PA P E R JA M . L U • D ÉC E M B R E 2017
ICT
cloud is in the air Le Luxembourg en mode ICT se projette dans le cloud. Les investissements et la promotion doivent se poursuivre pour que le pays reste compétitif à l’international.
Naturally different.
PHOTO / TOUR RADAR AÉROPORT LUXEMBOURG © LUCAS ROTH - KÖLN / PAUL BRETZ ARCHITECTES SARL
Focused on your business opportunities in an evolving legal landscape.
29 2 760 Cities Lawyers linklaters.lu
ÉDITO
one size doesn’t fit all Jonas Mercier Journaliste
PHOTO Maison Moderne
C
ertains signes ne trompent pas. Encore faut-il savoir les remarquer. Pas facile dans un secteur aussi dynamique que celui de l’ICT de faire le tri dans les annonces quasiment quotidiennes, tant des multinationales que des start-up. Une innovation, un service présenté comme révolutionnaire ou une technologie encore inconnue… Sur quoi parier pour prendre un temps d’avance sur ses concurrents ou, tout simplement, pour ne pas trop se laisser distancer ? Le dilemme est grand pour les PME qui n’ont pas forcément beaucoup de temps pour réfléchir sur le moyen et encore moins sur le long terme à leur stratégie globale de transformation digitale. Or, comme le gouvernement, les organisations professionnelles ou les prestataires de services le répètent sans cesse : la digitalisation doit être la priorité de tous. Des grandes annonces, Fujitsu n’en a pas faites lors de son forum annuel qui s’est tenu début novembre à Munich – un événement qui a réuni sur deux jours quelque 12.000 professionnels du monde entier. Non, le groupe nippon, assez discret sur le plan médiatique, n’a pas annoncé de découvertes révolutionnaires sur l’intelligence artificielle, les solutions cloud ou l’internet des objets. Il n’a pas non plus présenté de nouveaux produits lors d’un keynote speech comme savent si bien le faire ses concurrents aux États-Unis. En revanche, Tatsuya Tanaka, le CEO de Fujitsu, qui avait fait le déplacement, a clairement expli-
qué sa vision du futur du marché. Et selon lui, celui-ci se concentrera sur une customisation des technologies pour les besoins de chaque entreprise. Finies les solutions globales, donc, mais des services ultra-personnalisés. Fujitsu croit par exemple beaucoup dans l’« adaptabilité de l’intelligence artificielle », ou comment trouver les applications pour lesquelles l’IA sera la plus efficiente et répondra le mieux au besoin du client. « Une tendance qui est déjà bien tangible au Japon », où le groupe est leader sur le marché IT, assure Tatsuya Tanaka. L’avenir de l’économie se jouerait donc au cas par cas. Que ce soit dans le secteur industriel, des transports, des services financiers ou de la grande distribution, les solutions développées le seront pour un client précis, en collaboration avec ce dernier. Du sur-mesure à la place des solutions de masse sur lesquelles se sont basés des business models du monde entier. Toute l’essence de la digitalisation est peut-être là, dans ce changement de paradigmes du modèle économique actuel. Un changement qui va entraîner des réflexions nouvelles sur les façons d’appréhender son business et d’établir son plan d’affaires. C’est en tout cas la vision d’un géant de l’ICT. Un signe qu’il faut sans doute prendre au sérieux. La conversation continue en ligne : @paperJam_lu
Paperjam
Groupe Paperjam
Décembre 2017 — ICT —
— 03
Data flows inventory
Compliance ÂŤscore cardÂť
Risk mitigation measures
Electronic register
Ease your way through Data Protection regulations www.arendt-arc.com
SOMMAIRE
ICT Décembre 2017 Fujitsu Forum 2017
Le futur selon un géant Le CEO de Fujitsu, Tatsuya Tanaka, s’est livré en exclusivité à une dizaine de médias, dont Paperjam, à l’occasion du Fujitsu Forum 2017, qui s’est tenu les 8 et 9 novembre derniers à Munich.
24 Sur le radar
Moteur de la croissance
Les chiffres-clés d’un des secteurs les plus porteurs au Grand-Duché.
10
Dans les coulisses
Connecté
Près de 21.000 km de câbles à fibres optiques sillonnent le pays. Un réseau géré par Post, qui nous a ouvert les portes de son entrepôt, où sont stockées des centaines de tourets de fibres optiques.
28
Conseils
Next steps
« Plus transparent et connecté »
7 vaccins pour éviter l’infection
Security made in Luxembourg nous livre ses conseils pour protéger ses données et éviter les déconvenues.
Anne-Céline Lescop, CEO de CaptainJet, répond à la question : « De quelle manière envisagez-vous l’avenir de l’aviation d’affaires ? »
36
50
Cybersécurité
Transformation digitale
Fintech
Prendre conscience des cyber-risques
Le prix de la survie
La mutation du portefeuille
Toute activité dépend de plus en plus des systèmes informatiques et d’un accès à la donnée. Connecté, le business est désormais particulièrement exposé à la cybermenace.
18
Si la transformation digitale est aujourd’hui au centre du débat, c’est parce que la survie des entreprises en dépend.
30
Entre innovations technologiques et évolution des attentes des clients, comme des marchands, le secteur financier voit émerger de nouveaux moyens de paiement.
38 Décembre 2017 — ICT —
— 05
Danny Heinen, IT & Operations Director of 3C Payment, says P2PE is “the future for us”.
Point-to-point encryption (P2PE) is not a mandatory security standard, but merchants are increasingly requesting it for enhanced security when it comes to safeguarding their payment systems and ultimately their brand reputation. Here’s why.
A
Beyond standard security 06 —
— ICT — Décembre 2017
P2PE SOLUTION MANAGEMENT
According to Heinen, the Payment Card Industry (PCI) provides mandatory and non-mandatory certifications and guidelines related to the development of applications, security tes-
PHOTO Maison Moderne
PAYMENT SERVICES
trusted Payment Service Provider (PSP) in over 30 countries, 3C Payment serves a variety of industry segments--hospitality, car rental, parking, transportation, food & beverage, retail--and for good reason: their technology provides a seamless solution for customers to make payments. The 3C Integra platform, the heart of the 3C Payment data centre, includes the Front-End and other platform hosts, as well as the terminal hardware, or points of interaction (POI). As Danny Heinen, IT & Operations Director, says, “We are providing interfaces to thousands of merchants around the world in all different industries, so the 3C Integra platform needs to support all kinds of transaction flows.” To take two simple examples: in the parking industry, paper tickets are no longer necessary due to card-in, card-out systems, and if you are using a card to reserve a hotel room, you can check in through an online reservation system, but check out with a faceto-face card payment on the terminal. “We are linking multiple payment channels so our merchants can benefit from an omnichannel solution including attended, unattended and online,” says Heinen. “All these flows are processed via 3C Integra Front-End, the real engine of all the transactions we do.”
PAPERJAM ADVERTORIAL
“ The challenge now is to educate our clients about the importance of P2PE. ” Danny Heinen IT & Operations Director, 3C Payment
ting and storage of cardholder data. The PCI DSS (Data Security Standard) is mandatory for the data centre and focuses on infrastructure, networks, vulnerability management, etc., and the PA (Payment Application) DSS is applied in the applications running at customer locations (e.g., POIs). 3C Payment also works with an approved scanning vendor (ASV), which detects potential vulnerabilities in the data centre and applications, and analyses weekly reports. But 3C is going beyond standard security to provide merchants with a trustworthy solution. “Our developers are trained at least once a year. We also carry out official internal and external penetration tests on the whole infrastructure quarterly, plus regular unofficial testing,” says Heinen. Quick reaction with updates and new patches is critical: possible breaches can occur not only on the network, but on the POI itself. Point-to-point encryption (P2PE) provides the most secure and effective way to protect cardholder data. It’s not compulsory for merchants but makes PCI compliance much easier. P2PE consists of using validated hardware, applications and processes, which can reduce the PCI compliance scope of the merchant, ultimately helping merchants reduce their own efforts to achieve compliance. The aim is to have no clear text cardholder data in the merchant’s location, as card data is immediately encrypted when the card is read at the terminal. Earlier this year 3C Payment became a P2PE validated and listed solution provider. “P2PE is the highest security standard and most complete certification currently,” Heinen says. “It’s like a combination of PCI DSS and Visa PIN certification, handling everything from the data centre to the POI, all within our infrastructure. This includes the secure processes for the exchange and injection of encryption keys and the secure card data decryption in the cloud and also the POI side.” P2PE solution management also focuses on logistics, or secure transport of POIs
to the merchant, as well as inventory, terminal supervision and regular inspection, all to make sure the encryption keys in the data centres and POIs are protected as much as possible. He adds that merchants are requesting it more regularly now too. “Above all, merchants want to be safe. Plus sometimes, it facilitates their compliance assessment dramatically, thus reducing the complex process and costs involved.” The 3C Payment managed service includes a P2PE implementation manual (PIM) for merchants, with guidelines for the correct handling of POIs.
AN INCREASE IN TOKENISATION
In addition to increased P2PE, merchants are requesting more tokenisation, to increase security and avoid cardholder data storage. With tokenisation, they can still use the payment features they need in their business. 3C Payment has a token vault which generates a unique identifier, or token, to substitute payment card data so sensitive card numbers are removed from a merchant’s network. Tokens make it simple to securely store payment card details and are most often used in a hotel scenario for late or additional charges. “Merchants can either do this by using an integrated solution or through a web-portal, allowing them to perform specific types of transactions,” says Heinen. “They can perform, for example, a reversal of a charge or a refund, and we can provide specific interfaces for reporting and reconciliation. It’s all part of the 3C Integra platform.” 3C Payment is heavily investing in infrastructure, technology, people development and security awareness, to provide the highest security standards to their merchants. “The challenge now is to educate our clients about the importance of P2PE and ensure they understand the rules and responsibilities, even if it results in additional overheads for them. When it comes to Payment Security, P2PE is the future for us,” concludes Heinen.
PREPARATION In our secure PCI evaluated environment keys are preloaded onto the SRED terminal.
DELIVERY Terminals are securely delivered by courier, which is tracked by 3C Payment.
P2PE INSTRUCTIONS The merchant receives terminals and imple ments a set of checks. Some checks are required ongoing for compliance.
SECURE PAYMENT A P2PE payment is processed at the mer chant’s premises, where if required a token can be generated and stored with 3C Vault.
3C INTEGRA Cardholder Data is encrypted using the P2PE mechanism and handled by 3C Integra.
TRANSACTION AUTHORIZED 3C Integra handles the cardholder data and the transaction authorized and passed for settlement. Décembre 2017 — ICT —
— 07
PAPERJAM ADVERTORIAL POST LUXEMBOURG
Une solution pratique pour se conformer à la directive Mifid II
Daniel Santos, Product Manager, et Gerard Milluzzi, Training Consultant, chez POST Luxembourg.
08 —
— ICT — Décembre 2017
fixes. Aujourd’hui, Mifid II va plus loin en imposant l’enregistrement de conversations sur les téléphones mobiles. En cas de litige entre l’établissement financier et son client, il sera donc La directive européenne Mifid II (en anglais possible de retracer toute action menée avec Markets in Finªncial Instruments Directive) le client. Les entreprises concernées devront requiert d’assurer la traçabilité de toute com- donc revoir complètement leurs méthodes de munication « en lien avec une transaction » travail. L’utilisation d’une solution intégrée de entre un professionnel du secteur financier gouvernance de l’information pour collecter, (banque et institution d’investissement) et archiver et analyser les différents supports de ses clients, relative à la réception, la transmis- communication peut ainsi être une réponse à sion ou l’exécution des ordres. Les conversa- cette problématique. tions qui relèvent du conseil en investissement sont également concernées, puisqu’elles sont Quelle est la solution proposée par POST susceptibles d’aboutir à la signature d’un Luxembourg ? contrat. Mifid I imposait déjà d’enregistrer POST Luxembourg a lancé en juin 2017 la les conversations réalisées sur les téléphones solution « Mobile Communication Recording » Pourriez-vous nous rappeler les nouvelles obligations introduites par la directive européenne Mifid II pour les professionnels du secteur financier ?
PHOTO Maison Moderne
D’ici au 3 janvier 2018, les professionnels du secteur financier devront se conformer à la directive européenne Mifid II. Celle-ci impose notamment d’enregistrer toute communication mobile réalisée avec les clients et de les conserver pendant au moins cinq ans. Daniel Santos et Gerard Milluzzi expliquent quelle solution propose POST Luxembourg.
PAPERJAM ADVERTORIAL
(MCR). Celle-ci permet aux collaborateurs des banques et institutions financières d’enregistrer toutes les conversations vocales, SMS et MMS réalisés avec leurs clients sur tous les réseaux mobiles nationaux ou internationaux. C’est une solution simple puisque clé en main et ne nécessitant pas d’adaptation particulière. Pour rester conformes aux exigences de la CNPD (Commission nationale pour la protection des données) sur le traitement des informations personnelles, les entreprises ont l’obligation d’informer leurs clients de l’enregistrement des conversations. La solution MCR garantit donc la protection des données. Elle est en outre certifiée par la CSSF, ce qui garantit sa conformité à la directive Mifid II. C’est aujourd’hui la seule solution déjà opérationnelle sur le marché luxembourgeois à disposer d’une validation technique de la part de la CSSF. Comment fonctionne cette solution ?
L’un des avantages de la solution est que l’institution financière n’a pas besoin d’installer une infrastructure puisque MCR repose sur un environnement sécurisé dans le cloud où l’utilisateur a accès à une plateforme dédiée. Dès qu’un appel est réalisé avec le numéro mobile d’un collaborateur de l’établissement financier, il est automatiquement enregistré. La conversation est redirigée vers les serveurs POST en vue d’être encryptée et archivée. Géo-redondants, ces serveurs sont hébergés dans nos data centers au Luxembourg. Grâce à la double encryption des données, le client peut réécouter tous ses enregistrements au moyen d’une clé privée dont il est le seul détenteur, ce qui garantit la protection de la vie privée de ses interlocuteurs. L’utilisateur peut s’identifier à son interface au moyen de son token Luxtrust. Il sera donc le seul à pouvoir accéder à son profil et disposera d’une totale autonomie de gestion. Il pourra personnaliser la solution, c’est-àdire activer ou désactiver l’enregistrement de numéros mobiles, modifier les bandes-annonces, créer de nouveaux administrateurs, des white lists et des black lists pour gérer automatiquement les appels à ne pas enregistrer (les appels reçus à titre privé par exemple) et les interlocuteurs déjà informés de l’enregistrement. Il y aura par ailleurs une traçabilité de toutes les opérations réalisées sur la
plateforme, ce qui, en cas d’audit, permettra à l’utilisateur de fournir une transparence complète sur l’activité des enregistrements. Chaque communication est datée et sera conservée pendant au moins cinq ans. Ensuite, elle sera automatiquement effacée par la plateforme. Il est néanmoins possible pour le client de demander une extension de la durée d’archivage des conversations sur dix ans, pour être conforme au Code de Commerce qui impose la conservation de toute « pièce justificative » d’une entrée dans le système comptable pendant dix ans. La solution MCR ne fonctionne qu’avec les numéros de mobile POST. Quelle est la date limite de mise en application de la directive pour les établissements financiers ?
Les établissements financiers ont jusqu’au 3 janvier 2018 pour se conformer aux exigences de la nouvelle directive. La CSSF peut procéder à des audits de contrôle à partir de cette date. Que diriez-vous aux entreprises qui n’ont pas encore entrepris les démarches nécessaires pour se conformer à la nouvelle réglementation ?
Nous souhaitons leur indiquer que la solution MCR peut être déployée en quelques jours. Une fois contactés par le client, nous démarrons par une phase d’identification de ses besoins. Suite à cette étape, nous lui proposons une offre adaptée. Le client nous fournit ensuite la liste des numéros mobiles de ses collaborateurs ainsi que les identifiants des tokens des administrateurs que nous implémentons dans la plateforme. Celle-ci est alors activée. S’ensuit une demi-journée de formation pour accompagner le client dans la prise en main de ce nouvel outil intuitif. POST n’a alors plus besoin d’intervenir : il revient au client de gérer la solution en toute autonomie. Nous restons bien sûr disponibles en cas de questions. Entre une négociation de contrat et l’intégration de la solution, il faut compter un délai d’une semaine, sous réserve que le client soit déjà client POST mobile et qu’il n’y ait pas besoin de réaliser une migration de ses numéros mobiles.
