ITnation #09 - avril 2008 by ITnation Luxembourg

LUXEMBOURG

AVRIL 2008 / N°09

IT FINANCE

ACTUAL IT

New Access

Namestock

Microsoft

Arrived ! p.22

À vos marques p.68

2008 Series p.65

LE GRAND DOSSIER SÉCURITÉ s Spécial IAM, Risk and Security Management

ING : IT New Generation

LE GRAND ENTRETIEN Philippe Gusbin Membre du Comité de Direction, OPS & IT

ING LUXEMBOURG EN KIOSQUE - LUXEMBOURG Eur 7.50

: Les meilleures offres d’emploi IT au Luxembourg - P78 ITN_019_ITnews_04_avril_couv.indd 1

10/04/08 16:15:51

#" !& & " " ! ! ! !& & " ! " !" ! ! " ! ! ! # # ! ! "! ! ! " !& # !&

! ! & ! # " ! ! !

& ! ! !!

! " ! ! ! ! !

! ! $ ! ! " ! & ! & " % ! ! " & # & " ! & "! ! ! ! ! "! ! ! & " " ! ! ! ! ! # ! ! " "! & " ! ! ! ! ! & " ! $ ! ! ! # !

& ! ! ! " $ ! ! ! # & & ! # ! & ! " !

! $

ITN_019_ITnews_04_avril_couv.indd 2

10/04/08 10:42:34

est un magazine 83 rue de Hollerich L-1741 Luxembourg Grand-Duché de Luxembourg T. +352 26 10 86 26 F. +352 26 10 86 27 E. info@itnews.lu Internet: www.itnews.lu Eric Busch Directeur de la publication M. +352 691 43 45 45 eric.busch@itnews.lu Delphine Reuter Journaliste delphine.reuter@itnews.lu Raphaël Henry Rédacteur M. +352 691 99 11 57 raphael.henry@itnews.lu Émilie Mounier Chef de projet M. +352 691 99 11 56 emilie.mounier@itnews.lu Aurélie Rebel Assistante de production aurelie.rebel@itnews.lu Photography Raoul Somers www.raoulsomers.lu Avec la complicité de la Philharmonie de Luxembourg Merci particulièrement à Dan Vinkowski www.philharmonie.lu Photos ITnews 2.0 www.itnews-photos.com Layout Piranha et Petits Poissons Rouges itnews@piranha.lu Abonnements Luxembourg 75,- ` - Europe 85,- ` www.itnews.lu

ITnews 2.0, anciennement LuxBox IBAN LU53 0030 7526 7288 1000 BIC BGL: BGLLLULL TVA LU 19730379 RC Luxembourg B 95210 Maison d’éditions Autorisation d’établissement N° 102739 © Toute reproduction, même partielle, est soumise à l’approbation écrite préalable de l’éditeur. Tous droits réservés. ITnews2.0 est membre de Luxorr - Luxembourg Organization For Reproduction Rights info@luxorr.lu

ITN_018_ITnews_03_avril_03>20.indd 3

Feu vert à une sécurité ambitieuse Bienvenue dans l’univers de la Sécurité 2.0 ! Un monde où les entreprises ne veulent plus cadenasser leurs accès, mais responsabiliser leurs utilisateurs. Un concept où le mythe du business comme île intouchable a perdu sa cohérence. Une réalité enfin, pour les acteurs de la sécurité, qui sont confrontés chaque jour aux mêmes problématiques. Dans un modèle économique globalisé, l’explosion du volume de l’information et la multiplication des canaux de communication posent de sérieux défis au business. Or, la sécurité a toutes les clés en main pour devenir un domaine majeur de l’IT. Conscientisation des utilisateurs, contrôle des menaces, accès à internet, traçabilité… les thèmes qui, au final, déterminent ce que sont et veulent les utilisateurs de l’IT : des solutions fiables, faciles, accessibles. La sécurité ne pose plus des limites, elle soutient des ponts pour permettre d’aller plus loin. Le mal nécessaire peut-il donc enfin fournir de la valeur ajoutée ?

Oui, la sécurité 2.0 peut être une opportunité. Pourquoi est-il si compliqué de témoigner ? Parce que connaître une solution de sécurité et, pire, en parler, équivaut souvent à exposer les secrets des systèmes IT. La sécurité est transparente, ou invisible. Tant mieux, se dit-on encore souvent. Pourtant, le pari mérite d’être pris. Pour cela, les entreprises doivent changer d’approche. Finis les murs, les cuirasses, les boucliers. Vive la prise de risque… consciente. Pour devenir plus visible, plus tangible, elle doit aussi être portée par ceux qui la connaissent le mieux : les RSSI. À quand un système de certification inspirée du Guide Michelin, dont les étoiles seraient attribuées aux entreprises les plus innovantes en matière de sécurité ?

Delphine Reuter

14/04/08 18:56:15

B)6&B8.B3DUFHO LQGG

ITN_018_ITnews_03_avril_03>20.indd 4

14/04/08 18:56:16

///////// LE GRAND ENTRETIEN

Philippe Gusbin et Bernard Lhermitte : ING Luxembourg sur mainframe 2.0

///////// ACTUAL IT Mobilité à tous les étages

LuxPET

Conférence ITnews

Communications limpides

///////// LE GRAND DOSSIER CSSF et Clussil

Symantec

Regards croisés sur le RSSI

LuxTrust

Zeropiu

So far, so good

Luxembourg : I AM attractif

CASES

Verizon Business

Les nouvelles menaces sous contrôle

Le risque est une opportunité

IBM

50 54

Dimension Data La fin des systèmes châteaux forts

W7 au service de l’audit

Accenture

///////// IT FINANCE

L’IAM, révélateur d’expertise

New Access Les clés pour le Relationship Manager

Sécurité 2.0 : le défi

///////// ACTUAL IT

Microsoft 2008

///////// PORTRAIT

Fast Close & XBRL

Liquidités à la DVB Bank

Claude Lüscher Embrace and enhance

Zoom sur les end-users

Responsabilité

Namestock de A à Z

EN MAI 2008… LE GRAND DOSSIER SERA CONSACRÉ À L'OUTSOURCING Conférence Outsourcing et PSF : Le 15 mai 2008 – Espace Entreprise de la Confiserie Namur – Luxembourg Hamm Clôture: 28 avril 2008 / Rédaction: raphael.henry@itnews.lu / Régie publicitaire et infos conférence: emilie.mounier@itnews.lu

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 5

14/04/08 18:56:19

LE GRAND ENTRETIEN

Philippe Gusbin

BUSINESS DECISION MAKER

ING Luxembourg : Nouveaux horizons

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 6

14/04/08 18:56:22

/////////// LE GRAND ENTRETIEN

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 7

14/04/08 18:56:24

BUSINESS DECISION MAKER

Philippe Gusbin, qui est ING Luxembourg ? ING Luxembourg est une banque qui est présente sur la Place grand-ducale depuis plus de quarante ans - depuis les années ’60 - et qui possède donc un track record assez long. Les dénominations ont été différentes à travers le temps, notamment avec le Crédit Européen, puis aujourd’hui avec ING Luxembourg.

Pour quels clients ? ING Luxembourg est une banque universelle, ce qui suppose que nous servons différents types de clientèle. La première est une clientèle de Private Banking - un pôle important pour la Place luxembourgeoise. En effet, le groupe a pris la décision, il y a un an, de rassembler ici à Luxembourg tout le know-how en matière de gestion centralisée et de sélection de fonds tiers à destination de la clientèle Private Banking. Ainsi, toutes les compétences du groupe ont été concentrées sur Luxembourg, après une ‘compétition’ entre les différents pays où ING est actif dans le Private Banking… Le deuxième type de clientèle, c’est la clientèle Retail, de particuliers, pour laquelle nous avons un réseau d’une quinzaine d’agences - qui dessert aussi la clientèle privée par ailleurs.

Bernard Lhermitte, Head of IT d'ING Luxembourg

Enfin, nous avons une clientèle d’entreprises - nous l’appelons Wholesale - où nous retrouvons aussi bien des groupes multinationaux (WRM), que des grosses et moyennes entreprises. Ce sont donc des entreprises de taille différente, avec des approches stratégiques du groupe ING adaptées. Ainsi pour les WRM, le pilotage de la relation est global au niveau du Groupe, et pour les large et mid corps, nous avons des pilotes plus locaux ou régionaux - ce qui est principalement le cas ici au Luxembourg. Au niveau du groupe, les compétences d’ING Luxembourg sont souvent utilisées pour effectuer des opérations d’envergure. Dans les autres activités Wholesale, il y a encore les Financial Institutions, qui sont les compagnies d’assurances, les PSF, etc…, et enfin, le Financial Markets, le Financial Engineering.

AVRIL 08

CMY

ITN_018_ITnews_03_avril_03>20.indd 8

14/04/08 18:56:25

BUSINESS DECISION MAKER

Avez-vous d’autres activités localement ? Nous avons aussi une clientèle interne groupe importante pour laquelle nous prestons pour des clients comme IIM, l’Asset Manager du groupe, et IPCM, l’entité de gestion de fonds destinés à la clientèle en Private Banking. Ainsi, les services Transfer Agent et Custody liés à l’industrie des fonds sont prestés chez ING Luxembourg. Nous sous-traitons aussi certaines activités, notamment sur le Fund Admin.

progression de 35 %, où tous les segments ont contribué, de manières diverses, au résultat d’ensemble. La diversité de nos activités génère une certaine complexité de gestion, mais cela permet surtout d’assurer une certaine homogénéité des performances dans les résultats fournis. ING Luxembourg, dans le groupe ING, preste toujours bien et même très bien… L’année 2007 a été particulièrement exceptionnelle pour ING Luxembourg. C’est une bonne nouvelle et surtout, cela nous permet de nous positionner au niveau des axes stratégiques importants du groupe.

Quelle est la taille d’ING Luxembourg ?

Qu’est-ce qui est stratégique pour vous ?

Nous occupons 830 collaborateurs et selon les critères et segments, nous sommes considérés comme la quatrième banque de la Place. Au niveau grand-ducal, nous retrouvons donc ING Luxembourg, ING Lease et Car Lease (leasing et car leasing à destination des entreprises), ainsi qu’ING Life (nos prestations d’assurances à destination de la clientèle Retail et Private Banking).

Pour ING Luxembourg, un des premiers axes, c’est la croissance. Chaque métier doit générer de la croissance, développer son fonds de commerce et trouver de nouvelles sources de revenus.

Elles sont très diverses, ces compétences ? Oui effectivement, et lorsque l’on va parler d’IT, il s’agira donc d’un vrai exercice. Car lorsque nous devons adresser des problématiques Retail, Private Banking, Fonds, Wholesale (de WRM, les grandes entreprises, aux PME) ou Financial Markets, ce n’est effectivement pas la même chose… Cela relève d’un défi permanent pour l’ensemble de l’organisation.

Et la croissance est au rendez-vous… Pour 2007, l’ABBL a fourni des résultats au niveau du monde bancaire luxembourgeois que l’on voit faiblement évoluer. Au contraire, L'Annonce_Avaloq_2007_210x45mm-left-hand-page.pdf au niveau d’ING Luxembourg, on note une

Un autre axe stratégique qui est évident, c’est l’orientation client, le client au centre de nos préocupations («customer centricity»). Cela tombe sous le sens, mais il ne suffit pas seulement de le dire, il faut aussi le faire… Et c’est là toute la différence. J’en arrive à un troisième axe, c’est le «Focus on Execution». Il ne suffit pas seulement d’avoir des idées et de les avoir priorisées, il faut réussir à les implémenter.

Est-il plus facile ou plus difficile d’être concret localement ? ING Luxembourg est une entité qui preste bien. Nous nous trouvons dans un contexte au Grand-Duché de Luxembourg qui est un peu particulier. Tout ceci fait que nous intégrons, bien évidemment, les politiques groupe, mais que nous avons aussi une certaine indépendance, entre autres 30.11.2007 13:39:05 au niveau de l’IT. La stratégie IT est définie

à partir de Luxembourg. Elle est bien sûr alignée sur la stratégie IT du groupe. Nous ne le faisons pas seuls et nous souhaitons utiliser toutes les compétences et réutiliser ce qui existe dans le groupe. Nous sommes très pragmatiques ; nous ne sommes pas un centre de recherche, nous sommes là pour implémenter.

Bernard Lhermitte, pouvez-vous nous donner un exemple ? On considère qu’être dans un groupe comme ING, c’est une réelle opportunité car ING possède un certain poids sur le marché, notamment vis-à-vis des fournisseurs. Même si à Luxembourg nous avons une certaine autonomie, nous jouons la synergie avec le groupe. Concrètement, on vient de terminer un projet de migration du mainframe pour notre architecture informatique. Nous étions sur Bull depuis une vingtaine d’années et désormais nous sommes passés sur IBM. Dans ce cas de figure, nous avons vraiment fait jouer la synergie de groupe, car IBM est un fournisseur standard du groupe et nous avons aussi pu profiter directement des compétences existantes d’ING. En effet, le paramétrage de ce nouveau mainframe a été réalisé avec l’aide de nos collègues hollandais du groupe. Un autre axe de synergie touche aussi notre environnement de développement qui va être centralisé aux Pays-Bas. Les machines se trouvent là-bas, dans un environnement très élaboré. Les gens de l’IT resteront ici et développeront toujours à partir d’ici, bien évidemment avec des données banalisées.

D’autres exemples ? Au niveau des applicatifs, nous utilisons Kondor+ pour la salle des marchés qui est centralisé pour tout le groupe. Notre activité est gérée à partir de Luxembourg mais sur des applicatifs centralisés. Par contre à côté

ITN_018_ITnews_03_avril_03>20.indd 9

14/04/08 18:56:26

BUSINESS DECISION MAKER

de cela, on développe en local pour notre clientèle Retail et Private Banking, à la fois en termes de front-office et de back-office, et on développe des applications localement avec nos propres choix technologiques et notre propre architecture applicative. Ce sont vraiment des approches très complémentaires qui accroissent nos capacités à supporter le business…

C’est donc une approche orientée re-usability ? C’est une approche très pragmatique : ce qu’on peut réutiliser est le mieux. On ne veut pas réinventer les choses si cela n’est pas nécessaire. Cela fonctionne parce qu’au niveau de l’entité, on a de bons résultats et de ce fait une bonne autonomie dans nos choix. Entre les Pays-Bas et la Belgique, la synergie du groupe est encore plus importante, car les volumes sont différents et les gains de pro-

ductivité plus significatifs. Un élément important, c’est aussi le secret bancaire à Luxembourg : on ne peut pas tout se permettre en termes de synergie, et il y a des données qui doivent impérativement être traitées ici… Vous êtes reconnus par le groupe pour certaines compétences. Pouvez-vous envisager de les développer encore plus ? Au niveau du Private Banking, le groupe a décidé de centraliser cette activité de gestion à Luxembourg parce qu’il y a des compétences métier évidemment, mais aussi parce qu’il y a des compétences IT capables de supporter cette activité. Cela s’est fait de manière transparente avec ING, car on avait déjà une partie de ces activités, et seuls les volumes ont augmenté. Et on était capable de les supporter. C’est aussi le cas sur les fonds de tiers : on a centralisé les flux d’autres entités du groupe ici, à Luxembourg. Ce n’est pas qu’une problématique IT, mais un service global…

Philippe Gusbin, c’est aussi important de pouvoir capitaliser sur cela dans un contexte réglementaire européen très changeant ? L’aspect réglementaire et de gestion de risque est de plus en plus présent. Ce sont des compétences qui se développent de plus en plus à l’intérieur du groupe et c’est la même chose pour l’ensemble de nos confrères et concurrents. C’est une implication non neutre. Régulièrement, au niveau de l’IT, c’est une charge de développement très lourde. À cela s’ajoutent les spécificités du GrandDuché de Luxembourg que nous tenons à respecter. Bernard Lhermitte : Ainsi au niveau de l’IT, nous sommes habitués de longue date à tout ce qui est Compliance en respectant le secret bancaire local. Par exemple, en termes de ségrégation des tâches, nous sommes très bien avancés…

Philippe Gusbin, dans ce contexte, quels sont les éléments qui vous ont le plus marqué ces derniers temps ? Sepa, Mifid, Bâle II… Et là on voit l’avantage de faire partie d’un grand groupe. Ce sont des projets qui ont été gérés de façon globale afin d’assurer une cohérence à travers l’ensemble, mais tout en assurant une certaine souplesse dans l’implémentation locale. C’est un bon élément de gouvernance. Il y avait un steering committee et une gestion de projets globaux dans lesquels ING Luxembourg, comme d’autres entités, se sont intégrées. Cela nous a permis dans certains cas de ne pas avoir à analyser certaines choses et de gagner beaucoup de temps et délivrer plus rapidement. Bernard Lhermitte : Tous les projets que l’on a cités sont des projets qui ont été adoptés par toutes les banques de la Place, mais pour ING, étant donné que nous sommes cotés sur le marché américain, nous avons aussi dû mettre en place un projet SOX (Sarbanes-Oxley). C’est un projet réglementaire très contraignant. Cela nous a obligés à nous poser d’autres questions et est une charge supplémentaire non négligeable.

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 10

14/04/08 18:56:29

leasing made smarter

Leasing privĂŠ Leasing operationnel Leasing professionnel Gestion personnalisĂŠe de flottes Le sur mesure de la gestion de parc

leasing made smarter

CARTRUST SA 11, RUE DE BITBOURG L-1273 Luxembourg-HAMM Tel : (+352) 26 34 35 - 1 E-Mail : info@cartrust.lu www.cartrust.lu

ITN_018_ITnews_03_avril_03>20.indd 11

14/04/08 18:56:31

ITN_018_ITnews_03_avril_03>20.indd 12

14/04/08 18:56:35

BUSINESS DECISION MAKER

Philippe Gusbin, c’est une charge, mais cela peut-être aussi un atout… Lorsque vous faites ce genre de chose, lorsque vous passez au crible votre organisation,… c’est une contrainte, c’est une charge, mais vous en tirez toujours quelque chose. C’est comme en matière de Risk Management, c’est une problématique qui est de plus en plus présente. On parle de Bâle II, de la problématique des risques opérationnels, mais aussi des risques IRM (Information Risk Management), des risques de marché, des risques de crédit, des risques de sécurité,… Toutes ces approches sont maintenant beaucoup plus globales, plus holistiques, plus complètes. Cela génère un certain formalisme, mais cela apporte une bien meilleure connaissance des risques potentiels qui existent dans une organisation.

Cela draine-t-il la performance ? Oui, lorsque vous maîtrisez bien vos risques, c’est que vous vous connaissez mieux. Et si vous vous connaissez mieux, vous pouvez vous améliorer… Bernard Lhermitte : On peut profiter de ces projets pour dégager des avantages, dont la simplification des process. SOX nous a obligés à revoir bon nombre de nos process. Ainsi, nous avons mis en place une approche Lean Six Sigma, pour simplifier certaines chaînes de valeur dans la banque.

Philippe Gusbin : au niveau des départements informatiques, la philosophie est d’une grande simplicité : le but, c’est de s’aligner sur les axes stratégiques d’ING Luxembourg. Il y a des axes stratégiques en matière de génération de valeur, de croissance, de gouvernance, de maîtrise des coûts, de gestion des risques… Le métier IT s’aligne sur ces axes stratégiques et c’est pour cela que nous fonctionnons en mode projet. Cela nous permet d’être souple et de nous adapter en fonction des demandes du business. Nous avons donc également une approche matricielle, c'est-à-dire que tout métier a un interlocuteur, un point d’entrée au niveau de l’IT, avec une personne qui doit adresser ses demandes et gérer l’interaction entre l’IT et le métier lui-même.

Le but, c’est de faire en sorte que cela s’applique réellement sur le terrain, dans un vrai partenariat. Par exemple, les cahiers de charges se font ensemble, car la compétence ne se trouve pas forcément à un seul endroit. On en parle pour les développements, mais aussi pour les synergies. C’est le cas dans d’autres entités en Europe qui tournent carrément sur des applications groupes en direct.

Comment tout cela se profile-t-il ? Il y a quatre ans, une décision-clé a été prise : passer de Bull vers IBM qui est un standard groupe. Nous savions donc que

nous avions des compétences sur lesquelles nous pouvions nous appuyer. C’est un projet de 40 mois qui a utilisé près de 2 ans de capacité projet. Le but pendant cette perte de ressources, c’était de compenser, de faire que les lignes business ne voient rien à cette transition. Nous devions faire en sorte que ce processus de migration soit le plus transparent possible… Si bien que les lignes business, à un certain moment, ne savaient plus qu’il y avait un processus de migration en cours... Nous avons staffé et nous nous sommes organisés pour continuer à délivrer le business en toute transparence. La conclusion de ce projet s’est déroulée le 12 janvier 2008 où nous avons livré le projet. Tout s’est bien passé : la migration effective a commencé un vendredi soir et le lundi matin, les gens dans les agences ont ouvert leurs

terminaux et tout était opérationnel… Il n’y a eu que quelques petits soucis très mineurs. Bernard Lhermitte : Cela a été un challenge énorme : migrer un mainframe, ce sont des millions de lignes de codes à migrer… La raison de ce choix mainframe ? D’abord, c’est un standard du groupe mais aussi pour ce que le mainframe offre en termes de fiabilité, de capacité, de performance et de robustesse de niveaux inégalés... On a aussi voulu capitaliser sur les investissements du passé pour aller vers une nouvelle architecture qui intègre à la fois du mainframe mais aussi des nouvelles technologies. L’idée pour nous au

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 13

14/04/08 18:56:37

BUSINESS DECISION MAKER

niveau de l’architecture, c’est de capitaliser sur le meilleur de chacun des mondes, mainframe et ouvert. Philippe Gusbin : Et «last but not least», c’est vraiment de profiter d’une productivité accrue. On est donc passé d’un monde à un autre, avec des machines différentes, mais surtout intégré dans un monde plus large et plus performant. Ce n’était pas pour la beauté du geste…

Bernard Lhermitte, avez-vous profité de cette refonte pour renforcer ou développer d’autres éléments ?

