, RÉPONDRE, RÉCUPÉRER
entend jouer pleinement son rôle en tissant un écosystème fort et des alliances avec des partenaires européens afin de garantir la confiance de ses clients dans le numérique en Europe.
5
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
LA CYBER-RÉSILIENCE DANS VOTRE ORGANISATION Assurer la sécurité et la continuité de votre business LES POINTS CLÉS DE LA CYBER-RÉSILIENCE : • Connaître et respecter le cadre règlementaire : RGPD, NIS, autorités de contrôle (finance, assurance, transport, santé…) • Adopter les standards internationaux pour la gestion des risques et la résilience des activités :
ISO 31OOO, ISO 27OO1, ISO 27O18, ISO 27O32, ISO 223O1, ISO 22316
• Adopter et/ou imposer à ses fournisseurs de services les niveaux de sécurité et de continuité appropriés
sur la base de certifications : Data Centre Tier IV, PCI DSS, HDS (Hébergeur de Données de Santé),
ISO 27OO1, ISO 223O1
• Concevoir ou transformer les infrastructures existantes en adoptant une conception intégrant la
“Security and privacy by design” : Proxy, Firewall, Anti-virus, Anti-DDoS, Mail security, Sandboxing,
IPS/IDS, WAF
• Sensibiliser, former et informer en continu l’ensemble des collaborateurs et les parties prenantes à la Cyber-Résilience • Arbitrer sur la capacité de l’entreprise à déployer ces moyens ou opter pour un partenaire en mesure
Philippe Dann Head of Risk - Business Advisory I EBRC
6
d’accompagner la mise en œuvre de la Cyber-Résilience : audit, conseil, risk management, continuité
d’activités, data centres certifiés, gestion opérationnelle et intégrée de la sécurité (SOC/CERT), gestion
des infrastructures IT, programmes de certification…
OO1,
e de
vacy
gner ifiés, n…
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
AMÉLIORATION CONTINUE 1
PREPARE
ADV KEY PEOPLE CEO, CISO, BCM, CRO, DPO
7
RECOVER
KEY PEOPLE CIO, CISO, BCM, CRO
ADV
ACTIVITIES • Back to normal operations • Forensics • Continuous improvement • Legal • Communication
IDENTIFY
2
ACTIVITIES • Business impact analysis • Risk assessment • Cyber-Resilience audit • Compliance & standards • Cyber-Resilience strategy • Governance & policies • Awareness & exercise
KEY PEOPLE CIO, CISO, BCM
ADV
ACTIVITIES • Gap analysis Business/IT • Vulnerability assessment • Penetration test • Technology watch • Vulnerability watch
3 6
KEY PEOPLE CIO, CISO, BCM
RESPOND
KEY PEOPLE CEO, CISO, BCM, CRO, DPO
ADV
ACTIVITIES • Decisional crisis management • Crisis communication • Containment • Remediation • Business continuity
PROTECT
4 5
ANALYSE
KEY PEOPLE CIO, CISO, BCM ACTIVITIES • Threat analysis • Prioritization • Operational crisis management
ADV
ACTIVITIES • Risk mitigation • Continuity management • Security management • High availability architecture • Data centre availability • Change management
DETECT
KEY PEOPLE CIO, CISO, BCM
ADV
ADV
ACTIVITIES • Log correlation • Real-time alert • Incident management
EBRC EXPERTISE ADV – ADVISORY CERT – COMPUTER EMERGENCY RESPONSE TEAM MS – MANAGED SERVICES SOC – SECURITY OPERATION CENTER
7
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Le conseil en Risk Management — Entretien avec Philippe Dann, Head of Risk & Business Advisory, EBRC
POURQUOI CHOISIR EBRC ?
Les consultants d’EBRC accompagnent les entreprises face à leurs challenges avec l’objectif de répondre à un besoin, simplement, rapidement, au travers de livrables probants.
Nos clients bénéficient ainsi de notre retour d’expérience et de solutions éprou-
Les entreprises sont confrontées à un triple enjeu :
Les consultants EBRC sont expérimentés et certifiés en gestion de la sécurité de
vées, qui répondent aux exigences règlementaires.
l'information, analyse des risques, gestion de la continuité des activités et des 1 Règlementaire. Avec les règlementations sectorielles, RGPD, NIS.
vulnérabilités, piratage éthique, forensics, gestion de logs et des composants de
2 Cyber. Avec l’évolution continue des nouvelles menaces impactant
sécurité. Ils travaillent en étroite collaboration avec les équipes EBRC Data Centre,
les gestionnaires de bases de données et de projets, les architectes IT, les ingé-
la disponibilité, l’intégrité et la confidentialité des données.
3 Economique. Avec la nécessité d’adopter un pilotage de gestion des
nieurs sécurité, les ingénieurs réseaux et systèmes, etc.
risques permettant une priorisation des investissements face aux menaces. EBRC dispose des certifications ISO 27001, ISO 22301,
COMMENT PROCÉDER ?
ISO 27018, PCI DSS, solutions SIEM. L’entreprise opère
Les missions de conseil menées par EBRC se trouvent au plus proche de la
des infrastructures et fournit des services de haut
réalité du client, de sa stratégie, de ses contraintes, de la compréhension de
niveau à plus de 400 clients internationaux qui exigent
son métier et de ses challenges. L’accompagnement se base sur une approche
des modèles de services performants.
orientée risques (opérationnel, règlementaire, métier). De par leur expérience, nos consultants interagissent aussi bien avec les équipes opérationnelles
L’expertise d’EBRC en analyse des vulnérabilités et des
qu’avec les métiers et les directions, qu’il s’agisse d’analyse de l’existant, d’ali-
tests d’intrusion repose sur des centaines de pentests
gnement ou de plan d’actions d’amélioration, ou bien encore d’accompagne-
réalisés à la fois sur ses propres infrastructures et
ment à la certification.
auprès de clients.
ACCOMPAGNEMENT DANS L’OBTENTION DE CERTIFICATIONS
EBRC propose des missions d’externalisation : « CISO
Les consultants EBRC ont notamment accompagné de grandes entreprises
d'amélioration de la sécurité, alignement sur les
dans l’obtention de certifications exigeantes :
standards internationaux jusqu’à la certification ISO.
as a Service », « DPO as a Service », programmes
Mission de conseil préparatoire dans le cadre de l’obtention des
EBRC dispose de son propre SOC (Security Operations
certifications Tier IV de l’Uptime Institute. Ce qui a permis la certifi-
Centre) et de son CERT (Computer Emergency Res-
cation du premier, et seul à ce jour, Data Centre français d’une des
ponse Team) pour les clients les plus critiques.
plus grandes banques françaises, au plus haut niveau d'exigence de disponibilité, de sécurité et de continuité d'un Data Centre, à savoir la certification Tier IV. Accompagnement à la certification ISO 22301 (continuité des
CE QUE NOUS RECOMMANDONS À NOS CLIENTS, NOUS L’APPLIQUONS EN INTERNE.
activités) : ARENDT SERVICES devient la première entreprise PSF certifiée au Luxembourg en 2016 ; EBRC fait certifier une société de courtage d’assurance, leader dans son secteur, en France.
UN ÉCOSYSTÈME DE PARTENAIRES INTERNATIONAUX Au-delà de la compétence et de l’expérience de ses consultants, EBRC a éta-
EBRC accompagne au Grand-Duché de Luxembourg et en Belgique
bli des partenariats (EGERIE, Guidance Software OpenText, Omada, WALLIX,
différentes sociétés dans l’alignement et la certification au standard
Phosforea) stratégiques avec des sociétés proposant des solutions innovantes,
ISO 27001:2013 (Système de Management de la Sécurité de l’Informa-
qui permettent plus d’efficience et apportent une valeur ajoutée mesurable à
tion). L’expérience acquise par EBRC depuis 2010 avec l’obtention de
leurs clients. EBRC utilise, intègre ces solutions et assure également leur com-
sa propre certification ISO 27001 sur l'ensemble de son activité consti-
mercialisation.
tue un gage de confiance lors de ces missions d’accompagnement.
8
Auteur : EBRC
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Quatre composantes clés de la Cyber-Résilience Chaque jour nous apporte son lot d’incidents, dont ceux générés par les activités de hacking. Les incidents de sécurité sont de différentes natures. Ils peuvent porter sur la disponibilité des systèmes d’information (tels que attaques Denial of Services), sur la confidentialité des informations (divulgation de données personnelles, atteinte au secret des affaires, au savoirfaire des entreprises, accès à des informations gouvernementales sensibles, etc.) ou sur l’intégrité-même des informations (fake news, manipulations de données, etc.)