MOBILE COMMUNICATION RECORDING EN BREF • •
• • •
Simple et efficace Une plateforme sécurisée accessible via l’authentification Luxtrust Une totale autonomie de gestion pour les utilisateurs Fonctionne sur les réseaux internationaux Des données hébergées dans le cloud et stockées au Luxembourg
UN DÉLAI SUPPLÉMENTAIRE La première directive Mifid est entrée en application le 1er novembre 2007. En juin 2014, la Commission européenne a adopté de nouvelles règles révisant le cadre Mifid. Celles-ci introduisent notamment des exigences sur l’organisation et la conduite des investisseurs sur les marchés en vue de renforcer leur protection. Initialement prévue pour le 3 janvier 2017, l’entrée en application a été repoussée d’un an pour permettre aux régulateurs et acteurs du marché de mettre en place les systèmes informatiques nécessaires.
www.post.lu
Décembre 2017 — ICT —
— 09
SUR LE RADAR
L’ICT, moteur de la croissance emploi i n f o r m at i o n e t c o m m u n i c at i o n
CRÉATEUR DE VALEUR Sur les 4,2 % de croissance calculés pour 2016, le Statec en attribue 1,5 % au secteur de l’information et de la communication, soit le principal créateur de valeur ajoutée dans l’économie, derrière les services financiers et les services aux entreprises. Le poids de ce secteur dans le PIB en 2016 était de 7,2 %. 0,1 % Activités immobilières
0,9 % Services aux entreprises
16.587
0,3 % Commerce, transport et horeca
0,5 % Administration publique, défense, éducation, santé
C’était le nombre de salariés employés dans le secteur « information et communication » en 2016, selon le Statec, soit 4,2 % de l’emploi total. f o r m at i o n
Adaptation 1 % Activités financières et d’assurances 1,5 % Information et communication
e n m a n q u e d e vo c at i o n s
23,7 % Les femmes sont encore largement sous-représentées dans le secteur ICT au Luxembourg, puisque 86,3 % des spécialistes recensés en 2016 par Eurostat étaient des hommes. Cependant, nos voisins ne font pas beaucoup mieux, puisque la moyenne de l’Union européenne est de 83,3 %. 10 —
— ICT — Décembre 2017
« Quelque 800 postes sont ouverts au Luxembourg sans que l’on parvienne à trouver les compétences numériques dont les acteurs du pays ont besoin. » ÉRIC BUSCH, CEO de la nouvelle jeune pousse Nexten.io, une plateforme également spécialisée dans les RH et qui verra le jour en phase bêta en fin d’année. Il était interviewé sur Paperjam.lu en septembre 2017.
PHOTO © nexten.io SOURCES JLL, Statec
pa r i t é
Pour pallier le manque de ressources dans le secteur, la House of Training et l’Adem ont récemment annoncé avoir augmenté leur offre. Idem dans l’éducation nationale où une nouvelle section dédiée à l’informatique a été lancée à la rentrée, accompagnée du label « Future Hub » pour valoriser les lycées qui s’ouvrent aux technologies et à un apprentissage innovant dans le domaine des sciences, de la technologie, de l’ingénierie et des mathématiques.
Les revues JurisNews Un accès synthétique à l’actualité législative et jurisprudentielle au Luxembourg
Les
+
Doctrine
et jurisprudence essentielles Décisions sélectionnées et commentées Analyse critique de l’actualité législative et jurisprudentielle
Droit des assurances & responsabilité 6 numéros par an
Droit fiscal 4 numéros par an Abonnement 155 € TTC
Abonnement 155 € TTC
Investment Management 4 numéros par an Abonnement 155 € TTC
Droit des sociétés 10 numéros par an Abonnement 155 € TTC
Les JurisNews se conjuguent au pluriel ! Découvrez les autres thématiques sur www.larciergroup.com INFORMATIONS ET COMMANDES : • Votre libraire habituel • Notre distributeur : ELS Belgium s.a. tél. 800 24 227 - fax (+352) 278 60731 orders@larciergroup.com
Marque de
INTERVIEW
0 0 0 1 1 111 1100 101 1010 1 11001 1111 1111 00 110 01000 1 0 0 1 1 0 1 0 1 1 0 0 11 110 00 100 00 1000 1 110 00 0 1 0 1 1 0 00 1 0 0 1 0 10 100 11 1000 11 100 110 1100 0 00 1101 010 1100 110 1 1 1 1 1 0 0 1 0 1 0 0 110 0 110 11 100 010 1010 0100 1100 110 1010 010 1 110 0010 1 0 0 1 1 1 0 0 10 100 1010 10 100 0100 1100 001 1 111 1010 0100 000 1 01000 0 1 0 11 1 1 1 110 111 1100 110 10 10100 110 1 0 111 1000 1100 1 010 0 0 0 1111 0100 010 000 00 0 0 1 0 0 0 0 0 1 0 1 1 0 0 0 0 1 1 00 0 0 01 11 100 1010 1010 110 11010 1001 1111 0 01 010 1100 1000 111 1010 1 0 1 1 1 1 1 1 0 1 1 11 010 00 110 01000 111 1101 10 11 010 00 11 0 00 0010 1 0 1 0 1 0 1 0 0 0 0 0 1 0 0 1 0 0 0 1 0 1 1 1 0 11 0100 11 01 010 100 1010 0010 00 1111 11101 100 0 0 0 1 1 0 110 100 1 0 1 1 1 1 11 1100 10 00 0 010 01 00 0 1 1100 1000 0 1 110 100 110 110 0100 0 101 1101 10 1 10 0 1100 1 0 1 111 1 110 1 1 0 1 0 1 0 1 1 1 1 0 1 0 1 0 1 1 1 0 11 100 10 11 0100 010 0010 0 00 0 010 0100 0 0 1 0 0 1 1 1 1 1 1 1 1 110 0010 0 0 0 0 0 100 1 0 0 1 0 1 1 0 1 0 0 1 1 1 1 1 11 10 100 10 00 1 0100 1000 00 0 0 0 111 00 1 0 1 0 1 0 0 0 1 0 1 01 0 11 0 0 11 01 111 01001 0 100 010 101 1001 00 01001 0110 0100 0000 0 1 1 1 1 0 0 1 1 1 1 1 00 01 111 1100 010 0100 1010 10 010 1100 1111 1100 1111 110 1101 1 1 0 1 0 10 111 0110 1000 10 000 00 010 1000 0100 1000 0100 01011 0 1 0 0 0 0 0 0 0 1 100 0 0 0 110 1010 1101 100 101 110 10 1 11 1101 00 110 1000 0 0 0 1 0 1 1 0 0 0 0 111 1101 0100 0100 11 0 1 010 110 0000 110 100 0 1 0 0 0 1 1 1 0 0 0 0 1 0 0 0 1 11 0 11 111 001 10 010 10010 1111 110 1010 10010 00 0 1 0 1 1 0 0 1 1 1 1 1 0 1 10 10 0 000 100 00 1 1 0 111 100 11001 01000 1100 0100 0 1 0 1 0 1 0 1 1 0 10 1001 1001 1111 1001 000 1 0 0 1 0 0 1 0 0 1 1 0 1 0 1 0 1 1 1 11 010 1 1001 1110 1 10 11 010 0 11 0 0 100 10 0 0 0 0 1 0 1 0 1 0 1 1 1 1 1 1 1 0 0 1 0 1 1 0 1 110 01000 0 010 00 11001 000 0 10100 100 110 1 1 0 0 0 1 111 1 110 00 0 1 0 1 100 0100 010 0 100 00 100 100 110 100 0 1 0 101 1000 1110 10 1 1110 000 0 1 11110 1111 1111 0 0 00 10 1111 11 1 1 0 1 1 0 1 1 0 0 1 0 1 1 0 1 0 1 0 0 0 10 1 0 11 11 100 110 10010 00 100 1000 1 00 1000 110 01000 0 0 0 0 1 0 0 01 0 1 0 1 0 0 0 1 0 1 0 0 1 0 1 1 0 0 0 0 1 0 0 1 1 1 1 1 0 1 0 1 1 0 1 1 10 001 0 001 00 0 1 0 010 1100 0 111 100 0 0 0 1 0 1 1 1 1 1 0 100 10 00 10 0 00 10 10 10 10 10 10 110 1100 1111 1100 1111 1100 1111 1010 1100 1100 1100 1010 1100
Le Luxembourg dispose de l’assise technique pour attirer de nouveaux acteurs à la recherche d’un environnement ICT de premier plan, au cœur de l’Europe de l’Ouest. Regards croisés sur le secteur avec Claude Demuth, CEO de LU-CIX Management GIE, Gérard Hoffmann, CEO de Proximus Luxembourg et président de Fedil-ICT, et Tom Kettels, chief business development officer chez LuxConnect.
12 —
— ICT — Décembre 2017
PHOTOS Nader Ghavami
Luxembourg ICT : état des lieux, enjeux et perspectives
INTERVIEW
UNE INFRASTRUCTURE DE POINTE Ces dernières années, le Luxembourg a mis en place des infrastructures ICT de haute qualité. La technique suffit-elle pour attirer de nouveaux acteurs ? C l a u d e D e m u t h Dès 2004, lorsque le
Luxembourg a choisi l’ICT comme l’une des voies futures de sa diversification économique, tout a été mis en œuvre pour créer des data centers et pour installer un réseau de fibre optique. Le pays s’est doté d’une infrastructure diversifiée et de qualité. LU-CIX est ensuite arrivé pour développer le maillon manquant, à savoir un nœud d’échange de trafic internet performant. Celui-ci a permis d’asseoir la crédibilité du pays à l’étranger, tout en renforçant notre indépendance au niveau local, pour un trafic plus rapide, plus redondant et moins cher. À côté de l’aspect technique, il est évidemment primordial de faire la promotion du secteur ICT à l’étranger. C’est ce que fait LU-CIX, en toute neutralité, depuis sa création en 2009. Notre rôle est d’informer et d’éduquer afin que chacun puisse prendre conscience que nous disposons de tout ce qu’il faut au niveau technique, en mieux, plus récent et de meilleure qualité qu’ailleurs. Et cela doit se faire en collaboration avec le ministère de l’Économie, qui assure la promotion générale de tous les secteurs, et Luxinnovation, qui se concentre davantage sur les aspects applicatifs. Gérard Hoffmann La technique ne suffit pas, mais elle est la condition sine qua non pour attirer de nouveaux clients. Les investissements réalisés ces dernières années, dans les data centers et dans la fibre, étaient nécessaires. Aujourd’hui, nous disposons d’une infrastructure de premier plan, et la connectivité avec les grands centres que sont Paris, Francfort, Londres, Amsterdam ou Milan est excellente. Pour des sociétés qui envisagent de se développer en Europe, si l’infrastructure est importante, d’autres éléments entrent en jeu pour déterminer le choix d’une localisation. On peut citer le prix de l’électricité, la disponibilité d’une puissance électrique élevée, un temps de latence très faible. Le Luxembourg propose tout ce qu’il faut à ce propos. J’y ajouterai un système réglementaire très réactif, un coût du travail compétitif, une productivité exemplaire et une main-d’œuvre relativement disponible grâce au vivier que représente la Grande Région.
100 0 0 0 11 1010 00 1 1 0 0 0 1 111 1001 00 110 1100 1 001 001 0 1 00 10 00 1 1 1 001 010 100 1 0 1 1 0 1 00 10 100 0 110 1000 0101 1 1 10 101 00 111 1 0 0 1 1 1 1 1 0 0 1 111 10 010 100 0 0 0 0 0 0 0 0 0 1 1 010 111 0100 11 00100 1110 100 0 1 1 110 0 1 1 10 1 1 10010 0 0 11 0100 1000 1110 010 00 1 0 0 0 11 110 110 010 11 110 010 0100 0 0 0 1 0 1 0 0 1 1 00 101 000 111 1 1 101 100 0 0 110 110 111 100 000 000 1 0 0 00 1 001 0 1 0 110 1 0 0 1 11 00 0 0 1 0010 00 1 0 1 0 1 1 11 1101 110 0100 0100 0 1 0 0 0 11 0 11 0010 0010 00 11 CLAUDE DEMUTH 0 1 1 1 01 CEO, LU-CIX MANAGEMENT GIE 010 0100 Certain de l’intérêt de créer un nœud d’échange internet performant au Luxembourg, Claude Demuth a participé activement à la création de LU-CIX en 2009. Il y occupe le poste de CEO. Né au Luxembourg, diplômé de l’Université Louis Pasteur de Strasbourg, Claude Demuth aime promouvoir le Luxembourg comme un lieu de vie et de business idéal. Au travers de LU-CIX, qui réunit 69 membres (data centers, opérateurs télécom et providers internet),
Tom Kettels Sur base de l’infrastructure dis-
ponible, qui constitue le socle indispensable, notre volonté est aujourd’hui de proposer des solutions à des sociétés pour qui l’aspect technique est essentiel au développement de leur business. Le choix d’une implantation dépend d’une multitude de facteurs. Le seul data center n’est qu’un argument parmi d’autres et il ne permet pas toujours de faire pencher la balance en notre faveur, mais nous veillons à suivre les évolutions du marché. Par exemple, le concept de multi-Tier, II, III ou IV, est là pour répondre à une demande explicite provenant surtout de l’étranger. Nous devons en outre veiller à ce que nos partenaires, qui occupent nos centres de données, proposent une expertise qu’on ne trouve pas ailleurs.
il assure la promotion du secteur luxembourgeois face à des concurrents de poids comme Francfort, Amsterdam ou Londres. Audelà de l’enjeu technique qui est d’interconnecter l’ensemble des opérateurs luxembourgeois et de permettre au trafic international de passer par le Luxembourg, sa mission est de veiller à l’indépendance du pays en matière d’accès à un internet performant et toujours plus sécurisé.
À nos yeux, il est important de contribuer à la spécialisation du Luxembourg autour de certaines compétences d’avenir.
UNE PROMOTION À ACCENTUER Comment promouvoir davantage l’attractivité du Luxembourg en matière d’ICT ? G.H. La fusion très récente de Luxinnovation
et de Luxembourg for Business va dans le bon sens. La nomination de David Foy en tant que head of sector development – digital economy est également une bonne nouvelle. Nous n’en sommes toutefois qu’au stade embryonnaire alors que nous réclamons ce genre de dispositif depuis de nombreuses années. Dans nos démarches pour attirer de nouveaux acteurs, Décembre 2017 — ICT —
— 13
INTERVIEW
il nous manquait jusqu’ici un accès à un représentant de l’État disposant d’une vue globale, capable de nous soutenir et de nous accompagner. En matière de promotion du secteur ICT, en comparaison aux efforts consentis pour le développement du secteur financier, avec Luxembourg for Finance et aujourd’hui la Lhoft, nous avons 10 ans de retard. Les budgets sont insuffisants, voire ridicules si on les compare avec la promotion de la place financière. T.K. Au-delà des foires et autres événements auxquels nous participons depuis deux ans, LuxConnect a décidé d’accroître sa présence à l’étranger via des représentants locaux. Nous sommes notamment présents à Londres. Les choses bougent. De nouveaux acteurs arrivent. À chaque fois, notre rôle reste en premier lieu d’expliquer ce qu’est le Luxembourg et l’éventail de possibilités qui y sont disponibles. C.D. En tant que représentant neutre du secteur de télécommunications et data center, nous organisons des événements à l’étranger, notamment à Berlin et Francfort. Nous participons aux missions économiques, comme celle organisée au Japon fin novembre, également à de nombreuses foires ICT internationales et nous organisons les Luxembourg Internet Days, qui attirent des centaines de clients internationaux chaque année. Nous avons également investi dans la plateforme www.datacenters-in-europe.com, sorte de bible du secteur à destination d’une clientèle étrangère, aujourd’hui très bien référencée. Mais des efforts restent à consentir et nous sommes demandeurs de davantage de moyens pour assurer une meilleure promotion à l’avenir.
DES RÉGLEMENTATIONS À METTRE À PROFIT Comment le Luxembourg peut-il encore se démarquer de ses concurrents ? L’aspect réglementaire est-il suffisamment exploité en matière d’ICT ? G.H. À l’heure actuelle, la fiscalité n’est plus un levier
efficace. C’est même un combat d’arrière-garde. Les règles s’harmonisent à un niveau mondial et nul ne peut plus échapper à l’impôt. Le cadre a évolué et c’est très bien ainsi. Maintenant, à l’image de ce que le Luxembourg a pu mener depuis la transposition rapide de la première directive Ucits dans le secteur de l’industrie des fonds, chaque pays dispose d’une certaine marge de manœuvre dans la mise en œuvre des nouvelles réglementations. Le règlement GDPR et la directive PSD2, à ce titre, peuvent constituer des opportunités. Doté d’une grande agilité, à l’écoute du marché, le Luxembourg peut rapidement créer un élément différenciateur pour se démarquer d’autres pays. La Commission européenne veut également légiférer davantage en matière de cybersécurité. Notre pays s’est construit autour d’une culture de la protection de la donnée et si l’Europe établit des standards minima à respecter, nous pourrions là aussi être les premiers à les intégrer et à proposer un cadre légal innovant. C.D. L’avantage TVA sur les transactions électroniques a disparu. L’IP Box n’est plus. L’Union européenne a établi un nouveau cadre. Dans le respect de ces nouvelles règles, nous invitons le gouvernement à retrouver des incitants économiques permettant d’attirer de nouveaux acteurs au Luxembourg. Le secteur est prêt. Les infrastructures existent. Les compétences sont présentes. Mais la concurrence est rude. 14 —
— ICT — Décembre 2017
01 01 100 110 1110 110 00 0 00 10 0 001 0100 1 0 1 10 110 0 100 00 1 1 10 100 0 0 0 0 0 0 1 11 1000 0101 0 100 0 0 1 0 010 11110 1101 111 11 1 1 1 00 100 00 1 0 0 0 1 0 1 0 11 110 1100 00 10 1001 1 01 1000 11 0 1 0 1 0 1 01 110 0 00 110 1 0 0 0 0 110 0010 101 11001 100 1 1 0 010 010 1101 11 0 1 111 01000 0010 11110 010 0 0 11 1101 1 0 111 01000 11010 10 0010 1 11 00 110 111 0 11 0 01 010 010 110 0 1 1 00 00 0 10 1 10 0100 1101 1100 111 110 GÉRARD HOFFMANN 00 1 0 CEO, PROXIMUS1LUXEMBOURG ET PRÉSIDENT DE FEDIL-ICT 10 Gérard Hoffmann est, depuis mai 2016, le CEO de Proximus Luxembourg, entité qui réunit Tango et Telindus, société au sein de laquelle il occupe le poste de président et administrateur délégué depuis 2002. Impliqué dans de nombreuses associations professionnelles, notamment président de Fedil-ICT asbl et de la confédération ICT Luxembourg, qui regroupe les principales associations actives dans le secteur ICT (APSI, FDI, Cloud Community Europe – Luxembourg,
Finance & Technology Luxembourg asbl, ABBL, Fedil-ICT asbl et Opal), Gérard Hoffmann est partie prenante de toutes les discussions qui concernent de près ou de loin l’avenir du Luxembourg en mode digital. Dans un monde où les grands acteurs du cloud public investissent à coups de milliards, l’homme a l’ambition de faire de son pays un centre spécialisé dans les solutions applicatives de pointe, à destination d’une clientèle internationale.
