TechSense Magazine #02

#02

Working to grow your

business and private

assets together.

BIL Business Owner

Supporting you from foundation

to transfer of your company.

www.bil.com/businessowner

Banque Internationale à Luxembourg SA, 69 route d’Esch, L-2953 Luxembourg, RCS Luxembourg B-6307

(+352) 4590-5000 www.bil.com

TECHSENSE Magazine #02

EDITO

Chères lectrices, chers lecteurs,

Kamel Amroune CEO

Voici venu le deuxième numéro de TechSense

Magazine, dont la publication coïncide avec le

premier anniversaire du lancement de l’aventure

The Dots. Je mets donc cet édito à profit pour

remercier celles et ceux qui nous ont rejoints au

sein de la grande communauté Tech et Digitale du

Luxembourg.

Cette deuxième édition est essentiellement

dédiée à la cybersécurité.

Vous y découvrirez également

un dossier consacré aux ingrédients

numériques, environnementaux et sociaux

qui composent le cocktail que la Bourse

de Luxembourg a élaboré pour aborder le

changement de paradigme qui s’amorce.

La cybersécurité est donc au cœur de votre

magazine. Il ne saurait en être autrement

en ce Mois européen de la cybersécurité,

épaulé au Luxembourg par l’initiative

Cybersecurity Week de SECURITYMADEIN.

LU. Anticiper les cybermenaces à venir

n’est pas chose aisée. Les contributeurs

à cette édition se sont pourtant livrés à

l’exercice. Plusieurs priorités communes

émergent de leurs observations. Il s’agit

notamment de sécuriser par défaut tous

les systèmes numériques, de s’orienter

vers une résilience à grande échelle à base

d’automatisation et d’IA et de développer

l’attractivité de la filière cybersécurité.

L’édito de l’édition précédente se voulait optimiste.

Cet optimisme est toujours de mise

malgré les nouvelles inquiétantes, les bruits

de bottes, les incertitudes énergétiques,

la dégradation climatique, bref les vents

contraires qui agitent notre monde et accumulent

les difficultés sur notre chemin.

Mais les difficultés ne nous poussent-elles

pas à devenir plus fort ? Devenir plus fort ne

nous apporte-t-il pas la facilité ? La facilité

peut par contre nous affaiblir, ce qui peut

engendrer de nouvelles difficultés. Les

difficultés nous rendent donc plus forts

et, avec le temps, nous rendent les choses

plus faciles. Ce cercle que j’estime vertueux

ne peut que nous pousser à considérer que

rien, finalement, n’est difficile et que les

obstacles que nous rencontrons sur notre

chemin ont pour effet de nous rendre de plus

en plus forts. Les défis qui nous attendent

sont complexes, et les réponses que nous

donnerons devront nécessairement être le

fruit d’un effort commun. Mais l’humanité

a toujours su faire face aux difficultés et

en sortir renforcée. Je vous invite à considérer

ces quelques réflexions comme une

invitation à travailler ensemble à construire

les HITS de demain.

Our future will be Human, Inspiring, Technological,

and Sustainable.

03

#02

SOMMAIRE

06

Inform

20

Learn

42

Solve

56

Network

08

Fujitsu

Cyber résilience :

quel rôle pour l’IA ?

10

Integrating cybersecurity

into your BCP

12

Deloitte

La gestion des vulnérabilités :

une tâche complexe pour les

entreprises

14

SAP

SAP Luxembourg : une success

story depuis 25 ans

16

NSI

NSI, 5 ans de succès au service

du marché luxembourgeois

18

Is your data in the Cloud safe?

22

Orange

Orange Cyberdefense questions

à Jean-Sébastien Berneyron

24

Damovo

Is your organisation’s

cybersecurity keeping pace

with its digital capabilities?

26

POST

Cybersécurité en 2023 et

au-delà : Tendances et enjeux

28

Luxembourg Stock Exchange

For the Luxembourg Stock

Exchange, the Future

is Digital

30


Towards a Digital

and Sustainable Future

32


Digitalisation :

Impacts et Contraintes

44

Excellium

Quelles ambitions à l’heure

d’aborder une nouvelle

décennie ?

46

Westpole Benelux

Rebondir sur la crise pour

construire l’avenir

50

System Solutions

La Cybercriminalité, un fléau

inévitable ?

52

Penetration Testing vs

Vulnerability Assessment

53

The biggest network outages

in the history of the Internet

58

Garden Party

Retour sur l’événement

de cet été

62

Building an effective Business

Continuity Plan

64

Penetration testing tools

you will need in 2022

33


aligne technologies modernes

et approche ESG

34

5 key factors of a disaster

recovery plan

36

Anidris

Cybersécurité : le recovery

comme dernier recours

38

Exploring Social Engineering

04

VAN DER VALK

HOTEL LUXEMBOURG

Hôtel 4 étoiles - 125 chambres

Business Lunch - Dîner - Brunch

Salles de Réunions & Événements

à 5min de la frontière luxembourgeoise

parking gratuit

+32 63 23 32 22

info@luxembourg.valk.com

Hôtel Van der Valk Luxembourg

596 route de Longwy - 6700 Arlon

01

Inform

{ Verbe transitif }

Faire savoir quelque chose à quelqu’un,

le porter à sa connaissance, le lui apprendre.

06

Relevez le Défi

de la Cyber-Résilience

Depuis 2000, EBRC gère et protège vos informations sensibles et vous

accompagne pour relever le défi de la Cyber-Résilience, en toute sérénité.

Découvrez notre offre Trusted Services Europe

Advisory

Managed

Services

Cloud Security Resilience

Data

Centre

3

FACILITY ®

ebrc - Luxembourg

Resilience Centre South

June 11, 2013

www.ebrc.com


Inform

Cyber résilience :

QUEL RÔLE

POUR L’IA ?

| Propos recueillis par Michaël Renotte |

Alors que l’Intelligence Artificielle révolutionne des pans entiers de

la cybersécurité, la Business Continuity fait figure de parent pauvre

parmi les fonctions qui composent toute stratégie de cyberdéfense

globale et homogène. Pourtant, en soulageant les équipes de tâches

qui peuvent être automatisées, des solutions basées sur l’IA et le

Machine Learning pourraient faciliter la poursuite d’activité d’une

entreprise en cas de crise, nous explique Moussa Ouedraogo,

Head of Cybersecurity chez Fujitsu Luxembourg.

Moussa Ouedraogo

Head of Cybersecurity chez

Fujitsu Luxembourg

Qu’est-ce que la Business Continuity et quel est son niveau de

maturité par rapport aux autres éléments qui contribuent à la

protection contre les cyber-risques ?

« La Business Continuity, également appelée continuité de l’activité

ou résilience, désigne la capacité d’anticiper les risques potentiels

auxquels une organisation pourrait être exposée, risques susceptibles

de mettre particulièrement en danger la continuité du service

en lui-même. Il s’agit également de concevoir des plans d’actions

qui pourront être déclenchés une fois que l’un de ces risques se

matérialisera ».

« Contrairement aux autres pans du secteur de la cybersécurité,

la Business Continuity ne semble pas être en ligne avec l’évolution

que connait aujourd’hui le secteur. Au centre des conversations, se

trouvent plutôt les technologies innovantes comme l’Intelligence

Artificielle et le Machine Learning qui aident à automatiser la collecte

des informations, leur traitement et la prise de décision. Ces

technologies permettent alors de réduire au mieux l’impact sur les

opérations et les services et assurer un retour à la normale dans

un délai jugé acceptable ».

« Nous ne pouvons que constater que la conduite de la Business

Continuity fait toujours l’objet d’un traitement très manuel. Et ce

n’est que depuis la multiplication d’incidents liés à la problématique

du ransomware que le sujet a retrouvé une certaine actualité. Les

entreprises qui ont été frappées par la vague récente d’attaques de

ce type se sont retrouvées avec pour seule option de procéder de

façon manuelle, convoquant dans l’urgence différents experts pour

récupérer ce qui pouvait l’être et redémarrer les activités. Cette façon

de procéder prend du temps, manque d’efficacité et, en conséquence,

l’impact de l’incident sur l’organisation tend à se prolonger ».

« C’est donc une problématique qui perdure. Aujourd’hui encore,

si vous interrogez les entreprises quant à la stratégie de Business

Continuity qu’elles ont mise en place, la réponse la plus fréquente

est « nous avons élaboré un plan de continuité ». Ce plan de continuité

– ou BCP - définit les procédures à enclencher et les rôles des

différents intervenants en cas d’incident ; intervenants qui peuvent

être issus de l’IT, de la sécurité, du légal, de la communication, ….

Ce n’est qu’une fois que la crise est enclenchée que ces personnes

sont regroupées autour d’une table et que le play book est déroulé,

c’est-à-dire la liste des actions qui doivent être effectuées au fur et

à mesure du développement de la crise ».

Contrairement aux autres pans du secteur de la

cybersécurité, la Business Continuity ne semble

pas être en ligne avec l’évolution que connait

aujourd’hui le secteur.

08

Inform


Comment la situation peut-elle être améliorée ?

« Fujitsu travaille depuis longtemps sur le sujet, en collaboration avec

d’autres partenaires européens. Dans ce contexte, nous nous sommes

interrogés sur la pertinence d’utiliser l’IA dans le cadre de la Business

Continuity de manière à pouvoir anticiper les menaces et prendre des

actions correctives, au même titre que pour des problématiques de

sécurité telles que la détection et la réponse aux incidents ».

« Nous sommes aujourd’hui partie prenante dans un consortium

européen qui s’inscrit dans le cadre de la stratégie de cybersécurité

de l’UE - les directives NIS et NIS2 en particulier - et qui rassemble

des acteurs majeurs issus tant du secteur industriel que du monde

académique. Ce consortium, CS-AWARE-NEXT, a pour mission de

mettre au point de nouvelles méthodes et de nouveaux outils permettant

d’améliorer la préparation aux catastrophes et de faciliter la

reprise et la continuité des activités des organisations européennes

interdépendantes et relevant de secteurs critiques dans le but de

mieux traiter les problèmes de cybersécurité en cascade ».

« Au sein de CS-AWARE-NEXT, Fujitsu est responsable de la définition

et de l’implémentation d’un framework avancé pour la Disaster

Recovery et la Business Continuity - reprise après sinistre et continuité

des activités – ainsi que pour les réseaux auto-régénérateurs basés

sur l’IA. Il est à noter que ce type de solution pourra complémenter

les initiatives engagées par bon nombre d’entreprises, entre autres

l’usage de solutions de back up fortifiées connues sous le nom de

air-gapped back up, l’objectif étant d’atteindre un orchestrateur

intelligent de la résilience ».

À quel horizon voyez-vous des technologies innovantes comme

l’IA devenir pratique courante dans la cyber résilience ?

« Dans le cadre du projet CS-AWARE-NEXT, nous nous sommes fixés

comme horizon 2024-2025. Bien entendu, il y a des défis à relever

parce que le recours à l’automatisation ou à l’IA en informatique

en général et en sécurité en particulier nécessite une certaine supervision.

Il faut évaluer quel degré d’autonomie peut être accordé

à ces outils et quelle part doit rester à l’intervention humaine ».

Au sein de CS-AWARE-NEXT, Fujitsu

est responsable de la définition et de

l’implémentation d’un framework avancé pour

la Disaster Recovery et la Business Continuity -

reprise après sinistre et continuité des activités

– ainsi que pour les réseaux auto-régénérateurs

basés sur l’IA.

À quel niveau l’IA peut-elle apporter une valeur supplémentaire ?

« C’est là où le volet learning prend tout son sens. En effet, il faut tout

d’abord analyser l’interdépendance entre les systèmes, la structure

des backups en place et évaluer l’impact potentiel d’un système sur

l’autre en termes de propagation. À ce niveau, la capacité de prédiction

qu’offrent certains modèles d’IA et Machine Learning permettent

d’obtenir avec plus de fiabilité la gravité de l’impact potentiel de

l’incident. Cela consiste à identifier les ramifications potentielles

de l’incident en cours et en estimer l’échelle. À partir de ce moment,

il est possible de définir si l’IA peut également prendre le contrôle

de la réponse et jusqu’à quel niveau. C’est une première étape ».

« La deuxième étape concerne la phase de reprise. Quand un système

tombe, une fois l’incident passé, les administrateurs sont appelés

à enclencher le processus de Disaster Recovery pour chaque type

d’application qui a été affectée. Tout ceci est défini dans les processus.

Cette phase est une bonne cible pour l’automatisation parce qu’elle

se compose d’actions structurées et séquencées. L’idée que nous

développons consiste à formaliser ce processus dans des langages

logiques temporels qui formeront la base de fonctionnement de l’IA,

afin d’être capable de prendre ces actions sans avoir besoin d’une

intervention des administrateurs ».

09


Inform

Integrating cybersecurity

INTO YOUR

Cybersecurity today has to be a proactive effort rather than a reactive measure to curb the damage.

With cyber threats of all kinds looming over IT companies and other organizations, CIOs need to

find ways to include cybersecurity as a priority in the business continuity plan (BCP) and disaster

recovery strategy. Especially in the current scenario, where most organizations are shifting to an

entirely remote or a hybrid setup, risks to data privacy and security are even higher.

10

Inform


BCP

IOs,

| By Michaël Renotte |

Cybersecurity and business continuity

are ideally interrelated. You cannot have

business continuity without having a robust

cybersecurity system in place.

C

along with IT managers

in every organization, must

understand this. They need to

create a business continuity plan that

acknowledges these threats and defines

solid measures to prevent cybersecurity

breaches, even in a remote work setting.

But how do you integrate cybersecurity

into the business continuity plan?

Cybersecurity and business continuity

are ideally interrelated. You cannot have

business continuity without having a

robust cybersecurity system in place. But

to integrate cybersecurity into your BCP

effectively, you will need to put in some

time and effort. Here are certain areas you

need to focus on.

— Business Impact Analysis

(BIA)

The business impact analysis examines the

various measures taken by an organization

to ensure cybersecurity and efficient risk

management. During the BIA, IT managers

and cybersecurity teams must assess the

various threats and risks and categorize

them into different impact categories.

Some threats may impact their reputation,

and others may impact revenue. Impact

categories may also include customer

experience, compliance, costs, or any other

area that may be affected by a cyberattack.

The full scope of a cyber attack or a threat

must be understood, including the residual,

long-term impacts and how they can affect

business continuity.

— Risk assessment

Risk assessment in an organization provides

a thorough perspective of where it stands

in terms of cybersecurity and business

continuity preparedness. Not only does the

organization need to assess its own systems

and processes, but also those of third-party

vendors and providers. This is primarily seen

as the responsibility of the organization’s IT

department. So IT managers must ensure

that all the infrastructure, software, and

hardware used in the organization are

secured to the best of their ability.

This risk assessment needs to be

accompanied by a business continuity

assessment too so that organizations

are able to identify gaps and potential

threats across all business functions and

departments.

— Leadership support

Strategy and planning are primarily done

by the top brass of an organization. The

leadership’s involvement in business

continuity planning and thus in ensuring

cybersecurity integration in the BCP is

essential. The leadership can best assess

the impact of cyber threats on the different

areas of an organization. CIOs and other

executives need to work together with IT

managers and teams to think of a robust

response plan in the event of a crisis. They

must also make timely decisions, with

inputs from IT teams, that can prevent such

security crises in the first place.

— Response, communication,

and recovery plan

Despite all efforts, the risk of a cyberattack

cannot be ruled out. In establishing their

BCP, organizations must be prepared for

the worst too. An appropriate response

to a security incident must be in place

in the form of an incident response plan.

The response plan must clearly guide what

needs to be done in case of a cyberattack

and how the impact can be mitigated. A

recovery strategy should also be in place

to ensure that downtime is minimized and

business continuity does not take a blow.

Organizations are responsible for

communicating about a security incident

to all their stakeholders. So the BCP and

the incident response plan must give clear

instructions on this as well.

— Key take-aways

Business continuity can only be achieved

by mitigating risks, minimizing downtime,

and coming out with minimum damage in

the face of an unforeseen security incident.

With these few simple measures, integrating

cybersecurity with business continuity

planning should not be too difficult.

11


Inform

une tâche comp

| Propos recueillis par Yann Roll |

les en

Maxime Verac,

Directeur au sein de l’équipe Cyber Risk chez

Deloitte Luxembourg, partage avec nous

son expérience en matière de gestion des

vulnérabilités.

Loin d’être statique, l’écosystème

informatique évolue constamment pour

supporter la transformation numérique des

entreprises et intégrer ainsi de nouvelles

technologies, de nouveaux systèmes et

logiciels mais aussi de nouveaux partenaires.

Dans ce contexte, l’environnement

informatique se fragilise et les besoins en

sécurité s’accentuent. Il devient dès lors

crucial pour les entreprises d’apprendre à

faire face aux vulnérabilités qui menacent

leur sécurité et d’adopter les meilleures

méthodes pour les déceler et y remédier.

