TechSense Magazine #02
Transform your PDFs into Flipbooks and boost your revenue!
Leverage SEO-optimized Flipbooks, powerful backlinks, and multimedia content to professionally showcase your products and significantly increase your reach.
#02
Working to grow your
business and private
assets together.
BIL Business Owner
Supporting you from foundation
to transfer of your company.
www.bil.com/businessowner
Banque Internationale à Luxembourg SA, 69 route d’Esch, L-2953 Luxembourg, RCS Luxembourg B-6307
(+352) 4590-5000 www.bil.com
TECHSENSE Magazine #02
EDITO
Chères lectrices, chers lecteurs,
Kamel Amroune CEO
Voici venu le deuxième numéro de TechSense
Magazine, dont la publication coïncide avec le
premier anniversaire du lancement de l’aventure
The Dots. Je mets donc cet édito à profit pour
remercier celles et ceux qui nous ont rejoints au
sein de la grande communauté Tech et Digitale du
Luxembourg.
Cette deuxième édition est essentiellement
dédiée à la cybersécurité.
Vous y découvrirez également
un dossier consacré aux ingrédients
numériques, environnementaux et sociaux
qui composent le cocktail que la Bourse
de Luxembourg a élaboré pour aborder le
changement de paradigme qui s’amorce.
La cybersécurité est donc au cœur de votre
magazine. Il ne saurait en être autrement
en ce Mois européen de la cybersécurité,
épaulé au Luxembourg par l’initiative
Cybersecurity Week de SECURITYMADEIN.
LU. Anticiper les cybermenaces à venir
n’est pas chose aisée. Les contributeurs
à cette édition se sont pourtant livrés à
l’exercice. Plusieurs priorités communes
émergent de leurs observations. Il s’agit
notamment de sécuriser par défaut tous
les systèmes numériques, de s’orienter
vers une résilience à grande échelle à base
d’automatisation et d’IA et de développer
l’attractivité de la filière cybersécurité.
L’édito de l’édition précédente se voulait optimiste.
Cet optimisme est toujours de mise
malgré les nouvelles inquiétantes, les bruits
de bottes, les incertitudes énergétiques,
la dégradation climatique, bref les vents
contraires qui agitent notre monde et accumulent
les difficultés sur notre chemin.
Mais les difficultés ne nous poussent-elles
pas à devenir plus fort ? Devenir plus fort ne
nous apporte-t-il pas la facilité ? La facilité
peut par contre nous affaiblir, ce qui peut
engendrer de nouvelles difficultés. Les
difficultés nous rendent donc plus forts
et, avec le temps, nous rendent les choses
plus faciles. Ce cercle que j’estime vertueux
ne peut que nous pousser à considérer que
rien, finalement, n’est difficile et que les
obstacles que nous rencontrons sur notre
chemin ont pour effet de nous rendre de plus
en plus forts. Les défis qui nous attendent
sont complexes, et les réponses que nous
donnerons devront nécessairement être le
fruit d’un effort commun. Mais l’humanité
a toujours su faire face aux difficultés et
en sortir renforcée. Je vous invite à considérer
ces quelques réflexions comme une
invitation à travailler ensemble à construire
les HITS de demain.
Our future will be Human, Inspiring, Technological,
and Sustainable.
03
#02
SOMMAIRE
06
Inform
20
Learn
42
Solve
56
Network
08
Fujitsu
Cyber résilience :
quel rôle pour l’IA ?
10
Integrating cybersecurity
into your BCP
12
Deloitte
La gestion des vulnérabilités :
une tâche complexe pour les
entreprises
14
SAP
SAP Luxembourg : une success
story depuis 25 ans
16
NSI
NSI, 5 ans de succès au service
du marché luxembourgeois
18
Is your data in the Cloud safe?
22
Orange
Orange Cyberdefense questions
à Jean-Sébastien Berneyron
24
Damovo
Is your organisation’s
cybersecurity keeping pace
with its digital capabilities?
26
POST
Cybersécurité en 2023 et
au-delà : Tendances et enjeux
28
Luxembourg Stock Exchange
For the Luxembourg Stock
Exchange, the Future
is Digital
30
Luxembourg Stock Exchange
Towards a Digital
and Sustainable Future
32
Luxembourg Stock Exchange
Digitalisation :
Impacts et Contraintes
44
Excellium
Quelles ambitions à l’heure
d’aborder une nouvelle
décennie ?
46
Westpole Benelux
Rebondir sur la crise pour
construire l’avenir
50
System Solutions
La Cybercriminalité, un fléau
inévitable ?
52
Penetration Testing vs
Vulnerability Assessment
53
The biggest network outages
in the history of the Internet
58
Garden Party
Retour sur l’événement
de cet été
62
Building an effective Business
Continuity Plan
64
Penetration testing tools
you will need in 2022
33
Luxembourg Stock Exchange
aligne technologies modernes
et approche ESG
34
5 key factors of a disaster
recovery plan
36
Anidris
Cybersécurité : le recovery
comme dernier recours
38
Exploring Social Engineering
04
VAN DER VALK
HOTEL LUXEMBOURG
Hôtel 4 étoiles - 125 chambres
Business Lunch - Dîner - Brunch
Salles de Réunions & Événements
à 5min de la frontière luxembourgeoise
parking gratuit
+32 63 23 32 22
info@luxembourg.valk.com
Hôtel Van der Valk Luxembourg
596 route de Longwy - 6700 Arlon
01
Inform
{ Verbe transitif }
Faire savoir quelque chose à quelqu’un,
le porter à sa connaissance, le lui apprendre.
06
Relevez le Défi
de la Cyber-Résilience
Depuis 2000, EBRC gère et protège vos informations sensibles et vous
accompagne pour relever le défi de la Cyber-Résilience, en toute sérénité.
Découvrez notre offre Trusted Services Europe
Advisory
Managed
Services
Cloud Security Resilience
Data
Centre
3
FACILITY ®
ebrc - Luxembourg
Resilience Centre South
June 11, 2013
www.ebrc.com
TECHSENSE Magazine #02
Inform
Cyber résilience :
QUEL RÔLE
POUR L’IA ?
| Propos recueillis par Michaël Renotte |
Alors que l’Intelligence Artificielle révolutionne des pans entiers de
la cybersécurité, la Business Continuity fait figure de parent pauvre
parmi les fonctions qui composent toute stratégie de cyberdéfense
globale et homogène. Pourtant, en soulageant les équipes de tâches
qui peuvent être automatisées, des solutions basées sur l’IA et le
Machine Learning pourraient faciliter la poursuite d’activité d’une
entreprise en cas de crise, nous explique Moussa Ouedraogo,
Head of Cybersecurity chez Fujitsu Luxembourg.
Moussa Ouedraogo
Head of Cybersecurity chez
Fujitsu Luxembourg
Qu’est-ce que la Business Continuity et quel est son niveau de
maturité par rapport aux autres éléments qui contribuent à la
protection contre les cyber-risques ?
« La Business Continuity, également appelée continuité de l’activité
ou résilience, désigne la capacité d’anticiper les risques potentiels
auxquels une organisation pourrait être exposée, risques susceptibles
de mettre particulièrement en danger la continuité du service
en lui-même. Il s’agit également de concevoir des plans d’actions
qui pourront être déclenchés une fois que l’un de ces risques se
matérialisera ».
« Contrairement aux autres pans du secteur de la cybersécurité,
la Business Continuity ne semble pas être en ligne avec l’évolution
que connait aujourd’hui le secteur. Au centre des conversations, se
trouvent plutôt les technologies innovantes comme l’Intelligence
Artificielle et le Machine Learning qui aident à automatiser la collecte
des informations, leur traitement et la prise de décision. Ces
technologies permettent alors de réduire au mieux l’impact sur les
opérations et les services et assurer un retour à la normale dans
un délai jugé acceptable ».
« Nous ne pouvons que constater que la conduite de la Business
Continuity fait toujours l’objet d’un traitement très manuel. Et ce
n’est que depuis la multiplication d’incidents liés à la problématique
du ransomware que le sujet a retrouvé une certaine actualité. Les
entreprises qui ont été frappées par la vague récente d’attaques de
ce type se sont retrouvées avec pour seule option de procéder de
façon manuelle, convoquant dans l’urgence différents experts pour
récupérer ce qui pouvait l’être et redémarrer les activités. Cette façon
de procéder prend du temps, manque d’efficacité et, en conséquence,
l’impact de l’incident sur l’organisation tend à se prolonger ».
« C’est donc une problématique qui perdure. Aujourd’hui encore,
si vous interrogez les entreprises quant à la stratégie de Business
Continuity qu’elles ont mise en place, la réponse la plus fréquente
est « nous avons élaboré un plan de continuité ». Ce plan de continuité
– ou BCP - définit les procédures à enclencher et les rôles des
différents intervenants en cas d’incident ; intervenants qui peuvent
être issus de l’IT, de la sécurité, du légal, de la communication, ….
Ce n’est qu’une fois que la crise est enclenchée que ces personnes
sont regroupées autour d’une table et que le play book est déroulé,
c’est-à-dire la liste des actions qui doivent être effectuées au fur et
à mesure du développement de la crise ».
Contrairement aux autres pans du secteur de la
cybersécurité, la Business Continuity ne semble
pas être en ligne avec l’évolution que connait
aujourd’hui le secteur.
08
Inform
TECHSENSE Magazine #02
Comment la situation peut-elle être améliorée ?
« Fujitsu travaille depuis longtemps sur le sujet, en collaboration avec
d’autres partenaires européens. Dans ce contexte, nous nous sommes
interrogés sur la pertinence d’utiliser l’IA dans le cadre de la Business
Continuity de manière à pouvoir anticiper les menaces et prendre des
actions correctives, au même titre que pour des problématiques de
sécurité telles que la détection et la réponse aux incidents ».
« Nous sommes aujourd’hui partie prenante dans un consortium
européen qui s’inscrit dans le cadre de la stratégie de cybersécurité
de l’UE - les directives NIS et NIS2 en particulier - et qui rassemble
des acteurs majeurs issus tant du secteur industriel que du monde
académique. Ce consortium, CS-AWARE-NEXT, a pour mission de
mettre au point de nouvelles méthodes et de nouveaux outils permettant
d’améliorer la préparation aux catastrophes et de faciliter la
reprise et la continuité des activités des organisations européennes
interdépendantes et relevant de secteurs critiques dans le but de
mieux traiter les problèmes de cybersécurité en cascade ».
« Au sein de CS-AWARE-NEXT, Fujitsu est responsable de la définition
et de l’implémentation d’un framework avancé pour la Disaster
Recovery et la Business Continuity - reprise après sinistre et continuité
des activités – ainsi que pour les réseaux auto-régénérateurs basés
sur l’IA. Il est à noter que ce type de solution pourra complémenter
les initiatives engagées par bon nombre d’entreprises, entre autres
l’usage de solutions de back up fortifiées connues sous le nom de
air-gapped back up, l’objectif étant d’atteindre un orchestrateur
intelligent de la résilience ».
À quel horizon voyez-vous des technologies innovantes comme
l’IA devenir pratique courante dans la cyber résilience ?
« Dans le cadre du projet CS-AWARE-NEXT, nous nous sommes fixés
comme horizon 2024-2025. Bien entendu, il y a des défis à relever
parce que le recours à l’automatisation ou à l’IA en informatique
en général et en sécurité en particulier nécessite une certaine supervision.
Il faut évaluer quel degré d’autonomie peut être accordé
à ces outils et quelle part doit rester à l’intervention humaine ».
Au sein de CS-AWARE-NEXT, Fujitsu
est responsable de la définition et de
l’implémentation d’un framework avancé pour
la Disaster Recovery et la Business Continuity -
reprise après sinistre et continuité des activités
– ainsi que pour les réseaux auto-régénérateurs
basés sur l’IA.
À quel niveau l’IA peut-elle apporter une valeur supplémentaire ?
« C’est là où le volet learning prend tout son sens. En effet, il faut tout
d’abord analyser l’interdépendance entre les systèmes, la structure
des backups en place et évaluer l’impact potentiel d’un système sur
l’autre en termes de propagation. À ce niveau, la capacité de prédiction
qu’offrent certains modèles d’IA et Machine Learning permettent
d’obtenir avec plus de fiabilité la gravité de l’impact potentiel de
l’incident. Cela consiste à identifier les ramifications potentielles
de l’incident en cours et en estimer l’échelle. À partir de ce moment,
il est possible de définir si l’IA peut également prendre le contrôle
de la réponse et jusqu’à quel niveau. C’est une première étape ».
« La deuxième étape concerne la phase de reprise. Quand un système
tombe, une fois l’incident passé, les administrateurs sont appelés
à enclencher le processus de Disaster Recovery pour chaque type
d’application qui a été affectée. Tout ceci est défini dans les processus.
Cette phase est une bonne cible pour l’automatisation parce qu’elle
se compose d’actions structurées et séquencées. L’idée que nous
développons consiste à formaliser ce processus dans des langages
logiques temporels qui formeront la base de fonctionnement de l’IA,
afin d’être capable de prendre ces actions sans avoir besoin d’une
intervention des administrateurs ».
09
TECHSENSE Magazine #02
Inform
Integrating cybersecurity
INTO YOUR
Cybersecurity today has to be a proactive effort rather than a reactive measure to curb the damage.
With cyber threats of all kinds looming over IT companies and other organizations, CIOs need to
find ways to include cybersecurity as a priority in the business continuity plan (BCP) and disaster
recovery strategy. Especially in the current scenario, where most organizations are shifting to an
entirely remote or a hybrid setup, risks to data privacy and security are even higher.
10
Inform
TECHSENSE Magazine #02
BCP
IOs,
| By Michaël Renotte |
Cybersecurity and business continuity
are ideally interrelated. You cannot have
business continuity without having a robust
cybersecurity system in place.
C
along with IT managers
in every organization, must
understand this. They need to
create a business continuity plan that
acknowledges these threats and defines
solid measures to prevent cybersecurity
breaches, even in a remote work setting.
But how do you integrate cybersecurity
into the business continuity plan?
Cybersecurity and business continuity
are ideally interrelated. You cannot have
business continuity without having a
robust cybersecurity system in place. But
to integrate cybersecurity into your BCP
effectively, you will need to put in some
time and effort. Here are certain areas you
need to focus on.
— Business Impact Analysis
(BIA)
The business impact analysis examines the
various measures taken by an organization
to ensure cybersecurity and efficient risk
management. During the BIA, IT managers
and cybersecurity teams must assess the
various threats and risks and categorize
them into different impact categories.
Some threats may impact their reputation,
and others may impact revenue. Impact
categories may also include customer
experience, compliance, costs, or any other
area that may be affected by a cyberattack.
The full scope of a cyber attack or a threat
must be understood, including the residual,
long-term impacts and how they can affect
business continuity.
— Risk assessment
Risk assessment in an organization provides
a thorough perspective of where it stands
in terms of cybersecurity and business
continuity preparedness. Not only does the
organization need to assess its own systems
and processes, but also those of third-party
vendors and providers. This is primarily seen
as the responsibility of the organization’s IT
department. So IT managers must ensure
that all the infrastructure, software, and
hardware used in the organization are
secured to the best of their ability.
This risk assessment needs to be
accompanied by a business continuity
assessment too so that organizations
are able to identify gaps and potential
threats across all business functions and
departments.
— Leadership support
Strategy and planning are primarily done
by the top brass of an organization. The
leadership’s involvement in business
continuity planning and thus in ensuring
cybersecurity integration in the BCP is
essential. The leadership can best assess
the impact of cyber threats on the different
areas of an organization. CIOs and other
executives need to work together with IT
managers and teams to think of a robust
response plan in the event of a crisis. They
must also make timely decisions, with
inputs from IT teams, that can prevent such
security crises in the first place.
— Response, communication,
and recovery plan
Despite all efforts, the risk of a cyberattack
cannot be ruled out. In establishing their
BCP, organizations must be prepared for
the worst too. An appropriate response
to a security incident must be in place
in the form of an incident response plan.
The response plan must clearly guide what
needs to be done in case of a cyberattack
and how the impact can be mitigated. A
recovery strategy should also be in place
to ensure that downtime is minimized and
business continuity does not take a blow.
Organizations are responsible for
communicating about a security incident
to all their stakeholders. So the BCP and
the incident response plan must give clear
instructions on this as well.
— Key take-aways
Business continuity can only be achieved
by mitigating risks, minimizing downtime,
and coming out with minimum damage in
the face of an unforeseen security incident.
With these few simple measures, integrating
cybersecurity with business continuity
planning should not be too difficult.
11
TECHSENSE Magazine #02
Inform
une tâche comp
| Propos recueillis par Yann Roll |
les en
Maxime Verac,
Directeur au sein de l’équipe Cyber Risk chez
Deloitte Luxembourg, partage avec nous
son expérience en matière de gestion des
vulnérabilités.
Loin d’être statique, l’écosystème
informatique évolue constamment pour
supporter la transformation numérique des
entreprises et intégrer ainsi de nouvelles
technologies, de nouveaux systèmes et
logiciels mais aussi de nouveaux partenaires.
Dans ce contexte, l’environnement
informatique se fragilise et les besoins en
sécurité s’accentuent. Il devient dès lors
crucial pour les entreprises d’apprendre à
faire face aux vulnérabilités qui menacent
leur sécurité et d’adopter les meilleures
méthodes pour les déceler et y remédier.