Cobol par exemple), et une équipe dédicacée aux nouvelles technologies, (présentation, portail d’entreprise, le site Internet…). Cette équipe intègre nos applications dans un portail d’entreprise. Concrètement, pour le projet de migration on s’est fait aider par un partenaire externe spécialisé dans les migrations mainframe. À notre charge, il y avait la responsabilité de toute l’intégration et de tout le testing, où importaient les compétences fonctionnelles, afin de travailler en partenariat avec les métiers pour valider la qualité globalement.

Au niveau des aspects réglementaires, 2008 semble s’annoncer comme une année plus paisible et on espère pouvoir mettre ces ressources accrues de l’IT occupées sur ce volet-là à destination du business. Au niveau du projet de migration, c’est un projet qui a été nominé au niveau du groupe ING comme un projet à très haute valeur. D’ailleurs, le cœur de l’équipe qui a travaillé sur ce projet vient de se retrouver convié à Amsterdam, pour recevoir les félicitations du groupe.

Bernard Lhermitte, avez-vous réorienté votre portefeuille de projets ?

Quelles sont vos perspectives ? Pendant la migration, on a continué à développer pour les lignes business. Mais l’idée, c’était de migrer As-Is et surtout de ne pas mélanger évolutions fonctionnelles et migration technique afin d’être certains de ne pas impacter le business. C’est déjà assez complexe comme ça…

Quelles compétences tout cela nécessite-t-il ? En termes de compétences dans le département IT, on a d’une part l’infrastructure (system engineering, network engineering, production, data center) et d’autre part la partie Applications, où là on est organisé, aligné par ligne fonctionnelle, pour chacun des business. Dans ces équipes, on retrouve différents types de compétences qui sont à la fois des compétences fonctionnelles, des compétences techniques (programmation,

Avec tous ces projets de migration et de mise à niveaux réglementaires terminés, on se retrouve désormais avec une capacité à produire des projets dédicacés au business, à supporter la croissance,… On a donc initié, fin 2007, une réflexion sur la

manière dont on va gérer les projets dans le futur et la manière de prioriser les projets pour le métier. Philippe Gusbin : Il y avait deux approches différentes : soit on pouvait dire que l’on avait terminé une migration et donc que l’on pouvait réduire la voilure en matière de ressources IT ; ou bien, on conservait quand même une force de frappe au niveau IT, pour pouvoir soutenir la croissance… Et c'est cette dernière option que l’on a retenue.

Auparavant, nous avions des responsables de département qui venaient avec leurs priorités. On les réunissait en fin d’année et ils nous donnaient leurs priorités. Au sein du département IT, on faisait une synthèse de tout cela et on retournait vers le Comité de Direction avec des propositions en adéquation

avec la stratégie de la banque. Le comité arbitrait et les projets à mener étaient retenus. Nous avons constaté que nos ressources pouvaient s’en retrouver éparpillées à force de vouloir servir tout le monde chaque année. On a désormais une vue plus globale et on se concentre mieux sur la stratégie de la banque et sur la croissance. On a ainsi défini six axes de priorité : les Profit Drivers (là où les départements vont générer de la croissance), les gains de productivité (principalement améliorer les

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 14

14/04/08 18:56:39

BUSINESS DECISION MAKER

chaînes du Middle et Back Office), la productivité transversale (là l’IT peut se trouver en tant que Business Enabler comme avec les technologies d’Enterprise Content management, de Workflows,…), les Internal Customers (améliorer la convivialité de nos applications, parfois simplement par des quick wins, des choses qui peuvent simplifier la vie des utilisateurs), les Metrics (mettre à disposition des départements de la banque les informations qui leur sont nécessaires pour le pilotage du business - début 2005, nous avions reçu les moyens pour mettre en place un projet d’un nouveau DataWarehouse et de BI globale), et le core IT (le spécifique à l’IT, pour mieux fournir à la banque, avec une approche «Reuse before Buy before Build»). Philippe Gusbin : C’est une approche très cohérente : on a cet axe stratégique de développement à la fois des activités existantes mais aussi de nouvelles activités.

Nous sommes curieux ; nous voulons voir, tester… Nous possédons la machine qui nous permet d’augmenter cette capacité… Nous avons de l’oxygène qui s’est libéré en matières réglementaires et légales… Nous avons décidé de maintenir la force de frappe IT afin de pouvoir répondre aux besoins du business… Et nous avons un nouveau plan de prioritisation des projets. Ainsi dans l’ensemble, la qualité des projets retenus est bien meilleure et le scope que nous couvrons adresse bien mieux les préoccupations du business que par le passé.

Quels sont les autres assets forts d’ING ? Ce sont bien évidemment les gens… La qualité des équipes IT au niveau d’ING Luxembourg est très élevée. Nous avons de très bonnes compétences… Mais on sait aussi qu’à Luxembourg, les compétences sont difficiles à capter. Ainsi, on cherche sur le marché grand-ducal mais on regarde aussi en dehors de celui-ci. Bernard Lhermitte : C’est effectivement un challenge pour nous de trouver les bonnes compétences. Il y a un nombre énorme de postes IT ouverts au Luxembourg et il faut donc être les premiers afin de recruter les meilleurs. On a une approche très proactive en allant au-devant du marché. On se déplace dans les universités et cela nous a permis de découvrir de jeunes talents. Il existe désormais chez nous des formations pour les faire grandir et les faire évoluer dans l’entreprise. On se rend compte aussi que l’IT est

devenu un vivier de talents pour le reste de la banque. Nous n’avons pas un turn-over important de personnes qui quittent la banque, par contre en interne, nos gens sont très prisés par les départements business. Philippe Gusbin : Il y a un circuit très classique qui est : IT, opérationnel puis ligne commerciale. L’IT, c’est un métier qui apprend beaucoup de rigueur et qui oblige à comprendre les tenants et aboutissants. Et c’est un mouvement excellent pour l’organisation. Sur les 850 salariés, l’IT compte environ 110

personnes. Cela représente environ 18 % des coûts de la banque. Ce qui est un ratio assez bon en comparaison avec le monde financier.

Avez-vous des repères avec ce que font les autres acteurs bancaires en Europe ? De façon très régulière, nous regardons dans le marché où nous en sommes. Nous nous mesurons à des benchmarks. On utilise des études McKinsey, Gartner, KPMG, etc. Par exemple, chez McKinsey, on a qualifié l’IT au niveau groupe des banques en catégories A, B, C et D, suivant des critères comme leurs dépenses IT par rapport aux dépenses globales. La bonne nouvelle, c’est que ING Luxembourg est considérée comme une A-Bank, lorsque l’on regarde les indicateurs. Ce n’est pas pour cela que l’on s’endort, au contraire… Mais cela nous fait plaisir en tant qu’une A-Bank d’avoir une IT qui est considérée comme business

enabler, avec une utilisation des ressources IT parcimonieuse et dans une organisation qui elle-même est légère et flexible.

Bernard Lhermitte : si l’on devait faire une cartographie de l’IT d’ING ? Je parlerais d’une bonne intégration, de capitaliser sur le meilleur de chaque monde… Par exemple, au niveau de l’architecture du mainframe, des développements en mode services existent. Dans l’acceptation habituelle du terme SOA, on ne pense pas

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 15

14/04/08 18:56:40

BUSINESS DECISION MAKER

toujours au mainframe, mais ici on fournit bien des services, exposés dans un portail d’entreprise, qui reposent sur l’architecture mainframe. A côté de cela, on a des packages comme Triple A, Kondor+, et des packages pour des métiers spécifiques. On utilise aussi WebSphere, du J2EE, du web2.0 pour exposer nos services, pour l’intégration et la présentation. On réfléchit aussi à faire évoluer notre portail en capitalisant sur des technologies aujourd’hui accessibles, sans pour autant suivre la mode pour la mode, mais en restant très pragmatique. On a également un environnement Business Intelligence pour l’informatique décisionnelle qui repose sur Oracle et Business Objects. Et nous utilisons aussi Tivoli pour le pilotage de nos systèmes. Enfin, nous allons appuyer plus des projets d’Enterprise Content Management tout en utilisant les outils de stockage et d’archivage dont nous disposons déjà.

Vous allez donc mettre en place un ECM ? Ici l’IT se positionne clairement en «business enabler». Nous considérons l’ECM comme stratégique pour la banque et nous allons effectivement mettre l’accent sur ce domaine. On a identifié trois projets sur lesquels on va travailler cette année. Il nous faut structurer l’approche et choisir un ou des outils en fonction des besoins qui seront à couvrir. On a déjà reçu quelques propositions… mais le choix des outils n’est pas encore arrêté…

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 16

14/04/08 18:56:41

/////////////////////// CASE CHOICE > Conférence mobilité p 18 > Computacenter et LuxPET p 19

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 17

14/04/08 18:56:41

Mobilité

CONFÉRENCE ITNEWS

BUSINESS DECISION MAKER

L’innovation, moteur de la mobilité

Jean-Philippe Ricard

Lors de la conférence organisée par ITnews le 13 mars dernier, Jean-Philippe Ricard, Head of IT de RBC Dexia Investor Services, a évoqué «la culture de l’innovation» en présentant la façon dont une banque d’envergure mondiale comme RBC Dexia peut intégrer ses fonctions globales et locales pour assurer un service complet 24h/24. Début mars, RBC Dexia au Luxembourg a obtenu le certificat CMMI de niveau 2. «La phase de post-fusion dans laquelle nous nous trouvons encore nous a poussés dans cette direction», a dit Jean-Philippe Ricard.

Par la suite, Frank Vissotsky, Manager application services Benelux chez Computacenter, a présenté les avantages de l’instant messaging, une technologie qui s’est adaptée au monde de l’entreprise. «L’instant messaging sera intégré à tous les comptes email d’ici deux ans», a dit Frank Vissotsky.

«La mobilité amène de la vraie valeur business, a ajouté Laurent Brochmann, CIO de Deloitte Luxembourg. Les utilisateurs de Deloitte disposent tous d’un laptop équipé de VPN, 60% des utilisateurs ont aussi un téléphone mobile, et le top management dispose du push mail. Tous ces éléments sont indispensables à notre succès.» Frank Vissotsky

Laurent Brochmann

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 18

14/04/08 18:57:24

CASE CHOICE

Mobilité

TECHNICAL DEVELOPMENT MANAGER

Cibler l’essentiel De plus en plus d’entreprises mettent en place des solutions de mobilité innovantes pour réduire leurs coûts et améliorer la productivité des utilisateurs. Aujourd’hui, les desiderata des utilisateurs ont évolué. Ils disposent d’outils de communication performants (et souvent gratuits) à la maison, et désirent voir transposées dans le cadre de travail les mêmes facilités. Au-delà de la satisfaction des employés, les entreprises, en mettant en place des solutions de mobilité, réfléchissent aussi à la rentabilisation de l’infrastructure. Être mobile, c’est pouvoir accéder aux ressources de l’entreprise depuis n’importe quel bureau, et se rendre disponible à tout instant, grâce à des solutions calibrées sur les véritables besoins des utilisateurs.

«Les utilisateurs veulent une vraie fonction business, il faut donc optimiser les technologies pour créer une mobilité réelle», explique Frank Vissotsky, Manager application services Benelux chez Computacenter. Dans certaines entreprises, où l’autonomie des utilisateurs est très importante, la mobilité devient une pierre angulaire du business. «Aujourd’hui, on fait des réalisations plus complexes sur le terrain. Les technologies ont gagné en maturité.» L’information a les mêmes caractéristiques que si elle avait été saisie au sein de l’entreprise. Les utilisateurs doivent cependant pouvoir déterminer leurs besoins. «On ne peut pas proposer un processus business sur le GSM d’un représentant, donc on se pose la question de ce qui peut être rendu mobile pour analyser la valeur ajoutée et le coût associé», explique Frank Vissotsky. L’accès aux

données à distance permet la continuité du business, via la sécurisation et la synchronisation des devices. Ainsi, l’ERP, le CRM ou la logistique sont en partie «déportables» vers les devices mobiles.

LUXPET : ÊTRE CONNECTÉ POUR RÉDUIRE LES COÛTS Avec un peu moins de cent personnes à Luxembourg, appartenant au holding Plastipak (5500 personnes worldwide), LuxPET était à la recherche d’une solution mobile complète et satisfaisante pour, en premier lieu, réduire ses coûts. «Computacenter a travaillé avec Plastipak durant l’année dernière, explique Jonathan Mayled, Manager International IT Operations chez LuxPET. Computacenter a rapidement présenté une solution de convergence basée sur les téléphones Nokia E61 et le routage

de Cisco.» La mobilité est essentielle pour Plastipak, dont les entités européennes sont réparties entre le Luxembourg, la France, la République tchèque et la Slovaquie. L’utilisation des Nokia, qui remplaceraient les téléphones RIM, permettrait de réduire les coûts de communication d’environ 4 euros par minute. Multibandes pour faciliter les communications avec l’Amérique du Nord, les Nokia E61 permettent la synchronisation de l’email, l’accès à internet et d’appeler sans coûts de roaming supplémentaire. Le réseau de Cisco permet de router les flux de data et la vidéoconférence (fournie par le Norvégien Tandberg). Le système a été intégré avec la Microsoft Active Directory et Exchange 2003 qui fournissent la messagerie unifiée. Ainsi, les utilisateurs peuvent maintenant recevoir et écouter leur voice mail depuis Outlook.

:"8]V^c BVcV\ZbZci! ^h gZVYn id bZZi i]Z cZZYh [gdb hbVaa id b^Yh^oZ Wjh^cZhh idYVn# :"X]V^c BVcV\ZbZci! GdjiZ YÉ6gadc! -& A"-(&& 8VeZaaZc! AjmZbWdjg\ lll#Z"X]V^c#Zj BV^a/ ^c[d5Z"X]V^c#aj

AVRIL 08

ITN_018_ITnews_03_avril_03>20.indd 19

14/04/08 18:57:24

ITN_018_ITnews_03_avril_03>20.indd 20

14/04/08 18:57:32

///////////////////////// IT FINANCE > New Access présente Branch, son dashboard orienté CRM p 22 > KPMG soutient le duo Fast Close et XBRL pour le reporting externe p 24 > Bâle II : la DVB Bank adopte FlexFinance Liquidity de Fernbach p 26

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 21

14/04/08 19:04:06

IT FINANCE

Client vision

BUSINESS DECISION MAKER

NewAccess, nouvelle vue pour le Relationship Manager L’éditeur suisse NewAccess a présenté à Luxembourg ses ambitions et succès avec son produit Branch, solution unifiée pour les gestionnaires de la relation dans les banques privées. Avec six premières références sur Branch dont EFG, NewAccess adresse une nouvelle problématique pour les banques privées : obtenir le tout et le meilleur de l’information du client dans une vue consolidée pour le gestionnaire de la relation. Mix de solutions métiers pour les banquiers privés, Branch est un tableau de bord unifié de la vue du client orienté CRM, analyse et visualisation de portefeuilles, gestionnaire de documents, passages d’ordres, informations compliance, news, quotes,…

Jean-Philippe Bersier, VP Sales de NewAccess

BRANCH, LA CÎME DE LA VUE CLIENT Branch, développé sur base d’une architecture nTier sur une plateforme .Net, est une solution de visualisation du client dans sa globalité, permettant aux Relationship Managers de consulter, mais aussi de gérer et d’opérer l’information du client. Branch s’intègre ainsi avec les outils de la banque en place, que ce soit les core systems bancaires, les PMS (Portfolio Management Systems), les flux d’informations financières, le CRM, etc… «Notre premier client s’est servi de Branch comme d’un framework pour développer son intranet et son webbanking sur un backbone Olympic», explique Jean-Philippe Bersier, VP Sales de NewAccess. Depuis, l’éditeur suisse a gagné d’autres références avec Branch sur Eri (2 actuellement), une sur Globus, une sur Apsys et sur deux solutions propriétaires. «Aujourd’hui, nos clients utilisent souvent Branch pour adresser une problématique CRM.»

NewAccess propose de connecter les best-of-breed en place chez les banquiers privés et de les rendre visibles et accessibles, dans une interface consolidée de type client Windows ou web. La mise en place se fait en connectant les solutions existantes directement dans Branch, sans passer par un datawarehouse intermédiaire, garantissant la fraîcheur et la fiabilité des informations délivrées dans Branch. «Nous nous adaptons avec le core en place et agissons de la manière la moins intrusive possible. Mais il s’agit néanmoins d’un véritable projet et pas d’une solution out-of-the-box, car il nous faut accéder les informations dans les db que nous souhaitons publier. Il existe déjà de nombreux connecteurs disponibles pour des implémentations plus rapides.» D’expérience, il faut entre trois et neuf mois pour réaliser un prototype proche des souhaits du client et de trois à dix-huit mois (au plus long) d’implémentation, selon l’envergure du projet. Mais avec un avantage important : il n’est pas nécessaire d’avoir des compétences techniques hautement spécifiques pour démarrer sur Branch. À l’heure où les compétences pointues sont de plus en plus rares et chères, voilà un argument de poids.

VUE 360° CHEZ EFG Ainsi, EFG, le plus grand déploiement de Branch (18 booking centers dans 24 pays), utilise la solution de NewAccess dans une optique CRM, Portfolio Management et Document Lifecycle Management. Il faut dire aussi que NewAccess dispose de solutions maison dédiées aux questions de gestion électronique de documents et d’archivage (LogicalAccess) et de portfolio & asset management (Olivia). «La force de Branch, c’est de rendre transparente toute la complexité de la plateforme sous-jacente, dit Jean-Philippe Bersier. La seule limite est que le back-end puisse répondre aux requêtes de la solution. Au final, Branch normalise l’univers de données.» Le tout dans une interface qui se fait fort d’une ergonomie très avancée, dont les traits de force sont la sobriété et l’efficacité.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 22

14/04/08 19:04:08

Secure your business sites with digital video surveillance Eliminate the cost of managing multiple networks Use one IP network for all your needs (Video/Voice/Data) UNIFY your networks

CALL US...

Video surveillance Solutions > www.telindus.lu Tel. 45 09 15-1

made simple, based on IP technology High performance, networked video surveillance

CHANGE THINGS YOUR WAY

ITN_018_ITnews_03_avril_21>42.indd 23

14/04/08 19:04:09

IT FINANCE

Reporting

BUSINESS DECISION MAKER

Fast Close & XBRL : un duo gagnant Avec l’entrée en vigueur du nouveau set de reporting FinRep/ CoRep, le reporting externe repose maintenant sur la taxonomie XBRL. Nouveau défi et opportunité pour les banques de la place : faire de l’XBRL le support central du processus de Fast Close. «L’intégration de l’XBRL au sein du processus de Fast Close vise une publication d’informations financières plus rapide et plus fiable. Pour ce faire, un travail préalable de diagnostic et de redéfinition du processus de clôture est nécessaire, estiment Laurent Gateau, Assistant Manager et Simon Emeri, Adviser, KPMG Luxembourg. Les nouveaux processus et activités reposant sur l’XBRL doivent allier qualité et définition des données d’entrée, vitesse d’exécution et évolutivité.

AVANTAGE STRATÉGIQUE ET PLUS UNIQUEMENT COMPTABLE

CHANGEMENT DE MENTALITÉS L’XBRL repose sur le langage XML et sur l’utilisation de taxonomies qui définissent les caractéristiques et les relations entre les données. Il s’agit d’une solution d’avenir relativement simple, fiable, évolutive et indépendante des systèmes d’information utilisés. Le succès d’un tel projet dépasse le simple cadre IT et suppose un changement de mentalités. Il implique un fort sponsorship de la direction qui doit s’assurer que l’ensemble des parties prenantes comprend la finalité du projet et s’investit totalement tout au long de ce dernier. La fonction IT doit dépasser un rôle purement technique et la fonction finance n’est plus uniquement un pourvoyeur de données et voit sa responsabilité d’analyse et de planification renforcée. Un véritable partenariat entre ces fonctions doit être conclu pour définir et mettre en place un processus de clôture reposant sur l’XBRL.

Ce changement dépasse le temps et le cadre de l’équipe projet. Les interactions entre les différents acteurs doivent donc clairement être définies. Le nouveau processus doit répondre au principe «une clôture juste du premier coup». Cela implique que la technologie XBRL soit structurée et adaptée en fonction des activités et non l’inverse. Afin d’être opérationnels, récurrents et évolutifs, les processus doivent être clairement définis et documentés. Et un tel projet doit être planifié et piloté par une gestion de projet tant au niveau stratégique qu’opérationnel.

La simplicité de l’XBRL conduira à une réduction des possibilités d’erreur via l’utilisation de fichiers de saisie standardisés et d’un contrôle des données à la source. La création de valeur résulte de la réaffectation des ressources à des tâches à plus forte valeur ajoutée. En alliant rapidité et fiabilité, ce nouveau processus de Fast Close sera un avantage indéniable pour obtenir la préférence des investisseurs. Enfin, la possibilité de dupliquer dans le futur le succès de l’utilisation de l’XBRL à d’autre processus : MIS, budgétisation… ouvre la perspective pour les banques d’un avantage stratégique et plus uniquement comptable. La généralisation de l’utilisation de l’XBRL à l’ensemble des processus financiers clés représenterait donc un avantage compétitif substantiel pour les banques. Cela passe au préalable par une gestion de projet mature tant au niveau de la définition et de la mise en place des processus que de la qualité des informations de sortie. C’est pourquoi la clôture comptable et l’utilisation de l’XBRL se doivent d’être un duo gagnant.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 24

14/04/08 19:04:14

Laurent Gateau, Assistant Manager et Simon Emeri, Adviser, KPMG Luxembourg.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 25

14/04/08 19:04:19

IT FINANCE

Case choice

BUSINESS DECISION MAKER

Liquidités transparentes à la DVB Bank Le deuxième pilier des nouvelles directives de Bâle sur les fonds propres (Bâle II) impose aux banques une gestion détaillée de leurs liquidités ainsi que de leur risque de liquidité. DVB Bank AG s’est dotée de la solution de Fernbach pour une approche aussi sur la rentabilité.

