ING : IT New Generation - ITnation

LUXEMBOURG
AVRIL 2008 / N°09
IT FINANCE ACTUAL IT ACTUAL IT
New Access
Arrived !
p.22
Namestock
À vos marques
p.68
Microsoft
2008 Series
p.65
1
LE GRAND DOSSIER SÉCURITÉ • Spécial IAM, Risk and Security Management
ING : IT New Generation
LE GRAND ENTRETIEN
Philippe Gusbin
Membre du Comité de Direction, OPS & IT
ING LUXEMBOURG
EN KIOSQUE - LUXEMBOURG Eur 7.50
: Les meilleures offres d’emploi IT au Luxembourg - P78

The vulnerability of your business
is connected to the enormity of your IT infrastructure
is connected to an accurate assessment of the risks involved
is connected to solutions that manage security, availability and compliance
is connected to Symantec Global Services for results that shine
from assembly line to the bottom line.
C
M
J
CM
MJ
CJ
CMJ
N
Copyright © 2007 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and
other countries. Other names may be trademarks of their respective owners.
Manage IT risk and cost across your entire operation with the unmatched expertise of Symantec.
The first step in dealing with IT risk is to quantify it precisely. Our expert assessments quickly give you the necessary input
to select the appropriate solution to fit your needs and budget. And once IT risk is mitigated, the cost advantages throughout
your enterprise can be dramatic. Realise the potential in your operation with the help of the Global Services team from
Symantec. Get in touch with a representative by emailing emea_csc@symantec.com or visit symantec.com/confidence_uk
for more information.
Confidence in a connected world.

est un magazine
83 rue de Hollerich
L-1741 Luxembourg
Grand-Duché de Luxembourg
T. +352 26 10 86 26
F. +352 26 10 86 27
E. info@itnews.lu
Internet: www.itnews.lu
© Photography Raoul Somers
Eric Busch
Directeur de la publication
M. +352 691 43 45 45
eric.busch@itnews.lu
Delphine Reuter
Journaliste
delphine.reuter@itnews.lu
Raphaël Henry
Rédacteur
M. +352 691 99 11 57
raphael.henry@itnews.lu
Émilie Mounier
Chef de projet
M. +352 691 99 11 56
emilie.mounier@itnews.lu
Aurélie Rebel
Assistante de production
aurelie.rebel@itnews.lu
Photography Raoul Somers
www.raoulsomers.lu
Avec la complicité de la
Philharmonie de Luxembourg
Merci particulièrement à Dan Vinkowski
www.philharmonie.lu
Photos
ITnews 2.0
www.itnews-photos.com
Layout
Piranha et Petits Poissons Rouges
itnews@piranha.lu
Abonnements
Luxembourg 75,- € - Europe 85,- €
www.itnews.lu
ITnews 2.0, anciennement LuxBox
IBAN LU53 0030 7526 7288 1000
BIC BGL: BGLLLULL
TVA LU 19730379
RC Luxembourg B 95210
Maison d’éditions
Autorisation d’établissement N° 102739
© Toute reproduction, même partielle, est
soumise à l’approbation écrite préalable de
l’éditeur. Tous droits réservés. ITnews2.0
est membre de Luxorr - Luxembourg
Organization For Reproduction Rights -
info@luxorr.lu
Feu vert à une
sécurité ambitieuse
Bienvenue dans l’univers de la Sécurité 2.0 ! Un monde où les entreprises ne veulent plus
cadenasser leurs accès, mais responsabiliser leurs utilisateurs. Un concept où le mythe du
business comme île intouchable a perdu sa cohérence. Une réalité enfin, pour les acteurs de
la sécurité, qui sont confrontés chaque jour aux mêmes problématiques.
Dans un modèle économique globalisé, l’explosion du volume de l’information et la multiplication
des canaux de communication posent de sérieux défis au business. Or, la sécurité
a toutes les clés en main pour devenir un domaine majeur de l’IT. Conscientisation des
utilisateurs, contrôle des menaces, accès à internet, traçabilité… les thèmes qui, au final,
déterminent ce que sont et veulent les utilisateurs de l’IT : des solutions fiables, faciles,
accessibles. La sécurité ne pose plus des limites, elle soutient des ponts pour permettre
d’aller plus loin. Le mal nécessaire peut-il donc enfin fournir de la valeur ajoutée ?
Oui, la sécurité 2.0 peut être une opportunité.
Pourquoi est-il si compliqué de témoigner ? Parce que connaître une solution de sécurité et,
pire, en parler, équivaut souvent à exposer les secrets des systèmes IT. La sécurité est transparente,
ou invisible. Tant mieux, se dit-on encore souvent. Pourtant, le pari mérite d’être pris.
Pour cela, les entreprises doivent changer d’approche. Finis les murs, les cuirasses, les
boucliers. Vive la prise de risque… consciente. Pour devenir plus visible, plus tangible, elle
doit aussi être portée par ceux qui la connaissent le mieux : les RSSI. À quand un système de
certification inspirée du Guide Michelin, dont les étoiles seraient attribuées aux entreprises les
plus innovantes en matière de sécurité ?
Delphine Reuter

10703_FSC_UK_Parcel.indd 1 8/04/08 10:33:06

LE GRAND ENTRETIEN
Philippe Gusbin
et Bernard Lhermitte :
ING Luxembourg sur mainframe 2.0
///////// ACTUAL IT
Conférence ITnews
Mobilité à tous les étages
18
///////// LE GRAND DOSSIER
LuxPET
Communications limpides
19
6
CSSF et Clussil
Symantec
Regards croisés sur le RSSI
28
Sécurité 2.0 : le défi
49
LuxTrust
Zeropiu
So far, so good
30
Luxembourg : I AM attractif
50
CASES
Verizon Business
///////// IT FINANCE
New Access
Les clés pour le
Relationship Manager
22
Les nouvelles menaces
sous contrôle
IBM
W7 au service de l’audit
Accenture
L’IAM, révélateur d’expertise
32
44
46
///////// PORTRAIT
Le risque est une opportunité
Dimension Data
Microsoft 2008
Zoom sur les end­users
54
La fi n des systèmes châteaux forts 56
///////// ACTUAL IT
65
Fast Close & XBRL
24
Claude Lüscher
Responsabilité
67
Liquidités à la DVB Bank
26
Embrace and enhance
76
Namestock de A à Z
68
EN MAI 2008… LE GRAND DOSSIER SERA CONSACRÉ À L'OUTSOURCING
Conférence Outsourcing et PsF :
le 15 mai 2008 – espace entreprise de la Confiserie namur – luxembourg hamm
Clôture: 28 avril 2008 / Rédaction: raphael.henry@itnews.lu / Régie publicitaire et infos conférence: emilie.mounier@itnews.lu
AVRIL 08 5

BUSINESS DECISION MAKER
LE GRAND ENTRETIEN
Philippe Gusbin
ING Luxembourg :
Nouveaux horizons
6 AVRIL 08

le grand entretien
AVRIL 08 7

BUSINESS DECISION MAKER
Philippe Gusbin, qui est ING
Luxembourg ?
ING Luxembourg est une banque qui est
présente sur la Place grand-ducale depuis
plus de quarante ans - depuis les années
’60 - et qui possède donc un track record
assez long. Les dénominations ont été différentes
à travers le temps, notamment avec
le Crédit Européen, puis aujourd’hui avec
ING Luxembourg.
Pour quels clients ?
ING Luxembourg est une banque universelle,
ce qui suppose que nous servons
différents types de clientèle. La première est
une clientèle de Private Banking - un pôle
important pour la Place luxembourgeoise.
En effet, le groupe a pris la décision, il y a un
an, de rassembler ici à Luxembourg tout le
know-how en matière de gestion centralisée
et de sélection de fonds tiers à destination
de la clientèle Private Banking. Ainsi, toutes
les compétences du groupe ont été concentrées
sur Luxembourg, après une ‘compétition’
entre les différents pays où ING est actif
dans le Private Banking…
Le deuxième type de clientèle, c’est la clientèle
Retail, de particuliers, pour laquelle nous
avons un réseau d’une quinzaine d’agences
- qui dessert aussi la clientèle privée par ailleurs.
Bernard Lhermitte,
Head of IT d'ING Luxembourg
Enfin, nous avons une clientèle d’entreprises
- nous l’appelons Wholesale - où nous
retrouvons aussi bien des groupes
multinationaux (WRM), que des grosses et
moyennes entreprises. Ce sont donc des
entreprises de taille différente, avec des
approches stratégiques du groupe ING
adaptées. Ainsi pour les WRM, le pilotage de
la relation est global au niveau du Groupe, et
pour les large et mid corps, nous avons des
pilotes plus locaux ou régionaux - ce qui est
principalement le cas ici au Luxembourg. Au
niveau du groupe, les compétences d’ING
Luxembourg sont souvent utilisées pour
effectuer des opérations d’envergure. Dans
les autres activités Wholesale, il y a encore les
Financial Institutions, qui sont les compagnies
d’assurances, les PSF, etc…, et enfin, le
Financial Markets, le Financial Engineering.
C
M
Y
CM
MY
CY
8 AVRIL 08
CMY
K