ETHICAL HACKING
CERT/SOC
FORENSIC : analyse post-mortem
Identify
Identify, Detect, Analyse, Respond, Recover
Recover
Pour identifier les vulnérabilités et les faiblesses
CERT : Également appelé CSIRT (Computer Secu-
Dans le cyberespace, le risque est certain. Si
des systèmes, les « ethical hackers » d’EBRC
rity Incident Response Team), le Computer Emer-
malgré la prévention une Cyber-attaque a réus-
opèrent sur base d’un mandat précis, cadré et
gency Response Team est un centre de compé-
si, il est vital :
écrit, selon des règles de déontologie strictes.
tences en charge des alertes et des réactions face aux cyber-attaques. Il concentre les demandes
• D’identifier qu’elle ait bien eu lieu et selon quel
Leurs objectifs ?
d’assistance suite aux incidents de sécurité, traite
• Identifier les vulnérabilités de sécurité sur un
les alertes, établit et maintient une base de don-
périmètre défini avec le client, ces vulné-
nées des vulnérabilités, diffuse les informations
• D’auditer et d’analyser l’attaque. Il s’agit de
rabilités pouvant constituer des vecteurs
sur les précautions à prendre pour minimiser les
reconstruire l’attaque, d’identifier les dom-
d’attaques pour un hacker depuis l’interne
risques et assure la coordination avec les autres
mages, les risques résiduels, et de récolter
ou via la connexion d’un partenaire ;
entités telles que les centres de compétences
les preuves ;
schéma (collecte des évidences et traçabilité) ;
réseaux, opérateurs et fournisseurs d’accès Inter• Tenter de pénétrer les réseaux et/ou les sys-
net et les CSIRT nationaux et internationaux. En
• D’avoir les moyens (solution et organisation)
tèmes d’information en utilisant les mêmes
résumé, il accumule la connaissance au bénéfice
de pouvoir bloquer et contenir l’attaque
méthodes qu’un hacker malveillant ;
d’une réactivité et d’une anticipation maximales.
dans les meilleurs délais afin d’éviter sa pro-
pagation au sein du système d’information ;
• Proposer des contre-mesures permettant
SOC : Le Security Operations Center est un dispo-
de combler les vulnérabilités identifiées afin
sitif de supervision des systèmes d’information
• De distinguer, une fois l’attaque contenue,
de mettre en place une protection efficace.
dont le but est d’assurer la détection et l’analyse
les composantes du système d’information
des incidents ainsi que de définir la stratégie de
compromises de celles non affectées – afin
Outre la présentation des résultats sous un axe
réponse à l’incident de sécurité. Ses experts ana-
in fine de rétablir le système d’information.
« technique » (vulnérabilités de sécurité identi-
lysent continuellement les événements remon-
fiées, proposition de plan d’actions), les consul-
tés par le système, et identifient les potentiels
L’approche d’EBRC repose sur des solutions recon-
tants EBRC revoient également sous un axe
risques en matière de Cyber-Sécurité.
nues juridiquement en ce qui concerne la collecte
« risques » l’incidence des vulnérabilités de sécu-
des informations, l’objectif étant pour le client
rité identifiées (impacts sur les métiers, le cadre
Son objectif principal est d’assurer une surveil-
réglementaire du client…).
lance 24h/24 et 7j/7 du système d’information.
d’avoir des preuves pertinentes et recevables. EBRC accompagne le client tant sur le volet technique que sur le volet organisationnel (pré-
CYBER-RÉSILIENCE : PAR OÙ COMMENCER ?
paration et exercices en amont afin de s’assurer
Téléchargez notre Livre Blanc « Cyber-Résilience vers la Cyber-Reliance »
et accompagnement dans la gestion de crise le
sur https://ebrc.com/en/whitepapers
cas échéant).
de l’organisation, des rôles et responsabilités ;
Auteur : EBRC
9
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Les 5 règles de la « Business
Resilience »
— L’analyse d’impact métier : garantie de la continuité des activités
RÈGLE N° 1 PARTEZ DU MÉTIER POUR ÉVALUER LES IMPACTS « C’est en considérant le métier que l’analyse doit
RÈGLE N° 2 IDENTIFIEZ LES ACTIVITÉS CRITIQUES ET ÉVALUEZ LE NIVEAU DE TOLÉRANCE À L’INTERRUPTION
se construire, en prenant en compte l’ensemble
« À travers les entretiens menés, identifiez
des facteurs qui peuvent nuire à la bonne marche
les activités critiques, les liens d’interdépen-
de l’activité, assure Christophe Ruppert. Ces enjeux
dance existants vis-à-vis d’autres départe-
dépassent de loin la gestion des systèmes. Cela
ments ou d’acteurs externes, indique Chris-
implique de commencer par identifier les activités
tophe Ruppert. Dans chaque département et
essentielles à l’organisation, à travers une meil-
direction, challengez les équipes. Au départ
leure compréhension des processus, pour ensuite
d’un framework établi au regard de notre ex-
effectuer une analyse d’impact. Il est important
périence et des bonnes pratiques reconnues,
de comprendre quels pourraient être les effets de
évaluez également les effets d’une interruption
l’arrêt d’un processus critique dans le temps et sur
de l’activité au niveau de chaque équipe selon
l’ensemble de l’activité. »
différents critères comme le Recovery Time Objective (RTO), le Recovery Point Objective
Cette première étape relève du Business Impact
(RPO), le Maximum Acceptable Outage (MAO)
Analysis. Elle ne peut être conduite qu’en menant
ou encore le Minimum Business Continuity Ob-
une étude approfondie de l’ensemble des dépar-
jective (MBCO). A travers ces indicateurs, on re-
tements constituant l’organisation pour identifier
lève ce qui est acceptable en terme d’interrup-
les activités entreprises et la manière dont chacun
tion pour chaque département, et ce jusqu’à la
prend part aux procédures.
capacité réelle de l’IT à supporter les métiers. »
Distinguer le risque de la menace Christophe Ruppert Senior Consultant I EBRC
10
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Ayant pour objectif la responsabilité sociétale, c’est par une approche du business que l’entreprise doit aborder la continuité et la reprise de ses activités. Pour y parvenir, le Business Impact Analysis (BIA) est crucial. Cette démarche est un préalable fondamental pour l’obtention de la certification ISO 22301, relative aux systèmes de management de la continuité d’activités. Entretien avec Christophe Ruppert, Senior Consultant, Lead Implementer & Lead Auditor ISO 22301, Business Continuity Management Practice Lead au sein d’EBRC. Le concept de Business Continuity est éprouvé. Apparu dans les années 80, il adressait une partie de la problématique avec les Disaster Recovery Plans. Les efforts portaient essentiellement sur l’informatique, avec la volonté de garantir la disponibilité des systèmes ou permettre leur remise en fonction rapide après un incident. Ce n’est que plus récemment, avec, au début de cette décennie, la publication de la norme BS 25999 et l’établissement de la certification ISO 22301, que le concept a été élargi. « Désormais, les projets relatifs à la continuité d’activités couvrent un spectre étendu. Ils sont portés par le board, en considérant l’activité avec une approche holistique », commente Christophe Ruppert. EBRC accompagne ses clients avec la volonté de les rendre plus cyber-résilients. A ce titre, la continuité d’activités fait partie de ses principaux domaines d’expertise.
RÈGLE N° 3 ALIGNEZ LES BESOINS AU SERVICE DU BUSINESS Parce que, d’un département à l’autre, les
RÈGLE N° 4 EVALUEZ LES PROCESSUS AFIN DE RETENIR LES MEILLEURES SOLUTIONS
RÈGLE N° 5 SIMPLIFIEZ-VOUS LA VIE. TIREZ PARTI DE LA CERTIFICATION ISO 223O1
perceptions de ce qui est acceptable peuvent
L’analyse de l’impact business est au cœur de
La certification ISO 22301 a été élaborée spé-
diverger, un des objectifs sera de réconcilier
toute démarche relative aux enjeux de conti-
cialement afin de permettre aux organisations
les sensibilités au regard des besoins réels
nuité d’activités. Elle sera complétée par une
de s’inscrire dans une démarche d’amélioration
du métier. « Dans la plupart des cas, c’est au
analyse des risques. Celle-ci se traduit par
continue : c’est un cadre standardisé idéal pour
sommet de l’entreprise que les arbitrages ont
l’identification des menaces pouvant conduire
démarrer. « L’enjeu n’est autre que de mieux
lieu, le top management étant souvent le seul à
à l’interruption d’une activité jugée critique et
protéger l’activité dans sa globalité, par une
pouvoir statuer vis-à-vis des risques encourus.
par l’évaluation de la probabilité de leur sur-
meilleure compréhension des processus et des
Le management rationalise et décide souvent
venance. « Considérant l’ensemble de ces élé-
risques, et de s’assurer de sa robustesse avec
par rapport au niveau d’exposition admissible
ments, on peut imaginer des scénarii et des
l’ensemble des parties prenantes telles que les
des affaires, donc du secteur d’activité et de
plans de reprise de l’activité dans les meilleurs
clients, les partenaires ou encore le régulateur
la clientèle de l’entreprise, en cas d’incident
délais selon les différents cas de figure. Prenez
de l’entreprise, explique Christophe Ruppert.
majeur, précise Christophe Ruppert. Pour l’ob-
les processus, soumettez-les à la menace afin
Une telle certification est de nature à rassurer,
tention d’une certification liée à la continuité
d’envisager les solutions à mettre en place,
à garantir la confiance vis-à-vis de la tenue
d’activités, il est indispensable de réconcilier
comme par exemple la relocalisation des colla-
des activités. » EBRC accompagne des institu-
l’ensemble des besoins des équipes autour
borateurs ou un plan de redéploiement des sys-
tions actives dans le secteur de la finance, des
d’un processus critique. »
tèmes des garanties relatives à la restauration
banques, de l’industrie et de l’assurance pour
des lignes de télécommunication, sans oublier
l’obtention de cette certification.
d’évaluer le niveau de résilience de vos fournisseurs critiques », conseille Christophe Ruppert.
Auteur : EBRC
Selon Christophe Ruppert, Senior Consultant, Lead Implementer & Lead Auditor ISO 22301, Business Continuity Management Practice Lead, EBRC, beaucoup d’acteurs confondent risque et menace. Il est toutefois important de les distinguer. La menace est un élément bien particulier, une occurrence parfaitement identifiable. Il peut s’agir de la divulgation d’informations, une tentative de corruption, une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente. Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation, ou encore vis-à-vis des obligations règlementaires. On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter.