Fabrizio Romano, Regional Manager de Fernbach à Luxembourg

BÂLE II : UN DÉFI POUR LA DVB BANK AG La gestion bancaire a toujours eu pour principal objectif de garantir la solvabilité et d’assurer une base de refinancement économique et stable. Bâle II définit de nouvelles règles et contraintes en termes de procédures de gestion et de contrôle des risques. Pour obtenir une gestion globale des risques poursuivis par ces directives, la DVB, la banque allemande spécialisée dans les services de financement et de conseil dans les secteurs de l’expédition et du transport aérien et terrestre, devait mettre en place une structure interne de gestion des liquidités. De surcroît, les procédures de gestion des risques et de controlling doivent être mises en œuvre de manière à ce que les risques les plus importants soient détectés très tôt, saisis dans leur totalité et présentés de manière appropriée. Ainsi, afin de maîtriser les nouvelles directives et d’optimiser ses décisions, la DVB a décidé de mettre en œuvre une solution logicielle adéquate de mesure, de suivi, de contrôle et de reporting des risques de liquidité.

Plus qu'une simple conformité réglementaire, une gestion des liquidités moderne représente un potentiel de revenu considérable pour les établissements financiers. En effet, une variation de leur notation ou de tout autre élément de leur spread de crédit change les données de leur refinancement sur le marché interbancaire. Partant de ce constat, les établissements financiers adaptent leurs procédures hiérarchiques, organisationnelles et de gestion en conséquence.

Dans le domaine de la gestion des liquidités, des décisions erronées ou des risques inattendus peuvent entraîner des coûts de refinancement défavorables. De plus, une méprise de la situation réelle de liquidité peut occasionner une accumulation de réserves liquides trop importante. Ce type de problème est essentiellement lié à un manque d’informations (lui-même issu d’une qualité et d’une rapidité de transfert des données insuffisantes), ainsi qu’à une méthodologie inadaptée et à des hypothèses erronées menant à des conclusions inexactes.

«Après avoir examiné et analysé l’offre de tous les fournisseurs potentiels de solutions de gestion des liquidités, nous avons opté pour la solution FlexFinance Liquidity de Fernbach parce que nous savions que cette solution livrerait des méthodes éprouvées et cohérentes de gestion du risque de liquidité, dit Martin Kinzel, Head of Controlling à la DVB. Les fonctions très souples de simulation et de représentation des risques, des paramètres du marché et des opérations hypothétiques ont été autant de critères qui ont influencé notre décision.»

LIQUIDITÉS LIMPIDES

Avec la mise en œuvre des exigences de Bâle II (Pilier 2), les interventions manuelles dans les procédures ne seront pour ainsi dire plus possibles, ou seulement à un coût très élevé. La faute en est à l’analyse de la situation de liquidité dans différents scénarios et le suivi des différentes lignes de crédit qui rendent le recours à l’outil logiciel indispensable.

La solution FlexFinance Liquidity permet également de garantir la liquidité nécessaire, ainsi que de minimiser les coûts et de maximiser la stabilité du refinancement. Grâce à la méthodologie implémentée, la modélisation flexible des scénarios livre des résultats retraçables en continu, ce qui a représenté le critère décisif pour la DVB. En effet, la banque est maintenant en mesure de quantifier ses risques de liquidité et de prévoir leurs impacts sur les opérations traitées.

Grâce à l’initialisation rapide d’un projet central, la DVB est en mesure de créer des pronostics réalistes de liquidité au niveau global de la banque ou de portefeuilles particuliers, ainsi que d’évaluer et de gérer le risque de liquidité à l’aide d’analyses de scénarios.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 26

14/04/08 19:04:20

////////////// LE GRAND DOSSIER > Clussil p 28 > LuxTrust p 30 > CASES p 32 > SecurIT p 34 > PricewaterhouseCoopers p 36 > Avencis p 37 > Telindus p 38 > Zeduke p 40 > Sogeti p 42 > IBM p 44 > Accenture p 46 > M-Plify p 47 > Vasco p 47 > Sun p 48 > Symantec p 49 > Zeropiu p 50 > Bull p 52 > Secaron p 52 > Verizon Business p 54 > Dimension Data p 56 > Trend Micro p 58 > HP p 60 > BT p 60

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 27

14/04/08 19:04:20

LE GRAND DOSSIER

Sécurité

BUSINESS DECISION MAKER

Plus de confiance dans le potentiel de la Place Pour peser dans la balance de l’eCommerce, le Luxembourg devra compter sur son réseau d’experts en sécurité… et soutenir leur reconnaissance, estime le Clussil. La sécurité passe à un niveau supérieur au Luxembourg. La consolidation de réseaux d’experts comme le CERT du CASES et les réflexions entamées par les groupes de travail du Club de la Sécurité des Services d’Information du Luxembourg (Clussil), LuxTrust, les datacenters de nouvelle génération,… le prouvent. La sécurité est bien plus qu’un des aspects day-to-day du business. Les responsables de la sécurité des services d’information peuvent ainsi jouer un rôle proactif dans la promotion de l’image de confiance et de confidentialité donnée au Luxembourg.

David Hagen, Président du Clussil et chef de service à la CSSF

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 28

14/04/08 19:04:26

BUSINESS DECISION MAKER

«Au Luxembourg, il y a énormément de réflexion sur les meilleures façons de diversifier la Place, explique David Hagen, Chef de service à la Commission de Surveillance du Secteur Financier (CSSF). L’axe de la sécurité a été confirmé par le Fonds National de la Recherche comme étant fondamental.» Le développement récent d’initiatives comme LuxTrust et CASES (le portail de la sécurité de l’information du ministère de l’Économie et du Commerce extérieur) a apporté de la confiance aux acteurs de la Place et peut convaincre de nouvelles entreprises de s’implanter au Luxembourg. «Proposer une TVA alléchante ne suffit plus pour attirer les acteurs de l’eCommerce, dit David Hagen. Nous devons chercher à diversifier les aspects de la sécurité, via la recherche et, d’autre part, la professionnalisation des responsables de la sécurité des systèmes d’information.» Les compétences du Luxembourg en matière de sécurité doivent être, en cela, appuyées par les niveaux politique et économique. «Le ministère de l’Économie pousse d’ores et déjà dans la direction de la confiance et de la protection des données personnelles, rappelle David Hagen. Il faut un business case solide pour favoriser le

développement d’une économie durable plutôt que de l’opportunisme. La sécurité rentre en compte dans le professionnalisme, la manière d’offrir un service. La sécurité est à promouvoir comme un atout et joue un rôle de premier plan dans l’image d’une entreprise ; elle cesse d’être un obstacle pour devenir un avantage constructif.»

ÊTRE RSSI : GRANDS EFFETS David Hagen, en tant que président du Clussil, cherche aussi à promouvoir le rôle du RSSI. «La fonction n’a jamais été imposée par la CSSF, précise-t-il. Mais il faut pouvoir déterminer comment traduire les défis que le RSSI doit relever aujourd’hui pour répondre aux besoins des banques et des institutions dans le futur.» Le Clussil peut ainsi décrire un certain malaise de la fonction de RSSI au sein des banques. Le RSSI demeure souvent celui qui détermine les profils des utilisateurs de la société, ce qui est nécessaire mais pas suffisant. «Le métier dépend au final du contexte que l’employeur va lui donner, par rapport à son intérêt et par rapport à la maturité qu’il veut donner à la fonction, explique David Hagen. La fonction de RSSI est encore par trop ingrate. La sécurité est souvent

ainsi : c’est un coût pour éviter une perte. Le RSSI doit toujours pouvoir chiffrer une perte potentielle en justifiant, si cette perte a lieu, qu’il a fait tout son possible.» À quand une structure qui décernerait des étoiles aux systèmes de sécurité les plus performants ? Un peu à la manière de la cote de confiance donnée par Euro NCAP aux voitures après leurs crash-tests… «Ceux qui font la sécurité savent en tout cas où ils vont, dit David Hagen. Il y a une volonté de professionnaliser les choses, notamment via un Master.» Ces cours donnent les outils nécessaires au RSSI pour se mettre à niveau avec le management. Ils sont aussi, et surtout, la vitrine d’une profonde volonté de faire du RSSI un acteur de changement. «Si on veut se professionnaliser et ouvrir nos frontières, il faut établir des critères de compétence élevés au niveau européen», dit David Hagen.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 29

14/04/08 19:04:29

LE GRAND DOSSIER

Sécurité

BUSINESS DECISION MAKER

LuxTrust, une question de confiance En un peu plus de deux ans, LuxTrust SA a rencontré les ambitions de ses actionnaires en devenant un acteur incontournable du secteur économique luxembourgeois. LuxTrust séduit, et il y a de quoi. Après avoir obtenu le statut de professionnel du secteur financier (PSF) en 2006, LuxTrust SA a lancé des produits et des services qui sont autant d’opportunités pour promouvoir, entre autres, le commerce électronique au Luxembourg, après avoir mis en place une plate-forme de certification électronique par le biais d’une infrastructure à clé publique (ICP). La société compte, parmi ses actionnaires, notamment le gouvernement luxembourgeois et des acteurs majeurs du secteur privé luxembourgeois.

«La signature électronique était une étape à franchir pour que les utilisateurs aient confiance dans l’e-commerce», avance Pierre Zimmer, administrateur-délégué de LuxTrust SA. «Jusqu’à présent, la concentration des activités s’est faite principalement sur le B2B et le B2G mais dans les mois à venir, nous développerons plus le B2C et le G2C (government to citizen)», explique Raymond Faber, administrateur-délégué de LuxTrust SA. «LuxTrust propose des produits qui peuvent servir de support unique pour toutes les applications.»

LE CHOIX AUX UTILISATEURS Les nombreuses solutions proposées par LuxTrust sont adaptables à des contextes et des demandes multiples, étant donné qu’elles reposent sur des standards reconnus au niveau international. «LuxTrust facilite les échanges électroniques dans des environnements informatiques très différents», explique Raymond Faber. Parmi ces outils, la carte à puce (ou smartcard) permet de s’authentifier en ligne et de signer électroniquement des messages ou des transactions. La carte à puce garantit également l’intégrité des documents signés

électroniquement. Pour des besoins de mobilité, l’utilisateur peut préférer le signing stick qui offre une certification comparable à celle des cartes à puce. La solution des certificats signing server de LuxTrust renforce, quant à elle, la mobilité… tout en conservant des niveaux de sécurité comparables. Pour y accéder, le détenteur du certificat utilise un code d’accès unique au certificat et renouvelé automatiquement à chaque demande (one time password ou OTP). Cet OTP apparaît soit sur un token, soit il est envoyé par SMS. LuxTrust doit donc maîtriser les mécanismes de sécurité et connaître les risques pour déterminer les limites des actions à mener.

SECURITÉ : FEEDBACK ESSENTIEL LuxTrust joue un rôle important dans la sensibilisation à la sécurité. «La sécurité est un sujet peu palpable», dit Pierre Zimmer. «Le travail de sensibilisation est complexe. Les défis principaux se situent au niveau des utilisateurs finaux qui n’ont souvent pas de connaissance suffisante pour sécuriser correctement leur PC.» Or, l’e-commerce doit pouvoir proposer une solution maîtrisée.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 30

14/04/08 19:04:29

BUSINESS DECISION MAKER

PLATEFORME INTERNATIONALE De manière générale, la tendance chez les fournisseurs d’applications est de renforcer la sécurité chez les end users, notamment en ce qui concerne les risques inhérents à l’e-banking. «Une solution de sécurité ne peut jamais prémunir les utilisateurs contre toute attaque, mais il est indispensable d’avoir une bonne base pour pouvoir ajouter, le moment venu, d’autres types de protections contre de nouvelles attaques», dit Pierre Zimmer. LuxTrust a mis en place et gère une infrastructure Helpdesk, à même d’informer les utilisateurs de ses produits et services. Le site internet (www.luxtrust.lu) centralise les relations avec les utilisateurs, afin de recueillir leur feedback via l’utilisation de FAQ régulièrement mises à jour.

LuxTrust a une vocation internationale depuis sa création. La société offre ainsi des certificats SSL et des certificats Objet répondant à des standards internationaux et qui permettent d’identifier des serveurs ou des sites Internet, ainsi que des applications ou des logiciels en ligne, envers des tiers. LuxTrust développe aussi des solutions sur mesure, basées sur les spécifications fournies par les clients. Par exemple, LuxTrust fournit la technologie utilisée pour l’émission des nouveaux passeports biométriques, munis d’une puce électronique sur lesquelles les données du détenteur sont stockées. «On constate que certaines entreprises étrangères, établies dans la reconnaissance par biométrie, veulent venir au Luxembourg pour proposer des partenariats à LuxTrust», dit Raymond Faber.

De plus, grâce à la mise en place de l’infrastructure à clé publique de LuxTrust S.A., les entreprises ont la possibilité d’implémenter leurs propres solutions SSO (Single Sign-On) correspondant exactement à leurs besoins. Ainsi, dès à présent, LuxTrust permet une utilisation sécurisée de la nouvelle application «PLDA - paperless douanes et accises» de l’Administration des Douanes et Accises, de procéder à la déclaration eTVA de l’Administration de l’Enregistrement, enfin d’accéder à Multiline ou de bientôt pouvoir procéder au dépôt électronique auprès du Registre de Commerce et des Sociétés.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 31

14/04/08 19:04:37

LE GRAND DOSSIER

Sécurité

BUSINESS DECISION MAKER

Warning : comportements à risques CASES, projet d’envergure nationale pour la sensibilisation à la sécurité, mis en place par le ministère de l’Economie, est un des pions majeurs d’un réseau international de veille et de protection contre les hackers. La sécurité est souvent ‘vendue’ comme un défi technique. Or, la technologie est une aide mais ne résout souvent pas le problème de fond. Le grand défi en matière de sécurité est comportemental, et non technique : il faut changer les habitudes. Certains utilisateurs sont plus regardants quant au type de programmes installés, d’autres cliquent vite sur les popups sans réellement les lire… or les trojans, ou chevaux de Troie, utilisent souvent ce genre d’astuce pour s’installer sur les postes de travail.

CASES, ou Cyberworld Awareness Security Enhancement Structure, est destiné à la transmission d’information sur la sécurité vers les utilisateurs finaux, ainsi qu’au suivi real time des menaces et des vulnérabilités. Le public-cible de CASES est multiple: enfants et citoyens, entreprises et administrations. Les PME sont aussi une cible importante des campagnes de sensibilisation car elles ont recours aux managed security services, à l’outsourcing, etc. Généralement, les plus grandes entreprises mettent en place des projets de sécurité suffisants pour se protéger notamment de l’espionnage industriel. «Souvent, les salariés au sein des PME nous disent ‘il n’y a rien sur ma machine, que des photos personnelles’, en omettant leurs documents personnels, voire confidentiels comme leurs déclarations d’impôts, explique François

Thill, Chargé de mission au ministère de l’Economie et du Commerce extérieur. Les gens doivent comprendre que ces données sont très précieuses puisqu’elles peuvent être utilisées pour des vols d’identité par exemple.» Selon CASES, 45% des utilisateurs ont un antivirus ou un firewall qui ne fonctionne pas correctement.

RÉDUIRE LE FOSSÉ Depuis quatre ans, le but de CASES est de réduire la fracture numérique entre le pouvoir-faire technologique et le savoir-faire technologique. «Les connexions à large bande ne sont pas remises en question car elles sont devenues presque indispensables aux échanges actuels, dit François Thill. Par contre, leur sécurité n’est pas forcément suffisante.» Pointée du doigt : l’usurpation

d’identité, via la collecte d’informations sur la machine de l’utilisateur elle-même, ou un autre moyen. L’urgence de la situation est particulièrement palpable auprès de la jeune génération d’adolescents, dont la vie est baignée par l’utilisation de technologies. Non formés aux risques et aux limites qu’une telle promiscuité impose, ils utilisent des chevaux de Troie sans en mesurer les conséquences. Par exemple, les sites web où l’on peut monter soi-même ses attaques abondent… Les méthodes de sensibilisation en matière de sécurité doivent être fine-tunées sans arrêt, ou les utilisateurs se lassent vite de ce genre de méthodes. «Tout le monde s’expose sur internet via le chat ou Facebook. Par contre, la sécurité ne fait pas encore assez partie de notre culture», dit François Thill.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 32

14/04/08 19:04:38

François Thill, Chargé de mission au ministère de l’Économie et du Commerce extérieur

SENSIBILISATION INTELLIGENTE S’inspirant des techniques de cyber criminalité, CASES s’approprie les manières de fonctionner des hackers, en reposant sur un réseau de partage de connaissances. Les nouvelles tendances du hacking selon CASES sont les malwares qui visent à l’usurpation d’identité, les blended threats de trojans et virus, l’espionnage industriel chez les PME, la disparition progressive des virus destructeurs et enfin, la professionnalisation des réseaux de cyber crime… Pour publier et diffuser ces informations, ainsi qu’un glossaire, CASES utilise la newsletter et le site cases.lu. La newsletter cherche à promouvoir une culture simple via une utilisation ludique, pour éviter de faire peur ou de créer

une paranoïa. «Certains enfants utilisent le super bluetooth, un outil venu de l’est qui permet de craquer la sécurité des téléphones mobiles, déclare François Thill. Si les enfants ont de tels outils à leur disposition, que dire des pirates professionnels ?»

volonté de l’ABBL de mettre en place un LERS (local emergency response structure). Enfin, au niveau international, CASES coopère depuis plusieurs années de manière étroite avec la Suisse, la France et la Belgique car il existe différents types de malwares en fonction des types de réseaux, d’un pays à l’autre.

CASES permet aussi de réagir aux incidents, collabore avec la police grand-ducale pour la répression et enfin, agit au niveau de la normalisation. CASES est ainsi partenaire de l’OLAS (Office Luxembourgeois d’Accréditation et de Surveillance), du SIGI (Syndicat Intercommunal de la Gestion Informatique), du CERT (Computer Emergency Response Team) gouvernemental, et suit de près la

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 33

14/04/08 19:04:55

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

Je danse le IAM À la différence des firewalls et des antivirus, les solutions Identity and Access Management peuvent contribuer directement à l’amélioration du business. Créée en 1999, la société SecurIT, développeur de logiciels et intégrateur de solutions dans l’IAM d’IBM, s’est concentrée sur un domaine encore neuf de la sécurité : l’Identity and Access Management. «Au lieu de nous concentrer sur ‘keeping the bad guys out’, on a préféré l’approche ‘let the good guys in’», résume Marc Vanmaele, CEO de SecurIT.

//// AUPRÈS DE LUXTRUST //// Au Luxembourg, SecurIT est actif dans le projet LuxTrust via le développement d’une plateforme de validation des smartcards et

L’IAM est de plus en plus important dans le secteur de la sécurité en raison de réglementations plus contraignantes comme SOX (Sarbanes-Oxley) et Bâle II. L’IAM est une approche intéressante pour développer plus rapidement les capacités du business, tout en consolidant les accès aux données. L’avantage majeur de la gestion d’identité est de pouvoir restructurer la façon dont les entreprises traitent leurs accès, en interne comme en externe. L’administration des différentes plateformes (ERP, Windows, mainframe…) est peu souvent centralisée au même endroit. Or, il faut pouvoir simplifier le traitement des départs et arrivées des utilisateurs, ainsi que leurs éventuels changements de fonction.

des certificats sur Trustbuilder. Contrairement aux certificats dont le contrôle est effectué via la signature donnée par LuxTrust, les smartcards sont vérifiées sur des listes noires, soit online via un protocole de standardisation défini par LuxTrust, soit offline en téléchargeant des listes mises à jour régulièrement. «Tout dépend du degré de sécurité voulu et de l’importance de la transaction, dit Marc Vanmaele. Or, parfois la connexion elle-même fait défaut. Une institution financière peut-elle refuser de valider la demande si elle ne peut accéder aux données désirées ?»

«L’user provisioning passe par donner aux utilisateurs les outils nécessaires pour accéder, de manière évolutive et instinctive, aux ressources dont ils ont besoin, dit Marc Vanmaele. De plus, la centralisation des processus d’accès va de pair avec leur automatisation. La catégorisation des personnes se fait dans le Role Management. C’est cette catégorisation des utilisateurs a priori qui permet l’automatisation, pour un meilleur contrôle des accès. Les clients réfléchissent à leur sécurité aussi pour avoir plus de consistance entre leurs systèmes.»

PAS À PAS SecurIT, intégrateur de système totalement investi dans le domaine de l’IAM, dispose d’une expertise dans la gestion des projets complexes tant du point de vue technique et technologique. «Nous changeons les rapports de pouvoir au sein des entreprises, ce qui n’est pas à négliger», rappelle Marc Vanmaele. À partir des solutions d’IBM Tivoli Security, Secure IT a développé trois produits principaux : Role Manager, D-man et Trustbuilder. «L’Identity Management est essentiel dans la gestion des infrastructures eBusiness, car toute l’information est canalisée via cette plateforme», dit Marc Vanmaele. Une fois l’infrastructure ouverte à des utilisateurs externes, la sécurité doit être monitorée différemment, pour assurer une disponibilité à 100%. Dans ce secteur, D-man est une solution de monitoring qui permet de gérer la complexité entre différents composants. Le D-man fonctionne comme un gatekeeper, afin de pouvoir accéder aux registres, au serveur web, aux applications, ainsi qu’aux composants firewall. Enfin, Trustbuilder permet de répondre aux besoins d’authentification et d’autorisation. Trustbuilder peut supporter tout type d’authentification, comme le token, même en dehors des plateformes IBM. Trustbuilder est bâti sur des standards ouverts, tels XML et XSL, et est souvent utilisé dans le monde Java. Trustbuilder est capable de supporter un système élaboré avec une forte redondance, afin de gérer un million de logs par jour.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 34

14/04/08 19:05:03

Who needs expensive, proprietary virtualization software when, hey, you can get it free with open source Solaris. ÂŠ 2007 Sun Microsystems, Inc. All rights reserved. All logos and trademarks are property of their respective owners.