INTERVIEW
T. K. La perte de certains avantages traditionnels que pro-
posait le Luxembourg pour attirer des sociétés ICT a eu un impact sur le business. Mais nous avons réagi en augmentant notre présence sur le terrain, à l’étranger. On assiste à un mouvement général qui se traduit par une plus grande prise de conscience en matière de localisation des données. Les nouvelles dispositions proposées sur le plan national en ce qui concerne les obligations de localisation de données dans le secteur financier, le règlement général sur la protection des données et la nouvelle proposition de règlement de la Commission européenne sur la libre circulation des données à caractère non personnel créent ou vont créer de nouveaux défis et de nouvelles opportunités. Il y a certes le risque que des acteurs financiers qui étaient jusqu’à présent tenus de garder leurs données au Luxembourg délocalisent ces données à l’étranger. En revanche, la nouvelle flexibilité incitera davantage d’autres acteurs, comme des sociétés fintech, à localiser leurs activités ICT au Luxembourg, puisque cela deviendra moins contraignant. L’ouverture a toujours été bénéfique pour le Luxembourg et il devrait en être de même pour le secteur ICT.
DES PERSPECTIVES D’AVENIR Quel regard portez-vous sur l’évolution future du secteur ICT au Luxembourg ? C. D. Début novembre, nous venons de dépasser le niveau
de 100 gigabits échangés à la seconde sur notre réseau. Un record qui montre que l’activité va croissant. Si notre rôle est d’assurer l’interconnexion entre l’ensemble des acteurs internet et télécom et leurs clients, en garantissant notre indépendance par rapport à l’étranger, notre responsabilité est aussi de veiller à la sécurité de nos réseaux connectés. Nous allons y travailler dès à présent. Le Luxembourg doit davantage jouer la carte de « Secure and Trust Country ». Nous devons devenir un pays de confiance quand on parle de data à l’étranger. T.K. Internet change. La tendance actuelle est à l’edge computing, à la décentralisation des données dans différents data centers, au plus près des utilisateurs finaux, pour garantir un temps de latence très réduit. À nous de nous positionner pour accueillir ces données décentralisées. Autre exemple, l’accord de coopération dans le domaine de la conduite connectée avec l’Allemagne et la France va faire du Luxembourg une zone de test grandeur nature pour la mobilité intelligente, avec toute la data qui l’entoure. En matière de cybersécurité, le pays a une belle carte à jouer pour se différencier au départ de son expertise. Si l’infrastructure est vue comme une commodité, elle est aussi de plus en plus critique. Les audits se multiplient et les dirigeants veulent aujourd’hui savoir si les data centers qui hébergent leurs systèmes et leurs données sont à la hauteur. En cela, notre offre de DC Tier IV devient un nouvel argument décisif. G.H. La technologie évolue très vite. Les grands acteurs investissent aujourd’hui des milliards de dollars et on ne peut que constater cette croissance exponentielle du cloud public, sans pouvoir rivaliser avec des firmes comme Microsoft, Google, Amazon, Oracle ou d’autres… Cette montée en puissance du cloud public nous force à monter dans la chaîne de valeur. Il faut désormais davantage se concentrer sur le développe16 —
— ICT — Décembre 2017
00 1 0 0 0 110 1100 0001 00100 01 000 11 1 1 1 0 1 111 0 00 1 0 0 1 0 0 01 100 110 1010 1111 0 1 1 1 111 001 100 111 0 000 110 1 0 0 1 0 0 110 0100 0100 110 1000 0 110 0 110 00 110 1001 0 100 0010 11001 1 01 10 11 010 0100 1111 10100 10 0 0 0 11 000 110 00 001 1010 1 0 0 1 110 1110 1111 00 1010 00 000 1010 000 10010 0 1 0 1 0 1 010 10 1100 0 001 1 1 1 0 11 100 1001 0 000 1 1 0 1 1 0 110 0 1 0 0 1 1 1 1 0 1 110 0100 00 1 0 0 1 01 1 1 0 0 1 1 0 1 1 1 11 TOM KETTELS CHIEF BUSINESS DEVELOPMENT OFFICER, LUXCONNECT Tom Kettels a rejoint LuxConnect SA en janvier 2016 et est responsable de la conduite des activités de marketing et de vente. Membre du comité exécutif de LU-CIX – Luxembourg Commercial Internet Exchange – depuis sa création en 2009, il est aussi devenu en janvier 2016 membre du conseil d’administration de FedilICT. De 2004 à 2015, Tom
Kettels a été conseiller au sein du Service des médias et des communications du ministère d’État. Aujourd’hui, sa mission est notamment d’attirer de nouveaux acteurs ICT au Luxembourg, dans des secteurs de niche clairement identifiés, en misant sur l’attractivité des solutions techniques disponibles et de l’expertise métier des partenaires de LuxConnect.
ment d’applications, au-dessus des data centers et du cloud. Aujourd’hui, nous devons attirer des sociétés qui travaillent à la mise en place de nouvelles applications, dans différents domaines, qu’il s’agisse de la finance, avec la blockchain par exemple, du commerce, des télécommunications, etc. Nous abordons ce nouveau défi avec l’ambition d’exporter des solutions, notamment financières, vers d’autres centres européens comme la France, l’Angleterre, l’Allemagne, la Suisse, les Pays-Bas… Ma vision est que toute l’infrastructure sera dans le cloud et que nous serons spécialisés dans les applis, qui généreront du trafic et des données, avec un grand besoin de connectivité. M. P.
peace of mind
=
risk analysis
+ business opportunity
What is your equation for peace of mind in this disruptive world? Numbers are only digits without the common denominator for success – people power. At ING we can help your business thrive by tapping into technology and innovation while harnessing the limitless potential of the human spirit. ing.lu/business
Wholesale Banking
ING Luxembourg SA, 26 Place de la Gare, L-2965 Luxembourg - R.C.S. Luxembourg B.6041 - TVA LU 11082217
EASY | COM Simplifiez et unifiez vos communications grâce à notre solution tout-en-un !
Découvrez EASY | COM, le nouveau service voix collaboratif et de haute qualité de Cegecom. Notre solution tout-en-un comprend l’installation de vos lignes, des forfaits adaptés aux besoins réels de votre entreprise ainsi que la fourniture et la gestion de vos équipements téléphoniques. Profitez d’une solution 100 % luxembourgeoise qui vous offre une sécurité maximale. EASY | COM, c’est aussi simple que cela ! Grandes entreprises, PME et administrations, rencontrons-nous aujourd’hui pour anticiper votre futur.
www.cegecom.lu
EASY | COM Nous réinventons vos communications d’entreprise. CONNECTIVITY • INTERNET • VOICE • DATA CENTER • CLOUD
TABLE RONDE
« La sécurité informatique ne doit pas être envisagée aux dépens de la performance ou de toute démarche de digitalisation utile. » Didier Wasilewski
PHOTOS Maison Moderne
Head of sales Cegecom
18 —
— ICT — Décembre 2017
TABLE RONDE
CYBERSÉCURITÉ
Prendre conscience des cyber-risques Toute activité dépend de plus en plus des systèmes informatiques et d’un accès à la donnée. Connecté, le business est désormais particulièrement exposé à la cybermenace. Se prémunir des nouveaux risques implique au préalable que les organisations les identifient.
N
otre société est digitale. Définitivement. Rares sont les personnes qui ne recourent pas aux canaux numériques pour quantité d’opérations de la vie quotidienne. Effectuer un versement, acheter ses cadeaux de fin d’année, comme le dernier Goncourt, ou encore entrer sa déclaration fiscale en ligne… On ne dénombre plus les transactions qui peuvent désormais être très facilement effectuées en ligne. La technologie constitue un levier de performance unique pour les entreprises. Cloud, technologies mobiles, objets connectés... transforment nos organisations. Grâce aux évolutions technologiques, les sociétés, tout comme leurs collaborateurs, profitent d’une plus grande flexibilité, agilité, productivité… Le développement de la compétitivité passe désormais immanquablement par la transformation digitale de l’organisation. Toutefois, chaque médaille a son revers. La numérisation des organisations les expose à de nouvelles menaces. En l’occurrence, ce sont les cybercriminels qui profitent d’une plus grande ouverture des systèmes informatiques vers l’extérieur.
DIGITALISATION ET DISPERSION
En effet, l’activité de toute organisation dépend de plus en plus de la disponibilité de ses systèmes d’information et de la donnée. Ces éléments sont considérés comme critiques,
indispensables à la bonne marche de l’activité. Il est donc essentiel de mieux les protéger. « La cybersécurité est devenue un élément que chaque dirigeant doit pouvoir considérer comme de nombreux autres facteurs de développement de son business. La maîtrise de la donnée, ainsi que sa protection, doit désormais être mieux appréhendée », commente Didier Wasilewski, head of sales au sein de Cegecom, opérateur télécom au Grand-Duché de Luxembourg. Si, hier encore, les systèmes d’information se trouvaient au cœur de l’entreprise et n’étaient accessibles que depuis le poste de travail fixe, les choses ont changé. « À l’ère du cloud, de l’internet des objets, du ‘all IP’, la donnée est accessible de partout, à tout moment, quel que soit le device privilégié pour se connecter. Les organisations se sont transformées. Si la donnée est plus accessible, la gestion de la sécurité des systèmes et la protection de la donnée sont devenues beaucoup plus complexes », poursuit Didier Wasilewski. La mise en œuvre de nouveaux outils de collaboration et d’échange, au sein même de l’entreprise, entraîne une dispersion plus importante et plus rapide de l’information. « Alors que la donnée devient une valeur-clé de notre économie, on constate qu’il est de plus en plus difficile d’en assurer la maîtrise », commente Isaak Dayan, managing director de Dartalis, société spécialisée dans le domaine de la sécurité de l’information, installée depuis
une dizaine d’années au Luxembourg. Pour échanger, à défaut de profiter d’outils efficients, les jeunes collaborateurs n’hésiteront pas à recourir aux outils qu’ils ont l’habitude d’utiliser pour leurs besoins personnels. « La question qui doit dès lors être posée, au sein de chaque entreprise, a trait au moyen de garder le contrôle alors que les flux et les échanges se multiplient », assure Isaak Dayan.
UNE APPROCHE PRAGMATIQUE AU DÉPART DES RISQUES
Il y a quelques années, à une époque où le digital s’apparentait principalement au développement d’une simple visibilité sur internet, le risque était acceptable. Ce n’est désormais plus le cas. Toute la communication passe désormais par le réseau, ainsi que la plupart des transactions et des opérations. L’indisponibilité, ne fût-ce que temporaire, d’un système informatique peut rapidement entraîner des pertes conséquentes. Les cybercriminels, malheureusement, sont bien conscients de ces enjeux. Selon leurs motivations, ils mettront divers moyens en œuvre pour prendre en otage un système, le faire tomber, subtiliser des données. Le risque est réel. Personne n’est épargné. Les titres dans la presse, régulièrement, révèlent l’ampleur de la menace. Du petit artisan à la banque qui a pignon sur rue, en passant par l’administration, tout le monde, du jour au Décembre 2017 — ICT —
— 19
TABLE RONDE
RH
ATTIRER ET MUTUALISER LES COMPÉTENCES Les compétences en cybersécurité sont rares, et donc très recherchées. L’évolution rapide de la technologie, impliquant une plus grande exposition au risque, n’a pas laissé le temps aux filières de formation de se structurer en conséquence. Les jeunes diplômés, armés pour répondre à la menace, arriveront bientôt. L’enseignement supérieur, au Luxembourg et ailleurs, répond à ces nouveaux enjeux, mais avec un certain décalage. En attendant, il faut donc attirer les talents, aller les chercher au-delà des frontières du pays. « Nous avons la chance de disposer d’un environnement économique attractif, avec des développements digitaux importants. Nous parvenons dès lors à attirer des talents, explique Isaak Dayan. Au-delà, considérant les enjeux, il faut trouver les moyens de mieux mutualiser ces compétences, afin qu’elles puissent être accessibles et servir le plus grand nombre. »
lendemain, peut se retrouver victime d’une cyberattaque, opportuniste ou ciblée. Comment, dans ce contexte, assurer la sécurité de l’information et garantir la disponibilité des systèmes ? « Quelle que soit la taille de l’organisation, il faut appréhender la problématique de manière pragmatique, afin de mettre en œuvre les meilleures réponses, aussi bien organisationnelles que techniques, assure Isaak Dayan. Le premier enjeu est de prendre conscience des risques nouveaux auxquels je m’expose. Le problème aujourd’hui est que les décideurs prennent plus rapidement conscience de l’apport d’une technologie pour leur business que des risques afférents. Il est essentiel, pour le développement durable de son business, d’inscrire toute démarche de transformation digitale dans un cadre de confiance 20 —
— ICT — Décembre 2017
« Entre sécurité, contrôle et performance, il faut trouver la juste balance. » Isaak Dayan CEO Dartalis
suffisant. Cela implique une réflexion globale, avec de nouvelles règles de gouvernance, la mise en place de bonnes pratiques, une sensibilisation des utilisateurs, le déploiement de mesures de protection et de sécurité. »
DE NOUVEAUX MÉTIERS
La menace, pouvant prendre de nombreuses formes, n’est pas simple à appréhender, si ce n’est à travers une gestion efficiente des risques propres à l’entreprise. « Pendant longtemps, on s’est contenté de répondre à la menace en déployant des outils de protection technologiques. Cela ne suffit plus aujourd’hui. Une protection efficace, garantissant la continuité du business, doit avant tout s’appuyer sur une meilleure compréhension et gestion du risque, commente Isaak
Dayan. D’une entreprise à l’autre, selon la nature de l’activité et des assets digitaux à protéger, les risques seront différents. Une bonne identification des risques et des éléments critiques pour le bon développement de l’activité permet de faire des choix en connaissance de cause. » Selon les cas, des mesures spécifiques devront être prises. Par ailleurs, certains acteurs accepteront de courir certains risques, parce qu’ils ne mettent pas en péril la bonne marche du business, ou parce que les mesures à prendre pour s’en prémunir sont hors de portée. « L’enjeu est de parvenir à la meilleure adéquation entre les risques et les mesures de protection envisagées, assure Didier Wasilewski. C’est un défi à part entière. De nouveaux métiers voient le jour. On parle de plus en plus de chief information security
TABLE RONDE
LUXEMBOURG
UN ÉCOSYSTÈME COMPLET Le Luxembourg a la chance de disposer d’un environnement « cyber » de qualité, avec de nombreux acteurs privés développant des services avancés dans le domaine de la sécurité informatique. Le gouvernement, pour sa part, investit depuis plusieurs années afin de faire de Luxembourg une « smart nation » offrant toutes les garanties de confiance nécessaires. Le pays s’est ainsi doté de centres de données parmi les plus sécurisés au monde, a déployé une connectivité redondante et particulièrement efficiente. Il mise aussi sur le développement des compétences et de l’information des acteurs à travers Security made in Luxembourg (Smile), groupement d’intérêt économique. Récemment, le gouvernement a renforcé cet écosystème en inaugurant le C3, centre de compétences en cybersécurité, dont la mission est de conseiller les professionnels en matière de cybersécurité, allant jusqu’à simuler des attaques informatiques en temps réel.
officer (CISO) ou de data protection officer (DPO). Dans des structures régulées, comme le sont notamment les acteurs du secteur financier, ces fonctions doivent obligatoirement être mises en œuvre. » Cependant, comme nous l’évoquions, les enjeux de cybersécurité ne concernent pas uniquement les sociétés régulées. Et si le législateur a tendance à progressivement obliger toutes les entreprises à mieux protéger les données, comme c’est le cas à travers la GDPR (réglementation générale sur la protection des données), il reste difficile de conscientiser des structures dont le cœur de métier est bien éloigné de ces enjeux. « On constate, d’une entreprise à l’autre, de grandes différences de maturité à l’égard de ces enjeux, commente Didier Wasilewski. Les entités régulées, en effet, ont développé des approches structurées, quand d’autres sociétés, grandes ou petites, qui ne doivent pas répondre à des autorités de contrôle, semblent ne pas avoir suffisamment conscience du risque. »
CONFIANCE ET CONTRÔLE
Les petites structures n’ont pas forcément les moyens d’avoir une personne dédiée s’occupant des enjeux de cybersécurité. D’autre part, face à cette menace polymorphe, difficile à appréhender, beaucoup se sentent démunis. « Ce n’est cependant pas une raison suffisante pour l’ignorer. Encore une fois, c’est l’avenir de l’activité qui en dépend. Développer les réponses adéquates n’exige pas forcément d’investir de manière conséquente. Mais il est important qu’un responsable au sein de chaque structure se pose les bonnes questions régulièrement. Chaque dirigeant devrait, de temps à autre, se demander ce qui se passerait si, du jour au lendemain, ses données ou ses systèmes n’étaient plus disponibles », précise Isaak Dayan. À partir de là, les mesures à prendre sont de nature diverse. Cela commence le plus souvent par le respect de quelques règles d’hygiène de base : choisir un mot de passe incluant lettres, chiffres, majuscules et minuscules, et des caractères spéciaux est un principe essentiel ; ne pas cliquer sur le premier lien reçu par e-mail ; éviter d’ouvrir une pièce jointe sans s’être assuré de l’authenticité et de la probité de son expéditeur… Le rappel régulier de ces quelques éléments permet déjà de se prémunir grandement du risque. La confiance n’exclut pas le contrôle, aurait affirmé Vladimir Ilitch Oulianov, Lénine, dans un tout autre contexte, et à une tout autre époque. L’adage, cependant, s’applique bien aux enjeux « cyber » qui nous occupent. « D’une part, il y a un réel enjeu de sensibilisation des collaborateurs. D’autre part, les responsables de la cybersécurité
doivent se doter des moyens de contrôler la manière dont la donnée se diffuse, afin de pouvoir mieux évaluer le risque auquel s’expose l’entreprise, mieux la protéger, précise Didier Wasilewski. C’est un enjeu de gouvernance. Pour mieux protéger la donnée, il faut savoir comment elle est utilisée, disposer d’une réelle vision des risques. » Les environnements de travail à partir desquels les employés effectuent leur mission doivent pouvoir être sécurisés. L’accès à l’information doit pouvoir être contrôlé. La donnée doit pouvoir être mieux tracée.