— Une exposition croissante
« Toute faille de sécurité détectée sur son réseau informatique peut
représenter un danger pour l’entreprise. Lorsqu’il s’agit d’un cas isolé,
il est souvent facile de réagir rapidement pour minimiser les impacts
potentiels. Le réel problème posé par les vulnérabilités, c’est leur
trop grande quantité : le nombre de vulnérabilités auxquelles doivent
faire face les entreprises est depuis quelques années en pleine
expansion et cette tendance ne semble pas près de s’inverser »,
explique Maxime Verac. « En 2021, plus de 20.000 vulnérabilités
ont été recensées par le MITRE, une organisation à but non lucratif
qui met à disposition de la communauté une importante base de
connaissance empirique des différentes techniques d’attaques
connues. Toutes ces vulnérabilités se sont vues attribuer un numéro
CVE – Common Vulnerabilities and Exposure – ce qui représente une
moyenne de 55 vulnérabilités par jour. Cette année, plus de 17.000
vulnérabilités ont déjà été recensées. D’ici le mois de décembre, le
seuil des 20.000 vulnérabilités identifiées devrait être largement
dépassé », précise-t-il.
12
Inform
TECHSENSE Magazine #02
La gestion des vulnérabilités :
lexe pour
treprises
La gestion des vulnérabilités est un
sujet complexe qui nécessite des moyens
technologiques et humains.
« Le nombre de vulnérabilités répertoriées explose pour plusieurs
raisons. Tout d’abord, la croissance progressive du MITRE leur permet
de disposer de davantage de moyens pour traiter et assigner
des CVE. Ensuite, on a assisté ces dernières années à l’apparition
des “ bug bounties “ qui ont aussi probablement joué un rôle dans
la stimulation de la recherche de vulnérabilités. Enfin, suite à la
pandémie de Covid-19 et à l’explosion du télétravail, de nombreuses
vulnérabilités affectant notamment les solutions de VPN ont été
identifiées ces dernières années, car la sécurité de ces solutions
est devenue critique. Par ailleurs, la complexité des systèmes d’information
tendant à s’accroître - multiplication des dépendances
aux logiciels, y compris dans le cloud - , le périmètre pouvant être
affecté par des vulnérabilités s’élargit », ajoute Maxime.
— Une approche historique désuète
« La gestion des vulnérabilités est une tâche complexe. Il faut agir
avec méthode tout en restant pragmatique », dit-il. « L’accroissement
du nombre des vulnérabilités accentue l’exposition aux risques
d’exploitation de ces dernières mais appliquer un correctif pour
chacune d’elles peut s’avérer long et compliqué. Dans les faits, si
on le pouvait, il faudrait quasiment tout “ patcher “. Mais ce n’est
pas possible. Cela demanderait des quantités de ressources et
de temps faramineuses et pourrait potentiellement impacter la
stabilité des environnements. »
« Aujourd’hui encore », poursuit-il, « beaucoup d’entreprises manquent
d’une approche cohérente sur la façon d’agir face à cette masse de
CVE et sur la manière de leur attribuer des niveaux de priorité. Une
vraie prise de conscience est nécessaire pour aborder efficacement
cette gestion des vulnérabilités. Il ne s’agit pas d’une simple
problématique technologique, c’est aussi une question de dialogue
entre équipes “ sécurité “ et “ informatique “ où un consensus doit
être trouvé en s’appuyant sur une approche basée sur les risques. »
« L’approche historique où l’on patche toutes les CVE dont le score
CVSS – un système permettant de calculer une note évaluant les
différentes caractéristiques et la criticité d’une vulnérabilité - est
supérieur à un seuil donné, et qui doivent donc être corrigées le
plus vite possible, n’est plus adaptée par rapport à la quantité de
vulnérabilités auxquelles les entreprises font face. En suivant cette
approche, on risque de passer à côté de vulnérabilités réellement
critiques et de monopoliser inutilement des ressources. Un manque
de cohérence dans la stratégie pourrait entraîner une surcharge
opérationnelle ainsi que des tensions entre les différentes lignes
de défense. Il est impératif d’attribuer des niveaux de priorité aux
vulnérabilités en les contextualisant pour mieux comprendre les
risques sous-jacents », estime Maxime Verac.
— Améliorer la gestion
« Les facteurs clés pour améliorer la gestion des vulnérabilités sont
l’identification de ces dernières et l’établissement de priorités. Il
existe plusieurs solutions d’identification telles que la veille, les
scans de vulnérabilités ou encore les tests d’intrusion – ou pentests,
mais aucune d’entre elles n’est suffisante seule. Elles présentent
toutes des avantages et des défauts, et il faut être conscient des
limites de chacune. C’est pour cela qu’il est crucial de combiner
ces différentes méthodes pour assurer une couverture optimale
du périmètre. Il en va de même pour les scans de vulnérabilités,
il vaut mieux en réaliser de différentes sortes : non-authentifié,
authentifié, ou avec agent – un composant logiciel déployé sur les
machines à scanner », recommande-t-il.
« Pour établir correctement les priorités entre les vulnérabilités,
plusieurs critères sont à prendre en compte. Dans un premier temps,
il est important d’identifier l’exposition du système sur lequel porte la
vulnérabilité : ce système est-il accessible depuis Internet ? Ensuite,
il s’agit de savoir si la vulnérabilité a déjà été exploitée ou si un code
permettant son exploitation est facilement disponible. Beaucoup de
vulnérabilités sont de “ nature théorique “, c’est-à-dire qu’elles présentent
un risque d’exploitation mais qu’il n’y a aucune certitude quant à la disponibilité
d’un code qui permettrait son exploitation. Il est donc souvent
préférable de se concentrer dans un premier temps sur celles dont le
caractère exploitable a déjà été confirmé », conseille-t-il. « Enfin, le
dernier critère relève des impacts possibles liés à l’exploitation d’une
vulnérabilité : à quel point son exploitation pourrait-elle mettre à mal
mon activité ? Par exemple, est-ce qu’elle permet une prise de contrôle
à distance d’un système ou encore une fuite de données ciblées ou
massives ? Les fournisseurs de solutions de scan de vulnérabilité l’ont
bien compris et ont amélioré ces dernières années leurs fonctionnalités
et informations pour faciliter la priorisation. »
« On peut également s’appuyer sur la liste des vulnérabilités connues
- KEV ou Known Exploited Vulnerabilities - en guise d’outil d’aide à
l’établissement de priorités. Il s’agit d’une liste mise en place par le
CISA – Agence pour la cybersécurité et la sécurité des infrastructures
aux Etats-Unis – répertoriant des vulnérabilités exploitées
lors d’attaques réelles », dit encore Maxime Verac.
« La gestion des vulnérabilités est donc un sujet complexe qui
nécessite des moyens technologiques et humains pour identifier
les vulnérabilités, les qualifier, et prioriser leur correction. Il est important
que l’approche choisie pour la priorisation fasse l’objet d’un
consensus entre les différentes parties prenantes », conclut-il.
13
TECHSENSE Magazine #02
Inform
SAP Luxembourg :
UNE SUCCESS
STORY DEPUIS
25 ANS
| Propos recueillis par Yann Roll |
Fondée en 1972 par 5 personnes travaillant dans
les bureaux de leur premier client, SAP a tracé sa
route jusqu’à devenir une multinationale comptant
plus de 105 000 employés à travers le monde.
SAP est aujourd’hui l’un des principaux acteurs
mondialement reconnus dans l’édition de logiciels
de gestion de processus métier, et le seul d’origine
européenne . La firme a récemment fêté ses 50 ans
et, plus particulièrement, ses 25 ans de présence au
Luxembourg. Bertrand Brackman, Country Sales
Manager chez SAP, revient sur les 25 ans
de la filiale Luxembourgeoise.
Aujourd’hui, nous couvrons tous les
processus end-to-end clés dont peut avoir
besoin une entreprise pour assurer
son succès et sa pérennité.
— Une success story
« En 1997, SAP a estimé judicieux d’établir une filiale sur le territoire
luxembourgeois afin de pouvoir servir d’une manière plus spécifique
et adéquate ce marché », explique Bertrand Brackman. « Arbed,
avant de devenir ArcelorMittal via ses multiples fusions, fût le premier
client historique de SAP Luxembourg. Aujourd’hui nous proposons
activement nos services à plus de 120 entreprises au Luxembourg
sur l’ensemble des industries. »
« Nous travaillons bien sûr avec des grands noms de l’écosystème
luxembourgeois tels que l’Etat, les CFL ou Clearstream, pour ne citer
qu’eux. Au niveau mondial, les PME représentent pas moins de 80%
de nos clients et cela se retranscrit également ici, au Luxembourg »,
souligne-t-il. « En effet, sur l’ensemble des entreprises qui composent
notre clientèle, une dizaine ont moins de 50 employés, 30 à 40 en
ont plus de 500 et le reste oscille entre 100 en 500. »
« Au démarrage, il y a 25 ans, nous sommes passés par une phase
de positionnement avec notre ERP avant d’étendre le nombre
de solutions de notre portefeuille, ce qui nous a aidés à renforcer
notre position sur le marché. Ces 25 années consacrées à proposer
des solutions adéquates et pertinentes pour différentes
industries présentes au Luxembourg, mais également des actions
dans l’intérêt local, s’avèrent aujourd’hui payantes. Le Luxembourg
représente à l’heure actuelle 20% du chiffre d’affaires de SAP
Belgique-Luxembourg. Ce chiffre confirme l’importance du marché
luxembourgeois à nos yeux. »
— « To help the world run better and improve
people’s life »
« Nous sommes extrêmement fiers de notre devise. Même si le
grand public ne sait pas toujours ce que nous faisons chez SAP
14
Inform
TECHSENSE Magazine #02
CHIFFRES-CLÉS
1972
Création de SAP
1997
Création d’une filiale sur le territoire
luxembourgeois
105 000
C’est le nombre d’employés chez SAP à travers
le monde
Bertrand Brackman
Country Sales Manager chez SAP
en dépit de notre empreinte étendue, nous aidons réellement le
monde à mieux fonctionner et contribuons réellement à améliorer
la vie des gens. Je pense que cela s’est particulièrement ressenti
ces dernières années avec l’adoption massive du Cloud et la crise
du COVID », déclare Bertrand Brackman.
« Nous sommes fiers d’avoir pu aider des millions de gens à surmonter
la pandémie. La création de l’application Covid Check avec
Deutsche Telekom et la transformation digitale des sociétés au cours
de cette période en sont quelques exemples. On peut également
citer l’adoption des technologies cloud depuis plusieurs années qui a
renforcé cette digitalisation. En tant que cloud provider, toutes nos
solutions sont mises à la disposition de nos clients dans le Cloud, ce
qui permet de bénéficier des fonctionnalités de nos services sans
devoir s’occuper de la gestion de l’informatique. Ce service a permis
à nos clients d’effectuer leur transition digitale plus rapidement
afin de pouvoir poursuivre leurs activités durant les périodes de
confinement. Le monde tend de plus en plus vers l’adoption de ce
type de pratique », constate-t-il.
« Ces dernières années, l’adoption de services cloud s’est avérée
nettement plus forte au Luxembourg qu’en Belgique, par exemple. C’est
là que l’on observe le côté innovant et early adopter du Luxembourg
en matière de nouvelles technologies », dit-il. « Les besoins des
personnes et des entreprises ont évolué depuis 25 ans », poursuit
Bertrand Brackman. « Chez SAP, nous les accompagnons et les
aidons à faire face à ces changements. Bien que notre succès ait
débuté avec un produit monolithique, l’ERP, nous nous sommes
adaptés à l’évolution des besoins de nos clients en étoffant notre
offre. Aujourd’hui, nous couvrons tous les processus end-to-end
clés dont peut avoir besoin une entreprise pour assurer son succès
et sa pérennité. »
— Raréfaction des ressources
« Au vu de nos résultats actuels, nous avons une vision très positive
de l’avenir. Nous anticipons une forte croissance sur l’ensemble de
nos solutions. Cependant, cette croissance est déjà confrontée à
une raréfaction des ressources, au Luxembourg comme dans le
reste du monde », fait-il remarquer. « Nous serons touchés par
ce phénomène au même titre que nos clients. Il s’agira de l’un des
challenges les plus difficiles auxquels nous devrons faire face dans
un avenir proche : la raréfaction des ressources et des talents. Cela
commence d’ailleurs à se ressentir aujourd’hui, sans compter l’impact
induit par la pandémie et les crises actuelles quant aux aspirations
et attentes des travailleurs. Pour nous, le point crucial sera notre
capacité à pouvoir suivre cette croissance et à y répondre dans un
tel contexte. Nous avons d’ailleurs déjà commencé à augmenter nos
effectifs en prévision de cette tendance », ajoute Bertrand Brackman.
« Un autre aspect sur lequel SAP va se concentrer dans le futur est
la sustainability. Il s’agit pour nous d’un aspect dont les enjeux sont
cruciaux tant pour notre avenir que pour assurer une bonne qualité
de vie à l’homme dans le futur. Nous souhaitons pouvoir aider nos
clients à développer une approche plus durable mais aussi à satisfaire
les exigences imposées par les régulateurs sur le sujet. »
15
TECHSENSE Magazine #02
Nathan Mangenot
Branch Director Luxembourg
chez NSI
U
Alain Wattier
General Manager Belgique
et Luxembourg chez NSI
XInform
E
NSI, 5 ans de succès
AU SERVICE
LUXEMBOU
| Propos recueillis par Michaël Renotte |
Alors que NSI fête ses 5 ans de présence
au Luxembourg, la société est sur le point
de franchir de nouveaux seuils dans la
consolidation des services qu’elle apporte
à ses clients. Agrément PSF, offre cloud
renforcée et expansion sur le marché
français sont en effet à l’agenda 2022 de
NSI Luxembourg, nous expliquent Nathan
Mangenot, Branch Director Luxembourg,
et Alain Wattier, General Manager Belgique
et Luxembourg.
M
NSI Luxembourg a vu le jour il y a 5 ans et vient de dépasser
le cap des 100 collaborateurs. « C’est un trajet assez
fantastique », s’enthousiasme Alain Wattier, « le fruit
d’une belle rencontre entre des personnes qui se font confiance et
collaborent d’une manière efficace. La qualité des relations humaines
est d’ailleurs aujourd’hui inscrite dans l’ADN de NSI Luxembourg :
la confiance mutuelle, l’empathie et le respect, c’est ce qui fait que
nous parvenons encore à recruter sur le marché luxembourgeois
malgré la rareté des profils disponibles ».
— Une approche progressive
« Le démarrage des activités a été progressif », raconte Nathan
Mangenot. « Nous avons initialement déployé notre offre de gestion
des infrastructures, ensuite notre portefeuille Professional Services
de mise à disposition de profils, suivi des offres logicielles d’IBM et
des solutions collaboratives de Microsoft. Plus récemment, nous
avons commencé à construire nos services cloud et, dernièrement,
nous avons décidé de dynamiser les activités ERP, basées sur
Microsoft Dynamics et Odoo et encore pilotées depuis la Belgique ».
NSI Luxembourg a particulièrement développé ses compétences
en gestion d’infrastructures auprès des institutions financières.
Les experts qui ont constitué l’entreprise depuis sa création lui
ont permis d’établir une crédibilité indiscutable dans ce secteur.
« La prochaine étape sera de doter NSI Luxembourg des ressources
nécessaires pour mener les projets ERP de manière autonome »,
confie Nathan Mangenot. « Pour cela, nous appliquons une recette
qui a fait ses preuves : mettre en place de nouvelles pratiques avec
l’aide du Groupe puis constituer des équipes locales qui gagnent,
progressivement, leur autonomie vis-à-vis de la maison-mère ».
— Respecter les spécificités de chacun
Le Groupe NSI a pour particularité de traiter avec le plus grand
respect les différences pouvant exister entre des marchés aux
cultures distinctes. « Nous abordons les contrats et les projets de
manière différente en Flandre, en Wallonie et au Luxembourg, parce
que nous considérons que chaque géographie, chaque marché,
a ses spécificités, à l’opposé des multinationales qui appliquent
systématiquement le même modèle », dit Alain Wattier. « C’est un
grand différenciateur », ajoute-t-il. « Nos équipes locales élaborent
et appliquent leurs propres stratégies sur leurs marchés. Bien sûr,
cette approche demande beaucoup d’investissement au quotidien
de la part de nos dirigeants locaux et de leurs collaborateurs ».
NSI Luxembourg, le fruit d’une rencontre entre
des personnes qui se font confiance.
16
G
Inform
TECHSENSE Magazine #02
DU MARCHÉ
RGEOIS
Nous considérons que chaque marché
a ses spécificités, contrairement aux
multinationales qui appliquent
systématiquement le même modèle.
B
« Si cette approche s’est avérée gagnante, c’est parce que nous
avons pu nous appuyer sur l’expérience acquise par le Groupe NSI »,
souligne Nathan Mangenot. « Nous avons capitalisé sur le portefeuille
d’offres développées par la maison-mère, tout en adaptant nos
services aux spécificités du marché. Cela Onous a permis de conclure
des contrats et de mener des projets à leur terme sans disposer dès
le départ de toutes les ressources nécessaires au sein de la filiale
luxembourgeoise. Au fil des projets, le retour d’expérience s’est mué
en une vraie maîtrise des technologies et des outils tant matériels
que logiciels. Nous avons gagné en maturité dans notre approche
des services et dans la manière de les délivrer ».