ITN_018_ITnews_03_avril_21>42.indd 35

14/04/08 19:05:07

LE GRAND DOSSIER

Sécurité

BUSINESS DECISION MAKER

Global State of IT Security Les entreprises du monde entier investissent dans les infrastructures informatiques, mais restent à la traîne en matière de mise en œuvre, d’évaluation et d’examen des politiques liées à la sécurité et à la confidentialité des informations transmises. Voici l’une des conclusions d’une étude PricewaterhouseCoopers avec les magazines CIO et CSO. La majorité des entreprises disposent d’un Directeur de la Sécurité Informatique (DSI) ou d’un RSSI (soit 60% en 2007 contre 43% en 2006) et d’une politique de sécurité (57% contre 37% y-o-y). Et si elles ont réalisé d’importants investissements dans les dispositifs tels que les pare-feux (88%), la sauvegarde des données (82%), les mots de passe utilisateurs (80%) et les logiciels de type anti-Spyware (80%), le temps consacré à la mise en œuvre de mesures concrètes reste très limité. Preuve en est : une majorité d’entreprises déclarent ne jamais se soumettre à un audit ou ne jamais surveiller le respect des politiques de sécurité.

Par Philippe Pierre, Associé, PricewaterhouseCoopers Luxembourg La Global State of Information Security Survey 2007 est disponible sur www.pwc.com/giss2007

L’INFORMATIQUE MONTRE LA VOIE

UN MANQUE D’ADÉQUATION

Fort de ces conclusions, il ne fait aucun doute que, dans les années à venir, l’amélioration des procédures internes de sécurité et l’alignement des dépenses liées à la sécurité sur les objectifs économiques incomberont à la Direction informatique. La tendance a d’ailleurs été amorcée : les résultats de l’enquête1 montrent que la majorité (65%) des budgets dédiés à la sécurité informatique proviennent désormais directement du service informatique, contre seulement 48% en 2006. Parallèlement on constate une diminution des budgets consacrés par les autres départements à la sécurité informatique, notamment les budgets des départements Compliance (9% en 2007 contre 18% en 2006), Finance (15% en 2007 contre 19% en 2006) et ceux d’autres secteurs d’activité (4% en 2007 contre 18% en 2006).

On note également qu’à l’heure actuelle, il existe un décalage entre les dépenses en matière de sécurité et les objectifs commerciaux tels qu’ils sont perçus dans les entreprises. Enfin, même si le respect de la réglementation semble avoir donné lieu à une augmentation importante des dépenses de sécurité, le lien entre sécurité – que ce soit par l’intermédiaire de la structure de l’organisation ou par le biais de la politique en matière de sécurité - et confidentialité des informations et/ou respect de la réglementation reste difficile à établir au sein des structures concernées. De plus, les CEO, CIO et CISO ne sont pas d’accord quant aux priorités à établir et aux dépenses à effectuer dans ce domaine. Ainsi, pour ce qui est des dépenses, les CEO et les CIO accordent la priorité à la planification de la continuité des affaires et aux plans de secours en cas de sinistre, alors que les CISO privilégient le respect de la réglementation.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 36

14/04/08 19:05:45

BUSINESS DECISION MAKER

LA SOURCE DE DÉFAILLANCE : LES EMPLOYÉS Autre fait marquant : 69% des employés et anciens employés sont la source la plus probable d’atteintes à la sécurité, devant les pirates informatiques (41%). Ce premier chiffre est en nette augmentation, puisqu’en 2005, à peine 33% des personnes interrogées estimaient que les employés représentaient un risque en matière de sécurité informatique (contre 63% pour les pirates informatiques). Ces atteintes prennent principalement la forme d’e-mails et de détournements de comptes utilisateurs. Pourtant, à peine la moitié (52%) utilisent des dispositifs de sécurité informatique directement liés aux personnes. De simples précautions telles que le contrôle des antécédents des employés, le contrôle de l’utilisation qu’ils font d’Internet et des données de la société et la mise en œuvre de programmes de sensibilisation aux procédures et politiques internes restent peu

répandues. En outre, la majorité des personnes interrogées ne disposent toujours pas d’une stratégie de gestion de l’identité. Ainsi, tout porte à croire que pour la première fois, les salariés sont la première source de faiblesses potentielles dans les politiques de sécurité des informations. Une faiblesse qui pourra se résoudre par une sensibilisation et un programme de formation adéquat en interne ainsi que par la mise en œuvre de dispositifs de sécurité plus performants et adaptés.

////////////////////////////////////////////////////////////////////////////////////////////

Le SSO, une solution mobile… Avencis, fournisseur de solution Single Sign-On, propose une solution d’auto-dépannage pour minimiser les conséquences en cas de problème d’accès. Lorsqu’une entreprise déploie une solution de Single Sign-On (SSO), elle cherche à optimiser l’usage de ses ressources et augmenter la productivité de ses équipes. Le SSO permet de s’authentifier une fois pour toutes. Les applications vérifient, de manière transparente et via le SSO, que l’utilisateur ait bien les privilèges nécessaires pour accéder Dans cette optique, Avencis, fournisseur de solutions de sécurité et d'authentification, a développé l’autodépannage pour permettre de laisser une autonomie contrôlée aux utilisateurs afin, d’une part, de minimiser le temps pendant lequel ils sont bloqués et, d’autre part, ne pas mobiliser des ressources comme les cellules de support qui peuvent être affectées à des tâches plus complexes.

Par ailleurs, l’une des tendances actuelles est de mutualiser l’usage des ressources par le déploiement de serveurs d’applications (AppliDis de Systancia, Citrix, TSE…). En s’appuyant sur ces technologies, SSOX propose des solutions spécifiques de mobilité, qui permettent aux utilisateurs de passer rapidement d’un poste à l’autre ou de gérer

plusieurs postes de travail. En particulier, le mode kiosque associé à un serveur AppliDis permet à un utilisateur de bénéficier de l’itinérance complète d’applications, virtuellement sans aucune rupture de son activité car une session ouverte sur un poste «suit» l’utilisateur de poste en poste. SSOX est une solution ouverte aux standards de l’industrie, ce

qui permet notamment d’agréger des outils déjà en place dans l’entreprise (comme les solutions de mots de passe dynamiques – OTP). La solution est évolutive car elle peut être déployée par phases et par périmètres concentriques, en termes de nombre d’utilisateurs, de technologies d’authentification et de couverture fonctionnelle.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 37

14/04/08 19:05:45

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

Jeu, set et patch Après huit ans de tests d’intrusion et la mise en place de nombreuses infrastructures sécurité, Telindus constate que les entreprises luxembourgeoises sont généralement bien protégées contre les agressions externes. Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Selon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au niveau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par l’intégrateur vont dans le même sens : les risques sont moindres de voir les menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité de ses clients, Telindus place les priorités à deux niveaux : les individus et les applications.

«Chaque employé constitue une brique dans le bouclier contre les hackers», explique Daniel Soriano, Sales Department Manager, Consulting & Engineering Services chez Telindus. «Les entreprises veulent utiliser des solutions pour diminuer le risque posé par le facteur humain, explique Jean-Pierre Henderyckx, Department Manager, Network & Security Solutions, Consulting & Sales chez Telindus. Il faut agir en amont du réseau pour protéger correctement les outils et scanner le matériel avant de l’intégrer au système interne. Nous devons, progressivement, mettre ensemble les Unified Communications et la sécurité.»

TESTS ET DÉTECTIONS BOOSTÉS «Au niveau des applications, parfois, la fonctionnalité de l’application prime sur les contrôles sécurité implémentés, explique Daniel Soriano. De nouvelles techniques permettent aujourd’hui d’analyser entièrement, d’un point de vue sécurité, le code source de ces applications, afin de détecter les menaces présentes.» Il est tout aussi probable de détecter des erreurs de programmation (bugs permettant un buffer overflow,…) que des menaces plus ou moins volontaires (chevaux de Troie, backdoors,…). «La revue de code sécurisé présente un bon complé-

ment au test d’intrusion, explique Daniel Soriano. Elle peut être lancée alors que le développement n’est pas encore finalisé et mettre en évidence des éléments imperceptibles de l’extérieur.» La CSSF préconise que les sites web transactionnels soient testés après chaque mise à jour majeure. «Par rapport à la norme ISO/IEC 27001:2005, le Luxembourg est un peu en retard par rapport à d’autres pays, dit Daniel Soriano. À l’heure actuelle, une seule entreprise est certifiée ISO 27001… alors que plus de 200 entreprises ont décroché l’ISO 9000, qui date, il est vrai, de 1987.»

PATCHER «À LA VOLÉE» Enfin, la multiplicité et la diversité des applications présentes dans les environnements physiques et virtuels rendent difficile, voir impossible, l’application de la totalité des patchs sécurité proposés par les éditeurs. «Il existe des solutions innovantes IPP (Inline Patch Proxy) permettant de patcher les flux ‘à la volée’ et donc de pouvoir consolider les fenêtres de maintenance sur des cycles plus espacés», indique Jean-Pierre Henderyckx.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 38

14/04/08 19:05:46

Daniel Soriano, Sales Department Manager Consulting & Engineering Services chez Telindus

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 39

14/04/08 19:05:51

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

ISO : lifting sous contrôle Considérée souvent à tort comme allant de soi, voire sans intérêt et, surtout, coûteuse, la sécurité informatique prend un coup de jeune sous l’effet d’une normalisation strictement encadrée. La conclusion est connue depuis plus de 2500 ans : «L'épaisseur d'un rempart compte moins que la volonté de le défendre», selon Thucydide, l'auteur de la Guerre du Péloponnèse. De l’avis unanime de la profession, la sécurité informatique est l’activité la moins exaltante qu’il puisse exister. Cette pratique a bien évolué récemment pour suivre, comme bien d’autres, la voie de la normalisation. Tendance nouvelle, la normalisation souligne l’implication du management et de l’ensemble des acteurs des organisations qui décident de s’approprier le sujet.

Une nouvelle approche a été établie à l’initiative de l’International Organization for Standardization (ISO) au travers de la famille de normes ISO 2700x, qui ont succédé à celles de 1995 de la British Standards Institution. L’automne 2005 a vu naître la norme ISO/ IEC 27001:2005. Cette norme est en fait un document traitant des Systèmes de Management de la Sécurité Informatique (SMSI). En annexe A de la norme sont énumérées 133 mesures de sécurité. Ces mesures sont toutes obligatoires, toutefois la norme envisage la possibilité d’écarter certains contrôles et autorise l’extension des mesures. L’ISO a ainsi pris soin de laisser la porte ouverte à une certification facultative.

ALLO L’OLAS Il existe un organisme accréditeur (l’OLAS à Luxembourg) unique dans chaque pays, lequel accrédite des organismes en vue de pouvoir certifier d’autres organisations. Ces certifications, limitées dans le temps, ont un poids identique pour tout pays : une organisation certifiée au Canada est à même de certifier un organisme au Grand-Duché. De même, il existe des auditeurs certifiés par ces organismes, capables d’effectuer des missions de contrôle (certification ISO 27001 Lead Auditor).

Un cadre normatif de la sécurité informatique apporte une sécurité accrue par son cycle d’amélioration continue, une gestion davantage maîtrisée des risques, une harmonisation par la création d’un langage commun, une approche commune de l’audit, ainsi que la rationalisation des contrôles et donc les économies résultantes. La norme est d’un intérêt majeur pour Luxembourg et en particulier pour les professionnels du secteur financier qui se doivent d’agir comme l’imposent la circulaire CSSF 05/178 et la loi Mifid.

CLIMAT CONFIANT La norme décrit un certain nombre d’exigences en vue de mettre en place, d’exploiter et d’améliorer un SMSI (qui se doit d’être documenté) et donc in fine d’établir des mesures adaptées à l’organisation concernée en vue de protéger ses actifs (assets) et par conséquence d’établir un climat de confiance pour toutes les parties prenantes (stakeholders). Cependant, la norme n’impose pas que l’établissement d’un SMSI vise également à conserver et à faire évoluer certains intérêts stratégiques de l’organisation, tels sa profitabilité ou bien son image de marque. Si ces finalités ne sont pas exigées, elles sont certainement une des heureuses conséquences de la mise en place d’un SMSI.

Le système de management doit établir une politique de sécurité validée et supportée par le management, mise en place par des mesures techniques et organisationnelles ainsi que définir des objectifs, les atteindre, les maintenir et surtout pouvoir les améliorer (et donc pouvoir faire l’objet d’audits réguliers). Le cœur de la norme exige la mise en place d’un modèle d’activités du type cycle de Deming, illustré par l’approche Plan-Do-Check-Act bien connue des spécialistes de la qualité. Au final, l’implémentation de la norme ISO 27001:2005 donne une forme raisonnable de confiance, synonyme d’un possible accroissement du business.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 40

14/04/08 19:06:22

TECHNICAL DEVELOPMENT MANAGER

Christophe Burtin, Independent Information Technology and Services Professional Ă Luxembourg

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 41

14/04/08 19:06:31

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

Sécurité : au revoir le maillon faible… La stratégie de sécurité doit être calquée sur la stratégie globale de l’entreprise, selon Sogeti. L’expérience de l’utilisateur inspire les politiques de sécurité réussies. Souvent, le collaborateur est un risque latent pour l’entreprise… un maillon fort ou un maillon faible. «Les entreprises ne réfléchissent pas assez à leur gestion de personnel, explique Jérôme Jacob, expert sécurité chez Sogeti. Les menaces ne sont maîtrisées que quand la sécurité prend en compte tous les aspects qui concernent les utilisateurs.»

En fait, la vulnérabilité peut cohabiter avec la menace sans causer de dommages. Le tout est d’adapter le niveau de prévention aux besoins de l’entreprise. «Quand on démarre un projet sécurité et qu’on arrive avec ses grosses valises, les utilisateurs pensent ‘oh non, pas eux’, explique Jérôme Jacob. Pour faire adhérer les utilisateurs, il faut qu’ils soient au centre du projet.» Et le rôle du responsable de la sécurité (RSSI) est tant relationnel que technique. «On s’appuie sur l’expérience des gens pour établir un état d’esprit», dit Jérôme Jacob. Après avoir défini la meilleure approche et «périmétré» ce qui doit être protégé, les politiques sont traduites en gestes quotidiens pour les utilisateurs. «Le suivi des procédures est assuré par un quizz qui sert aussi de feedback à l’incident manager», explique Jérôme Jacob.

PREVENTION OU DÉTECTION ? Le métier de RSSI est encore souvent un métier de l’ombre, dont les utilisateurs ne perçoivent la portée qu’en cas de problème. Or, le RSSI a un rôle essentiel de veille. «Il faut sans cesse améliorer ses connaissances et sa réactivité, faire du benchmarking pour suivre l’évolution des menaces, profiter de l’expertise d’un réseau comme le Clussil, explique Jérôme Jacob. Beaucoup de gens font encore dans la détection et pas assez

dans la prévention.» Un métier ingrat ? «Tous les jours, il y a de nouvelles menaces, et tous les jours, un utilisateur peste contre une nouvelle politique, dit Jérôme Jacob. L’important est donc de gérer le changement permanent tout en correspondant aux investissements, souvent importants, réalisés dans le domaine de la sécurité.» Depuis 2001, les grandes entreprises ont en effet investi beaucoup plus, créant un mouvement général d’ «ultra-sécurité».

INACCESSIBLE RISQUE ZÉRO L’audit est devenu central pour gérer une politique de sécurité efficace, par exemple via la norme ISO 27.001 comme «un fil à suivre pour évaluer le niveau de vulnérabilité», explique Jérôme Jacob. Le Business Impact Analysis (BIA) permet d’assurer la continuité du business en mettant chaque élément sous contrôle et en le mesurant. «On ne peut pas faire de la sécurité informatique sans analyse et sans BIA, qui sont de bonnes bases pour la suite», estime Jérôme Jacob. Et la suite implique de savoir gérer les sensibilités humaines, dont les accès… La réactivité des utilisateurs, de même que leur sensibilisation au secret, deviennent essentielles par rapport au «mal nécessaire» qu’est la sécurité.

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 42

14/04/08 19:06:41

Jérôme Jacob, expert sécurité chez Sogeti

AVRIL 08

ITN_018_ITnews_03_avril_21>42.indd 43

14/04/08 19:06:45

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

La sécurité devient mature La traçabilité des accès est essentielle pour l’audit en regard des conformités mais se révèle de plus en plus complexe, sans centralisation de l’information. En plus de ses solutions d’Identity et d’Access Management (IAM), IBM propose Tivoli Compliance Insight Manager (TCIM), acquis via la société Consul. TCIM permet de surveiller l’activité des utilisateurs sur le système, notamment via la solution SEM (Security Event Manager). Une fois qu’un utilisateur externe ou un consultant (notamment en cas d’externalisation de certains services) est sur le système, ces personnes qui font plus ou moins partie du réseau doivent être identifiées. «Il y a encore beaucoup d’impunité car le comportement des utilisateurs n’est pas assez surveillé, explique Michael Cable, Tivoli Security Audit & Compliance Sales Leader chez IBM. Neuf incidents internes sur 10 sont commis par des utilisateurs privilégiés. Il suffirait donc de mieux surveiller les 10% restants pour diviser par 10 le nombre des attaques.»

D’abord, il importe d’avoir sous contrôle ce qui se passe dans l’entreprise via la gestion des logs, qui permet de tracer l’historique des activités des utilisateurs et de le comparer ensuite avec les politiques de sécurité en vigueur. L’idéal est que les langages des données soient les plus semblables possibles et correspondent donc à des normes. «Le grand avantage de Consul est que le langage n’est pas technique mais rédigé en W7 : who, did what, when, where, from where, how, and why, explique Michael Cable. Tous les rapports tirés de l’analyse des données sont mis dans un langage unique, compréhensible par le business et l’audit.» Comme par exemple, la comparaison avec les règles émises par la CSSF, SOX, les normes ISO, CobiT, PKI…

APRÈS LES VIRUS…

LE RISQUE, AU QUOTIDIEN

Si les auditeurs et le business s’accordent à réduire les incidents, le plus difficile demeure la définition du niveau d’accès des utilisateurs, qui ne peut en aucun cas les empêcher… de travailler. En plus de gérer la traçabilité, l’outil doit pouvoir aussi déterminer si l’usage des données est approprié. «On a rajouté de l’intelligence dans TCIM, dit Michael Cable. Les utilisateurs de la solution peuvent déterminer la cause de l’incident et prendre les mesures pour qu’il ne se produise plus. TCIM les assiste dans le processus de détection et d’investigation.» Par exemple, un utilisateur dont les logs successifs sur un programme spécifique ont été ensuite suivis par un «clear log», peut devenir un suspect aux yeux de l’audit. «En cas de doute, la spreadsheet peut être imprimée et apportée au manager pour analyse», dit Michael Cable. Pour éviter la fraude, TCIM peut être fine-tunée sur les applications choisies par le business. «L’époque des virus destructeurs est révolue, estime Michael Cable. Il faut des solutions précises pour répondre à des attaques ciblées.»

«Certaines sociétés ont atteint le niveau où l’information importante est transmise aux auditeurs en temps réel, comme le veut la norme Bâle II, explique Pierre Noël, Worldwide Risk Management & Information Security Evangelist chez IBM. Le niveau suivant voit la sécurité divisée en deux parties. D’un côté, l’informatique pure, et de l’autre, ceux qui regardent ce qui se passe en termes d’incidents,… La sécurité fait de plus en plus partie du quotidien de ces personnes, qui gèrent le risque opérationnel. Au Luxembourg, la plupart des sociétés financières ont l’approche adéquate, même si souvent, les RSSI ne possèdent pas tous les outils nécessaires pour collecter les informations. Par exemple, leur connaissance du nombre d’incidents à un temps t est mauvaise. Or, ces informations sont déterminantes pour le CFO, le CIO, voire le conseil d’administration. La sécurité va être le reflet des nouveaux besoins de l’entreprise, traduits en politiques claires.»

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 44

14/04/08 18:48:30

Et si notre ouverture multiculturelle permettait à votre entreprise de s’épanouir à l’international ?

G U N I L Oe n t d e v i CA LOGI

Établi depuis 30 ans sur les principaux marchés d’Europe, Logica prend en compte votre ancrage national et vos caractéristiques multiculturelles pour vous accompagner dans vos projets d’expansion internationaux. Logica, des racines européennes, 39 000 consultants et ingénieurs dans le monde. www.logica.com/france CONSEIL - INTÉGRATION DE SYSTÈMES - OUTSOURCING

*libérer votre potentiel

ITN_018_ITnews_03_avril_43>62.indd 45

14/04/08 18:48:30

LE GRAND DOSSIER

Sécurité

BUSINESS DECISION MAKER

World Wide Security Avec son expérience en consulting, en outsourcing, et en intégration de systèmes et de technologies, Accenture dispose d’une approche globale de la sécurité. La performance business doit prendre en compte des contraintes techniques mais surtout 80% de compétences organisationnelles… «Il y a une demande émergente au Luxembourg pour l’IAM, dit Karim Leziar, Manager, System Integration & Technology chez Accenture. Les entreprises sont poussées à adopter un IAM pour être conformes, et cela suppose une restructuration importante.» La problématique commence tôt pour l’entreprise : définir les rôles et aligner les processus des besoins internes. Un projet IAM peut ainsi passer par une restructuration des processus business, telle la mise en place d’une SOA (architecture orientée services). La gestion des identités et des accès vient derrière la SOA pour gérer les ressources auxquelles les applications ont accès. «L’IAM s’inscrit dans le concept de SOA, explique Philippe Bovy, Senior Manager, Systems Integration & Consulting chez Accenture. Si le projet est mal géré, les accès seront mal gérés. Il faut une solution robuste.»

