Une carte de visite internationale
En accord avec ses valeurs reprises sous l’acronyme EARTH pour Excellence, Agility, Responsability, Trust et Human, ebrc fait partie des rares entités luxembourgeoises à avoir choisi d’adopter la certification ISO 27.001 ; un effort qui est une étape indispensable pour son développement futur. Rencontre avec Olivier Antoine, responsable de la securité des systèmes d’information et Yves Reding, directeur général.
Un des fils conducteurs d’ebrc est d’assurer la protection et la confidentialité des informations sensibles tout en garantissant leur disponibilité. Une nouvelle équipe ‘Risk and Resilience Advisory’ vient donc d’être créée pour offrir des services à la fois en matière de gestion des risques et de consultance. Depuis janvier dernier, ebrc s’est dotée d’un risk manager et de quatre personnes dont les compétences sont certifiées ISO 27.001. Tout comme l’est ebrc.
Etre certifié ISO 27.001 est non seulement une manière d’anticiper les prochaines directives de la CSSF en matière de gestion des risques, mais c’est aussi un must pour une société qui est leader sur le marché local et vise un déploiement international. Yves Reding insiste sur la nécessité de se démarquer fortement par rapport à ses concurrents: “Pour démontrer que nous sommes dignes de confiance, nous devons faire beaucoup plus que les géants qui sont connus au niveau international. Il n’est pas évident pour un externe de sentir quel est le niveau de maturité d’une société en matière de gestion des risques. Nous devons donc mettre en avant des certifications que d’autres n’ont pas. C’est le cas de Tier IV pour laquelle nous faisons partie du top 10 mondial. C’est également le cas d’ISO 27.001”. Cette certification est donc une garantie de qualité tant pour ses utilisateurs internes que pour ses clients et prospects et elle constitue, selon Olivier Antoine, “une véritable carte de visite reconnue dans le monde entier”.
Douze chapitres, qui représentent 133 points de contrôle, ont été passés au peigne fin par un prestataire extérieur (un des Big Four). Douze chapitres qui couvrent la gestion des risques, la politique de sécurité, l’organisation interne de la sécurité au sein de la société, la gestion des actifs, les ressources humaines, la sécurité physique des bâtiments et des salles, le réseau et les télécommunications, les contrôles d’accès aussi bien aux locaux qu’au système d’information, le développement de logiciels en interne, la gestion des incidents, la continuité de l’activité et la conformité aux normes.
ebrc a commencé par acquérir ces compétences pour son propre fonctionnement, en impliquant chacun de ses employés. ebrc a pour objectif, dans un second temps, de faire profiter de son expérience les sociétés qui souhaitent se lancer dans ce processus. Les services proposés par ebrc vont de l’analyse au conseil en passant par la mesure des risques. “Nous aidons nos clients à évaluer leur niveau de sécurité. Nous allons jusqu’à faire des tests intrusifs pour éprouver la robustesse de leur système d’information. Notre équipe emploie un des deux seuls ingénieurs au Luxembourg certifiés pour les réaliser en suivant une méthodologie mondialement connue”, souligne Olivier Antoine.
Si beaucoup de sociétés appliquent certaines bonnes pratiques déterminées par cette norme, peu poussent la démarche jusqu’à la certification. Pourtant, Yves Reding est convaincu des opportunités commerciales qu’ouvre la détention d’ISO 27.001: “S’inscrire dans un cycle d’amélioration continue est vraiment un avantage compétitif. Pour mettre le Luxembourg en valeur, il faut mettre en avant ces éléments d’excellence”. La démarche est d’ailleurs née d’une exigence d’un prospect américain, à laquelle ebrc s’est adaptée en moins de six mois!