11
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
RADIOSCOPIE
D’UN DATA CENTRE TIER IV Qu’est-ce que la certification Tier IV ? — Entretien avec Bruno Fery, Head of Data Centre Services, EBRC
POURQUOI AVOIR EMBARQUÉ DANS L’AVENTURE DU TIER IV – TIER CERTIFICATION OF CONSTRUCTED FACILITY ? « La certification internationale Tier IV de l’Uptime Institute tout comme les normes ISO 27001, ISO 20000 et ISO 22301, nous permettent de qualifier la qualité de nos offres en tant que prestataire de services IT. Disposer d’un référentiel international est un prérequis pour développer des affaires avec des sociétés internationales. Et c’est précisément l’activité d’EBRC avec plus de 400 clients de 45 nationalités différentes. Pour nos clients, le choix d’un Data Centre s’inscrit la plupart du temps dans une stratégie de développement d’activité en Europe, souvent loin de leur centre de décision. Disposer de certifications d’un tel niveau représente une garantie factuelle sur notre savoir-faire, qui repose sur un audit indépendant. C’est aussi un gain de temps important pour nos clients », explique Bruno Fery. « À titre d’illustration, nous avons mis en place l’infrastructure européenne de VALVE en seulement quelques semaines. Avec les Data Centres Tier IV d’EBRC au service de la technologie du gaming, VALVE, leader mondial des jeux en ligne basé à Seattle, offre la meilleure expérience de jeu, avec la garantie d’un fonctionnement permanent et une haute disponibilité. Ceci étant associé à des temps Bruno Fery Head of Data Centre Services I EBRC
12
de latences très faibles grâce à l’excellente connectivité disponible au Luxembourg. Ces
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Au départ d’un Business Impact Analysis
critères de haute disponibilité et de temps de
Afin de garantir une disponibilité constante,
latence sont essentiels pour les gamers. Ce qui
EBRC s’appuie sur des infrastructures de
(BIA), sept étapes clés font partie du proces-
est également le cas dans bien d’autres sec-
pointe. Les systèmes et les données de nos
sus d’amélioration continue :
teurs d’activités, comme celui des FinTechs par
clients peuvent être hébergés, et ce de façon
exemple.»
redondante, dans un ou plusieurs des Data Centres EBRC certifiés Tier IV Fault-Tolerant
En 2005, certains clients exprimaient déjà
1.
Design & Constructed Facility.
Préparer
leur intérêt pour un hébergement en Data Centre Tier IV. A cette époque, si des livres
Pour les clients, les certifications émises
blancs étaient déjà publiés, le processus de
par l’Uptime Institute représentent la seule
certification n’existait pas encore. C’est pour-
assurance tangible du niveau de qualité déli-
quoi nous avons décidé la même année de
vré par leur prestataire de services de Data
nous lancer dans la création du premier Data
Centre.
Centre Tier IV Design ready au Luxembourg.
s’agissait du tout premier Data Centre au
QUELLES ACTIVITÉS SONT SOUTENUES PAR LE DATA CENTRE ? ET COMMENT ?
Luxembourg à obtenir le niveau le plus élevé
EBRC offre une approche de services IT com-
de certification, le troisième en Europe et le
plets et intégrés avec six lignes d’activités :
neuvième dans le monde.
Conseil, Managed Services, Cloud, Sécuri-
Ensuite, en 2013, le Resilience Centre South a été certifié Tier IV Constructed Facility. Il
2. Identifier 3.
Protéger
4.
Détecter
5. Analyser 6.
Répondre
7.
Redémarrer
té, Résilience (Business Continuity) et Data Les clients d’EBRC gèrent des données sen-
Centre. Ce positionnement permet à chaque
sibles. Par conséquent, ils doivent pouvoir
client de développer la totalité de son projet
avoir pleine confiance en leur fournisseur de
avec un seul partenaire maîtrisant l’ensemble
services IT avec une garantie de haute dis-
des composantes IT. Nous avons modélisé
ponibilité pour leurs services critiques et la
quatre types de parcours qui répondent aux
Ce processus s’appuie lui aussi sur les normes
performance des réseaux. Au fil des ans, EBRC
attentes de nos clients : Transformation digi-
ISO.
a développé une expertise unique dans la
tale, Projet sur mesure, Start-up et innovation
conception, la mise en œuvre et l’exploitation
et Développement du business en Europe.
d’infrastructures IT critiques devant assurer
Cette organisation nous permet d’apporter des
ces garanties ainsi que des niveaux de rési-
réponses optimisées et de réduire les temps de
lience et de sécurité très élevés.
réalisation en capitalisant sur l’expérience que nous avons développée. Le secteur financier a originairement façonné
« UN DATA CENTRE ‘COMMERCIAL’ AVEC UNE CERTIFICATION TIER IV FACILITY EST UN ACCOMPLISSEMENT DE TAILLE. » JULIAN KUDRITZKI, CHIEF OPERATING OFFICER DE L’UPTIME INSTITUTE
les offres d’EBRC en intégrant la composante de sécurité « by design » nécessaire à leurs infrastructures. Par extension, cette proposition de valeur est devenue une priorité croissante pour chaque secteur d’activités avec lequel nous travaillons : banque, finances et assurances, gouvernement, e-commerce, santé, FinTech, défense, institutions et spatial.
Cyber-Résilience = ISO 31000 + ISO 27001 + ISO 22301 + ISO 22316
Pour aller encore plus loin, en 2018, EBRC a cristallisé une approche transversale de Cyber-Résilience propre à assurer la gestion de crises et à garantir la continuité des affaires.
Il fait également appel à des moyens de pro-
Cette approche s’applique en priorité à la pré-
tection et de réponse très élaborés tels qu’un
servation du business de nos clients.
CERT et un SOC dont EBRC dispose en interne.
13
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
QU’EST-CE QUE L’OBTENTION DE LA CERTIFICATION TIER IV A AMÉLIORÉ ? QUELS CHALLENGES CELA VOUS-A-T-IL PERMIS DE RELEVER ? « Notre communication et nos procédures »,
COMBINER LA TECHNOLOGIE DE POINTE EN MATIÈRE DE RÉDUCTION DE L’EMPREINTE CARBONE AVEC LES CRITÈRES TIER IV
répond spontanément Bruno Fery. L’obtention de la certification Tier IV Constructed Facility du Resilience Centre South a été un réel challenge. Ce Data Centre a été le premier
Roues de Kyoto refroidissement par air indirect avec échangeur adiabatique en tant que système de refroidissement libre
des trois à subir un audit sur site mené par les experts de l’Uptime Institute. La certification a été obtenue « en charge », c’est-à-dire avec
Utilisation d’eau de pluie stockée
des clients présents et opérationnels, alors que les auditeurs pratiquent des simulations de panne. Nos clients eux-mêmes ont ainsi suivi
Topologie IP-Bus
le processus de certification. Cela a nécessité
pour les composants de capacité UPS et les chemins de distribution
une communication étroite de nos équipes avec celles des clients et de cette expérience Concrètement, 63 tests critiques ont été réali-
Des racks équipés de couloirs canalisant l’air de refroidissement
sés sur une semaine. « L’équipe Services Data
pour optimiser la performance énergétique
est né un niveau de confiance supplémentaire.
Centre d’EBRC a dû travailler de manière très efficace tout en subissant une forte pression. En fin de compte, les retours de nos clients
Refroidissement naturel par « free cooling »
ont été excellents », se félicite le Head of Data
utilisé et optimisé par eau pulvérisée
Centre Services. Un autre grand défi relevé a été celui de combiner la technologie de pointe en matière de
« Le principe de l’Uptime Institute ‘Démarrez avec l’objectif en tête’ constitue
réduction de l’empreinte carbone avec les cri-
le fondement de nos méthodes », souligne Bruno Fery. Cela s’est révélé parti-
tères Tier IV. Pour y parvenir, EBRC a opté pour
culièrement parlant dans le contexte de l’alignement des infrastructures sur les
des solutions certes plus coûteuses en termes
opérations, en tenant compte des exigences de nos clients, CAPEX, OPEX ainsi
de CAPEX lors de la construction, mais signifi-
que les objectifs Tier IV. Chaque test a été préparé en amont du processus TCCF
cativement efficaces dans leur consommation
(Tier Certification Constructed Facility).
énergétique. EBRC a ainsi réduit ses émissions de carbone de 10.000 tonnes par an grâce à de nouvelles technologies.