MADE IN INDIA

VISION D’ENSEMBLE

Accenture accompagne, conseille et suit le client dans l’implémentation du projet, ce qui permet de définir un ROI clair et s’appuyer sur des ressources étendues. Les compétences sont donc aussi fournies via le canal de l’outsourcing : il y a six mois, le nombre d’employés indiens d’Accenture a dépassé le nombre d’employés américains, atteignant aujourd’hui 47.000 personnes. «Ces ressources peuvent aider à mettre en œuvre un projet de manière rapide et faire du testing, explique Philippe Bovy. La mise en place d’un projet de gestion des identités et des accès révèle les failles d’autres processus. Un projet business peut être mis en attente le temps de définir les priorités… mais les contraintes de temps poussent à régler le problème rapidement.» À l’heure actuelle, Accenture dispose en Inde d’un «pool» de 120 personnes entièrement dédiées à la sécurité, en plus de 250 spécialistes basés en Europe.

Accenture veut aussi apporter son expertise au niveau de la structuration des projets d’IAM. «Trop souvent, l’IAM demeure focalisé sur les contraintes technologiques, avec le business qui n’intervient qu’à la fin, explique Philippe Bovy. Les rôles et les profils des utilisateurs sont définis trop tard. Il faut du recul pour comprendre le business et avoir les différents leviers en main pour adapter la technique à ce que les managers souhaitent.» Cette approche «holistique» permet aussi de faire le lien avec d’autres projets en cours. De nouvelles applications appellent de nouvelles fonctionnalités et de nouvelles ressources. «Par exemple, les projets de PC banking doivent être alliés, à coup sûr, aux projets d’IAM», explique Karim Leziar.

«Pour les banques par exemple, l’IAM n’est pas le seul levier au niveau de la sécurité, explique Philippe Bovy. La segmentation des réseaux résulte en des accès plus restreints pour les utilisateurs.» La gestion des accès pousse à définir les priorités. «L’IAM a amené plus d’expertise, ou révélé d’autres expertises dans d’autres domaines», estime Karim Leziar. C’est pourquoi la sécurité ne peut s’envisager sans prendre en compte le business dans son ensemble. «En faisant un inventaire des assets, on a découvert que 80% des utilisateurs n’ont besoin que d’un nombre réduit d’applications, dit Philippe Bovy. On a donc simplifié leurs accès pour diminuer les risques de mégardes, volontaires ou non. Cela permet d’améliorer le contexte global au niveau de l’entreprise. Le core design d’une solution d’IAM, c’est une cascade d’informations.»

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 46

14/04/08 18:48:30

TECHNICAL DEVELOPMENT MANAGER

Alerting : faire «tilt» En cas de catastrophe naturelle ou d’incendie, la communication entre les acteurs en temps réel est de première importance. Qui va sur les lieux ? Avec quel matériel ? Autant de questions qui peuvent être gérées de manière centralisée. La solution Alarm Tilt de la société luxembourgeoise M-Plify structure les communications en cas de crise et ce, de manière horizontale, afin que tous les acteurs soient tenus au courant, en même temps, de l’état d’avancement de la réponse à la crise. «Ce n’est pas tant du unified messaging que du dispatching, explique Alex Alexandrino, Head of Sales chez M-Plify. Nos clients sont très forts dans le développement de solutions IT mais pas dans le domaine des Télécoms. Nous leur apportons cette plus-value.»

Dans le cas d’une crise liée à une catastrophe comme une panne ou un incendie par exemple, les utilisateurs doivent rester en contact avec le RSSI (Responsable de la Sécurité des Services d’Information). Des messages courts mais explicites sont envoyés à un groupe de personnes. En fonction des critères définis avec M-Plify, une seconde vague de messages est envoyée pour faire le point de la situation

auprès des personnes alertées. Alarm Tilt automatise les communications ; si les personnes ne répondent pas, la solution génère des appels en cascade, sur des devices différents, via des moyens différents, voire à des personnes différentes.

En six mois d’installation, notamment au Centre Informatique de l’Etat, la solution n’a jamais mis plus de 9 minutes à alerter les bonnes personnes. Alarm Tilt Business Continuity est connectée aux systèmes de sécurité, qui combinent la sécurité à l’alerte, dispatchée via la solution automatisée. Alarm Tilt peut aussi servir de connectivity as a service, déclenchant une alerte en cas de problème de connexion.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Vasco étend son offre d’authentification Vasco, fournisseur de programmes de sécurité et spécialisée en produits d'authentification forte, développe de nouveaux produits pour le marché bancaire et adresse aussi d’autres secteurs. Vasco est désormais capable d'offrir et supporter toutes les technologies d'authentification avec une offre de produits regroupant des mots de passe dynamiques uniques et signatures électroniques (OTP - la famille de produits Digipass), les certificats / PKI (produits USB, cartes à puces, etc), les technologies de mots de passe (sessions Q&A, listes TAN & Scratch, cartes Matrix, etc.) ou la biométrie en fonction de l'évolution du marché. Les clients pourront dès lors migrer

aisément d'une technologie d'authentification Vasco à une autre. Le Digipass est un élément d'authentification forte et de signature électronique des utilisateurs, qui combine un ensemble de fonctionnalités, sur une large variété de plateformes. En termes de logiciels, Vasco a développé un partenariat de premier plan avec LuxTrust. Parmi les solutions de Vasco, le Vacman combine toutes les technologies d’authen-

tification sur une seule et même plateforme. La suite de produits Vacman (le Controller et le Middleware) facilite l'intégration des Digipass d'authentification forte dans les applications de sécurité. Ensuite, l’Identikey, serveur d'authentification, combine Vacman avec la totalité des fonctionnalités de serveur. Enfin, Vasco dispose d’aXsGuard Unified Threat Management, une appliance d'authentification.

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 47

14/04/08 18:48:31

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

Un projet IAM peut en cacher un autre Gérer les accès, ok… et les identités ? Combiner les deux approches permet de renforcer la sécurité globale de l’entreprise, selon Sun. Pour toute entreprise, et face à l’explosion du volume d’informations et l’évolution des techniques de communications, la sécurité doit concerner autant les aspects externes (réseaux, etc.) qu’internes (les utilisateurs eux-mêmes). Que faire si un utilisateur quitte l’entreprise ou change de rôle dans la structure ? Un auditeur devenu trader devrait-il continuer à bénéficier des mêmes accès alors que son rôle a changé ?

Si l’Access Management fait bien partie des politiques de sécurité, l’Identity Management y est encore trop peu combiné. «Bien souvent, l’IAM est vu comme une solution unique, alors que gérer les accès et les identités ne se fait pas de la même manière, explique Sébastien Stormacq, Senior Software Architect chez Sun Microsystems. Souvent d’ailleurs, les projets viennent de départements différents. D’un côté, l’IT ou la sécurité de l’IT voudra mettre en place une gestion des accès, afin de cadrer avec la gestion des applications. D’un autre côté, les ressources humaines, l’audit ou le management mettront plus l’accent sur la gestion des identités.» «Les entreprises devraient vite voir les avantages à combiner la gestion des identités et des accès au sein d’un même projet. Souvent, les impulsions viennent de départements différents, et les projets prennent parfois des chemins différents, dit Sébastien Stormacq. Même les solutions peuvent être de différents éditeurs. Mais le plus important est que l’IT et l’audit se rapprochent, afin de renforcer la sécurité globale de l’entreprise.» Au niveau du provisioning par exemple, les privilèges des utilisateurs sont souvent bien définis lors de leur entrée dans l’entreprise. Par contre, le de-provisioning, qui annule ou redéfinit les accès des privilèges utilisateurs,

fait souvent défaut. «De nombreuses institutions financières de la Place ont lancé des projets IAM. Mais parfois, le de-provisioning n’est pas en place, ce qui pose des risques évidents en matière de sécurité.»

GÉRER L’HÉTÉROGÉNÉITÉ Ainsi, mettre en place un projet de gestion des identités n’est intéressant que si cela permet de clarifier la gouvernance et de mieux contrôler l’ensemble des systèmes. «Quelqu’un doit être responsable du projet, dit Sébastien Stormacq. On en revient toujours aux problèmes (singulier ?) d’acceptation par les utilisateurs. Pour simplifier la mise en place de projets IAM, mieux vaut séparer les rôles. Les applications et les politiques de sécurité doivent être gérées par des personnes différentes. Par exemple, le responsable de la sécurité des systèmes d’information (RSSI) doit pouvoir changer une politique de sécurité dans l’Access Management sans l’aide du développeur.» Cette approche permet également de mettre en place des politiques de sécurité plus souples. Avec la mise en place d’une solution d’Access Management, les moyens d’authentification (one-time password (OTP), certificat, username,…) sont donc conservés dans les mains du RSSI, qui peut aussi gérer l’évolution de la solution sans devoir toucher aux applications elles-mêmes.

Au final, cela dépend avant tout de la maturité du système IT. «Les organisations qui accumulent progressivement des centaines d’applications se retrouvent avec un univers IT fait de silos hétérogènes, avec leur liste d’accréditation, leurs mots de passe et leur sécurité, dit Sébastien Stormacq. Les administrateurs doivent alors créer des comptes différents pour, par exemple, Windows, le mainframe, l’email,… Imaginez devoir effacer 17 comptes lors du départ d’un utilisateur, simplement car la gestion n’est pas centralisée !»

S’ADAPTER À L’EXISTANT L’IAM ajoute une «couche transversale» de sécurité sur l’ensemble des produits chez Sun. Pour l’Access Management, Sun propose une solution de Single Sign-On open source. «Le SSO permet surtout de rendre la vie de l’utilisateur plus simple, explique Sébastien Sormacq. Les applications vérifient l’accès une fois pour toutes, le mot de passe est unique et donc plus simple à retenir. Cela renforce aussi la sécurité et allègent le volume des données à stocker.»

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 48

14/04/08 18:48:31

TECHNICAL DEVELOPMENT MANAGER

Un end-point c’est tout Des devices mal protégés ? La mobilité implique beaucoup de risques mais est devenue essentielle à de nombreux business. L’end-point security est l’une des solutions.

Symantec a présenté ses solutions lors de la conférence sur la sécurité organisée par ITnews slides : info@itnews.lu

Symantec focalise ses solutions end-point sur la haute disponibilité de l’information. Or, le périmètre à protéger n’est plus limité à l’informatique mais aux personnes elles-mêmes. Le volume de l’information a explosé, le risque est donc de voir ces données sortir de l’entreprise. Tout cela remet en question l’approche des entreprises par rapport aux risques qu’elles prennent.

Wouter Mariën, Country Manager de Symantec Belux

«La sécurité a atteint un niveau supérieur, explique Wouter Mariën, Country Pre-Sales Manager Benelux chez Symantec. Auparavant, on éliminait tout risque. A présent, cette sécurité 2.0 permet d’équilibrer le risque et l’opportunité. Si le business vient avec un nouveau projet, il ne s’agit plus de refuser, il faut trouver un compromis.» La sécurité fait de plus en plus partie des processus business et implique de l’automatisation et de la standardisation. De manière générale, la sécurité évolue vers l’endpoint security pour éviter la fuite d’informations sensibles. «Il ne s’agit pas tant de se focaliser sur le poste de travail de l’utilisateur que sur l’information elle-même», estime Wouter Mariën.

SOLUTION ALL-IN-ONE L’Enterprise Security Management and Compliance Suite aide à mesurer le contrôle technique, les serveurs… A partir de ce cœur de compétences, la solution est adaptable aux besoins de l’entreprise. La vision de Symantec de la sécurité est d’intégrer le plus de technologies possible dans un seul security client. La solution tout en un comprend l’antivirus, l’antispyware, le device control (pour bluetooth ou USB),… La sécurité peut ainsi se concentrer sur la base de données, pour en définir et surveiller les flux. Par exemple, une vingtaine de numéros de

cartes de crédit qui sortent en même temps : est-ce normal? Les solutions de Symantec en la matière intègrent de l’intelligence : captage de ce qui se passe, nature des malwares, des attaques,… La mise à jour se fait en temps quasi réel, les failles de sécurité sont contrôlées de manière automatique. Le module permet de garder la main sur le cycle de vie du document et de faire du full back-up chaque semaine. Enfin, début avril, Symantec a lancé un module d’encryption du disque dur. En cas de perte ou de vol, les risques sont donc minimisés…

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 49

14/04/08 18:48:32

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

L’IAM, pierre angulaire Le Luxembourg a mis en place une structure légale contraignante en termes de sécurité et notamment concernant l’Identity and Access Management. Analyse par Zeropiu. Zeropiu est une entreprise d’origine italienne qui déeveloppe depuis 1999 des projets de gestion d’accès et d’identité. Pour faire face aux besoins grandissants des utilisateurs, Zeropiu s’est lancé avec la suite IAM de Netegrity (maintenant CA) et travaille également avec les produits majeurs du marché dont Oracle, Novell et Sun. A l’origine, les fonctionnalités les plus demandées étaient la gestion d’accès et le Single Sign On (SSO). Aujourd'hui, le focus est davantage sur la gestion d’identité et de rôle métier.

//// JE SUIS IAM //// Selon Gartner, on peut structurer ainsi le paysage global de la gestion d’accès et d’identité ou IAM (Identity & Access Management) : UÊ iÃÊÌiV } iÃÊìÊÀj«iÀÌ ÀiÃ]Ê standards, agrégés ou virtuels UÊ ½>` ÃÌÀ>Ì Ê`½ ì Ì Ìj]ÊµÕ Ê inclut la création automatique d’utilisateurs (provisioning), l’administration des rôles, des mots de passe, de l’authentification forte UÊ ½>Õ` ÌÊ`½ ì Ì Ìj]ÊìÊÃj«>À>Ì Ê des charges, la gestion des événements, le monitoring de l’activité et les alertes

«Lors du 1er Internet Security Day, le 26 mars 2007, LuxTrust prédisait le lancement de «spin-off in security business» comme conséquence de la mise en place des infrastructures de sécurité numérique, explique Dominique Duthilleul, Business Development Manager chez Zeropiu. Outre la présence importante d’institutions financières, ce contexte prometteur a rendu le Luxembourg particulièrement attractif pour le développement de l’IAM. Il ne fallait cependant pas s’attendre à une déferlante. Culturellement, certains pays comme la Norvège sont à l’avant-garde et ont mis en place des mécanismes de fédération d’identité et de SSO entre leurs différents portails à destination des citoyens. Le Luxembourg adopte une approche résolue mais prudente avec le lancement, en janvier dernier, de la signature électronique dans les applications en ligne, dans le contexte de l’eGovernment, qui va dynamiser le marché public et parapublic.»

UÊ >ÊÛjÀ wV>Ì Ê`½ `i Ì ÌjÊ>ÛiVÊ l’authentification unique ou Single Sign On et la fédération d’identité entre organisations ou parties d’organisations qui se font confiance UÊ >Ê}iÃÌ Ê`iÃÊ`À ÌÃÊ`½>VVmÃÊ>ÕÊ niveau du système d’exploitation, du Web, des applications en mode client/serveur

«La pierre angulaire ainsi posée, il reste à restructurer la gestion des accès dans les différentes applications pour faire le lien entre identité et droit d’accès, déployer Single Sign On et provisioning», dit Dominique Duthilleul. Face aux obstacles, le RSSI aura un rôle d’interlocuteur de premier plan. «Pour l’optimisation des projets IAM, les RSSI auront l’opportunité de s’appuyer sur des sociétés dotées d’une

forte expertise technologique et d’une expérience étendue. Par exemple, un projet de gestion d’identité nécessite un soutien fort du management – certains responsables applicatifs vont perdre le contrôle de la création des comptes – et un projet pilote dans une partie de l’organisation qui l’attend. Un déploiement global conduit fréquemment à des projets sans fin, coûteux et mal vécus par les utilisateurs.» Pour les entreprises, le défi majeur est donc d’adopter une approche graduelle.

LE SECRET : UN OBSTACLE ? «Le Luxembourg a mis la barre très haut en termes de respect du secret, explique Dominique Duthilleul. Secret professionnel, avec la loi du 5 avril 1993 relative au secteur financier et de respect de la vie privée avec la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Sur le plan légal, les pratiques de contrôle, voire de sanction concernant le secret professionnel peuvent rapidement entrer en conflit avec les règles sur le respect de la vie privée, la CNPD (Commission Nationale pour la Protection des Données) a la lourde tâche d’arbitrer ce conflit et travaille depuis longtemps à l’établissement d’un guide de conduite. Un autre défi à relever est de faire de la gestion globale de la sécurité une

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 50

14/04/08 18:48:45

responsabilité directe du top management, de par son impact direct sur les problématiques de conformité, de respect de la vie privée et parfois des droits de propriété intellectuelle.» «Enfin, en tant que place financière majeure, et compte tenu du poids du secteur financier dans son économie, le Luxembourg se doit de compléter l’approche analytique de la sécurité par une approche systémique, assurant flexibilité et sécurité aux acteurs de la place financière tout en préservant l’équilibre de la place quels que soient les accidents internes ou agressions subies par l’un des acteurs. Nul doute que cette réflexion soit en cours.»

Dominique Duthilleul, Business Development Manager chez Zeropiu

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 51

14/04/08 18:48:57

M c t

TECHNICAL DEVELOPMENT MANAGER

A a e s im o W

L’IAM contre la fraude interne Pour lutter efficacement contre la fraude, la gestion des accès doit s’accompagner d’une politique attribuant (ou retirant) les accès en fonction des rôles des utilisateurs, préconise Bull. Centraliser la gestion des accès des employés est une manière efficace de combattre la fraude interne. En plaçant un point de contrôle obligé entre un utilisateur et ses applications, les problèmes de mots de passe publics et d’accès conservés indûment disparaissent. Il y a beaucoup d’éléments mais la complexité de ce domaine n’est souvent qu’apparente. Fort de centaines de projets mis en place dans le monde, l’éditeur Evidian, filiale du groupe Bull, a déterminé plusieurs règles-clé pour déployer un projet de ce type. Bien planifié, un projet de gestion des rôles et des accès apporte à chaque étape des fonctions utiles.

POLITIQUES LISIBLES L’authentification unique (Single Sign-On ou SSO) peut être un point de départ solide pour un tel projet. Le SSO renseigne les mots de passe applicatifs à la place de l’utilisateur et peut les changer automatiquement, donc les utilisateurs s’alignent naturellement sur la politique de sécurité. Autre avantage, la continuité de service apportée par le SSO réduit les coûts d’exploitation. Libérés des mots de passe applicatifs, les utilisateurs n’encombrent plus le help desk d’appels improductifs.

De plus, l’apport d’une gestion rigoureuse de la politique d’accès, basée sur les rôles, est également capital. Avec une gestion de politique (‘policy management’) efficace, l’attribution des droits n’est plus nominative : elle dépend du métier de l’utilisateur et de sa place dans l’organisation. Cette manière de procéder est rationnelle. Elle est aussi facilement «auditable» car effectuée en un seul endroit, et non application par application. Avec un policy management, la politique de sécurité de l’entreprise est lisible et adaptable en fonction des besoins.

Les procédures sont simples et facilement documentées : une seule interface est utilisée. Du point de vue de l’utilisateur, les délais de mise à disposition de ses applications sont considérablement raccourcis, et il est aisé de faire respecter les contraintes de séparation des tâches (‘segregation of duties’). Pour compléter le tout, un ‘workflow’ automatisera la chaîne de décision. Car même si le rôle d’un utilisateur lui donne théoriquement droit à un accès applicatif, sa hiérarchie doit formellement autoriser cet accès. Cela renforce les garanties qu’un utilisateur ait accès uniquement aux applications utiles à son travail.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Sécurité virtuelle ? La virtualisation est l’un des éléments les plus importants de l’IT dans les années à venir. Secaron s’est intéressé aux aspects sécurité de cette nouvelle tendance.

«Le niveau de sécurité des solutions de virtualisation disponibles aujourd'hui est considéré par les spécialistes comme satisfaisant, dit Sébastien Bourgasser, Security Consultant chez Secaron. Les éditeurs de solutions de sécurité font évoluer leur gamme de produits afin de déployer leurs outils au cœur des systèmes de virtualisation. Et même si le risque zéro n'existe pas, il est communément admis que les mécanismes d’isolation et de protection présents nativement dans les hyperviseurs actuels sont robustes et garantissent l’intégrité des machines virtuelles.»

«En permettant l’accès à la mémoire, au disque et au trafic réseau de manière centrale, les nouveaux hyperviseurs fournissent aux outils de sécurité un accès privilégié aux machines virtuelles. Si cette fonctionnalité permet d’augmenter sensiblement le niveau de sécurité individuel de chaque serveur, elle accroît considérablement la surface d’attaque sur l’hyperviseur lui-même, ouvrant potentiellement une brèche dans le mécanisme d’isolation des machines virtuelles.»

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 52

14/04/08 18:48:58

Managed services that deliver continuous improvements back to your business. At Computacenter, we proactively apply our broad range of skills, expertise and the latest technology solutions to deliver continuous improvements across the lifetime of our managed services contracts. Whether itâ&#x20AC;&#x2122;s finding new ways to

TECHNOLOGY SOURCING

INFRASTRUCTURE INTEGRATION

Office: Espace Kirchberg C Phone: +352 26 29 1-1

26-28 Rue Edward Steichen

Fax: +352 26 29 1-815

ITN_018_ITnews_03_avril_43>62.indd 53

deliver operational efficiency gains, using ITIL-based best practices to improve service management or applying new technology innovations â&#x20AC;&#x201C; we can help you realise year-on-year cost savings. Transform your service delivery with Computacenter.