— Poursuivre la croissance
Depuis deux ans, NSI Luxembourg opère ses propres services
cloud, bientôt hébergés dans deux datacenters luxembourgeois
afin de répondre entièrement aux attentes du marché en matière
de disponibilité et de sécurité des données. « En plus d’offrir à nos
clients nos solutions logicielles métier en mode SaaS, cela nous
permettra, dès la fin de l’année 2022, de nous positionner comme un
fournisseur de solutions de cloud privé et hybride doté de l’agrément
PSF », commente Nathan Mangenot.
Par ailleurs, une démarche en vue d’obtenir de la part de la CSSF
un agrément PSF a été initiée au début de l’été. « Le moment
était venu de franchir un palier supplémentaire dans l’évolution
des activités de NSI Luxembourg. La maturité de la société le permettait
», estime Alain Wattier. « C’est une étape indispensable
pour poursuivre notre croissance au Luxembourg en même temps
qu’une opportunité d’améliorer nos processus ».
R
Cette acquisition pourrait se faire dans un domaine pour lequel
NSI Luxembourg ne dispose pas encore de ressources locales.
En l’occurrence, une entreprise active dans l’univers de l’ERP au
Luxembourg constituerait un objectif pertinent. « Il pourrait également
s’agir d’une opération de croissance externe qui renforcerait
nos équipes dans une activité que nous proposons déjà », précise
Nathan Mangenot. « L’acquisition d’une société active dans les
Professional Services pourrait consolider notre force de frappe et
nous aider à croître de manière organique. Le marché luxembourgeois
est un grand consommateur de ce type de services. C’est
d’ailleurs ce qui nous a permis ces dernières années de développer
nos compétences dans ce domaine, et ce auprès de clients de toutes
tailles », dit-il. « Au Luxembourg, avec les autres filiales du groupe,
Multidata et Rime-IT, nous comptons plus de 200 collaborateurs et
visons un effectif de de 300 personnes à l’horizon 2023 », ajoute-t-il.
U
— Expansion géographique
« Désireux de contribuer aux objectifs de croissance du Groupe,
nous avons aussi pour ambition de créer une nouvelle filiale en
France, afin de pouvoir rayonner dans toute région Grand Est jusqu’à
Strasbourg, où nous avons déjà des activités », nous apprend Nathan
Mangenot. Pour des raisons de proximité géographique et d’affinité
culturelle, c’est NSI Luxembourg qui est chargée de mener
à bien cet élargissement des activités. Notons que de nombreux
collaborateurs de la société sont des frontaliers français. « Ce
marché, nouveau pour nous, nécessite une stratégie différente de
celles que nous avons pratiquées jusqu’à présent, et l’expérience
acquise avec le développement de NSI Luxembourg ne peut que
nous aider dans la réalisation de nos objectifs », conclut-il.
D’autre part, poursuit-il, « nous restons attentifs à la possibilité
d’acquérir une entreprise qui nous permettrait d’atteindre la masse
critique pour devenir un acteur de poids sur le marché luxembourgeois.
Nous évaluons ce seuil à 300 collaborateurs. Nous sommes
d’ailleurs sur le point de déménager dans un nouveau bâtiment afin
d’être prêts à accueillir des équipes renforcées dans les meilleures
conditions. Nous avons retenu le choix de Belval, Pôle national de la
recherche et de l’innovation, afin d’intensifier notre présence dans
les secteurs de la recherche et de la santé. Ce lieu est également
idéalement situé pour accueillir des collaborateurs frontaliers ».
17
TECHSENSE Magazine #02
Inform
Is your data
IN THE CLOUD
SAFE?
| By Nastassia Haux |
The number of businesses migrating
to the Cloud is growing day by day. But
many businesses who have yet to make
the switch are concerned about one thing,
and that is security. How secure is the
Cloud? Is your data safe? Let’s find out.
?
18
Inform
TECHSENSE Magazine #02
T
he Cloud has been designed to offer maximum security.
The following features make the Cloud secure and the
ideal place to store your data.
— Redundancy
A key benefit of storing your data in the Cloud is that it is backed
up multiple times. The data you upload to the Cloud is stored on
physical servers. When the data is uploaded, it instantly gets
copied onto several servers in independent data centers. It means
that copies of your data are stored at multiple locations. This
redundancy ensures the safety of your data. Even if one server
fails, your data is safe on many other servers.
— 24/7 monitoring
Round-the-clock surveillance is another reason why cloud storage
is safe. All the major cloud service providers employ cybersecurity
experts at their operation centers. These experts ensure that the
cloud networks are monitored 24/7. The security teams proactively
look out for threats to eliminate them, preventing an attack from
happening.
TIPS TO KEEP YOUR DATA SECURE
ON THE CLOUD
• Enable two-factor authentication for
enhanced security. This feature is usually
turned off by default. Ensure to turn it on.
• In zero-knowledge encryption, your
encryption key is basically your account
password. Like all passwords, you should
take care to protect this encryption key.
• Disconnect your devices from the Cloud
when they are not in use to prevent
intruders from accessing your data.
Most cloud storage providers also have software teams working
for them that manage the security of the applications 24/7. The
software team patches security gaps and ensures that all systems
are up-to-date to prevent any security vulnerabilities.
Cloud storage providers also pay great attention to the physical
security of the servers. Most servers are kept under lock and key
and data centers are patrolled by security teams for added security.
— Encryption
All data on the Cloud is encrypted and only the owner of that
data has the encryption key. It is quite a common practice in the
cloud industry and is known as zero-knowledge encryption. Your
data is encrypted before it is stored in the Cloud. Thanks to zeroknowledge
encryption, even the cloud storage provider cannot
decrypt your data.
19
02
Learn
{ Verbe transitif }
Acquérir par l’étude, par la pratique,
par l’expérience une connaissance, un savoir-faire,
quelque chose d’utile.
20
Award winning IT partner
to the global alternative
investment sector
World Class Technology Services
for Alternative Investment
MANAGED CYBERSECURITY AND COMPLIANCE
CLOUD SERVICES
WORKSPACE AND COLLABORATION SOLUTIONS
24/7/365 IT SERVICES AND SUPPORT
MANAGED DATA SERVICES
DATA STRATEGY SUPPORT
DUE DILIGENCE SUPPORT
BUSINESS CONTINUITY PRACTICE
Whether you’re operating locally, nationally, or internationally,
RFA is your global technology partner
www.rfa.com
gralph@rfa.com
9 global locations
US | EU | APAC
3TECHSENSE Magazine #02
Learn
Orange Cyberdefense
QUESTIONS À
JEAN-SÉBASTIEN
BERNEYRON
| Propos recueillis par Michaël Renotte |
En quoi l’initiative Orange Cyberdefense consiste-t-elle ?
« Orange Cyberdefense est la filiale du groupe Orange dédiée à la
cybersécurité. Nous avons intensifié notre relation avec celle-ci afin
de développer de nouvelles offres adaptées à chaque organisation
luxembourgeoise, qu’il s’agisse de PME ou de grandes entreprises ».
« Notre volonté est de répondre aux préoccupations de nos clients
en la matière, en les faisant bénéficier d’une expertise internationale.
Orange Cyberdefense et ses 2 500 experts en cybersécurité, qui
accompagnent des organisations partout dans le monde, peuvent
faire valoir une connaissance fine des failles et des menaces au
service d’une meilleure identification des risques, protection
des systèmes et des données, identification des attaques et des
réponses à y apporter ».
« Toutes les organisations, quelle que soit leur taille, sont aujourd’hui
concernées par les menaces cyber : les attaques se multiplient et
se manifestent sous diverses formes. Après un bilan complet avec
nos clients, nous les accompagnons dans le renforcement ou la mise
en place de leur cybersécurité. Parmi les services proposés, nous
comptons par exemple le MicroSoC, qui permet de superviser des
incidents de sécurité au sein d’une infrastructure via le déploiement
d’un EDR. Un EDR - Extended Detection and Response - est une
solution de sécurité pour les points terminaux qui, dans un premier
temps, est venue combler le fossé des technologies antivirus de
nouvelle génération. Cette solution est capable de détecter des
attaques inconnues et de lancer des correctifs automatiques contre
ces menaces, avec des fonctionnalités avancées pour effectuer des
investigations à distance. Nous proposons également le Cyberdiag,
un rapide audit technique et organisationnel permettant de dresser
une feuille de route cybersécurité selon le niveau de sécurité actuel.
Bien sûr, nous pouvons également répondre directement à un
incident, ou encore proposer des exercices de gestion de crise ».
Où en est la prise de conscience des risques que les
cybermenaces font courir aux entreprises ?
« Depuis quelques années, les attaquants ont le plus souvent recours
à des rançongiciels, ces programmes malveillants qui infectent les
systèmes dans l’optique d’encrypter les données et paralyser l’activité.
Si de nombreux hôpitaux ont été victimes de telles attaques,
aucune entreprise n’est épargnée par ces actes malveillants. Plus
récemment, dans un contexte de fortes tensions géopolitiques, on
Toutes les organisations, quelle que soit leur
taille, sont aujourd’hui concernées par les
menaces cyber.
Jean-Sébastien Berneyron
Deputy Sales & Distribution
Director-B2B Market chez Orange
a vu se multiplier des attaques visant à détruire les données, sans
qu’une rançon ne soit demandée. Le vol de données personnelles,
très préjudiciable à l’entreprise qui est contrainte d’en assurer la
protection, constitue aussi un risque majeur. Les questions de
cybersécurité figurent donc parmi les préoccupations majeures
de tous les dirigeants d’entreprise, de plus en plus conscients de
leur dépendance aux services numériques et à la disponibilité de
leurs données informatiques ».
« Le Luxembourg possède plusieurs acteurs, étatiques ou privés,
qui sensibilisent et accompagnent les grandes entreprises sur ces
risques. La prise de conscience y est d’ailleurs plus importante par
rapport au reste du marché européen. Malgré tout, les PME restent,
comme partout en Europe, des cibles récurrentes de cybermenaces
puisqu’elles sont souvent mal protégées. C’est d’ailleurs sur ce périmètre
que le partenariat avec Orange Cyberdéfense va se focaliser
afin de permettre aux PME de se prémunir face à ces dangers ».
Comment Orange Cyberdéfense contribue-t-il à la sécurité du
cyberespace luxembourgeois ?
« Orange Cyberdefense, en partenariat avec Orange Luxembourg,
entend renforcer l’écosystème luxembourgeois de la cybersécurité
en apportant son expertise internationale et des outils à la pointe
pour accompagner les acteurs, améliorer la détection des attaques
et les réponses à apporter en cas de faille ».
« Orange Cyberdefense travaille depuis plusieurs années avec
de grands acteurs présents au Luxembourg. Ensemble, nous
développons de nouvelles offres de connectivité intégrant des
solutions de cybersécurité, et nous nous appuyons sur l’expertise
des 2 500 experts d’Orange Cyberdefense et sur ses 26 centres de
détection répartis dans 13 pays ».
22
We help build a safer future
Today, small, medium and large organizations are vulnerable to
cyberattacks. At Sogeti, we are committed to building a safer and secure
future through the power of limitless technology. As your valued and
trusted partner, we create end-to-end solutions that help protect your
organization from existing and future threats. Visit www.sogeti.lu
TECHSENSE Magazine #02
Learn
Is your organisation’s
cybersecurity
KEEPING
PACE WITH
ITS DIGITAL
CAPABILITIES?
| By Wim Remes,
Managing Director Security Services, Damovo |
The transition to digital is exciting for your
company. It’s opening up opportunities to deliver
better customer experience, empower your teams
to collaborate and innovate – and streamline
operations across the board. But is your approach
to cybersecurity keeping pace? If cybersecurity
isn’t integrated into your digital thinking and
approach, you could be exposing your organisation to
existential risk. This article explores how to develop
a cybersecurity mindset – where your continued
focus on risk reduction allows your company
to achieve even more …
Imagine a digitally evolving manufacturer. Its supply and
distribution chains are automated. AI and machine learning
are streamlining logistics. Millions of euros are being saved,
performance has been improved beyond expectation – and remote
access and collaboration mean colleagues from across the globe
can innovate together.
For sure, the digital transformation isn’t complete. There are still
some legacy apps hanging around. And some teams are using
shadow IT systems.
This multi-million-euro operation’s small cybersecurity and IT
team has too much work on its plate to even begin thinking about
moving to a risk-based approach. They are busy every hour of the
day – and as soon as they deal with one ticket, another three arrive.
And the CEO? He’s just returned from a Future of AI conference
and wants to drive even further digital evolution in the company.
They don’t have time to think ahead … let alone plan cybersecurity
more strategically.
Meanwhile, in another part of the world, a hacker has just finished
crafting a phishing email and is about to press “send”. He’s pleased.
The email looks like a genuine invoice from a well-known company.
A company, it just so happens, that supplies the manufacturing
organisation. It will only take one person to open the attachment,
and the organisation’s operations could grind to a halt. The big
question is, what happens next?
— A mindset of reducing risk
In the early days of company-wide IT systems, cybersecurity
meant policing traffic into and out of an organisation. Firewalls
created perimeters around a company’s IT network, which was
housed on its premises. Cybersecurity was like a sturdy outer
castle wall and gate.
Organisations need to stop thinking of
cyber security as an optional cost centre.
Fast forward a couple of decades, and the flow of digital interactions
through an organisation has become a lot more complex. Even the
simplest IT network is a sprawling web of connections that spans
the Cloud, third party suppliers and devices in multiple locations.
When you add into this mix the fact that the workplace could be
on-site premises, a home office or a train or plane … it becomes
clear that old ways of thinking about cybersecurity are no longer
fit for purpose.
Cybersecurity is no longer a matter of keeping guards at the
castle gate. Instead, the CISO or CIO must ensure their whole
organisation’s ecosystem of connectivity is assessed in terms of
risk. This is because any weak point in this vast web may have the
potential to disable the entire network.
24
Learn
TECHSENSE Magazine #02
For sure, the digital transformation isn’t complete.
There are still some legacy apps hanging around.
of distraction when working from home. Because are we really
as alert to phishing emails and rogue pop-ups when our kids are
wandering in and out of the room we’re working in?
However, security is not primarily a people problem. Risk reduction
has to be thought of at an architectural level. Or in other words,
however cyber-savvy your people are, if your system has weaknesses,
security remains an issue.
Wim Remes
Managing Director Security Services at Damovo
— Identifying expert partners
For many over-stretched IT departments, a good first step
in securing the network is to get outside support. The best
cybersecurity specialists become a strategic annex of your team,
bringing you the latest expertise, insights and advice – as well as
upskilling your colleagues and raising the profile of security and
IT in your organisation.
The very best cybersecurity partners will often introduce savings
– by identifying duplication of functionality and reducing IT-related
insurance premiums – which offset the cost of hiring them.
— End-to-end visibility of the network
and its vulnerabilities
To protect a network, it’s also critical to gain a full understanding of
what it is – by mapping out which software, devices and hardware
are in use.
This total view of the system can be used to reveal where potential
threats may lie – and it can be used to model responses.
Modelling response to risk is an effective way to begin to integrate
security in an organisation that doesn’t already have a single
approach. And it makes approaches scalable too.
This total visibility can pave the way to significant cost saving.
Organisations often unknowingly have a number of different
pieces of software whose functionality overlaps – so they pay
multiple times, instead of having a unified approach that they
pay for only once.
— Evolving a cybersecurity mindset
Unifying a system and training teams to be alert to threats are all
part of developing a cybersecurity mindset.
Giving teams awareness of what to do (and what not to do) is
important – especially when there’s the potential for greater levels
— Develop a roadmap – and take action
When you’ve audited your network and identified points of weakness,
you can begin to take action.
Modelling risk and response gives you options – and means that
you don’t have to do everything at once. Instead, the approach
gives you a priority list for you to tackle one by one.
For example, if an audit reveals that an accounts team is losing
money, a priority might be to introduce two factor authentication
(2FA). Then you can move along your roadmap, addressing the
most important issues and steadfastly focusing on risk reduction.
Security maturity doesn’t have to be achieved overnight. It can be
arrived at systematically and incrementally.
— Make it easy
It’s also important to make security easy – because if it introduces too
many additional steps, your teams will find ways to try to bypass it.
This is where approaches like ZeroTrust can be helpful. By giving
the right people access to the right resources at the right time,
security and user experience are both optimised.
— Get started
We’ve all heard of the poverty line. It’s the minimum income required
to secure the most basic living conditions. Most organisations
exist below the security poverty line, a concept developed by
cybersecurity luminaries Wendy Nather and Andy Ellis. It means
that organisations don’t have minimum security arrangements in
place to ensure even basic cybersecurity.
Organisations need to stop thinking of cybersecurity as an optional
cost centre. In today’s hybrid working environment where progressive
organisations benefit from digital connectivity, it is now a must.
Because when your employee receives that phishing email, you
want them to know they have to delete and report it. Even better,
you want a system in place where only known suppliers can access
your network.
The good news is that developing a cybersecurity mindset is
something that all organisations can start to do. If you’d like to
talk to us about developing your security maturity, please call
us today.