BUSINESS DECISION MAKER
Avez-vous d’autres activités
localement ?
Nous avons aussi une clientèle interne groupe
importante pour laquelle nous prestons pour
des clients comme IIM, l’Asset Manager du
groupe, et IPCM, l’entité de gestion de fonds
destinés à la clientèle en Private Banking.
Ainsi, les services Transfer Agent et Custody
liés à l’industrie des fonds sont prestés chez
ING Luxembourg. Nous sous-traitons aussi
certaines activités, notamment sur le Fund
Admin.
Quelle est la taille d’ING
Luxembourg ?
Nous occupons 830 collaborateurs et selon
les critères et segments, nous sommes
considérés comme la quatrième banque
de la Place. Au niveau grand-ducal, nous
retrouvons donc ING Luxembourg, ING
Lease et Car Lease (leasing et car leasing à
destination des entreprises), ainsi qu’ING Life
(nos prestations d’assurances à destination
de la clientèle Retail et Private Banking).
Elles sont très diverses,
ces compétences ?
Oui effectivement, et lorsque l’on va parler
d’IT, il s’agira donc d’un vrai exercice.
Car lorsque nous devons adresser des
problématiques Retail, Private Banking,
Fonds, Wholesale (de WRM, les grandes
entreprises, aux PME) ou Financial Markets,
ce n’est effectivement pas la même chose…
Cela relève d’un défi permanent pour
l’ensemble de l’organisation.
Et la croissance est au rendez-vous…
Pour 2007, l’ABBL a fourni des résultats au
niveau du monde bancaire luxembourgeois
que l’on voit faiblement évoluer. Au contraire,
au niveau d’ING Luxembourg, on note une
progression de 35 %, où tous les segments
ont contribué, de manières diverses, au résultat
d’ensemble. La diversité de nos activités
génère une certaine complexité de gestion,
mais cela permet surtout d’assurer une certaine
homogénéité des performances dans
les résultats fournis. ING Luxembourg, dans
le groupe ING, preste toujours bien et même
très bien… L’année 2007 a été particulièrement
exceptionnelle pour ING Luxembourg.
C’est une bonne nouvelle et surtout, cela
nous permet de nous positionner au niveau
des axes stratégiques importants du groupe.
Qu’est-ce qui est stratégique
pour vous ?
Pour ING Luxembourg, un des premiers
axes, c’est la croissance. Chaque métier doit
générer de la croissance, développer son
fonds de commerce et trouver de nouvelles
sources de revenus.
Un autre axe stratégique qui est évident,
c’est l’orientation client, le client au centre
de nos préocupations («customer centricity»).
Cela tombe sous le sens, mais il ne
suffit pas seulement de le dire, il faut aussi le
faire… Et c’est là toute la différence.
J’en arrive à un troisième axe, c’est le «Focus
on Execution». Il ne suffit pas seulement
d’avoir des idées et de les avoir priorisées, il
faut réussir à les implémenter.
Est-il plus facile ou plus difficile
d’être concret localement ?
ING Luxembourg est une entité qui preste
bien. Nous nous trouvons dans un contexte
au Grand-Duché de Luxembourg qui est
un peu particulier. Tout ceci fait que nous
intégrons, bien évidemment, les politiques
groupe, mais que nous avons aussi
une certaine indépendance, entre autres
au niveau de l’IT. La stratégie IT est définie
L'Annonce_Avaloq_2007_210x45mm-left-hand-page.pdf 30.11.2007 13:39:05
à partir de Luxembourg. Elle est bien sûr
alignée sur la stratégie IT du groupe. Nous
ne le faisons pas seuls et nous souhaitons
utiliser toutes les compétences et réutiliser
ce qui existe dans le groupe. Nous sommes
très pragmatiques ; nous ne sommes pas un
centre de recherche, nous sommes là pour
implémenter.
Bernard Lhermitte, pouvez-vous
nous donner un exemple ?
On considère qu’être dans un groupe comme
ING, c’est une réelle opportunité car ING
possède un certain poids sur le marché,
notamment vis-à-vis des fournisseurs. Même si
à Luxembourg nous avons une certaine autonomie,
nous jouons la synergie avec le groupe.
Concrètement, on vient de terminer un projet
de migration du mainframe pour notre
architecture informatique. Nous étions sur Bull
depuis une vingtaine d’années et désormais
nous sommes passés sur IBM. Dans ce cas
de figure, nous avons vraiment fait jouer la
synergie de groupe, car IBM est un fournisseur
standard du groupe et nous avons aussi
pu profiter directement des compétences
existantes d’ING. En effet, le paramétrage
de ce nouveau mainframe a été réalisé avec
l’aide de nos collègues hollandais du groupe.
Un autre axe de synergie touche aussi notre
environnement de développement qui va
être centralisé aux Pays-Bas. Les machines
se trouvent là-bas, dans un environnement
très élaboré. Les gens de l’IT resteront ici
et développeront toujours à partir d’ici, bien
évidemment avec des données banalisées.
D’autres exemples ?
Au niveau des applicatifs, nous utilisons
Kondor+ pour la salle des marchés qui est
centralisé pour tout le groupe. Notre activité
est gérée à partir de Luxembourg mais sur
des applicatifs centralisés. Par contre à côté

BUSINESS DECISION MAKER
de cela, on développe en local pour notre
clientèle Retail et Private Banking, à la fois
en termes de front-office et de back-office,
et on développe des applications localement
avec nos propres choix technologiques
et notre propre architecture applicative.
Ce sont vraiment des approches très
complémentaires qui accroissent nos
capacités à supporter le business…
C’est donc une approche orientée
re-usability ?
C’est une approche très pragmatique : ce
qu’on peut réutiliser est le mieux. On ne veut
pas réinventer les choses si cela n’est pas
nécessaire. Cela fonctionne parce qu’au niveau
de l’entité, on a de bons résultats et de
ce fait une bonne autonomie dans nos choix.
Entre les Pays-Bas et la Belgique, la synergie
du groupe est encore plus importante, car les
volumes sont différents et les gains de productivité
plus significatifs. Un élément important,
c’est aussi le secret bancaire à Luxembourg
: on ne peut pas tout se permettre en
termes de synergie, et il y a des données
qui doivent impérativement être traitées ici…
Vous êtes reconnus par le groupe pour certaines
compétences. Pouvez-vous envisager
de les développer encore plus ?
Au niveau du Private Banking, le groupe a décidé
de centraliser cette activité de gestion à
Luxembourg parce qu’il y a des compétences
métier évidemment, mais aussi parce qu’il y a
des compétences IT capables de supporter
cette activité. Cela s’est fait de manière transparente
avec ING, car on avait déjà une partie
de ces activités, et seuls les volumes ont augmenté.
Et on était capable de les supporter.
C’est aussi le cas sur les fonds de tiers : on a
centralisé les flux d’autres entités du groupe
ici, à Luxembourg. Ce n’est pas qu’une problématique
IT, mais un service global…
Philippe Gusbin, c’est aussi
important de pouvoir capitaliser sur
cela dans un contexte réglementaire
européen très changeant ?
L’aspect réglementaire et de gestion de risque
est de plus en plus présent. Ce sont des
compétences qui se développent de plus en
plus à l’intérieur du groupe et c’est la même
chose pour l’ensemble de nos confrères et
concurrents. C’est une implication non neutre.
Régulièrement, au niveau de l’IT, c’est
une charge de développement très lourde.
À cela s’ajoutent les spécificités du Grand-
Duché de Luxembourg que nous tenons à
respecter.
Bernard Lhermitte : Ainsi au niveau de l’IT,
nous sommes habitués de longue date à
tout ce qui est Compliance en respectant le
secret bancaire local. Par exemple, en termes
de ségrégation des tâches, nous sommes
très bien avancés…
Philippe Gusbin, dans ce contexte,
quels sont les éléments qui vous ont
le plus marqué ces derniers temps ?
Sepa, Mifid, Bâle II… Et là on voit l’avantage
de faire partie d’un grand groupe. Ce
sont des projets qui ont été gérés de façon
globale afin d’assurer une cohérence à travers
l’ensemble, mais tout en assurant une
certaine souplesse dans l’implémentation
locale. C’est un bon élément de gouvernance.
Il y avait un steering committee et une
gestion de projets globaux dans lesquels
ING Luxembourg, comme d’autres entités,
se sont intégrées. Cela nous a permis dans
certains cas de ne pas avoir à analyser certaines
choses et de gagner beaucoup de
temps et délivrer plus rapidement.
Bernard Lhermitte : Tous les projets que l’on
a cités sont des projets qui ont été adoptés
par toutes les banques de la Place, mais
pour ING, étant donné que nous sommes
cotés sur le marché américain, nous avons
aussi dû mettre en place un projet SOX
(Sarbanes-Oxley). C’est un projet réglementaire
très contraignant. Cela nous a obligés
à nous poser d’autres questions et est une
charge supplémentaire non négligeable.
10 AVRIL 08

leasing made smarter
leasing made smarter
leasing made smarter
leasing made smarter
leasing made smarter
leasing made smarter
Leasing privé
Leasing operationnel
Leasing professionnel
Gestion personnalisée de flottes
Le sur mesure de la gestion de parc
CARTRUST SA 11, RUE DE BITBOURG L-1273 Luxembourg-HAMM
Tel : (+352) 26 34 35 - 1 E-Mail : info@cartrust.lu www.cartrust.lu