— Une exposition croissante

« Toute faille de sécurité détectée sur son réseau informatique peut

représenter un danger pour l’entreprise. Lorsqu’il s’agit d’un cas isolé,

il est souvent facile de réagir rapidement pour minimiser les impacts

potentiels. Le réel problème posé par les vulnérabilités, c’est leur

trop grande quantité : le nombre de vulnérabilités auxquelles doivent

faire face les entreprises est depuis quelques années en pleine

expansion et cette tendance ne semble pas près de s’inverser »,

explique Maxime Verac. « En 2021, plus de 20.000 vulnérabilités

ont été recensées par le MITRE, une organisation à but non lucratif

qui met à disposition de la communauté une importante base de

connaissance empirique des différentes techniques d’attaques

connues. Toutes ces vulnérabilités se sont vues attribuer un numéro

CVE – Common Vulnerabilities and Exposure – ce qui représente une

moyenne de 55 vulnérabilités par jour. Cette année, plus de 17.000

vulnérabilités ont déjà été recensées. D’ici le mois de décembre, le

seuil des 20.000 vulnérabilités identifiées devrait être largement

dépassé », précise-t-il.

12

Inform


La gestion des vulnérabilités :

lexe pour

treprises

La gestion des vulnérabilités est un

sujet complexe qui nécessite des moyens

technologiques et humains.

« Le nombre de vulnérabilités répertoriées explose pour plusieurs

raisons. Tout d’abord, la croissance progressive du MITRE leur permet

de disposer de davantage de moyens pour traiter et assigner

des CVE. Ensuite, on a assisté ces dernières années à l’apparition

des “ bug bounties “ qui ont aussi probablement joué un rôle dans

la stimulation de la recherche de vulnérabilités. Enfin, suite à la

pandémie de Covid-19 et à l’explosion du télétravail, de nombreuses

vulnérabilités affectant notamment les solutions de VPN ont été

identifiées ces dernières années, car la sécurité de ces solutions

est devenue critique. Par ailleurs, la complexité des systèmes d’information

tendant à s’accroître - multiplication des dépendances

aux logiciels, y compris dans le cloud - , le périmètre pouvant être

affecté par des vulnérabilités s’élargit », ajoute Maxime.

— Une approche historique désuète

« La gestion des vulnérabilités est une tâche complexe. Il faut agir

avec méthode tout en restant pragmatique », dit-il. « L’accroissement

du nombre des vulnérabilités accentue l’exposition aux risques

d’exploitation de ces dernières mais appliquer un correctif pour

chacune d’elles peut s’avérer long et compliqué. Dans les faits, si

on le pouvait, il faudrait quasiment tout “ patcher “. Mais ce n’est

pas possible. Cela demanderait des quantités de ressources et

de temps faramineuses et pourrait potentiellement impacter la

stabilité des environnements. »

« Aujourd’hui encore », poursuit-il, « beaucoup d’entreprises manquent

d’une approche cohérente sur la façon d’agir face à cette masse de

CVE et sur la manière de leur attribuer des niveaux de priorité. Une

vraie prise de conscience est nécessaire pour aborder efficacement

cette gestion des vulnérabilités. Il ne s’agit pas d’une simple

problématique technologique, c’est aussi une question de dialogue

entre équipes “ sécurité “ et “ informatique “ où un consensus doit

être trouvé en s’appuyant sur une approche basée sur les risques. »

« L’approche historique où l’on patche toutes les CVE dont le score

CVSS – un système permettant de calculer une note évaluant les

différentes caractéristiques et la criticité d’une vulnérabilité - est

supérieur à un seuil donné, et qui doivent donc être corrigées le

plus vite possible, n’est plus adaptée par rapport à la quantité de

vulnérabilités auxquelles les entreprises font face. En suivant cette

approche, on risque de passer à côté de vulnérabilités réellement

critiques et de monopoliser inutilement des ressources. Un manque

de cohérence dans la stratégie pourrait entraîner une surcharge

opérationnelle ainsi que des tensions entre les différentes lignes

de défense. Il est impératif d’attribuer des niveaux de priorité aux

vulnérabilités en les contextualisant pour mieux comprendre les

risques sous-jacents », estime Maxime Verac.

— Améliorer la gestion

« Les facteurs clés pour améliorer la gestion des vulnérabilités sont

l’identification de ces dernières et l’établissement de priorités. Il

existe plusieurs solutions d’identification telles que la veille, les

scans de vulnérabilités ou encore les tests d’intrusion – ou pentests,

mais aucune d’entre elles n’est suffisante seule. Elles présentent

toutes des avantages et des défauts, et il faut être conscient des

limites de chacune. C’est pour cela qu’il est crucial de combiner

ces différentes méthodes pour assurer une couverture optimale

du périmètre. Il en va de même pour les scans de vulnérabilités,

il vaut mieux en réaliser de différentes sortes : non-authentifié,

authentifié, ou avec agent – un composant logiciel déployé sur les

machines à scanner », recommande-t-il.

« Pour établir correctement les priorités entre les vulnérabilités,

plusieurs critères sont à prendre en compte. Dans un premier temps,

il est important d’identifier l’exposition du système sur lequel porte la

vulnérabilité : ce système est-il accessible depuis Internet ? Ensuite,

il s’agit de savoir si la vulnérabilité a déjà été exploitée ou si un code

permettant son exploitation est facilement disponible. Beaucoup de

vulnérabilités sont de “ nature théorique “, c’est-à-dire qu’elles présentent

un risque d’exploitation mais qu’il n’y a aucune certitude quant à la disponibilité

d’un code qui permettrait son exploitation. Il est donc souvent

préférable de se concentrer dans un premier temps sur celles dont le

caractère exploitable a déjà été confirmé », conseille-t-il. « Enfin, le

dernier critère relève des impacts possibles liés à l’exploitation d’une

vulnérabilité : à quel point son exploitation pourrait-elle mettre à mal

mon activité ? Par exemple, est-ce qu’elle permet une prise de contrôle

à distance d’un système ou encore une fuite de données ciblées ou

massives ? Les fournisseurs de solutions de scan de vulnérabilité l’ont

bien compris et ont amélioré ces dernières années leurs fonctionnalités

et informations pour faciliter la priorisation. »

« On peut également s’appuyer sur la liste des vulnérabilités connues

- KEV ou Known Exploited Vulnerabilities - en guise d’outil d’aide à

l’établissement de priorités. Il s’agit d’une liste mise en place par le

CISA – Agence pour la cybersécurité et la sécurité des infrastructures

aux Etats-Unis – répertoriant des vulnérabilités exploitées

lors d’attaques réelles », dit encore Maxime Verac.

« La gestion des vulnérabilités est donc un sujet complexe qui

nécessite des moyens technologiques et humains pour identifier

les vulnérabilités, les qualifier, et prioriser leur correction. Il est important

que l’approche choisie pour la priorisation fasse l’objet d’un

consensus entre les différentes parties prenantes », conclut-il.

13


Inform

SAP Luxembourg :

UNE SUCCESS

STORY DEPUIS

25 ANS

| Propos recueillis par Yann Roll |

Fondée en 1972 par 5 personnes travaillant dans

les bureaux de leur premier client, SAP a tracé sa

route jusqu’à devenir une multinationale comptant

plus de 105 000 employés à travers le monde.

SAP est aujourd’hui l’un des principaux acteurs

mondialement reconnus dans l’édition de logiciels

de gestion de processus métier, et le seul d’origine

européenne . La firme a récemment fêté ses 50 ans

et, plus particulièrement, ses 25 ans de présence au

Luxembourg. Bertrand Brackman, Country Sales

Manager chez SAP, revient sur les 25 ans

de la filiale Luxembourgeoise.

Aujourd’hui, nous couvrons tous les

processus end-to-end clés dont peut avoir

besoin une entreprise pour assurer

son succès et sa pérennité.

— Une success story

« En 1997, SAP a estimé judicieux d’établir une filiale sur le territoire

luxembourgeois afin de pouvoir servir d’une manière plus spécifique

et adéquate ce marché », explique Bertrand Brackman. « Arbed,

avant de devenir ArcelorMittal via ses multiples fusions, fût le premier

client historique de SAP Luxembourg. Aujourd’hui nous proposons

activement nos services à plus de 120 entreprises au Luxembourg

sur l’ensemble des industries. »

« Nous travaillons bien sûr avec des grands noms de l’écosystème

luxembourgeois tels que l’Etat, les CFL ou Clearstream, pour ne citer

qu’eux. Au niveau mondial, les PME représentent pas moins de 80%

de nos clients et cela se retranscrit également ici, au Luxembourg »,

souligne-t-il. « En effet, sur l’ensemble des entreprises qui composent

notre clientèle, une dizaine ont moins de 50 employés, 30 à 40 en

ont plus de 500 et le reste oscille entre 100 en 500. »

« Au démarrage, il y a 25 ans, nous sommes passés par une phase

de positionnement avec notre ERP avant d’étendre le nombre

de solutions de notre portefeuille, ce qui nous a aidés à renforcer

notre position sur le marché. Ces 25 années consacrées à proposer

des solutions adéquates et pertinentes pour différentes

industries présentes au Luxembourg, mais également des actions

dans l’intérêt local, s’avèrent aujourd’hui payantes. Le Luxembourg

représente à l’heure actuelle 20% du chiffre d’affaires de SAP

Belgique-Luxembourg. Ce chiffre confirme l’importance du marché

luxembourgeois à nos yeux. »

— « To help the world run better and improve

people’s life »

« Nous sommes extrêmement fiers de notre devise. Même si le

grand public ne sait pas toujours ce que nous faisons chez SAP

14

Inform


CHIFFRES-CLÉS

1972

Création de SAP

1997

Création d’une filiale sur le territoire

luxembourgeois

105 000

C’est le nombre d’employés chez SAP à travers

le monde

Bertrand Brackman

Country Sales Manager chez SAP

en dépit de notre empreinte étendue, nous aidons réellement le

monde à mieux fonctionner et contribuons réellement à améliorer

la vie des gens. Je pense que cela s’est particulièrement ressenti

ces dernières années avec l’adoption massive du Cloud et la crise

du COVID », déclare Bertrand Brackman.

« Nous sommes fiers d’avoir pu aider des millions de gens à surmonter

la pandémie. La création de l’application Covid Check avec

Deutsche Telekom et la transformation digitale des sociétés au cours

de cette période en sont quelques exemples. On peut également

citer l’adoption des technologies cloud depuis plusieurs années qui a

renforcé cette digitalisation. En tant que cloud provider, toutes nos

solutions sont mises à la disposition de nos clients dans le Cloud, ce

qui permet de bénéficier des fonctionnalités de nos services sans

devoir s’occuper de la gestion de l’informatique. Ce service a permis

à nos clients d’effectuer leur transition digitale plus rapidement

afin de pouvoir poursuivre leurs activités durant les périodes de

confinement. Le monde tend de plus en plus vers l’adoption de ce

type de pratique », constate-t-il.

« Ces dernières années, l’adoption de services cloud s’est avérée

nettement plus forte au Luxembourg qu’en Belgique, par exemple. C’est

là que l’on observe le côté innovant et early adopter du Luxembourg

en matière de nouvelles technologies », dit-il. « Les besoins des

personnes et des entreprises ont évolué depuis 25 ans », poursuit

Bertrand Brackman. « Chez SAP, nous les accompagnons et les

aidons à faire face à ces changements. Bien que notre succès ait

débuté avec un produit monolithique, l’ERP, nous nous sommes

adaptés à l’évolution des besoins de nos clients en étoffant notre

offre. Aujourd’hui, nous couvrons tous les processus end-to-end

clés dont peut avoir besoin une entreprise pour assurer son succès

et sa pérennité. »

— Raréfaction des ressources

« Au vu de nos résultats actuels, nous avons une vision très positive

de l’avenir. Nous anticipons une forte croissance sur l’ensemble de

nos solutions. Cependant, cette croissance est déjà confrontée à

une raréfaction des ressources, au Luxembourg comme dans le

reste du monde », fait-il remarquer. « Nous serons touchés par

ce phénomène au même titre que nos clients. Il s’agira de l’un des

challenges les plus difficiles auxquels nous devrons faire face dans

un avenir proche : la raréfaction des ressources et des talents. Cela

commence d’ailleurs à se ressentir aujourd’hui, sans compter l’impact

induit par la pandémie et les crises actuelles quant aux aspirations

et attentes des travailleurs. Pour nous, le point crucial sera notre

capacité à pouvoir suivre cette croissance et à y répondre dans un

tel contexte. Nous avons d’ailleurs déjà commencé à augmenter nos

effectifs en prévision de cette tendance », ajoute Bertrand Brackman.

« Un autre aspect sur lequel SAP va se concentrer dans le futur est

la sustainability. Il s’agit pour nous d’un aspect dont les enjeux sont

cruciaux tant pour notre avenir que pour assurer une bonne qualité

de vie à l’homme dans le futur. Nous souhaitons pouvoir aider nos

clients à développer une approche plus durable mais aussi à satisfaire

les exigences imposées par les régulateurs sur le sujet. »

15


Nathan Mangenot

Branch Director Luxembourg

chez NSI

U

Alain Wattier

General Manager Belgique

et Luxembourg chez NSI

XInform

E

NSI, 5 ans de succès

AU SERVICE

LUXEMBOU


Alors que NSI fête ses 5 ans de présence

au Luxembourg, la société est sur le point

de franchir de nouveaux seuils dans la

consolidation des services qu’elle apporte

à ses clients. Agrément PSF, offre cloud

renforcée et expansion sur le marché

français sont en effet à l’agenda 2022 de

NSI Luxembourg, nous expliquent Nathan

Mangenot, Branch Director Luxembourg,

et Alain Wattier, General Manager Belgique

et Luxembourg.

M

NSI Luxembourg a vu le jour il y a 5 ans et vient de dépasser

le cap des 100 collaborateurs. « C’est un trajet assez

fantastique », s’enthousiasme Alain Wattier, « le fruit

d’une belle rencontre entre des personnes qui se font confiance et

collaborent d’une manière efficace. La qualité des relations humaines

est d’ailleurs aujourd’hui inscrite dans l’ADN de NSI Luxembourg :

la confiance mutuelle, l’empathie et le respect, c’est ce qui fait que

nous parvenons encore à recruter sur le marché luxembourgeois

malgré la rareté des profils disponibles ».

— Une approche progressive

« Le démarrage des activités a été progressif », raconte Nathan

Mangenot. « Nous avons initialement déployé notre offre de gestion

des infrastructures, ensuite notre portefeuille Professional Services

de mise à disposition de profils, suivi des offres logicielles d’IBM et

des solutions collaboratives de Microsoft. Plus récemment, nous

avons commencé à construire nos services cloud et, dernièrement,

nous avons décidé de dynamiser les activités ERP, basées sur

Microsoft Dynamics et Odoo et encore pilotées depuis la Belgique ».

NSI Luxembourg a particulièrement développé ses compétences

en gestion d’infrastructures auprès des institutions financières.

Les experts qui ont constitué l’entreprise depuis sa création lui

ont permis d’établir une crédibilité indiscutable dans ce secteur.

« La prochaine étape sera de doter NSI Luxembourg des ressources

nécessaires pour mener les projets ERP de manière autonome »,

confie Nathan Mangenot. « Pour cela, nous appliquons une recette

qui a fait ses preuves : mettre en place de nouvelles pratiques avec

l’aide du Groupe puis constituer des équipes locales qui gagnent,

progressivement, leur autonomie vis-à-vis de la maison-mère ».

— Respecter les spécificités de chacun

Le Groupe NSI a pour particularité de traiter avec le plus grand

respect les différences pouvant exister entre des marchés aux

cultures distinctes. « Nous abordons les contrats et les projets de

manière différente en Flandre, en Wallonie et au Luxembourg, parce

que nous considérons que chaque géographie, chaque marché,

a ses spécificités, à l’opposé des multinationales qui appliquent

systématiquement le même modèle », dit Alain Wattier. « C’est un

grand différenciateur », ajoute-t-il. « Nos équipes locales élaborent

et appliquent leurs propres stratégies sur leurs marchés. Bien sûr,

cette approche demande beaucoup d’investissement au quotidien

de la part de nos dirigeants locaux et de leurs collaborateurs ».

NSI Luxembourg, le fruit d’une rencontre entre

des personnes qui se font confiance.

16

G

Inform


DU MARCHÉ

RGEOIS

Nous considérons que chaque marché

a ses spécificités, contrairement aux

multinationales qui appliquent

systématiquement le même modèle.

B

« Si cette approche s’est avérée gagnante, c’est parce que nous

avons pu nous appuyer sur l’expérience acquise par le Groupe NSI »,

souligne Nathan Mangenot. « Nous avons capitalisé sur le portefeuille

d’offres développées par la maison-mère, tout en adaptant nos

services aux spécificités du marché. Cela Onous a permis de conclure

des contrats et de mener des projets à leur terme sans disposer dès

le départ de toutes les ressources nécessaires au sein de la filiale

luxembourgeoise. Au fil des projets, le retour d’expérience s’est mué

en une vraie maîtrise des technologies et des outils tant matériels

que logiciels. Nous avons gagné en maturité dans notre approche

des services et dans la manière de les délivrer ».