REMISE EN QUESTION PERMANENTE
L’entreprise, si elle veut garantir un réel niveau de maîtrise de l’information, empêchera, dans la mesure du possible, ses employés de recourir à des systèmes publics de partage de l’information, comme Dropbox, Wetransfer, ou encore la suite bureautique proposée par Google. « Cependant, la sécurité informatique ne doit pas être envisagée aux dépens de la performance ou de toute démarche de digitalisation utile. Si l’on interdit de recourir à des solutions publiques, il faut pouvoir proposer des alternatives valables dans le cadre de l’entreprise, précise Isaak Dayan. Si, à travers les outils de l’entreprise, il faut à chaque fois introduire trois tokens pour accéder à la donnée utile, il y a fort à parier que le collaborateur trouvera le moyen de contourner les règles de sécurité établies. Les solutions à mettre en œuvre doivent donc répondre aux exigences de l’utilisateur. Entre sécurité, contrôle et performance, il faut trouver la juste balance. » De nombreux acteurs, publics et privés, peuvent accompagner les entreprises face à la menace, depuis l’analyse des risques jusqu’à la mise en place de réponses adaptées pour y répondre. « La cybersécurité implique une remise en question permanente. La menace évolue sans cesse, aussi vite que la technologie. Une fois une réelle gouvernance des risques établie, au-delà de la sensibilisation des collaborateurs, des mesures techniques peuvent être envisagées. Des acteurs télécom comme nous peuvent aider leurs clients à disposer d’infrastructures redondantes, à garantir la continuité du business en cas de crise, explique Didier Wasilewski. Selon les besoins, des solutions adaptées peuvent être trouvées. En tant que fournisseur de services de connectivité, nous sommes les premiers concernés par ces enjeux. Nos offres s’adaptent en permanence aux besoins des clients confrontés à de nouveaux risques. » Des services mutualisés, en outre, voient le jour, pour permettre aux acteurs d’accéder plus facilement aux trop rares, et pourtant de plus en plus nécessaires, compétences en matière de cybersécurité. S. L. Décembre 2017 — ICT —
— 21
SMART ICT FOR BUSINESS INNOVATION
PROFESSIONAL CERTIFICATE
After the success of the first class of the University Certificate “Smart ICT for Business Innovation”, ILNAS* and the University of Luxembourg are proud to present you the experts contributing to the programme of the next promotion of this training that will start in February 2018. Designed to foster high-potential ICT talents, the University Certificate offers a broad view of Smart ICT concepts (e.g.: Cloud Computing, Internet of Things, Big Data) and related standardisation developments, aiming to give a better understanding of ongoing technological developments, stimulating the sense of innovation, so essential in today’s competitive business reality. We warmly encourage you to discover more about this programme, representing a great opportunity for professionals to develop their digital skills.
Jean-Marie Reiff
Prof. Dr. Paul Heuschling
Director ILNAS*
Dean of the Faculty of Science, Technology and Communication, University of Luxembourg
* Institut Luxembourgeois de la Normalisation, de l‘Accréditation, de la Sécurité et qualité des produits et services.
PRACTICAL INFORMATION: Beginning:
February 2018
Campus:
Belval, Maison du Savoir
Language:
English
Duration:
1 year part-time programme (18 ECTS)
CONTACT: tel.: (+352) 46 66 44 5217 email: fstc-smartict@uni.lu http://smartict.uni.lu
- SMART INTERACTIONS - DIGITAL INTELLIGENCE - SMART PLATFORMS - BUSINESS INNOVATION - SMART ICT CONCEPTS - TECHNICAL STANDARDISATION
MEET OUR EXPERTS COURSE DIRECTORS Prof. Dr. Pascal Bouvry
Prof. Pascal Bouvry is full professor at the University of Luxembourg. He is the academic director of the certificate smart-ICT for business innovation and director of the doctoral school in computer science and computer engineering. Pascal Bouvry is also faculty member of the SnT (Interdisciplinary Center for Security, Reliability and Trust), associate editor of IEEE Cloud Computing magazine, associate editor of Elsevier Swarm and Evolutionary Computation journal, founding member of IEEE TC on Cybernetics for CyberPhysical Systems, and vice communication chair of IEEE STC on sustainable computing.
Dr. Jean-Philippe Humbert
Dr. Jean-Philippe Humbert earned his PhD on Information and Communication Sciences, at Université Paul Verlaine of Metz, focused on information security and cybercriminality. Dr. JeanPhilippe Humbert is Deputy director of the Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et qualité des produits et services (ILNAS). He is Member of the Board of the GIE ANEC and, in this frame, responsible of the national standardisation strategy. Really involved into ICT Technical standardisation and Education about standardisation, since 2002, Dr. Jean-Philippe Humbert is also President of the national mirror committee ISO/IEC Joint Technical Committee 1 “Information Technology” and lecturer for the University of Luxembourg.
LECTURERS Mrs. Natalia Cassagnes
Natalia Cassagnes is Project Officer in Smart ICT and Standardisation with a focus on Big Data. Through this position at the GIE ANEC, she is promoting at Luxembourg level the standardisation activities carried out by ISO/IEC JTC 1 committee on Information Technology in different aspects of Big Data. As a National Contact point for Big Data standardisation activities, her role is to support the national stakeholders and provide them with relevant and up-to-date information. Mrs. Cassagnes holds a Master’s degree in Computational Linguistics, reinforced by University Certificate “Smart ICT for Business Innovation”.
Prof. Dr. François Coallier
François Coallier is professor at the École de technologie supérieure (ÉTS), one of Canada’s leading engineering school, affiliated to the Université du Québec network. He was CIO of ETS between 2010 and 2016 and the founding chair of ÉTS’ Department of Software and IT Engineering from its creation in 2004 till 2010. Dr. Coallier has been continuously involved in software and systems engineering standards development since 1984. He is the international Chairman of the Joint ISO and IEC subcommittee responsible for the elaboration of Software and Systems Engineering Standards (ISO/IEC JTC1/SC7) since 1997 and the international Chairman of the new ISO/IEC JTC1/SC41 on the Internet of Things and related technologies.
Dr. Grégoire Danoy
Grégoire Danoy received his Industrial Engineer degree in Computer Science from the Luxembourg University of Applied Sciences (IST) in 2003. He obtained his Master in Web Intelligence in 2004 and his PhD in Computer Science in 2008 from the Ecole des Mines of Saint-Etienne, France. Since 2008, Dr. Danoy is Research Scientist in the Computer Science and Communications research unit (CSC) of the University of Luxembourg. His current research interests include the design of novel artificial intelligence techniques to tackle problems in bioinformatics, cloud computing, high performance computing, IoT and Smart Cities.
Mr. Nicolas Domenjoud
Nicolas Domenjoud is currently Project officer ICT and Standardisation of the GIE ANEC. He is leading projects on Sector-based standards approach development, to support the national stakeholders’ competitiveness. Nicolas is also working on the promotion of ICT technical standardisation and he is national delegate on the ISO/IEC Joint Technical Committee 1 “Information technology”.
Mr. Dany Donnen
Dany Donnen is specialized in IT Strategy and business alignment. With his more than 25 years experience (in Media, Automotive, Consulting and Food Service) in ICT he managed many architecture and transformation programmes to make ICT smarter and better aligned on business priorities and innovation. Dany is also Adjunct Professor at the Faculté de Droit, d’Economie et de Finance of the University of Luxembourg.
Mr. Ashok Ganesh
Ashok Ganesh is Director Innovation at CEN & CENELEC and has worked in standardisation for over 20 years. His current focus includes standards and digital transformation, standards – research integration, supporting SMEs and societal stakeholders to benefit from standards and Education about Standardisation.
Mr. Terry Landers
First appointed to the Board in 2012, Terry is Microsoft Chief Standards officer for Europe Middle East and Africa, working across a wide range of future and emerging technologies in the Information and Communications area, including Cloud Computing, Internet of Things, Smart Grids and Health Informatics. He is Chairman of NSAI’s ICT standards Consultative committee and is also a Board member of Enable Ireland, and several Microsoft companies.
Mr. Cédric Mauny
Cédric Mauny is Senior Manager for the Cybersecurity Department at Telindus, Risk Manager, leader of the Telindus-CSIRT and permanent member of the Infosec committee. In the latter occupation, he successfully co-leads the ISO 27001 Certification of Telindus. Since more than 13 years, Cédric is very active in the standardisation activities in Luxembourg. Founding member and General Secretary of the Association for Standardisation of Information Society in Luxembourg, Cédric was also Chairman and currently holds the Vice-Chair of the LU committee ISO/IEC JTC1 SC27 on IT Security techniques and chairs the LU committee ISO/TC 262 on Risk Management. Cédric was lecturer for the first class of the University Certificate “Smart ICT for Business Innovation” in the module “Smart Interactions - Digital Trust”.
Mr. Ultan Mulligan
Ultan Mulligan is Director of Communications at ETSI, and holds a position of Vice-chairman of the Marketing and Communications committee in the oneM2M Partnership Project. Previously responsible for Strategy and New Initiatives, developing new standardisation or prestandardisation activities at ETSI including establishing the first Industry Specification Groups at ETSI, he has also managed OSA/Parlay API standardisation activities for ETSI. In ETSI’s Protocol and Testing Competence Centre he has managed specification and testing projects at ETSI in fields as diverse as X.25, DECT, V.5, Intelligent Networks, OSA, and DSRC radio (road tolling). Besides ETSI, he has participated in many standards bodies including oneM2M, 3GPP, ITU-T, CEN, and groups such as Bluetooth SIG and Parlay. Mr. Mulligan has a B. Eng. from Dublin City University and an Executive MBA from the ESCP-EAP in Paris.
Dr. Johnatan Pecero
Johnatan Pecero is the head of Standardisation department at the GIE ANEC. Main missions are to support ILNAS in the execution of the national standardisation strategy and the implementation of the Policy on ICT technical standardisation including research and Education about Standardisation. His current research interest relates to Digital Trust for Smart ICT (focus on Cloud Computing and Big Data). Johnatan is national delegate on the ISO/IEC JTC 1 committee on “Information Technology”, Cloud Computing, Big Data and data centers.
Mr. Pascal Steichen
Pascal Steichen is CEO of SECURITYMADEIN.LU, the structure behind the three main information security initiatives of the Luxembourg government: CIRCL, CASES and BEE SECURE and the future cybersecurity competence center. He is also lecturer in information security at the University of Luxembourg, vice-president of the CLUSIL and was for 11 years member of the management board of ENISA.
Dr. Tuan Anh Trinh
Tuan Anh Trinh holds a Ph.D. in Computer Science from the Budapest University of Technology and Economics (BME). He founded and is the Head of the Network Economics Group at BME. His recent research interests include socio-economic aspects of networked systems, smart ICT/applications, and sustainability issues of the Future Internet.
Mr. Jérôme Hoerold
Jérôme Hoerold is currently the Head of the ILNAS Standardisation Department, Luxembourg’s National Standards Body. Between 2010 and 2014 he worked as a business consultant in different local based and multinational companies. Before this, Jérôme Hoerold studied Economics at the University of Montpellier I.
Mr. Volker Jacumeit
Volker Jacumeit is working for DIN as managing director of the IT Security Coordination Center and of the Standards Committee on Information Technology and Selected IT Applications. Prior to joining DIN, he worked as a project manager in IT and communications at Siemens for many years. Most recently, he served as director for seamless government at Siemens’ headquarters, overseeing business development and portfolio development for e-government solutions, and led the Public Sector Innovation Center in Berlin. System Integration, Interface Management, and IT-Security and Privacy have been mayor issues within his projects. At DIN one of his main activities is managing the German mirror committees of ISO and CEN and together with the German experts the representation of DIN at international standards committees.
Dr. Ravi Jhawar
Ravi Jhawar is Project Officer Smart ICT and Standardisation at the GIE ANEC. In this context, he is responsible for digital trust and blockchain research and technical standardisation activities. Before joining GIE ANEC, Dr. Ravi Jhawar worked as a post-doctoral research associate at the Interdisciplinary Centre for Security, Reliability and Trust (SnT) of the University of Luxembourg where he performed various research activities and managed national and industrial projects. His core professional interests are in the areas of information security, risk management, cloud computing and blockchain. He holds a PhD from University of Milan and MSc from University College London.
SUPPORTING ORGANISATIONS
Mr. Alain Wahl
Alain Wahl is currently the head of Digital trust department of ILNAS. After his Master in Computer Science at University of Fribourg in Switzerland, he worked as Informatics teacher and ICT System administrator for 5 years, before joining the Digital trust department of ILNAS in September 2011.
Dr. Shyam Wagle
Shyam Wagle is affiliated to GIE ANEC. He is also serving as an acting president of national mirror committee of Luxembourg -- ISO/IEC JTC 1/SC 41: Internet of Things and Related Technologies. Before joining GIE ANEC, he was working as a researcher in the University of Luxembourg. He also worked in state owned Telecom Operator in Nepal for more than 5 years before starting his research activities in Academia. He is mainly following research and standardisation activities in the domain of IoT and Cloud computing. He holds PhD in Computer Science from the University of Luxembourg and Joint-PhD in Law, Science and Technology from six European Universities.
Dr. Ir. Robert van Wessel
Robert M. van Wessel holds a Master in Electrical Engineering from Twente University and a PhD in Business Administration from Tilburg University (Department of Inf. Systems and Mgmt.). He is lecturer at Rotterdam School of Management, Erasmus University on the subject of Enterprise Architecture. Robert’s research interests relate to the interaction of Business and Information Technology (e.g.: Data and Information Mgmt., IT Governance, IT Security Mgmt. and Standardisation. Robert currently works as Business Architect at a Dutch government agency and is founder of ApexIS, a firm providing consultancy services to companies in his areas of research.
NOUVELLES TECHNOLOGIES
FUJITSU FORUM 2017
Le futur selon un géant
Tatsuya Tanaka CEO Fujitsu
24 —
— ICT — Décembre 2017
PHOTO Fujitsu
« Si nous sommes capables de proposer des modèles d’affaires adaptés aux nouvelles réalités économiques, alors nous disposerons d’un avantage compétitif essentiel. »
NOUVELLES TECHNOLOGIES
Des innovations sur mesure, adaptées aux besoins de chaque entreprise, et un concept : la co-création. Voilà comment Fujitsu anticipe l’avenir. Son CEO, Tatsuya Tanaka, s’est livré en exclusivité à une dizaine de médias, dont Paperjam, à l’occasion du Fujitsu Forum 2017, qui s’est tenu les 8 et 9 novembre derniers à Munich.
PROJECTIONS
À QUOI RESSEMBLERA LE TRAVAIL EN 2025 ? 79 %
FLEXIBILITÉ 79 % des entreprises estiment manquer de flexibilité pour tirer le meilleur de leurs employés.