BUSINESS DECISION MAKER
Philippe Gusbin, c’est une charge,
mais cela peut-être aussi un atout…
Lorsque vous faites ce genre de chose,
lorsque vous passez au crible votre organisation,…
c’est une contrainte, c’est une
charge, mais vous en tirez toujours quelque
chose. C’est comme en matière de Risk Management,
c’est une problématique qui est
de plus en plus présente. On parle de Bâle II,
de la problématique des risques opérationnels,
mais aussi des risques IRM (Information
Risk Management), des risques de marché,
des risques de crédit, des risques de sécurité,…
Toutes ces approches sont maintenant
beaucoup plus globales, plus holistiques,
plus complètes. Cela génère un certain formalisme,
mais cela apporte une bien meilleure
connaissance des risques potentiels qui
existent dans une organisation.
Philippe Gusbin : au niveau des départements
informatiques, la philosophie est
d’une grande simplicité : le but, c’est de
s’aligner sur les axes stratégiques d’ING
Luxembourg. Il y a des axes stratégiques
en matière de génération de valeur, de
croissance, de gouvernance, de maîtrise
des coûts, de gestion des risques…
Le métier IT s’aligne sur ces axes
stratégiques et c’est pour cela que nous
fonctionnons en mode projet. Cela nous
permet d’être souple et de nous adapter
en fonction des demandes du business.
Nous avons donc également une approche
matricielle, c'est-à-dire que tout métier a un
interlocuteur, un point d’entrée au niveau
de l’IT, avec une personne qui doit adresser
ses demandes et gérer l’interaction entre
l’IT et le métier lui-même.
nous avions des compétences sur lesquelles
nous pouvions nous appuyer. C’est un
projet de 40 mois qui a utilisé près de 2 ans
de capacité projet. Le but pendant cette
perte de ressources, c’était de compenser,
de faire que les lignes business ne voient rien
à cette transition. Nous devions faire en sorte
que ce processus de migration soit le plus
transparent possible… Si bien que les lignes
business, à un certain moment, ne savaient
plus qu’il y avait un processus de migration
en cours... Nous avons staffé et nous nous
sommes organisés pour continuer à délivrer
le business en toute transparence.
La conclusion de ce projet s’est déroulée le
12 janvier 2008 où nous avons livré le projet.
Tout s’est bien passé : la migration effective a
commencé un vendredi soir et le lundi matin,
les gens dans les agences ont ouvert leurs
Cela draine-t-il la performance ?
Oui, lorsque vous maîtrisez bien vos risques,
c’est que vous vous connaissez mieux. Et si
vous vous connaissez mieux, vous pouvez
vous améliorer…
Bernard Lhermitte : On peut profiter de
ces projets pour dégager des avantages,
dont la simplification des process. SOX
nous a obligés à revoir bon nombre de
nos process. Ainsi, nous avons mis en
place une approche Lean Six Sigma, pour
simplifier certaines chaînes de valeur dans
la banque.
Le but, c’est de faire en sorte que cela s’applique
réellement sur le terrain, dans un vrai
partenariat. Par exemple, les cahiers de charges
se font ensemble, car la compétence ne
se trouve pas forcément à un seul endroit. On
en parle pour les développements, mais aussi
pour les synergies. C’est le cas dans d’autres
entités en Europe qui tournent carrément sur
des applications groupes en direct.
Comment tout cela se profile-t-il ?
Il y a quatre ans, une décision-clé a été
prise : passer de Bull vers IBM qui est un
standard groupe. Nous savions donc que
terminaux et tout était opérationnel… Il n’y a
eu que quelques petits soucis très mineurs.
Bernard Lhermitte : Cela a été un challenge
énorme : migrer un mainframe, ce sont des
millions de lignes de codes à migrer… La raison
de ce choix mainframe ? D’abord, c’est
un standard du groupe mais aussi pour ce
que le mainframe offre en termes de fiabilité,
de capacité, de performance et de robustesse
de niveaux inégalés... On a aussi voulu
capitaliser sur les investissements du passé
pour aller vers une nouvelle architecture qui
intègre à la fois du mainframe mais aussi des
nouvelles technologies. L’idée pour nous au
AVRIL 08 13

BUSINESS DECISION MAKER
niveau de l’architecture, c’est de capitaliser
sur le meilleur de chacun des mondes,
mainframe et ouvert.
Philippe Gusbin : Et «last but not least», c’est
vraiment de profiter d’une productivité accrue.
On est donc passé d’un monde à un
autre, avec des machines différentes, mais
surtout intégré dans un monde plus large
et plus performant. Ce n’était pas pour la
beauté du geste…
Bernard Lhermitte, avez-vous profité
de cette refonte pour renforcer ou
développer d’autres éléments ?
Pendant la migration, on a continué à développer
pour les lignes business. Mais l’idée,
c’était de migrer As-Is et surtout de ne pas
mélanger évolutions fonctionnelles et migration
technique afin d’être certains de ne pas
impacter le business. C’est déjà assez complexe
comme ça…
Cobol par exemple), et une équipe dédicacée
aux nouvelles technologies, (présentation,
portail d’entreprise, le site Internet…).
Cette équipe intègre nos applications dans
un portail d’entreprise.
Concrètement, pour le projet de migration
on s’est fait aider par un partenaire externe
spécialisé dans les migrations mainframe.
À notre charge, il y avait la responsabilité de
toute l’intégration et de tout le testing, où
importaient les compétences fonctionnelles,
afin de travailler en partenariat avec les métiers
pour valider la qualité globalement.
Quelles sont vos perspectives ?
Avec tous ces projets de migration et de
mise à niveaux réglementaires terminés,
on se retrouve désormais avec une capacité
à produire des projets dédicacés au
business, à supporter la croissance,… On
a donc initié, fin 2007, une réflexion sur la
Au niveau des aspects réglementaires, 2008
semble s’annoncer comme une année plus
paisible et on espère pouvoir mettre ces
ressources accrues de l’IT occupées sur ce
volet-là à destination du business. Au niveau
du projet de migration, c’est un projet qui a
été nominé au niveau du groupe ING comme
un projet à très haute valeur. D’ailleurs, le
cœur de l’équipe qui a travaillé sur ce projet
vient de se retrouver convié à Amsterdam,
pour recevoir les félicitations du groupe.
Bernard Lhermitte, avez-vous
réorienté votre portefeuille de
projets ?
Auparavant, nous avions des responsables
de département qui venaient avec leurs
priorités. On les réunissait en fin d’année et
ils nous donnaient leurs priorités. Au sein du
département IT, on faisait une synthèse de
tout cela et on retournait vers le Comité de
Direction avec des propositions en adéquation
Quelles compétences tout cela
nécessite-t-il ?
En termes de compétences dans le département
IT, on a d’une part l’infrastructure
(system engineering, network engineering,
production, data center) et d’autre part la
partie Applications, où là on est organisé, aligné
par ligne fonctionnelle, pour chacun des
business. Dans ces équipes, on retrouve
différents types de compétences qui sont à
la fois des compétences fonctionnelles, des
compétences techniques (programmation,
manière dont on va gérer les projets dans
le futur et la manière de prioriser les projets
pour le métier.
Philippe Gusbin : Il y avait deux approches
différentes : soit on pouvait dire que l’on
avait terminé une migration et donc que
l’on pouvait réduire la voilure en matière
de ressources IT ; ou bien, on conservait
quand même une force de frappe au
niveau IT, pour pouvoir soutenir la croissance…
Et c'est cette dernière option que
l’on a retenue.
avec la stratégie de la banque. Le comité
arbitrait et les projets à mener étaient retenus.
Nous avons constaté que nos ressources
pouvaient s’en retrouver éparpillées à force
de vouloir servir tout le monde chaque année.
On a désormais une vue plus globale et on se
concentre mieux sur la stratégie de la banque
et sur la croissance.
On a ainsi défini six axes de priorité : les
Profit Drivers (là où les départements vont
générer de la croissance), les gains de
productivité (principalement améliorer les
14 AVRIL 08