— Poursuivre la croissance

Depuis deux ans, NSI Luxembourg opère ses propres services

cloud, bientôt hébergés dans deux datacenters luxembourgeois

afin de répondre entièrement aux attentes du marché en matière

de disponibilité et de sécurité des données. « En plus d’offrir à nos

clients nos solutions logicielles métier en mode SaaS, cela nous

permettra, dès la fin de l’année 2022, de nous positionner comme un

fournisseur de solutions de cloud privé et hybride doté de l’agrément

PSF », commente Nathan Mangenot.

Par ailleurs, une démarche en vue d’obtenir de la part de la CSSF

un agrément PSF a été initiée au début de l’été. « Le moment

était venu de franchir un palier supplémentaire dans l’évolution

des activités de NSI Luxembourg. La maturité de la société le permettait

», estime Alain Wattier. « C’est une étape indispensable

pour poursuivre notre croissance au Luxembourg en même temps

qu’une opportunité d’améliorer nos processus ».

R

Cette acquisition pourrait se faire dans un domaine pour lequel

NSI Luxembourg ne dispose pas encore de ressources locales.

En l’occurrence, une entreprise active dans l’univers de l’ERP au

Luxembourg constituerait un objectif pertinent. « Il pourrait également

s’agir d’une opération de croissance externe qui renforcerait

nos équipes dans une activité que nous proposons déjà », précise

Nathan Mangenot. « L’acquisition d’une société active dans les

Professional Services pourrait consolider notre force de frappe et

nous aider à croître de manière organique. Le marché luxembourgeois

est un grand consommateur de ce type de services. C’est

d’ailleurs ce qui nous a permis ces dernières années de développer

nos compétences dans ce domaine, et ce auprès de clients de toutes

tailles », dit-il. « Au Luxembourg, avec les autres filiales du groupe,

Multidata et Rime-IT, nous comptons plus de 200 collaborateurs et

visons un effectif de de 300 personnes à l’horizon 2023 », ajoute-t-il.

U

— Expansion géographique

« Désireux de contribuer aux objectifs de croissance du Groupe,

nous avons aussi pour ambition de créer une nouvelle filiale en

France, afin de pouvoir rayonner dans toute région Grand Est jusqu’à

Strasbourg, où nous avons déjà des activités », nous apprend Nathan

Mangenot. Pour des raisons de proximité géographique et d’affinité

culturelle, c’est NSI Luxembourg qui est chargée de mener

à bien cet élargissement des activités. Notons que de nombreux

collaborateurs de la société sont des frontaliers français. « Ce

marché, nouveau pour nous, nécessite une stratégie différente de

celles que nous avons pratiquées jusqu’à présent, et l’expérience

acquise avec le développement de NSI Luxembourg ne peut que

nous aider dans la réalisation de nos objectifs », conclut-il.

D’autre part, poursuit-il, « nous restons attentifs à la possibilité

d’acquérir une entreprise qui nous permettrait d’atteindre la masse

critique pour devenir un acteur de poids sur le marché luxembourgeois.

Nous évaluons ce seuil à 300 collaborateurs. Nous sommes

d’ailleurs sur le point de déménager dans un nouveau bâtiment afin

d’être prêts à accueillir des équipes renforcées dans les meilleures

conditions. Nous avons retenu le choix de Belval, Pôle national de la

recherche et de l’innovation, afin d’intensifier notre présence dans

les secteurs de la recherche et de la santé. Ce lieu est également

idéalement situé pour accueillir des collaborateurs frontaliers ».

17


Inform

Is your data

IN THE CLOUD

SAFE?

| By Nastassia Haux |

The number of businesses migrating

to the Cloud is growing day by day. But

many businesses who have yet to make

the switch are concerned about one thing,

and that is security. How secure is the

Cloud? Is your data safe? Let’s find out.

?

18

Inform


T

he Cloud has been designed to offer maximum security.

The following features make the Cloud secure and the

ideal place to store your data.

— Redundancy

A key benefit of storing your data in the Cloud is that it is backed

up multiple times. The data you upload to the Cloud is stored on

physical servers. When the data is uploaded, it instantly gets

copied onto several servers in independent data centers. It means

that copies of your data are stored at multiple locations. This

redundancy ensures the safety of your data. Even if one server

fails, your data is safe on many other servers.

— 24/7 monitoring

Round-the-clock surveillance is another reason why cloud storage

is safe. All the major cloud service providers employ cybersecurity

experts at their operation centers. These experts ensure that the

cloud networks are monitored 24/7. The security teams proactively

look out for threats to eliminate them, preventing an attack from

happening.

TIPS TO KEEP YOUR DATA SECURE

ON THE CLOUD

• Enable two-factor authentication for

enhanced security. This feature is usually

turned off by default. Ensure to turn it on.

• In zero-knowledge encryption, your

encryption key is basically your account

password. Like all passwords, you should

take care to protect this encryption key.

• Disconnect your devices from the Cloud

when they are not in use to prevent

intruders from accessing your data.

Most cloud storage providers also have software teams working

for them that manage the security of the applications 24/7. The

software team patches security gaps and ensures that all systems

are up-to-date to prevent any security vulnerabilities.

Cloud storage providers also pay great attention to the physical

security of the servers. Most servers are kept under lock and key

and data centers are patrolled by security teams for added security.

— Encryption

All data on the Cloud is encrypted and only the owner of that

data has the encryption key. It is quite a common practice in the

cloud industry and is known as zero-knowledge encryption. Your

data is encrypted before it is stored in the Cloud. Thanks to zeroknowledge

encryption, even the cloud storage provider cannot

decrypt your data.

19

02

Learn

{ Verbe transitif }

Acquérir par l’étude, par la pratique,

par l’expérience une connaissance, un savoir-faire,

quelque chose d’utile.

20

Award winning IT partner

to the global alternative

investment sector

World Class Technology Services

for Alternative Investment

MANAGED CYBERSECURITY AND COMPLIANCE

CLOUD SERVICES

WORKSPACE AND COLLABORATION SOLUTIONS

24/7/365 IT SERVICES AND SUPPORT

MANAGED DATA SERVICES

DATA STRATEGY SUPPORT

DUE DILIGENCE SUPPORT

BUSINESS CONTINUITY PRACTICE

Whether you’re operating locally, nationally, or internationally,

RFA is your global technology partner

www.rfa.com

gralph@rfa.com

9 global locations

US | EU | APAC

3TECHSENSE Magazine #02

Learn

Orange Cyberdefense

QUESTIONS À

JEAN-SÉBASTIEN

BERNEYRON


En quoi l’initiative Orange Cyberdefense consiste-t-elle ?

« Orange Cyberdefense est la filiale du groupe Orange dédiée à la

cybersécurité. Nous avons intensifié notre relation avec celle-ci afin

de développer de nouvelles offres adaptées à chaque organisation

luxembourgeoise, qu’il s’agisse de PME ou de grandes entreprises ».

« Notre volonté est de répondre aux préoccupations de nos clients

en la matière, en les faisant bénéficier d’une expertise internationale.

Orange Cyberdefense et ses 2 500 experts en cybersécurité, qui

accompagnent des organisations partout dans le monde, peuvent

faire valoir une connaissance fine des failles et des menaces au

service d’une meilleure identification des risques, protection

des systèmes et des données, identification des attaques et des

réponses à y apporter ».

« Toutes les organisations, quelle que soit leur taille, sont aujourd’hui

concernées par les menaces cyber : les attaques se multiplient et

se manifestent sous diverses formes. Après un bilan complet avec

nos clients, nous les accompagnons dans le renforcement ou la mise

en place de leur cybersécurité. Parmi les services proposés, nous

comptons par exemple le MicroSoC, qui permet de superviser des

incidents de sécurité au sein d’une infrastructure via le déploiement

d’un EDR. Un EDR - Extended Detection and Response - est une

solution de sécurité pour les points terminaux qui, dans un premier

temps, est venue combler le fossé des technologies antivirus de

nouvelle génération. Cette solution est capable de détecter des

attaques inconnues et de lancer des correctifs automatiques contre

ces menaces, avec des fonctionnalités avancées pour effectuer des

investigations à distance. Nous proposons également le Cyberdiag,

un rapide audit technique et organisationnel permettant de dresser

une feuille de route cybersécurité selon le niveau de sécurité actuel.

Bien sûr, nous pouvons également répondre directement à un

incident, ou encore proposer des exercices de gestion de crise ».

Où en est la prise de conscience des risques que les

cybermenaces font courir aux entreprises ?

« Depuis quelques années, les attaquants ont le plus souvent recours

à des rançongiciels, ces programmes malveillants qui infectent les

systèmes dans l’optique d’encrypter les données et paralyser l’activité.

Si de nombreux hôpitaux ont été victimes de telles attaques,

aucune entreprise n’est épargnée par ces actes malveillants. Plus

récemment, dans un contexte de fortes tensions géopolitiques, on

Toutes les organisations, quelle que soit leur

taille, sont aujourd’hui concernées par les

menaces cyber.

Jean-Sébastien Berneyron

Deputy Sales & Distribution

Director-B2B Market chez Orange

a vu se multiplier des attaques visant à détruire les données, sans

qu’une rançon ne soit demandée. Le vol de données personnelles,

très préjudiciable à l’entreprise qui est contrainte d’en assurer la

protection, constitue aussi un risque majeur. Les questions de

cybersécurité figurent donc parmi les préoccupations majeures

de tous les dirigeants d’entreprise, de plus en plus conscients de

leur dépendance aux services numériques et à la disponibilité de

leurs données informatiques ».

« Le Luxembourg possède plusieurs acteurs, étatiques ou privés,

qui sensibilisent et accompagnent les grandes entreprises sur ces

risques. La prise de conscience y est d’ailleurs plus importante par

rapport au reste du marché européen. Malgré tout, les PME restent,

comme partout en Europe, des cibles récurrentes de cybermenaces

puisqu’elles sont souvent mal protégées. C’est d’ailleurs sur ce périmètre

que le partenariat avec Orange Cyberdéfense va se focaliser

afin de permettre aux PME de se prémunir face à ces dangers ».

Comment Orange Cyberdéfense contribue-t-il à la sécurité du

cyberespace luxembourgeois ?

« Orange Cyberdefense, en partenariat avec Orange Luxembourg,

entend renforcer l’écosystème luxembourgeois de la cybersécurité

en apportant son expertise internationale et des outils à la pointe

pour accompagner les acteurs, améliorer la détection des attaques

et les réponses à apporter en cas de faille ».

« Orange Cyberdefense travaille depuis plusieurs années avec

de grands acteurs présents au Luxembourg. Ensemble, nous

développons de nouvelles offres de connectivité intégrant des

solutions de cybersécurité, et nous nous appuyons sur l’expertise

des 2 500 experts d’Orange Cyberdefense et sur ses 26 centres de

détection répartis dans 13 pays ».

22

We help build a safer future

Today, small, medium and large organizations are vulnerable to

cyberattacks. At Sogeti, we are committed to building a safer and secure

future through the power of limitless technology. As your valued and

trusted partner, we create end-to-end solutions that help protect your

organization from existing and future threats. Visit www.sogeti.lu


Learn

Is your organisation’s

cybersecurity

KEEPING

PACE WITH

ITS DIGITAL

CAPABILITIES?

| By Wim Remes,

Managing Director Security Services, Damovo |

The transition to digital is exciting for your

company. It’s opening up opportunities to deliver

better customer experience, empower your teams

to collaborate and innovate – and streamline

operations across the board. But is your approach

to cybersecurity keeping pace? If cybersecurity

isn’t integrated into your digital thinking and

approach, you could be exposing your organisation to

existential risk. This article explores how to develop

a cybersecurity mindset – where your continued

focus on risk reduction allows your company

to achieve even more …

Imagine a digitally evolving manufacturer. Its supply and

distribution chains are automated. AI and machine learning

are streamlining logistics. Millions of euros are being saved,

performance has been improved beyond expectation – and remote

access and collaboration mean colleagues from across the globe

can innovate together.

For sure, the digital transformation isn’t complete. There are still

some legacy apps hanging around. And some teams are using

shadow IT systems.

This multi-million-euro operation’s small cybersecurity and IT

team has too much work on its plate to even begin thinking about

moving to a risk-based approach. They are busy every hour of the

day – and as soon as they deal with one ticket, another three arrive.

And the CEO? He’s just returned from a Future of AI conference

and wants to drive even further digital evolution in the company.

They don’t have time to think ahead … let alone plan cybersecurity

more strategically.

Meanwhile, in another part of the world, a hacker has just finished

crafting a phishing email and is about to press “send”. He’s pleased.

The email looks like a genuine invoice from a well-known company.

A company, it just so happens, that supplies the manufacturing

organisation. It will only take one person to open the attachment,

and the organisation’s operations could grind to a halt. The big

question is, what happens next?

— A mindset of reducing risk

In the early days of company-wide IT systems, cybersecurity

meant policing traffic into and out of an organisation. Firewalls

created perimeters around a company’s IT network, which was

housed on its premises. Cybersecurity was like a sturdy outer

castle wall and gate.

Organisations need to stop thinking of

cyber security as an optional cost centre.

Fast forward a couple of decades, and the flow of digital interactions

through an organisation has become a lot more complex. Even the

simplest IT network is a sprawling web of connections that spans

the Cloud, third party suppliers and devices in multiple locations.

When you add into this mix the fact that the workplace could be

on-site premises, a home office or a train or plane … it becomes

clear that old ways of thinking about cybersecurity are no longer

fit for purpose.

Cybersecurity is no longer a matter of keeping guards at the

castle gate. Instead, the CISO or CIO must ensure their whole

organisation’s ecosystem of connectivity is assessed in terms of

risk. This is because any weak point in this vast web may have the

potential to disable the entire network.

24

Learn


For sure, the digital transformation isn’t complete.

There are still some legacy apps hanging around.

of distraction when working from home. Because are we really

as alert to phishing emails and rogue pop-ups when our kids are

wandering in and out of the room we’re working in?

However, security is not primarily a people problem. Risk reduction

has to be thought of at an architectural level. Or in other words,

however cyber-savvy your people are, if your system has weaknesses,

security remains an issue.

Wim Remes

Managing Director Security Services at Damovo

— Identifying expert partners

For many over-stretched IT departments, a good first step

in securing the network is to get outside support. The best

cybersecurity specialists become a strategic annex of your team,

bringing you the latest expertise, insights and advice – as well as

upskilling your colleagues and raising the profile of security and

IT in your organisation.

The very best cybersecurity partners will often introduce savings

– by identifying duplication of functionality and reducing IT-related

insurance premiums – which offset the cost of hiring them.

— End-to-end visibility of the network

and its vulnerabilities

To protect a network, it’s also critical to gain a full understanding of

what it is – by mapping out which software, devices and hardware

are in use.

This total view of the system can be used to reveal where potential

threats may lie – and it can be used to model responses.

Modelling response to risk is an effective way to begin to integrate

security in an organisation that doesn’t already have a single

approach. And it makes approaches scalable too.

This total visibility can pave the way to significant cost saving.

Organisations often unknowingly have a number of different

pieces of software whose functionality overlaps – so they pay

multiple times, instead of having a unified approach that they

pay for only once.

— Evolving a cybersecurity mindset

Unifying a system and training teams to be alert to threats are all

part of developing a cybersecurity mindset.

Giving teams awareness of what to do (and what not to do) is

important – especially when there’s the potential for greater levels

— Develop a roadmap – and take action

When you’ve audited your network and identified points of weakness,

you can begin to take action.

Modelling risk and response gives you options – and means that

you don’t have to do everything at once. Instead, the approach

gives you a priority list for you to tackle one by one.

For example, if an audit reveals that an accounts team is losing

money, a priority might be to introduce two factor authentication

(2FA). Then you can move along your roadmap, addressing the

most important issues and steadfastly focusing on risk reduction.

Security maturity doesn’t have to be achieved overnight. It can be

arrived at systematically and incrementally.

— Make it easy

It’s also important to make security easy – because if it introduces too

many additional steps, your teams will find ways to try to bypass it.

This is where approaches like ZeroTrust can be helpful. By giving

the right people access to the right resources at the right time,

security and user experience are both optimised.

— Get started

We’ve all heard of the poverty line. It’s the minimum income required

to secure the most basic living conditions. Most organisations

exist below the security poverty line, a concept developed by

cybersecurity luminaries Wendy Nather and Andy Ellis. It means

that organisations don’t have minimum security arrangements in

place to ensure even basic cybersecurity.

Organisations need to stop thinking of cybersecurity as an optional

cost centre. In today’s hybrid working environment where progressive

organisations benefit from digital connectivity, it is now a must.

Because when your employee receives that phishing email, you

want them to know they have to delete and report it. Even better,

you want a system in place where only known suppliers can access

your network.

The good news is that developing a cybersecurity mindset is

something that all organisations can start to do. If you’d like to

talk to us about developing your security maturity, please call

us today.