PROCÉDURES NORMALISÉES D’EXPLOITATION MÉTHODE DES PROCÉDURES PROCÉDURES D’URGENCE D’EXPLOITATION
14
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
QUELQUES PRÉCISIONS SUR VOTRE PARC DE DATA CENTRES ? Il se constitue de cinq Data Centres interconnectés, sur plus de 15.000 m² d’espace serveur certifié privé et partagé répartis sur le territoire luxembourgeois, EBRC offre des infrastructures de pointe qui répondent aux exigences les plus
UPTIME INSTITUTE TIER CLASSIFICATIONS Performanced-based, globally-accepted data center benchmarking system
élevées de ses clients. Entreprise luxembourgeoise, EBRC bénéficie
Tier I
Basic, Non-Redundant
Tier II
Redundant Capacity Components
Tier III
Concurrent Maintenance
Tier IV
Concurrent Maintenance & Fault Tolerance
d’une connectivité réseau qui permet d’accéder à 70 % du PIB européen dans un rayon de moins de 500 km. En outre, par le biais d’une connexion directe de fibre optique, le centre de données European Reliance Centre East est relié au leader mondial des opérateurs satellite, SES. Avec plus de 70 satellites répartis sur deux orbites différentes, en orbite géostationnaire (GEO) et en orbite terrestre moyenne (MEO), SES supporte des clients de tous secteurs avec des services de distribution vidéo et de transfert de données. Auteur : EBRC
Ed Rafter Principal de l’Uptime Institute, juin 2013
« Ce qui m’a le plus impressionné dans ce projet, ce ne sont pas les « choses » mais l’humain. » La leçon la plus convaincante tirée de cette démonstration TCCF d’EBRC ne se situe pas au niveau des capacités techniques de l’installation, qui sont conséquentes, mais dans le sentiment d’engagement de la direction et du personnel technique. Bruno Fery a sincèrement habilité son équipe d’ingénieurs. « Toutes les organisations de haute performance sont engagées à valoriser la contribution de leurs ressources humaines à l’organisation mais EBRC est un exemple type de cette façon de penser et de cette culture d’entreprise. Je pense que nous continuerons d’entendre parler d’EBRC et de ses succès. »
15
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
— Témoignage client
TRANSFORMATION
DIGITALE À TOUS LES ÉTAGES POUR KBL EPB
Au cours des dernières années, KBL European Private Bankers a franchi un cap fondateur pour assurer sa performance digitale en réalisant plusieurs projetsclés. La banque privée a en effet redéfini sa plateforme-métier en déployant la solution BPO du groupe Lombard Odier et en mettant en place, en partenariat avec EBRC, une nouvelle infrastructure technologique dans deux nouveaux Data Centres. Un alignement des enjeux parfaitement réussi pour établir un socle numérique pour demain.
Eric Mansuy Group Head of IT & Operations I KBL epb
16
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
La stratégie menée par KBL European Private
kers au Luxembourg. Le déploiement du nou-
consulte le marché afin de consolider son acti-
Bankers (KBL epb) est concentrée sur le posi-
veau système se poursuivra auprès des autres
vité Data Centre auprès d’un leader du marché,
tionnement du groupe comme un réseau eu-
filiales du groupe. L’ancre est levée.
tout en bénéficiant d’une large optimisation
ropéen de banques, partenaire de confiance
de l’espace alloué. Au terme du processus de
de clients privés. Dans un contexte d’inter-
BARRE À TRIBORD
nationalisation des activités de gestion et de
En parallèle, la banque a entrepris un virage
mations sensibles EBRC – European Business
transmission du patrimoine privé, les banques
stratégique pour se doter également d’une
Reliance Centre –, expert en exploitation et
de gestion de fortune font face à quantité de
plateforme technologique state-of-the-art,
opération de Data Centres certifiés Tier IV, qui
défis et d’opportunités à saisir. La performance
dans un alignement parfait des enjeux et des
est choisi pour accompagner la banque dans
opérationnelle joue un rôle-clé pour libérer les
timings. « Nous avons repensé complètement
la mise en place de la nouvelle infrastructure
ambitions soutenues par une proximité toujours
la manière dont nous organisions notre acti-
de centre de données. La feuille de route est
plus grande avec le client. Ainsi, les plateformes
vité de hub de services pour nos filiales », ex-
claire. Pour Yves Reding, CEO d’EBRC : « La
digitales sont rapidement devenues indispen-
plique Éric Mansuy, Group Head of IT & Opera-
transformation d’une infrastructure digitale
sables pour établir cette relation de confiance
tions de KBL epb. Aujourd’hui, technologie et
d’une banque constitue toujours un exercice
entre les banquiers privés et leurs clients.
opération business constituent ensemble les
particulièrement délicat et complexe. Car
solides fondations du futur de la banque.
l’activité bancaire repose entièrement sur l’IT
Cette ambition, le groupe KBL epb l’a mise
RFP, c’est le spécialiste de la gestion des infor-
et ne peut tolérer aucune interruption de ser-
positionnement géographique en développant
LE DATA CENTRE, AU CŒUR DU DISPOSITIF DE L’AMÉLIORATION CONTINUE
l’activité de ses filiales, au Luxembourg et ail-
En 2014, un constat s’est imposé à la banque :
qui permet à notre client KBL de prendre un
leurs en Europe. Début 2017 a ainsi été marqué
pour maintenir les niveaux de fiabilité et de
nouvel élan dans son cœur de métier. »
par l’entrée dans la famille KBL epb d’Insinger
sécurité élevés, les investissements à réaliser
de Beaufort, la boutique néerlandaise, rejointe
à moyen terme dans ses propres infrastruc-
TOUTES VOILES DEHORS
à l’automne par sa compatriote Theodoor Gi-
tures de centres de données étaient consé-
Plus qu’une relocalisation de centres de don-
lissen Bankiers dans la nouvelle entité Insin-
quents. Appuyé par un audit de situation
nées, la banque veut aussi réaliser un saut
gerGilissen. Plus tard, un accord préliminaire,
réalisé par les services experts d’APL, KBL epb
technologique. Les analyses des équipes
en oeuvre courant 2017 en franchissant plusieurs étapes-clés. La banque a accéléré son
vice. Nous sommes très heureux d’avoir pu contribuer, avec l’appui de nos partenaires, à la réussite de ce projet de transformation IT
soumis à l’accord des autorités de contrôle, a
KBL epb, EBRC et de leurs partenaires le dé-
été conclu avec la Société Générale de Banque
montrent : le rajeunissement des systèmes
du Liban pour la cession de KBL Richelieu
de serveurs, de réseaux et de stockage peut
(France) et KBL Monaco Private Bankers. Dans un contexte mouvant pour les affaires, l’industrie financière absorbe quant à elle toujours autant de bouleversements réglementaires, technologiques et générationnels. Le groupe KBL epb a anticipé une partie de ces étapes importantes, en s’adossant à une nouvelle plateforme informatique, G2, consommée en tant que service BPO auprès de TBI Europe, filiale du banquier privé suisse Lombard Odier. Une première du genre pour un groupe de cette stature au Luxembourg !
UN NOUVEAU CAP En janvier 2016, la Banque Puilaetco Dewaay Luxembourg a été la première filiale du groupe à migrer ses activités vers la nouvelle plateforme de services financiers. Elle a été rejointe
C’EST LE SPÉCIALISTE DE LA GESTION DES INFORMATIONS SENSIBLES EBRC, EXPERT EN EXPLOITATION ET OPÉRATION DE DATA CENTRES CERTIFIÉS TIER IV, QUI EST CHOISI POUR ACCOMPAGNER LA BANQUE DANS LA MISE EN PLACE DE LA NOUVELLE INFRASTRUCTURE DE CENTRE DE DONNÉES
prendre ses quartiers directement dans les nouveaux Data Centres. « Du neuf dans du neuf », sourit Éric Mansuy. Il s’agit donc d’implémenter les nouveaux équipements dans les nouvelles salles dédiées à KBL epb. « À un moment donné, quatre centres de données étaient interconnectés : les deux centres historiques de KBL epb et les deux nouveaux sites Tier IV d’EBRC. », relate Eric Mansuy. Cette solution a offert une latitude bien plus grande dans le projet de relocalisation des infrastructures. Les coûts associés ont été particulièrement maîtrisés puisqu’ils ont été inclus dès le plan-projet et renforcés par la souplesse du modèle offert par EBRC. « Nous avons étudié ensemble plusieurs alternatives pour le Tech-Refresh, développe Éric Mansuy. Nous avons assuré l’équilibre
la même année par KBL Richelieu et enfin en
entre notre ambition, les bénéfices inhérents
juillet dernier, par KBL European Private Ban-
à l’introduction de nouvelles technologies et
17
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
la volonté de maîtriser les risques du projet.
équipes ont construit et démontré à tous les ni-
Nous avons donc adopté une démarche pru-
veaux par leur professionnalisme qui a été la clé
dente combinant déménagement physique et
du succès. « Ce projet a bénéficié de la motivation
ré-engineering partiel de la plateforme tech-
de chacun. C’est la constance dans le langage et
nologique. Aujourd’hui, les faits nous donnent
la maîtrise dans l’exécution qui l’ont forgé. Les
raison : les opportunités technologiques sont
écueils ont toujours été résolus dans une optique
encore plus riches, notamment avec l’émer-
de recherche de résultats et je suis persuadé que
gence des services cloud. »
l’alchimie entre les équipes y est pour beaucoup », note Éric Mansuy. Dans les équipes de la banque, on est fier d’avoir réalisé avec succès un projet d’envergure qui ne se produit souvent qu’une seule fois dans une carrière.
UNE DES QUALITÉS DE L’ACTION D’EBRC ET DE SON PARTENAIRE ANIDRIS QUI L’A ACCOMPAGNÉ AUPRÈS DE KBL EPB, A ÉTÉ CETTE CONSTANCE ET CETTE RIGUEUR ESSENTIELLES AU PROJET. « SI C’ÉTAIT À REFAIRE, NOUS REPARTIRIONS SANS HÉSITER AVEC LES MÊMES PARTENAIRES. »
EBRC, LE PARTENAIRE DE VOTRE TRANSFORMATION IT
La minutie est un joli défaut dans ce type de projet
Faire du Digital un atout pour relever
complexe. Les équipes ont bénéficié du temps né-
de nouveaux défis business et gagner
cessaire en amont afin de parer à chaque imprévu.
en agilité. Renforcer la sécurité IT, pour
« Nous avons trouvé dans nos partenaires une vé-
atteindre le meilleur niveau de Cyber-
ritable expertise et nous n’avons jamais été laissés
Résilience avec les experts certifiés
à l’abandon avec une question ouverte. Chaque
d’EBRC. Accéder à la gamme de services
point a été levé et détaillé avec soin », se félicite
intégrés EBRC Trusted Services Europe
Éric Mansuy.
disposant des garanties règlementaires (PSF), des certifications métiers (PCI DSS)
MAINTENIR LE CAP
tout comme des normes internationales
Une des qualités de l’action d’EBRC et de son
ISO 27001 et ISO 20000 en toute
partenaire Anidris qui l’a accompagné auprès de
simplicité.