25
TECHSENSE Magazine #02
Learn
Cybersécurité en 2023 et au-delà :
TENDANCES
| Propos recueillis par
Michaël Renotte |
ET ENJEUX
Pierre Zimmer
Deputy General Director
chez POST Group
Le contexte a évolué et le Luxembourg, qui était jusqu’à
présent relativement épargné, figure désormais sur la carte
des cibles potentielles.
26
Learn
TECHSENSE Magazine #02
De par ses activités diversifiées, POST Luxembourg
occupe une position très particulière au Grand-
Duché, aussi bien pour l’économie nationale que
pour les résidents. Consciente de son rôle essentiel,
voire critique pour le pays, l’entreprise est obligée
de détecter les évolutions dans le paysage de la
cybersécurité et de développer les capacités pour y
faire face, nous explique Pierre Zimmer, Directeur
général adjoint de POST Luxembourg.
Quelles évolutions avez-vous observées au cours de ces
derniers mois en matière de cyber menaces ?
« Chaque trimestre, nous émettons notre bulletin météo de la
cybersécurité. Si le même type de phénomènes y apparaissent
constamment, de nouvelles tendances commencent à se dessiner.
Nous constatons notamment la survenue d’attaques de plus en plus
ciblées, massives et en temps réel. Par ailleurs, nous observons
que le contexte a évolué et que le Luxembourg, qui était jusqu’à
présent relativement épargné, figure désormais sur la carte des
cibles potentielles et que nous sommes devenus attractifs pour les
cyber criminels qui pratiquent ces types d’attaques ».
Cela dénote-t-il une montée en puissance des attaquants ?
« J’observe que, depuis quelques années, les attaques sont devenues
de plus en plus sophistiquées. Auparavant, il était assez
simple pour les équipes de sécurité de contrer les attaques du type
phishing, par exemple ».
« Aujourd’hui, les criminels ont franchi une nouvelle étape en menant
leurs attaques de ransomware en temps réel. Dans ce schéma,
l’information obtenue de la victime est exploitée immédiatement,
ce qui ne laisse pas à la cible le temps de réagir, même en cas de
soupçon de fraude ou de supercherie. »
« Une deuxième étape a été franchie avec l’apparition de la robotisation
dans l’arsenal des cybercriminels. Ceux-ci utilisent désormais des
robots informatiques qui leur permettent non seulement de mener
des attaques en temps réel, mais aussi de les lancer simultanément
à très grande échelle. Les dommages, créés en un laps de temps
très court, peuvent ainsi être très conséquents ».
« Une troisième tendance se dessine. Elle s’appuie sur une autre
technologie innovante qui est au centre des discussions dans de nombreux
champs d’application, l’Intelligence Artificielle. Les attaquants
ont commencé à recourir à l’IA, d’une part pour identifier et exploiter
les données pertinentes collectées lors d’attaques de phishing par
exemple, et d’autre part lors de l’attaque proprement dite. Cette forme
d’ingénierie sociale basée sur l’IA permet aux criminels d’élaborer des
scénarios particulièrement crédibles lors de leurs interactions avec leurs
victimes, que ce soit par téléphone, par courrier électronique ou par
SMS. Avec ce type de méthode, le retour sur investissement obtenu par
les attaquants est bien meilleur qu’avec les moyens utilisés par le passé
puisqu’en établissant un dialogue plus pertinent avec leurs victimes,
ils voient augmenter le nombre d’attaques couronnées de succès ».
Que cela implique-t-il pour les entreprises ?
« Les entreprises de tous types, ce qui inclut les services publics
et les opérateurs d’infrastructures critiques, sont exposées et
doivent donc faire face à ce type d’attaques. Le côté positif :
beaucoup d’acteurs se sont déjà rendus compte qu’ils ne peuvent
plus se limiter à une simple défense périphérique. Au contraire,
les organisations doivent s’attendre à ce que des intrusions aient
effectivement lieu, faire le nécessaire pour en limiter l’impact et se
donner tous les moyens pour retrouver un niveau d’activité optimal
le plus rapidement possible ».
« Aujourd’hui, pour assurer une sécurité optimale, il faut connaître
intimement le fonctionnement de son système informatique. Bien
sûr, celui-ci n’est pas constant et varie périodiquement en fonction
des fluctuations dans l’activité de l’entreprise, comme les vacances
ou les pics de production, mais aussi du contexte. Ainsi, les accès
extérieurs se sont accrus pendant le confinement lié à la pandémie
de la COVID-19 et la vague de télétravail qui en a résulté. Lorsque
le contexte évolue, il faut créer un nouveau référentiel qui en tient
compte pour être de nouveau capable de détecter les anomalies
parmi les quantités de données qui remontent des systèmes. Cela
permet également aux équipes de travailler à partir de données
pertinentes sans être submergées par des faux positifs, dangereux
parce qu’ils consomment une part significative de l’énergie des
spécialistes, précieuse sur un marché en pénurie de ressources ».
« C’est dans ce sens que va l’action des régulateurs et des instances
supranationales qui incitent les organisations qu’ils encadrent à
faire appel à des intervenants externes capables de mener des simulations
d’attaques dans des conditions les plus proches possibles
de la réalité. La Banque centrale européenne a ainsi développé le
programme TIBER-EU pour tester et améliorer la cyber-résilience des
institutions financières en réalisant des cyber-attaques contrôlées
basées sur des scénarios de menaces réelles. Je pense qu’à l’avenir,
les secteurs sensibles ou critiques se verront de plus en plus imposé
ce type d’exercice pour démontrer leurs capacités à faire face aux
incidents de cybersécurité. Un autre point d’attention porte sur le
sabotage interne, qui présente d’ailleurs beaucoup de similitudes
avec le ransomware et les attaques ciblées en termes d’impact
comme de temps de préparation ».
Que nous réserve le futur ?
« À plus long terme, nous devons nous préparer à l’émergence de
l’informatique quantique en adaptant régulièrement les algorithmes
d’encryption qui protègent nos communications. Les experts de
POST travaillent déjà, en collaboration avec des acteurs européens
et internationaux, sur des projets innovants d’échange de clés
quantiques par satellite ».
« Mais quoique nous réserve le futur, il faut garder à l’esprit que
les maillons les plus faibles de la chaîne de cybersécurité restent
les êtres humains. Par conséquence, nous devons intensifier nos
efforts en vue de sécuriser les équipements et de sensibiliser leurs
utilisateurs à la nécessité d’exercer une vigilance constante ».
Pour assurer une sécurité optimale, il faut
connaître intimement le fonctionnement de son
système informatique.
27
TECHSENSE Magazine #02
Learn
For the Luxembourg Stock Exchange,
THE FUTURE
IS DIGITAL
| Interview by Michaël Renotte |
Julie Becker, CEO of the Luxembourg Stock Exchange, believes
that the digitalisation of capital markets is not only a powerful
lever of innovation and performance, it will also help develop
sustainable finance and facilitate the financing of investment
projects with positive green and social outcomes. She told us why
and how LuxSE intended to build on the power of new technology
to contribute to more efficient and digital capital markets.
Julie Becker
CEO of the Luxembourg
Stock Exchange
In January, the Luxembourg Stock
Exchange announced that security
tokens could be admitted on its
Securities Officials List, aka LuxSE SOL,
and Société Générale became the first
issuer to bring its security tokens to
LuxSE. What is your vision of the future
development of digital assets and what
role will institutions like yours play in
shaping it?
"Digitalisation is taking every industry by
storm, and the capital markets industry is
no exception. In recent decades, technology
has transformed the ways in which stock
exchanges operate, and this will continue
to be the case in the years to come."
"At the Luxembourg Stock Exchange, we are
fully aware of how important it is to keep up
with the rapid pace of digitalisation, and we
are committed to modernising and digitising
our exchange and contribute to more digital
capital markets overall."
"We firmly believe that using DLT to issue
financial instruments represents an
important step towards the digitalisation
and modernisation of financial markets,
one that can contribute to creating a more
open and accessible financial system. Digital
assets such as security tokens have the
potential to improve efficiency and provide
additional transparency in financial markets,
all while making transactions safer and
more resilient."
"This is also reflected in the proposed EU
Pilot Regime for Market Infrastructure based
on DLT, which will come into force in March
2023, permitting the processing of security
tokens through market infrastructures in
compatibility with applicable EU regulations
during a transitional period. It will mark a
significant step in the EU’s ambitions to
prepare capital markets for a digital future,
support digital innovation, and strengthen
consumer and investor protection while
ensuring financial stability."
"As a stock exchange, we are at the centre
of the financial industry, and we therefore
have a responsibility to innovate and drive
capital markets forward. The admission
of security tokens at LuxSE constitutes a
true milestone for EU financial markets, in
that we are the first exchange in the EU to
offer this unique, innovative and publicly
accessible solution for issuers and investors
of these instruments. More importantly,
the admission of DLT securities on LuxSE
SOL provides important visibility to DLT
instruments and their issuers and facilitates
the dissemination of indicative prices and
securities data on this new form of financial
instruments."
"As a market operator, we have a role to
play in the use of DLT in financial markets.
Our aim is to ensure the interoperability of
DLT issuance platforms, to avoid market
fragmentation."
"Without a doubt, this is a major step
towards the digital transformation of
our exchange, and a very first building
block in our contribution towards price
dissemination, data and transparency of
financial instruments issued using DLT.
Ultimately, we hope that this initiative
will encourage other financial players to
capitalise on this disruptive technology and
help meet our industry’s evolving business
needs in tomorrow’s digital economy."
The European Commission has made the green and digital
transition its overarching priority.
28
Learn
TECHSENSE Magazine #02
Four years ago, LuxSE undertook
a strategic reflection exercise on
the future evolution of its existing
technological assets and resources.
This led to an ambitious digital
transformation programme directed
towards becoming an agile organisation
at multiple levels and entailing a move
to the Cloud. How did this enable
LuxSE to deliver new solutions faster
and ensure better flexibility and
accessibility for clients, employees,
and other stakeholders?
"As I mentioned earlier, digitalisation is
becoming increasingly important across
all industries – and even more so in finance.
If you don’t innovate, both in terms of the
resources you offer your employees and the
solutions your clients benefit from, you risk
being left behind."
"Moving our entire infrastructure to the Cloud
is a complex project, but also a key part of
our digital agenda. Thanks to this move,
we are constantly improving connectivity,
flexibility, and speed, both for our clients
and for our teams."
"Our move to the Cloud enables us to be much
more agile and better respond to different
needs and expectations. It allows us to
provision additional capacity and allocate
our resources according to where they are
needed, without affecting our business
operations. Cloud computing also offers
the ability to distribute data across multiple
servers to make applications scalable and
resilient."
"In 2019 and 2020, our efforts focused
primarily on the technological teams, but
since 2021, our business lines have been
much more involved, and they are gradually
using a growing number of applications
based on our new cloud-based standards."
"Our move to the Cloud has been implemented
to strengthen our interactions with our
clients, partners and other stakeholders,
while also increasing our own reactivity
and productivity. While we are still in the
process of completing this migration, we are
already starting to reap the benefits of this
transition, both internally and externally."
"Ultimately, digitalisation is about more than
just improving connectivity and flexibility
and reducing costs – it is about simplifying
processes, both for our clients and for our
teams internally."
How can digital solutions using
technological advances such as
Artificial Intelligence, automation,
distributed ledgers and cloud
technologies, among others, help
improve the stock exchange listing
process and other capital market
operating modes?
"As market operators, we are service providers
to capital markets and we can capitalise on
the power of new technology to contribute to
more efficient and digital capital markets."
«One of the main benefits of making capital
markets more digital is that we can better
meet our clients’ needs, and help make their
tasks and the overall listing process more
seamless and efficient. This was the objective
of our e-Listing tool which now allows our
frequent issuers to carry out the listing
process at LuxSE completely online.»
"In 2019, we acquired a stake in the Londonbased
fintech Origin, a company working to
streamline and digitise the still quite manual,
time-consuming and complex bond issuance
process. Thanks to our cooperation and the
technical developments we achieved with
Origin, we successfully completed the first
fully digital listing of a debt security on LuxSE
via Origin’s digital platform in March 2021.
Issuers can now “List in a click” on LuxSE
via Origin’s platform."
"Digital transformation is also synonym with
taking bolder steps, and this means making
the most of new technologies. New tech
solutions such as DLT and asset tokenisation
can help integrate capital markets, safeguard
financial stability and more importantly,
secure consumer protection."
"Digital innovations and FinTech have made
financial services such as bank services
much more accessible, and we now need to
do the same for capital markets and remove
barriers to entry."
Our societies are simultaneously
engaged in a digital transformation and a
green transition. Despite some apparent
contradictions between both trends, can
one be done without the other?
"The European Commission has made the
green and digital transition its overarching
priority, so in short, the answer to this question
is no – one cannot be done without the other.
On the one hand, the digital transformation of
our societies is inevitable, while on the other
hand, the green transition is a necessity."
"One could argue that digital transformation
has to a certain extent helped highlight the
need for the green transition. What is clear
is that digital transformation goes hand in
hand with the need to shift towards more
sustainable business models and behaviours.
More importantly, it has the potential to
accelerate the transition to net zero in
many sectors."
"This twin transition, and the increased focus
on and investments in green solutions and
digital developments will affect our economy
and our society, and most definitely transform
capital markets as a whole."
"We have seen an exponential growth in
sustainable finance over the past five years,
but there is still a long way to go. Finance
needs to be at the heart of the solution to
our global challenges, starting with climate
change, and that means that we need to
transform finance from the inside out."
"We ought to mobilise capital towards our
climate goals, and work with all our issuers
to accelerate their climate transition. But
the digitalisation of capital markets will
also play a key role in the success of our
green transition, which is precisely why
digitalisation is so important to us as an
exchange. Last but not least, just as we do
in sustainability, we also need to ensure
convergence of standards and collaboration
within the digitalisation process."
"Finally, it is also crucial to acknowledge and
address the gender gap. Having more women
in digital would bring different perspectives
and new ideas, which is essential to get the
transition right."
"We will continue to capitalise on new
technology to simplify the listing process and
reporting for our issuers, and data – including
sustainability data, which is essential to drive
more sustainable investment choices – will
continue to play an essential role in financial
markets and in financial decision making."
"Ultimately, the digitalisation of capital
markets will help make sustainable finance
truly global, transparent, and facilitate the
financing of investment projects with positive
green and social outcomes."
DOSSIER LUXEMOURG STOCK EXCHANGE
29
TECHSENSE Magazine #02
Learn
Luxembourg Stock Exchange:
TOWARDS A DIGITAL AND
SUSTAINABLE FUTURE
| Interview by Michaël Renotte |
LuxSE CEO Julie Becker recently
highlighted the increasing role that
the digitalisation of capital markets is
expected to play in the development of
sustainable finance. How do you expect
this to take shape over the coming years?
LH: Sustainable finance has been on the
agenda of the Luxembourg Stock Exchange
for some time now. It has been 6 years since
we created our platform for sustainable
instruments, the Luxembourg Green
Exchange. It is now clear that sustainability is a
topic that will become increasingly important.
People understand more and more the role
it has to play in the real economy.
In my opinion, the same applies to
digitalisation. These two major trends need to
be addressed together. They present similar
challenges, because in the past these two
topics have been addressed as silos within
specific departments. They are in fact crosscutting
matters and both require training
not only for the entire staff of the company
but also for all the stakeholders with whom
we interact.
When it comes to digital-backed sustainable
finance, the applications we are seeing
emerge revolve around impact data. This may
include, for example, proving that financing
a given project has a positive environmental
or social impact. This can be done today
by measuring CO2 emissions at source or
for example by using satellite data. This
information can then be digitised so that
everyone can have access to it, across the
entire value chain and all financial actors.
LP: At the Luxembourg Stock Exchange,
digitalisation is designed along two axes: the
improvement of the user experience, both
internal and external, and the digitalisation
The Luxembourg Stock Exchange
holds a central position in the
country’s financial ecosystem, which
goes along with the responsibility
to bring innovation and to act as
a change driver in digitalization
and sustainable finance practices.
These are the reasons why LuxSE
was one of the first major financial
institutions to migrate its entire
technical infrastructure to the Cloud
and to take a pioneering role in listing
security tokens, say CIO Laurent
Pulinckx and Head of Sustainable
Finance Laetitia Hamon.
of assets through tokenisation. In January
2022, LuxSE admitted three security tokens
issued by Societe Generale on its Securities
Official List. These are two areas to which we
pay particular attention and in which we are
very active. We have also played a pioneering
role in these two areas.
The Luxembourg Green Exchange
– LGX - is reputed to be the world’s
leading platform for green, social and
sustainable securities. LuxSE and
its LGX team are constantly working
to develop the platform, facilitate
sustainable investment and contribute to
accelerating the green transition. In this
context, what roles are the LGX Academy
and the LGX DataHub called upon to play?
LH: We realised, even before 2020, that
there was a lot of sustainability data - on
countries, companies, the environment,
social issues, etc. - on the market. But this
data was disparate, scattered over many
documents, presented in different formats,
and therefore difficult to extract. In short,
despite the volume of data available, it was
difficult to use and compare it in a meaningful
way. However, the European regulation on
sustainability-related disclosure in the
financial services sector requires financial
players to report on this data. At LGX, we
understood that the best way to address
this challenge would be to develop a central
database that would bring together data on
green, social and sustainable securities so
that investors could be confident that they
were making the right decisions against
these criteria.