MANAGED SERVICES

2540 Luxembourg eMail: infolux@computacenter.com

14/04/08 18:48:58

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

The big picture Pour permettre aux entreprises d’appliquer leurs stratégies de sécurité aux réalités d’une globalisation des menaces, Verizon Business encourage une approche Risk Management. En matière de sécurité, la gestion du risque doit à présent prendre en compte des aspects métiers. Le risque, c’est aussi ce qui peut menacer le capital immatériel de l’entreprise, telle son image de marque. La sécurité sous-tend ces aspects et, par sa nature même, ne peut faillir sans remettre en cause l’entièreté du système. Les organisations devront donc, face à des risques potentiels, gérer les menaces sur leur réseau et leurs applications critiques. Verizon Business dispose d’une expertise particulière sur le marché de la sécurité suite à l’acquisition de Cybertrust en mai 2007. Le fournisseur de services propose différentes approches de la gestion du risque.

D’une part, suite à la globalisation, les entreprises doivent gérer leur sécurité de manière intégrée, afin de protéger les systèmes à différents niveaux. Avec la diversification et la mutation des attaques, les solutions de sécurité se révèlent parfois inadéquates. Gérer efficacement le risque permet de réduire le nombre de menaces potentielles ou, tout au moins, de les garder sous contrôle. Ainsi, par exemple, des fuites de données pourraient causer du tort aux clients eux-mêmes et avoir un impact négatif sur le business de l’entreprise. C’est pourquoi le Risk Management doit prendre en compte les aspects techniques, mais aussi les politiques et les systèmes de l’entreprise, afin de protéger au mieux les données critiques.

SAISIR LES OPPORTUNITES

Verizon Business a présenté ses solutions lors de la conférence sur la sécurité organisée par ITnews slides : info@itnews.lu

D’autre part, en plus d’un changement d’orientation dans le design de la sécurité, les entreprises qui font partie d’un réseau mondial d’échanges doivent pouvoir satisfaire aux exigences de conformité. Cette nouvelle vision du business dépasse le cadre du département IT, et c’est aussi pourquoi un rapprochement entre les deux «mondes» est nécessaire. En revanche, en termes de sécurité, le défi de la conformité doit être vu plus comme une opportunité

que comme une contrainte. Par exemple, les profils des Responsables de la Sécurité des Services d’Information ont, eux aussi, évolué, acquérant des fonctions juridiques. «Nous devons disposer de personnes qui sont à même de correspondre aux besoins de nos clients, explique Christophe Bianco, Business Development Manager chez Verizon. Ces personnes ont toutes un profil technique tout en étant à même de comprendre les métiers que font les entreprises.» Les RSSI ont donc acquis une sorte de transversalité : une compréhension de l’entreprise en interne mais aussi des clients. La feuille de route du RSSI en 2008 sera donc marquée par la conformité… Face à cette volonté de refocaliser la sécurité sur l’essentiel, certaines entreprises mettent en place des projets d’externalisation : log management, antivirus,… L’externalisation permet de créer de la valeur ajoutée, en gardant toutefois la main sur le contrôle des décisions. L’outsourcing repose sur le concept de «trusted partners». Il s’agit là d’apporter un complément de compétences qui puisse satisfaire l’entreprise. Le critère du coût est primordial, c’est même souvent la première raison qui pousse les entreprises à externaliser la gestion de leurs ressources. Le tout est de trouver une solution qui s’adapte à la culture et aux besoins de l’entreprise.

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 54

14/04/08 18:49:02

Christophe Bianco, Business Development Manager chez Verizon

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 55

14/04/08 18:49:04

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

Hosted security : qui est prêt ? Dimension Data a une approche complète de la sécurité, notamment via les managed services… un pas difficile à faire pour les entreprises. L’évolution de la sécurité est parallèle à celle des moyens de communication. De la téléphonie à l’IP, de l’email à l’instant messaging, qui est devenu un véritable outil de travail. Dimension Data, intégrateur local à forte valeur ajoutée, a commencé à œuvrer dans la sécurité en 1998, au niveau des réseaux. À présent, la nature et l’approche de la sécurité se diversifie pour se propager aux stockages système, aux portables, aux PDA… ainsi qu’aux applications. Par exemple, le hacking était au départ réduit aux aspects réseaux ; aujourd’hui, le cyber crime s’est diversifié… et les solutions de protection aussi.

Les entreprises sont passées du firewall à la sécurisation de tout le système. Or, les équipes n’ont pas évolué aussi vite que les besoins en matière de sécurité. On se retrouve avec un manque de compétences. «Nous pensons que le domaine de l’applicatif et de la sécurité sont assez éloignés, déclare Jean-Hubert Antoine, Security Solutions Manager chez Dimension Data. Eduquer les utilisateurs est difficile : mieux vaut parfois rajouter une couche supplémentaire et être préventif. C’est simple et moins coûteux.»

DÉPASSER LES PRÉJUGÉS Dimension Data propose les managed services. Au Luxembourg, la banque peut être réticente à outsourcer l’infrastructure, par rapport à sa politique interne de sécurité. «Notre spécificité est de laisser les couches sécurité chez le client et de les gérer soit chez eux, soit à Capellen», précise Jean-Hubert Antoine. La configuration permet une alerte 24h/24 pour alerter le client en cas de problème grâce à l’utilisation de SLA convenus avec l’équipe de sécurité. Ainsi, les équipes sur site peuvent être pré-

venues et Dimension Data peut effectuer des manipulations à distance. Certaines banques ont ainsi outsourcé leur web banking chez Didata à Capellen pour que leur infrastructure sécurité, et non leurs données, soit gérée en 24/7. Une telle mise en place n’est possible que par la sécurisation parallèle des moyens de communication. La solution de Dimension Data permet de sécuriser la téléphonie IP, les devices en end-point (GSM, laptops, CD et DVD, clés USB,…), ainsi que les données à l’intérieur de l’entreprise pour les prémunir de toute menace qui pourrait pénétrer par une back door. «La technologie est vaste et il faut pouvoir tout couvrir, dit Jean-Hubert Antoine. Notre défi à nous est de pouvoir faire notre chemin dans ces produits niches, c’est-à-dire consolider, garder la maîtrise sur les technologies proposées et garantir le suivi aux clients.»

DIRECTION CLAIRE Auparavant, les relations interne/externe étaient gérées par le firewall et l’IPS. «Le château fort est devenu un aéroport, dit

Jean-Hubert Antoine. Il nous faut passer par une phase de dé-périmétrisation dans nos approches car les menaces augmentent en interne.» C’est un modèle dynamique dont l’originalité réside dans ses possibilités d’adaptation à l’entreprise. Par exemple, une banque limite les dangers en utilisant des postes fixes et les portables sont isolés pour bénéficier d’une sécurité renforcée. Dexia a été le premier client de la solution majeure de sécurité proposée par Dimension Data, ASI (Adaptive Secure Infrastructure). «Certains clients partent dans toutes les directions, dit Jean-Hubert Antoine. Il faut réfléchir à une solution de protection adéquate au type d’infrastructure et ne pas sous estimer l’impact sur la partie gestion. Il existe encore un domaine dans lequel les entreprises doivent s’améliorer, c’est la centralisation et la consolidation des informations.» Il y a dix ans, la solution unique était un antivirus sur la station de travail et un firewall en externe; à présent, c’est du point à point avec une authentification par accès à distance. Le marché des solutions de sécurité est en pleine explosion, il faut une vue globale de la sécurité pour savoir où intervenir…

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 56

14/04/08 18:49:06

Syst

<~\T _Pb _Tda

Ioij[c Iebkj_edi d[ h[Ykb[ Z[lWdj h_[d fekh leki iWj_i\W_h[ BWXehWje_h[ f[h\ehcWdj 9[hj_Ă&#x201C; YWj_edi 9_jh_n =ebZ fWhjd[h" >F fh[\[hh[Z fWhjd[h" LCmWh[ ;djh[fh_i[" C_Yheie\j" [jY$ Ik_l_ Z[i Wff[bi" XWiÂ&#x192; ikh ?J?B >F Ef[dL_[m IÂ&#x192;Ykh_jÂ&#x192; Z[i ZeddÂ&#x192;[i I7D" XWYakf" WhY^_lW][ Ă&#x201C; Y^_[hi [j cW_bi" :HF" [jY$ Fhe\[ii_edd[b Zk I[Yj[kh <_dWdY_[h Z[fk_i ZÂ&#x192;Xkj (&&. $$$

HnhiZb Hdaji^dch! hdX^Â&#x201A;iÂ&#x201A; ajmZbWdjg\Zd^hZ heÂ&#x201A;X^Va^hÂ&#x201A;Z Zc ^c[dgbVi^fjZ! cĂ&#x2030;V g^Zc | Zck^Zg Vjm \gVcYZh bjai^cVi^dcVaZh# EVgiZcV^gZ gZXdccj Zi XZgi^[^Â&#x201A; eVg aZh VXiZjgh aZh eajh ^bedgiVcih Yj bVgX]Â&#x201A;! ZaaZ V Â&#x201A;\VaZbZci dWiZcj aĂ&#x2030;V\gÂ&#x201A;bZci \djkZgcZbZciVa EH; fj^ aĂ&#x2030;Vjidg^hZ YÂ&#x201A;hdgbV^h | ZmZgXZg aZh VXi^k^iÂ&#x201A;h YĂ&#x2030;deÂ&#x201A;gViZjg YZ hnhiÂ&#x192;bZh ^c[dgbVi^fjZh eg^bV^gZh dj hZXdcYV^gZh Zi YZ gÂ&#x201A;hZVjm YZ Xdbbjc^XVi^dc edjg aZ hZXiZjg [^cVcX^Zg# :c fjZafjZh bdih / kdigZ ^c[dgbVi^fjZ Zhi ZcigZ YZ WdccZh bV^ch

'%)! gdjiZ Y 6gadc " A"-%&% HigVhhZc " IZa# (*' (& )% )% & " ;Vm (*' (& )% )' Z"bV^a/ ^c[d5hnhiZbhdaji^dch#aj

ITN_018_ITnews_03_avril_43>62.indd 57 1 SystemSol_annce_itnews_A4.indd

14/04/08 18:49:07 28/03/08 10:24:33

LE GRAND DOSSIER

Sécurité

TECHNICAL DEVELOPMENT MANAGER

Virage contrôlé Face à l’augmentation constante des malwares et la difficulté de mettre à jour les logiciels de sécurité, Trend Micro propose une solution de filtrage… sur internet. Auparavant inondée par les virus, chevaux de Troie et vers, la Toile est à présent traversée de menaces plus actives, et beaucoup plus difficiles à éliminer. «Il y a environ 20 ans, on détectait 2000 virus uniques dans le monde, déclare Patrick Dalvinck, Regional Director Benelux chez Trend Micro. Il était alors facile pour les constructeurs de détecter les virus, mettre à jour les signatures et les déplacer vers les clients à protéger.»

Patrick Dalvinck, Regional Director Benelux de Trend Micro

Face à ce mouvement de croissance et de diversification, Trend Micro considère qu’il est impossible d’envoyer les mises à jour vers les clients. Trop d’informations, trop de bande passante alourdie par la sécurité. «Le but du client n’est pas d’acheter un ordinateur pour y passer 50% à la sécurité. Il faut de nouvelles manières de mise à jour.» Le fournisseur de solutions a donc mis en place une solution de mise à jour sur le net : un datacenter «in the cloud». L’utilisateur se connecte sur les sites approuvés par Trend Micro et ce, en temps réel. «Plus de 100 millions de PC sont infectés et leurs utilisateurs l’ignorent, dit Patrick Dalvinck. Les nouvelles attaques sont invisibles et utilisent les PC comme base de relais pour d’autres attaques.»

L’approche de Trend Micro est donc à 180° des habitudes. «Le client ne doit plus faire de mise à jour du logiciel, car sa machine n’est plus accessible aux malwares, explique Patrick Dalvinck. Le thin client donne une protection plus élevée et s’intègre avec les solutions d’autres fournisseurs.» Si les autres produits brandés Trend Micro apportent de la plus-value une fois combinés à la solution Web Threat Protection, l’ajout de solutions d’autres fournisseurs permet d’apporter aussi de la valeur… tout en conservant la transparence de la solution. «La solution externe est une évolution importante mais au fond, le client est satisfait de voir un investissement «in the cloud». Ce n’est pas à eux de perdre et budget et performance. Les systèmes sont laissés libres pour les applicatifs.»

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 58

14/04/08 18:49:10

ITN_018_ITnews_03_avril_43>62.indd 59

1BSUFOBJSF &YQFSU 1SJN 9 4UFSJB 14' -VYFNCPVSH 4" 3VF EV ,JFN 4USBTTFO -VYFNCPVSH ] 5FM ] XXX TUFSJB QTG MV

14/04/08 18:49:10

TECHNICAL DEVELOPMENT MANAGER

La sécurité au cœur des solutions De ses autres secteurs d’activité, HP a hérité d’une vision multifonctionnelle de la sécurité et la place au centre de ses solutions. Qu’il s’agisse des outils de protection intégrés aux laptops et aux postes de travail, de contrôle d’accès aux données sensibles, de privilèges d’utilisation de documents, de gestion de clés ou de validation, le constructeur identifie les domaines de la sécurité qui sont porteurs de valeur ajoutée. De plus, les services fournis par HP sont inspirés de la propre expérience du constructeur en matière d’IT et de sécurité, afin de protéger les ressources mondiales de la société. Le résultat est un mélange de solutions industrialisées et d’innovation.

«Nos offres sécurité sont tous azimuts, explique Jan De Clerq, CEO HP Security Office. Nous pensons que la sécurité ne doit pas être rajoutée comme une couche supplémentaire mais au contraire doit être placée au cœur de chaque solution.» Parmi les nouvelles solutions, les idées d’HP répondent à un besoin croissant de contrôler l’accès et l’utilisation des documents. Par exemple, les limites d’impression et de transmission de documents contenant des données sensibles peuvent être clairement définies. Ainsi, de plus en plus d’entreprises s’intéressent au key management, notamment suite à l’importance grandissante de l’encryption pour des raisons de conformité. «La gestion des clés est devenue l’une des problématiques majeures de la sécurité,

explique Jan De Clerq. De plus en plus d’entreprises adoptent le key management comme solution d’encryption, afin de mieux gérer l’accès aux données.» Les documents sont sécurisés via le recours à une clé unique, qui ne peut être remplacée. La gestion de ces clés est donc primordiale pour assurer la continuité du business de l’entreprise. HP, via sa solution StorageWorks Secure Key Manager, donne aux entreprises les moyens de déployer le key management au travers de toute l’organisation.

PÉRIMÈTRE DE QUALITÉ Pour protéger le réseau, HP a développé dans la gamme ProCurve, une solution de Network Access Control active à deux niveaux : la fermeture des ports non autorisés et une authentification forte des utilisateurs

et des applications. Cette approche proactive est un mécanisme de défense qui va mettre à jour automatiquement les connexions que le serveur refuse. Chez HP, la sécurité va de pair avec la qualité. Le constructeur s’est donc aussi attelé à la défense contre les menaces provenant d’internet. L’Application Security Center, une solution pour la sécurité des applications web, fournit un relevé des risques et fait du testing à chaque phase du cycle de vie d’une application. HP désire ainsi réduire les risques opérationnels et s’inspire des techniques de sécurité du stockage, avec d’une part, l’accès aux données (identification, confidentialité via l’encryption, autorisation) et d’autre part, la gestion de celles-ci (définition des rôles, permissions, traçabilité, key management).

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

BT, prêt pour la complexité Face à la complexification des environnements de travail, du recours accéléré à l’externalisation, du besoin pour les grandes entreprises de réévaluer leur stratégie de sécurité, de la volonté de collaborer plus sans perte de contrôle, BT, fournisseur de solutions et de services de communications, peut apporter son expertise «blended» des télécommunications et de la sécurité. BT est actif dans le secteur de la mobilité, notamment dans la convergence fixe / mobile. La mobilité est liée de près aux problématiques de sécurité, notamment par rapport au risque de fuite de données. «Pour correspondre aux évolutions que connaissent les entreprises, BT propose des solutions et des services de sécurité couvrant la fourniture de conseils, le respect de la conformité au regard des règlements en vigueur, la disponibilité des

applications et des réseaux à tout moment, les applications et les réseaux sécurisés, l’intégrité des données, etc.», explique Kees Plas, Head of Business Continuity, Security & Governance Practice, Benelux, BT Global Services. Des services qui vont donner une place importante à la gestion des risques. Selon une récente étude menée entre autres par BT, le recul de la globalisation – affectée par une montée du protectionnisme – peut

représenter un risque particulièrement sérieux, auquel les entreprises ne sont pas correctement préparées. La globalisation voudrait que la gestion des risques devienne une question d’importance stratégique. Selon l’étude, les entreprises qui intègrent leurs infrastructure et planification de risque deviendront plus résilientes et en récolteront les bénéfices dans un environnement commercial devenu plus complexe.

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 60

14/04/08 18:49:11

Sh..!! Where are my data today?

Siemens IT Solutions and Services Security Solutions for IT

www.siemens.lu/it-solutions

ITN_018_ITnews_03_avril_43>62.indd 61

14/04/08 18:49:11

ACTUAL-IT

Carrières

BUSINESS DECISION MAKER

BERNARD LHERMITTE

PETER NURSKI

Devient Head of IT Department chez ING Luxembourg

Est nommé Directeur du Département Vente pour les PME de SAP en Belux

Ayant intégré ING Luxembourg en 1989, Bernard Lhermitte était devenu responsable de l’équipe Analyse et Programmation en 2004, puis Manager BIS – Application & Project Management en 2005.

Etant déjà Country Sales Manager Luxembourg de SAP, Peter Nurski succède à Henk De Metsenaere qui quitte la société pour fonder sa propre entreprise. Peter Nurski reprend les rênes et poursuivra le développement du canal de partenaires.

PETRA PESIN

PAUL JUNG

DAVID VERNAZOBRES

Rejoint Dimension Data Financial Services en tant que Account Manager

Devient Senior Security Engineer chez Dimension Data Managed Services

Rejoint DiData Managed Services en tant que Junior Security Engineer

Active sur le marché luxembourgeois depuis 1994, Petra Pesin a précédemment occupé les fonctions de Business Development Manager auprès de Primesphere et Business Manager auprès de e-BRC.

Paul Jung a une expérience de 10 ans en France et au Luxembourg. Il occupait précédemment la fonction d’ingénieur réseaux chez Real Solutions, où il était en charge de design et d’implémentation de solutions télécoms.

David Vernazobres occupait ces trois dernières années la fonction de chargé de projets en bioinformatique au sein de l’université allemande de Münster.

Envoyez votre nomination à info@itnews.lu

AVRIL 08

ITN_018_ITnews_03_avril_43>62.indd 62

14/04/08 18:49:16

/////////////////////////// ACTUAL IT > Microsoft 2008 p 65 > eLuxembourg p 66 > Apsi p 67 > Namestock p 68 > LuxConnect p 70 > Steria / Prim'X p 71 > IT agenda p 72 > Aubay BPM p 74 > Portrait Claude L端scher p 76 > IT jobs p 78

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 63

14/04/08 21:36:57

Your Ànancial advisor in Luxembourg

PROPERTY INVESTMENT ADVICE Acquisition and sale - Due Diligence Financial Feasibility Analysis FIDUCIARY SERVICES Company Formation - Domiciliation - Accounting - Taxation Financial Engineering - Payroll Administration

www.boa.lu info@boa.lu Tél :(352) 276 217 771 Fax : (352) 276 217 78

annoncaA4210X297.indd 1 ITN_018_ITnews_04_avril_63>82.indd 64

Your real estate advisor in Luxembourg

RESIDENTIAL, COMMERCIAL AND OFFICE Letting - Buy/Sell and Developments

COMPANIES HOUSE - 42a Place Guillaume II - L-1648 Luxembourg

www.opava.lu info@opava.lu Tél :(352) 276 217 777 Fax : (352) 276 217 78

25/02/2008 10:19:20 14/04/08 21:36:58

.lu .lu 77 78

:19:20

ACTUAL IT

Logiciels

DEVELOPER / CONSULTANT

Microsoft 2008 : les end-users sur le devant de la scène Lors du lancement de Windows Server 2008, SQL Server 2008 et Visual Studio 2008, Microsoft a mis en avant les acteurs locaux qui font le pas vers les technologies de demain. Au Luxembourg, l’IT est omniprésente mais pas toujours en tant que valeur ajoutée. L’idée de Microsoft était de ramener les end-users à l’avant-scène et promouvoir leur vision de la technologie pour le lancement de la plateforme 2008 de l’éditeur. À l’heure actuelle, seulement 20% du budget IT est consacré à la création pure. 80% est nécessaire aux tâches administratives. Les clés de Microsoft résident donc là : libérer des ressources, du temps et du budget pour l’innovation.

«L’IT peut être utilisée pour faire des choses extraordinaires, et pour cela il faut des nouveaux produits d’infrastructure», explique Christophe Van Mollekot, Products & Solutions Marketing Manager chez Microsoft, et en charge de la plateforme Windows Server au Belux. Microsoft a surpris. «Windows Server 2008 a une option Core Server qui permet une installation sans interface graphique… Cela répond à une demande des utilisateurs de proposer un serveur à fonctionnalités limitées, pour plus de liberté.» La virtualisation répond aussi à un phénomène croissant de consolidation. «On ne surfe pas que sur la vague verte mais on tente d’apporter une réponse pour la longue durée, explique Christophe Van Mollekot. La virtualisation demeure une niche, avec 90% du marché qui n’est pas encore virtualisé, à cause du coût élevé de la solution. De plus, la virtualisation pose des problèmes évidents de traçabilité et de localisation de l’information dans le système.» En fait, les utilisateurs qui virtualisent leur infrastructure doivent alors souvent gérer une troisième couche, en plus de l’OS et des applications. Pour remédier à cela, Microsoft propose la virtualisation comme

fonction de l’OS, intégrant le module hyper-V dans Windows Server 2008.