BUSINESS DECISION MAKER
chaînes du Middle et Back Office), la productivité
transversale (là l’IT peut se trouver
en tant que Business Enabler comme avec
les technologies d’Enterprise Content management,
de Workflows,…), les Internal
Customers (améliorer la convivialité de nos
applications, parfois simplement par des
quick wins, des choses qui peuvent simplifier
la vie des utilisateurs), les Metrics (mettre à
disposition des départements de la banque
les informations qui leur sont nécessaires
pour le pilotage du business - début 2005,
nous avions reçu les moyens pour mettre
en place un projet d’un nouveau DataWarehouse
et de BI globale), et le core IT (le
spécifique à l’IT, pour mieux fournir à la banque,
avec une approche «Reuse before Buy
before Build»).
Philippe Gusbin : C’est une approche
très cohérente : on a cet axe stratégique
de développement à la fois des activités
existantes mais aussi de nouvelles activités.
Quels sont les autres assets forts d’ING ?
Ce sont bien évidemment les gens… La qualité
des équipes IT au niveau d’ING Luxembourg
est très élevée. Nous avons de très
bonnes compétences… Mais on sait aussi
qu’à Luxembourg, les compétences sont
difficiles à capter. Ainsi, on cherche sur le
marché grand-ducal mais on regarde aussi
en dehors de celui-ci.
Bernard Lhermitte : C’est effectivement un
challenge pour nous de trouver les bonnes
compétences. Il y a un nombre énorme de
postes IT ouverts au Luxembourg et il faut
donc être les premiers afin de recruter les
meilleurs. On a une approche très proactive
en allant au-devant du marché. On se déplace
dans les universités et cela nous a permis
de découvrir de jeunes talents. Il existe désormais
chez nous des formations pour les
faire grandir et les faire évoluer dans l’entreprise.
On se rend compte aussi que l’IT est
personnes. Cela représente environ 18 % des
coûts de la banque. Ce qui est un ratio assez
bon en comparaison avec le monde financier.
Avez-vous des repères avec ce que
font les autres acteurs bancaires en
Europe ?
De façon très régulière, nous regardons dans
le marché où nous en sommes. Nous nous
mesurons à des benchmarks. On utilise
des études McKinsey, Gartner, KPMG, etc.
Par exemple, chez McKinsey, on a qualifié
l’IT au niveau groupe des banques en
catégories A, B, C et D, suivant des critères
comme leurs dépenses IT par rapport aux
dépenses globales. La bonne nouvelle,
c’est que ING Luxembourg est considérée
comme une A-Bank, lorsque l’on regarde
les indicateurs. Ce n’est pas pour cela que
l’on s’endort, au contraire… Mais cela nous
fait plaisir en tant qu’une A-Bank d’avoir
une IT qui est considérée comme business
Nous sommes curieux ; nous voulons voir,
tester… Nous possédons la machine qui
nous permet d’augmenter cette capacité…
Nous avons de l’oxygène qui s’est libéré en
matières réglementaires et légales… Nous
avons décidé de maintenir la force de frappe
IT afin de pouvoir répondre aux besoins
du business… Et nous avons un nouveau
plan de prioritisation des projets. Ainsi dans
l’ensemble, la qualité des projets retenus est
bien meilleure et le scope que nous couvrons
adresse bien mieux les préoccupations du
business que par le passé.
devenu un vivier de talents pour le reste de la
banque. Nous n’avons pas un turn-over important
de personnes qui quittent la banque,
par contre en interne, nos gens sont très prisés
par les départements business.
Philippe Gusbin : Il y a un circuit très classique
qui est : IT, opérationnel puis ligne commerciale.
L’IT, c’est un métier qui apprend
beaucoup de rigueur et qui oblige à comprendre
les tenants et aboutissants. Et c’est
un mouvement excellent pour l’organisation.
Sur les 850 salariés, l’IT compte environ 110
enabler, avec une utilisation des ressources
IT parcimonieuse et dans une organisation
qui elle-même est légère et flexible.
Bernard Lhermitte : si l’on devait faire
une cartographie de l’IT d’ING ?
Je parlerais d’une bonne intégration, de capitaliser
sur le meilleur de chaque monde…
Par exemple, au niveau de l’architecture du
mainframe, des développements en mode
services existent. Dans l’acceptation habituelle
du terme SOA, on ne pense pas
AVRIL 08 15

BUSINESS DECISION MAKER
toujours au mainframe, mais ici on fournit
bien des services, exposés dans un portail
d’entreprise, qui reposent sur l’architecture
mainframe. A côté de cela, on a des packages
comme Triple A, Kondor+, et des packages
pour des métiers spécifiques. On utilise
aussi WebSphere, du J2EE, du web2.0 pour
exposer nos services, pour l’intégration et la
présentation. On réfléchit aussi à faire évoluer
notre portail en capitalisant sur des technologies
aujourd’hui accessibles, sans pour
autant suivre la mode pour la mode, mais en
restant très pragmatique. On a également un
environnement Business Intelligence pour
l’informatique décisionnelle qui repose sur
Oracle et Business Objects. Et nous utilisons
aussi Tivoli pour le pilotage de nos systèmes.
Enfin, nous allons appuyer plus des projets
d’Enterprise Content Management tout en
utilisant les outils de stockage et d’archivage
dont nous disposons déjà.
Vous allez donc mettre en place un
ECM ?
Ici l’IT se positionne clairement en «business
enabler». Nous considérons l’ECM comme
stratégique pour la banque et nous allons
effectivement mettre l’accent sur ce domaine.
On a identifié trois projets sur lesquels on va
travailler cette année. Il nous faut structurer
l’approche et choisir un ou des outils en
fonction des besoins qui seront à couvrir. On
a déjà reçu quelques propositions… mais le
choix des outils n’est pas encore arrêté…
16 AVRIL 08

case choice
> Conférence mobilité p 18
> Computacenter et LuxPET p 19
AVRIL 08 17

BUSINESS DECISION MAKER
CONFÉRENCE ITNEWS
Mobilité
Jean-Philippe Ricard
L’innovation,
moteur de la mobilité
Lors de la conférence organisée par ITnews le 13 mars
dernier, Jean-Philippe Ricard, Head of IT de RBC Dexia Investor
Services, a évoqué «la culture de l’innovation» en présentant
la façon dont une banque d’envergure mondiale comme RBC
Dexia peut intégrer ses fonctions globales et locales pour
assurer un service complet 24h/24. Début mars, RBC Dexia au
Luxembourg a obtenu le certificat CMMI de niveau 2. «La phase
de post-fusion dans laquelle nous nous trouvons encore nous a
poussés dans cette direction», a dit Jean-Philippe Ricard.
Par la suite, Frank Vissotsky, Manager
application services Benelux chez Computacenter,
a présenté les avantages de l’instant
messaging, une technologie qui s’est
adaptée au monde de l’entreprise. «L’instant
messaging sera intégré à tous les comptes
email d’ici deux ans», a dit Frank Vissotsky.
«La mobilité amène de la vraie valeur business,
a ajouté Laurent Brochmann, CIO de
Deloitte Luxembourg. Les utilisateurs de
Deloitte disposent tous d’un laptop équipé
de VPN, 60% des utilisateurs ont aussi un
téléphone mobile, et le top management
dispose du push mail. Tous ces éléments
sont indispensables à notre succès.»
Frank Vissotsky
Laurent Brochmann
18 AVRIL 08

Technical Development Manager
CASE CHOICE
Mobilité
Cibler l’essentiel
De plus en plus d’entreprises mettent en place des solutions
de mobilité innovantes pour réduire leurs coûts et améliorer la
productivité des utilisateurs.
Aujourd’hui, les desiderata des utilisateurs ont évolué. Ils disposent d’outils de
communication performants (et souvent gratuits) à la maison, et désirent voir
transposées dans le cadre de travail les mêmes facilités. Au-delà de la satisfaction
des employés, les entreprises, en mettant en place des solutions de
mobilité, réfléchissent aussi à la rentabilisation de l’infrastructure. Être mobile,
c’est pouvoir accéder aux ressources de l’entreprise depuis n’importe quel bureau,
et se rendre disponible à tout instant, grâce à des solutions calibrées sur
les véritables besoins des utilisateurs.
«Les utilisateurs veulent une vraie fonction
business, il faut donc optimiser les technologies
pour créer une mobilité réelle», explique
Frank Vissotsky, Manager application services
Benelux chez Computacenter. Dans
certaines entreprises, où l’autonomie des
utilisateurs est très importante, la mobilité
devient une pierre angulaire du business.
«Aujourd’hui, on fait des réalisations plus
complexes sur le terrain. Les technologies
ont gagné en maturité.» L’information a les
mêmes caractéristiques que si elle avait été
saisie au sein de l’entreprise.
Les utilisateurs doivent cependant pouvoir
déterminer leurs besoins. «On ne peut pas
proposer un processus business sur le GSM
d’un représentant, donc on se pose la question
de ce qui peut être rendu mobile pour
analyser la valeur ajoutée et le coût associé»,
explique Frank Vissotsky. L’accès aux
données à distance permet la continuité du
business, via la sécurisation et la synchronisation
des devices. Ainsi, l’ERP, le CRM
ou la logistique sont en partie «déportables»
vers les devices mobiles.
LUXPET : ÊTRE CONNECTÉ
POUR RÉDUIRE LES COÛTS
Avec un peu moins de cent personnes
à Luxembourg, appartenant au holding
Plastipak (5500 personnes worldwide),
LuxPET était à la recherche d’une
solution mobile complète et satisfaisante
pour, en premier lieu, réduire ses coûts.
«Computacenter a travaillé avec Plastipak
durant l’année dernière, explique Jonathan
Mayled, Manager International IT Operations
chez LuxPET. Computacenter a rapidement
présenté une solution de convergence basée
sur les téléphones Nokia E61 et le routage
de Cisco.» La mobilité est essentielle pour
Plastipak, dont les entités européennes sont
réparties entre le Luxembourg, la France, la
République tchèque et la Slovaquie.
L’utilisation des Nokia, qui remplaceraient les
téléphones RIM, permettrait de réduire les
coûts de communication d’environ 4 euros
par minute. Multibandes pour faciliter les
communications avec l’Amérique du Nord,
les Nokia E61 permettent la synchronisation
de l’email, l’accès à internet et d’appeler sans
coûts de roaming supplémentaire. Le réseau
de Cisco permet de router les flux de data et
la vidéoconférence (fournie par le Norvégien
Tandberg). Le système a été intégré avec la
Microsoft Active Directory et Exchange 2003
qui fournissent la messagerie unifiée. Ainsi,
les utilisateurs peuvent maintenant recevoir
et écouter leur voice mail depuis Outlook.
AVRIL 08 19

it finance
> New Access présente Branch, son dashboard orienté CRM p 22
> KPMG soutient le duo Fast Close et XBRL pour le reporting externe p 24
> Bâle II : la DVB Bank adopte FlexFinance Liquidity de Fernbach p 26
AVRIL 08 21