25


Learn

Cybersécurité en 2023 et au-delà :

TENDANCES

| Propos recueillis par

Michaël Renotte |

ET ENJEUX

Pierre Zimmer

Deputy General Director

chez POST Group

Le contexte a évolué et le Luxembourg, qui était jusqu’à

présent relativement épargné, figure désormais sur la carte

des cibles potentielles.

26

Learn


De par ses activités diversifiées, POST Luxembourg

occupe une position très particulière au Grand-

Duché, aussi bien pour l’économie nationale que

pour les résidents. Consciente de son rôle essentiel,

voire critique pour le pays, l’entreprise est obligée

de détecter les évolutions dans le paysage de la

cybersécurité et de développer les capacités pour y

faire face, nous explique Pierre Zimmer, Directeur

général adjoint de POST Luxembourg.

Quelles évolutions avez-vous observées au cours de ces

derniers mois en matière de cyber menaces ?

« Chaque trimestre, nous émettons notre bulletin météo de la

cybersécurité. Si le même type de phénomènes y apparaissent

constamment, de nouvelles tendances commencent à se dessiner.

Nous constatons notamment la survenue d’attaques de plus en plus

ciblées, massives et en temps réel. Par ailleurs, nous observons

que le contexte a évolué et que le Luxembourg, qui était jusqu’à

présent relativement épargné, figure désormais sur la carte des

cibles potentielles et que nous sommes devenus attractifs pour les

cyber criminels qui pratiquent ces types d’attaques ».

Cela dénote-t-il une montée en puissance des attaquants ?

« J’observe que, depuis quelques années, les attaques sont devenues

de plus en plus sophistiquées. Auparavant, il était assez

simple pour les équipes de sécurité de contrer les attaques du type

phishing, par exemple ».

« Aujourd’hui, les criminels ont franchi une nouvelle étape en menant

leurs attaques de ransomware en temps réel. Dans ce schéma,

l’information obtenue de la victime est exploitée immédiatement,

ce qui ne laisse pas à la cible le temps de réagir, même en cas de

soupçon de fraude ou de supercherie. »

« Une deuxième étape a été franchie avec l’apparition de la robotisation

dans l’arsenal des cybercriminels. Ceux-ci utilisent désormais des

robots informatiques qui leur permettent non seulement de mener

des attaques en temps réel, mais aussi de les lancer simultanément

à très grande échelle. Les dommages, créés en un laps de temps

très court, peuvent ainsi être très conséquents ».

« Une troisième tendance se dessine. Elle s’appuie sur une autre

technologie innovante qui est au centre des discussions dans de nombreux

champs d’application, l’Intelligence Artificielle. Les attaquants

ont commencé à recourir à l’IA, d’une part pour identifier et exploiter

les données pertinentes collectées lors d’attaques de phishing par

exemple, et d’autre part lors de l’attaque proprement dite. Cette forme

d’ingénierie sociale basée sur l’IA permet aux criminels d’élaborer des

scénarios particulièrement crédibles lors de leurs interactions avec leurs

victimes, que ce soit par téléphone, par courrier électronique ou par

SMS. Avec ce type de méthode, le retour sur investissement obtenu par

les attaquants est bien meilleur qu’avec les moyens utilisés par le passé

puisqu’en établissant un dialogue plus pertinent avec leurs victimes,

ils voient augmenter le nombre d’attaques couronnées de succès ».

Que cela implique-t-il pour les entreprises ?

« Les entreprises de tous types, ce qui inclut les services publics

et les opérateurs d’infrastructures critiques, sont exposées et

doivent donc faire face à ce type d’attaques. Le côté positif :

beaucoup d’acteurs se sont déjà rendus compte qu’ils ne peuvent

plus se limiter à une simple défense périphérique. Au contraire,

les organisations doivent s’attendre à ce que des intrusions aient

effectivement lieu, faire le nécessaire pour en limiter l’impact et se

donner tous les moyens pour retrouver un niveau d’activité optimal

le plus rapidement possible ».

« Aujourd’hui, pour assurer une sécurité optimale, il faut connaître

intimement le fonctionnement de son système informatique. Bien

sûr, celui-ci n’est pas constant et varie périodiquement en fonction

des fluctuations dans l’activité de l’entreprise, comme les vacances

ou les pics de production, mais aussi du contexte. Ainsi, les accès

extérieurs se sont accrus pendant le confinement lié à la pandémie

de la COVID-19 et la vague de télétravail qui en a résulté. Lorsque

le contexte évolue, il faut créer un nouveau référentiel qui en tient

compte pour être de nouveau capable de détecter les anomalies

parmi les quantités de données qui remontent des systèmes. Cela

permet également aux équipes de travailler à partir de données

pertinentes sans être submergées par des faux positifs, dangereux

parce qu’ils consomment une part significative de l’énergie des

spécialistes, précieuse sur un marché en pénurie de ressources ».

« C’est dans ce sens que va l’action des régulateurs et des instances

supranationales qui incitent les organisations qu’ils encadrent à

faire appel à des intervenants externes capables de mener des simulations

d’attaques dans des conditions les plus proches possibles

de la réalité. La Banque centrale européenne a ainsi développé le

programme TIBER-EU pour tester et améliorer la cyber-résilience des

institutions financières en réalisant des cyber-attaques contrôlées

basées sur des scénarios de menaces réelles. Je pense qu’à l’avenir,

les secteurs sensibles ou critiques se verront de plus en plus imposé

ce type d’exercice pour démontrer leurs capacités à faire face aux

incidents de cybersécurité. Un autre point d’attention porte sur le

sabotage interne, qui présente d’ailleurs beaucoup de similitudes

avec le ransomware et les attaques ciblées en termes d’impact

comme de temps de préparation ».

Que nous réserve le futur ?

« À plus long terme, nous devons nous préparer à l’émergence de

l’informatique quantique en adaptant régulièrement les algorithmes

d’encryption qui protègent nos communications. Les experts de

POST travaillent déjà, en collaboration avec des acteurs européens

et internationaux, sur des projets innovants d’échange de clés

quantiques par satellite ».

« Mais quoique nous réserve le futur, il faut garder à l’esprit que

les maillons les plus faibles de la chaîne de cybersécurité restent

les êtres humains. Par conséquence, nous devons intensifier nos

efforts en vue de sécuriser les équipements et de sensibiliser leurs

utilisateurs à la nécessité d’exercer une vigilance constante ».

Pour assurer une sécurité optimale, il faut

connaître intimement le fonctionnement de son

système informatique.

27


Learn

For the Luxembourg Stock Exchange,

THE FUTURE

IS DIGITAL

| Interview by Michaël Renotte |

Julie Becker, CEO of the Luxembourg Stock Exchange, believes

that the digitalisation of capital markets is not only a powerful

lever of innovation and performance, it will also help develop

sustainable finance and facilitate the financing of investment

projects with positive green and social outcomes. She told us why

and how LuxSE intended to build on the power of new technology

to contribute to more efficient and digital capital markets.

Julie Becker

CEO of the Luxembourg

Stock Exchange

In January, the Luxembourg Stock

Exchange announced that security

tokens could be admitted on its

Securities Officials List, aka LuxSE SOL,

and Société Générale became the first

issuer to bring its security tokens to

LuxSE. What is your vision of the future

development of digital assets and what

role will institutions like yours play in

shaping it?

"Digitalisation is taking every industry by

storm, and the capital markets industry is

no exception. In recent decades, technology

has transformed the ways in which stock

exchanges operate, and this will continue

to be the case in the years to come."

"At the Luxembourg Stock Exchange, we are

fully aware of how important it is to keep up

with the rapid pace of digitalisation, and we

are committed to modernising and digitising

our exchange and contribute to more digital

capital markets overall."

"We firmly believe that using DLT to issue

financial instruments represents an

important step towards the digitalisation

and modernisation of financial markets,

one that can contribute to creating a more

open and accessible financial system. Digital

assets such as security tokens have the

potential to improve efficiency and provide

additional transparency in financial markets,

all while making transactions safer and

more resilient."

"This is also reflected in the proposed EU

Pilot Regime for Market Infrastructure based

on DLT, which will come into force in March

2023, permitting the processing of security

tokens through market infrastructures in

compatibility with applicable EU regulations

during a transitional period. It will mark a

significant step in the EU’s ambitions to

prepare capital markets for a digital future,

support digital innovation, and strengthen

consumer and investor protection while

ensuring financial stability."

"As a stock exchange, we are at the centre

of the financial industry, and we therefore

have a responsibility to innovate and drive

capital markets forward. The admission

of security tokens at LuxSE constitutes a

true milestone for EU financial markets, in

that we are the first exchange in the EU to

offer this unique, innovative and publicly

accessible solution for issuers and investors

of these instruments. More importantly,

the admission of DLT securities on LuxSE

SOL provides important visibility to DLT

instruments and their issuers and facilitates

the dissemination of indicative prices and

securities data on this new form of financial

instruments."

"As a market operator, we have a role to

play in the use of DLT in financial markets.

Our aim is to ensure the interoperability of

DLT issuance platforms, to avoid market

fragmentation."

"Without a doubt, this is a major step

towards the digital transformation of

our exchange, and a very first building

block in our contribution towards price

dissemination, data and transparency of

financial instruments issued using DLT.

Ultimately, we hope that this initiative

will encourage other financial players to

capitalise on this disruptive technology and

help meet our industry’s evolving business

needs in tomorrow’s digital economy."

The European Commission has made the green and digital

transition its overarching priority.

28

Learn


Four years ago, LuxSE undertook

a strategic reflection exercise on

the future evolution of its existing

technological assets and resources.

This led to an ambitious digital

transformation programme directed

towards becoming an agile organisation

at multiple levels and entailing a move

to the Cloud. How did this enable

LuxSE to deliver new solutions faster

and ensure better flexibility and

accessibility for clients, employees,

and other stakeholders?

"As I mentioned earlier, digitalisation is

becoming increasingly important across

all industries – and even more so in finance.

If you don’t innovate, both in terms of the

resources you offer your employees and the

solutions your clients benefit from, you risk

being left behind."

"Moving our entire infrastructure to the Cloud

is a complex project, but also a key part of

our digital agenda. Thanks to this move,

we are constantly improving connectivity,

flexibility, and speed, both for our clients

and for our teams."

"Our move to the Cloud enables us to be much

more agile and better respond to different

needs and expectations. It allows us to

provision additional capacity and allocate

our resources according to where they are

needed, without affecting our business

operations. Cloud computing also offers

the ability to distribute data across multiple

servers to make applications scalable and

resilient."

"In 2019 and 2020, our efforts focused

primarily on the technological teams, but

since 2021, our business lines have been

much more involved, and they are gradually

using a growing number of applications

based on our new cloud-based standards."

"Our move to the Cloud has been implemented

to strengthen our interactions with our

clients, partners and other stakeholders,

while also increasing our own reactivity

and productivity. While we are still in the

process of completing this migration, we are

already starting to reap the benefits of this

transition, both internally and externally."

"Ultimately, digitalisation is about more than

just improving connectivity and flexibility

and reducing costs – it is about simplifying

processes, both for our clients and for our

teams internally."

How can digital solutions using

technological advances such as

Artificial Intelligence, automation,

distributed ledgers and cloud

technologies, among others, help

improve the stock exchange listing

process and other capital market

operating modes?

"As market operators, we are service providers

to capital markets and we can capitalise on

the power of new technology to contribute to

more efficient and digital capital markets."

«One of the main benefits of making capital

markets more digital is that we can better

meet our clients’ needs, and help make their

tasks and the overall listing process more

seamless and efficient. This was the objective

of our e-Listing tool which now allows our

frequent issuers to carry out the listing

process at LuxSE completely online.»

"In 2019, we acquired a stake in the Londonbased

fintech Origin, a company working to

streamline and digitise the still quite manual,

time-consuming and complex bond issuance

process. Thanks to our cooperation and the

technical developments we achieved with

Origin, we successfully completed the first

fully digital listing of a debt security on LuxSE

via Origin’s digital platform in March 2021.

Issuers can now “List in a click” on LuxSE

via Origin’s platform."

"Digital transformation is also synonym with

taking bolder steps, and this means making

the most of new technologies. New tech

solutions such as DLT and asset tokenisation

can help integrate capital markets, safeguard

financial stability and more importantly,

secure consumer protection."

"Digital innovations and FinTech have made

financial services such as bank services

much more accessible, and we now need to

do the same for capital markets and remove

barriers to entry."

Our societies are simultaneously

engaged in a digital transformation and a

green transition. Despite some apparent

contradictions between both trends, can

one be done without the other?

"The European Commission has made the

green and digital transition its overarching

priority, so in short, the answer to this question

is no – one cannot be done without the other.

On the one hand, the digital transformation of

our societies is inevitable, while on the other

hand, the green transition is a necessity."

"One could argue that digital transformation

has to a certain extent helped highlight the

need for the green transition. What is clear

is that digital transformation goes hand in

hand with the need to shift towards more

sustainable business models and behaviours.

More importantly, it has the potential to

accelerate the transition to net zero in

many sectors."

"This twin transition, and the increased focus

on and investments in green solutions and

digital developments will affect our economy

and our society, and most definitely transform

capital markets as a whole."

"We have seen an exponential growth in

sustainable finance over the past five years,

but there is still a long way to go. Finance

needs to be at the heart of the solution to

our global challenges, starting with climate

change, and that means that we need to

transform finance from the inside out."

"We ought to mobilise capital towards our

climate goals, and work with all our issuers

to accelerate their climate transition. But

the digitalisation of capital markets will

also play a key role in the success of our

green transition, which is precisely why

digitalisation is so important to us as an

exchange. Last but not least, just as we do

in sustainability, we also need to ensure

convergence of standards and collaboration

within the digitalisation process."

"Finally, it is also crucial to acknowledge and

address the gender gap. Having more women

in digital would bring different perspectives

and new ideas, which is essential to get the

transition right."

"We will continue to capitalise on new

technology to simplify the listing process and

reporting for our issuers, and data – including

sustainability data, which is essential to drive

more sustainable investment choices – will

continue to play an essential role in financial

markets and in financial decision making."

"Ultimately, the digitalisation of capital

markets will help make sustainable finance

truly global, transparent, and facilitate the

financing of investment projects with positive

green and social outcomes."

DOSSIER LUXEMOURG STOCK EXCHANGE

29


Learn

Luxembourg Stock Exchange:

TOWARDS A DIGITAL AND

SUSTAINABLE FUTURE

| Interview by Michaël Renotte |

LuxSE CEO Julie Becker recently

highlighted the increasing role that

the digitalisation of capital markets is

expected to play in the development of

sustainable finance. How do you expect

this to take shape over the coming years?

LH: Sustainable finance has been on the

agenda of the Luxembourg Stock Exchange

for some time now. It has been 6 years since

we created our platform for sustainable

instruments, the Luxembourg Green

Exchange. It is now clear that sustainability is a

topic that will become increasingly important.

People understand more and more the role

it has to play in the real economy.

In my opinion, the same applies to

digitalisation. These two major trends need to

be addressed together. They present similar

challenges, because in the past these two

topics have been addressed as silos within

specific departments. They are in fact crosscutting

matters and both require training

not only for the entire staff of the company

but also for all the stakeholders with whom

we interact.

When it comes to digital-backed sustainable

finance, the applications we are seeing

emerge revolve around impact data. This may

include, for example, proving that financing

a given project has a positive environmental

or social impact. This can be done today

by measuring CO2 emissions at source or

for example by using satellite data. This

information can then be digitised so that

everyone can have access to it, across the

entire value chain and all financial actors.

LP: At the Luxembourg Stock Exchange,

digitalisation is designed along two axes: the

improvement of the user experience, both

internal and external, and the digitalisation

The Luxembourg Stock Exchange

holds a central position in the

country’s financial ecosystem, which

goes along with the responsibility

to bring innovation and to act as

a change driver in digitalization

and sustainable finance practices.

These are the reasons why LuxSE

was one of the first major financial

institutions to migrate its entire

technical infrastructure to the Cloud

and to take a pioneering role in listing

security tokens, say CIO Laurent

Pulinckx and Head of Sustainable

Finance Laetitia Hamon.

of assets through tokenisation. In January

2022, LuxSE admitted three security tokens

issued by Societe Generale on its Securities

Official List. These are two areas to which we

pay particular attention and in which we are

very active. We have also played a pioneering

role in these two areas.

The Luxembourg Green Exchange

– LGX - is reputed to be the world’s

leading platform for green, social and

sustainable securities. LuxSE and

its LGX team are constantly working

to develop the platform, facilitate

sustainable investment and contribute to

accelerating the green transition. In this

context, what roles are the LGX Academy

and the LGX DataHub called upon to play?

LH: We realised, even before 2020, that

there was a lot of sustainability data - on

countries, companies, the environment,

social issues, etc. - on the market. But this

data was disparate, scattered over many

documents, presented in different formats,

and therefore difficult to extract. In short,

despite the volume of data available, it was

difficult to use and compare it in a meaningful

way. However, the European regulation on

sustainability-related disclosure in the

financial services sector requires financial

players to report on this data. At LGX, we

understood that the best way to address

this challenge would be to develop a central

database that would bring together data on

green, social and sustainable securities so

that investors could be confident that they

were making the right decisions against

these criteria.