We now have a platform, LGX DataHub,
which includes sustainability data not only
on securities listed on the Luxembourg
Stock Exchange but anywhere in the world,
representing a global coverage of over 8,000+
green, social, sustainability and sustainabilitylinked
bonds. The purpose of this platform
is to allow users to extract data, analyse and
compare the impact of different securities
and make more informed and sustainable
investment decisions.
We also realised that if we wanted to help shift
capital flows to green, social and sustainable
projects, it was essential that everyone
understood what we were talking about and,
above all, knew how to proceed. In May 2020,
we therefore set up the LGX Academy, which
enables financial players in Luxembourg
and abroad to familiarise themselves with
the basics of sustainable finance, as well
as with the regulations, standards and
products, all illustrated by numerous practical
cases. So far, we have trained around 300
professionals representing banks, other
stock exchanges, professional services
firms, asset management companies, etc.
30
Learn
TECHSENSE Magazine #02
also reduced the number of historical versions
of saved files. These are small improvements
that we are implementing gradually and that
allow everyone to understand that we can
be more sober in our digital behaviour. But
it really makes a difference.
Laetitia Hamon
Head of Sustainable Finance of the
Luxembourg Stock Exchange
LP: Using innovative technologies and agile
methods allows us both to accelerate the
launch of new products and to adapt the
model in line with regulatory changes. This
is made possible by the thorough market
knowledge of our functional teams but also
by the maturity of the relationship between
them and the IT teams. This requires daily
exchanges in order to remain aligned with
each other, understand changes and develop
solutions quickly.
According to a recent IDC report, the
continued adoption of cloud computing
could prevent the production of up
to one billion metric tons of carbon
dioxide from 2021 to 2024. Apart from
these direct effects towards greener IT
operations, what are the wider benefits
of digitalisation, in light of your own
experience?
LP: It is clear that digitalisation is part of
the solution in the struggle to decarbonise
the economy. The electricity consumption
generated by a videoconference, for example,
is much less than the amount of CO2 that
would have been emitted to hold a physical
meeting with the same participants.
In concrete terms, three factors need to
be considered: infrastructure, application
and user behaviour-induced consumptions.
In terms of infrastructure, we are closely
monitoring the efforts made by Microsoft - our
Laurent Pulinckx
CIO of the Luxembourg Stock
Exchange
cloud services provider - to make technologies
more CO2-efficient. In 2021, a staggering 5.8
gigawatts of renewable energy was used by
Microsoft in their cloud systems.
In application development, the next step
will be to bring power consumption - and
therefore CO2 production - into the way
applications are coded, just as security and
cost became a part of our practices a few
years ago. There are several ways of coding
applications, some of which are more energyefficient
than others. From next year, we will
start to train our developers on this issue.
Thirdly, we have already started to work
on user behaviour by regularly publishing
tips and tricks on how to reduce energy
consumption. This includes, for example,
avoiding storing the same file multiple times
or sending emails with large attachments. We
are confident that linking CO2 emissions more
closely to transactions will have a significant
impact on user behaviour. Personally, I am
convinced that in the future, businesses and
organizations will have to pay more attention
to their digital environmental and social
responsibility, which involves implementing
awareness and training policies that leave
no one behind.
LH: I can attest to the fact that since we have
been using Microsoft’s SharePoint cloud
service, we have made a habit of sending links
with our emails rather than large files. We have
How does the ongoing wave of
digitalisation at LuxSE help improve the
services you deliver ?
LP: At LuxSE, digitalisation has several
objectives. One of these objectives is to
create new products, such as the LGX DataHub
platform. The aim is to be able to quickly
develop and test products that meet the
needs of the market. A second focus is on
improving user experience. For example,
the interface of our e-Listing service allows
issuers to connect directly to our systems
either via API or web page. The platform
even offers, – thanks to our partnership with
UK-based start-up Origin – a feature called
listing in one click which is a fully automated
process between the issuer and LuxSE. A third
objective is to improve internal processes
and make them faster, more efficient, and
more transparent.
LH: LGX was created in 2016, a few months
after the Paris Agreement and the creation of
the United Nations Sustainable Development
Goals. Following these events, the reaction
in Luxembourg was very quick, as is often
the case when it comes to being flexible
and innovative and contribute to new,
global developments. At LuxSE, apart from
facilitating sustainable investment and
accelerating the sustainable finance agenda,
we have been very active in working groups,
such as the European Commission’s expert
group on sustainable finance which led to
the current action plan. It is this promotional
effort in working groups, associations and
the education system that has brought us
to this point and explains why many other
stock exchanges are following the path
we have set out. LGX has received several
awards from international organisations,
including the United Nations Global Climate
Action Award 2020 and the Stock Exchange
of the Year award granted by Environmental
Finance as part of the Sustainable Investment
Awards 2022.
DOSSIER LUXEMOURG STOCK EXCHANGE
31
TECHSENSE Magazine #02
Learn
Digitalisation :
IMPACTS ET CONTRAINTES
| Interview by Nastassia Haux |
La Bourse de Luxembourg
(LuxSE) est la première institution
financière d’importance à avoir
choisi de migrer ses systèmes
d’information vers le Cloud.
Faisant œuvre de pionnier, LuxSE
a élargi sa stratégie pour y inscrire
les nouvelles attentes sociétales
et environnementales qui se
superposent au seul contexte de
digitalisation. Thomas Kieffer,
Head of Emerging Products
Delivery chez LuxSE, nous fait part
de ses observations à cet égard.
Le concept de digitalisation n’est pas
nouveau. Néanmoins, il reste au cœur
des préoccupations des entreprises.
A-t-il évolué au fil des temps et en quoi
consiste-il principalement aujourd’hui ?
Et quels en sont les principaux enjeux ?
L’évolution de la signification du terme
digitalisation est passée de la transition du
papier à l’électronique vers une amélioration
des processus accompagnés d’automatisations
; l’objectif restant de tendre vers
plus d’efficience opérationnelle ainsi que
d’accroitre la qualité, ceci dans l’optique
de permettre un meilleur time-to- market
pour les entreprises. L’évolution des
technologies sous-jacentes comme l’IA, la
RPA et la DLT, sans oublier des approches
agiles, permettent aujourd’hui d’atteindre
ces objectifs.
Se pose alors la question des impacts de
la décentralisation et de l’automatisation
sur l’environnement et la société …
La question de savoir si nous tendons
vers un alignement avec les objectifs de
développement durable au niveau de l’entreprise,
voire au niveau sociétal, doit se
poser. En effet, la digitalisation entraîne
un accroissement de consommation de
Thomas Kieffer
Head of Emerging Products
Delivery chez LuxSE
ressources informatiques, que ce soit pour
le stockage des données, leur processing,
ainsi que par la nature de technologies
distribuées comme la Blockchain. Tout
comme le processus des entreprises, ces
technologies tendent à s’améliorer en fonction
de l’ampleur de leur démocratisation. Un
exemple récent concerne le Merge récent
d’Ethereum et le passage de l’algorithme
de consensus du Proof of Work au Proof
of Stake qui a permis une diminution d’un
ratio de 100 de la consommation électrique
de ce réseau. Concernant les enjeux sociaux,
l’automatisation des tâches entraîne
aussi un changement dans les besoins en
termes de compétences et, s’il n’est pas
accompagné de la meilleure manière, un
risque sur l’employabilité des ressources.
Derrière tous les avantages de
la digitalisation - optimisation
des processus, automatisation,
décentralisation… - , quelles en sont les
contraintes ?
Derrière ce qui semble être des contraintes,
apparaissent souvent des opportunités.
Si nous revenons sur l’automatisation des
tâches, nous constatons que ce simple fait
permet aux équipes de se focaliser sur
des tâches à plus haute valeur ajoutée.
C’est pourquoi il est important de gérer
ce changement de paradigme, de l’industrialisation
humaine vers l’industrialisation
informatique. Ceci en commençant par
une gestion du changement accrue, par la
formation des employés vers des nouveaux
métiers où leur potentiel sera exploité pour
des tâches plus hautement valorisées.
Par ailleurs, les cursus scolaires devront
être adaptés et devront se focaliser sur de
nouvelles compétences, plus adaptées à
ce nouveau cadre. Au sein de LuxSE, nous
avons une approche de co-création avec
les équipes métiers où nous permettons à
celles-ci de monter directement en compétence
en expérimentant et en leur donnant
l’opportunité de mettre en pratique ellesmêmes
les automatisations.
Pensez-vous que la balance
digitalisation versus impacts sociétaux
et environnementaux est équilibrée
ou penche-t-elle plus d’un côté que de
l’autre ?
La métaphore du balancier s’applique plutôt
bien dans ce contexte. Même si l’équilibre
est une notion relative, nous devons surtout
nos concentrer sur l’amplitude des oscillations.
Nous étions en premier lieu dans un
positionnement à une extrémité, où la digitalisation
et les technologies préliminaires
très consommatrices devaient fonctionner
en apportant des gains économiques ou
qualitatifs à court terme, ceci sans tenir
compte des impacts que cela pouvait avoir.
Nous avons ensuite basculé vers l’autre extrémité
où le focus est placé sur l’inclusion
sociétale, l’optimisation environnementale
et l’accessibilité des technologies. Mais ceci
entraîne en transition une limitation de la
généralisation ainsi qu’un ralentissement de
l’adoption. Le pseudo équilibre ou centrage,
quant à lui, sera atteint quand nous aurons
adressé la gestion du changement dans son
intégralité, permettant non seulement une
accélération des pratiques mais aussi une
accélération de l’adoption.
32
Learn
TECHSENSE Magazine #02
Les deux principaux axes sur lesquels
LuxSE a basé sa transformation sont
l’innovation technologique et la prise
en compte des nouvelles attentes
en matière d’environnement et de
société. Que signifient-t-elles et quels
besoins et exigences ces dernières
recouvrent-elles ?
LuxSE est pionnière dans l’adoption des
nouvelles technologies, mais également
dans son approche concernant la finance
durable et les aspects ESG. Ce sont deux
piliers fondamentaux de notre mission.
Si l’on explore nos technologies au travers du
prisme ESG, il sera plus facile de comprendre
en quoi ces éléments sont intimement liés
à nos yeux.
Luxembourg Stock Exchange
ALIGNE TECHNOLOGIES
MODERNES ET APPROCHE ESG
| Interview by Nastassia Haux |
À la suite de Thomas Kieffer, qui évoquait les problématiques sociétales
et environnementales de la digitalisation, Yannick Bruck, Chief
Technology Officer, apporte sa vision sur la manière dont la Bourse de
Luxembourg (LuxSE) y répond. Comment cette institution aborde-t-elle
ces questions ?
D’un point de vue environnemental, notre
migration complète vers une infrastructure et
des services cloud, doublée d’une modernisation
de nos applications, permet d’assurer
une consommation énergétique plus basse
et plus adaptée à l’utilisation. En particulier,
utiliser une approche micro-services permet
de découper une application en de multiples
composants qui peuvent, indépendamment
des autres briques, adapter leurs performances
- et donc leur consommation - en
fonction de la sollicitation - et donc de l’utilisation
qui en est faite -, surtout lorsqu’ils sont
déployés sur des plateformes mutualisées,
type Kubernetes. Les ressources ne sont
plus bloquées par une application pour faire
face à un pic de demandes à un instant de la
journée, mais sont constamment adaptées et
élastiques. Cela a donc un impact sur notre
consommation énergétique, mais également
sur notre bilan carbone.
D’un point de vue sociétal, nous utilisons un
certain nombre de composants et services
qui s’inscrivent dans un écosystème vertueux.
Il peut s’agir d’open source ou d’utilisation de
services SaaS et de collaboration permettant
de partager l’information, partager les
fonctionnalités développées et déployées une
fois mais utilisées par plusieurs, et de rendre
plus accessibles certaines technologies
coûteuses - AI, Blockchain, infrastructure
moderne,…
D’un point de vue gouvernance, LuxSE a vu
son approche de travail s’orienter vers un
mode beaucoup plus agile ces dernières
années, tout en utilisant à bon escient les
capacités de notre nouvelle infrastructure
- infrastructure as code, policies de sécurité
ou de déploiement, etc. - au regard de
nos devoirs en matière de compliance et
régulation.
Nous pouvons donc dire que le Cloud
vous aide particulièrement à atteindre
vos objectifs …
Effectivement. C’est un aspect important
dans notre relation avec notre fournisseur
cloud au vu des points ci-dessus, mais
également par rapport aux services qu’il
nous rend. L’engagement en faveur d’une
neutralité carbone, d’une optimisation importante
de la consommation énergétique
et des actions menées pour l’environnement
de manière générale nous assure un alignement
complet sur toutes nos couches
technologiques avec notre stratégie ESG.
Quels sont les autres enjeux majeurs ?
II est important de prendre en compte le
contexte et le marché des ressources. Nous
devons réfléchir à la façon dont l’évolution de
la technologie peut nous permettre de délivrer
en plus grande quantité et de meilleure
qualité avec le personnel déjà présent, tout
en lui permettant d’évoluer ou d’être assistés
par la technologie ; soit en le délestant de
Yannick Bruck
Chief Technology Officer
chez LuxSE
tâches chronophages mais récurrentes
par le biais de l’automatisation, soit en
lui fournissant une aide pour en faire des
« employés augmentés », c’est-à-dire pour
lesquels la technologie amène des éléments
de prise de décision ou de contrôle avancés
afin de faciliter le quotidien. Nous pouvons
prendre l’exemple de l’IA, qui peut intervenir
sur la reconnaissance d’images, de documents
ou l’extraction d’informations, mais
également proposer des prédictions selon
les types de décision ou les plateformes
utilisées dans le cadre de la digitalisation
pour automatiser des tâches.
La migration vers le Cloud semble
être la première étape de votre
transformation. Quelles seront les
prochaines ?
La digitalisation des métiers est primordiale
au vu du point précédent. Mais je tiens à rappeler
que le Cloud est un projet qui s’inscrit
dans le temps. Après cette première étape
de migration totale sur le Cloud, d’autres vont
suivre, telles que l’optimisation de l’infrastructure
face aux nouveaux besoins ou l’adoption
de nouveaux services et technologies lorsque
disponibles sur notre plateforme.
Nous pouvons aussi évoquer la nouvelle
règlementation DORA, qui concerne la résilience
opérationnelle. Comment notre
infrastructure va-t-elle être capable de
résister à différents types d’attaques, de
chocs et d’événements ? Qu’ils soient technologiques
ou même climatiques, comme
lorsque certains datacenters de fournisseurs
Cloud ont dû cesser leur activité cet été,
lors d’une vague de chaleur. Ce sont autant
d’éléments qui montrent l’intrication des
sujets technologiques et ESG sur lesquels
nous travaillons actuellement.
DOSSIER LUXEMOURG STOCK EXCHANGE
33
TECHSENSE Magazine #02
Learn
5 key factors
OF A
DISASTER
RECOVERY
PLAN
01
— Roles and responsibilities
The first thing your disaster recovery plan needs is a
disaster recovery team. Whose responsibility is it to
implement the instructions that are specified in the
disaster recovery? Defining the roles and responsibilities
of different teams and individual members within these
teams is essential to carry out disaster recovery efficiently
and avoid chaos.
There should be clearly defined roles, such as who has the
authority to declare an emergency, who has the authority
to disclose a security incident to stakeholders, and so on.
| By Michaël Renotte |
The first goal of a business is always to prevent a
disaster. But in this high-risk, digital-first world of
business today, preventing cyber threats entirely is a
near impossibility. No matter how hard organizations
try, cybercriminals are always a step ahead. That is
why CIOs need to be prepared for the worst-case
scenarios. What happens if a security breach does
occur? Organizations cannot just wait for something
to happen and then think of a solution. In the case
of cybersecurity and incident response, a proactive
approach is essential.
02
— Critical documents and resources
A cyber attack may put a lot of your resources at risk,
but immediate action to recover all of them may not be
possible. In an emergency situation, you have to know how
to prioritize. So a disaster recovery plan must clearly list
all the critical documents, resources, and applications
that must be saved immediately to help the business
continue with minimum impact. Identify which areas
can tolerate the least downtime and focus on restoring
those as a first step. Long-term solutions may take time
and such areas can be restored slowly.
This is where the disaster recovery plan comes in.
IT companies and other organizations need not just robust
cybersecurity measures but also clear instructions for
what they need to do in the case of a breach. The aim is always
to minimize the damage and downtime resulting from a security
incident.
Here are a few key factors of a disaster recovery plan that every
CIO and IT manager should be aware of.
34
Learn
TECHSENSE Magazine #02
03
— Backup
A very important part of any disaster recovery plan is
backup. All your critical business data and documents
must be backed up in more than one place, preferably on
the cloud and off-site. But how frequently are data backups
carried out? Which data is backed up regularly? All of this
must be clearly mentioned in a disaster recovery plan.
Critical documents like financial statements, customer
data, vendor data, employee data, etc., must be securely
stored so that they can be restored soon after a security
incident.
04
— Communication
The disaster recovery plan must also specify who needs
to be intimated in the case of a security breach. The
DR team must know who needs to be notified about
the incident. Usually, organizations are responsible for
communicating about a security incident to all their
stakeholders, including employees, customers, vendors,
regulatory authorities, and others.
How and when this communication must be done is a
key part of any disaster recovery plan.
05
— Test, review, and improvements
A disaster recovery plan is not a one-off activity.