KBL epb, a été cette constance et cette rigueur essentielles au projet. « Si c’était à refaire, nous
AFFIRME LE GROUP HEAD OF IT & OPERATIONS DE KBL EPB
repartirions sans hésiter avec les mêmes partenaires. », affirme le Group Head of IT & Operations de KBL epb. La force démontrée a été dans la ligne directrice poursuivie et jamais déviée dans la durée. Même au terme des six phases de déménagement nécessaires pour relocaliser les
ADIEU LEGACY
deux Data Centres de la banque, aucune relâche n’était permise et n’a été à déplorer.
Les défis soulevés par le projet de migration de centres de calcul pour KBL epb ont été néanmoins
« Le point le plus remarquable de ce projet est
nombreux. Dans son design-cible, la banque a as-
que nous nous en sommes tenus à la stratégie
suré également le désengagement de son main-
issue de nos réflexions de 2014. Nous n’avons
frame. Sans place pour Legacy dans le nouveau
pas dévié d’un iota sur l’ambition. Nos exigences
Data Centre, le colossal robot d’archives du passé
étaient connues : aucune perturbation ne devait
CERTIFICATION TIER IV FACILITY
a dû lui aussi être désengagé. Des challenges sup-
être ressentie sur le projet BPO par le projet tech-
Depuis 2000, EBRC délivre à ses clients
plémentaires, qui, mis bout à bout, peuvent créer
nologique », se félicite Éric Mansuy.
100% de disponibilité dans ses Data Centres certifiés Tier IV Facility & Design.
une situation de conflit d’intérêts entre des projets KBL epb dispose de bien plus que d’une nouvelle
Décernée par l'Uptime Institute, cette
infrastructure de Data Centre à l’issue de ce pro-
certification définit la sécurité optimale
D’une part, c’est le soutien infaillible du Comité
jet. Le groupe est mieux armé encore pour rele-
des infrastructures IT et garantit
Exécutif et la transparence du projet qui ont per-
ver les opportunités du digital et faire rayonner
99,995% de disponibilité, soit moins de
mis de donner le rationnel nécessaire à une telle
l’image de la banque privée au cœur de l’Europe.
26 minutes d’arrêt cumulées par an.
tous stratégiques, pris dans leur individualité.
concordance de projets. Mais d’autre part, c’est très certainement le climat de confiance que les
18
Auteur : EBRC
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
La FinTech au cœur de l’Europe digitale — Par Jean-François Hugon, Head of Marketing, EBRC
Incontestablement, le secteur financier tradi-
ont constitué des prérequis fondamentaux pour
tionnel s’organise pour opérer sa transformation
positionner le Luxembourg comme un Eldorado
numérique dans une compétition lancée à un
pour les FinTechs européennes. À cela, il convient
rythme effréné par les FinTechs qui réinventent
aussi d’ajouter la formidable mouvance existante
processus et nouveaux modes d’usages autant en
entre les acteurs du secteur qui travaillent de
B2B qu’en B2C. Dans cette période de profondes
concert pour faire émerger des projets de grande
mutations digitales, ce sont également les ques-
ampleur et créer des coopérations industrielles.
tions de la protection des données qui amènent à
Jean-François Hugon Head of Marketing I EBRC
IT plus ombreux ayant des impacts plus forts pour
UNE PLACE CENTRALE SUR LE MARCHÉ DE LA FINANCE
les entreprises et une règlementation plus sou-
Le Luxembourg offre aussi un avantage stratégique
couronnés de succès et de donner naissance aux
cieuse du citoyen avec le RGPD. En complément
aux FinTechs, de par la place qu’il occupe sur la
nouveaux acteurs de la finance numérique. On no-
de ces premiers éléments, s’ajoutent des sources
scène internationale du marché de la finance. Le
tera enfin qu’en qualité de place financière recon-
d’inquiétude au niveau de l’Union Européenne,
pays occupe l’enviable place de second derrière
nue, le Luxembourg s’appuie et se conforme à l’en-
engendrées par le Brexit entrainant de fortes tur-
les Etats Unis dans la gestion de fonds. C’est donc
semble des normes les plus rigoureuses en vigueur
bulences, particulièrement auprès des acteurs qui
tout un écosystème qui s’offre aux entrepreneurs.
mondialement, notamment en matière de sécurité
évoluent dans le domaine de la finance, et no-
Cette position unique est un réel différenciateur qui
et de confidentialité des informations.
tamment de ces entreprises à la croissance ultra-
permet aux FinTechs d’évoluer dans un contexte
rapide que sont les FinTechs.
associant le meilleur de deux univers, celui des
Véritable « Land of Opportunity », le Luxembourg
technologies et celui du savoir-faire des métiers de
devrait donc continuer d’attirer durablement de
la finance. Il faut également rappeler que les activi-
nombreuses Startups et acteurs de la FinTech eu-
tés financières sont soumises à la règlementation et
ropéenne. Cette vague portée par le courant de
Au regard des éléments évoqués ci-dessus, force
que l’organe luxembourgeois CSSF (Commission de
l’innovation va largement contribuer à position-
est de constater que certains pays déjà attractifs sur
Surveillance du Secteur Financier) est également re-
ner le pays comme l’un des plus compétitifs et
la connaissance des métiers (banque, finance, as-
connu pour sa rigueur autant que pour sa réactivité
attractifs parmi les créateurs de Startups évoluant
surance…) ont décidé de muer en véritables places
et le support qu’il fournit au secteur. C’est un atout
dans le domaine du digital.
de marché dédiées à l’hébergement de systèmes,
que soulignent régulièrement les CEOs dans les rai-
faire bouger les lignes actuelles avec des risques
UNE RECHERCHE DE STABILITÉ ET D’EXPERTISE TECHNOLOGIQUE
sons de leur choix d’implantation. Les business models construits ont donc toutes les chances d’être
Auteur : EBRC
applications et plateformes à forte valeur ajoutée. Le Luxembourg fait incontestablement partie de ces pays et a su investir massivement, il y a plus de dix ans, pour s’imposer désormais comme l'un des acteurs phares sur le marché européen. S’ajoute l’implantation géographique du pays qui se positionne comme un carrefour incontournable au cœur de l’Europe, centre de convergence des autoroutes numériques à haute vitesse avec des réseaux performants offrant des temps de latence très bas entre les différents pays, critère essentiel dans ce secteur. Ces caractéristiques associées à des infrastructures technologiques performantes
19
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
ASSURER LA COMPLIANCE BY DESIGN
GRÂCE À LA BLOCKCHAIN
tème de smart contracts adapté, nous pouvons nous assurer que la transaction sera conforme aux exigences en vigueur. Une fois l’écosystème établi, inscrit définitivement au niveau de la blockchain, il est inaltérable et l’information peut être tracée beaucoup plus facilement. On peut garantir qu’une transaction doive répondre obligatoirement à tous les prescrits pour être validée », précise Fabrice Croiseaux.
CONSTRUIRE DES ÉCOSYSTÈMES DE CONFIANCE AVEC LE SMART CONTRACT L’enjeu est donc de pouvoir construire ces écosystèmes de confiance régulés s’appuyant sur la technologie blockchain. Pour le Luxembourg, il y a des opportunités à saisir, notamment pour accueillir des Initial Coin Offering (ICOs), ces
La plupart des régulateurs financiers sont encore prudents vis-à-vis des applications s’appuyant sur
levées de fonds effectuées en tokenisant un asset
la technologie blockchain et notamment envers les ICOs (Initial Coin Offerings). Pourtant, il est déjà
et en organisant une pré-vente pour financer le
possible de s’assurer à priori d’un total respect des règles de compliance en mettant en œuvre un éco-
projet qui permettra d’utiliser les tokens. La CSSF,
système de smart contracts spécifique prenant en compte la compliance à la source. Le secteur finan-
récemment, a encore rappelé les règles en vigueur
cier luxembourgeois, en définissant des standards d’ecosystème de smart contracts « compliant by
vis-à-vis de ces nouvelles pratiques. En précisant
design » pourrait tirer profit des nouvelles opportunités liées à cette technologie tout en renforçant
qu’elle était prête à étudier chaque projet qui lui
l‘image de la place en matière de sérieux et de compliance.