We now have a platform, LGX DataHub,

which includes sustainability data not only

on securities listed on the Luxembourg

Stock Exchange but anywhere in the world,

representing a global coverage of over 8,000+

green, social, sustainability and sustainabilitylinked

bonds. The purpose of this platform

is to allow users to extract data, analyse and

compare the impact of different securities

and make more informed and sustainable

investment decisions.

We also realised that if we wanted to help shift

capital flows to green, social and sustainable

projects, it was essential that everyone

understood what we were talking about and,

above all, knew how to proceed. In May 2020,

we therefore set up the LGX Academy, which

enables financial players in Luxembourg

and abroad to familiarise themselves with

the basics of sustainable finance, as well

as with the regulations, standards and

products, all illustrated by numerous practical

cases. So far, we have trained around 300

professionals representing banks, other

stock exchanges, professional services

firms, asset management companies, etc.

30

Learn


also reduced the number of historical versions

of saved files. These are small improvements

that we are implementing gradually and that

allow everyone to understand that we can

be more sober in our digital behaviour. But

it really makes a difference.

Laetitia Hamon

Head of Sustainable Finance of the


LP: Using innovative technologies and agile

methods allows us both to accelerate the

launch of new products and to adapt the

model in line with regulatory changes. This

is made possible by the thorough market

knowledge of our functional teams but also

by the maturity of the relationship between

them and the IT teams. This requires daily

exchanges in order to remain aligned with

each other, understand changes and develop

solutions quickly.

According to a recent IDC report, the

continued adoption of cloud computing

could prevent the production of up

to one billion metric tons of carbon

dioxide from 2021 to 2024. Apart from

these direct effects towards greener IT

operations, what are the wider benefits

of digitalisation, in light of your own

experience?

LP: It is clear that digitalisation is part of

the solution in the struggle to decarbonise

the economy. The electricity consumption

generated by a videoconference, for example,

is much less than the amount of CO2 that

would have been emitted to hold a physical

meeting with the same participants.

In concrete terms, three factors need to

be considered: infrastructure, application

and user behaviour-induced consumptions.

In terms of infrastructure, we are closely

monitoring the efforts made by Microsoft - our

Laurent Pulinckx

CIO of the Luxembourg Stock

Exchange

cloud services provider - to make technologies

more CO2-efficient. In 2021, a staggering 5.8

gigawatts of renewable energy was used by

Microsoft in their cloud systems.

In application development, the next step

will be to bring power consumption - and

therefore CO2 production - into the way

applications are coded, just as security and

cost became a part of our practices a few

years ago. There are several ways of coding

applications, some of which are more energyefficient

than others. From next year, we will

start to train our developers on this issue.

Thirdly, we have already started to work

on user behaviour by regularly publishing

tips and tricks on how to reduce energy

consumption. This includes, for example,

avoiding storing the same file multiple times

or sending emails with large attachments. We

are confident that linking CO2 emissions more

closely to transactions will have a significant

impact on user behaviour. Personally, I am

convinced that in the future, businesses and

organizations will have to pay more attention

to their digital environmental and social

responsibility, which involves implementing

awareness and training policies that leave

no one behind.

LH: I can attest to the fact that since we have

been using Microsoft’s SharePoint cloud

service, we have made a habit of sending links

with our emails rather than large files. We have

How does the ongoing wave of

digitalisation at LuxSE help improve the

services you deliver ?

LP: At LuxSE, digitalisation has several

objectives. One of these objectives is to

create new products, such as the LGX DataHub

platform. The aim is to be able to quickly

develop and test products that meet the

needs of the market. A second focus is on

improving user experience. For example,

the interface of our e-Listing service allows

issuers to connect directly to our systems

either via API or web page. The platform

even offers, – thanks to our partnership with

UK-based start-up Origin – a feature called

listing in one click which is a fully automated

process between the issuer and LuxSE. A third

objective is to improve internal processes

and make them faster, more efficient, and

more transparent.

LH: LGX was created in 2016, a few months

after the Paris Agreement and the creation of

the United Nations Sustainable Development

Goals. Following these events, the reaction

in Luxembourg was very quick, as is often

the case when it comes to being flexible

and innovative and contribute to new,

global developments. At LuxSE, apart from

facilitating sustainable investment and

accelerating the sustainable finance agenda,

we have been very active in working groups,

such as the European Commission’s expert

group on sustainable finance which led to

the current action plan. It is this promotional

effort in working groups, associations and

the education system that has brought us

to this point and explains why many other

stock exchanges are following the path

we have set out. LGX has received several

awards from international organisations,

including the United Nations Global Climate

Action Award 2020 and the Stock Exchange

of the Year award granted by Environmental

Finance as part of the Sustainable Investment

Awards 2022.


31


Learn

Digitalisation :

IMPACTS ET CONTRAINTES

| Interview by Nastassia Haux |

La Bourse de Luxembourg

(LuxSE) est la première institution

financière d’importance à avoir

choisi de migrer ses systèmes

d’information vers le Cloud.

Faisant œuvre de pionnier, LuxSE

a élargi sa stratégie pour y inscrire

les nouvelles attentes sociétales

et environnementales qui se

superposent au seul contexte de

digitalisation. Thomas Kieffer,

Head of Emerging Products

Delivery chez LuxSE, nous fait part

de ses observations à cet égard.

Le concept de digitalisation n’est pas

nouveau. Néanmoins, il reste au cœur

des préoccupations des entreprises.

A-t-il évolué au fil des temps et en quoi

consiste-il principalement aujourd’hui ?

Et quels en sont les principaux enjeux ?

L’évolution de la signification du terme

digitalisation est passée de la transition du

papier à l’électronique vers une amélioration

des processus accompagnés d’automatisations

; l’objectif restant de tendre vers

plus d’efficience opérationnelle ainsi que

d’accroitre la qualité, ceci dans l’optique

de permettre un meilleur time-to- market

pour les entreprises. L’évolution des

technologies sous-jacentes comme l’IA, la

RPA et la DLT, sans oublier des approches

agiles, permettent aujourd’hui d’atteindre

ces objectifs.

Se pose alors la question des impacts de

la décentralisation et de l’automatisation

sur l’environnement et la société …

La question de savoir si nous tendons

vers un alignement avec les objectifs de

développement durable au niveau de l’entreprise,

voire au niveau sociétal, doit se

poser. En effet, la digitalisation entraîne

un accroissement de consommation de

Thomas Kieffer

Head of Emerging Products

Delivery chez LuxSE

ressources informatiques, que ce soit pour

le stockage des données, leur processing,

ainsi que par la nature de technologies

distribuées comme la Blockchain. Tout

comme le processus des entreprises, ces

technologies tendent à s’améliorer en fonction

de l’ampleur de leur démocratisation. Un

exemple récent concerne le Merge récent

d’Ethereum et le passage de l’algorithme

de consensus du Proof of Work au Proof

of Stake qui a permis une diminution d’un

ratio de 100 de la consommation électrique

de ce réseau. Concernant les enjeux sociaux,

l’automatisation des tâches entraîne

aussi un changement dans les besoins en

termes de compétences et, s’il n’est pas

accompagné de la meilleure manière, un

risque sur l’employabilité des ressources.

Derrière tous les avantages de

la digitalisation - optimisation

des processus, automatisation,

décentralisation… - , quelles en sont les

contraintes ?

Derrière ce qui semble être des contraintes,

apparaissent souvent des opportunités.

Si nous revenons sur l’automatisation des

tâches, nous constatons que ce simple fait

permet aux équipes de se focaliser sur

des tâches à plus haute valeur ajoutée.

C’est pourquoi il est important de gérer

ce changement de paradigme, de l’industrialisation

humaine vers l’industrialisation

informatique. Ceci en commençant par

une gestion du changement accrue, par la

formation des employés vers des nouveaux

métiers où leur potentiel sera exploité pour

des tâches plus hautement valorisées.

Par ailleurs, les cursus scolaires devront

être adaptés et devront se focaliser sur de

nouvelles compétences, plus adaptées à

ce nouveau cadre. Au sein de LuxSE, nous

avons une approche de co-création avec

les équipes métiers où nous permettons à

celles-ci de monter directement en compétence

en expérimentant et en leur donnant

l’opportunité de mettre en pratique ellesmêmes

les automatisations.

Pensez-vous que la balance

digitalisation versus impacts sociétaux

et environnementaux est équilibrée

ou penche-t-elle plus d’un côté que de

l’autre ?

La métaphore du balancier s’applique plutôt

bien dans ce contexte. Même si l’équilibre

est une notion relative, nous devons surtout

nos concentrer sur l’amplitude des oscillations.

Nous étions en premier lieu dans un

positionnement à une extrémité, où la digitalisation

et les technologies préliminaires

très consommatrices devaient fonctionner

en apportant des gains économiques ou

qualitatifs à court terme, ceci sans tenir

compte des impacts que cela pouvait avoir.

Nous avons ensuite basculé vers l’autre extrémité

où le focus est placé sur l’inclusion

sociétale, l’optimisation environnementale

et l’accessibilité des technologies. Mais ceci

entraîne en transition une limitation de la

généralisation ainsi qu’un ralentissement de

l’adoption. Le pseudo équilibre ou centrage,

quant à lui, sera atteint quand nous aurons

adressé la gestion du changement dans son

intégralité, permettant non seulement une

accélération des pratiques mais aussi une

accélération de l’adoption.

32

Learn


Les deux principaux axes sur lesquels

LuxSE a basé sa transformation sont

l’innovation technologique et la prise

en compte des nouvelles attentes

en matière d’environnement et de

société. Que signifient-t-elles et quels

besoins et exigences ces dernières

recouvrent-elles ?

LuxSE est pionnière dans l’adoption des

nouvelles technologies, mais également

dans son approche concernant la finance

durable et les aspects ESG. Ce sont deux

piliers fondamentaux de notre mission.

Si l’on explore nos technologies au travers du

prisme ESG, il sera plus facile de comprendre

en quoi ces éléments sont intimement liés

à nos yeux.


ALIGNE TECHNOLOGIES

MODERNES ET APPROCHE ESG

| Interview by Nastassia Haux |

À la suite de Thomas Kieffer, qui évoquait les problématiques sociétales

et environnementales de la digitalisation, Yannick Bruck, Chief

Technology Officer, apporte sa vision sur la manière dont la Bourse de

Luxembourg (LuxSE) y répond. Comment cette institution aborde-t-elle

ces questions ?

D’un point de vue environnemental, notre

migration complète vers une infrastructure et

des services cloud, doublée d’une modernisation

de nos applications, permet d’assurer

une consommation énergétique plus basse

et plus adaptée à l’utilisation. En particulier,

utiliser une approche micro-services permet

de découper une application en de multiples

composants qui peuvent, indépendamment

des autres briques, adapter leurs performances

- et donc leur consommation - en

fonction de la sollicitation - et donc de l’utilisation

qui en est faite -, surtout lorsqu’ils sont

déployés sur des plateformes mutualisées,

type Kubernetes. Les ressources ne sont

plus bloquées par une application pour faire

face à un pic de demandes à un instant de la

journée, mais sont constamment adaptées et

élastiques. Cela a donc un impact sur notre

consommation énergétique, mais également

sur notre bilan carbone.

D’un point de vue sociétal, nous utilisons un

certain nombre de composants et services

qui s’inscrivent dans un écosystème vertueux.

Il peut s’agir d’open source ou d’utilisation de

services SaaS et de collaboration permettant

de partager l’information, partager les

fonctionnalités développées et déployées une

fois mais utilisées par plusieurs, et de rendre

plus accessibles certaines technologies

coûteuses - AI, Blockchain, infrastructure

moderne,…

D’un point de vue gouvernance, LuxSE a vu

son approche de travail s’orienter vers un

mode beaucoup plus agile ces dernières

années, tout en utilisant à bon escient les

capacités de notre nouvelle infrastructure

- infrastructure as code, policies de sécurité

ou de déploiement, etc. - au regard de

nos devoirs en matière de compliance et

régulation.

Nous pouvons donc dire que le Cloud

vous aide particulièrement à atteindre

vos objectifs …

Effectivement. C’est un aspect important

dans notre relation avec notre fournisseur

cloud au vu des points ci-dessus, mais

également par rapport aux services qu’il

nous rend. L’engagement en faveur d’une

neutralité carbone, d’une optimisation importante

de la consommation énergétique

et des actions menées pour l’environnement

de manière générale nous assure un alignement

complet sur toutes nos couches

technologiques avec notre stratégie ESG.

Quels sont les autres enjeux majeurs ?

II est important de prendre en compte le

contexte et le marché des ressources. Nous

devons réfléchir à la façon dont l’évolution de

la technologie peut nous permettre de délivrer

en plus grande quantité et de meilleure

qualité avec le personnel déjà présent, tout

en lui permettant d’évoluer ou d’être assistés

par la technologie ; soit en le délestant de

Yannick Bruck

Chief Technology Officer

chez LuxSE

tâches chronophages mais récurrentes

par le biais de l’automatisation, soit en

lui fournissant une aide pour en faire des

« employés augmentés », c’est-à-dire pour

lesquels la technologie amène des éléments

de prise de décision ou de contrôle avancés

afin de faciliter le quotidien. Nous pouvons

prendre l’exemple de l’IA, qui peut intervenir

sur la reconnaissance d’images, de documents

ou l’extraction d’informations, mais

également proposer des prédictions selon

les types de décision ou les plateformes

utilisées dans le cadre de la digitalisation

pour automatiser des tâches.

La migration vers le Cloud semble

être la première étape de votre

transformation. Quelles seront les

prochaines ?

La digitalisation des métiers est primordiale

au vu du point précédent. Mais je tiens à rappeler

que le Cloud est un projet qui s’inscrit

dans le temps. Après cette première étape

de migration totale sur le Cloud, d’autres vont

suivre, telles que l’optimisation de l’infrastructure

face aux nouveaux besoins ou l’adoption

de nouveaux services et technologies lorsque

disponibles sur notre plateforme.

Nous pouvons aussi évoquer la nouvelle

règlementation DORA, qui concerne la résilience

opérationnelle. Comment notre

infrastructure va-t-elle être capable de

résister à différents types d’attaques, de

chocs et d’événements ? Qu’ils soient technologiques

ou même climatiques, comme

lorsque certains datacenters de fournisseurs

Cloud ont dû cesser leur activité cet été,

lors d’une vague de chaleur. Ce sont autant

d’éléments qui montrent l’intrication des

sujets technologiques et ESG sur lesquels

nous travaillons actuellement.


33


Learn

5 key factors

OF A

DISASTER

RECOVERY

PLAN

01

— Roles and responsibilities

The first thing your disaster recovery plan needs is a

disaster recovery team. Whose responsibility is it to

implement the instructions that are specified in the

disaster recovery? Defining the roles and responsibilities

of different teams and individual members within these

teams is essential to carry out disaster recovery efficiently

and avoid chaos.

There should be clearly defined roles, such as who has the

authority to declare an emergency, who has the authority

to disclose a security incident to stakeholders, and so on.


The first goal of a business is always to prevent a

disaster. But in this high-risk, digital-first world of

business today, preventing cyber threats entirely is a

near impossibility. No matter how hard organizations

try, cybercriminals are always a step ahead. That is

why CIOs need to be prepared for the worst-case

scenarios. What happens if a security breach does

occur? Organizations cannot just wait for something

to happen and then think of a solution. In the case

of cybersecurity and incident response, a proactive

approach is essential.

02

— Critical documents and resources

A cyber attack may put a lot of your resources at risk,

but immediate action to recover all of them may not be

possible. In an emergency situation, you have to know how

to prioritize. So a disaster recovery plan must clearly list

all the critical documents, resources, and applications

that must be saved immediately to help the business

continue with minimum impact. Identify which areas

can tolerate the least downtime and focus on restoring

those as a first step. Long-term solutions may take time

and such areas can be restored slowly.

This is where the disaster recovery plan comes in.

IT companies and other organizations need not just robust

cybersecurity measures but also clear instructions for

what they need to do in the case of a breach. The aim is always

to minimize the damage and downtime resulting from a security

incident.

Here are a few key factors of a disaster recovery plan that every

CIO and IT manager should be aware of.

34

Learn


03

— Backup

A very important part of any disaster recovery plan is

backup. All your critical business data and documents

must be backed up in more than one place, preferably on

the cloud and off-site. But how frequently are data backups

carried out? Which data is backed up regularly? All of this

must be clearly mentioned in a disaster recovery plan.

Critical documents like financial statements, customer

data, vendor data, employee data, etc., must be securely

stored so that they can be restored soon after a security

incident.

04

— Communication

The disaster recovery plan must also specify who needs

to be intimated in the case of a security breach. The

DR team must know who needs to be notified about

the incident. Usually, organizations are responsible for

communicating about a security incident to all their

stakeholders, including employees, customers, vendors,

regulatory authorities, and others.

How and when this communication must be done is a

key part of any disaster recovery plan.