BUSINESS DECISION MAKER
IT FINANCE
Client vision
NewAccess,
nouvelle vue pour le
Relationship Manager
L’éditeur suisse NewAccess a présenté à Luxembourg ses
ambitions et succès avec son produit Branch, solution unifi ée
pour les gestionnaires de la relation dans les banques privées.
avec six premières références sur Branch dont efG, newaccess adresse une
nouvelle problématique pour les banques privées : obtenir le tout et le meilleur
de l’information du client dans une vue consolidée pour le gestionnaire de la
relation. Mix de solutions métiers pour les banquiers privés, Branch est un tableau
de bord unifié de la vue du client orienté cRM, analyse et visualisation
de portefeuilles, gestionnaire de documents, passages d’ordres, informations
compliance, news, quotes,…
Jean-Philippe Bersier,
VP Sales de NewAccess
branCh, la CÎme
de la vue Client
Branch, développé sur base d’une architecture
nTier sur une plateforme .Net, est une
solution de visualisation du client dans sa
globalité, permettant aux Relationship Managers
de consulter, mais aussi de gérer
et d’opérer l’information du client. Branch
s’intègre ainsi avec les outils de la banque en
place, que ce soit les core systems bancaires,
les PMS (Portfolio Management Systems), les
fl ux d’informations fi nancières, le CRM, etc…
«Notre premier client s’est servi de Branch
comme d’un framework pour développer
son intranet et son webbanking sur un backbone
olympic», explique Jean-Philippe
Bersier, VP Sales de NewAccess. Depuis,
l’éditeur suisse a gagné d’autres références
avec Branch sur Eri (2 actuellement), une
sur Globus, une sur Apsys et sur deux solutions
propriétaires. «Aujourd’hui, nos clients
utilisent souvent Branch pour adresser une
problématique CRM.»
NewAccess propose de connecter les
best-of-breed en place chez les banquiers
privés et de les rendre visibles et accessibles,
dans une interface consolidée de type client
Windows ou web. La mise en place se
fait en connectant les solutions existantes
directement dans Branch, sans passer par
un datawarehouse intermédiaire, garantissant
la fraîcheur et la fi abilité des informations
délivrées dans Branch. «Nous nous adaptons
avec le core en place et agissons de la
manière la moins intrusive possible. Mais
il s’agit néanmoins d’un véritable projet et
pas d’une solution out-of-the-box, car il
nous faut accéder les informations dans les
db que nous souhaitons publier. Il existe
déjà de nombreux connecteurs disponibles
pour des implémentations plus rapides.»
D’expérience, il faut entre trois et neuf mois
pour réaliser un prototype proche des souhaits
du client et de trois à dix-huit mois (au plus
long) d’implémentation, selon l’envergure du
projet. Mais avec un avantage important : il
n’est pas nécessaire d’avoir des compétences
techniques hautement spécifiques pour
démarrer sur Branch. À l’heure où les
compétences pointues sont de plus en plus
rares et chères, voilà un argument de poids.
vue 360° CheZ efg
Ainsi, EFG, le plus grand déploiement de
Branch (18 booking centers dans 24 pays),
utilise la solution de NewAccess dans une
optique CRM, Portfolio Management et Document
Lifecycle Management. Il faut dire
aussi que NewAccess dispose de solutions
maison dédiées aux questions de gestion
électronique de documents et d’archivage
(LogicalAccess) et de portfolio & asset management
(olivia). «La force de Branch, c’est
de rendre transparente toute la complexité de
la plateforme sous-jacente, dit Jean-Philippe
Bersier. La seule limite est que le back-end
puisse répondre aux requêtes de la solution.
Au fi nal, Branch normalise l’univers de données.»
Le tout dans une interface qui se fait
fort d’une ergonomie très avancée, dont les
traits de force sont la sobriété et l’effi cacité.
22 AVRIL 08

Secure your business sites with digital video surveillance
Eliminate the cost of managing multiple networks
Use one IP network for all your needs (Video/Voice/Data)
UNIFY your networks
CALL US...
> www.telindus.lu
Tel. 45 09 15-1
Video surveillance Solutions
made simple, based on IP technology
High performance, networked video surveillance
CHANGE THINGS YOUR WAY

BUSINESS DECISION MAKER
IT finance
Reporting
Fast Close & XBRL :
un duo gagnant
Avec l’entrée en vigueur du nouveau set de reporting FinRep/
CoRep, le reporting externe repose maintenant sur la taxonomie
XBRL. Nouveau défi et opportunité pour les banques de la place :
faire de l’XBRL le support central du processus de Fast Close.
«L’intégration de l’XBRL au sein du processus de Fast Close vise une publication
d’informations financières plus rapide et plus fiable. Pour ce faire, un
travail préalable de diagnostic et de redéfinition du processus de clôture est
nécessaire, estiment Laurent Gateau, Assistant Manager et Simon Emeri, Adviser,
KPMG Luxembourg. Les nouveaux processus et activités reposant sur
l’XBRL doivent allier qualité et définition des données d’entrée, vitesse d’exécution
et évolutivité.
Changement de
mentalités
L’XBRL repose sur le langage XML et sur
l’utilisation de taxonomies qui définissent
les caractéristiques et les relations entre les
données. Il s’agit d’une solution d’avenir
relativement simple, fiable, évolutive et
indépendante des systèmes d’information
utilisés. Le succès d’un tel projet dépasse le
simple cadre IT et suppose un changement
de mentalités.
Il implique un fort sponsorship de la direction
qui doit s’assurer que l’ensemble des parties
prenantes comprend la finalité du projet et
s’investit totalement tout au long de ce dernier.
La fonction IT doit dépasser un rôle purement
technique et la fonction finance n’est
plus uniquement un pourvoyeur de données
et voit sa responsabilité d’analyse et de planification
renforcée. Un véritable partenariat
entre ces fonctions doit être conclu pour
définir et mettre en place un processus de
clôture reposant sur l’XBRL.
Ce changement dépasse le temps et le
cadre de l’équipe projet. Les interactions entre
les différents acteurs doivent donc clairement
être définies. Le nouveau processus
doit répondre au principe «une clôture juste
du premier coup». Cela implique que la technologie
XBRL soit structurée et adaptée en
fonction des activités et non l’inverse. Afin
d’être opérationnels, récurrents et évolutifs,
les processus doivent être clairement définis
et documentés. Et un tel projet doit être planifié
et piloté par une gestion de projet tant
au niveau stratégique qu’opérationnel.
Avantage stratégique
et plus uniquement
comptable
La simplicité de l’XBRL conduira à une réduction
des possibilités d’erreur via l’utilisation de
fichiers de saisie standardisés et d’un contrôle
des données à la source. La création de valeur
résulte de la réaffectation des ressources à des
tâches à plus forte valeur ajoutée. En alliant
rapidité et fiabilité, ce nouveau processus
de Fast Close sera un avantage indéniable
pour obtenir la préférence des investisseurs.
Enfin, la possibilité de dupliquer dans le futur
le succès de l’utilisation de l’XBRL à d’autre
processus : MIS, budgétisation… ouvre la
perspective pour les banques d’un avantage
stratégique et plus uniquement comptable.
La généralisation de l’utilisation de l’XBRL
à l’ensemble des processus financiers clés
représenterait donc un avantage compétitif
substantiel pour les banques. Cela passe au
préalable par une gestion de projet mature
tant au niveau de la définition et de la mise
en place des processus que de la qualité
des informations de sortie. C’est pourquoi la
clôture comptable et l’utilisation de l’XBRL se
doivent d’être un duo gagnant.
24 AVRIL 08

Laurent Gateau, Assistant Manager
et Simon Emeri, Adviser, KPMG Luxembourg.
AVRIL 08 25