CYBERSÉCURITÉ 56 %
a révolution digitale en cours dépasse largement le monde virtuel. Elle impacte tous les domaines de la vie humaine, de notre façon de communiquer, de nous divertir, à notre manière de travailler. Et cette mutation fondamentale de nos sociétés est largement influencée par une poignée de sociétés dans le monde. Fujitsu est l’une d’entre elles. Quand son CEO partage sa vision du futur, mieux vaut donc être attentif. Très discret sur le plan médiatique, Tatsuya Tanaka a accepté de livrer la stratégie de son entreprise et de répondre aux questions d’une poignée de journalistes du monde entier, dont celles de Paperjam, début novembre. Plus que des tendances globales, c’est le développement de services ultra- personnalisés, intégralement basés sur les nouvelles technologies, que le patron de l’entreprise nippone a décrit. Ainsi, Fujitsu fait le pari de développer des innovations individualisées aux besoins de chaque client. « Il n’est plus suffisant d’avoir une vision verticale de l’intégration de nos solutions digitales, il faut pouvoir avoir une approche horizontale, explique-t-il. La customisation des technologies est une tendance déjà très avancée au Japon, et en laquelle nous croyons. »
PENSER LES MODÈLES D’AFFAIRES
Leader au Japon, Fujitsu est le 5e fournisseur de services IT dans le monde. Ce géant des nouvelles technologies, qui a été fondé en 1935, a su s’adapter aux évolutions du 20e siècle et a accumulé une expérience inédite en matière digitale. Connu du grand public surtout pour ses ordinateurs, la majorité de son activité s’adresse à des clients professionnels. « Nous
avons étudié l’évolution des comportements des consommateurs, mais nous travaillons avant tout avec des entreprises. Il est essentiel d’unir notre expertise avec le savoir-faire de nos clients pour créer de nouvelles solutions qui répondent au mieux aux défis qu’ils rencontrent, ajoute Tatsuya Tanaka. Nous cherchons donc à intégrer nos technologies pour développer des systèmes qui serviront les business models de demain. » Pour cela, Fujitsu base sa stratégie sur quatre technologies, dans lesquelles il investit massivement : le cloud, l’internet des objets, l’intelligence artificielle et la cybersécurité. « Nous avons la chance d’avoir une très grande expertise dans ces domaines, ainsi qu’une vision globale de l’environnement connecté, ajoute Tatsuya Tanaka. Je pense que si nous sommes capables de proposer à nos clients de nouveaux modèles d’affaires adaptés aux nouvelles réalités économiques, alors nous disposerons d’un avantage compétitif essentiel. »
REDÉFINIR LA FAÇON DE TRAVAILLER
Et les nouveaux business models passent par une refonte radicale des espaces de travail. C’est en tout cas la conclusion à laquelle est arrivée la compagnie après avoir mené un sondage parmi près de 1.300 directeurs de grands groupes dans 16 pays durant le 3e trimestre 2017 (voir encadré ci-contre). Il en ressort que 79 % des entreprises estiment que leur modèle actuel n’est pas assez flexible pour tirer le meilleur de leurs employés et 70 % prévoient de réfléchir à des politiques internes pour améliorer l’équilibre entre vie privée et professionnelle de leurs employés. Par ailleurs, 60 % prévoient d’adopter, ou ont déjà adopté, l’innovation ouverte ou
70 %
ÉQUILIBRE 70 % des entreprises prévoient de modifier leurs politiques actuelles afin de favoriser un meilleur équilibre entre le travail et la vie personnelle des employés.
INNOVATION 60 %
60 % des entreprises ont déjà adopté, ou prévoient d’adopter, l’innovation ouverte ou le crowdsourcing comme moyen de générer de nouvelles idées, produits et services.
49 %
WORKPLACE
49 % des entreprises croient que la disparition de l’environnement de travail traditionnel aura le plus grand impact sur la transformation du workplace en 2025. Décembre 2017 — ICT —
— 25
SOURCE The Workplace 2025 survey - CXP Group
L
56 % des entreprises affirment que leur approche actuelle de la cybersécurité a un impact négatif sur la productivité des employés.
NOUVELLES TECHNOLOGIES
26 —
— ICT — Décembre 2017
FINANCE
LA BLOCKCHAIN DANS LES RADARS Si elle ne constitue pas l’une des quatre technologies sur lesquelles Fujitsu a décidé de concentrer sa stratégie, la blockchain est bien dans les petits papiers du groupe nippon. La multinationale travaille activement depuis deux ans sur le sujet et a récemment ouvert un centre d’excellence dans ce domaine en Espagne. La priorité est pour l’instant d’axer ses recherches sur le secteur financier. Fujitsu a ainsi annoncé le mois dernier la signature d’un partenariat avec trois des principales banques japonaises, Mizuho, Sumitomo Mitsui et Mitsubishi UFJ, pour le développement d’un service de transfert d’argent entre particuliers basé sur la blockchain. « L’adoption de cette technologie dans le secteur bancaire est en train de s’accélérer, détaille la directrice du département des solutions pour les services financiers chez Fujitsu,
Elenice Macedo. Nous en entendrons très bientôt parler en Europe. » La finance constitue pour Fujitsu une sorte de rampe de lancement pour la commercialisation de solutions utilisant la blockchain, mais la société reste très attentive aux autres applications de cette technologie. « Nous faisons également partie de l’ini tiative Hyperledger, une entité qui regroupe plusieurs entreprises du monde entier travaillant sur le déve loppement de plateformes open source basées sur la blockchain », rappelle Elenice Macedo. Par ailleurs, Fujitsu dit mener plusieurs proofs of concept avec des entreprises dans les domaines du transport et de l’industrie, ainsi qu’avec le secteur public en Espagne. « Nous visons également le secteur de la grande distribution et de la santé », ajoute Elenice Macedo.
PHOTO Fabian Frinzel
le crowdsourcing comme moyen de générer de nouvelles idées, produits et services. « Le nombre de free-lances va augmenter drastiquement dans les années à venir. Le défi pour les corporations est donc de créer un écosystème qui puisse intégrer tous ces nouveaux collaborateurs en proposant de nouveaux modes de travail, notamment grâce au cloud et au développement d’appareils et d’interfaces encore plus accessibles », note Ramanan Ramakrishna, le vice-président du service Innovation dans les systèmes de management chez Fujitsu. « Dans les années à venir, les entreprises qui réussiront ne seront pas forcément les plus grosses, mais celles qui disposeront de l’écosystème le plus large et le plus efficace. » En tant que fournisseur de services IT, Fujitsu tente donc d’anticiper ce à quoi ressemblera l’espace de travail de demain. Dans une étude baptisée Workplace 2025, il définit trois grands phénomènes qui vont modifier le travail : l’hyperconnectivité, la personnalisation du cadre professionnel et l’utilisation de l’intelligence artificielle. Si les environnements actuels de travail nous dictent où et quand il faut travailler, la mobilité technologique va désormais permettre à chacun de définir soi-même ces paramètres. Et là encore, Fujitsu entend travailler avec chaque client pour offrir des services uniques. Et comme l’affirme Duncan Tait, le directeur des opérations pour l’Europe, le Moyen-Orient et l’Amérique, « le coût des solutions sur mesure n’est plus supérieur à celui de la production en série ». J.M.
addedvalue.lu
TAILORED CLOUD, CONNECTIVITY, AND COLOCATION SOLUTIONS. www.datacenter.eu
DANS LES COULISSES
CONNECTÉ
A
ujourd’hui, près de 21.000 kilomètres de fibres optiques ont été déployés et sont gérés par POST ; ce qui repré sente 1.135.800 km de câbles et fait du Luxembourg l’un des pays les mieux connectés d’Europe. Ce chiffre impres sionnant permet de fournir une connec tivité à ultra haut débit à un potentiel de plus de 169.000 foyers et entreprises dans environ 87.500 immeubles pour une couverture natio nale de 61 %. Déjà en 1986, dans le cadre des extensions de son réseau de transport entre ses centraux, POST commençait à installer la fibre optique qui constituait, à l’époque, la base d’une technologie de pointe. Et c’est à partir de 1997 que l’entreprise devint réel lement un précurseur dans ce domaine en généralisant le placement de nouveaux câbles avec fibres optiques, dans les réseaux d’accès jusque chez l’utilisateur pour tout nouveau raccordement souterrain.
28 —
— ICT — Décembre 2017
Entrepôt de POST où sont stockés les tourets de fibres optiques.
Décembre 2017 — ICT —
— 29
PHOTO Maison Moderne
DANS LES COULISSES
STRATÉGIE
TRANSFORMATION DIGITALE
Le prix de la survie Si la transformation digitale est aujourd’hui au centre du débat, c’est parce qu’il est devenu clair que la survie des entreprises en dépend. Mais que recouvrent exactement ces termes ? Et comment met-on en place un processus efficace de transformation digitale ?
30 —
— ICT — Décembre 2017
A
«
u Luxembourg, cela fait peut-être deux ans que l’on parle avec insistance de transformation digitale. C’est une matière qui est donc relativement récente. » Cette mise au point de Marc Payal, managing director chez Fujitsu, éclaire de manière parlante l’accélération des changements auxquels sont confrontées les entreprises. Si la transformation digitale était un sujet à peu près inexistant voici quelques années, plus aucune société ne peut aujourd’hui se permettre le luxe de le laisser de côté. Le sujet a en effet atteint un niveau de prégnance inouï dans les réflexions de chaque décideur luxembourgeois. Et pourtant, il n’est pas certain que chacun d’entre eux parle de la même chose. « La première chose à laquelle nous réfléchissons quand nous entamons le dialogue avec une entreprise, c’est à la définition même de la transformation digitale, indique Pascal Denis, head of advisory chez KPMG. Celle-ci comporte de multiples
facettes : parle-t-on de mettre en place des outils digitaux pour faire face à une attaque concurrentielle, de réduire ses coûts, de toucher de nouveaux marchés ? Cherche-t-on à améliorer la productivité par le biais de différentes technologies adaptées ou vise-t-on plutôt une optimisation des process internes ? » On le comprend donc assez rapidement, un projet de transformation digitale passe avant tout par un travail d’introspection et d’analyse du marché. Il s’agit de réévaluer sa stratégie en fonction des besoins actuels de ses clients, et de s’armer ensuite des outils qui permettront de la mener à bien. À cet égard, chaque entreprise et chaque secteur a ses priorités.
SE RENDRE ACCESSIBLE
Pour le citoyen lambda, le visage le plus familier de la transformation digitale est peut-être l’interface de son application bancaire. Qui, aujourd’hui, se rend encore en agence pour effectuer un paiement ? « Notre démarche de
transformation digitale a suivi un constat assez simple : les gens sont connectés en permanence et la banque se doit d’être présente sur les canaux digitaux mobiles, explique Bernard Lhermitte, COO et CIO chez ING Luxembourg. C’est une vraie lame de fond. Nos clients n’ont plus besoin des banques, ils ont besoin de services financiers. De plus, ils n’ont plus de temps pour se rendre dans une agence, sauf pour des services à vraie valeur ajoutée. Ils veulent que ces services financiers soient accessibles où et quand ils le souhaitent, à travers leur smartphone. Nous nous devions donc de répondre à cette demande en faisant en sorte de nous rendre accessibles selon les attentes de nos clients. Dans le futur, à la manière de sociétés comme Amazon ou Uber, nous devrions mettre en place des plateformes, de véritables écosystèmes, sur lesquels les clients viennent chercher des services financiers, mais aussi, pourquoi pas, non financiers… » Décembre 2017 — ICT —
— 31
ILLUSTRATIONS Maison Moderne
STRATÉGIE
STRATÉGIE ROBOTIQUE
LES NOUVELLES TENDANCES DIGITALES
Les assurances ont également compris l’intérêt stratégique de la transformation digitale pour leur activité. « Nous avons lancé l’application MyAXA en réponse aux demandes de nos clients, précise Mathieu Lafond, head of marketing & digital chez AXA Luxembourg. À travers elle, nous avons voulu que nos clients retrouvent toute l’information dont ils ont besoin de manière instantanée. Nous sommes conscients que tout le monde, aujourd’hui, est habitué à fonctionner de cette manière, avec des applications ou des services en ligne qui apportent rapidement l’information ou le contact souhaité. Plus profondément, nous pensons que tout ce qui ne comporte pas une plus-value humaine ou un conseil peut être digitalisé. »
SIMPLE QUESTION DE SURVIE ?
Alors que tout le monde semble s’accorder sur le fait que les besoins des clients et des entreprises ont évolué et que la transformation digitale n’est donc pas une lubie, les réticences à la mise en place d’un tel processus sont encore nombreuses. Pourquoi ? Sans doute parce que ces projets peuvent représenter des coûts importants et qu’on ne peut pas toujours mesurer précisément le retour sur investissement qu’ils offrent. À ce sujet, les avis divergent. « Je pense qu’on est au-delà de la question du retour sur investissement, confie Bernard Lhermitte. Ce qu’une entreprise comme la nôtre a à gagner en mettant en place un projet de transformation digitale, c’est simplement de rester dans le marché. » Pascal Denis partage cette opinion. « Il faut prendre d’emblée un autre point de vue, explique-t-il. La transformation digitale est devenue une exigence inévitable : plus personne ne peut se permettre le luxe d’éviter la mise en place d’un tel processus. » Il est vrai que certains chiffres (voir encadré p. 34) sont particulièrement parlants. Mais 32 —
— ICT — Décembre 2017
Selon Marc Payal, 2018 sera l’année de la robotique. « Mais je parle de robots software, comme ceux qui seront à la manœuvre dans les véhicules autonomes, précise-t-il. L’intelligence artificielle, greffée sur ces robots, devrait leur permettre assez rapidement d’apprendre par eux-mêmes. Il s’agit d’évolutions aux implications vertigineuses. » À ces deux technologies, Pascal Denis ajoute le big data. « C’est une technologie qui est déjà assez mûre, mais qui n’est pourtant pas encore exploitée dans beaucoup de secteurs. Nous pensons que l’analyse de données devrait prendre
doit-on pour autant renoncer à quantifier les bénéfices potentiels de la transformation digitale ? Encore une fois, ce processus est protéiforme et le calcul des retours sur investissement qu’il produit est plus aisé pour certaines de ses applications que pour d’autres. « Si l’on envisage les bénéfices que la transformation digitale peut apporter par rapport à la manière de fonctionner d’une entreprise, il existe des chiffres assez évocateurs, explique ainsi Brice Lecoustey, partner chez EY Advisory. La robotique appliquée à des tâches standard peut par exemple réduire les coûts de 25 à 35 %, particulièrement dans les secteurs de l’industrie et de la logistique. Cela dit, de manière plus générale, on ne peut évaluer les bénéfices d’un projet de transformation digitale qu’en surveillant l’éventuelle amélioration des marges dégagées. En effet, la seule augmentation des ventes ou la diminution des coûts ne signifie pas forcément qu’on gagne plus d’argent. »
ÉVOLUTION VS RÉVOLUTION
Si l’évaluation concrète du retour sur investissement peut représenter un frein à la mise en place d’un véritable processus de transformation digitale, les implications de ce processus sur l’organisation en elle-même en constituent un autre. Pascal Denis préfère d’ailleurs parler de « révolution digitale ». « Il s’agit d’un véritable changement de modèle. C’est la raison pour laquelle certaines grosses structures, avec une culture d’entreprise très ancrée dans
son envol dans les deux ou trois prochaines années. » Enfin, l’Internet of Things (IoT) et la blockchain complètent ce tableau des nouvelles tendances digitales. « Pour la place financière luxembourgeoise, la blockchain offre de nombreuses opportunités, explique Brice Lecoustey. Cette technologie réinvente en effet complètement la façon dont on réalise les transactions. Quant à l’IoT, il impactera les secteurs de la logistique et de l’industrie : on pourra notamment faire de la logistique prédictive en liant le transport de biens aux besoins des différentes entreprises. »
des pratiques d’un autre âge, éprouvent de grandes difficultés à le mettre en œuvre. Bien souvent, nos clients nous contactent pour des interventions sur un aspect spécifique de leur activité. Notre approche, c’est de les pousser à adopter une nouvelle culture d’entreprise qui touche tant aux technologies qu’aux processus internes. Cela implique évidemment un important travail de dialogue avec le client, pour parvenir à les sortir de leur zone de confort. Nous nous définissons donc comme des agitateurs, car nous pensons que c’est le rôle des intervenants extérieurs de bousculer les codes. » Chez EY, on ne pense pas autrement. « Si l’on souhaite que l’entreprise que l’on conseille embrasse réellement la transformation digitale, il n’est pas seulement question de mettre en place des nouvelles technologies, indique Brice Lecoustey. Il faut également aménager des processus internes permettant de faire incuber les idées au sein même de la société. Pour y parvenir, il faut arriver à introduire dans le chef des employés une certaine confiance par rapport au sujet. Le but est de leur faire comprendre qu’ils peuvent acquérir de nouvelles compétences, plutôt que de vivre dans la crainte par rapport à ce processus inévitable. Sans cela, l’entreprise va rencontrer des blocages continuels et mettre en péril sa transformation. C’est pour cette raison que, chez EY, nous considérons la transformation digitale comme un processus end-to-end, et pas comme une intervention ciblée et ponctuelle. » Certains, pourtant, préfèrent parler d’évo-
STRATÉGIE
lution constante que de révolution. C’est le cas de Marc Payal qui, avec Fujitsu, revendique la paternité d’une méthodologie de transformation digitale aujourd’hui utilisée par de nombreuses sociétés. « Il est clair que certaines entreprises qui ont collaboré avec nous ont changé leur manière de travailler. Mais nous pensons que transformer une entreprise de fond en comble n’est pas toujours souhaitable. En entendant tout le bruit qu’on fait autour de la transformation digitale, l’utilisation des termes ‘ disruption ’, ‘ révolution ’, je pense régulièrement à une citation de Bill Gates, qui expliquait qu’on surestime toujours les changements qui auront lieu dans deux ans, en sous-estimant ceux qui se produiront dans dix ans. Je crois qu’au lieu de parler de révolution en cours ou imminente, il est préférable de maintenir une veille technologique constante et d’évoluer de manière continue. »
AGILE IS THE NEW TRACK
Chez Fujitsu Technology Solutions, on travaille depuis quatre ans sur une méthodologie permettant de réaliser avec succès un processus de transformation digitale qui dépasse la production d’un simple carnet de recommandations et fournit plutôt des solutions technologiques concrètes aux clients. Celle-ci se base sur la co-création interne et la méthode Agile, devenue depuis lors un incontournable pour les sociétés travaillant sur la transformation digitale de leurs clients. « Nous avons tâtonné pour créer notre méthodologie, à un moment où personne ne parlait de ça, détaille Marc Payal. Finalement, nous avons défini une méthode en quatre étapes, dont la dernière fonctionne sur le principe de l’itération. Dans un premier temps, nous demandons aux patrons ou décideurs d’identifier quelques challenges qui se présentent à eux et qui pourraient être résolus par une solution digitale. Ensuite, nous réunissons des membres du personnel de cette entreprise dans nos locaux, coachés par des employés anglais de Fujitsu, pour une question de neutralité. Il s’agit de réunir une équipe multidisciplinaire, composée d’employés représentant toutes les activités de l’entreprise, du secrétariat aux ressources humaines. Certaines idées originales émanent
34 —
— ICT — Décembre 2017
en effet de personnes à qui on ne donne généralement pas la parole. Dieu sait que certains ne sont pas toujours heureux quand ils arrivent dans nos locaux, parce qu’ils pensent qu’ils vont perdre leur temps… Mais à 17 h, tout le monde ressort très enthousiaste. Cette étape de co-création est essentielle et permet de tisser des liens entre des employés qui, parfois, ne se connaissent même pas. » Les idées sont alors rassemblées dans un formulaire prédéfini, et les meilleures sont sorties du lot pour répondre aux besoins de l’entreprise. S’en suit l’élaboration d’un prototype concret – par exemple une application – qui permet de visualiser la solution technologique proposée pour répondre aux challenges évoqués à la première étape. En suivant une méthode Agile, la dernière étape consiste à développer réellement le produit – un MVP (minimum viable product) dans un premier temps – et à l’affiner en organisant des sprints de trois semaines, répétés 7, 8 ou 9 fois. La méthodologie a fait ses preuves et peut, selon Marc Payal, convenir à des entreprises de toute taille, « même s’il y a un seuil en dessous duquel cela ne fait plus de sens ». Cette sollicitation des forces internes de l’entreprise est également préconisée par Brice Lecoustey, tout comme l’utilisation d’une méthode Agile. Dans d’autres structures, on utilise aussi cette méthode, mais sous des modalités différentes. « Il y a trois ans, nous avons créé le Khube, un hub qui met en relation nos clients traditionnels avec des start-up, des fintech, des cloud companies, explique Pascal Denis. En travaillant en mode Agile, ces différents acteurs échangent jusqu’à l’élaboration d’un proof of concept. C’est une procédure win-win : les start-up et fintech cherchent des clients et les grosses entreprises ont besoin des compétences des start-up. » Enfin, ING Luxembourg, tout en optant pour une organisation interne Agile, préconise également le partenariat avec des fintech capables de fournir des innovations intéressantes pour l’activité bancaire.