05

— Test, review, and improvements

A disaster recovery plan is not a one-off activity.

Organizations cannot just set it and forget it. It needs

to be continuously assessed, tested, and improved.

Risks keep evolving and new threats arise every other

day. The DRP also has to evolve with these changes.

So, CIOs must remember that testing and continuous

improvements are key factors of a disaster recovery

plan too.

KEY TAKE-AWAYS

In the event of a security breach, IT

managers and CIOs do not have the time

to think if they really want to mitigate the

impact of the breach. Having clearly defined

instructions makes the response to such

incidents much swifter and more efficient.

Knowing what makes a solid disaster

recovery plan is the first step towards

minimizing the damage done by a cyber

attack. If your disaster recovery plan has

these five key factors in place, the battle is

half won.

35


Learn

Cybersécurité

LE RECOVERY COMME

DERNIER RECOURS


Face au nombre croissant de cyber attaques et d’événements liés à

la cybersécurité, les entreprises peuvent améliorer leur résilience en

veillant à inclure dans leurs processus de gestion des risques un plan

performant de reprise d’activité adapté à cette nouvelle menace.

Un tel plan permet de minimiser l’impact des incidents sur l’organisation

et de retrouver rapidement un niveau d’activité optimal.

Au Luxembourg, Anidris s’en est fait une spécialité. Didier Annet,

Senior Business Unit Developer, nous en expose les enjeux.

Didier ANNET

Senior Business Unit Developer,

En matière de protection contre

les cyberattaques, le NIST

Cybersecurity Framework - un

cadre conçu par le gouvernement américain

ayant pour objectif d’améliorer la

capacité des entreprises et des institutions

publiques à protéger leurs actifs

en cas de cyber incidents – identifie cinq

fonctions représentant un ensemble de

critères relatifs aux différents aspects

de la cybersécurité : identifier, protéger,

détecter, répondre et restaurer.

« Quand nous abordons le sujet avec les

équipes de sécurité informatique de nos

clients, le versant restauration – ou recovery

- est souvent traité superficiellement, voire

ignoré, parce qu’il ne tombe pas directement

sous leur responsabilité », constate Didier

Annet. « Pourtant, lorsque tout a échoué,

il faut repartir des sauvegardes pour reconstruire

les capacités opérationnelles

de l’entreprise dont les systèmes d’information

ont été compromis. C’est un point

d’attention particulier pour nous : depuis

10 ans, Anidris est le principal spécialiste

de la sauvegarde et de la restauration de

données au Luxembourg ».

Ce domaine est vital pour la santé d’une

entreprise, qu’elle soit financière, commerciale

ou réputationnelle. A cela s’ajoutent

aujourd’hui des contraintes de gouvernance

et de conformité. « De plus en plus souvent »,

confie Didier Annet, « nous rencontrons des

situations où une entreprise ayant contracté

une assurance contre les cyber attaques

se voit imposer par l’assureur la mise en

place d’une série de procédures. Ce client

nous contacte alors précipitamment parce

qu’il faut intervenir de toute urgence. C’est

là où nous touchons à la conformité. Cela

peut relever de la CSSF, ou de tout autre

autorité de régulation. Des contraintes

claires et précises sont par exemple stipulées

dans les circulaires CSSF et les institutions

financières doivent impérativement les

observer pour être en conformité ». Le volet

gouvernance recouvre quant à lui toutes

les bonnes pratiques que l’entreprise doit

mettre en place et leur supervision. « Il y a

des politiques à mettre en place, des audits,

des contrôles », illustre Didier Annet.

— Etablir des ponts

entre GRC et IT

« Historiquement, Anidris était un spécialiste

des infrastructures et des technologies »,

rappelle-il. « Depuis toujours mais aujourd’hui

de manière plus structurée, nous avons fait

évoluer nos pratiques et nous apportons de

l’aide dans d’autres domaines : gouvernance,

conformité, gestion des risques, toujours en

lien avec les activités informatiques. Notre

approche s’inscrit en cohérence avec les valeurs

que nous mettons en avant – Expertise,

Flexibility, One Team, Integrity, Proximity - et

ce que nos clients disent de nous ».

Notre approche s’inscrit

en cohérence avec nos

valeurs : Expertise,

Flexibility, One Team,

Integrity, Proximity.

36

Learn


With Anidris,

everything can be

overcome, even your

DATA RESTORE

Nous établissons des ponts entre les équipes IT et ceux qui

sont en charge de la GRC.

« Là où nous observons que nous apportons

une valeur certaine à nos clients », ajoutet-il,

« c’est quand nous les aidons à combler

le fossé entre ceux qui sont en charge de la

GRC - Gouvernance, gestion des Risques

et Conformité - et les équipes IT. Dans les

entreprises, il s’agit de deux mondes séparés

qui communiquent parfois difficilement,

entre lesquels se posent des problèmes

d’interprétation et où les responsabilités

respectives font l’objet de suppositions de

prise en charge par l’autre partie. En tant

que spécialistes de l’informatique ayant

des compétences en GRC, nous avons la

capacité de mettre en place des canaux de

communication entre ces deux univers. Nous

établissons des ponts, nous leur apprenons

à utiliser le même vocabulaire ».

— Une approche proactive

« Il y a un volet réactif à cette activité »,

poursuit-il. « Dans ce cas de figure, les

clients font appels à nous pour les aider à

accorder les violons entre les différentes

parties prenantes de l’entreprise. Par contre,

lorsque nous abordons de nouveaux projets

en matière de protection des données, ce

qui est notre spécialité, nous incluons ces

problématiques par défaut, de manière

proactive ».

et de présenter les résultats obtenus au

management et aux parties concernées. Il

possède ainsi une visibilité sur ses risques

de cybersécurité, leurs niveaux de criticité,

les écarts par rapport aux objectifs fixés

et peut alors mettre en œuvre les actions

nécessaires pour les atteindre ».

— Le Cloud change la donne

Le succès grandissant que connaissent les

solutions cloud ont également changé la

donne. « A partir du moment où elle adopte

les technologies cloud, l’entreprise perd le

contrôle qu’elle avait sur ses systèmes d’information,

au moins partiellement. L’entreprise

et ses dirigeants se reposent sur le postulat

erroné que c’est le fournisseur de services

cloud qui va prendre en charge cybersécurité

et GRC. Mais les contrats des clouds providers

ne le prévoient pas », souligne Didier

Annet. « L’adoption croissante du Cloud a

pour effet que les données sont de plus en

plus en plus dispersées entre différents

systèmes. Mais, en parallèle, il est demandé

aux organisations d’assurer de plus en plus

de contrôle. Nous avons un rôle à jouer dans

la prise de conscience par notre client qu’il

doit être d’autant plus attentif à ces éléments

qu’il s’aventure davantage dans le Cloud »,

conclut-il.

« Lorsque nous intervenons en consultance,

nous proposons un plan d’action assorti

d’une feuille de route », explique Didier

Annet. « Sur cette base, nous accompagnons

notre client lors de la mise en place

des recommandations. Nous pouvons ainsi

l’aider à élaborer des tableaux de bords des

indicateurs de performances collectés

REJOIGNEZ-NOUS

SUR LINKEDIN

37


Learn

38

Learn


EXPLORING

SOCIAL

ENGINEERING


Modern enterprises use a huge volume of data, some

of which are confidential or sensitive. There is also a

significant increase in the number of users, devices,

and programs. This has also created an increase in

the number of cyberattacks making cybersecurity

extremely important.

When it comes to cybersecurity it is crucial to know who

to trust and who not to. However, social engineering

exploits human emotions and interactions posing

a big threat to cybersecurity.

— What is social engineering?

Social engineering refers to a wide range of malicious activities

that manipulate people into releasing sensitive or confidential

information. It can manipulate people psychologically into making

security mistakes or giving away confidential information.

Social engineering attacks can happen in multiple steps. First, the

attacker investigates a victim to gather information about their

backgrounds such as security protocols and possible points of

entry. Second, the attacker tries to gain the victim’s trust so that

they can manipulate them to break security practices. Third, they

use the sensitive information acquired to gain access to critical

resources or more sensitive information.

What makes social engineering extremely dangerous is that it does

not use system vulnerabilities or software bugs to gain access to

confidential information. Instead, it relies on huwman error. It is

not possible to predict when a user will make a mistake, making

social engineering attacks difficult to identify and thwart.

— How does social engineering affect

cybersecurity?

Social engineering attacks are based on bypassing cybersecurity

systems by exploiting the human factor, the weakest link. Throughout

the attack, victims are unaware of the consequences of their actions.

According to a recent report by PurpleSec, 98% of all cyberattacks

rely on social engineering. 60% of all IT Managers believe that new

hires are the most vulnerable when it comes to social engineering

attacks, and therefore, the biggest risks.

An organization can implement all sorts of cybersecurity measures,

but if the employees are ignorant, the organization canfall victim

to a social engineering attack. Organizations need to train all their

employees to identify common breach attempts and to

39


Learn

According to a recent report by PurpleSec, 98% of all

cyberattacks rely on social engineering. 60% of all IT

Managers believe that new hires are the most vulnerable

when it comes to social engineering attacks, and therefore,

the biggest risks.

report them on time. Employees must be trained to scrutinize

every email that they receive and every device that they plug into

their systems. Organizations need to identify what information is

sensitive and how it may be exposed during a social engineering

attack. Doing so will help them implement countermeasures to

thwart social engineering attacks and mitigate cybersecurity risks.

— Types of social engineering attacks you need

to be aware of

Social engineering attacks may happen in many different forms,

anywhere there is human interaction. Here is a list of some common

types of social engineering attacks that you must be aware of.

1. Phishing

In a phishing attack, the perpetrators aim to extract sensitive

information through digital means, such as counterfeit websites

and emails that appear legitimate. Phishing attacks try to attack

the masses, trying to reach as many victims as possible.

2. Spear Phishing

Spear phishing is also a type of phishing attack, the difference

being that instead of masses, it targets well-researched victims.

A spear phishing attack is executed after the initial research and

the content of the message is tailored to the specific individual.

Cybercriminals generally use social networking sites to mine data

on potential victims creating messages that appear to be sent by

someone they know.

6. Tailgating

In a tailgating attack, the attacker tries to enter a restricted

area that lacks proper authentication. One of the most common

occurrences is that the attacker simply walks in behind a person

who has access to that area.

7. Vishing

Vishing stands for voice phishing. In such attacks, perpetrators

use voice messages or phone calls claiming to be from reputable

companies trying to get people to reveal sensitive information.

For instance, a criminal posing as a bank staffer trying to get your

account information.

8. Water-holing

Water-holing is one of the most sophisticated social engineering

attacks requiring substantial technical knowledge. In such an

attack, the hacker researches a victim and finds out one or more

legitimate websites that the victim regularly visits. The hacker

then looks for vulnerabilities in the website and then infects it.

When the victim visits the website again, he inadvertently reveals

sensitive information.

The common factor in all social engineering attacks is the human

element. Being aware of the various types of attacks can help one

be more vigilant and prevent such attacks.

3. Baiting

Baiting is a type of social engineering attack that piques a victim’s

curiosity or greed. For a baiting attack, cybercriminals may offer

free music or downloads if users provide their login credentials

to a certain website.

4. Pretexting

Pretexting is again a type of social engineering attack that tries to

convince a victim to give up confidential or sensitive information.

In this kind of attack, the perpetrators come up with some kind

of story or “pretext” to fool the victim. Pretexting is often used

against organizations such as banks and credit card companies

to divulge information that they should not.

What makes social engineering extremely

dangerous is that it does not use system

vulnerabilities or software bugs to gain access

to confidential information. Instead, it relies on

human error.

5. Quid Pro Quo

Quid Pro Quo is a Latin term that means «something for something».

In such an attack, the perpetrators offer certain benefits or services

in exchange for access or information. For instance, a quid pro quo

attack could be a hacker impersonating an IT staffer who contacts

employees offering them free software installation.

40

GET OUT

OF RANSOMWARE JAIL

With ransomware, itʼs not a matter of if, but when.

Eliminate ransomwareʼs costly consequences and unlock fast

recovery with Zerto, a Hewlett Packard Enterprise company.

Resume operations at scale, in minutes

Recover entire sites and applications at scale, in

minutes–and in just a few clicks.

Recover to a state seconds before an attack

Eliminate days or hours of data loss by enabling

recovery to a state seconds before an attack.

Lower risk with instant, non-disruptive testing

Test often, test anytime! Gain confidence by testing

both failover and recovery quickly, without disruption.

Protect 10 VMs,

Right Now, for

FREE.

03

Solve

{ Verbe transitif }

Trouver une solution, une réponse à un problème,

à une question.

42

Hamlet Consulting

Luxembourg

Business Requirements

Analysis and Innovation

Transform your business processes

and upskill your people to build

a sustainable future!

Quality Assurance

and Testing

Deliver Better, Deliver Faster,

Make your IT Stronger!

IT Managed Services

Empower your organisation

with ITSM, to deliver quality

services in a

controlled manner.

Your local partner and much more…

www.hamletconsulting.com


Solve

Excellium Services

QUELLES AMBITIONS À

L’HEURE D’ABORDER UNE

NOUVELLE DÉCENNIE ?


Cette année, Excellium Services fête ses 10 ans

d’existence. Cet anniversaire coïncide avec le rachat

par le Groupe Thales de ce fleuron luxembourgeois

de la cybersécurité. Christophe Bianco, co-fondateur

et Managing Partner d’Excellium, fait avec nous le

point sur l’avenir de l’entreprise et le contexte dans

lequel elle évolue.

Thales compte 81 000 collaborateurs dans 68 pays. En 2021,

le Groupe a réalisé un chiffre d’affaires de 16 milliards d’euros.

Quelle dynamique l’arrivée d’un tel géant permet-elle

d’envisager pour Excellium ?

« Excellium a été créée voici 10 ans par un groupe de personnes

passionnées par le domaine de la cybersécurité. Notre objectif

était alors d’aborder des problématiques dont nous pensions

qu’elles prendraient beaucoup d’importance dans le futur et pour

lesquelles il n’y avait pas de réponses satisfaisantes. Nous avions

aussi imaginé que nos services devraient toucher en priorité les

PME parce qu’elles constituent une partie importante du tissu

économique. Mais, si nous avons bien donné corps à la première

partie de notre vision initiale, à savoir la problématique de l’incident

de sécurité sous ses aspects tant de prévention, de détection, que

de réaction, nos services ont essentiellement éveillé l’intérêt des

grandes entreprises, à la fois pour des raisons budgétaires et de

ressources. Nous ressentons toujours une grande frustration ne

pas avoir pu aider les petites entreprises à mieux protéger leurs

activités ».

« L’arrivée d’un groupe industriel et d’envergure européenne comme

Thales a fait entrer Excellium dans un nouveau chapitre de son

histoire. Si nous étions jusqu’alors en situation de concurrence

avec beaucoup d’acteurs du marché, nous sommes devenus de

facto des partenaires potentiels pour ces mêmes acteurs, notre

nouvelle envergure faisant de nous une structure capable d’aborder

les problématiques de cybersécurité à une échelle plus structurelle

et de répondre aux attentes d’organisations de plus grande taille,

d’instances gouvernementales et d’institutions internationales ».

Quels obstacles pourriez-vous rencontrer dans l’écriture de

ce nouveau chapitre ?

« La dépendance croissante de nos économies au digital, le succès

du cloud computing, l’émergence de nouvelles technologies, et

la sévère carence en ressources dont souffre notre secteur font

que nous sommes pris dans une spirale pernicieuse. Aujourd’hui,

nous en sommes à un point où, plutôt que d’acquérir de nouveaux

clients, le véritable challenge est d’attirer davantage de profils. Nos

propres clients me disent qu’ils ne parviennent plus à recruter les

collaborateurs qu’ils recherchent, malgré des conditions salariales

extrêmement avantageuses. De plus, la rotation des effectifs est

telle dans les métiers de la sécurité informatique que les entreprises

doivent, au-delà des stratégies de recrutement, mettre en place

de véritables politiques de rétention du personnel ».

Quelles solutions entrevoyez-vous pour remédier à cet état

de fait ?

« Je considère que nous, acteurs du secteur de la cybersécurité,

devons investir du temps, de l’argent et des ressources dans la formation

de jeunes talents, sous peine de nous exposer prochainement

à une rupture dans la poursuite de nos activités, pourtant essentielles

pour la santé de nos économies. La situation de débauchage

44

Solve


Excellium a été créée voici 10 ans par

un groupe de personnes passionnées

par le domaine de la cybersécurité.

Notre objectif était alors d’aborder des

problématiques dont nous pensions

qu’elles prendraient beaucoup

d’importance dans le futur et pour

lesquelles il n’y avait pas de réponses

satisfaisantes.