CONQUÊTE DE NOUVEAUX MARCHÉS

SOUTENIR L’ÉCOSYSTÈME

«L’outil évolue de même que la façon de faire des affaires au Luxembourg. La banque va au client et non l’inverse. Les services s’améliorent. Nous avons la chance d’avoir des banques bien organisées, ajoute Thierry Fromes. La concurrence est toujours là, de même que le besoin de recourir à la technologie pour disposer d’informations en temps réel.» La productivité est par exemple soutenue par les Unified Communications, qui permettent aux entreprises de se développer sur de nouveaux marchés. La plateforme 2008 est donc une fondation solide pour les applications web de la prochaine génération, pour la technologie de virtualisation et pour l’accès à l’information pertinente. Ainsi, SQL Server 2008 fournit une plateforme intelligente pour gérer les données de manière sécurisée et, combinée à Windows Server, permet de réduire le temps et le coût de gestion.

L’ajout d’hyper-V est donc un changement fort, directement orienté vers les utilisateurs finaux. «On arrive vers le tipping point, dit Christophe Van Mollekot. Bientôt les capacités d’innovation vont dépasser les besoins de maintenance.» Cela est aussi possible grâce à la force d’industrialisation que Microsoft a développée. «C’est important de pouvoir soutenir l’écosystème luxembourgeois, explique Thierry Fromes, Country Manager chez Microsoft Luxembourg. Il serait anormal de proposer un produit sans que les SSII aient les compétences pour les développer. Nous devons soutenir la mise en place de nos solutions au Luxembourg, afin d’atteindre une meilleure compétitivité IT au niveau international.» Pour soutenir ce développement technologique, Microsoft souligne l’aspect collaboratif des solutions brandées 2008. Par exemple, Visual Studio intègre un outil de collaboration, Visual Team System qui permet à plusieurs développeurs, répartis sur des sites différents, de travailler sur le même projet.

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 65

14/04/08 21:37:01

ACTUAL IT

Secteur Public

BUSINESS DECISION MAKER

L’eGouvernement retend sa toile Des sites web de meilleure qualité technique, plus ergonomiques et accessibles ? Tel est le but du référentiel de normalisation (ReNo) émis par eLuxembourg. Le référentiel de normalisation émis par le service eLuxembourg se veut pratique pour améliorer la présence du gouvernement luxembourgeois sur internet. «Nous voulons augmenter les standards de qualité des sites de l’Etat, tout en gardant la logique et la cohérence qui étaient les objectifs visés lors du lancement des sites», explique Claude Wiseler, Ministre de la Fonction publique et de la Réforme administrative. Des outils d’évaluation vont être mis en place, pour mesurer les standards inspirés de la Charte de normalisation publiée en 2002. Ainsi, le gouvernement pourra cerner l’impact et l’efficacité de sa communication aux citoyens via le net.

NOUVEAUX BESOINS, NOUVELLES APPROCHES ReNo peut avoir un impact significatif sur la façon dont le Luxembourg est perçu au niveau européen. Selon une étude d’Eurostat, en 2006, le Luxembourg occupait la première place quant à l’utilisation par les citoyens de formulaires publiés sur les sites de l’Etat. La fréquentation des sites publics est en moyenne importante. Par exemple, le portail legilux.lu connaît 5000 visites par jour, alors que police.lu n’en compte «que» 2000. Selon une étude des Nations Unies, le Luxembourg occupe une respectable quatorzième place dans le classement mondial des eGouvernements. «Beaucoup d’efforts ont été fournis pour améliorer la visibilité de nos sites mais nous devons encore progresser», explique Claude Wiseler.

En 2008, le service eLuxembourg promet des sites plus modernes, plus légers et plus faciles d’utilisation, avec des fonctionnalités supplémentaires pour les rédacteurs et les utilisateurs (webTV, agenda, cartographie, newsletters,…). La présence online du gouvernement va pouvoir être améliorée avec l’ajout de nouveaux portails, afin de garantir les meilleurs services possibles. «Nous créerons un guichet unique dans les années à venir, dit Claude Wiseler. La centralisation de l’information est essentielle aux procédures administratives. La fréquentation des sites augmente si les services offerts sont pertinents, fiables et complets.»

DOCUMENT, MAINTENANCE & FACILITY MANAGEMENT

Pour augmenter la visibilité de l’eGouvernement, ReNo innove principalement dans la prise en compte des besoins des citoyens (le projet est basé sur la norme ISO 13407 et prévoit d’être testé par les utilisateurs). Le référentiel préconise un niveau élevé d’accessibilité, notamment pour les malvoyants. Par exemple, si la page web n’a pas été formatée pour être lue à haute voix par un logiciel spécialisé, le contenu est incompréhensible. La navigation dans la page doit aussi être facilitée par les raccourcis clavier et par un affichage qui permette de modifier la taille des caractères. De telles astuces sont minimes et pourtant étendent l’utilisation d’internet à des utilisateurs qui en sont, autrement, privés.

WWW.MAPS-SUITE.COM

, BASÉE À LUXEMBOURG, EST UN LEADER EUROPÉEN DANS LA CONCEPTION ET LE DEVELOPPEMENT DE LOGICIELS DE GESTION DE L'INFORMATION DE VOTRE ENTREPRISE.

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 66

14/04/08 21:37:02

ACTUAL IT

Business

BUSINESS DECISION MAKER

La responsabilité civile des entreprises IT La responsabilité, principe fondamental du droit civil (Art. 1382), s’applique aussi bien aux dommages créés dans la vie privée que causés dans le cadre d’une relation contractuelle entre un fournisseur et son client. Quelle en est la portée en IT ?

LITIGES : QUELQUES CONSEILS PRATIQUES UÊ ÌiâÊÛ ÃÊÀiÃ« Ã>L ÌjÃ Afin d’éviter des responsabilités trop lourdes ou pour éviter toute discussion inextricable sur la répartition des responsabilités, la loi admet le recours à une clause limitative de responsabilité dans certaines hypothèses d’inexécution. UÊ >À wiâÊ >Ê ÕÀ ` VÌ Ê dans les contrats internationaux Pour l’APSI, Janin Heniqui, conseiller CLC

«Tout fait quelconque de l’homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer» (Art. 1382 Code civil). La responsabilité du prestataire de service IT dépend des obligations et clauses convenues de commun accord entre un fournisseur et son client et qui sont habituellement arrêtées dans un contrat. Aucune partie ne pourra se défaire de ses engagements sauf en cas de force majeure, de faute de la victime ou du fait d’un tiers. Le prestataire de service IT devra donc non seulement veiller à une description précise de ses obligations (obligation de donner / de transférer un droit ; obligation de faire / exécuter une prestation), mais également à bien définir l’intensité des engagements pris. Ceux-ci peuvent varier de façon significative selon l’existence d’une obligation de moyens ou de résultat. L’APSI adressera prochainement cette question par l’organisation d’une conférence dédiée aux «Service Level Agreements».

Dans un contexte BtoB, sauf clause contraire, tout litige entre professionnels a lieu dans le pays où la partie qui doit fournir la prestation caractéristique a, au moment de la conclusion du contrat, sa résidence habituelle. Habituellement, dans un cadre BtoC, les litiges sont traités dans le pays de résidence du privé. Dans un contexte international avec des clients privés, il est donc fortement conseillé de définir la loi par laquelle le contrat est régi. UÊ ½>«« ÀÌÊ`iÊ >Ê«ÀiÕÛi L’Article 1315 du code civil prévoit que «celui qui réclame l'exécution d'une obligation, doit la prouver. Réciproquement, celui qui se prétend libéré, doit justifier le paiement ou le fait qui a produit l'extinction de son obligation». Ceci signifie que si le client n’est pas satisfait d’une prestation, ce sera à lui de prouver que le service rendu n’est pas conforme au contrat. Le prestataire de service pourra utiliser la pièce documentant le paiement du service presté pour prouver la réalisation des engagements pris dans le contrat.

RÉGLER LES LITIGES UÊ >ÊÌÀ> Ã>VÌ Ê Le tribunal n’est pas la seule solution. Lorsque les contractants sont prêts à sacrifier une partie de leurs avantages, le code civil prévoit de conclure un litige par transaction pour terminer une contestation. UÊ ÀL ÌÀ>}iÊÉÊ j` >Ì La médiation est un processus volontaire et confidentiel de gestion des conflits par lequel les parties recourent à un tiers indépendant et impartial. Le rôle du médiateur est d'aider les parties à élaborer par ellesmêmes, une entente juste et raisonnable qui respecte les besoins de chacun des intervenants. La médiation est un moyen efficace, rapide et relativement peu onéreux pour régler un litige tout en garantissant aux parties une confidentialité en cas d'échec de la médiation. Au Luxembourg, l’arbitrage ou la médiation est assuré par le Centre de Médiation du Barreau de Luxembourg (CMBL). La loi prévoit la possibilité d’intégrer une clause d’arbitrage dans les contrats par laquelle les parties s’engagent à trancher tous différends suivant le Règlement d’arbitrage du Centre d’arbitrage de la Chambre de Commerce du G.-D. de Luxembourg par un ou plusieurs arbitres nommés conformément à ce règlement.

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 67

14/04/08 21:37:04

ACTUAL IT

Marques

BUSINESS DECISION MAKER

Signé .lu Etapes incontournables pour les entreprises, les créations de marques et de noms de domaine peuvent être facilités par le recours à un broker spécialisé en la matière. Après avoir créé une première société de protection de marques sous le nom de Legitiname, Nicolas Van Beek a lancé, suite à la loi 5801 sur l’exonération des droits de propriété intellectuelle, une nouvelle société baptisée Namestock. La société propose des services en matière de création de noms de marques et possède aussi un portefeuille de noms de domaine. Alors que d’autres entreprises se spécialisent dans l’enregistrement de noms de domaine, Namestock a lié des relations avec, entre autres, des cabinets d’avocats et des fiduciaires, afin d’offrir des solutions complètes aux entrepreneurs désirant s’établir au Luxembourg.

«Par exemple, les sociétés qui veulent implanter leurs nouvelles marques au Luxembourg font appel à nous en tant que coordinateurs, explique Nicolas Van Beek, CEO de Namestock. Notre mission, dans ce cas, est d’augmenter la valeur de ces marques et noms de domaine en les centralisant au Luxembourg.» Le but de l’entreprise est donc de soutenir la création de marques et de noms de domaine au niveau international, tout en mettant en avant le bénéfice que les entreprises peuvent tirer de la loi 5801 sur la propriété intellectuelle au Luxembourg. «Nous voulions être utiles aux entrepreneurs et aux sociétés qui veulent créer des marques internationales, explique Nicolas Van Beek. Il y a de moins en moins de marques disponibles, et encore moins de noms de domaine en .com. Alors que les «domainers» se limitent à acheter des noms à fort potentiel, tel fund.com vendu 10 millions de USD en mars 2008, nous proposons un service complet allant de la création de la marque jusqu’à la valorisation de celui-ci.»

COMMUNAUTE DE TESTING L’idée repose sur la création d’un stock de noms de marques, dont l’impact culturel et linguistique est mesuré par une communauté de testeurs/consommateurs locaux auxquels Namestock s’est associé. La création

des noms se fait aussi sur commande, Namestock se charge d’enregistrer la marque aux niveaux local et international, ainsi que les noms de domaine. «Le .com pour une entreprise internationale est indispensable, dit Nicolas Van Beek. Le Luxembourg peut jouer un rôle sur ce plan. Par contre, au point de vue local, une entreprise qui ne souhaite se développer qu’au Luxembourg trouvera plus d’intérêt à adopter le .lu. L’utilisation du domaine .lu, notamment pour certains services financiers uniquement délivrés au Luxembourg, peut aussi donner plus de crédibilité à une entreprise, voire une véritable signature.» L’expertise de Namestock au niveau marques et noms de domaine fait appel à une bonne connaissance de ceux-ci, ainsi que de la combinaison avec des compétences juridiques et techniques. «Nous nous engageons à limiter les risques de cyber-squatting, dit Nicolas Van Beek. Nous faisons aussi de la recherche de noms disponibles, un aspect déterminant pour trouver les perles rares. En effet, il est de plus en plus difficile de trouver des noms de marques prononçables dans toutes les langues et ne comportant que deux ou trois syllabes. Nous recherchons des noms à l’aide d’outils de recherche automatisés et de séances de brainstorming.»

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 68

14/04/08 21:37:07

UN MARCHÉ PLUS TRANSPARENT Namestock peut aussi aider à choisir les pays où les noms de domaine doivent être développés en priorité. De plus, la législation concernant la propriété intellectuelle favorise l’enregistrement de marques et de noms de domaine au Luxembourg. Le but est ainsi d’attirer les entreprises hors des paradis fiscaux, afin d’assainir le marché et de conserver en Europe la gestion des marques et des noms de domaine.

Nicolas Van Beek, CEO de Namestock

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 69

14/04/08 21:37:09

ACTUAL IT

Infrastructure

TECHNICAL DEVELOPMENT MANAGER

Luxconnect, de fibres et de béton Jean-Louis Schiltz ministre des Communications, Roby Biwer bourgmestre de la ville de Bettembourg, Roger Lampach, directeur technique et Edouard Wangen, directeur général, ont posé la première pierre du nouveau datacenter de Luxconnect à Bettembourg en présence d’Ann Wagner, Ambassadrice des Etats-Unis d’Amérique. Une cérémonie relevée aussi par une participation de membres des Ministères et administrations ainsi que de dirigeants d’entreprises – fournisseurs et clients - qui accompagnent Luxconnect dans cette «aventure».

«Luxconnect a invité aujourd’hui à cette cérémonie pour montrer que l’initiative du Gouvernement sous l’impulsion du Ministre Jean-Louis Schiltz commence à émerger de la phase de planification avec des faits accomplis en béton et en acier comme vous pouvez le voir derrière moi, a déclaré Edouard Wangen. Quand ce centre international d’hébergement et de communication ouvrira ses portes il sera dans le monde virtuel de l’économie numérique un hôtel 5 étoiles.

Avec cette prétention, il nous faut assurer le haut de gamme des services aux grands du secteur des technologies de l’information et des communications. Mais je rassure tout de suite les «moins grands» qui d’ailleurs seront les «grands de demain» et qui ne seront pas situés au 5e sous-sol de notre attention!» Ce datacenter se verrait bien accueillir et héberger des plate-formes de commerce électronique (Ebay, Amazon, Paypal,…), des

serveurs de communications avancés (pour les Skype, Google, Facebook, SecondLife, MySpace,…), des serveurs de streaming pour les portails Internet du Web (Youtube, MSN, MyVideo, Playtime qui basée à Luxembourg…), et des serveurs pour les plateformes informatiques de recherche pour les universités les hôpitaux ou encore les départements de «Recherche et Développement» de groupes internationaux comme p.ex. EADS ou BMW.

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 70

14/04/08 21:37:20

TECHNICAL DEVELOPMENT MANAGER

L’encryption, une protection chirurgicale Véritable patrimoine de l’entreprise, les données sensibles doivent être protégées le mieux possible, notamment via l’encryption. Lors du petit-déjeuner organisé par ITnews le 10 avril, la société Steria a introduit la solution d’encryption de données ZoneCentral, de Prim’X Technologies. Basée à Paris, Prim’X a notamment équipé le gouvernement français. Selon la société, l’une des clés d’une sécurité réussie est de faire cohabiter harmonieusement les solutions de sécurité, afin que leurs fonctionnalités se complètent, et de ne pas changer les habitudes des utilisateurs.

«Depuis 2007, la protection des données sensibles est une priorité», dit Eric Stylemans, Security Solutions Group Manager chez Steria. Or, trop souvent, les solutions de sécurité sont disparates sur les laptops, les desktops, les serveurs,… En plus de l’email et des documents, les données sensibles se trouvent dans l’historique (les cookies, le cache), sur le VPN, la configuration de l’OS… «Lorsqu’un hacker cherche une faille, il profile l’utilisateur en croisant l’information des solutions utilisées, des updates effectués, et à quelle fréquence», explique Pierre Cassimans, Security Consultant chez Steria. L’encryption permet de sécuriser directement les données sensibles. Pour diminuer les risques, l’utilisateur doit connaître l’emplacement de ces données et déterminer leur niveau de confidentialité.

UN PARAMÉTRAGE TRÈS FIN Prim’X Technologies a développé ZoneCentral, une solution d’encryption agnostique pour protéger l’ensemble des données sur le hardware, y compris les serveurs de stockage. La solution inclut aussi Zed, pour l’échange d’emails cryptés et de documents en attachés. «Etre loggé ne signifie pas accéder au document, explique Xavier Conqui, Channel Manager chez Prim’X Technologies. Seul l’utilisateur habilité a accès au document décrypté.» Bien que les documents soient séparés au sein du système, ZoneCentral permet d’homogénéiser la protection. Le cryptage et le décryptage sont totalement transparents pour l’utilisateur et peuvent s’adapter à toute infrastructure. De plus, la communication par email est sécurisée, un avantage décisif lors d’échanges de documents financiers en mode Swap.

Bientôt, les solutions Zed for Outlook et Zed for Lotus crypteront tout l’email, ainsi que les pièces jointes, de poste à poste. Les documents ne sont déchiffrés que lorsque l’utilisateur dispose des clés nécessaires. ZoneCentral s’adapte aux besoins de l’entreprise avec ses solutions parallèles Zone Express, dédiée à l’encryption des laptops, et Zone Mobile, disponible en juin 2008, qui chiffre les PDA : base de contacts, pièces jointes, cartes de stockage, historique… Toutefois, l’utilisateur doit toujours réfléchir au type de déploiement voulu. «En cas de perte de données, de vol ou de catastrophe, le recouvrement des données n’est possible que si un mot de passe a été convenu avant de remettre les clés aux utilisateurs», explique Xavier Conqui. Zone Central est donc une solution au paramétrage très fin, qui permet autant de sécuriser par «frappes» chirurgicales que d’étendre la protection au système entier.

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 71

14/04/08 21:37:27

Informations et inscriptions: www.fujitsu-siemens.lu/events/industrialization/index

ORGANISATEUR: Petit-déjeuner d'ITnews THÈME: Business Process Management (BPM) DATE: 24/04/2008 dès 8h30 LIEU: Confiserie Namur, Luxembourg-Hamm

Informations et inscriptions: www.itnews.lu/eventbpm

06/05/2008

24/04/2008

Petit-déjeuner d'ITnews : Business Process Management (BPM)

ORGANISATEUR: Fujitsu Siemens Computers Luxembourg en collabaoration avec Gartner et Fujitsu Services THÈME: IT Industrialization DATE: 23/04/2008 LIEU: Mercure Kikuoka Golf Club

First Tuesday Luxembourg : online search tools

08/05/2008

23/04/2008

IT Industrialization «Mastering your Business Agility»

Identity, Access & Compliancy Management avec les produits de sécurité IBM Tivoli

ORGANISATEUR: First Tuesday Luxembourg THÈME: Online Search Tools DATE: 06/05/2008 LIEU: Sofitel Luxembourg

Informations et inscriptions: www.firsttuesday.lu

ORGANISATEUR: IBM THÈME: IAM & Compliance DATE: 08/05/2008 LIEU: IBM - Hesperange

Informations et inscriptions: www.ibm.com/events/be

&0-

Informations et inscriptions: www.luxinnovation.lu

ORGANISATEUR: CRP Henri Tudor THÈME: Qualité et ergonomie au service de vos applications web DATE: 29/04/2008 LIEU: CRP Henri Tudor - 29, Avenue John F. Kennedy Luxembourg-Kirchberg

ITN_018_ITnews_04_avril_63>82.indd 72

Informations et inscriptions: www.sitec.lu

15/05/2008

Qualité et ergonomie au service de vos applications web

ORGANISATEUR: Ministère de l’Economie et du Commerce extérieur, AIPPI, Centre de Veille Technologique, Luxinnovation THÈME: Propriété intellectuelle DATE: 25/04/2008 de 14h à 17h LIEU: Chambre de Commerce,

Conférence/Cocktail ITnews : Outsourcing

22/05/2008

25/04/2008

IP Day in Luxembourg : La valeur économique des droits de propriété intellectuelle

29/04/2008

Golden-i Gala & Awards

ORGANISATEUR: Conférence/Cocktail ITnews THÈME: Outsourcing DATE: 15/05/2008 LIEU: Espace Entreprise Confiserie Namur Luxembourg-Hamm Informations et inscriptions: www.itnews.lu/eventoutsourcing

ORGANISATEUR: ITnews avec APSI, sous le patronnage du Minsitère des Communications THÈME: CIO of the Year & Flagship Award DATE: 22/05/2008 LIEU: Espace Entreprise Confiserie Namur Luxembourg-Hamm Informations et inscriptions: www.goldeni.lu

14/04/08 21:37:31

GrĂŠgory, Laurence, Patrick, Stephan, Yuri, Tobias, David, Renaud, Hassan, Yann, Benno, Reinhard, Steve, Khalid, FrĂŠdĂŠric, Patrick, Christophe, Damien, MickaĂŤl, Renato, Olivier, Michael, Arnaud, David, Bruno, Robert, SĂŠbastien, Eric, LoĂŻc, FrĂŠdĂŠric, Georges, StĂŠphanie, Petra, Redouane, AndrĂŠ, Ludovic, Dominique, Jean-Luc, RaphaĂŤl, Sandrino, Guillaume, Stephen, Julien, Zahir, Olivier, David, Didier, Michael, Marc, Karine, Laurent, Boris, Anthoni, Jean, Robert, AurĂŠlie, Mathias, Benjamin, GrĂŠgory, PierreOlivier, Lionel, FrĂŠdĂŠric, SĂŠbastien, RenĂŠ, Jean-Paul, Anissa, Marc, Sergio, Walter, Yuksel, SaĂŻd, Steve, April, Nathalie, Nadine, Lionel, Gilles, Christian, Olivia, Bernard, Pierre, Yves, Daniel, Geoffrey, Maria, Gautier, Pascal, David, Marc, StĂŠphane, Thomas, &

SĂŠbastien, Nicolas, Pierre, Marie, Brice, Bertrand, SĂŠbastien, Olivier, Samuel, Roland, Yves, Ivan, Mark, Matt, David, Jean-Pierre,

Xavier, Michel, Olaf, SĂŠbastien, Boris, Jerome, Yves, Sarah, Maxime, Ludovic, Andy, Emilie, Jochen, Jeremy, Luis, Arnaud,

MĂŠlanie, Christophe, Olivier, Ruben, Georges, David, Katia, Michel, Nicolas, Max, Catherine, Arnaud, CĂŠdric, Nathalieâ&#x20AC;Ś

&0-

â&#x20AC;ŚONT CHOISI UN MEILLEUR JOB AVEC LANCELOT,

ET VOUS ? www.elancelot.com

CABINET DE RECRUTEMENT SPĂ&#x2030;CIALISĂ&#x2030; EN ICT AU LUXEMBOURG

+(352) 26 38 93 57

ITN_018_ITnews_04_avril_63>82.indd 73

IT Recruitment & Consulting

14/04/08 21:37:32

PETIT-DÉJEUNER

Business Process Management

BUSINESS DECISION MAKER

Gestion des processus métier : les enjeux de la maîtrise L’automatisation des processus : un moyen d’orchestrer les actions de chacun pour une meilleure efficacité. Le fonctionnement de toute organisation repose sur des processus : on les qualifie de «cœur de métier» lorsqu’il s’agit d’un domaine touchant au métier, et de «transverses» pour les fonctions de type RH, Achats, Juridique… Parmi eux, certains sont critiques et doivent être automatisés, afin de fournir aux utilisateurs des applications informatiques mieux structurées et évolutives. Pour répondre à ces enjeux sur le marché luxembourgeois, la société Aubay a choisi de s’appuyer sur la solution W4 BPM Suite pour proposer cette démarche à ses clients.