BUSINESS DECISION MAKER
IT finance
Case choice
Liquidités transparentes
à la DVB Bank
Le deuxième pilier des nouvelles directives de Bâle sur les fonds
propres (Bâle II) impose aux banques une gestion détaillée de
leurs liquidités ainsi que de leur risque de liquidité. DVB Bank AG
s’est dotée de la solution de Fernbach pour une approche aussi
sur la rentabilité.
Fabrizio Romano, Regional Manager
de Fernbach à Luxembourg
Plus qu'une simple conformité réglementaire, une gestion des liquidités moderne
représente un potentiel de revenu considérable pour les établissements financiers.
En effet, une variation de leur notation ou de tout autre élément de leur
spread de crédit change les données de leur refinancement sur le marché interbancaire.
Partant de ce constat, les établissements financiers adaptent leurs
procédures hiérarchiques, organisationnelles et de gestion en conséquence.
Bâle II : un défi pour
la DVB Bank AG
La gestion bancaire a toujours eu pour
principal objectif de garantir la solvabilité
et d’assurer une base de refinancement
économique et stable. Bâle II définit de
nouvelles règles et contraintes en termes de
procédures de gestion et de contrôle des
risques. Pour obtenir une gestion globale des
risques poursuivis par ces directives, la DVB,
la banque allemande spécialisée dans les
services de financement et de conseil dans
les secteurs de l’expédition et du transport
aérien et terrestre, devait mettre en place une
structure interne de gestion des liquidités.
De surcroît, les procédures de gestion des
risques et de controlling doivent être mises
en œuvre de manière à ce que les risques
les plus importants soient détectés très
tôt, saisis dans leur totalité et présentés de
manière appropriée. Ainsi, afin de maîtriser
les nouvelles directives et d’optimiser ses
décisions, la DVB a décidé de mettre en
œuvre une solution logicielle adéquate de
mesure, de suivi, de contrôle et de reporting
des risques de liquidité.
Dans le domaine de la gestion des liquidités,
des décisions erronées ou des risques
inattendus peuvent entraîner des coûts de
refinancement défavorables. De plus, une
méprise de la situation réelle de liquidité
peut occasionner une accumulation de réserves
liquides trop importante. Ce type de
problème est essentiellement lié à un manque
d’informations (lui-même issu d’une qualité
et d’une rapidité de transfert des données
insuffisantes), ainsi qu’à une méthodologie
inadaptée et à des hypothèses erronées
menant à des conclusions inexactes.
Liquidités limpides
La solution FlexFinance Liquidity permet également
de garantir la liquidité nécessaire, ainsi
que de minimiser les coûts et de maximiser la
stabilité du refinancement. Grâce à la méthodologie
implémentée, la modélisation flexible
des scénarios livre des résultats retraçables
en continu, ce qui a représenté le critère
décisif pour la DVB. En effet, la banque est
maintenant en mesure de quantifier ses risques
de liquidité et de prévoir leurs impacts
sur les opérations traitées.
«Après avoir examiné et analysé l’offre de
tous les fournisseurs potentiels de solutions
de gestion des liquidités, nous avons opté
pour la solution FlexFinance Liquidity de
Fernbach parce que nous savions que cette
solution livrerait des méthodes éprouvées et
cohérentes de gestion du risque de liquidité,
dit Martin Kinzel, Head of Controlling à la
DVB. Les fonctions très souples de simulation
et de représentation des risques, des
paramètres du marché et des opérations
hypothétiques ont été autant de critères qui
ont influencé notre décision.»
Avec la mise en œuvre des exigences de Bâle
II (Pilier 2), les interventions manuelles dans
les procédures ne seront pour ainsi dire plus
possibles, ou seulement à un coût très élevé.
La faute en est à l’analyse de la situation de
liquidité dans différents scénarios et le suivi
des différentes lignes de crédit qui rendent le
recours à l’outil logiciel indispensable.
Grâce à l’initialisation rapide d’un projet central,
la DVB est en mesure de créer des pronostics
réalistes de liquidité au niveau global
de la banque ou de portefeuilles particuliers,
ainsi que d’évaluer et de gérer le risque de
liquidité à l’aide d’analyses de scénarios.
26 AVRIL 08

le grand dossier
> Clussil p 28
> LuxTrust p 30
> CASES p 32
> SecurIT p 34
> PricewaterhouseCoopers p 36
> Avencis p 37
> Telindus p 38
> Zeduke p 40
> Sogeti p 42
> IBM p 44
> Accenture p 46
> M-Plify p 47
> Vasco p 47
> Sun p 48
> Symantec p 49
> Zeropiu p 50
> Bull p 52
> Secaron p 52
> Verizon Business p 54
> Dimension Data p 56
> Trend Micro p 58
> HP p 60
> BT p 60
AVRIL 08 27

BUSINESS DECISION MAKER
le grand dossier
Sécurité
Plus de confiance dans
le potentiel de la Place
Pour peser dans la balance de l’eCommerce, le Luxembourg
devra compter sur son réseau d’experts en sécurité…
et soutenir leur reconnaissance, estime le Clussil.
La sécurité passe à un niveau supérieur au Luxembourg.
La consolidation de réseaux d’experts comme
le CERT du CASES et les réflexions entamées par les
groupes de travail du Club de la Sécurité des Services
d’Information du Luxembourg (Clussil), LuxTrust, les
datacenters de nouvelle génération,… le prouvent. La
sécurité est bien plus qu’un des aspects day-to-day
du business. Les responsables de la sécurité des services
d’information peuvent ainsi jouer un rôle proactif
dans la promotion de l’image de confiance et de
confidentialité donnée au Luxembourg.
David Hagen, Président du Clussil
et chef de service à la CSSF
28 AVRIL 08

BUSINESS DECISION MAKER
«Au Luxembourg, il y a énormément de réflexion
sur les meilleures façons de diversifier
la Place, explique David Hagen, Chef
de service à la Commission de Surveillance
du Secteur Financier (CSSF). L’axe de la sécurité
a été confirmé par le Fonds National
de la Recherche comme étant fondamental.»
Le développement récent d’initiatives
comme LuxTrust et CASES (le portail de
la sécurité de l’information du ministère de
l’Économie et du Commerce extérieur) a apporté
de la confiance aux acteurs de la Place
et peut convaincre de nouvelles entreprises
de s’implanter au Luxembourg. «Proposer
une TVA alléchante ne suffit plus pour attirer
les acteurs de l’eCommerce, dit David
Hagen. Nous devons chercher à diversifier
les aspects de la sécurité, via la recherche
et, d’autre part, la professionnalisation des
responsables de la sécurité des systèmes
d’information.»
Les compétences du Luxembourg en
matière de sécurité doivent être, en cela,
appuyées par les niveaux politique et économique.
«Le ministère de l’Économie
pousse d’ores et déjà dans la direction de
la confiance et de la protection des données
personnelles, rappelle David Hagen. Il faut
un business case solide pour favoriser le
développement d’une économie durable
plutôt que de l’opportunisme. La sécurité
rentre en compte dans le professionnalisme,
la manière d’offrir un service. La sécurité
est à promouvoir comme un atout et joue
un rôle de premier plan dans l’image d’une
entreprise ; elle cesse d’être un obstacle
pour devenir un avantage constructif.»
ÊTRE RSSI : GRANDS
EFFETS
David Hagen, en tant que président du Clussil,
cherche aussi à promouvoir le rôle du
RSSI. «La fonction n’a jamais été imposée
par la CSSF, précise-t-il. Mais il faut pouvoir
déterminer comment traduire les défis que le
RSSI doit relever aujourd’hui pour répondre
aux besoins des banques et des institutions
dans le futur.» Le Clussil peut ainsi décrire
un certain malaise de la fonction de RSSI au
sein des banques. Le RSSI demeure souvent
celui qui détermine les profils des utilisateurs
de la société, ce qui est nécessaire mais
pas suffisant. «Le métier dépend au final
du contexte que l’employeur va lui donner,
par rapport à son intérêt et par rapport à la
maturité qu’il veut donner à la fonction, explique
David Hagen. La fonction de RSSI est encore
par trop ingrate. La sécurité est souvent
ainsi : c’est un coût pour éviter une perte. Le
RSSI doit toujours pouvoir chiffrer une perte
potentielle en justifiant, si cette perte a lieu,
qu’il a fait tout son possible.» À quand une
structure qui décernerait des étoiles aux systèmes
de sécurité les plus performants ? Un
peu à la manière de la cote de confiance donnée
par Euro NCAP aux voitures après leurs
crash-tests…
«Ceux qui font la sécurité savent en tout cas
où ils vont, dit David Hagen. Il y a une volonté
de professionnaliser les choses, notamment
via un Master.» Ces cours donnent les
outils nécessaires au RSSI pour se mettre à
niveau avec le management. Ils sont aussi,
et surtout, la vitrine d’une profonde volonté
de faire du RSSI un acteur de changement.
«Si on veut se professionnaliser et ouvrir
nos frontières, il faut établir des critères de
compétence élevés au niveau européen», dit
David Hagen.
AVRIL 08 29

