L’accès au cloud: entre conformité et sécurité
À l’occasion des Internet Days organisés par LU-CIX les 12 et 13 novembre derniers, EBRC, partenaire et sponsor de l’initiative, a présenté son nouveau service, la Cloud Governance Platform. Yuri Colombi, Head of Solutions & Innovation, nous en décrit les avantages et nous parle de la présence de l’entreprise à l’événement.
EBRC est partenaire et sponsor de l’événement Internet Days. Qu’implique votre participation?
Nous sommes membres de LU-CIX et à ce titre, nous soutenons ses activités. Depuis plusieurs années, nous sommes partenaires des Internet Days, l’un des principaux événements d’ampleur internationale au Luxembourg dédié au cloud et la connectivité. C’est l’occasion pour nous d’échanger avec des partenaires, clients et plus globalement des entreprises qui se posent des questions sur la façon d’aborder leur transformation digitale.
Qu’est-ce que la Cloud Governance Platform, votre nouveau service présenté à cette occasion?
Il y a deux ans, au Luxembourg, la CSSF (Commission de Surveillance du Secteur Financier) a règlementé l’utilisation des services de cloud computing pour les établissements financiers relevant de sa supervision. Suite à la publication de cette circulaire, mise à jour en mars 2019, nous avons identifié un accroissement de l’intérêt pour l’utilisation des services cloud dans un monde hybride.
Dans ce cadre, EBRC a annoncé le lancement d’une nouvelle offre de service contenue dans une Cloud Governance Platform: le Cloud Readiness Assessment, à destination des entreprises soumises à des obligations régulatoires (CSSF, NIS…). Il s’agit d’un service d’accompagnement (Assessment) associé à une application spécialement adaptée pour supporter des processus de gestion des risques liés à l’utilisation du cloud. Grâce à une bibliothèque interne à l’application, l’utilisateur peut vérifier, à la manière d’une check-list, quelles sont les exigences qu’il doit suivre. Un support sera également fourni pour rédiger en conséquence un dossier de conformité. Cela permet des gains de temps et donne l’assurance de bien respecter le cadre règlementaire dans la durée.
En quoi un accompagnement au cloud est-il nécessaire?
Le cloud est un outil encore sous-utilisé par bon nombre d’entreprises et notre rôle est de les accompagner vers une meilleure appréhension de son utilisation et de ses avantages. Si le cloud permet dans certains cas de réduire les coûts, son véritable intérêt sera plutôt de créer de la valeur en facilitant l’innovation et l’exploitation des données. Il permet également de disposer facilement de services novateurs et d’être proche de prestataires IT au travers de «market places». Ainsi, nous pouvons aider les entreprises dans leur transformation digitale disruptive, et ce à plusieurs niveaux, en définissant avec elles une approche méthodologique ainsi qu’une nouvelle architecture, et puis en opérant et sécurisant l’ensemble.
Parlez-nous de votre expertise dans le domaine de la cybersécurité…
EBRC a participé à la création du département CyberForce, un groupement d’experts en sécurité au sein du groupe POST auquel nous appartenons. Cette entité réunit des experts capables de fournir une protection optimale des infrastructures et des données, pour chaque client et chaque besoin.
Face aux attaques informatiques toujours plus nombreuses, nous disposons de toute une gamme de services de conseil pour préparer nos clients à s’en prémunir. Nous développons notre activité de conseil et les aidons à mettre en place des plans de continuité efficaces, documentés, compris et surtout, connus par les employés. Quant aux entreprises ayant décidé d’externaliser leur service informatique, nous avons mis en place tous les moyens nécessaires pour assurer la continuité de leurs activités en cas d’attaque, et ce, grâce à nos stratégies organisées en faveur de la cyber-résilience des entreprises.
En effet, EBRC promeut le concept de cyber-résilience qui cumule les forces issues des standards internationaux que sont ISO 27001 (sécurité de l’information), ISO 22301 (continuité des activités), ISO 31000 (gestion du risque) et ISO 22316 (sécurité et résilience) que nous déployons au cœur de nos centres de données certifiés Tier IV. Il s’agit de gages solides pour anticiper et répondre aux cybermenaces, résoudre les incidents de sécurité et reprendre le fil des activités le plus rapidement et normalement possible.
Les sociétés luxembourgeoises Arendt Services et Banque de Patrimoines Privés (BPP) ont adhéré à ce concept en certifiant leurs activités au regard de la norme ISO 22301, qui implique que l’entreprise ait établi sa continuité opérationnelle même en cas de survenance d’un désastre. Nous pensons que d’autres sociétés de services suivront cette voie: cette certification permet de rassurer le marché et les clients sur la façon dont les sociétés certifiées ont planifié l’imprévu.
Qu’en est-il de la sécurisation de leur cloud?
Le cloud est un nouveau terrain d’intrusion pour le vol de données et la façon de sécuriser ces nouveaux environnements s’avère bien différente de celles employées précédemment. EBRC accompagne les clients dès l’étape de connectivité au cloud, et le nombre de services proposés par les grands acteurs ne cesse d’augmenter. Ces nouveaux services cloud doivent être consommés dans une perspective de sécurité, notamment pour empêcher la fuite de données. C’est une nouvelle forme d’informatique qui nécessite de repenser la sécurisation et la gouvernance des données avec laquelle les clients doivent se familiariser et pour laquelle nous pouvons les aider.
Il est également important d’assurer une vision cohérente entre les applications ou données se trouvant sur le cloud et l’informatique classique qui restent «on premise». Cette hybridation des systèmes informatiques est un défi! Il est nécessaire de conserver une gestion unifiée des différents éléments qui le composent pour en garder le contrôle. Ainsi, de plus en plus de services cloud peuvent être directement souscrits par un département de l’entreprise sans en informer le responsable informatique. Notre offre de services de connectivité au cloud permet à ces équipes de reprendre le contrôle.