Chaque entreprise aujourd’hui cherche à améliorer la qualité de ses produits et de ses services. Les enjeux sont de taille, que ce soit dans le secteur privé ou dans les services publics. Il s’agit de faire face à la concurrence, d’augmenter la satisfaction client (ou des administrés), de répondre aux exigences des réglementations… Comment mettre en place une solution pour maximiser l’efficience des processus dont dépendent les produits et les services, en assurant un contrôle sur leur déroulement dans une sécurité optimale ?

UNE MÉTHODOLOGIE PRAGMATIQUE

DES SOLUTIONS ÉVOLUTIVES

Les processus traversent toute l’organisation et impactent un grand nombre de services. Il est donc nécessaire d’obtenir l’adhésion de tous pour mener à bien un tel projet. «Comprendre les processus de l’entreprise peut mettre à jour certains dysfonctionnements», prévient Philippe Laurent, Senior ECM Consultant chez Aubay Luxembourg. Cependant, cela n’est pas un obstacle car dans ce type de projet, il faut rester les pieds sur terre : les différents intervenants savent déjà travailler ensemble, ainsi la mise en place des applications les aidera sans nécessairement commencer par une refonte de l’organisation.

Expliciter les processus est la clef de la réussite des projets, en évitant l’effet tunnel dans la mise en place : chaque évolution se fait en différentiel par une modification du processus. Les impacts des modifications sont très locaux et ne nécessitent pas une revalidation globale de l’ensemble du processus. «Rajouter une étape de validation ne modifie pas le comportement des autres étapes», assure François Bonnet, responsable marketing chez W4. Il n’est pas rare que les entreprises fassent évoluer leurs processus plusieurs fois par an.

Donc, un des principes de la mise en place réside dans la capacité à prendre en compte l’existant en se mettant à la place de l’utilisateur : quelles sont les informations dont il a besoin pour mener à bien chacune des tâches qui lui incombent, où perd-on du temps... Une fois les premiers résultats de l’automatisation obtenus, il sera temps d’optimiser le processus.

DES RÉSULTATS TANGIBLES Grâce à la mise en place de la solution W4 BPM Suite, aujourd’hui dans certaines administrations 95% des dossiers reçus sont traités dans les délais ; dans certaines banques, les chargés de clientèle disposent de 5 à 10% de temps commercial supplémentaire pour se consacrer à la nouvelle clientèle, et le délai de traitement d’une demande a été ramené à une heure plutôt qu’une journée ; dans l’industrie,

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 74

14/04/08 21:37:38

Petit-déjeuner d’ITnews Jeudi 24 avril 2008 Thème : Business Process Management Quand ? Jeudi 24 avril 2008 à partir de 8h30 Où ? Confiserie Namur, Espace entreprises Luxembourg Hamm

plus de produits sont lancés dans les délais avec une qualité améliorée ; les assureurs arrivent à diminuer les temps de traitement des dossiers sinistre par quatre ; et les opérateurs de telco peuvent faire face à l’augmentation de la demande avec une prestation de service irréprochable dans la fourniture de lignes …

Qui ? FRANÇOIS BONNET Marketing Manager, W4 LUC BERNARD Board Director, Aubay Cas d'études ECM dans un rôle BPM: U BNP Paribas Private Bank Luxemburg par Philippe Laurent, Senior ECM Consultant, Aubay Luxemburg U Barclays Bank par François Bonnet, W4 U Ville d’Arlon par Patrick Adam, Chef de Division Administrative, Ville d'Arlon Infos : www.itnews.lu/emailing/bpm/

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 75

14/04/08 21:37:40

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 76

14/04/08 21:37:44

L’incompétence, la mentalité «fonctionnaire».

Qu'est-ce qui vaut la peine d’être combattu ?

Idéalement, il faut combiner des compétences métier avec des compétences IT afin d’assurer un alignement optimal entre les deux.

i ÌÊ> iâ Û ÕÃÊ aborder l’IT ?

Un outil quasi tout-puissant à la disposition des entreprises et des individus. Ceux qui savent s’en servir habilement seront toujours en avance.

Pour vous l’IT c’est…

Portrait

Perso

Le goût de l’innovation

Signes particuliers (ou traits de caractère) : Direct, pragmatique, mesuré

Loisirs : Jogging, Gastronomie, Cigares

Société : Exigo S.A.

Fonction : Managing Partner

Nationalité : Suisse

Age : 43

Nom : Lüscher

Prénom : Claude

Carte d’identité :

AVRIL 08

ITN_018_ITnews_04_avril_63>82.indd 77

14/04/08 21:37:46

Il n’y a pas de journée type mais régulièrement, on trouvera évidemment les réunions clients, les interviews, le networking, le développement de nouvelles idées…

En citant un grand constructeur américain : «embrace and enhance». Il faut avoir une bonne veille technologique et savoir utiliser et adapter ce qui supporte au mieux les objectifs de l’entreprise.

Pour nos consultants qui font la différence. Pour notre capacité à combiner l’expertise bancaire avec la compétence IT et à favoriser un meilleur alignement de l’IT avec les objectifs du business.

Pourquoi choisir Exigo ?

Banque en ligne

Banque en ligne ou billet en papier ?

Avaloq, une solution «core banking» d’origine suisse qui, avec son apparition sur le marché luxembourgeois, a marqué le début de toute une série de remises en cause des solutions existantes dans les banques de la place.

Pour vous, quel est le produit ou solution professionnel de l’année ?

Comme un paradis… fragile.

i ÌÊV Ã `jÀiâ Û ÕÃÊ >Ê« >ViÊ luxembourgeoise ?

Les gens qui ne savent (n’osent) pas prendre des décisions.

Le «bar à vin» chez Pascal, le Cat Club, le Havanna Lounge et le Bar au 8ème du Sofitel, le Boos Café.

Quelle est votre place-to-be préférée au Luxembourg ?

Les randonnées en cabrio ou en moto, la cuisine et les produits méditerranéens, un bon cigare entre amis.

Quels sont vos passions et hobbies ?

PDA !

Bloc-notes ou PDA ?

La diversité.

iÊµÕiÊÛ ÕÃÊ> iâÊ iÊ ÃÊ`> ÃÊ votre métier ?

Plutôt le conseil.

iÊµÕiÊÛ ÕÃÊ> iâÊ iÊ« ÕÃÊ`> ÃÊ votre métier ?

Développements ou conseils ?

À quoi ressemble votre journée type ?

Quel est votre sens de l’innovation ?

Lâ&#x20AC;&#x2122;ENTREPRISE DU MOIS

www.itjobs.lu/bcee

s !.!,934% 02/'2!--%52

www.itjobs.lu/exigo

s #/.35,4!.4 n "53).%33 02/#%33 -!.!'%-%.4 s #/.35,4!.4 n /,9-0)# s !6!,/1 02/*%#4 -!.!'%2

www.itjobs.lu/kbl

s 4 ',/"53 !2#()4%#452%

$%6%,/0-%.4 ,%!$%2 s "53).%33 !.!,9343 #2- 7%" www.itjobs.lu/b&d

s 3%26)#% $%3+ -!.!'%23

KBL European Private Bankers (KBL epb) est le moteur du Private Banking europĂŠen au sein du KBC Groupe, un groupe financier international, solide et performant, comptant prĂ¨s de 50.000 collaborateurs et plus de 13 millions de clients. De Luxembourg Ă Monaco, Londres Ă Munich, Paris Ă GenĂ¨ve en passant par Amsterdam ou Bruxelles, KBL epb rassemble des banques et sociĂŠtĂŠs de gestion spĂŠcialisĂŠes en Private Banking.

s % "53).%33 #/.35,4!.43

s $Âł6%,/00%52 #/.&)2-Âł $/4 .%4

s "53).%33 ).4%,,)'%.#% #/.35,4!.43

s 42!.3&%2 !'%.#9 "53).%33 !.!,934

www.itjobs.lu/ctg

www.itjobs.lu/genix

s '%34)/..!)2% $g%80,/)4!4)/. 5.)8 s 5.)8 3934%- !$-).)342!4/2 3/,!2)3 !)8

www.itjobs.lu/deloitte

ITN_018_ITnews_04_avril_63>82.indd 78

s $Âł6%,/00%52 /2!#,% 0, 31, %4 0/7%2"5),$%2

s "53).%33 !.!,934 &).!.#%

Kredietbank Luxembourg 43 Boulevard Royal L-2955 Luxembourg Tel. : +352 47 97 76 49 Fax : +352 47 26 67 http://www.kbl.lu/

www.itjobs.lu/fdm

s 42)0,% ! !2#()4%#4 s 42)0,% ! $%6%,/0%2 s 3!0 4%#(.)#!, #/.35,4!.43

s !.!,934% $%6%,/00%52 3/&47!2% $%6%,/0%2

www.itjobs.lu/gfi

s )#4 &/2-!4%52 #/.35,4!.4 *!6! "/

14/04/08 21:37:52

DĂŠposez votre CV, prĂŠsentez votre entreprise et dĂŠcouvrez les derniĂ¨res offres sur www.itjobs.lu Devenez annonceur ! Contactez Emilie Mounier au: +352 26 10 86 26 - emilie.mounier@itnews.lu Toutes les offres dâ&#x20AC;&#x2122;emploi sont autant accessibles aux femmes quâ&#x20AC;&#x2122;aux hommes.

www.itjobs.lu/kelly

s )4 $%6%,/0%2 &/2 !. ).4%2.!4)/.!, "!.+ s (%,0$%3+ &2%.#( %.',)3(

www.itjobs.lu/nvision

s 7%" $%6%,/0%23 !.!,934% 02/'2!--%52 8(4-, #33

s "53).%33 !.!,934 -52%8 !##/5.4).' -/$5,%

s *5.)/2 7%" $%6%,/0%2 !.!,934% 02/'2!--%52 8(4-,

s ).'Âł.)%523 $gÂł45$%3 /54),3 $% $Âł6%,/00%-%.4 /2!#,%

s !33)34!.4 !$-).)342!4)& $!.3 3/#)Âł4Âł 30Âł#)!,)3Âł% $!.3 ,% 7%"

s #/.35,4!.4 -!Â¸42)3% $ /562!'% *5.)/2 3%.)/2

www.itjobs.lu/crp

s 02/*%#4 ,%!$%2 ). )4 &/2 (%!,4( #!2%

www.itjobs.lu/teamtrade

www.itjobs.lu/scs

www.itjobs.lu/telindus

s 02)-!29 3934%- %.').%%2 #)42)8 ( &

s "53).%33 !.!,934

s 3%#52)49 3!,%3 #/.35,4!.4 s 30Âł#)!,)34% 4%#(.)15% %. 34/2!'%

www.itjobs.lu/lancelot

s +%2.%, $%6%,/0%2 s !.!,934% 02/'2!--%52 3%.)/2 0(0

www.itjobs.lu/sfeir

s !.!,934% $Âł6%,/00%52 *!6! s !2#()4%#4% *!6! s !.!,934% $Âł6%,/00%52 .%4

s #(%& $% 02/*%4 $%604 *!6!

www.itjobs.lu/logica

s $Âł6%,/00%52 %. ./56%,,%3 4%#(./,/')%3 n *!6! * %%

www.itjobs.lu/sogeti

s 3%.)/23 !.!,934%3 02/'2!--%523 *!6! * %%

s 4%34%52 ,58%-"/52' - &

ITN_018_ITnews_04_avril_63>82.indd 79

14/04/08 21:37:56

Lancelot IT Consulting & Resourcing Services

SAN STORAGE SYSTEM ENGINEER LUXEMBOURG /UR CLIENT IS AN INTERNATIONAL )4 SOLUTION PROVIDER THAT HELPS CLIENTS PLAN BUILD AND SUPPORT THEIR )4 INFRASTRUCTURES MISSION: s Installation, configuration, administration and troubleshooting of large heterogeneous backup and storage infrastructure. s Incident handling with respect of targeted resolution times. s Elaboration of operational guidelines / procedures and technical documentation. s Evaluation, review and implementation of standards (best practices). s Participation in architectural design / reviews and relevant client meetings s Implementation of design changes. SPECIFICATIONS DU POSTE s DĂŠbut: ASAP s Lieu: Luxembourg s Salaire: 55000.00-70000.00

Lancelot Consulting 83, rue de Hollerich L-1741 Luxembourg TĂŠl. +(352) 26 38 93 57 apply@elancelot.com www.elancelot.com

PROFIL: s In-depth technical knowledge of EMC high-end hardware and management software, and Unix Solaris, Windows NT/2000+, Linux. s In-depth knowledge of (some of): Oracle, Microsoft SQL Server, MS Exchange and TCP/IP networking (especially related to backup and storage) s Ability to write and debug scripts in any one or more of the following operating systems (Solaris, Windows or Linux) s Solution driven and user-satisfaction oriented s Ability to work in a demanding environment where time flexibility is mandatory. s Technical knowledge of application environments and their interactions with storage/backup environments s Capabilities to manage small technical projects. s Good knowledge, written and spoken, of English and/or French s Minimum 5 years of relevant experience s Certification in SAN and/or NAS product(s) s Certification in at least one storage manufacturer's product range s Certification in Backup products. s Certification in either Solaris, Windows or Linux.

INTĂ&#x2030;RESSĂ&#x2030;(E) ? POUR POSTULER: Si vous souhaitez postuler pour ce poste, merci de nous faire parvenir votre candidature Ă lâ&#x20AC;&#x2122;adresse suivante: mcastro@elancelot.com en ajoutant le texte suivant DANS L OBJET DE L EMAIL â&#x20AC;&#x153;RĂŠf. 387 - SAN STORAGEâ&#x20AC;? Votre CV doit ĂŞtre de prĂŠfĂŠrence en format MS WORD ou RTF. ConfidentialitĂŠ assurĂŠe! Pour les offres dâ&#x20AC;&#x2122;emploi, Lancelot sâ&#x20AC;&#x2122;engage Ă ne jamais envoyer un CV Ă un client sans avoir demandĂŠ au prĂŠalable lâ&#x20AC;&#x2122;accord du candidat.

Analyste-DĂŠveloppeur Java ExpĂŠrimentĂŠ TYPE DE CONTRAT : #$) s TYPE D'EMPLOI : 4EMPS PLEIN s RĂ&#x2030;FĂ&#x2030;RENCE : 149988

VOTRE MISSION : s

Vous interviendrez sur des projets J2EE dans le secteur financier (banques et assurances).

VOTRE PROFIL : Developpeur java expĂŠrimentĂŠ avec une expĂŠrience d'au moins 2 ans avec les technologies suivantes : s Spring s Strut s Java J2EE LANGUES : s FranĂ§ais s Anglais Vous ĂŞtes intĂŠressĂŠ(e) ? N'hĂŠsitez pas Ă envoyer votre dossier Ă : CTG LUXEMBOURG PSF Melle Staebler Audrey ZA de Bourmicht, 10 L-8070 Bertrange audrey.staebler@ctg.com www.thisisctg.lu

ITN_018_ITnews_04_avril_63>82.indd 80

VOS APTITUDES : s Sens de lâ&#x20AC;&#x2122;organisation s CapacitĂŠ dâ&#x20AC;&#x2122;analyse s Esprit dâ&#x20AC;&#x2122;ĂŠquipe s Bon relationnel s Critique s Rigoureux NOTRE OFFRE : Ă¨me s Un 13 mois s Une Voiture de sociĂŠtĂŠ s Une Carte carburant s Des Tickets Restaurant Ă 8,40 s Prime de parrainage s 26 Ă 31 jours de congĂŠs s Un Plan de formation personnel s Une Gestion de carriĂ¨re s Des Missions valorisantes

Vous souhaitez mieux nous connaĂŽtre CTG ? Rendez-vous sur www.thisisctg.lu

14/04/08 21:38:00

Vous recrutez ? Votre annonce ici pour seulement 450E !

VOS AVANTAGES: s Plus de 7000 lecteurs spĂŠcialisĂŠs en IT s La solution pour Ă la fois recruter et renforcer votre image s Une parution de lâ&#x20AC;&#x2122;annonce couplĂŠe dans le magazine ITnews 2.0 et sur le site www.itjobs.lu s Aucun frais de graphisme

SPĂ&#x2030;CIFICATIONS TECHNIQUES: Vous nous transmettez: s Votre logo s Votre annonce Nous faisons la mise en page...

VOTRE TARIF: s 450` seulement pour une parution Ă la fois dans le magazine ITnews 2.0 et sur le site www.itjobs.lu

MAKANA - Emilie Mounier 83, rue de Hollerich L-1741 Luxembourg T +352 26 10 86 26 F +352 26 10 86 27 emilie.mounier@makana.lu www.makana.lu

PLUS Dâ&#x20AC;&#x2122;INFORMATIONS: MAKANA - Emilie Mounier - 83, rue de Hollerich - L-1741 Luxembourg - T +352 26 10 86 26 - F +352 26 10 86 27 emilie.mounier@makana.lu

Principal System Engineer (SE) for Luxemburg 3YMANTEC IS RECRUITING

MISSION : PROFIL : The Principal System Engineer will work with the sales teams in a The candidate must have a Bachelor's degree in Computer Science, pre-sales role to develop and position solutions involving Symantecâ&#x20AC;&#x2122;s Engineering or related field, 6-8 years experience in systems #" !& & " " products. The SE Delivers presentations and participates in administration, pre-sales or related field. Strong knowledge and conference call discussions, confirms that Symantecâ&#x20AC;&#x2122;s products meet understanding of the storage and security industry. In-depth ! ! ! " !" the prospectâ&#x20AC;&#x2122;s requirements and assist sales ! !& & " in technical qualification. knowledge of multiple Operating Systems such as UNIX, Windows He or she also needs to be able to articulate and demonstrate and storage devices. Must possess good presentation skills. Strong ! ! " ! # # Symantec solutions, and position products relative to the competition. ! ! interpersonal skills. Ability to relate to a wide range of technical Actively delivering presentations at high level speaking engagements, staff and managers in customer environments. Excellent verbal and seminars and trade shows are also part of the "! assignment. ! ! This written " !& # !& communication skills in French/English. Good knowledge of ! ! position may require travel throughout Belgium and Luxemburg. the storage & security landscape. WHEN : ASAP

! ! & ! # " ! ! ! & ! ! !!

Wouter Marien Symantec Corporation 2IĂ&#x20AC; FH www.symantec.com wouter_marien@symantec.com

ITN_018_ITnews_04_avril_63>82.indd 81

APPLY ? contact Wouter Marien by email

! " ! ! ! ! !

14/04/08 21:38:06

SPECIAL OFFSHORING : INDIA...

Le 15 mai 2008 ITnews 2.0 Spécial Outsourcing SOURCING: IN & OUT, AND SPECIAL INDIA Sourcing: la définition des besoins Comment s'engager sur la voie du sourcing? Un bon contrat vaut mieux que deux tu l'auras... Sourcing: tendances 7 ou 9 ans? Outsoucing / Cosourcing / Insourcing / Hubbing... Jusque où aller ? Sourcing de base : outtasking, cotasking, body shopping... Le management des partenaires de sourcing Communiquer : l'essentiel, mesurer : l'incontournable

ITnews 2.0 Outsourcing Special Contacts: Rédaction: raphael.henry@itnews.lu Publicité: emilie.mounier@itnews.lu

La qualité dans le sourcing : standards & méthodes Big players, big projects, big bangs... Et les PME ? Mais aussi: les (nouveaux) PSF... SaaS : extreme sourcing ? BPO Tailor-made sourcing: mutualisation 'one to one'

EN JUIN 2008 DATACENTERS & INFRASTRUCTURE

Clôtures: Manifestation à intérêt : 21 avril 2008 Contribution: 28 avril 2008 Parution et conférence: 15 mai 2008

ITN_018_ITnews_04_avril_63>82.indd 82

14/04/08 21:38:08

! ! 4 ! 2 !

0( .'-$ )' &' ) $**3' 0'))' .'-$ ) '*/-',-(.' &' ) $**3'

Places limitĂŠes, rĂŠservez votre table dĂ¨s Ă prĂŠsent sur info@itnews.lu

ITN_019_ITnews_04_avril_couv.indd 3

www.goldeni.lu

10/04/08 10:44:41

GoC_Fre_Gen_223x275_v1a_kb.indd 1

ITN_019_ITnews_04_avril_couv.indd 4

3/31/08 6:15:44 PM

10/04/08 10:42:36