ET L’HUMAIN ?
Si l’on parle toujours avec beaucoup d’enthousiasme des opportunités de la transformation digitale, une question sous-jacente demeure : que fait-on de l’humain dont les tâches sont
ANALYSE
UNE QUESTION DE PÉRENNITÉ Un tiers des grosses entreprises ne survivront pas au-delà des 25 prochaines années. Pour Pascal Denis, c’est l’échec de la transformation digitale qui expliquera en grande partie la disparition de ces structures. « Ce n’est pas de la science-fiction, il n’y a qu’à considérer le cas de sociétés comme Kodak par exemple », explique-t-il. D’ici 2018, 45 % des entreprises qui grandiront le plus vite utiliseront des smart machines. « Ce chiffre illustre l’importance de l’intelligence artificielle pour le back office ou la supply chain », indique Brice Lecoustey. Toujours selon lui, 75 % des compagnies doivent opérer des changements digitaux si elles veulent maintenir leurs marges.
« libérées » par la digitalisation ? « Les gens qui s’occupaient de tâches répétitives devront se recycler pour prendre en charge un travail à valeur ajoutée, estime Marc Payal. C’est une réalité qu’on a déjà vécue dans le passé, avec chaque évolution technologique. Ces personnes doivent dès aujourd’hui penser à leur reconversion, car la robotique et l’intelligence artificielle vont impacter beaucoup de secteurs dans un futur vraiment très proche. » Dans certains secteurs, on se veut moins alarmiste. « Le monde de l’assurance aura encore besoin, pour un moment, d’intermédiaires capables de conseiller sur certains produits spécifiques, comme les assurances-vie par exemple, explique Mathieu Lafond. En outre, nous avons également un devoir de conseil sur les aspects légaux de nos contrats. Ces technologies ne peuvent pas encore être remplacées par les technologies actuelles. » Pas encore, mais jusqu’à quand ? Q. D.
Accept the risk, think and re-think every detail, find the way. And execute. Think and Act wavestone-advisors.com
CONSEILS CYBERSÉCURITÉ
7 VACCINS POUR ÉVITER L’INFECTION Chacun a un rôle à jouer, dans son organisation ou entreprise, pour protéger les données des clients. Pour éviter les ennuis, des mesures élémentaires et simples, conseillées par le Cases, à mettre en œuvre doivent être prises.
1.
2.
3.
Faites une analyse des risques
Protégez votre vie privée
Protégez vos smartphones et tablettes
Pour se protéger efficacement, il faut avoir une idée la plus précise possible de ce qu’on veut protéger. Les actifs d’une entreprise sont très diversifiés et peuvent avoir des vulnérabilités très différentes. Les mêmes actifs peuvent exiger des protections très différentes selon le secteur d’activité dans lequel on opère. Par exemple, les données personnelles d’un médecin exigent une protection très forte de leur confidentialité, car elles sont extrêmement sensibles (secret médical), tandis que les données d’un géomètre doivent être protégées au niveau de leur intégrité, mais leur confidentialité est moins critique que celle des données médicales. Le nouveau centre de compétences C3 offre aux entreprises la possibilité d’effectuer leur analyse de risques gratuitement, et d’accéder à différentes formations leur permettant de renforcer leur sécurité.
Elle doit être mieux protégée que votre compte en banque ! Or, les services en ligne et les réseaux sociaux collectent une quantité impressionnante de données personnelles. Chaque application installée sur votre smartphone accède à certaines de vos données. Il faut se poser au minimum quatre questions lorsqu’on les installe : Ai-je vraiment besoin de cette application ? Les permissions demandées par l’application sont-elles pertinentes et légitimes par rapport au service rendu ? Puis-je limiter ou paramétrer les données récoltées selon mes besoins réels ? L’éditeur de cette application est-il un acteur de confiance ? Si vous répondez non à l’une d’elles, ne l’installez pas. Certaines applications demandent la permission d’accéder aux contacts, aux messages ou encore à la localisation de ses utilisateurs… Des informations qui n’ont souvent aucun lien avec le service rendu !
Ces appareils mobiles peuvent poser de gros problèmes, justement parce qu’ils sont mobiles. En effet, ils contiennent autant, voire davantage d’informations personnelles qu’un ordinateur classique, mais ils peuvent être perdus ou volés beaucoup plus facilement. Il est donc important de prendre le maximum de précautions possibles pour verrouiller l’appareil et les données qui s’y trouvent en cas de perte ou de vol.
36 —
— ICT — Décembre 2017
6.
CONSEILS
Ouvrez l’œil !
4.
5.
Les appareils mobiles, tablettes et smartphones sont de plus en plus utilisés par les employés pour accéder à des données professionnelles. Le raz-de-marée du BYOD (« bring your own device ») se fait parfois d’une manière non contrôlée, ce qui implique que les entreprises n’ont pas une visibilité claire des applications professionnelles que leurs employés utilisent, ni du contexte de cette utilisation. La première chose à faire est de mettre en place une politique explicite et claire concernant l’utilisation d’appareils mobiles dans un cadre professionnel.
Les mots de passe sont les fondements de votre sécurité : ils doivent être complexes, difficiles à deviner et ne doivent ni être prêtés, ni réutilisés. D’après la dernière étude du Statec, 11 % des internautes n’utilisent qu’un seul mot de passe pour toutes les applications. C’est peu, mais c’est déjà trop.
ILLUSTRATION Maison Moderne
Mettez en Utilisez des place une mots de passe « BYOD policy » solides
Pour en savoir plus : www.cases.lu Rechercher un article : BYOD : un risque et une opportunité en même temps
Adoptez nos conseils pour créer les mots de passe les plus solides : www.securitymadein.lu/en/news/tag/password
Les indices d’une attaque informatique se dissimulent parfois dans une masse de données et d’événements anodins. Il faut arriver à les identifier rapidement pour faire un diagnostic précis. Il arrive régulièrement que des événements inhabituels se produisent, sans aucune conséquence immédiate. Il ne faut pas les négliger, car il peut s’agir de manœuvres préliminaires à une attaque d’envergure. Voici 10 cas de figure qui devraient vous alerter : vous recevez une alerte de votre antivirus ; la homepage de votre navigateur a été modifiée, ou bien votre navigateur vous mène à des pages que vous ne vouliez pas visiter ; vous trouvez de nouvelles applications, programmes, ou comptes sur votre ordinateur sans les avoir créés ; votre ordinateur devient instable et des « plantages » se produisent régulièrement ; vous trouvez des icônes provenant d’applications inconnues ; un programme vous demande l’autorisation d’effectuer des changements à votre système alors que vous ne l’avez pas installé ; votre mot de passe ne fonctionne plus lorsque vous essayez de démarrer votre ordinateur ou bien de vous connecter à un service en ligne ; vos amis vous demandent pourquoi vous les « spammez » alors que vous ne leur avez rien envoyé ; votre téléphone portable ou tablette génère des frais de SMS premium que vous n’avez pas demandés ; votre smartphone consomme soudainement une grande quantité de données et/ou sa batterie se vide très rapidement.
7.
Faites des back-up
En effet, les ransomwares pullulent et font de nouvelles victimes chaque jour. Comme il n’existe aucun moyen vraiment sûr de s’en prémunir, la seule solution est de réaliser des back-up réguliers et déconnectés, afin de pouvoir récupérer une copie des documents qui auraient été chiffrés par un ransomware.
Décembre 2017 — ICT —
— 37
FINTECH
MOYENS DE PAIEMENT
La mutation du portefeuille Entre innovations technologiques et évolution des attentes des clients comme des marchands, le secteur financier voit émerger de nouveaux moyens de paiement. Quels sont-ils ? Et que peut offrir le Luxembourg à ceux qui les développent ?
A
lors que le développement des fintech dans leur ensemble s’est accéléré ces dernières années, certaines jeunes pousses ont choisi d’investir plus particulièrement le créneau du paiement. Avec des solutions innovantes, elles facilitent les transactions, transforment nos habitudes de consommation. Si la carte bancaire demeure le moyen de paiement le plus utilisé au Luxembourg, de nombreuses solutions de paiement alternatives entrent aujourd’hui en concurrence avec elle. Ces dernières répondent à de nouveaux besoins exprimés par les clients et les marchands, en s’appuyant sur les récentes évolutions technologiques.
SUR TOUS LES CANAUX, ET VITE
Les nouvelles technologies, et particulièrement la généralisation de l’usage du smartphone, ont contribué à transformer les modes de paiement, chaque transaction pouvant désormais être effectuée via une large variété de canaux. D’après la dernière enquête annuelle Digital Payments Study menée par Visa, 60 % des résidents luxembourgeois ont déjà utilisé un service « card on file », un service de paiement mobile ou un portefeuille numérique tel que PayPal. « Aujourd’hui, le client veut pouvoir payer où qu’il soit, à n’importe quel moment, non plus seulement en passant par un terminal physique, mais également via le web ou une application mobile », explique Damien 38 —
— ICT — Décembre 2017
Estrade, head of business development chez 3C Payment. Du côté des commerçants, les attentes sont similaires. « De plus en plus de marchands vendent désormais à la fois en magasin physique et à travers une plateforme e-commerce. Ils souhaitent donc pouvoir s’appuyer sur des solutions qui leur permettent de gérer plus facilement l’ensemble de leurs flux de paiement », précise Luc Holper, managing director de Six Payment Services. Quel que soit le canal privilégié, le paiement doit aussi pouvoir être effectué le plus simplement et rapidement possible, sans délai. « On va vers une ‘instantanéité transactionnelle’, tout en prenant en compte les fortes contraintes sécuritaires », déclare Damien Estrade. La mise en place, l’an dernier, du paiement sans contact au Luxembourg est un premier pas vers une expérience utilisateur améliorée, plus fluide. Avec les cartes équipées de la technologie NFC émises par les banques, fini de valider la transaction via un code. Il suffit de passer la carte à moins de 10 centimètres d’un terminal de paiement compatible pour qu’elle soit débitée. Le développement du paiement biométrique, à travers des cartes intégrant un lecteur d’empreinte digitale ou des terminaux dotés d’un logiciel de reconnaissance faciale ou d’authentification de l’iris, par exemple, permettrait également de mieux sécuriser, mais aussi de faciliter et accélérer le processus de paiement.
Les géants du web l’ont bien compris. Amazon et Alibaba, notamment, testent depuis plusieurs années déjà ces nouveaux modes de paiement. Dans ce contexte, « le challenge, pour les entreprises actives dans le domaine du paiement, et particulièrement pour les fintech, consiste à trouver le bon équilibre entre innovation, sécurité maximale, rapidité de paiement, confort d’utilisation et valeur ajoutée pour le consommateur », souligne Luc Holper.
BLOCKCHAIN, MACHINE LEARNING ET BIG DATA
Si la carte bancaire évolue, c’est aussi pour mieux faire face à la concurrence induite par le paiement mobile. « Nous sommes entrés dans une ère de dématérialisation des cartes et des terminaux », indique Luc Holper. « On prévoit une forte croissance des méthodes de paiement alternatives. Apple Pay, Android Pay, mais également les solutions WeChat Pay ou Alipay, tout droit venues du marché chinois, sont en pleine expansion, avec toutes les opportunités que cela représente pour le marché », ajoute Damien Estrade. La directive européenne PSD2, qui oblige notamment les banques à ouvrir l’accès aux données des comptes de leurs clients à des acteurs tiers, va d’ailleurs dans ce sens. « Le texte cherche à créer un marché unique au niveau des paiements et, d’une certaine façon, à permettre le déploiement de nou-
veaux moyens de paiement. On devrait donc voir apparaître des alternatives à la simple carte de crédit, qui est aujourd’hui encore utilisée dans la majorité des cas, que l’on réalise des transactions sur internet ou en magasin », souligne David Hagen, premier conseiller de direction à la CSSF. Au cours des prochaines années, le domaine du paiement devrait encore connaître d’importantes évolutions. Cloud, big data, blockchain, intelligence artificielle… Toutes ces technologies émergentes, bien représentées à Luxembourg, constituent un levier de croissance important pour les acteurs de la fintech qui imaginent de nouveaux moyens de paiement. « Comme de nombreux acteurs économiques, les fintech ont un intérêt à se positionner désormais sur l’exploitation des données, pour notamment mieux aider les marchands à améliorer l’expérience offerte au client », indique Damien Estrade. La société HiPay, par exemple, s’est engagée dans cette voie. En exploitant la puissance des données, cet acteur français fait du paiement non plus une simple étape dans le processus d’achat, mais un véritable moyen, pour le marchand, d’optimiser ses performances commerciales. Parallèlement, l’intelligence artificielle pourrait devenir un outil d’assistance pour les opérateurs de paiement. « Certains commencent à pro-
poser un support lié aux problématiques de paiement ou concernant les terminaux via des robots intelligents, plutôt que via un customer service traditionnel, tel que nous le connaissons », souligne encore Damien Estrade.