Organizations cannot just set it and forget it. It needs
to be continuously assessed, tested, and improved.
Risks keep evolving and new threats arise every other
day. The DRP also has to evolve with these changes.
So, CIOs must remember that testing and continuous
improvements are key factors of a disaster recovery
plan too.
KEY TAKE-AWAYS
In the event of a security breach, IT
managers and CIOs do not have the time
to think if they really want to mitigate the
impact of the breach. Having clearly defined
instructions makes the response to such
incidents much swifter and more efficient.
Knowing what makes a solid disaster
recovery plan is the first step towards
minimizing the damage done by a cyber
attack. If your disaster recovery plan has
these five key factors in place, the battle is
half won.
35
TECHSENSE Magazine #02
Learn
Cybersécurité
LE RECOVERY COMME
DERNIER RECOURS
| Propos recueillis par Michaël Renotte |
Face au nombre croissant de cyber attaques et d’événements liés à
la cybersécurité, les entreprises peuvent améliorer leur résilience en
veillant à inclure dans leurs processus de gestion des risques un plan
performant de reprise d’activité adapté à cette nouvelle menace.
Un tel plan permet de minimiser l’impact des incidents sur l’organisation
et de retrouver rapidement un niveau d’activité optimal.
Au Luxembourg, Anidris s’en est fait une spécialité. Didier Annet,
Senior Business Unit Developer, nous en expose les enjeux.
Didier ANNET
Senior Business Unit Developer,
En matière de protection contre
les cyberattaques, le NIST
Cybersecurity Framework - un
cadre conçu par le gouvernement américain
ayant pour objectif d’améliorer la
capacité des entreprises et des institutions
publiques à protéger leurs actifs
en cas de cyber incidents – identifie cinq
fonctions représentant un ensemble de
critères relatifs aux différents aspects
de la cybersécurité : identifier, protéger,
détecter, répondre et restaurer.
« Quand nous abordons le sujet avec les
équipes de sécurité informatique de nos
clients, le versant restauration – ou recovery
- est souvent traité superficiellement, voire
ignoré, parce qu’il ne tombe pas directement
sous leur responsabilité », constate Didier
Annet. « Pourtant, lorsque tout a échoué,
il faut repartir des sauvegardes pour reconstruire
les capacités opérationnelles
de l’entreprise dont les systèmes d’information
ont été compromis. C’est un point
d’attention particulier pour nous : depuis
10 ans, Anidris est le principal spécialiste
de la sauvegarde et de la restauration de
données au Luxembourg ».
Ce domaine est vital pour la santé d’une
entreprise, qu’elle soit financière, commerciale
ou réputationnelle. A cela s’ajoutent
aujourd’hui des contraintes de gouvernance
et de conformité. « De plus en plus souvent »,
confie Didier Annet, « nous rencontrons des
situations où une entreprise ayant contracté
une assurance contre les cyber attaques
se voit imposer par l’assureur la mise en
place d’une série de procédures. Ce client
nous contacte alors précipitamment parce
qu’il faut intervenir de toute urgence. C’est
là où nous touchons à la conformité. Cela
peut relever de la CSSF, ou de tout autre
autorité de régulation. Des contraintes
claires et précises sont par exemple stipulées
dans les circulaires CSSF et les institutions
financières doivent impérativement les
observer pour être en conformité ». Le volet
gouvernance recouvre quant à lui toutes
les bonnes pratiques que l’entreprise doit
mettre en place et leur supervision. « Il y a
des politiques à mettre en place, des audits,
des contrôles », illustre Didier Annet.
— Etablir des ponts
entre GRC et IT
« Historiquement, Anidris était un spécialiste
des infrastructures et des technologies »,
rappelle-il. « Depuis toujours mais aujourd’hui
de manière plus structurée, nous avons fait
évoluer nos pratiques et nous apportons de
l’aide dans d’autres domaines : gouvernance,
conformité, gestion des risques, toujours en
lien avec les activités informatiques. Notre
approche s’inscrit en cohérence avec les valeurs
que nous mettons en avant – Expertise,
Flexibility, One Team, Integrity, Proximity - et
ce que nos clients disent de nous ».
Notre approche s’inscrit
en cohérence avec nos
valeurs : Expertise,
Flexibility, One Team,
Integrity, Proximity.
36
Learn
TECHSENSE Magazine #02
With Anidris,
everything can be
overcome, even your
DATA RESTORE
Nous établissons des ponts entre les équipes IT et ceux qui
sont en charge de la GRC.
« Là où nous observons que nous apportons
une valeur certaine à nos clients », ajoutet-il,
« c’est quand nous les aidons à combler
le fossé entre ceux qui sont en charge de la
GRC - Gouvernance, gestion des Risques
et Conformité - et les équipes IT. Dans les
entreprises, il s’agit de deux mondes séparés
qui communiquent parfois difficilement,
entre lesquels se posent des problèmes
d’interprétation et où les responsabilités
respectives font l’objet de suppositions de
prise en charge par l’autre partie. En tant
que spécialistes de l’informatique ayant
des compétences en GRC, nous avons la
capacité de mettre en place des canaux de
communication entre ces deux univers. Nous
établissons des ponts, nous leur apprenons
à utiliser le même vocabulaire ».
— Une approche proactive
« Il y a un volet réactif à cette activité »,
poursuit-il. « Dans ce cas de figure, les
clients font appels à nous pour les aider à
accorder les violons entre les différentes
parties prenantes de l’entreprise. Par contre,
lorsque nous abordons de nouveaux projets
en matière de protection des données, ce
qui est notre spécialité, nous incluons ces
problématiques par défaut, de manière
proactive ».
et de présenter les résultats obtenus au
management et aux parties concernées. Il
possède ainsi une visibilité sur ses risques
de cybersécurité, leurs niveaux de criticité,
les écarts par rapport aux objectifs fixés
et peut alors mettre en œuvre les actions
nécessaires pour les atteindre ».
— Le Cloud change la donne
Le succès grandissant que connaissent les
solutions cloud ont également changé la
donne. « A partir du moment où elle adopte
les technologies cloud, l’entreprise perd le
contrôle qu’elle avait sur ses systèmes d’information,
au moins partiellement. L’entreprise
et ses dirigeants se reposent sur le postulat
erroné que c’est le fournisseur de services
cloud qui va prendre en charge cybersécurité
et GRC. Mais les contrats des clouds providers
ne le prévoient pas », souligne Didier
Annet. « L’adoption croissante du Cloud a
pour effet que les données sont de plus en
plus en plus dispersées entre différents
systèmes. Mais, en parallèle, il est demandé
aux organisations d’assurer de plus en plus
de contrôle. Nous avons un rôle à jouer dans
la prise de conscience par notre client qu’il
doit être d’autant plus attentif à ces éléments
qu’il s’aventure davantage dans le Cloud »,
conclut-il.
« Lorsque nous intervenons en consultance,
nous proposons un plan d’action assorti
d’une feuille de route », explique Didier
Annet. « Sur cette base, nous accompagnons
notre client lors de la mise en place
des recommandations. Nous pouvons ainsi
l’aider à élaborer des tableaux de bords des
indicateurs de performances collectés
REJOIGNEZ-NOUS
SUR LINKEDIN
37
TECHSENSE Magazine #02
Learn
38
Learn
TECHSENSE Magazine #02
EXPLORING
SOCIAL
ENGINEERING
| By Michaël Renotte |
Modern enterprises use a huge volume of data, some
of which are confidential or sensitive. There is also a
significant increase in the number of users, devices,
and programs. This has also created an increase in
the number of cyberattacks making cybersecurity
extremely important.
When it comes to cybersecurity it is crucial to know who
to trust and who not to. However, social engineering
exploits human emotions and interactions posing
a big threat to cybersecurity.
— What is social engineering?
Social engineering refers to a wide range of malicious activities
that manipulate people into releasing sensitive or confidential
information. It can manipulate people psychologically into making
security mistakes or giving away confidential information.
Social engineering attacks can happen in multiple steps. First, the
attacker investigates a victim to gather information about their
backgrounds such as security protocols and possible points of
entry. Second, the attacker tries to gain the victim’s trust so that
they can manipulate them to break security practices. Third, they
use the sensitive information acquired to gain access to critical
resources or more sensitive information.
What makes social engineering extremely dangerous is that it does
not use system vulnerabilities or software bugs to gain access to
confidential information. Instead, it relies on huwman error. It is
not possible to predict when a user will make a mistake, making
social engineering attacks difficult to identify and thwart.
— How does social engineering affect
cybersecurity?
Social engineering attacks are based on bypassing cybersecurity
systems by exploiting the human factor, the weakest link. Throughout
the attack, victims are unaware of the consequences of their actions.
According to a recent report by PurpleSec, 98% of all cyberattacks
rely on social engineering. 60% of all IT Managers believe that new
hires are the most vulnerable when it comes to social engineering
attacks, and therefore, the biggest risks.
An organization can implement all sorts of cybersecurity measures,
but if the employees are ignorant, the organization canfall victim
to a social engineering attack. Organizations need to train all their
employees to identify common breach attempts and to
39
TECHSENSE Magazine #02
Learn
According to a recent report by PurpleSec, 98% of all
cyberattacks rely on social engineering. 60% of all IT
Managers believe that new hires are the most vulnerable
when it comes to social engineering attacks, and therefore,
the biggest risks.
report them on time. Employees must be trained to scrutinize
every email that they receive and every device that they plug into
their systems. Organizations need to identify what information is
sensitive and how it may be exposed during a social engineering
attack. Doing so will help them implement countermeasures to
thwart social engineering attacks and mitigate cybersecurity risks.
— Types of social engineering attacks you need
to be aware of
Social engineering attacks may happen in many different forms,
anywhere there is human interaction. Here is a list of some common
types of social engineering attacks that you must be aware of.
1. Phishing
In a phishing attack, the perpetrators aim to extract sensitive
information through digital means, such as counterfeit websites
and emails that appear legitimate. Phishing attacks try to attack
the masses, trying to reach as many victims as possible.
2. Spear Phishing
Spear phishing is also a type of phishing attack, the difference
being that instead of masses, it targets well-researched victims.
A spear phishing attack is executed after the initial research and
the content of the message is tailored to the specific individual.
Cybercriminals generally use social networking sites to mine data
on potential victims creating messages that appear to be sent by
someone they know.
6. Tailgating
In a tailgating attack, the attacker tries to enter a restricted
area that lacks proper authentication. One of the most common
occurrences is that the attacker simply walks in behind a person
who has access to that area.
7. Vishing
Vishing stands for voice phishing. In such attacks, perpetrators
use voice messages or phone calls claiming to be from reputable
companies trying to get people to reveal sensitive information.
For instance, a criminal posing as a bank staffer trying to get your
account information.
8. Water-holing
Water-holing is one of the most sophisticated social engineering
attacks requiring substantial technical knowledge. In such an
attack, the hacker researches a victim and finds out one or more
legitimate websites that the victim regularly visits. The hacker
then looks for vulnerabilities in the website and then infects it.
When the victim visits the website again, he inadvertently reveals
sensitive information.
The common factor in all social engineering attacks is the human
element. Being aware of the various types of attacks can help one
be more vigilant and prevent such attacks.
3. Baiting
Baiting is a type of social engineering attack that piques a victim’s
curiosity or greed. For a baiting attack, cybercriminals may offer
free music or downloads if users provide their login credentials
to a certain website.
4. Pretexting
Pretexting is again a type of social engineering attack that tries to
convince a victim to give up confidential or sensitive information.
In this kind of attack, the perpetrators come up with some kind
of story or “pretext” to fool the victim. Pretexting is often used
against organizations such as banks and credit card companies
to divulge information that they should not.
What makes social engineering extremely
dangerous is that it does not use system
vulnerabilities or software bugs to gain access
to confidential information. Instead, it relies on
human error.
5. Quid Pro Quo
Quid Pro Quo is a Latin term that means «something for something».
In such an attack, the perpetrators offer certain benefits or services
in exchange for access or information. For instance, a quid pro quo
attack could be a hacker impersonating an IT staffer who contacts
employees offering them free software installation.
40
GET OUT
OF RANSOMWARE JAIL
With ransomware, itʼs not a matter of if, but when.
Eliminate ransomwareʼs costly consequences and unlock fast
recovery with Zerto, a Hewlett Packard Enterprise company.
Resume operations at scale, in minutes
Recover entire sites and applications at scale, in
minutes–and in just a few clicks.
Recover to a state seconds before an attack
Eliminate days or hours of data loss by enabling
recovery to a state seconds before an attack.
Lower risk with instant, non-disruptive testing
Test often, test anytime! Gain confidence by testing
both failover and recovery quickly, without disruption.
Protect 10 VMs,
Right Now, for
FREE.
03
Solve
{ Verbe transitif }
Trouver une solution, une réponse à un problème,
à une question.
42
Hamlet Consulting
Luxembourg
Business Requirements
Analysis and Innovation
Transform your business processes
and upskill your people to build
a sustainable future!
Quality Assurance
and Testing
Deliver Better, Deliver Faster,
Make your IT Stronger!
IT Managed Services
Empower your organisation
with ITSM, to deliver quality
services in a
controlled manner.
Your local partner and much more…
www.hamletconsulting.com
TECHSENSE Magazine #02
Solve
Excellium Services
QUELLES AMBITIONS À
L’HEURE D’ABORDER UNE
NOUVELLE DÉCENNIE ?
| Propos recueillis par Michaël Renotte |
Cette année, Excellium Services fête ses 10 ans
d’existence. Cet anniversaire coïncide avec le rachat
par le Groupe Thales de ce fleuron luxembourgeois
de la cybersécurité. Christophe Bianco, co-fondateur
et Managing Partner d’Excellium, fait avec nous le
point sur l’avenir de l’entreprise et le contexte dans
lequel elle évolue.
Thales compte 81 000 collaborateurs dans 68 pays. En 2021,
le Groupe a réalisé un chiffre d’affaires de 16 milliards d’euros.
Quelle dynamique l’arrivée d’un tel géant permet-elle
d’envisager pour Excellium ?
« Excellium a été créée voici 10 ans par un groupe de personnes
passionnées par le domaine de la cybersécurité. Notre objectif
était alors d’aborder des problématiques dont nous pensions
qu’elles prendraient beaucoup d’importance dans le futur et pour
lesquelles il n’y avait pas de réponses satisfaisantes. Nous avions
aussi imaginé que nos services devraient toucher en priorité les
PME parce qu’elles constituent une partie importante du tissu
économique. Mais, si nous avons bien donné corps à la première
partie de notre vision initiale, à savoir la problématique de l’incident
de sécurité sous ses aspects tant de prévention, de détection, que
de réaction, nos services ont essentiellement éveillé l’intérêt des
grandes entreprises, à la fois pour des raisons budgétaires et de
ressources. Nous ressentons toujours une grande frustration ne
pas avoir pu aider les petites entreprises à mieux protéger leurs
activités ».
« L’arrivée d’un groupe industriel et d’envergure européenne comme
Thales a fait entrer Excellium dans un nouveau chapitre de son
histoire. Si nous étions jusqu’alors en situation de concurrence
avec beaucoup d’acteurs du marché, nous sommes devenus de
facto des partenaires potentiels pour ces mêmes acteurs, notre
nouvelle envergure faisant de nous une structure capable d’aborder
les problématiques de cybersécurité à une échelle plus structurelle
et de répondre aux attentes d’organisations de plus grande taille,
d’instances gouvernementales et d’institutions internationales ».
Quels obstacles pourriez-vous rencontrer dans l’écriture de
ce nouveau chapitre ?
« La dépendance croissante de nos économies au digital, le succès
du cloud computing, l’émergence de nouvelles technologies, et
la sévère carence en ressources dont souffre notre secteur font
que nous sommes pris dans une spirale pernicieuse. Aujourd’hui,
nous en sommes à un point où, plutôt que d’acquérir de nouveaux
clients, le véritable challenge est d’attirer davantage de profils. Nos
propres clients me disent qu’ils ne parviennent plus à recruter les
collaborateurs qu’ils recherchent, malgré des conditions salariales
extrêmement avantageuses. De plus, la rotation des effectifs est
telle dans les métiers de la sécurité informatique que les entreprises
doivent, au-delà des stratégies de recrutement, mettre en place
de véritables politiques de rétention du personnel ».
Quelles solutions entrevoyez-vous pour remédier à cet état
de fait ?
« Je considère que nous, acteurs du secteur de la cybersécurité,
devons investir du temps, de l’argent et des ressources dans la formation
de jeunes talents, sous peine de nous exposer prochainement
à une rupture dans la poursuite de nos activités, pourtant essentielles
pour la santé de nos économies. La situation de débauchage
44
Solve
TECHSENSE Magazine #02
Excellium a été créée voici 10 ans par
un groupe de personnes passionnées
par le domaine de la cybersécurité.
Notre objectif était alors d’aborder des
problématiques dont nous pensions
qu’elles prendraient beaucoup
d’importance dans le futur et pour
lesquelles il n’y avait pas de réponses
satisfaisantes.