BUSINESS DECISION MAKER
le grand dossier
Sécurité
LuxTrust, une question
de confiance
En un peu plus de deux ans, LuxTrust SA a rencontré
les ambitions de ses actionnaires en devenant un acteur
incontournable du secteur économique luxembourgeois.
LuxTrust séduit, et il y a de quoi. Après avoir obtenu le statut de professionnel
du secteur financier (PSF) en 2006, LuxTrust SA a lancé des produits et des
services qui sont autant d’opportunités pour promouvoir, entre autres, le commerce
électronique au Luxembourg, après avoir mis en place une plate-forme
de certification électronique par le biais d’une infrastructure à clé publique
(ICP). La société compte, parmi ses actionnaires, notamment le gouvernement
luxembourgeois et des acteurs majeurs du secteur privé luxembourgeois.
«La signature électronique était une étape
à franchir pour que les utilisateurs aient
confiance dans l’e-commerce», avance
Pierre Zimmer, administrateur-délégué de
LuxTrust SA. «Jusqu’à présent, la concentration
des activités s’est faite principalement
sur le B2B et le B2G mais dans les mois à
venir, nous développerons plus le B2C et le
G2C (government to citizen)», explique Raymond
Faber, administrateur-délégué de Lux-
Trust SA. «LuxTrust propose des produits
qui peuvent servir de support unique pour
toutes les applications.»
LE CHOIX AUX
UTILISATEURS
Les nombreuses solutions proposées par
LuxTrust sont adaptables à des contextes
et des demandes multiples, étant donné
qu’elles reposent sur des standards reconnus
au niveau international. «LuxTrust facilite les
échanges électroniques dans des environnements
informatiques très différents», explique
Raymond Faber.
Parmi ces outils, la carte à puce (ou smartcard)
permet de s’authentifier en ligne et de
signer électroniquement des messages ou
des transactions. La carte à puce garantit
également l’intégrité des documents signés
électroniquement. Pour des besoins de
mobilité, l’utilisateur peut préférer le signing
stick qui offre une certification comparable à
celle des cartes à puce.
La solution des certificats signing server de
LuxTrust renforce, quant à elle, la mobilité…
tout en conservant des niveaux de sécurité
comparables. Pour y accéder, le détenteur
du certificat utilise un code d’accès unique
au certificat et renouvelé automatiquement
à chaque demande (one time password ou
OTP). Cet OTP apparaît soit sur un token,
soit il est envoyé par SMS.
LuxTrust doit donc maîtriser les mécanismes
de sécurité et connaître les risques pour déterminer
les limites des actions à mener.
SECURITé : FEEDBACK
ESSENTIEL
LuxTrust joue un rôle important dans la
sensibilisation à la sécurité. «La sécurité est
un sujet peu palpable», dit Pierre Zimmer.
«Le travail de sensibilisation est complexe.
Les défis principaux se situent au niveau des
utilisateurs finaux qui n’ont souvent pas de
connaissance suffisante pour sécuriser correctement
leur PC.» Or, l’e-commerce doit
pouvoir proposer une solution maîtrisée.
30 AVRIL 08

BUSINESS DECISION MAKER
PLATEFORME
INTERNATIONALE
De manière générale, la tendance chez les
fournisseurs d’applications est de renforcer
la sécurité chez les end users, notamment
en ce qui concerne les risques inhérents à
l’e-banking.
«Une solution de sécurité ne peut jamais
prémunir les utilisateurs contre toute attaque,
mais il est indispensable d’avoir une
bonne base pour pouvoir ajouter, le moment
venu, d’autres types de protections contre
de nouvelles attaques», dit Pierre Zimmer.
LuxTrust a mis en place et gère une infrastructure
Helpdesk, à même d’informer les
utilisateurs de ses produits et services.
Le site internet (www.luxtrust.lu) centralise
les relations avec les utilisateurs, afin de recueillir
leur feedback via l’utilisation de FAQ
régulièrement mises à jour.
LuxTrust a une vocation internationale depuis
sa création. La société offre ainsi des
certificats SSL et des certificats Objet répondant
à des standards internationaux et qui
permettent d’identifier des serveurs ou des
sites Internet, ainsi que des applications ou
des logiciels en ligne, envers des tiers.
LuxTrust développe aussi des solutions sur
mesure, basées sur les spécifications fournies
par les clients. Par exemple, LuxTrust
fournit la technologie utilisée pour l’émission
des nouveaux passeports biométriques,
munis d’une puce électronique sur lesquelles
les données du détenteur sont stockées.
«On constate que certaines entreprises
étrangères, établies dans la reconnaissance
par biométrie, veulent venir au Luxembourg
pour proposer des partenariats à LuxTrust»,
dit Raymond Faber.
De plus, grâce à la mise en place de l’infrastructure
à clé publique de LuxTrust S.A.,
les entreprises ont la possibilité d’implémenter
leurs propres solutions SSO (Single
Sign-On) correspondant exactement à leurs
besoins. Ainsi, dès à présent, LuxTrust permet
une utilisation sécurisée de la nouvelle
application «PLDA - paperless douanes et
accises» de l’Administration des Douanes et
Accises, de procéder à la déclaration eTVA
de l’Administration de l’Enregistrement, enfin
d’accéder à Multiline ou de bientôt pouvoir
procéder au dépôt électronique auprès
du Registre de Commerce et des Sociétés.
AVRIL 08 31

BUSINESS DECISION MAKER
le grand dossier
Sécurité
Warning :
comportements
à risques
CASES, projet d’envergure nationale pour la sensibilisation à la
sécurité, mis en place par le ministère de l’Economie, est un des
pions majeurs d’un réseau international de veille et de protection
contre les hackers.
La sécurité est souvent ‘vendue’ comme un défi technique. Or, la technologie
est une aide mais ne résout souvent pas le problème de fond. Le grand défi
en matière de sécurité est comportemental, et non technique : il faut changer
les habitudes. Certains utilisateurs sont plus regardants quant au type de programmes
installés, d’autres cliquent vite sur les popups sans réellement les
lire… or les trojans, ou chevaux de Troie, utilisent souvent ce genre d’astuce
pour s’installer sur les postes de travail.
CASES, ou Cyberworld Awareness Security
Enhancement Structure, est destiné à la
transmission d’information sur la sécurité vers
les utilisateurs finaux, ainsi qu’au suivi real
time des menaces et des vulnérabilités. Le
public-cible de CASES est multiple: enfants
et citoyens, entreprises et administrations.
Les PME sont aussi une cible importante
des campagnes de sensibilisation car elles
ont recours aux managed security services,
à l’outsourcing, etc. Généralement, les plus
grandes entreprises mettent en place des
projets de sécurité suffisants pour se protéger
notamment de l’espionnage industriel.
«Souvent, les salariés au sein des PME nous
disent ‘il n’y a rien sur ma machine, que des
photos personnelles’, en omettant leurs documents
personnels, voire confidentiels comme
leurs déclarations d’impôts, explique François
Thill, Chargé de mission au ministère de l’Economie
et du Commerce extérieur. Les gens
doivent comprendre que ces données sont très
précieuses puisqu’elles peuvent être utilisées
pour des vols d’identité par exemple.» Selon
CASES, 45% des utilisateurs ont un antivirus ou
un firewall qui ne fonctionne pas correctement.
RéDUIRE LE FOSSé
Depuis quatre ans, le but de CASES est de
réduire la fracture numérique entre le pouvoir-faire
technologique et le savoir-faire
technologique. «Les connexions à large
bande ne sont pas remises en question car
elles sont devenues presque indispensables
aux échanges actuels, dit François Thill. Par
contre, leur sécurité n’est pas forcément
suffisante.» Pointée du doigt : l’usurpation
d’identité, via la collecte d’informations sur
la machine de l’utilisateur elle-même, ou
un autre moyen. L’urgence de la situation
est particulièrement palpable auprès de la
jeune génération d’adolescents, dont la vie
est baignée par l’utilisation de technologies.
Non formés aux risques et aux limites
qu’une telle promiscuité impose, ils utilisent
des chevaux de Troie sans en mesurer les
conséquences. Par exemple, les sites web
où l’on peut monter soi-même ses attaques
abondent… Les méthodes de sensibilisation
en matière de sécurité doivent être fine-tunées
sans arrêt, ou les utilisateurs se lassent
vite de ce genre de méthodes. «Tout le
monde s’expose sur internet via le chat ou
Facebook. Par contre, la sécurité ne fait pas
encore assez partie de notre culture», dit
François Thill.
32 AVRIL 08

François Thill, Chargé de mission
au ministère de l’Économie et du Commerce extérieur
SENSIBILISATION
INTELLIGENTE
S’inspirant des techniques de cyber criminalité,
CASES s’approprie les manières de
fonctionner des hackers, en reposant sur
un réseau de partage de connaissances.
Les nouvelles tendances du hacking selon
CASES sont les malwares qui visent à l’usurpation
d’identité, les blended threats de
trojans et virus, l’espionnage industriel chez
les PME, la disparition progressive des virus
destructeurs et enfin, la professionnalisation
des réseaux de cyber crime… Pour publier
et diffuser ces informations, ainsi qu’un glossaire,
CASES utilise la newsletter et le site
cases.lu. La newsletter cherche à promouvoir
une culture simple via une utilisation ludique,
pour éviter de faire peur ou de créer
une paranoïa. «Certains enfants utilisent le
super bluetooth, un outil venu de l’est qui
permet de craquer la sécurité des téléphones
mobiles, déclare François Thill. Si les
enfants ont de tels outils à leur disposition,
que dire des pirates professionnels ?»
CASES permet aussi de réagir aux incidents,
collabore avec la police grand-ducale pour
la répression et enfin, agit au niveau de la
normalisation. CASES est ainsi partenaire de
l’OLAS (Office Luxembourgeois d’Accréditation
et de Surveillance), du SIGI (Syndicat
Intercommunal de la Gestion Informatique),
du CERT (Computer Emergency Response
Team) gouvernemental, et suit de près la
volonté de l’ABBL de mettre en place un LERS
(local emergency response structure). Enfin,
au niveau international, CASES coopère depuis
plusieurs années de manière étroite avec
la Suisse, la France et la Belgique car il existe
différents types de malwares en fonction des
types de réseaux, d’un pays à l’autre.
AVRIL 08 33