LE LUXEMBOURG, UN TERREAU FERTILE
L’utilisation de ces technologies amène toutefois son lot d’interrogations, notamment en matière de régulation des acteurs, de protection et de sécurité des données. Le L uxembourg, soucieux de développer un cadre légal régissant clairement tous les acteurs du paiement, n’a pas attendu pour se pencher sur la question. « Face aux produits fintech que l’on voit apparaître sur le marché, liés à la blockchain, aux robo-advisors, au data mining, etc., nous avons constitué un groupe de travail afin de discuter de la nécessité ou non de les réguler et, dans l’affirmative, de voir comment nous pouvons le faire, explique David Hagen. Au cas par cas, nous regardons les éventuels risques que peuvent présenter ces nouvelles initiatives, nous étudions ce qui les différencie d’une activité financière traditionnelle et, sur cette base, nous déterminons si l’on peut utiliser des cadres réglementaires existants, ou bien s’il faut les adapter ou en définir de nouveaux. »
Si la CSSF opte pour une position ouverte à l’égard de ces évolutions technologiques et des nouveaux modes de paiement, c’est toujours en veillant à garantir le respect du cadre réglementaire en place. « Nous ne sommes pas en train de détourner l’esprit des directives ou de mettre en place des cadres spécifiques pour les fintech au Luxembourg, précise David Hagen. Les acteurs innovants qui s’installent au Grand-Duché sont plus intéressés par le passeport européen que par le marché local. C’est donc notre interprétation de la réglementation européenne qui compte. » Alors que plusieurs capitales rivalisent pour devenir attractives aux yeux des fintech, le Luxembourg, outre sa proactivité en matière de réglementation, dispose des atouts nécessaires pour devenir l’un des principaux hubs dans le domaine du paiement. « Place financière reconnue et pôle de référence dans l’IT, le Grand-D uché regroupe des acteurs bien établis dans le secteur financier et des jeunes pousses innovantes, créant ainsi un mélange dynamique, commente Luc H olper. À cet égard, le Grand-Duché constitue une plateforme très intéressante pour les fintech désireuses de développer les solutions de paiement de demain et de les exporter dans d’autres pays européens. » J. R. Décembre 2017 — ICT —
— 39
ILLUSTRATION Maison Moderne
FINTECH
RESSOURCES HUMAINES RECRUTEMENT
Toujours en manque Les développeurs restent de loin les profils les plus prisés par les entreprises IT au Luxembourg. Cette pénurie ne fait pourtant pas forcément monter les salaires. La compétition se joue ailleurs. BENCHMARK Salaires bruts annuels en milliers d’euros
90 80
COMMERCE ET GESTION
190 Directeur commercial 105.000 € – 185.000 €
180 170 160 150 140 130 120
Gestionnaire de projet – développement logiciel 62.400 € (jusqu’à 10 ans d’expérience) – 120.000 € (plus de 10 ans d’expérience)
110 100
Architecte de solutions 55.000 € – 83.000 €
Gestionnaire d’incidents 42.000 € – 82.000 €
70 Développeur Java ou PHP 48.000 € – 66.000 €
Administrateur système 39.600 € – 68.880 €
60 50 40 30 20 10 0
40 —
— ICT — Décembre 2017
R
ien de nouveau sous le soleil. Le secteur ICT fait toujours face aux mêmes défis en termes de recrutement, les développeurs étant en tête des spécialistes les plus difficiles à trouver. C’est en tout cas le constat dressé par Nicolas Hurlin, founding partner du cabinet de recrutement spécialisé dans l’ICT, The Recruiter. « Le marché est toujours très tendu pour ce type de profils, car la pénurie n’existe pas seulement au Luxembourg, mais dans toute l’Europe et même au-delà », explique-t-il. Contrairement à ce que l’on pourrait croire toutefois, les salaires restent stables, s’élevant à 45.000 euros bruts/an pour les profils en début de carrière pour se stabiliser ensuite entre 50.000 et 60.000 euros bruts/an en moyenne. « La clé n’est pas la rémunération, mais l’environnement de travail et surtout la nature des projets proposés, continue Nicolas Hurlin. Les développeurs sont très sensibles aux technologies sur lesquelles ils seront amenés à travailler. Si celles-ci sont anciennes et n’ont pas d’avenir, ils passeront leur chemin. »
200
Les commerciaux et les administrateurs système sont également des profils très recherchés au Luxembourg. Leur recrutement répond toutefois à deux réalités bien différentes. Pour les premiers, la maîtrise des langues est un facteur-clé pour l’embauche. La compétition n’est donc pas aussi internationale que pour les développeurs, qui ne devront parler que l’anglais. Pour les seconds, le bassin de candidats disponibles dans la Grande Région permet de combler la demande, même forte, sans trop de difficultés. Plus généralement, les besoins de compétences plus ou moins avancées dans le domaine informatique sont en constante croissance. L’une des solutions pour les entreprises reste la formation continue. J. M.
SOURCE The Recruiter
LES SALAIRES IT
CARTES BLANCHES
11 1010 01 1100 1000 101 11010 010 0 1 1000 0 11 10010 0 110 1 0 1 0 1 1 0 1 10 1010 11 1010 0 111 110 11010 100 1000 1 1 010 0 1 0 1 1 1 01 100 1100 000 1111 1111 000 1 11 010 11 10 0 100 00 0 0 1 0 0 1 0 0 0 0 0 1 0 0 1 0 0 11 1101 11 100 11 11 1101 110 0100 01 11 0 10 000 0 1 1 0 1 0 0 0 0 1 0 111 000 0 11 010 11 100 0 0 11 0100 11 0 1 1 0 1 1 0 1 1 0 0 010 110 0 110 0010 0110 00 100 000 00 110 01000 110 100 1 1 0 0 0 1 1 0 1 10 0 10 01 00 101 0 110 1010 0010 1 0010 0010 10010 11110 1001 0100 0 1 0 0 1 1 1 1 1 11 1101 11 10 010 01000 1 0 1 111 00 1 10010 10 0 1 1 1 0 1 0 1 1 0 0 1 0 0 1 0 1 0 1 1 111 000 11001 1100 0100 0100 100 100 010 101 1 1 0 1 1 1 0 0 010 0100 1000 000 1 0 10 111 111 1111 110 110 1 0 0 0 1 0 0 1 1 00 1001 001 0 00 1000 010 10 0 1 100 1001 0 111 100 1 1 1 1 1 0 100 0 1 0100 1100 1100 0100 1100 1100 0 0 0 1 0 0 0 1 1 0 1 00 11 0010 1111 0 100 10 100 1111 0 000 0 01100 1001 100 0 0 1 0 0 1 1 0 0 1 1 0 1 1 0 0100 111 10 1010 1001 00 10 0 10 110 0 1 1 1 1 1 0 1 1 1 1 0 1 1 0 0 00 0 100 11 010 00 0 010 0001 111 11010 000 0100 1101 1 0 0 1 0 1 0 1 0 11 101 1101 00 100 111 00 110 111 0 101 0 10010 1 1 1 1 0 0 1 0 0 0 1 1 1 0 0 1 0 1 0 1 1 110 010 00100 0 10 0010 0010 100 1 0 1 0100 100 0 111 0 1 0 0 1 0 1 1 0 0 0 1 1 0 1 11 010 10 0 111 11001 000 0 0010 0 11001 10 0 1 0 0 0 0 1 1 1 0 1 1 0 0 0 11110 0 101 1100 101 10010 100 1 1111 1001 0 01000 11001 0 1 1 1 0 0 0 11 10 1 1100 00 1 1 0010 1111 10 000 10100 1 10010 1 0 0 0 1 1 1 0 1 000 11110 0 0 1 1 1 0 1 0 0 0 1 0 11 0 0 0 0 1 0 1 0 1 1 1 1 11 1101 0010 0100 00 11 11 00 1000 1111 0 0 0 0 0 0 1 010 0 1 0 1 0 1 1 0 0 0 1 1 1 1 0 00 0 01 10 0 01 10 01 10 00 010 010 1000 1010 100 1001 110 1000 1001 110 110 0 11 1100 0100 10001 0 10 10 10 10 10 0 10 10 10 10 10 110 1111 1111 1111 010 1111 1111 1100 1100 1100 1100 00 1
RÉGLEMENTATION
Comment conjuguer les impératifs de la GDPR aux différents secteurs ? La réglementation générale sur la protection des données (GDPR) sera applicable à tous les membres de l’Union européenne dès le 25 mai 2018. Chaque pays sera ainsi soumis aux mêmes obligations de protection des données à caractère personnel. Les experts livrent leurs conseils pour bien se repérer. 42 —
— ICT — Décembre 2017
0
CARTES BLANCHES
0 0
THEMIS LEX
VERSUSMIND
« Le compte à rebours a commencé »
0
A
Bertrand Moupfouma Associé Themis Lex
D
ans sept mois, la « tempête » annoncée du General Data Protection Regulation (GDPR), ou réglementation générale sur la protection des données, sera ressentie par tous les acteurs de l’Union européenne collectant des données personnelles et par les entités hors UE qui collecteraient les données des citoyens situés dans l’UE. Pour mémoire, le GDPR prévoit deux types de sanctions pour les entreprises en cas de non-respect : des amendes administratives pour un montant allant de 10 à 20.000.000 € ; ou bien 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Eu égard à ces lourdes sanctions, il est nécessaire de l’anticiper et de se mettre à niveau. C’est pourquoi un audit interne s’impose aux fins de déterminer à quel titre l’entreprise traite les données (sous-traitant ou responsable de traitement) afin de savoir : s’il y aura obligation de nommer un délégué de la protection des données ; les catégories de données traitées, car les obligations du GDPR varient selon que celles-ci sont considérées comme sensibles (santé, politiques, religieuses) ou non ; les objectifs poursuivis par les différentes opérations de traitement afin de savoir si celui-ci nécessite ou non le consentement de la personne concernée ; la licéité des traitements ; la localisation des données traitées, leur mode de stockage, leur mode de sécurisation de transfert et d’effacement ; si une étude d’impact est nécessaire.
« Répondre au principe ‘d’accountability’ »
Cet audit sera utilement complété par la mise en place des mesures suivantes : la nomination éventuelle d’un délégué de la protection des données par le responsable du traitement ou d’un responsable en charge de la conformité de l’entreprise avec le GDPR ; l’information immédiate des personnes, dont les données sont collectées, sur leurs droits (d’accès, de rectification, de limitation, droit à l’oubli, d’opposition à la prospection et au profilage, etc.) au sein des contrats tels que les CGV ou CGU ; vérifier en tant que responsable de traitement si des sous-traitants interviennent dans le traitement et la gestion des données et dans l’affirmative, s’assurer que leurs services soient conformes au GDPR ; vérifier les contrats de service pour déterminer où les données sont stockées et si elles sont traitées en dehors de l’UE ; la mise en place d’un « registre des activités de traitement » pour les entreprises de plus de 250 employés ; l’adoption des mesures techniques de chiffrement et de pseudonymisation des données traitées et d’une procédure de gestion des risques pour détecter, signaler et investiguer en cas de violation des données ; la mise en place d’une charte interne incitant les employés à de bonnes pratiques concernant le traitement des données personnelles. Le compte à rebours a commencé, il est imprudent de ne pas anticiper.
vec le GDPR, le principal challenge pour toute entreprise stockant et utilisant des données personnelles sera d’obtenir de chaque individu un consentement libre, spécifique, éclairé et univoque pour chaque traitement qu’elle voudra en faire et de pouvoir en apporter la preuve pour répondre au principe « d’accountability ». À titre d’exemple, citons un de nos clients spécialisés en e-commerce qui s’inquiétait des conséquences de cette nouvelle norme pour ses ventes en ligne. Les données récoltées sur son site étaient utilisées pour la facturation, mais également dans le cadre de campagnes marketing et jusqu’ici, il utilisait toutes les données via un accord implicite repris dans ses conditions générales de vente. De nombreux clients nous ont également fait part de leurs problématiques face à ce sujet. Notre équipe d’experts dédiée au GDPR a alors entamé un travail de réflexion afin de bien identifier tous les enjeux liés à ces points et trouver une solution technique pour y répondre. C’est ainsi que nous avons développé une plateforme permettant la demande et la gestion des traitements et consentements ainsi que leur consignation dans un registre. Développée sous la forme d’une API, elle est compatible avec
toutes les plateformes type CRM ou web. Une fois mise en place, l’entreprise a alors la main sur l’enregistrement de ses traitements, ses demandes de consentements et leur consignation, mais surtout sur l’automatisation des demandes de modifications de la part des propriétaires des données personnelles et de leur prise en compte. En cas de contrôle, la plateforme permet d’éditer un journal avec un suivi précis de toutes les opérations traitées. Notre équipe se concentre maintenant sur la mise en place d’un service de DPO mutualisé afin d’être prochainement en mesure de proposer ce service aux sociétés qui ne pourront pas en avoir un à temps plein. Au-delà d’intervenir depuis une dizaine d’années dans la conception et la perfection de l’architecture numérique de nos clients, nous avons développé la marque Versusconsulting afin d’accompagner toute entreprise, quels que soient sa taille ou son domaine d’activité, dans une réflexion globale sur sa gestion des traitements de données et sur sa mise en conformité avec le GDPR. Nous intervenons, depuis la réflexion initiale, via un audit complet, jusqu’à la mise en place de solutions techniques innovantes afin de leur éviter de lourdes sanctions.
Benoît Koch Président Versusmind
Décembre 2017 — ICT —
— 43
CARTES BLANCHES NEOWITAN
DATACENTER
« Le data center, un choix primordial »
« Informer l’ensemble des collaborateurs » A
Janin Heniqui Product manager Datacenter Luxembourg
L
e cloud, les infrastructures distribuées et l’intelligence artificielle ont radicalement changé la manière d’acheter, de livrer et d’utiliser les technologies de l’information et de la communication. Les clients ne souhaitent plus rester propriétaires de leur matériel informatique, mais préfèrent souscrire à des abonnements de services IT virtualisés qui sont en réalité produits, gérés et vendus par un ensemble de fournisseurs spécialisés dans leur domaine spécifique de la chaîne de production et de distribution. Ce nouveau mode de production et de consommation de services IT virtualisés obligent les clients IT à se reposer sur des accords signés avec seulement le dernier maillon de la chaîne de distribution, généralement les intégrateurs de système. Or, la réalité montre que les fournisseurs de services IT ne peuvent donner des garanties que par rapport à ce qui est sous leur contrôle direct. C’est ainsi que l’on voit apparaître les gaps de sécurité et les failles dans la chaîne de valeur qui ne peuvent être maîtrisés que si les parties impliquées dans la production et la distribution des nouvelles technologies IT sont toutes soumises à un cadre légal réglementant de façon adaptée et efficace les questions des droits du consommateur et de la protection des données personnelles.
44 —
Le récent incident auprès de la société d’évaluation de la cote de crédit de personnes et d’entreprises Equifax, qui a impacté de centaines de millions de personnes, témoigne des conséquences désastreuses et des dangers auxquels les consommateurs privés et professionnels s’exposent lorsqu’ils utilisent un service produit en partie ou en entier dans un pays où le législateur n’a pas mis en place un cadre légal contraignant par rapport à la protection de données personnelles. Dans la plupart des cas, les consommateurs n’ont pas de visibilité sur l’ensemble des parties impliquées dans la chaîne de valeur et s’ils ne sont pas secondés par un prestataire de confiance, il leur sera quasi impossible d’évaluer comment leurs données sont traitées, par quelle partie et à quel niveau. Partant de ce constat et sachant que la plupart des accords de niveau de service ne garantissent que la disponibilité du service, il est fortement conseillé aux consommateurs de services IT virtualisés de veiller eux-mêmes à la sécurité de leurs données en s’assurant que leurs bases de données soient toujours hébergées dans des centres de calculs de proximité et sauvegardées sur des systèmes de bonne qualité.
— ICT — Décembre 2017
fin de conjuguer les impératifs des différents services, la plupart des grandes entreprises ont déjà une vision assez commune de leur planification du GDPR. Elles savent d’ores et déjà qu’il convient de désigner les pilotes (un délégué à la protection des données doit être en poste pour le 25 mai 2018, avec parfois un comité de risques et compliance, et un chef de projet IT). Elles vont identifier et cartographier les traitements des données, définir la priorité des actions avec les différents services et gérer les risques pour enfin organiser les procédures et documenter la conformité. Or, notre expérience dans le project management nous amène à constater qu’à l’occasion de nouveaux projets, qu’ils soient actionnés par des enjeux stratégiques ou alors réglementaires comme le GDPR, les chantiers sont souvent mis en route en vase clos sans que l’ensemble des collaborateurs n’en soient informés, et cela peut durer des mois avant qu’une séance d’information ne soit organisée en interne.