Christophe Bianco
co-fondateur et Managing Partner d’Excellium
réciproque de personnel parmi les entreprises de notre secteur est
telle aujourd’hui qu’elle ne fait qu’accroître nos structures de coûts,
sans que nous puissions répercuter ceux-ci sur nos prix de vente. Le
budget qu’Excellium consacre aux cabinets de recrutement chaque
année dépasse les 150 000 euros. Nous envisageons sérieusement les
moyens de consacrer ces montants à la sensibilisation des étudiants
aux métiers de la cybersécurité et à la formation de jeunes profils,
jusqu’à nous impliquer directement dans les cursus et à élargir la
portée de nos actions en les étendant aux régions limitrophes ».
« Bien sûr, ce type d’initiative, volontariste et proactive, ne peut
voir le jour qui si toutes les entreprises du secteur mettent entre
parenthèses toute considération concurrentielle pour travailler
collectivement sur un sujet qui nous concerne tous au même titre ».
« C’est dans cette optique qu’Excellium organisera, le 18 octobre
prochain, un événement consacré aux retours d’expérience en
matière de gestion des incidents de cybersécurité qui réunira à
la fois des représentants des autorités de régulation, des clients
finaux et des membres de nos équipes. Nous considérons que de
telles actions d’information et de sensibilisation relèvent de notre
responsabilité. Il ne suffit pas de former les utilisateurs, il faut aussi
informer les dirigeants sur les risques auxquels sont confrontées
les entreprises et la manière d’y faire face. J’accompagne ainsi
personnellement l’Institut Luxembourgeois des Administrateurs
dans ses campagnes de formation à la cybersécurité à destination
de ses membres, tout comme l’initiative DLH, la plateforme Digital
Learning Hub du ministère de l’Éducation nationale ».
BeLux, où nous avons l’ambition de prendre une place de leader
dans les deux années à venir, mais aussi de soutenir le Groupe
dans le cadre d’activités spécifiques à l’échelle européenne. Cela se
traduit par la nécessité de doubler les effectifs d’Excellium au cours
de cette période, soit une centaine de nouveaux collaborateurs ».
« L’enjeu de ce nouveau chapitre de notre histoire est également
d’être capable de relever des défis complexes liés à la difficulté de
servir des clients de plus grande taille dans les secteurs où nous
évoluons. Il s’agit aussi d’apporter des services à des opérateurs
d’infrastructures critiques dont la défaillance pourrait entraîner
des impacts de nature systémique. Ces défis impliquent que nous
soyons capables d’attirer, en plus de profils juniors, des spécialistes
expérimentés afin d’étoffer nos équipes et d’aborder dans de
bonnes conditions cette nouvelle étape de notre développement ».
« Thales est un acteur industriel dont la politique d’investissement
vise des objectifs à long terme. Développer une entreprise comme
Excellium pendant 10 ans finit en effet par excéder les capacités
que peut mobiliser un entrepreneur qui ne dispose que de ses
fonds propres, et intéresse peu les sociétés de capital-risque qui
recherchent une rentabilité à plus court terme. Thales est à nos
yeux le partenaire idéal pour soutenir nos ambitions de croissance
pour les années à venir ».
Quelles ambitions nourrissez-vous pour Excellium ?
« L’acquisition d’Excellium par Thales va se traduire par une accélération
du développement de nos activités sur l’ensemble du
45
TECHSENSE Magazine #02
Solve
WESTPOLE Benelux
REBONDIR SUR
LA CRISE POUR
CONSTRUIRE
L’AVENIR
| Propos recueillis par Michaël Renotte |
La crise du coronavirus a changé la donne
pour l’économie mondiale. Le Luxembourg
n’a pas fait exception à la règle et nombreuses
sont les entreprises qui ont dû repenser
leur stratégie pour s’adapter à la nouvelle
réalité. Cyrille Gobert, Country Director de
WESTPOLE Luxembourg, nous explique
comment la société a redéployé ses services
dans ce contexte incertain.
Cyrille Gobert
Country Director de
WESTPOLE Luxembourg
46
WESTPOLE LEADS INTO A NEW ERA FOR
RISK COMPLIANCE WITH THE LAUNCH OF GRCC
GRCC is a new way of work. With our GRCC offering we centralized the workflow that allows
both parties to structure the risk and compliance needs. Connecting actors, Online Monitoring and
reporting on the flow are one of the main keys for GRCC. We guarantee a 360° overview of the ecosystem
for the competent authority. To secure the GRCC platform we implemented an information security management
tooling to always make sure your data is secured on our web based platform including Flexibility and Mobility.
AUTOMATISATION SECURE ENVIRONMENT CONFIDENTIALITY
REDUCE YOUR TCO
Improve operational efficiencies
with a competitive advantage
(Risks vs opportunities vs efforts).
ACCELERATE TRANSFORMATION
Avoid the typical Try-and-Fail
risk with quick wins and
long running achievements.
SECURE CRITICAL INFO
Help avoid security breaches
through State-of-the-art
Cyber security mechanisms.
MEET STRATEGIC
OBJECTIVES
Capitalize over norms and
standards as instrument for
business differentiation.
REDUCE STAKEHOLDER’S
OVERHEAD
Run your workloads efficiently
with clear accountability,
exceeding expectations.
A PILLAR OF DIGITAL
TRANSFORMATION
Digitalise department
expectations with ad-hoc
document structures.
Find us here:
HEADQUARTERS LUXEMBOURG
13 Rue de L’industrie,
Bâtiment SolarWind
L-8399 Windhof
+352 39 03 26 320
HEADQUARTERS BELGIUM
Mechelsesteenweg 542
1800 Vilvoorde
+32 (0)2 251 66 50
Follow us on:
www.westpole.lu
www.westpole.be
TECHSENSE Magazine #02
Solve
WESTPOLE Benelux a vu le jour pendant la crise
sanitaire. Les efforts en marketing et de communication
consentis par la société, alors en phase de
démarrage, s’en sont trouvés dilués. « Dès mon arrivée en mai 2021,
j’ai du m’atteler à gérer cette situation exceptionnelle », se souvient
Cyrille Gobert. Mais en septembre 2022, l’entreprise soufflera ses
deux premières bougies. Aujourd’hui, les conditions sont enfin
réunies pour renforcer l’identité et la notoriété de la marque sur le
marché luxembourgeois.
« WESTPOLE est issue de la cession par la société I.R.I.S. de ses
activités de services », rappelle le Country Director de l’entreprise.
« Nous avons redéfini la stratégie et entrepris de recréer un esprit
d’équipe autour d’une opération de transformation que nous avons
baptisée WESTPOLE 2.0. Bien sûr, cette restructuration n’est pas allée
sans entrainer des changements et une inévitable rotation au niveau
du personnel. De plus, comme toute entreprise au Luxembourg, et en
Europe de manière générale, nous devons faire face à un manque de
profil IT qualifiés tant pour nos besoins internes que pour nos activités
de délégation de spécialistes auprès de nos clients ».
— Intégrateur de compétences
WESTPOLE est un groupe européen qui accompagne les entreprises
dans leurs stratégies de transformation numérique et de migration
vers le Cloud. « Face aux défis technologiques et numériques, nous
aidons nos clients à se tourner vers l’avenir, s’impliquer dans l’innovation
et transformer leur façon de travailler », explique Cyrille Gobert.
WESTPOLE Benelux a hérité de son prédécesseur, I.R.I.S., d’une
culture technologique fondée sur l’innovation. « Nous aidons les
entreprises à se transformer et à aller vers le Cloud. Pour nous, la
transformation numérique n’est pas une formule creuse parce que
la digitalisation est dans l’ADN de WESTPOLE, comme elle était
dans celui d’I.R.I.S.. Nous bénéficions non seulement des agréments
PSF et PSDC délivrés par la CSSF, nous détenons également les
certifications ISO 9001 et ISO 27001. Nous sommes donc habilités
à opérer les systèmes informatiques des institutions financières, à
numériser et archiver les documents de nos clients en préservant
leur valeur légale et capables de mettre en œuvre, pour nos clients
et pour nous-mêmes, les processus les plus exigeants en matière de
gestion du risque numérique ».
WESTPOLE a entrepris de renforcer son positionnement comme
acteur majeur de la digitalisation des entreprises au Luxembourg
pour ses clients privés PSF et non PSF, publics et institutionnels.
« L’offre que nous avons développée est axée sur 5 piliers : la gestion
de talents, l’infogérance, la mise en place d’infrastructures informatiques,
la gestion documentaire et la GRCC », détaille Cyrille Gobert.
Cette dernière solution est un outil RegTech de gestion de la
Gouvernance, du Risque et de la Compliance, développé en collaboration
avec le LIST, qui permet aux entreprises de réaliser leurs
études de risques dans le cadre de la certification ISO 27001. « Le
volet gestion des Risques est terminé et entame sa phase de commercialisation.
Et nous sommes en phase de finalisation du développement
de l’outil destiné à aider les régulateurs à gérer les entités
dont ils encadrent les activités », nous confie Cyrille Gobert. Cet outil,
basé sur un métamodèle, est multi-régulations et multi-régulés.
— Des premiers résultats à la hauteur des attentes
2022 est une année de forte croissance pour WESTPOLE Luxembourg.
« Des Account Managers expérimentés ont été recrutés et nous ont
permis de d’entrer en relation avec de nouveaux clients et de remporter
des appels d’offres public luxembourgeois », se félicite-t-il. « Nous
avons également développé notre réseau de partenaires afin d’unir
les forces de chacun pour relever ensemble les challenges de plus
en plus complexes chez nos clients et prospects. Nous venons ainsi
de remporter deux importants contrats au CTIE avec un partenaire
IT de la place, et ce pour une durée de 3 ans. Il s’agit du helpdesk
interne du CTIE et celui de la plateforme Guichet.lu. Ces contrats
sont structurants pour notre société ».
— Des ambitions fortes
« Mon objectif à plus long terme est de positionner WESTPOLE comme
acteur majeur de la digitalisation des entreprises au Luxembourg. Nous
allons continuer à accompagner nos clients vers la transformation
digitale et le go2cloud, que ce soit sur notre cloud privé luxembourgeois,
le cloud public, sur site, ou une hybridation de ces trois options
selon les besoins et contraintes opérationnelles, financières, mais
aussi réglementaires ».
« Lorsque j’ai rejoint WESTPOLE en mai 2021, le pôle Talent Management
de la société comptait 7 consultants. L’équipe comprend aujourd’hui
31 personnes et nous comptons finir l’année à 37. Pour l’ensemble
de ses services, nous employons 83 collaborateurs au Luxembourg
auxquels il faut ajouter une dizaines de freelances. Mon objectif est
de dépasser les 120 employés à la fin de l’année 2023 ».
— Capitaliser sur les forces actuelles et à venir
Ingénieur en électronique de formation, Cyrille Gobert a mené
toute sa carrière dans le secteur informatique au Luxembourg.
« J’ai commencé au bas de l’échelle », revendique-t-il, « puis j’ai
gravi les échelons chez mon premier employeur jusqu’à devenir chef
de projet ». Il a ensuite exercé une fonction technico-commerciale
chez Fujitsu Siemens, avant de rejoindre Guidance – aujourd’hui
Devoteam - dont il est devenu le directeur commercial. Cyrille a
alors intégré Halian comme directeur des ventes et a finalement
pris la tête de la société. En mai 2021, il a rejoint WESTPOLE en
tant que directeur commercial et en est devenu le Country Director
voici quelques mois.
« Ce qui m’a attiré chez WESTPOLE, c’est l’historique de la société,
héritée d’I.R.I.S., et ses nombreuses certifications. Celles-ci démontrent
non seulement le professionnalisme de l’entreprise mais
permet aussi d’aborder d’autres marchés que ceux auxquels je suis
habitué », confie-t-il.
« Je pense que WESTPOLE, de son côté, apprécie mon expérience du
marché luxembourgeois et le réseau que j’ai développé tant parmi les
sociétés de services informatiques que les consultants qui évoluent
sur le marché. Arrivée à un tournant de son parcours, WESTPOLE avait
besoin de redynamiser sa stratégie et de se tourner résolument vers
les nouvelles technologies. Dans ce contexte, le mandat qui m’a été
confié consiste à capitaliser sur les compétences et les certifications
pour développer de nouvelles activités génératrices de valeur ».
48
October 26-27 | Luxexpo The Box
Luxembourg’s global
tech event is back!
Connect. Explore. Inspire.
Scan for
your FREE
pass
Visit www.archsummit.lu for more information
TECHSENSE Magazine #02
Solve
Benoît Morin
IT Network &
Security Architect
chez System
Solutions
Isabelle Roux
Chief Legal &
PSF Compliance
Officer chez System
Solutions
La Cybercriminalité,
UN FLÉAU
INÉVITABLE ?
Florian Nicolas
Stagiaire
Cybersecurity chez
System Solutions
| Propos recueillis par Michaël Renotte |
Aujourd’hui, toute entreprise est plus que jamais sujette à cette forme
de criminalité, davantage organisée qu’auparavant. Nous évoquons ce
sujet avec Isabelle Roux, Chief Legal & PSF Compliance Officer, Benoît
Morin, IT Network & Security Architect et Florian Nicolas, stagiaire
Cybersecurity chez System Solutions Luxembourg.
En tant que Service Provider, il nous appartient
d’identifier ces failles sécuritaires
potentielles et de mettre en place, dans le
respect de la règlementation en vigueur,
toutes les mesures techniques et humaines
afin d’assurer la pérennité de notre activité
mais surtout celle de nos clients.
Pourquoi parle-t-on davantage de
sécurité en matière informatique
qu’auparavant ?
IR : Tout d’abord, l’entrée en vigueur en
2016, de manière uniforme, du Règlement
(UE) 2016/679 relatif à la protection des
données, plus communément connu sous
le nom de GDPR, a obligé toute entreprise
européenne, quelle que soit sa taille ou
quel que soit son objet social, à mettre en
place les mesures techniques et organisationnelles
nécessaires afin d’assurer la
confidentialité, l’intégrité et la disponibilité
de la donnée à caractère personnel.
Par ailleurs, les entreprises européennes
franchissent davantage le pas du recours
au cloud public et aux outils proposés
par les célèbres GAFAM - Google, Apple,
Facebook, Amazon et Microsoft - , ce qui
pose inévitablement la question de la sécurité
des données confiées aux « Big Five »
et surtout la question de la localisation de
la donnée traitée.
En outre, la situation pandémique que
nous connaissons depuis 2020 et la pratique
« forcée » du télétravail, avec parfois
l’utilisation d’outils de travail personnels
ou de fortune insuffisamment sécurisés,
a été une aubaine pour les hackers et
cybercriminels.
Enfin, le contexte international actuel a
également mis en exergue la nécessité d’un
niveau de sécurité efficace afin d’éviter,
autant que faire se peut, l’offensive informatique
annoncée par les autorités russes.
Quels sont les types d’attaque
informatique les plus souvent
rencontrés par votre organisation ?
BM : Le phishing est probablement la forme
de cyberattaque la plus courante car ce
processus est facile à mettre en œuvre
et étonnamment efficace.
Pour exécuter l’attaque, l’acteur malveillant
peut envoyer un lien qui vous amène à un
site Web qui télécharge automatiquement
des logiciels tels que des virus, active des
scripts malveillants ou incite les attaqués à
fournir des informations personnelles. Dans de
nombreux cas, les cibles ignorent pleinement
avoir été compromises, ce qui permet aux
attaquants de cibler d’autres utilisateurs au
sein de la même organisation sans que cette
dernière ne soit en mesure de suspecter une
activité malveillante.
50
Solve
TECHSENSE Magazine #02
Le phishing est probablement la forme de cyberattaque la
plus courante car ce processus est facile à mettre en œuvre
et étonnamment efficace.
membres de l’Union européenne, des projets
innovants et sur lequel se fondent déjà
d’importants projets liés au cloud européen.
A notre sens, le meilleur des deux mondes
entre le cloud privé, souvent décrié pour
son coût élevé, et le cloud public, souvent
craint quant au niveau de sécurité offert,
se situe au sein d’une formule hybride.
L’année 2021 a également été marquée par
la découverte de vulnérabilités dans les
serveurs et services exposés à Internet,
en particulier le service de messagerie
Microsoft Exchange Server qui offrait une
porte d’entrée directe à un cybercriminel
au réseau de l’entreprise.
Suite à l’annonce publique de ces failles
sécuritaires, ce sont des centaines de
milliers de sondes qui ont tenté de détecter
les points d’entrées à partir d’Internet.
FN : Offrir un service au plus grand nombre
a corrélativement pour conséquence d’ouvrir
des portes dérobées potentielles à
n’importe quel individu. Par conséquent,
la surface d’attaque, c’est-à-dire tous les
points du réseau pouvant être utilisés par
un attaquant pour pénétrer un système
d’information, doit être contrôlée de manière
appropriée afin de mitiger autant
que possible les risques de cyberattaque.
IR : Par ailleurs, nous constatons également
la prolifération de la pratique des scans
de vulnérabilité intrusifs. Le Code pénal
luxembourgeois a été adapté en ce sens.
Comment parvenez-vous à limiter
le risque de voir vos systèmes
informatiques exposés à une menace ?
BM : System Solutions s’appuie sur la matrice
MITRE ATT&CK pour mettre en œuvre
une stratégie de sécurité afin de prévenir
les divers exploits et vecteurs d’attaque
couverts par le modèle. Par exemple, l’une de
nos stratégies consiste à réduire la surface
d’attaque en travaillant en amont, soit
dès l’étape de reconnaissance.