était soumis en la matière, elle rappelait aussi que dans la mesure où cela pouvait s’apparenter à la commercialisation de produits d’investissement,
Les discours autour de la technologie blockchain
hension des divers éléments qui composent la
selon sa nature, une ICO tombait sous le coup
et des crypto-monnaies insistent souvent sur
technologie blockchain, des possibilités qu’ils
de la réglementation financière. Elle en profitait,
les dérives qui y sont associées. Le fait que ces
offrent, doit nous permettre de proposer des
en outre et à juste titre, pour mettre en garde les
pratiques nouvelles d’échanges d’actifs ou d’in-
solutions efficientes en phase avec la régulation.
investisseurs tentés, en rappelant que les risques
vestissements s’effectuent totalement en dehors
Mieux, la technologie permet pour la première
étaient bien réels en l’absence de régulation. Face
du cadre de la régulation financière est souvent
fois de mettre en œuvre des « environnements
à ces nouvelles pratiques, les régulateurs euro-
relevé par leurs détracteurs et par les autori-
compliant by design » qui offriront un avantage
péens adoptent une attitude plutôt prudente en
tés elles-mêmes. « Et il est vrai que pour beau-
conséquent à la première place financière qui les
insistant sur les risques plutôt que sur les opportu-
coup de ces applications, le Bitcoin en premier
implémentera. »
nités, à raison sans nul doute.
le KYC, l’AML et la transmission d’informations
LA COMPLIANCE ENVISAGÉE À LA SOURCE
LA COMPLIANCE GRAVÉE DANS LA BLOCKCHAIN
d’ordre fiscal, étaient tout simplement inexis-
Alors que le nouveau Règlement Général sur la
En réalité, la technologie blockchain peut effecti-
tantes, constate Fabrice Croiseaux, CEO d’InTech,
Protection des Données (RGDP) a popularisé le
vement apporter des garanties plus fortes de res-
société de services numériques impliquée dans
concept de « privacy by design », la blockchain
pect de la régulation en vigueur pour les transac-
plusieurs projets blockchain au Luxembourg et
pourrait nous faire entrer dans l’ère du « com-
tions s’effectuant inchain. « Le régulateur pourrait
en Europe. Cela pose des questions et requiert
pliant by design ». Autrement dit, il s’agirait
par exemple accepter une ICO si le smart contract
des mises en garde, notamment auprès des
d’utiliser la technologie pour s’assurer à priori
qui l’implémente prenait également en charge
investisseurs qui ne sont pas protégés du tout . Il
que les transactions qui s’y exécutent répondent
certaines vérifications qui seraient systématique-
est aujourd’hui essentiel d’apporter des réponses
systématiquement aux prescrits définis par le
ment réalisées préalablement à l’acceptation des
structurées à ces enjeux. Certaines places finan-
régulateur. « Aujourd’hui, le respect des règles
transactions d’achat/vente de token, commente
cières ont démarré les travaux. La place de Paris,
édictées est vérifié a posteriori, à travers une série
Fabrice Croiseaux. Le régulateur, en validant un
par exemple, a pour objectif d’être « The Place
de contrôles et d’audits. Avec la blockchain, tout
tel écosystème, pourrait s’assurer, pour chaque
to Be » en matière d’ICO. Une bonne appré-
peut être codé au départ. A travers un écosys-
transaction par exemple, que les mesures relatives
lieu, les régulateurs n’avaient pas de marge de manœuvre. Les fonctions de contrôle, comme
20
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
au KYC et à l’AML auraient bien été réalisées par
mettant de réaliser des économies au niveau
Tiers de Confiance, nous constatons aujourd’hui
un Tiers de Confiance accrédité. Au niveau de la
du contrôle administratif, on pourrait même les
qu’il est possible et nécessaire de les réintégrer
fiscalité des ICOs, on pourrait également ins-
envisager comme un moyen de proposer une
d’une façon différente dans la chaîne de valeur
crire la retenue à la source au cœur d’un smart
fiscalité plus attractive sur ces produits financiers
pour assurer une compliance by design, garantie
contract intégré à cet écosystème et même ima-
particuliers », précise-t-il. Positionner le Luxem-
et moins chère à mettre en œuvre. »
giner que le paiement au bénéfice de l’Etat soit
bourg comme pays pionnier autour de l’ICO com-
automatiquement effectué pour chaque plus-va-
pliant permettrait, tout en offrant des garanties
lue engrangée. » Quasiment tout peut être codé
de confiance aux régulateurs européens comme
dans un smart contract. « Une telle démarche
aux investisseurs et aux entrepreneurs du monde
permettrait d’éliminer un fastidieux travail de
blockchain, de développer une nouvelle activité
contrôle administratif. Il deviendrait impossible
porteuse d’opportunités.
de frauder, la blockchain ne le permettant pas. Au
Auteur : Sébastien Lambotte, ITnation Magazine - édition été 2018
EBRC ET INTECH, MEMBRES DE LA BLOCKCHAIN
final, l’institution financière, l’investisseur et même
DES APPLICATIONS MULTIPLES
l’Etat seraient protégés. Ce seraient de véritables
L’encadrement réglementaire des ICOs au départ
L’initiative Infrachain réunit des entre-
écosystèmes de confiance régulés, impossible à
de la blockchain est une application parmi
prises ayant pour objectif d’accompagner
détourner », assure le CEO d’InTech.
d’autres. Les possibilités de garantir le respect
et de faciliter le développement de solu-
des réglementations dans d’autres contextes,
tions basées sur la blockchain.
ATTIRER LES PROJETS BLOCKCHAIN AU LUXEMBOURG
financiers ou non, sont nombreuses. « L’enjeu, aujourd’hui, est de permettre à ces écosystèmes
Organisées en groupes de travail ouverts
de smart contracts s’appuyant sur la blockchain, et
à tout acteur intéressé par l’initiative dans
pliant by design », s’ils pouvaient être approuvés
derrière à de nouveaux services, de voir le jour. À
le but de produire des cas d’usage pour
ou seulement supportés par le régulateur par
travers la plateforme Eddits.io, par exemple, nous
différents secteurs d’activité. Il s’agit
exemple, permettraient de rendre possible des
permettons à des détenteurs d’une adresse sur la
« d’établir une structure de gouvernance,
ICOs compliant depuis le Luxembourg. De cette
blockchain Ethereeum d’y associer leur identité
mettre en place une base technique
manière, nous pourrions renforcer l’attractivité de
numérique existante via Luxtrust. A partir de là, il
commune et rendre cette infrastructure
la place pour les acteurs souhaitant développer
est possible de proposer de nouvelles applica-
conforme au cadre juridique en vigueur
des activités autour de ces pratiques nouvelles »,
tions et services qui s’appuient sur la blockchain,
et ce, afin de favoriser la confiance
explique Fabrice Croiseaux. Le dirigeant d’InTech
comme des solutions e-commerce, des fonctions
pour les utilisateurs finaux et les inves-
va même plus loin. « Dans la mesure où de tels
KYC ou AML, etc. Ces environnements permettent
tisseurs », citation du gouvernement
écosystèmes permettent de garantir de nouvelles
un meilleur contrôle et assurent un niveau de
luxembourgeois (source IT Nation.lu,
recettes budgétaires, qui tomberaient automa-
confiance et de sécurité plus élevé. Alors que cette
novembre 2016).
tiquement dans les caisses de l’Etat, tout en per-
technologie semblait à même de remplacer les
L’enjeu n’est pas anodin. « De tels modèles « com-
Fabrice Croiseaux CEO I Intech
21
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
i-HUB, PLATEFORME KYC MUTUALISÉE EN GESTION CONTINUE i-Hub approche les activités de maintenance des dossiers KYC (Know Your Clients) de façon globale, à travers une plateforme de gestion en continu. Une solution unique, développée au sein de l'écosystème du groupe POST Luxembourg et opérée par EBRC. Se présentant comme un « KYC Utility », i-Hub démarre ses services en décembre 2018 avec une grande banque de la place financière au Luxembourg. D’autres acteurs comme les sociétés de gestions de fonds ou les agents de transferts ont aussi rapidement manifesté leur intérêt. La plateforme, unique en son genre, permettant l’externalisation de la mise à jour en continu et la mutualisation des dossiers KYC, suscite en effet un grand intérêt face aux coûts grandissants de la conformité réglementaire et des amendes qui se multiplient pour défaut de vigilance ! Les données sont et seront toujours au cœur
Pascal Morosini CEO I i-Hub
des activités financières et, plus généralement, des activités régulées. Celles rattachées à la connaissance des clients - que ce soit des personnes physiques ou des personnes morales - revêtent un caractère stratégique indéniable et leur fiabilité ainsi que leur mise à jour sont devenus des enjeux de sécurité. Au-delà des aspects business évidents, le poids de la mise en conformité au regard des diverses règlementations n’a cessé de croître depuis Solution Powered by EBRC
22
la crise financière de 2008.
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
c’est un gain de temps, d'argent mais surtout une
quelles informations d’identification elles dé-
Les lois et règlementations sur la lutte contre le
amélioration de l’exactitude de la donnée et des
tiennent sur vous et également de mettre à jour
blanchiment d’argent, le financement du terrorisme,
documents permettant aux professionnels de se
directement vos données personnelles et char-
la corruption et la fraude exigent un haut niveau de
concentrer sur les contrôles, l’analyse et leur cœur
ger des documents... ».
vigilance de la part des institutions financières et
de métier en externalisant auprès d’un spécialiste ! »
autres entités régulées qui doivent s’y conformer.
Pascal Morosini insiste sur la notion d’externali-
Ces dernières doivent notamment identifier, vérifier
sation d’un service de maintenance des dossiers
et classer les clients par niveau de risques qu'ils représentent. Pour cela, elles s’appuient sur des procédures de gestion des risques internes propres à chaque institution pour accepter de nouveaux clients, puis de façon récurrente tout au long du cycle de vie de la relation. « Le défi de l’industrie des services financiers est de savoir comment utiliser l'étendue et la profondeur des données disponibles ou à acquérir, pour satisfaire les régulateurs les plus exigeants, mais aussi améliorer les services aux clients, explique Pascal Morosini, CEO, i-Hub. Et pour cause : les coûts d’acquisition des données et de leur mise à jour, des contrôles de conformité et des rapports réglementaires sont de plus en plus élevés. »
I-HUB OU LE PRINCIPE DE LA MUTUALISATION
i-HUB EST UN PROJET UNIQUE , PUR PRODUIT ÉMANANT DU GROUPE POST LUXEMBOURG, TIRANT PARTI DES COMPÉTENCES DE SES DIFFÉRENTES FILIALES, DE INTECH À VICTOR BUCK SERVICES, EN PASSANT PAR EDITUS, POST TELECOM ET, BIEN SÛR, EBRC.