Olivier Reichling Business development manager NeoWitan
Nous pensons qu’à la veille de l’échéance du GDPR il est impératif pour les entreprises de mener une campagne interne d’information et de sensibilisation de l’ensemble des collaborateurs le plus tôt possible. Ce dialogue peut être entrepris dès la validation du projet sous forme d’une séance d’information générale par exemple. Cette formation permettra de s’assurer que tous les collaborateurs, ayant ou non un accès direct aux données sensibles, recevront une information (dans les limites admises), transparente et uniforme sur les enjeux de la nouvelle réglementation. Les prestataires externes ont également une carte à jouer. En tant que société de services, nous recevons une demande croissante des entreprises pour les soutenir dans leur mise en conformité0au 0 1 00 0 GDPR. Nos propositions 101vont 110 1010 10 du simple logiciel d’audit de la 100 1 0 1 1 mise en conformité (PIA) des 111 en10 systèmes d’information, 0 0 100 100 1 110des passant par la sécurisation 0 0 11 1100 1000 data center jusqu’au consultant 0 0 en data privacy. 010 111
11 00 0 01 1101 0 1 1 11 0 11 100 10 100 0 1 0 11 0 010 1 0 1 1 1 1 111 100 111 0 1 0 110 110 1 1 1 00 0 1 00 100 010 100 1 10010 0 1 110 100 0 110 1000 10 0 11 00 110 1010 111 1 00 111 1000 0 11 0 1 0 110 0 10 0100 0 1 1 1 111 1000 1100 0 110 100 100 0 0 0 11 110 110 0
CARTES BLANCHES TELINDUS LUXEMBOURG
CLAW
« On ne sait jamais à quoi ça peut servir »
« La protection de la vie privée est une responsabilité commune » L
Raymond Faber Avocat à la Cour, partner Claw
C
ontrairement à certaines idées reçues, la protection des données personnelles concerne tous les secteurs et tous les organismes, publics et privés, indépendamment de leur taille. Peu importe, par ailleurs, que les données personnelles qu’on y traite soient sensibles ou non. Il est juste qu’en fonction du secteur, les données peuvent être plus ou moins sensibles (secteur de la santé, secteur bancaire et des assurances…) et l’exercice de mise en conformité par rapport à la réglementation européenne sur la protec00 0tion 1 00 0 1 010 0 des données personnelles 1 1 (GDPR) plus compliqué à réali11 110 100 ser puisqu’il faut intégrer dans 00 1 00 les législations secto00l’analyse existantes. 1 10 011 0 rielles 0 110 001 100 0010Technologiquement, quasi 0 est possible aujourd’hui 11 tout 100exécuter des traitements 001 0 pour 0 11 les plus simples aux plus com00 plexes. 100 Il n’a par ailleurs jamais 0 0 0 0 1 1 été plus 0 simple de récolter et 1 0 1traiter 111 0 0 de 0 10 00 des masses de don0 0 1 1 nées 1 toujours croissantes. Une 0 111 1110des raisons étant que la sensi1 11 0 0 bilisation des citoyens, consom0 11001 0 mateurs, clients, patients… aux 01liés 10 risques 0 0 à la communication, 1 0 11 00 1volontaire ou involontaire, de 0 1 0 10 001données personnelles, bien 0 0 1 1 qu’augmentant lentement, reste 101 10 bien0trop 100basse. Cette constel 0 0 0 1 1 01 11 11lation 1 110 est tentante, car si ces 11données existent déjà, autant 0 0 0 0 0 les0utiliser, non ? 10 10
0 0 0 110 110 11010 0 111 100 001 100 110 1 00 00
Or c’est là que le bât blesse, car traiter des données sans finalité veut dire les traiter sans légitimité et donc s’exposer à des amendes. Après plus de 20 ans de législations européennes et nationales, le non-respect, voulu ou non, des principes fondamentaux de la protection des données n’est plus une excuse valable. La protection des données personnelles doit aujourd’hui se refléter, au sein même d’un organisme, à travers la mise en place d’une vraie culture de la donnée personnelle qui, pour être efficace, doit être analysée, évoluer et être vécue au jour le jour à travers toute l’organisation et toute la hiérarchie, ceci indépendamment du secteur d’activité. Finalement, n’oublions pas que dans le cycle de vie d’une donnée personnelle, il doit y avoir un temps pour tout : un temps pour le traitement – légitime – d’une donnée et un temps pour l’effacement et l’oubli de celle-ci. Ce dernier point, malheureusement souvent négligé, est dans l’intérêt de tous, mais, surtout, des responsables de traitements de données, car les données les mieux protégées sont en définitive celles qu’on n’a plus ou qu’on n’a jamais eues !
e profit que génère l’exploitation des données suscite un intérêt vorace. Sur le marché noir, les données personnelles complètes d’un individu peuvent se monnayer jusqu’à plusieurs centaines d’euros ; l’identité ainsi usurpée permettant notamment l’ouverture de crédits financiers… Quant aux données portant sur la santé ou les caractéristiques des personnes physiques, celles-ci sont classées parmi les plus sensibles et demandent un dispositif de protection plus rigoureux encore, eu égard aux conséquences en cas de divulgation. À l’heure du tout digital, la grande majorité des entreprises traite quotidiennement de nombreuses données, dont certaines dites « sensibles », et leur sécurité est une problématique qui concerne tout leur écosystème. Le règlement général sur la protection des données (GDPR) vise une responsabilisation de l’ensemble des acteurs impliqués dans le traitement de données personnelles, dès lors qu’elles concernent des résidents européens. Elle impose également des obligations spécifiques aux sous-traitants qui doivent notamment accompagner les respon-
sables dans leur approche de mise en conformité et sécurité des traitements. De fait, toutes les entreprises doivent identifier les pratiques susceptibles d’engendrer un risque élevé non plus seulement pour leur propre business, mais aussi pour les personnes physiques. En effet, une perte ou une divulgation de données personnelles jugée minime pour une entreprise peut avoir des conséquences hautement préjudiciables pour les individus concernés. Assurément, la pression qui sera exercée sur les entreprises ne viendra pas tant des régulateurs que des « clients » qui exigeront de faire respecter leurs droits et libertés fondamentales. Et si la conformité n’apporte aujourd’hui que des gains limités de parts de marchés, il est certain qu’à l’avenir, une non-conformité entraînera des pertes conséquentes pour les entreprises prises en défaut. En tant que spécialistes de la cybersécurité, notre expérience nous a appris qu’au-delà des analyses de risques et de la mise en place de processus et de solutions, la conscientisation des collaborateurs est un élément central qu’il convient de ne pas négliger. De plus, le GDPR permet de débuter des projets plus globaux de sécurisation qui sont souvent nécessaires, tant pour rassurer les individus sur la protection de leurs données personnelles que pour protéger l’activité des entreprises. Cédric Mauny Senior manager Cybersecurity department, Telindus Luxembourg
Décembre 2017 — ICT —
— 45
CARTES BLANCHES CTG LUXEMBOURG PSF
ARENDT
« Le GDPR n’est pas qu’un projet IT » L
e règlement général sur la protection des données (GDPR) a vocation à couvrir de façon très large les opérateurs économiques comme les traitements de données, elles-mêmes définies de façon non exhaustive. Ainsi, il vise tout traitement effectué dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union européenne, que le traitement ait lieu ou non dans l’Union européenne ; ou bien qui concerne des personnes se trouvant sur le territoire de l’Union européenne ; ou bien encore en tout endroit où s’applique le droit d’un État membre. L’un des défis de l’application du GDPR est donc de réussir à confronter les règles uniques qu’il impose à de multiples situations bien différentes. Au-delà de la diversité des secteurs d’activité des acteurs, c e r t a i n e s c at é go r i e s d e données, dites sensibles (par exemple l’origine raciale ou ethnique, les opinions politiques, l’appartenance syndicale, la santé ou les données concernant l’orientation sexuelle) requièrent par ailleurs un traitement particulier. Pour autant, la plupart des menaces pouvant affecter les données personnelles traitées par les acteurs sont communes (par exemple : perte ou vol de données, mauvaise utilisation). De par son champ d’application vaste touchant tous les acteurs de la vie économique et publique
manipulant des données à caractère personnel, les réponses à donner seront nécessairement variées quant à leurs natures et à leur portée. Néanmoins, tous les acteurs devront passer par un exercice d’identification des flux de données personnelles qu’ils traitent. S’ils n’avaient pas recensé et notifié les traitements de données personnelles dans le cadre de leur activité sous l’égide de la loi de 2002, ils devraient s’y employer sans attendre, les dispositions du GPDR prévoyant des sanctions économiques particulièrement importantes, indique Sophie Wagner-Chartier, associée chez Arendt & Medernach. Une fois les données à caractère personnel bien identifiées, un exercice de cartographie des flux de données peut commencer. Il permet d’établir un plan d’action sur les mesures à mettre en œuvre (e.g. anonymisation des données, informations des personnes concernées, renforcement de la sécurité, etc.), mais également de se conformer à l’obligation d’établir un registre des traitements de données à caractère personnel. Il ne faut pas se méprendre, la mise en conformité avec le GDPR n’est pas qu’un projet IT et demandera la conjugaison des experts des fonctions business, administratives et juridiques.
Stéphane Badey Partner Arendt Regulatory & Consulting
46 —
— ICT — Décembre 2017
« Un véritable défi » Isabel Subirats Alvarado Data protection consultant
Mathieu Born Data protection consultant
L
e GDPR, face à la digitalisation et l’inflation de la valeur marchande des données, est un véritable défi lancé aux entreprises pour la protection des données personnelles. Son implémentation nécessite des efforts financiers et humains considérables. Ne dit-on pas que pour parvenir à un objectif, il est préférable de joindre les forces en présence ? Le GDPR ne déroge pas à la règle. Le champ d’application de cette réglementation « 2.0 » est tellement large que l’on ne peut négliger aucun secteur. Une mise en conformité efficace requiert un ensemble non exhaustif d’actions. Une suite logique d’étapes pourrait être : 1. Analyser La mise en conformité commence par un audit interne de l’ensemble des traitements de données personnelles. Le recours à un auditeur externe est égale-
01 101 010 0 1 1 0 110 1 1 1 11 10 0 00 110 0010 100 11 1100 0001 101 001 010 1111 1 00 111 001 0 0 1 100 111 01 0 0 11 1 110 0 0 0 110 11001 11010 Olivier Destenay Business line manager test
Sonia Ziane Data protection consultant
ment une alternative afin d’être guidé et encadré. 2. Répertorier En guise d’inventaire, un registre devra notamment répertorier : chaque traitement de données personnelles et les catégories de données traitées ; les finalités du traitement ; les acteurs du traitement ; l’origine et les flux permettant l’identification des transferts hors UE. 3. Organiser Organisation et gouvernance sont les maîtres-mots. Afin de donner la dynamique souhaitée, tous les acteurs de l’entreprise doivent être impliqués dans le projet. Une réorganisation des métiers est requise afin d’incorporer les nouveaux impératifs comme la création d’un nouvel acteur, le « data protection officer ».
FILE-SHARING SOLUTIONS POUR VOTRE ACTIVITÉ
Votre propre partage de fichiers et une solution de synchronisation dans un cloud privé
ESSAI GRATUIT
Via notre site Web : www.systemsolutions.cloud pendant un mois et cela gratuitement ! Grâce à ses trois datacentres, dont deux de niveau 4, System Solutions propose des solutions de partage de fichiers hébergés, de synchronisation et d’accès mobile pour les entreprises. Nos services d’infrastructure sont hébergés sur le territoire du Luxembourg. En tant que tels, ils sont complètement conformes aux réglementations de conformité sur les données.
Parc d’Activités, 36 L-8308 Capellen Tél : +352 31 40 40 - 1 Fax : +352 31 40 42 www.systemsolutions.lu
OURS/INDEX
INDEX Maison Moderne ™ www.maisonmoderne.com Téléphone (+352) 20 70 70 E-mail publishing@maisonmoderne.com Courrier BP 728, L-2017 Luxembourg Bureaux 10, rue des Gaulois, Luxembourg-Bonnevoie fondateur
Mike Koedinger
Richard Karacian
ceo
dir ecteur a dministr atif et f ina ncier
Etienne Velasti
RÉDACTION Téléphone (+352) 20 70 70-100 Fax (+352) 29 66 19 E-mail press@paperjam.lu Courrier BP 728, L-2017 Luxembourg dir ecteur de l a publication r édacteur en chef coor dinatr ice
Richard Karacian
Thierry Raizer (T. R.)
Jennifer Coghé (J. C.)
Frédéric Antzorn (F.C. A.), François Aulner (F. A.), France Clarinval (F. C.), Céline Coubray (C. C.), Anne Damiani (A. D.), Camille Frati (C. F.), Jean-Michel Hennebert (J.-M. H.), Jean-Michel Lalieu (J.-M. L.), Jonas Mercier (J. M.), Jordan Nagel (J. N.)
r édaction
f r ee - l a nces
Quentin Deuxant (Q. D.), Sébastien Lambotte (S. L.), Michael Peiffer (M. P.), Jeanne Renaud (J. R.) Benjamin Champenois, Nader Ghavami, Patricia Pitsch
photogr a phes
Pauline Berg, Lisa Cacciatore, Laura Dubuisson, Sarah Lambolez, Elena Sebastiani
cor r ection
STUDIO GRAPHIQUE dir ecteur a s socié
Guido Kröger
ENTREPRISES PERSONNES PUBLICITÉS
3 3C PAYMENT
6, 7
A - B ABBL 12 ADEM 10 ALIBABA 38 AMAZON 30, 38 ANEC 22, 23 APSFS 12 APSI 12 ARENDT & MEDERNACH 4, 46 ARENDT REGULATORY & CONSULTING 46 AXA LUXEMBOURG 30 BADEY STÉPHANE 46 BORN MATHIEU 46 BUSCH ÉRIC 10
C - D CEGECOM CENTRE DE COMPÉTENCES C3 CLAW CSSF CTG DARTALIS DATACENTER DAYAN ISAAK DBIT DEMUTH CLAUDE DENIS PASCAL DESTENAY OLIVIER DROPBOX
18, 17 36 44 38 33, 46 18 27, 44 18 11 12 30 46 18
Monique Bernard, Eva Pontini (coordination)
RÉGIE PUBLICITAIRE
G - H
José Carsi
dir ecteur a rtistique st udio m a nager
Stéphanie Poras-Schwickerath
a s sista nt st udio m a nager
Émilie Winckel
mise en page
Téléphone (+352) 20 70 70-300 Fax (+352) 26 29 66 20 E-mail regie@maisonmoderne.com Courrier BP 728, L-2017 Luxembourg dir ecteur a s socié
Francis Gasparotto
Marilyn Baratto, Laurent Goffin
ch a rgés de clientèle senior s ch a rgé de clientèle
Thomas Fullenwarth
O - P
ING LUXEMBOURG 15, 30 KETTELS TOM 12 KOCH BENOÎT 42 KODAK 30 KPMG 30 LAFOND MATHIEU 30 LANCELOT 10 LECOUSTEY BRICE 30 LHERMITTE BERNARD 30 LHOFT 12 LINKLATERS 2 LU-CIX 12 LUXCONNECT 12 LUXINNOVATION 12
OPAL PAYAL MARC PAYPAL POST
M - N MACEDO ELENICE 24 MAUNY CÉDRIC 44 MITSUBISHI UFJ 26 MIZUHO 26 MOUPFOUMA BERTRAND 42 NEOWITAN 44 NEXTEN.IO 10
12 30 38 8, 9, 52, 28
R - S - T RAMAKRISHNA RAMANAN 24 REICHLING OLIVIER 44 SIX PAYMENT SERVICES 38 SMILE 18 STATEC 10, 36 SUBIRATS ALVARADO ISABEL 46 SUMITOMO MITSUI 26 TAIT DUNCAN 26 TANAKA TATSUYA 3, 26 TANGO 12 TELINDUS LUXEMBOURG 44 TELKEA 41 THE RECRUITER 40, 51 THEMIS LEX 42
U - V - W - X - Y - Z UBER 30 VERSUSMIND 42 VISA 38 WAGNER-CHARTIER SOPHIE 46 WASILEWSKI DIDIER 18 WAVESTONE 35 WETRANSFER 18 ZIANE SONIA 46
E - F ESTRADE DAMIEN 38 EUROCLOUD 12 EUROSTAT 10 EY ADVISORY 30 FABER RAYMOND 44 FDI 12 FEDIL-ICT 12 FOY DAVID 12 FUJITSU 3, 24, 30
Jeremy Leslie
dir ecteur de l a cr é ation
I - J - K - L
GOOGLE 18 HAGEN DAVID 38 HENIQUI JANIN 44 HIPAY 38 HOFFMANN GÉRARD 12 HOLPER LUC 38 HOUSE OF TRAINING 40, 10 HURLIN NICOLAS 40 HYPERLEDGER 24
Please recycle. Vous avez fini de lire ce magazine ? Archivez-le, transmettez-le ou bien faites-le recycler ! Tous droits réservés. Toute reproduction, ou traduction, intégrale ou partielle, est strictement interdite sans l’autorisation écrite délivrée au préalable par l’éditeur. © MM Publishing and Media SA. (Luxembourg) Maison Moderne ™ is used under licence by MM Publishing and Media SA. ISSN 2354-4619
@paperJam_lu Paperjam
UNIVERS PAPERJAM pa per ja m . lu
newsletter
www.paperjam.lu
48 —
abonnement sur paperjam.lu
— ICT — Décembre 2017
a pplication pa per ja m
pa per ja m guide
guide.paperjam.lu
Groupe Paperjam.lu
pa per ja m . jobs jobs.paperjam.lu
pa per ja m club
club.paperjam.lu
Data lover cherche partenaire flexible, accessible et connectĂŠ.
Le dashboard qui regroupe toutes vos data.
Venez faire connaissance sur nvision.lu/analytics
NEXT STEPS
ANNE-CÉLINE LESCOP
« Plus transparent et connecté »
PHOTO Maison Moderne
Chaque mois, un acteur du secteur couvert par Paperjam Plus est sollicité pour partager en image ses impressions sur l’avenir de ce secteur. Ce mois-ci, Anne-Céline Lescop, CEO de CaptainJet, s’est prêtée à l’exercice autour de la question : « De quelle manière envisagez-vous l’avenir de l’aviation d’affaires ? »
S
elon Anne-Céline Lescop : « Bien que nous vivions dans un monde où la mobilité est un facteur clé de l’économie, l’aviation d’affaires souffre aujourd’hui d’une image trop élitiste et opaque. La digitalisation croissante du secteur permettra d’améliorer la transparence, l’accessibilité et l’efficacité du service et de valoriser les nombreux atouts d’une aviation méconnue. »
50 —
— ICT — Décembre 2017
h2a.lu
CANDIDATE
&
COMPANY
solutions
Executive Search I InHouse Services I Evaluation & Assessment I Background Check
www.therecruiter.lu
IT I Telecom
Digital
Cleantech
Industry I Services
Semi-public Institutions
SECURITY
COLLABORATION
CLOUD
NETWORK
Meet the
EMM
ICT Experts
MOBILITY
ICT
Nos experts prennent la parole sur les thématiques ICT de votre business. Découvrez-les sur ictexpertsluxembourg.lu
CONNECT