Nous n’autorisons par ailleurs l’accès à
certains services internes qu’aux seuls
pays limitrophes du Luxembourg, au sein
duquel se trouve notre siège social et nos
data centres. Pour cela, nous nous référons
à la géolocalisation par IP permettant
d’identifier un pays par son adresse IP.
Privé de ces différentes techniques d’obfuscation
réseau, un acteur malveillant, en
cas de tentative d’accès à notre infrastructure,
court le risque d’être détecté et de
faire l’objet de poursuites judiciaires. Ce
point concerne principalement la gestion
des flux entrants, mais il ne faut pas pour
autant négliger les flux sortants car ces
derniers peuvent représenter des exfiltrations
de données.
Enfin, nous avons entièrement revu notre
processus conceptuel en pratiquant le
principe de « Privacy & Security by design ».
Chaque projet est élaboré sur base d’une
analyse de risques préalable axée sur la
sécurité et la confidentialité.
Vous évoquiez le cloud public. A votre
sens, où se situe le meilleur des deux
mondes entre le cloud public et le cloud
privé ?
FN : Le cloud public est attractif en ce qu’il
permet l’accession rapide à des ressources
informatiques, sans besoin d’une intervention
humaine, ainsi que l’acquisition de
capacités de stockage très intéressantes
à des coûts moindres.
Cependant, sans les compétences nécessaires
en matière de sécurité et en l’absence
d’une équipe technique efficiente, le recours
au cloud public peut être constitutif de
failles potentielles dont il faut répondre
civilement ou pénalement au titre de « data
breach ».
BM : La sécurisation du Cloud dans sa
formule publique aura davantage de sens
lorsque nous pourrons bénéficier d’un
cloud européen permettant de géolocaliser
la donnée à tout moment et d’assurer sa
disponibilité au sein de l’Union européenne.
Actuellement, plusieurs groupes de travail
privés et gouvernementaux œuvrent pour la
création de ce cloud à l’échelle européenne,
capable de concurrencer les GAFAM. Nous
pouvons citer, par exemple, le projet Gaia-X
- une initiative privée franco-allemande - ou
encore l’IPCEI - un mécanisme européen
visant à promouvoir, au sein des états
Une solution de cloud hybride permet
d’ajouter une couche supplémentaire de
protection en gérant, via un prestataire
de services spécialisé, les outils souscrits
auprès d’un fournisseur de cloud public.
Pour conclure cette interview, quels
conseils donneriez-vous à nos lecteurs
afin qu’ils puissent adéquatement se
prémunir contre la cybercriminalité ?
BM : L’important est de faire de la sécurité un
partenaire privilégié dans chaque réflexion
stratégique ou commerciale en instaurant
dans les mœurs de toute entreprise le
principe de « Security & Privacy by design ».
IR : Il importe de déterminer dès la genèse
de chaque projet les compétences techniques
et juridiques permettant d’anticiper
les risques liés à la solution envisagée et
de mitiger ces derniers dans la mesure
du possible.
Il est également important de mettre en
place non seulement les mesures techniques
suffisantes, mais aussi de mettre
en œuvre un programme de sensibilisation
continue du personnel sur les risques liés à
la cybercriminalité. En effet, les attaques
cyber ont principalement pour objectif
de s’introduire au sein d’un système informatique
au travers des utilisateurs qui, la
plupart du temps, sont insuffisamment
avertis quant aux formes que revêtent ces
infractions dommageables.
BM : Enfin, lorsqu’une entreprise ne bénéficie
pas des compétences internes suffisantes
en matière de sécurité, il convient
de s’entourer d’un partenaire efficace.
51
TECHSENSE Magazine #02
Solve
Penetration Testing vs
VULNERABILITY
ASSESSMENT
| By Nastassia Haux |
Businesses need to test their cybersecurity
measures and their systems’ vulnerability often.
Without testing, it is difficult to determine if the
organization’s networks and systems are secure amid
the ever-evolving threats. Cyber threat actors are
always a step ahead of us and keep formulating new
ways to attack vulnerable targets. This is where
IT companies and others need to make use of
vulnerability tests and penetration tests.
KEY TAKE-AWAYS
Now that you know the difference
between a vulnerability assessment and
a penetration test, it should be easier for
you to decide which one your business
needs. It is usually the IT managers who are
responsible for ensuring the regular testing
of systems and applications and ensuring
they are secure. With this knowledge, you
would be better equipped to decide when
a vulnerability scan should be enough and
when you need a full-fledged penetration
test. The ideal approach is to make them
both work together for optimal security.
Vulnerability scans can be carried out
more often, while the more expensive but
thorough penetration tests can be done at a
fixed interval.
The two tests are, however, often confused with being the
same or serving the same purpose. But in reality, there
is a very basic difference between the penetration test
and the vulnerability test. IT managers must be aware of what
these tests mean for their systems and networks. Let us try to
understand what these differences are and how both these tests
help improve your information security environment.
— What is a vulnerability assessment?
As the name suggests, a vulnerability assessment or vulnerability
scan looks for weaknesses – vulnerabilities - in the devices, systems,
and networks used by your organization. These vulnerability scans
are mostly automated. They give you a preliminary idea of which
parts of your system or network are weak and prone to attacks
by threat actors.
A vulnerability scan must be carried quite frequently because,
despite all the security measures you take, the risk of new
vulnerabilities being exposed always exists. This could be because
of the unavoidable changes you have to make to the system now
and then. It could also be because of new threats surfacing of
which you were not aware so far and had not secured your system
against them.
Regular vulnerability assessments can bring such weak points to
light and help you address them on time.
The vulnerability assessment, though, is considered a passive
approach to security management. A cybersecurity provider will
only conduct the vulnerability scan and generate the vulnerability
report. The responsibility for patching these vulnerabilities and
securing the network against threats lies with the business owners
and IT managers.
— What is penetration testing?
Penetration testing is a much more thorough and rigorous approach
to security testing as compared to vulnerability scans. In penetration
testing, an actual attack by a hacker is simulated to see if it can
penetrate the organization’s systems and networks. This is often
referred to as ethical hacking, where the testers or analysts look
for vulnerabilities in the system and show that they can breach
the system through these loopholes.
The purpose of a penetration test is to demonstrate to the business
owners and IT managers how an actual hacker may compromise
their data through the vulnerabilities that exist. A penetration test
is a much more effective way of reporting cybersecurity threats
and vulnerabilities and finding remedies for them.
52
Solve
TECHSENSE Magazine #02
The biggest network outages
IN THE
HISTORY
OF THE
INTERNET
| By Michaël Renotte |
Network outages can put you
behind schedule and create a lot
of trouble in maintaining smoothflowing
operations. They can
also make you vulnerable to data
loss and result in thousands, if
not millions of dollars in business
continuity expenses and lost
business.
In this article, we’ll revisit some of the
worst network outages since the start
of the internet. The victims of these
network outages include everyone from mere
private companies to entire countries.
53
TECHSENSE Magazine #02
Solve
2016
2021
Location: United States & Europe
Location: Uganda
— DDoS attack on Dyn
A Distributed Denial-of-Service Attack (DDoS) is a cybercrime
where the malicious individual sends an immense load of traffic
on a particular server to prevent genuine users from accessing
the server. The DDoS attack can affect multiple businesses and
households simultaneously.
In 2016, a DNS provider named Dyn fell prey to a vicious DDoS
attack that affected hundreds of businesses across the United
States and Europe. Top companies like Netflix, Amazon, and CNN
were brought to a standstill.
While the network outage lasted only a few hours, collectively, it
cost the two continents billions of dollars in lost revenue.
— Uganda under internet lockdown
In 2021, Uganda was at the cusp of a possible change in Parliament.
The country’s Presidential elections were just one day away from
the January 14 th , 2021 elections, when the entire country went off
the digital map – quite literally.
In a move that didn’t surprise the citizens, supporters of President
Museveni switched off internet access to the entire country for
5 days straight, restoring the connectivity only after President
Museveni won his place back in Government.
Thousands of organizations, school and college students, medical
professionals, multinational corporations CIOs and small businesses
found it tremendously challenging to work at all, because of their
sudden disconnection from the rest of the world.
54
Solve
TECHSENSE Magazine #02
2021
2022
Location: United States
Location: Russia & Ukraine
— Facebook goes offline for six hours
The internet’s golden child (or it once was, at least), Facebook found
itself the victim of a massive network outage on October 4 th , 2021.
The company’s services were fully disrupted across the world – and
this included WhatsApp and Oculus too.
Facebook claimed the network outage was an internal mistake
that occurred due to a wrongly issued command. But the six hours
proved to be really bad for Facebook, as confused and frustrated
users took to other apps instantaneously after the loss of their
regular communication apps.
Facebook going down also affected other companies’ reputations
too. Downdetector confirmed that complaints began pouring in
about every company on the planet due to their lack of social
media responsiveness.
— Viasat satellite attack during Russia-Ukraine War
On February 24 th , 2022, American communications company Viasat,
which offers SATCOM network coverage in many parts of the world,
rang alarm bells stating a cyber attack and network outage. The
affected SATCOM networks and terminals in question were the
ones that covered Europe – particularly the Russia and Ukraine
region. Incidentally, it was the same day Russia attacked Ukraine.
While the timing seems suspect, the company itself isn’t certain
about the cause of the attack. But they confirmed that their terminals
were completely disrupted for a few hours after the start of the
war and they remained inoperable for many hours. Unfortunately,
not only did the disruption of the SATCOM networks prevent the
US government from getting a close view of the battlefield, but it
also affected operations of wind turbines in Germany, which also
relied on Viasat’s network support.
55
04
Network
{ Nom masculin }
Réseau social, professionnel, familial, virtuel, etc.
d’une personne.
56
“Le studio vidéo mobile
automatisé ”
APARTIRDE
35€
PAR
JOUR
1 x 360BOX
2 X CAMÉRAS
3 X LUMIÈRES LED
1 X PROMPTEUR
1 X MICRO PROFESSIONNEL
www.360box.fr
contact@360box.fr
TECHSENSE Magazine #02
Network
Événement
RETOUR SUR LA
GARDEN PARTY
58
Network
TECHSENSE Magazine #02
20
22
59
TECHSENSE Magazine #02
Network
60
European Convention Center
Luxembourg
November 29 th 2022
The greatest CIOs and
IT Decision Makers gathering
by
TECHSENSE Magazine #02
Network
Building an effective
BUSINESS
CONTINUITY PLAN
| By Michaël Renotte |
A business continuity plan is an essential tool that an organization needs
in the face of a security incident or a disaster. As the name suggests, the
business continuity plan or BCP is a guide on how to maintain business
continuity even in the event of a disaster. Disasters like a cyberattack can
impact the normal functioning of a business in many ways. A robust and
well-thought-out business continuity plan can minimize the downtime
and also mitigate the impact of an unforeseen incident like this.
CIOs and other executives at the top of any organization
must be clear about what makes a business continuity
plan effective. If you need help building a solid and
effective BCP for your organization, here is a step-by-step guide
for you.
— 1. Identify the scope and goals of the BCP
For any kind of plan in business, the first essential thing is to have
a clear vision. In this case, you need to define the scope of the
plan and the goals you want to achieve with the BCP. You need to
define which areas of business or which departments within your
organization the BCP covers, how detailed the plan should be, what
would be the budget for business continuity planning, and so on.
You also need to make it clear to your employees what you hope
to achieve with the business continuity plan.
— 2. Identify critical business functions and key
areas
When you talk about business continuity in the face of a disaster, it
is important to remember that all your business functions cannot
be restored immediately. You cannot expect to keep running the
entire business as usual because a lot of your resources and time
will be diverted to recovering from the disaster. So it is important
to identify the key areas and functions that need to keep running
for the business to continue with minimum impact. For instance,
for an automobile manufacturing business, halting production
would have a huge impact on the bottom line. So production can
be considered as a key business area that needs to be prioritized
in the BCP.
— 3. Identify interrelated functions
Sometimes, focusing on continuing the key business areas alone
may not be enough. Business functions may be interrelated and if
62
Network
TECHSENSE Magazine #02
one of these functions stop, the others may be impacted. So it is
important to identify interrelated functions and ensure that they
are included in the scope of the BCP too.
— 4. Carry out a business impact analysis
A business impact analysis – BIA - tells you what could be the
possible impact of different kinds of disasters and threats. This
helps you plan better, know the level of impact and allocate
resources accordingly.
— 5. Build a plan to maintain business
operations
Since the purpose of the BCP is to keep the business running with
very little downtime, it needs to define how that is to be done. CIOs,
top executives, IT managers, and others at the strategy-building
level need to establish a robust plan on how they want to keep
the business operations going. They need to decide how much
downtime is acceptable for each critical business area and how
they plan to restore it within that time. This needs to be done while
also ensuring all safety and security protocols.
KEY TAKE-AWAYS
Creating a good business continuity plan needs time and effort. It also needs
the involvement of the leadership of an organization, including the likes of
the CIO, CTO, COO, and others. With inputs from everyone and a structured
approach, building an effective BCP that protects the business from losses
should not be too challenging.
63
TECHSENSE Magazine #02
Network
Penetration testing tools
YOU WILL
IN 2022
| By Michaël Renotte |
P
enetration tests are more effective and efficient if you
use specialized tools. Here are the top 10 penetration
testing tools you need for this new year.
— 1. Netsparker
Netsparker is an automated scanner that can help identify
vulnerabilities, such as SQL injection and cross-site scripting in
web APIs and web applications. It uniquely verifies the identified
weaknesses and also proves that they are real and not just false
positives. Once Netsparker completes a scan, you do not have to
waste time verifying the identified vulnerabilities.
— 2. Acunetix
Acunetix is also a completely automated web scanner that checks
for vulnerabilities in your security systems. It is capable of identifying
more than 4,500 web application threats, including SQL
and XSS injections. Acunetix supports HTML5, Javascript, and
single-page applications and acquires manual tools linked with
Issue Trackers and WAFs for penetration testers.
— 3. Intruder
Intruder is also a powerful tool that can identify security vulnerabilities
across your IT environment. It offers some of the leading
security checks, an easy-to-use platform, and continuous monitoring,
keeping your business safe from hackers.
— 4. Core impact
Core impact has been in the market for nearly two decades. It
claims to have the largest range of exploits and also lets you run
Metasploit exploits within their framework. Core impact offers
wizards that can help you automate a lot of processes, and you can
also create a complete audit trail using PowerShell commands.
— 5. Hackerone
Hackerone is one of the preferred security testing platforms for
Fortune 500 companies for its fast on-demand delivery. With this
platform, you don’t have to wait for the complete report to identify
vulnerabilities. It will alert you as and when a vulnerability is found.
64
Network
TECHSENSE Magazine #02
NEED
In a nutshell, penetration tests involve hacking your
own systems so that you can figure out if there are
any security vulnerabilities that could be exploited
by a cyber-criminal. The process is mostly used to
strengthen firewalls and provides a great deal of insight
into improving security, which is very important for all
organizations.
— 6. Breachlock
Breachlock is the first web vulnerability scanner that is AI, Cloud,
and Human Hacker based. It is an online vulnerability scanner
and does not require any specialized expertise or any hardware
or software installation.
— 7. Indusface Was
This penetration testing tool offers both manual testing and an
automated scanner for identifying and reporting potential threats.
It also includes malware checks, reputation checks of links, and
website defacement checks in every scan.
— 8. Metasploit
Metasploit is perhaps the most popular and advanced tool for
penetration testing. It is based on the “exploit” concept, a code
that can surpass security systems and enter a particular system.
— 9. Wireshark
Wireshark is a network protocol analyzer and offers deep insights
about decryption, network protocols, packet information, and
more. You can use it on several systems, such as Windows, Solaris,
Linux, OS X, NetBSD, FreeBSD, and others.
— 10.w3af
W3af is the acronym for Web Application Attack and Audit Framework.
Some of its key features include integrating web and proxy servers
into the code, HTTP requests, and injecting payloads into various
HTTP requests. It comes with a command-line interface and can
work on Microsoft Windows, Linux, Apple Mac, and more.
65
#03
MANAGING EDITOR
Kamel Amroune
CEO
kamel.amroune@thedots.lu
À retrouver dès le mois
de décembre 2022
ADVERTISING CONTACT
Aurélie Paini
Sales Manager
aurelie.paini@thedots.lu
+352 691 339 918
Morgane Montaigu
Event, Marketing & Sales Assistant
morgane.montaigu@thedots.lu
EDITORIAL TEAM
Michaël Renotte
Rédacteur en chef
michael.renotte@thedots.lu
Yann Roll
Marketing Officer
yann.roll@thedots.lu
Nastassia Haux
Marketing Manager
nastassia.haux@thedots.lu
DESIGN
Nicolas Bœuf
Directeur Artistique
nicolas.boeuf@thedots.lu
DISTRIBUTION
Post Luxembourg
PRINTING
Reka Luxembourg
Print 1000 exemplaires
EDITOR
The Dots
33, Boulevard Prince Henri
L-1724 Luxembourg
+352 20 60 29 410
RE
66
In close cooperation
Your IT integrator in Luxembourg
since 5 years !
Professional Services
Business Solutions
NSI Sure Value
nsi
A CEGEKA COMPANY
Applications Development
Agile / Scrum
ITIL
Infrastructure
Service Desk
nsi
A CEGEKA COMPANY
www.nsi.lu I info@nsi.lu I +352 288 376 500
Training Partner