Christophe Bianco

co-fondateur et Managing Partner d’Excellium

réciproque de personnel parmi les entreprises de notre secteur est

telle aujourd’hui qu’elle ne fait qu’accroître nos structures de coûts,

sans que nous puissions répercuter ceux-ci sur nos prix de vente. Le

budget qu’Excellium consacre aux cabinets de recrutement chaque

année dépasse les 150 000 euros. Nous envisageons sérieusement les

moyens de consacrer ces montants à la sensibilisation des étudiants

aux métiers de la cybersécurité et à la formation de jeunes profils,

jusqu’à nous impliquer directement dans les cursus et à élargir la

portée de nos actions en les étendant aux régions limitrophes ».

« Bien sûr, ce type d’initiative, volontariste et proactive, ne peut

voir le jour qui si toutes les entreprises du secteur mettent entre

parenthèses toute considération concurrentielle pour travailler

collectivement sur un sujet qui nous concerne tous au même titre ».

« C’est dans cette optique qu’Excellium organisera, le 18 octobre

prochain, un événement consacré aux retours d’expérience en

matière de gestion des incidents de cybersécurité qui réunira à

la fois des représentants des autorités de régulation, des clients

finaux et des membres de nos équipes. Nous considérons que de

telles actions d’information et de sensibilisation relèvent de notre

responsabilité. Il ne suffit pas de former les utilisateurs, il faut aussi

informer les dirigeants sur les risques auxquels sont confrontées

les entreprises et la manière d’y faire face. J’accompagne ainsi

personnellement l’Institut Luxembourgeois des Administrateurs

dans ses campagnes de formation à la cybersécurité à destination

de ses membres, tout comme l’initiative DLH, la plateforme Digital

Learning Hub du ministère de l’Éducation nationale ».

BeLux, où nous avons l’ambition de prendre une place de leader

dans les deux années à venir, mais aussi de soutenir le Groupe

dans le cadre d’activités spécifiques à l’échelle européenne. Cela se

traduit par la nécessité de doubler les effectifs d’Excellium au cours

de cette période, soit une centaine de nouveaux collaborateurs ».

« L’enjeu de ce nouveau chapitre de notre histoire est également

d’être capable de relever des défis complexes liés à la difficulté de

servir des clients de plus grande taille dans les secteurs où nous

évoluons. Il s’agit aussi d’apporter des services à des opérateurs

d’infrastructures critiques dont la défaillance pourrait entraîner

des impacts de nature systémique. Ces défis impliquent que nous

soyons capables d’attirer, en plus de profils juniors, des spécialistes

expérimentés afin d’étoffer nos équipes et d’aborder dans de

bonnes conditions cette nouvelle étape de notre développement ».

« Thales est un acteur industriel dont la politique d’investissement

vise des objectifs à long terme. Développer une entreprise comme

Excellium pendant 10 ans finit en effet par excéder les capacités

que peut mobiliser un entrepreneur qui ne dispose que de ses

fonds propres, et intéresse peu les sociétés de capital-risque qui

recherchent une rentabilité à plus court terme. Thales est à nos

yeux le partenaire idéal pour soutenir nos ambitions de croissance

pour les années à venir ».

Quelles ambitions nourrissez-vous pour Excellium ?

« L’acquisition d’Excellium par Thales va se traduire par une accélération

du développement de nos activités sur l’ensemble du

45


Solve

WESTPOLE Benelux

REBONDIR SUR

LA CRISE POUR

CONSTRUIRE

L’AVENIR


La crise du coronavirus a changé la donne

pour l’économie mondiale. Le Luxembourg

n’a pas fait exception à la règle et nombreuses

sont les entreprises qui ont dû repenser

leur stratégie pour s’adapter à la nouvelle

réalité. Cyrille Gobert, Country Director de

WESTPOLE Luxembourg, nous explique

comment la société a redéployé ses services

dans ce contexte incertain.

Cyrille Gobert

Country Director de

WESTPOLE Luxembourg

46

WESTPOLE LEADS INTO A NEW ERA FOR

RISK COMPLIANCE WITH THE LAUNCH OF GRCC

GRCC is a new way of work. With our GRCC offering we centralized the workflow that allows

both parties to structure the risk and compliance needs. Connecting actors, Online Monitoring and

reporting on the flow are one of the main keys for GRCC. We guarantee a 360° overview of the ecosystem

for the competent authority. To secure the GRCC platform we implemented an information security management

tooling to always make sure your data is secured on our web based platform including Flexibility and Mobility.

AUTOMATISATION SECURE ENVIRONMENT CONFIDENTIALITY

REDUCE YOUR TCO

Improve operational efficiencies

with a competitive advantage

(Risks vs opportunities vs efforts).

ACCELERATE TRANSFORMATION

Avoid the typical Try-and-Fail

risk with quick wins and

long running achievements.

SECURE CRITICAL INFO

Help avoid security breaches

through State-of-the-art

Cyber security mechanisms.

MEET STRATEGIC

OBJECTIVES

Capitalize over norms and

standards as instrument for

business differentiation.

REDUCE STAKEHOLDER’S

OVERHEAD

Run your workloads efficiently

with clear accountability,

exceeding expectations.

A PILLAR OF DIGITAL

TRANSFORMATION

Digitalise department

expectations with ad-hoc

document structures.

Find us here:

HEADQUARTERS LUXEMBOURG

13 Rue de L’industrie,

Bâtiment SolarWind

L-8399 Windhof

+352 39 03 26 320

HEADQUARTERS BELGIUM

Mechelsesteenweg 542

1800 Vilvoorde

+32 (0)2 251 66 50

Follow us on:

www.westpole.lu

www.westpole.be


Solve

WESTPOLE Benelux a vu le jour pendant la crise

sanitaire. Les efforts en marketing et de communication

consentis par la société, alors en phase de

démarrage, s’en sont trouvés dilués. « Dès mon arrivée en mai 2021,

j’ai du m’atteler à gérer cette situation exceptionnelle », se souvient

Cyrille Gobert. Mais en septembre 2022, l’entreprise soufflera ses

deux premières bougies. Aujourd’hui, les conditions sont enfin

réunies pour renforcer l’identité et la notoriété de la marque sur le

marché luxembourgeois.

« WESTPOLE est issue de la cession par la société I.R.I.S. de ses

activités de services », rappelle le Country Director de l’entreprise.

« Nous avons redéfini la stratégie et entrepris de recréer un esprit

d’équipe autour d’une opération de transformation que nous avons

baptisée WESTPOLE 2.0. Bien sûr, cette restructuration n’est pas allée

sans entrainer des changements et une inévitable rotation au niveau

du personnel. De plus, comme toute entreprise au Luxembourg, et en

Europe de manière générale, nous devons faire face à un manque de

profil IT qualifiés tant pour nos besoins internes que pour nos activités

de délégation de spécialistes auprès de nos clients ».

— Intégrateur de compétences

WESTPOLE est un groupe européen qui accompagne les entreprises

dans leurs stratégies de transformation numérique et de migration

vers le Cloud. « Face aux défis technologiques et numériques, nous

aidons nos clients à se tourner vers l’avenir, s’impliquer dans l’innovation

et transformer leur façon de travailler », explique Cyrille Gobert.

WESTPOLE Benelux a hérité de son prédécesseur, I.R.I.S., d’une

culture technologique fondée sur l’innovation. « Nous aidons les

entreprises à se transformer et à aller vers le Cloud. Pour nous, la

transformation numérique n’est pas une formule creuse parce que

la digitalisation est dans l’ADN de WESTPOLE, comme elle était

dans celui d’I.R.I.S.. Nous bénéficions non seulement des agréments

PSF et PSDC délivrés par la CSSF, nous détenons également les

certifications ISO 9001 et ISO 27001. Nous sommes donc habilités

à opérer les systèmes informatiques des institutions financières, à

numériser et archiver les documents de nos clients en préservant

leur valeur légale et capables de mettre en œuvre, pour nos clients

et pour nous-mêmes, les processus les plus exigeants en matière de

gestion du risque numérique ».

WESTPOLE a entrepris de renforcer son positionnement comme

acteur majeur de la digitalisation des entreprises au Luxembourg

pour ses clients privés PSF et non PSF, publics et institutionnels.

« L’offre que nous avons développée est axée sur 5 piliers : la gestion

de talents, l’infogérance, la mise en place d’infrastructures informatiques,

la gestion documentaire et la GRCC », détaille Cyrille Gobert.

Cette dernière solution est un outil RegTech de gestion de la

Gouvernance, du Risque et de la Compliance, développé en collaboration

avec le LIST, qui permet aux entreprises de réaliser leurs

études de risques dans le cadre de la certification ISO 27001. « Le

volet gestion des Risques est terminé et entame sa phase de commercialisation.

Et nous sommes en phase de finalisation du développement

de l’outil destiné à aider les régulateurs à gérer les entités

dont ils encadrent les activités », nous confie Cyrille Gobert. Cet outil,

basé sur un métamodèle, est multi-régulations et multi-régulés.

— Des premiers résultats à la hauteur des attentes

2022 est une année de forte croissance pour WESTPOLE Luxembourg.

« Des Account Managers expérimentés ont été recrutés et nous ont

permis de d’entrer en relation avec de nouveaux clients et de remporter

des appels d’offres public luxembourgeois », se félicite-t-il. « Nous

avons également développé notre réseau de partenaires afin d’unir

les forces de chacun pour relever ensemble les challenges de plus

en plus complexes chez nos clients et prospects. Nous venons ainsi

de remporter deux importants contrats au CTIE avec un partenaire

IT de la place, et ce pour une durée de 3 ans. Il s’agit du helpdesk

interne du CTIE et celui de la plateforme Guichet.lu. Ces contrats

sont structurants pour notre société ».

— Des ambitions fortes

« Mon objectif à plus long terme est de positionner WESTPOLE comme

acteur majeur de la digitalisation des entreprises au Luxembourg. Nous

allons continuer à accompagner nos clients vers la transformation

digitale et le go2cloud, que ce soit sur notre cloud privé luxembourgeois,

le cloud public, sur site, ou une hybridation de ces trois options

selon les besoins et contraintes opérationnelles, financières, mais

aussi réglementaires ».

« Lorsque j’ai rejoint WESTPOLE en mai 2021, le pôle Talent Management

de la société comptait 7 consultants. L’équipe comprend aujourd’hui

31 personnes et nous comptons finir l’année à 37. Pour l’ensemble

de ses services, nous employons 83 collaborateurs au Luxembourg

auxquels il faut ajouter une dizaines de freelances. Mon objectif est

de dépasser les 120 employés à la fin de l’année 2023 ».

— Capitaliser sur les forces actuelles et à venir

Ingénieur en électronique de formation, Cyrille Gobert a mené

toute sa carrière dans le secteur informatique au Luxembourg.

« J’ai commencé au bas de l’échelle », revendique-t-il, « puis j’ai

gravi les échelons chez mon premier employeur jusqu’à devenir chef

de projet ». Il a ensuite exercé une fonction technico-commerciale

chez Fujitsu Siemens, avant de rejoindre Guidance – aujourd’hui

Devoteam - dont il est devenu le directeur commercial. Cyrille a

alors intégré Halian comme directeur des ventes et a finalement

pris la tête de la société. En mai 2021, il a rejoint WESTPOLE en

tant que directeur commercial et en est devenu le Country Director

voici quelques mois.

« Ce qui m’a attiré chez WESTPOLE, c’est l’historique de la société,

héritée d’I.R.I.S., et ses nombreuses certifications. Celles-ci démontrent

non seulement le professionnalisme de l’entreprise mais

permet aussi d’aborder d’autres marchés que ceux auxquels je suis

habitué », confie-t-il.

« Je pense que WESTPOLE, de son côté, apprécie mon expérience du

marché luxembourgeois et le réseau que j’ai développé tant parmi les

sociétés de services informatiques que les consultants qui évoluent

sur le marché. Arrivée à un tournant de son parcours, WESTPOLE avait

besoin de redynamiser sa stratégie et de se tourner résolument vers

les nouvelles technologies. Dans ce contexte, le mandat qui m’a été

confié consiste à capitaliser sur les compétences et les certifications

pour développer de nouvelles activités génératrices de valeur ».

48

October 26-27 | Luxexpo The Box

Luxembourg’s global

tech event is back!

Connect. Explore. Inspire.

Scan for

your FREE

pass

Visit www.archsummit.lu for more information


Solve

Benoît Morin

IT Network &

Security Architect

chez System

Solutions

Isabelle Roux

Chief Legal &

PSF Compliance

Officer chez System

Solutions

La Cybercriminalité,

UN FLÉAU

INÉVITABLE ?

Florian Nicolas

Stagiaire

Cybersecurity chez

System Solutions


Aujourd’hui, toute entreprise est plus que jamais sujette à cette forme

de criminalité, davantage organisée qu’auparavant. Nous évoquons ce

sujet avec Isabelle Roux, Chief Legal & PSF Compliance Officer, Benoît

Morin, IT Network & Security Architect et Florian Nicolas, stagiaire

Cybersecurity chez System Solutions Luxembourg.

En tant que Service Provider, il nous appartient

d’identifier ces failles sécuritaires

potentielles et de mettre en place, dans le

respect de la règlementation en vigueur,

toutes les mesures techniques et humaines

afin d’assurer la pérennité de notre activité

mais surtout celle de nos clients.

Pourquoi parle-t-on davantage de

sécurité en matière informatique

qu’auparavant ?

IR : Tout d’abord, l’entrée en vigueur en

2016, de manière uniforme, du Règlement

(UE) 2016/679 relatif à la protection des

données, plus communément connu sous

le nom de GDPR, a obligé toute entreprise

européenne, quelle que soit sa taille ou

quel que soit son objet social, à mettre en

place les mesures techniques et organisationnelles

nécessaires afin d’assurer la

confidentialité, l’intégrité et la disponibilité

de la donnée à caractère personnel.

Par ailleurs, les entreprises européennes

franchissent davantage le pas du recours

au cloud public et aux outils proposés

par les célèbres GAFAM - Google, Apple,

Facebook, Amazon et Microsoft - , ce qui

pose inévitablement la question de la sécurité

des données confiées aux « Big Five »

et surtout la question de la localisation de

la donnée traitée.

En outre, la situation pandémique que

nous connaissons depuis 2020 et la pratique

« forcée » du télétravail, avec parfois

l’utilisation d’outils de travail personnels

ou de fortune insuffisamment sécurisés,

a été une aubaine pour les hackers et

cybercriminels.

Enfin, le contexte international actuel a

également mis en exergue la nécessité d’un

niveau de sécurité efficace afin d’éviter,

autant que faire se peut, l’offensive informatique

annoncée par les autorités russes.

Quels sont les types d’attaque

informatique les plus souvent

rencontrés par votre organisation ?

BM : Le phishing est probablement la forme

de cyberattaque la plus courante car ce

processus est facile à mettre en œuvre

et étonnamment efficace.

Pour exécuter l’attaque, l’acteur malveillant

peut envoyer un lien qui vous amène à un

site Web qui télécharge automatiquement

des logiciels tels que des virus, active des

scripts malveillants ou incite les attaqués à

fournir des informations personnelles. Dans de

nombreux cas, les cibles ignorent pleinement

avoir été compromises, ce qui permet aux

attaquants de cibler d’autres utilisateurs au

sein de la même organisation sans que cette

dernière ne soit en mesure de suspecter une

activité malveillante.

50

Solve


Le phishing est probablement la forme de cyberattaque la

plus courante car ce processus est facile à mettre en œuvre

et étonnamment efficace.

membres de l’Union européenne, des projets

innovants et sur lequel se fondent déjà

d’importants projets liés au cloud européen.

A notre sens, le meilleur des deux mondes

entre le cloud privé, souvent décrié pour

son coût élevé, et le cloud public, souvent

craint quant au niveau de sécurité offert,

se situe au sein d’une formule hybride.

L’année 2021 a également été marquée par

la découverte de vulnérabilités dans les

serveurs et services exposés à Internet,

en particulier le service de messagerie

Microsoft Exchange Server qui offrait une

porte d’entrée directe à un cybercriminel

au réseau de l’entreprise.

Suite à l’annonce publique de ces failles

sécuritaires, ce sont des centaines de

milliers de sondes qui ont tenté de détecter

les points d’entrées à partir d’Internet.

FN : Offrir un service au plus grand nombre

a corrélativement pour conséquence d’ouvrir

des portes dérobées potentielles à

n’importe quel individu. Par conséquent,

la surface d’attaque, c’est-à-dire tous les

points du réseau pouvant être utilisés par

un attaquant pour pénétrer un système

d’information, doit être contrôlée de manière

appropriée afin de mitiger autant

que possible les risques de cyberattaque.

IR : Par ailleurs, nous constatons également

la prolifération de la pratique des scans

de vulnérabilité intrusifs. Le Code pénal

luxembourgeois a été adapté en ce sens.

Comment parvenez-vous à limiter

le risque de voir vos systèmes

informatiques exposés à une menace ?

BM : System Solutions s’appuie sur la matrice

MITRE ATT&CK pour mettre en œuvre

une stratégie de sécurité afin de prévenir

les divers exploits et vecteurs d’attaque

couverts par le modèle. Par exemple, l’une de

nos stratégies consiste à réduire la surface

d’attaque en travaillant en amont, soit

dès l’étape de reconnaissance.