KYC en gestion continue couplé aux bénéfices de la mutualisation, ce qui distingue i-Hub des autres solutions de KYC. « Grâce à la surveillance continue des mises à jour des données et des documents dans un environnement contrôlé et normalisé, i-Hub évite à ses clients (professionnels régulés) de devoir gérer des plans récurrents de remédiation coûteux. »
LES GARANTIES DE PARTENAIRES SOLIDES i-Hub garantit aussi l'usage des meilleures conditions d'hébergement au Luxembourg et de sécurité chez EBRC, disposant du statut PSF (Professionnel du Secteur Financier) de support dont les activités sont régulées par la CSSF (Commission de Surveillance du Secteur Financier). « Par la nature même de l'activité, on exige de nous les garanties les plus élevées en matière de sécurité, justifie Pascal Morosini. Si le service est mutualisé, il n'est toutefois pas
groupe POST Luxembourg, créée en 2016. Le
POUR LE SECTEUR FINANCIER... ET AUTRES ENTITÉS RÉGULÉES
principe est simple, la plateforme hautement
i-Hub améliore la collecte de la documenta-
Centres certifiés Tier IV d’EBRC. L’accès à la plate-
sécurisée permet la gestion des documents et
tion d’identification client, offrant une effica-
forme est également renforcé via un moyen d’au-
des données clients des entités dites « régulées »
cité opérationnelle significative. Une évolution
thentification avec LuxTrust. Et si, initialement, le
de façon centralisée et mutualisée. Les services
bienvenue par rapport aux fastidieux processus
recours à la blockchain a été envisagé, il a été écarté
englobent la collecte des données d’identification,
d’enregistrement de clients souvent basés sur
du fait même de l'importance du « document repo-
leur vérification et validation, mais aussi leur gestion
papier. « Nous pouvons donc proposer un seul
sitory ». Avec nos partenaires InTech et EBRC, nous
en continu et leur stockage sous forme numérique.
et même dossier KYC numérique et sécurisé
avons sélectionné la technologie la plus appropriée
La plateforme est facile d’accès pour les institutions
aux institutions, telles que banques, assureurs,
permettant de supporter au mieux les aspects mé-
régulées ainsi que leurs clients sous-jacents.
sociétés de gestion, dépositaires de titres etc.,
tier pilotés par l’expérience de nos compliance offi-
ce qui réduit considérablement les duplications
cers. Nous ne pouvons que nous en féliciter ! »
C'est dans ce contexte qu'opère i-Hub, filiale du
dans le cloud public. Nous avons opté pour le mode ‘on premise’ au Luxembourg, opéré dans les Data
« i-Hub supprime la nécessité pour ces institutions
d’efforts aussi bien pour ces institutions que
et leurs clients de fournir plusieurs copies de
pour leurs clients, poursuit Pascal Morosini. Qui
En ce sens, i-Hub est un projet unique qui adresse
documents, en fonction du nombre de leurs
plus est, les clients finaux peuvent contrôler où
une problématique de gestion du KYC grandissante,
contreparties et de leurs relations, poursuit Pascal
et quand leurs données sont partagées via la
pur produit émanant du groupe POST Luxembourg,
Morosini. La plateforme atténue de manière
plateforme et une App, et cela conformément
en tirant parti des compétences de ses différentes
significative les risques et les inefficiences grâce à un
aux critères du RGPD, le règlement européen
filiales, de InTech à Victor Buck Services, en passant
environnement de contrôle robuste et résilient où
relatif à la protection des données. Autrement
par Editus, Post Telecom et, bien sûr, EBRC.
les données et documents sont classés en fonction
dit, en tant que client de ces institutions, vous
du niveau de vigilance demandé. Concrètement,
êtes en mesure de vérifier personnellement
Auteur : Alain de Fooz, Soluxions Magazine et EBRC
23
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
Céline
Bardet
est
juriste
et
enquêtrice
internationale spécialisée dans les crimes de
LE DIGITAL
NOUVELLE ARME DANS LA RECONNAISSANCE DES VIOLS EN TEMPS DE GUERRE Dans le cadre de ShareIT, le programme Tech for Good de Station F à Paris, InTech et EBRC accompagnent le projet « We Are Not Weapons of War ». Celui-ci entend recourir au digital pour lutter contre les violences sexuelles perpétrées dans le cadre de conflits armés. La mise en œuvre d’une plateforme digitale sécurisée doit permettre de recueillir les signalements de ces exactions, de venir en aide aux victimes et d’instruire des dossiers pour, enfin, envisager une réparation judiciaire.
guerre. En 2014, elle fonde l’ONG We Are Not Weapons of War (WWoW). Souvent bien éloignée du monde technologique, elle passe une grande partie de sa vie dans des zones de conflits. « Je vais sur le terrain, à la rencontre des victimes, notamment pour recueillir des éléments pouvant servir à la poursuite de violences et crimes commis envers des peuples », explique-t-elle. Depuis plusieurs années, ce sont les violences sexuelles perpétrées dans le cadre de conflits qui la préoccupent. « Face à ces crimes, nous sommes confrontés à plusieurs problèmes. D’abord, les victimes se trouvent le plus souvent contrôlées par des groupes armés, avec peu de liberté de mouvement, au point d’être dans l’impossibilité de se rendre chez un médecin. Suite à ces actes de violence, au trauma physique et psychique qui en découle, il y a aussi un risque de stigmatisation au sein de la communauté, un sentiment de honte, qui fait que les victimes préfèrent se taire », commente la juriste. L’action de WWoW vise à éduquer et informer sur le viol en tant qu’arme de guerre dans les conflits, à accompagner les institutions locales dans le processus judiciaire, à soutenir les victimes en travaillant sur le trauma et leur réhabilitation.
LA TECHNOLOGIE POUR VENIR EN AIDE AUX VICTIMES « La situation des victimes, l’impossibilité pour elles de se déplacer, rend difficile le signalement de ces actes odieux, et au final, leur poursuite devant un tribunal international », commente Céline Bardet. La juriste et entrepreneuse sociale souhaite remédier à cette situation en recourant notamment aux technologies digitales. WWoW
Solution Powered by EBRC
a intégré l’incubateur ShareIT, à Paris, avec l’intuition que le numérique pourrait être mis au service de cette cause humanitaire. « Contrairement aux idées véhiculées en Europe, les personnes dans les pays concernés par ces agressions sont bien connectées, avec des tablettes, des smartphones, la 3G. Il y avait, à mes yeux, un moyen d’utiliser la technologie pour recueillir les signalements de ces actes, tout en veillant à la sécurisation des échanges, pour pouvoir ensuite mieux aider ceux qui en sont victimes », explique-t-elle.
24
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
UNE PLATEFORME POUR SIGNALER LES PROBLÈMES
sexuelle, renseigner les informations essentielles et transmettre des documents relatifs à la situation,
Dans le contexte de ShareIT, en collaboration avec
comme des photos des blessures par exemple, ex-
InTech et EBRC, partenaires du programme, WWoW
plique Fabrice Croiseaux, CEO d’InTech. Il est aussi
a donc imaginé une nouvelle application. « La vo-
important que les documents transmis ne puissent
lonté est de donner un outil adapté aux personnes
pas être interceptés par d’autres acteurs en lien
concernées par ces actes, les victimes elles-mêmes
avec ces exactions, par exemple. « La solution met
ou les témoins, précise Céline Bardet. L’idée est
en œuvre les technologies récentes, et a notam-
de mettre l’outil entre les mains de la victime, en
ment recours à la blockchain pour garantir l’intégri-
respectant sa volonté de se signaler ou non, en
té des signalements et des documents transmis. »
veillant à la protéger. Pour chaque alerte, nous informations, qui ne sont pas stockées ou visibles
GARANTIR LA PROTECTION DE DONNÉES CRITIQUES
sur le téléphone de la victime, et pouvons mettre
La plateforme est hébergée au sein des Data
en place des procédures pour l’aider. » L’idée est
Centres d’EBRC au Luxembourg, acteur européen
d’avoir une solution globale à impact local. Pour
spécialisé dans le domaine de la gestion de l’infor-
chaque signalement, des relais locaux peuvent être
mation sensible. Son expertise permet de garantir
mobilisés pour venir en aide aux victimes avec leur
la protection des échanges ainsi que l’intégrité des
consentement, comme le médecin le plus proche.
documents reçus, afin de s’assurer qu’ils soient
Et, au-delà, la consolidation des signalements et
recevables devant un tribunal, et ce même si le
des informations permet de monter des dossiers
procès devait intervenir plusieurs années après
qui pourront être défendus devant la justice.
les événements. « Depuis toujours, notre mission
sommes prévenus à Paris, où nous récoltons les
UN ENJEU DE SÉCURITÉ FORT
L’ESPOIR D’UNE RÉPARATION POUR LES VICTIMES, QUI ENTRE EN RÉSONANCE DIRECTE AVEC L’UNE DE NOS VALEURS FONDAMENTALES QU’EST LA RÉSILIENCE, EST AUSSI DIRECTEMENT LIÉ À LA PRÉSERVATION DE CES INFORMATIONS
est de créer la confiance dans les services numériques, notamment en développant une expertise
WWoW a pu compter sur l’expertise d’InTech et
dans la gestion et la protection des données sen-
d’EBRC pour concrétiser cette plateforme. Les deux
sibles, en garantissant la sécurisation et la disponi-
sociétés luxembourgeoises ont envisagé ensemble
bilité du service, assure Yves Reding, CEO d’EBRC.
le développement de la solution devant répondre
En l’occurrence, on parle ici de données extrême-
aux besoins spécifiques de WWoW.
ment critiques, dont dépend la vie de personnes se trouvant dans des situations dangereuses à
« Il y a un enjeu de sécurité fort. Les témoins ou vic-
travers le monde. D’autre part, l’espoir d’une ré-
times doivent pouvoir se signaler de manière sécu-
paration pour les victimes, qui entre en résonance
risée. L’interface a donc été pensée pour être facile
directe avec l’une de nos valeurs fondamentales
à utiliser et ne laisser aucune trace sur le téléphone.
qu’est la résilience, est aussi directement lié à la
À travers elle, chacun peut signaler une violence
préservation de ces informations. »
Auteur : Sébastien Lambotte, ITnation Magazine - édition printemps 2018
EBRC, PARTENAIRE DE SHAREIT ET DU PROJET « WE ARE NOT WEAPONS OF WAR » A ÉTÉ RÉCOMPENSÉ AUX TROPHÉES DE LA TRANSFORMATION NUMÉRIQUE 2O18, À PARIS À travers ShareIT et le projet développé au service de WWoW, InTech et EBRC démontrent que l’on peut innover avec le numérique pour répondre à des défis de nos sociétés au service de l’humain. « Ce projet est la preuve que l’écosystème d’acteurs digitaux fédérés autour de ShareIT, parmi lesquels se trouvent les deux acteurs luxembourgeois que nous sommes, peut parvenir à créer une vraie valeur ajoutée au moyen de la technologie pour mieux servir une cause mondiale essentielle », conclut Yves Reding.
25
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
BIOLOGIE MÉDICALE SECTEUR SOUS HAUTE TENSION Solution Powered by EBRC
Entre amélioration de la qualité des soins aux patients, optimisation des services à disposition du corps médical et pression budgétaire accrue, le secteur de l’analyse en biologie médicale est en pleine mutation. Focus sur myLAB®, un écosystème de santé numérique développé par le laboratoire d’analyses médicales BioneXt LAB, constituant une interface évolutive de communication entre professionnels de santé et patients.
Pour Dr Jean-Luc Dourson, dirigeant-fondateur de BioneXt LAB, la biologie médicale est plus que jamais un secteur d’avenir. « L’analyse médicale est un élément clé du parcours de soins, le biologiste médical et les analyses de laboratoire contribuant dans quasi 70% des cas au diagnostic des maladies et au suivi de leur traitement. » Cependant, la biologie médicale privée est un secteur hautement concurrentiel sous pression, notamment tarifaire. De nouvelles réglementations ont induit une baisse notable du nombre de prescriptions. « Même si la révision de la nomenclature des laboratoires d’analyses était devenue nécessaire car elle était totalement périmée sur un plan structurel et médicotechnique, sa complexité est telle qu’il est quasiment impossible pour un médecin de savoir si les analyses qu’il prescrit seront ou non remboursées par la caisse de maladie », poursuit Dr Jean-Luc Dourson. Outre le fait que les laboratoires d’analyses médicales n’ont pas d’autre choix que de facturer au patient la part non remboursée par la CNS dans le cadre du tiers payant, les nouvelles règles de prescription s’attaquent également à la liberté thérapeutique des médecins.
LA PRESCRIPTION ÉLECTRONIQUE COMME RÉPONSE À LA COMPLEXIFICATION DE LA NOMENCLATURE BioneXt LAB vient d’intégrer la prescription électronique dans myLAB®, son interface évolutive de communication entre laboratoires, médecins, professionnels de santé et patients. Et le dirigeant-fondateur de BioneXt LAB d’ajouter qu’à cette fin, « la solution EBRC garantit un bon fonctionnement de l’infrastructure informatique de notre laboratoire, nous permettant de rendre un service fiable et hauteDr Jean-Luc Dourson Dirigeant-fondateur I BioneXt LAB
26
ment disponible à nos médecins et patients. » Désormais, les médecins peuvent générer une
RELEVER LE DÉFI DE LA CONFIANCE | LE MAG EBRC | ÉDITION 2O18 - 2O19
prescription électronique sur base des règles de
Cette solution de gestion de l’anxiété et de la
la nomenclature en vigueur. Le calcul du coût
douleur combine des approches thérapeutiques
au patient se fait automatiquement, comme la
validées et la Réalité Virtuelle. La diminution du
génération automatique des accords de paie-
niveau de détresse émotionnelle lié à l’acte de
ment pour les patients ainsi que des éventuels
prélèvement est estimée à 82%. Une application
formulaires de consentement. La pertinence
dédiée aux enfants à partir de 6 ans permet de
de la solution myLAB® se traduit déjà par son
réaliser la prise de sang en deux minutes sans
intégration dans l’ensemble des logiciels de ca-
que l’enfant ne remarque quoi que ce soit.
binets médicaux.
DE NOUVEAUX SERVICES DE PRÉLÈVEMENT AVEC PICKEN DOHEEM
BioneXt LAB est un laboratoire luxem-
UN SECTEUR D’AVENIR
bourgeois d’analyses de biologie médi-
« Que ce soit au niveau des contraintes écono-
cale. Depuis le 2 Juin 2017, BioneXt LAB
miques qui varient brusquement ou de l’évolution
s’est doté d’une nouvelle plateforme
technologique galopante, le secteur de l’analyse
technique d’analyses capable de couvrir
L’ambition de BioneXt LAB, par son approche col-
médicale se retrouve face à de nombreux défis.
tous les besoins de la biologie médicale
laborative, est de déployer des outils d'analyses et
La biologie médicale est un secteur d’avenir tant
et répondant aux dernières évolutions
des services associés dans le cadre d’un processus
au niveau de son importance croissante dans le
des normes de qualité.
d’amélioration continue au service du patient.
diagnostic médical que du point de vue de l’intégration des nouvelles technologies. Chez BioneXt
Depuis cette plateforme, BioneXt LAB
C’est ainsi qu’a vu le jour « Picken Doheem », pre-
LAB, nous avons décidé de considérer cet envi-
assure la prise en charge des examens
mier et unique service mobile et gratuit au Luxem-
ronnement particulièrement challenging comme
de laboratoire des patients ambulatoires
bourg permettant de réaliser sa prise de sang à
une chance de nous démarquer par la pertinence
du CHEM (Centre Hospitalier Emile May-
l’adresse de son choix et à un horaire ponctuel.
des solutions et services que nous proposons aux
risch) et du réseau Picken Doheem.
médecins et aux patients. Notre transformation « Arrivant au terme d’un processus de modernisa-
digitale s’inscrit dans une logique de médecine
BioneXt LAB se distingue par une ap-
tion, nous avons pris la décision de regrouper l’en-
4P : Préventive, Participative, Prédictive et Person-
proche résolument collaborative ayant
semble des services de prélèvement liés à BioneXt
nalisée. La plus-value de l’inventivité réside certes
pour objectif de déployer des outils
LAB sous la bannière Picken Doheem. Avec Picken
dans son utilité en tant qu’outil de l’expansion
d'analyses et des services associés per-
Doheem, vous pouvez vous faire prélever où vous
de la patientèle, mais c’est avant tout un vecteur
mettant d’améliorer la prise en charge
voulez : chez vous, sur votre lieu de travail ou dans
d’amélioration de la prise en charge du patient par
du patient par le clinicien.
l’un de nos 40 centres de prélèvement », déve-
les professionnels de santé. Nous sommes tous
loppe Dr Jean-Luc Dourson.
concernés en tant que patient potentiel », conclut
LA RÉALITÉ VIRTUELLE AU SERVICE DES PHOBIQUES DE LA PRISE DE SANG Selon les chercheurs, 5 à 10% de la population souffrirait, à des degrés divers, de trypanophobie, plus communément appelée phobie des
Dr Jean-Luc Dourson. Auteur : EBRC
POUR BOOSTER SA CROISSANCE, LE LABORATOIRE LUXEMBOURGEOIS BIONEXT LAB S’APPUIE SUR 3 AXES STRATÉGIQUES :
piqûres. Pour ces personnes, la prise de sang relève du véritable calvaire. C’est pour leur venir en aide que Picken Doheem équipe trois de ses centres de prélèvements (Luxembourg Belair, Heisdorf et Schifflange) de casques de réalité
DIGITALISATION HARMONISATION DES SERVICES RÉALITÉ VIRTUELLE
virtuelle. Pour ce faire, un partenariat a été noué entre
« Notre laboratoire traite des données de santé hautement sensibles.
BioneXt LAB et Oncomfort, une start-up spécia-
Nous avons trouvé en EBRC un partenaire fiable qui comprend les enjeux spécifiques
lisée dans la réalité virtuelle à usage clinique, afin
de notre métier », Dr Jean-Luc Dourson, dirigeant-fondateur de BioneXt LAB.
qu’elle développe une application multilingue incluant le luxembourgeois et le portugais.
27
5, rue Eugène Ruppert L-2453 Luxembourg www.ebrc.com/contact