Nous n’autorisons par ailleurs l’accès à

certains services internes qu’aux seuls

pays limitrophes du Luxembourg, au sein

duquel se trouve notre siège social et nos

data centres. Pour cela, nous nous référons

à la géolocalisation par IP permettant

d’identifier un pays par son adresse IP.

Privé de ces différentes techniques d’obfuscation

réseau, un acteur malveillant, en

cas de tentative d’accès à notre infrastructure,

court le risque d’être détecté et de

faire l’objet de poursuites judiciaires. Ce

point concerne principalement la gestion

des flux entrants, mais il ne faut pas pour

autant négliger les flux sortants car ces

derniers peuvent représenter des exfiltrations

de données.

Enfin, nous avons entièrement revu notre

processus conceptuel en pratiquant le

principe de « Privacy & Security by design ».

Chaque projet est élaboré sur base d’une

analyse de risques préalable axée sur la

sécurité et la confidentialité.

Vous évoquiez le cloud public. A votre

sens, où se situe le meilleur des deux

mondes entre le cloud public et le cloud

privé ?

FN : Le cloud public est attractif en ce qu’il

permet l’accession rapide à des ressources

informatiques, sans besoin d’une intervention

humaine, ainsi que l’acquisition de

capacités de stockage très intéressantes

à des coûts moindres.

Cependant, sans les compétences nécessaires

en matière de sécurité et en l’absence

d’une équipe technique efficiente, le recours

au cloud public peut être constitutif de

failles potentielles dont il faut répondre

civilement ou pénalement au titre de « data

breach ».

BM : La sécurisation du Cloud dans sa

formule publique aura davantage de sens

lorsque nous pourrons bénéficier d’un

cloud européen permettant de géolocaliser

la donnée à tout moment et d’assurer sa

disponibilité au sein de l’Union européenne.

Actuellement, plusieurs groupes de travail

privés et gouvernementaux œuvrent pour la

création de ce cloud à l’échelle européenne,

capable de concurrencer les GAFAM. Nous

pouvons citer, par exemple, le projet Gaia-X

- une initiative privée franco-allemande - ou

encore l’IPCEI - un mécanisme européen

visant à promouvoir, au sein des états

Une solution de cloud hybride permet

d’ajouter une couche supplémentaire de

protection en gérant, via un prestataire

de services spécialisé, les outils souscrits

auprès d’un fournisseur de cloud public.

Pour conclure cette interview, quels

conseils donneriez-vous à nos lecteurs

afin qu’ils puissent adéquatement se

prémunir contre la cybercriminalité ?

BM : L’important est de faire de la sécurité un

partenaire privilégié dans chaque réflexion

stratégique ou commerciale en instaurant

dans les mœurs de toute entreprise le

principe de « Security & Privacy by design ».

IR : Il importe de déterminer dès la genèse

de chaque projet les compétences techniques

et juridiques permettant d’anticiper

les risques liés à la solution envisagée et

de mitiger ces derniers dans la mesure

du possible.

Il est également important de mettre en

place non seulement les mesures techniques

suffisantes, mais aussi de mettre

en œuvre un programme de sensibilisation

continue du personnel sur les risques liés à

la cybercriminalité. En effet, les attaques

cyber ont principalement pour objectif

de s’introduire au sein d’un système informatique

au travers des utilisateurs qui, la

plupart du temps, sont insuffisamment

avertis quant aux formes que revêtent ces

infractions dommageables.

BM : Enfin, lorsqu’une entreprise ne bénéficie

pas des compétences internes suffisantes

en matière de sécurité, il convient

de s’entourer d’un partenaire efficace.

51


Solve

Penetration Testing vs

VULNERABILITY

ASSESSMENT

| By Nastassia Haux |

Businesses need to test their cybersecurity

measures and their systems’ vulnerability often.

Without testing, it is difficult to determine if the

organization’s networks and systems are secure amid

the ever-evolving threats. Cyber threat actors are

always a step ahead of us and keep formulating new

ways to attack vulnerable targets. This is where

IT companies and others need to make use of

vulnerability tests and penetration tests.

KEY TAKE-AWAYS

Now that you know the difference

between a vulnerability assessment and

a penetration test, it should be easier for

you to decide which one your business

needs. It is usually the IT managers who are

responsible for ensuring the regular testing

of systems and applications and ensuring

they are secure. With this knowledge, you

would be better equipped to decide when

a vulnerability scan should be enough and

when you need a full-fledged penetration

test. The ideal approach is to make them

both work together for optimal security.

Vulnerability scans can be carried out

more often, while the more expensive but

thorough penetration tests can be done at a

fixed interval.

The two tests are, however, often confused with being the

same or serving the same purpose. But in reality, there

is a very basic difference between the penetration test

and the vulnerability test. IT managers must be aware of what

these tests mean for their systems and networks. Let us try to

understand what these differences are and how both these tests

help improve your information security environment.

— What is a vulnerability assessment?

As the name suggests, a vulnerability assessment or vulnerability

scan looks for weaknesses – vulnerabilities - in the devices, systems,

and networks used by your organization. These vulnerability scans

are mostly automated. They give you a preliminary idea of which

parts of your system or network are weak and prone to attacks

by threat actors.

A vulnerability scan must be carried quite frequently because,

despite all the security measures you take, the risk of new

vulnerabilities being exposed always exists. This could be because

of the unavoidable changes you have to make to the system now

and then. It could also be because of new threats surfacing of

which you were not aware so far and had not secured your system

against them.

Regular vulnerability assessments can bring such weak points to

light and help you address them on time.

The vulnerability assessment, though, is considered a passive

approach to security management. A cybersecurity provider will

only conduct the vulnerability scan and generate the vulnerability

report. The responsibility for patching these vulnerabilities and

securing the network against threats lies with the business owners

and IT managers.

— What is penetration testing?

Penetration testing is a much more thorough and rigorous approach

to security testing as compared to vulnerability scans. In penetration

testing, an actual attack by a hacker is simulated to see if it can

penetrate the organization’s systems and networks. This is often

referred to as ethical hacking, where the testers or analysts look

for vulnerabilities in the system and show that they can breach

the system through these loopholes.

The purpose of a penetration test is to demonstrate to the business

owners and IT managers how an actual hacker may compromise

their data through the vulnerabilities that exist. A penetration test

is a much more effective way of reporting cybersecurity threats

and vulnerabilities and finding remedies for them.

52

Solve


The biggest network outages

IN THE

HISTORY

OF THE

INTERNET


Network outages can put you

behind schedule and create a lot

of trouble in maintaining smoothflowing

operations. They can

also make you vulnerable to data

loss and result in thousands, if

not millions of dollars in business

continuity expenses and lost

business.

In this article, we’ll revisit some of the

worst network outages since the start

of the internet. The victims of these

network outages include everyone from mere

private companies to entire countries.

53


Solve

2016

2021

Location: United States & Europe

Location: Uganda

— DDoS attack on Dyn

A Distributed Denial-of-Service Attack (DDoS) is a cybercrime

where the malicious individual sends an immense load of traffic

on a particular server to prevent genuine users from accessing

the server. The DDoS attack can affect multiple businesses and

households simultaneously.

In 2016, a DNS provider named Dyn fell prey to a vicious DDoS

attack that affected hundreds of businesses across the United

States and Europe. Top companies like Netflix, Amazon, and CNN

were brought to a standstill.

While the network outage lasted only a few hours, collectively, it

cost the two continents billions of dollars in lost revenue.

— Uganda under internet lockdown

In 2021, Uganda was at the cusp of a possible change in Parliament.

The country’s Presidential elections were just one day away from

the January 14 th , 2021 elections, when the entire country went off

the digital map – quite literally.

In a move that didn’t surprise the citizens, supporters of President

Museveni switched off internet access to the entire country for

5 days straight, restoring the connectivity only after President

Museveni won his place back in Government.

Thousands of organizations, school and college students, medical

professionals, multinational corporations CIOs and small businesses

found it tremendously challenging to work at all, because of their

sudden disconnection from the rest of the world.

54

Solve


2021

2022

Location: United States

Location: Russia & Ukraine

— Facebook goes offline for six hours

The internet’s golden child (or it once was, at least), Facebook found

itself the victim of a massive network outage on October 4 th , 2021.

The company’s services were fully disrupted across the world – and

this included WhatsApp and Oculus too.

Facebook claimed the network outage was an internal mistake

that occurred due to a wrongly issued command. But the six hours

proved to be really bad for Facebook, as confused and frustrated

users took to other apps instantaneously after the loss of their

regular communication apps.

Facebook going down also affected other companies’ reputations

too. Downdetector confirmed that complaints began pouring in

about every company on the planet due to their lack of social

media responsiveness.

— Viasat satellite attack during Russia-Ukraine War

On February 24 th , 2022, American communications company Viasat,

which offers SATCOM network coverage in many parts of the world,

rang alarm bells stating a cyber attack and network outage. The

affected SATCOM networks and terminals in question were the

ones that covered Europe – particularly the Russia and Ukraine

region. Incidentally, it was the same day Russia attacked Ukraine.

While the timing seems suspect, the company itself isn’t certain

about the cause of the attack. But they confirmed that their terminals

were completely disrupted for a few hours after the start of the

war and they remained inoperable for many hours. Unfortunately,

not only did the disruption of the SATCOM networks prevent the

US government from getting a close view of the battlefield, but it

also affected operations of wind turbines in Germany, which also

relied on Viasat’s network support.

55

04

Network

{ Nom masculin }

Réseau social, professionnel, familial, virtuel, etc.

d’une personne.

56

“Le studio vidéo mobile

automatisé ”

APARTIRDE

35€

PAR

JOUR

1 x 360BOX

2 X CAMÉRAS

3 X LUMIÈRES LED

1 X PROMPTEUR

1 X MICRO PROFESSIONNEL

www.360box.fr

contact@360box.fr


Network

Événement

RETOUR SUR LA

GARDEN PARTY

58

Network


20

22

59


Network

60

European Convention Center

Luxembourg

November 29 th 2022

The greatest CIOs and

IT Decision Makers gathering

by


Network

Building an effective

BUSINESS

CONTINUITY PLAN


A business continuity plan is an essential tool that an organization needs

in the face of a security incident or a disaster. As the name suggests, the

business continuity plan or BCP is a guide on how to maintain business

continuity even in the event of a disaster. Disasters like a cyberattack can

impact the normal functioning of a business in many ways. A robust and

well-thought-out business continuity plan can minimize the downtime

and also mitigate the impact of an unforeseen incident like this.

CIOs and other executives at the top of any organization

must be clear about what makes a business continuity

plan effective. If you need help building a solid and

effective BCP for your organization, here is a step-by-step guide

for you.

— 1. Identify the scope and goals of the BCP

For any kind of plan in business, the first essential thing is to have

a clear vision. In this case, you need to define the scope of the

plan and the goals you want to achieve with the BCP. You need to

define which areas of business or which departments within your

organization the BCP covers, how detailed the plan should be, what

would be the budget for business continuity planning, and so on.

You also need to make it clear to your employees what you hope

to achieve with the business continuity plan.

— 2. Identify critical business functions and key

areas

When you talk about business continuity in the face of a disaster, it

is important to remember that all your business functions cannot

be restored immediately. You cannot expect to keep running the

entire business as usual because a lot of your resources and time

will be diverted to recovering from the disaster. So it is important

to identify the key areas and functions that need to keep running

for the business to continue with minimum impact. For instance,

for an automobile manufacturing business, halting production

would have a huge impact on the bottom line. So production can

be considered as a key business area that needs to be prioritized

in the BCP.

— 3. Identify interrelated functions

Sometimes, focusing on continuing the key business areas alone

may not be enough. Business functions may be interrelated and if

62

Network


one of these functions stop, the others may be impacted. So it is

important to identify interrelated functions and ensure that they

are included in the scope of the BCP too.

— 4. Carry out a business impact analysis

A business impact analysis – BIA - tells you what could be the

possible impact of different kinds of disasters and threats. This

helps you plan better, know the level of impact and allocate

resources accordingly.

— 5. Build a plan to maintain business

operations

Since the purpose of the BCP is to keep the business running with

very little downtime, it needs to define how that is to be done. CIOs,

top executives, IT managers, and others at the strategy-building

level need to establish a robust plan on how they want to keep

the business operations going. They need to decide how much

downtime is acceptable for each critical business area and how

they plan to restore it within that time. This needs to be done while

also ensuring all safety and security protocols.

KEY TAKE-AWAYS

Creating a good business continuity plan needs time and effort. It also needs

the involvement of the leadership of an organization, including the likes of

the CIO, CTO, COO, and others. With inputs from everyone and a structured

approach, building an effective BCP that protects the business from losses

should not be too challenging.

63


Network

Penetration testing tools

YOU WILL

IN 2022


P

enetration tests are more effective and efficient if you

use specialized tools. Here are the top 10 penetration

testing tools you need for this new year.

— 1. Netsparker

Netsparker is an automated scanner that can help identify

vulnerabilities, such as SQL injection and cross-site scripting in

web APIs and web applications. It uniquely verifies the identified

weaknesses and also proves that they are real and not just false

positives. Once Netsparker completes a scan, you do not have to

waste time verifying the identified vulnerabilities.

— 2. Acunetix

Acunetix is also a completely automated web scanner that checks

for vulnerabilities in your security systems. It is capable of identifying

more than 4,500 web application threats, including SQL

and XSS injections. Acunetix supports HTML5, Javascript, and

single-page applications and acquires manual tools linked with

Issue Trackers and WAFs for penetration testers.

— 3. Intruder

Intruder is also a powerful tool that can identify security vulnerabilities

across your IT environment. It offers some of the leading

security checks, an easy-to-use platform, and continuous monitoring,

keeping your business safe from hackers.

— 4. Core impact

Core impact has been in the market for nearly two decades. It

claims to have the largest range of exploits and also lets you run

Metasploit exploits within their framework. Core impact offers

wizards that can help you automate a lot of processes, and you can

also create a complete audit trail using PowerShell commands.

— 5. Hackerone

Hackerone is one of the preferred security testing platforms for

Fortune 500 companies for its fast on-demand delivery. With this

platform, you don’t have to wait for the complete report to identify

vulnerabilities. It will alert you as and when a vulnerability is found.

64

Network


NEED

In a nutshell, penetration tests involve hacking your

own systems so that you can figure out if there are

any security vulnerabilities that could be exploited

by a cyber-criminal. The process is mostly used to

strengthen firewalls and provides a great deal of insight

into improving security, which is very important for all

organizations.

— 6. Breachlock

Breachlock is the first web vulnerability scanner that is AI, Cloud,

and Human Hacker based. It is an online vulnerability scanner

and does not require any specialized expertise or any hardware

or software installation.

— 7. Indusface Was

This penetration testing tool offers both manual testing and an

automated scanner for identifying and reporting potential threats.

It also includes malware checks, reputation checks of links, and

website defacement checks in every scan.

— 8. Metasploit

Metasploit is perhaps the most popular and advanced tool for

penetration testing. It is based on the “exploit” concept, a code

that can surpass security systems and enter a particular system.

— 9. Wireshark

Wireshark is a network protocol analyzer and offers deep insights

about decryption, network protocols, packet information, and

more. You can use it on several systems, such as Windows, Solaris,

Linux, OS X, NetBSD, FreeBSD, and others.

— 10.w3af

W3af is the acronym for Web Application Attack and Audit Framework.

Some of its key features include integrating web and proxy servers

into the code, HTTP requests, and injecting payloads into various

HTTP requests. It comes with a command-line interface and can

work on Microsoft Windows, Linux, Apple Mac, and more.

65

#03

MANAGING EDITOR

Kamel Amroune

CEO

kamel.amroune@thedots.lu

À retrouver dès le mois

de décembre 2022

ADVERTISING CONTACT

Aurélie Paini

Sales Manager

aurelie.paini@thedots.lu

+352 691 339 918

Morgane Montaigu

Event, Marketing & Sales Assistant

morgane.montaigu@thedots.lu

EDITORIAL TEAM

Michaël Renotte

Rédacteur en chef

michael.renotte@thedots.lu

Yann Roll

Marketing Officer

yann.roll@thedots.lu

Nastassia Haux

Marketing Manager

nastassia.haux@thedots.lu

DESIGN

Nicolas Bœuf

Directeur Artistique

nicolas.boeuf@thedots.lu

DISTRIBUTION

Post Luxembourg

PRINTING

Reka Luxembourg

Print 1000 exemplaires

EDITOR

The Dots

33, Boulevard Prince Henri

L-1724 Luxembourg

+352 20 60 29 410

RE

66

In close cooperation

Your IT integrator in Luxembourg

since 5 years !

Professional Services

Business Solutions

NSI Sure Value

nsi

A CEGEKA COMPANY

Applications Development

Agile / Scrum

ITIL

Infrastructure

Service Desk

nsi

A CEGEKA COMPANY

www.nsi.lu I info@nsi.lu I +352 288 376 500

Training Partner

TechSense Magazine #02

Create successful ePaper yourself

Delete template?

Save as template?