Technical Development Manager
le grand dossier
Sécurité
//// Auprès de
Luxtrust ////
Au Luxembourg, SecurIT est
actif dans le projet LuxTrust via le
développement d’une plateforme
de validation des smartcards et
des certificats sur Trustbuilder.
Contrairement aux certificats
dont le contrôle est effectué via
la signature donnée par LuxTrust,
les smartcards sont vérifiées sur
des listes noires, soit online via
un protocole de standardisation
défini par LuxTrust, soit offline en
téléchargeant des listes mises à
jour régulièrement. «Tout dépend
du degré de sécurité voulu et de
l’importance de la transaction,
dit Marc Vanmaele. Or, parfois la
connexion elle-même fait défaut.
Une institution financière peut-elle
refuser de valider la demande si
elle ne peut accéder aux données
désirées ?»
Je danse le IAM
À la différence des firewalls et des antivirus, les solutions Identity
and Access Management peuvent contribuer directement à
l’amélioration du business.
Créée en 1999, la société SecurIT, développeur de logiciels et intégrateur de
solutions dans l’IAM d’IBM, s’est concentrée sur un domaine encore neuf de
la sécurité : l’Identity and Access Management. «Au lieu de nous concentrer
sur ‘keeping the bad guys out’, on a préféré l’approche ‘let the good guys in’»,
résume Marc Vanmaele, CEO de SecurIT.
L’IAM est de plus en plus important dans
le secteur de la sécurité en raison de réglementations
plus contraignantes comme
SOX (Sarbanes-Oxley) et Bâle II. L’IAM est
une approche intéressante pour développer
plus rapidement les capacités du business,
tout en consolidant les accès aux données.
L’avantage majeur de la gestion d’identité
est de pouvoir restructurer la façon dont
les entreprises traitent leurs accès, en
interne comme en externe. L’administration
des différentes plateformes (ERP, Windows,
mainframe…) est peu souvent centralisée
au même endroit. Or, il faut pouvoir simplifier
le traitement des départs et arrivées des
utilisateurs, ainsi que leurs éventuels changements
de fonction.
«L’user provisioning passe par donner
aux utilisateurs les outils nécessaires pour
accéder, de manière évolutive et instinctive,
aux ressources dont ils ont besoin, dit
Marc Vanmaele. De plus, la centralisation
des processus d’accès va de pair avec
leur automatisation. La catégorisation des
personnes se fait dans le Role Management.
C’est cette catégorisation des utilisateurs
a priori qui permet l’automatisation, pour
un meilleur contrôle des accès. Les clients
réfléchissent à leur sécurité aussi pour avoir
plus de consistance entre leurs systèmes.»
PAS À PAS
SecurIT, intégrateur de système totalement
investi dans le domaine de l’IAM, dispose
d’une expertise dans la gestion des projets
complexes tant du point de vue technique
et technologique. «Nous changeons les
rapports de pouvoir au sein des entreprises,
ce qui n’est pas à négliger», rappelle
Marc Vanmaele. À partir des solutions d’IBM
Tivoli Security, Secure IT a développé trois
produits principaux : Role Manager, D-man
et Trustbuilder. «L’Identity Management est
essentiel dans la gestion des infrastructures
eBusiness, car toute l’information est canalisée
via cette plateforme», dit Marc Vanmaele. Une
fois l’infrastructure ouverte à des utilisateurs
externes, la sécurité doit être monitorée différemment,
pour assurer une disponibilité à
100%. Dans ce secteur, D-man est une solution
de monitoring qui permet de gérer la complexité
entre différents composants. Le D-man fonctionne
comme un gatekeeper, afin de pouvoir
accéder aux registres, au serveur web, aux
applications, ainsi qu’aux composants firewall.
Enfin, Trustbuilder permet de répondre aux
besoins d’authentification et d’autorisation.
Trustbuilder peut supporter tout type d’authentification,
comme le token, même en dehors
des plateformes IBM. Trustbuilder est bâti sur
des standards ouverts, tels XML et XSL, et est
souvent utilisé dans le monde Java. Trustbuilder
est capable de supporter un système élaboré
avec une forte redondance, afin de gérer un
million de logs par jour.
34 AVRIL 08

Who needs expensive, proprietary virtualization software when, hey, you can get it free with open source Solaris.
© 2007 Sun Microsystems, Inc. All rights reserved. All logos and trademarks are property of their respective owners.

BUSINESS DECISION MAKER
LE GRAND DoSSIER
Sécurité
Global State
of IT Security
Les entreprises du monde entier investissent dans les
infrastructures informatiques, mais restent à la traîne en matière
de mise en œuvre, d’évaluation et d’examen des politiques
liées à la sécurité et à la confi dentialité des informations
transmises. Voici l’une des conclusions d’une étude
PricewaterhouseCoopers avec les magazines CIO et CSO.
La majorité des entreprises disposent d’un directeur de la Sécurité
informatique (dSi) ou d’un RSSi (soit 60% en 2007 contre 43% en 2006) et
d’une politique de sécurité (57% contre 37% y-o-y). et si elles ont réalisé
d’importants investissements dans les dispositifs tels que les pare-feux
(88%), la sauvegarde des données (82%), les mots de passe utilisateurs (80%)
et les logiciels de type anti-Spyware (80%), le temps consacré à la mise en
œuvre de mesures concrètes reste très limité. Preuve en est : une majorité
d’entreprises déclarent ne jamais se soumettre à un audit ou ne jamais
surveiller le respect des politiques de sécurité.
Par Philippe Pierre,
Associé, PricewaterhouseCoopers Luxembourg
La Global State of Information Security Survey 2007
est disponible sur www.pwc.com/giss2007
l’informatique
montre la voie
Fort de ces conclusions, il ne fait aucun
doute que, dans les années à venir, l’amélioration
des procédures internes de sécurité et
l’alignement des dépenses liées à la sécurité
sur les objectifs économiques incomberont
à la Direction informatique. La tendance
a d’ailleurs été amorcée : les résultats de
l’enquête1 montrent que la majorité (65%)
des budgets dédiés à la sécurité informatique
proviennent désormais directement du
service informatique, contre seulement
48% en 2006. Parallèlement on constate
une diminution des budgets consacrés
par les autres départements à la sécurité
informatique, notamment les budgets des
départements Compliance (9% en 2007
contre 18% en 2006), Finance (15% en
2007 contre 19% en 2006) et ceux d’autres
secteurs d’activité (4% en 2007 contre 18%
en 2006).
un manque
d’adéquation
on note également qu’à l’heure actuelle, il
existe un décalage entre les dépenses en matière
de sécurité et les objectifs commerciaux
tels qu’ils sont perçus dans les entreprises.
Enfi n, même si le respect de la réglementation
semble avoir donné lieu à une augmentation
importante des dépenses de sécurité, le lien
entre sécurité – que ce soit par l’intermédiaire
de la structure de l’organisation ou par
le biais de la politique en matière de sécurité
- et confi dentialité des informations et/ou
respect de la réglementation reste diffi cile à
établir au sein des structures concernées.
De plus, les CEo, CIo et CISo ne sont pas
d’accord quant aux priorités à établir et aux
dépenses à effectuer dans ce domaine. Ainsi,
pour ce qui est des dépenses, les CEo et
les CIo accordent la priorité à la planifi cation
de la continuité des affaires et aux plans de
secours en cas de sinistre, alors que les CISo
privilégient le respect de la réglementation.
36 AVRIL 08

BUSINESS DECISION MAKER
La source de
défaillance : les
employés
Autre fait marquant : 69% des employés
et anciens employés sont la source la plus
probable d’atteintes à la sécurité, devant
les pirates informatiques (41%). Ce premier
chiffre est en nette augmentation, puisqu’en
2005, à peine 33% des personnes interrogées
estimaient que les employés représentaient
un risque en matière de sécurité informatique
(contre 63% pour les pirates informatiques).
Ces atteintes prennent principalement la
forme d’e-mails et de détournements de
comptes utilisateurs. Pourtant, à peine la
moitié (52%) utilisent des dispositifs de
sécurité informatique directement liés aux
personnes. De simples précautions telles que
le contrôle des antécédents des employés,
le contrôle de l’utilisation qu’ils font d’Internet
et des données de la société et la mise en
œuvre de programmes de sensibilisation aux
procédures et politiques internes restent peu
répandues. En outre, la majorité des personnes
interrogées ne disposent toujours pas
d’une stratégie de gestion de l’identité.
Ainsi, tout porte à croire que pour la première
fois, les salariés sont la première source de
faiblesses potentielles dans les politiques de
sécurité des informations. Une faiblesse qui
pourra se résoudre par une sensibili sation
et un programme de formation adéquat en
interne ainsi que par la mise en œuvre de
dispositifs de sécurité plus performants et
adaptés.
////////////////////////////////////////////////////////////////////////////////////////////
Le SSO, une solution mobile…
Avencis, fournisseur de solution Single Sign-On, propose une solution d’auto-dépannage
pour minimiser les conséquences en cas de problème d’accès.
Lorsqu’une entreprise déploie une solution de Single Sign-On (SSO), elle cherche à optimiser l’usage de ses ressources
et augmenter la productivité de ses équipes. Le SSO permet de s’authentifier une fois pour toutes. Les applications
vérifient, de manière transparente et via le SSO, que l’utilisateur ait bien les privilèges nécessaires pour accéder Dans
cette optique, Avencis, fournisseur de solutions de sécurité et d'authentification, a développé l’autodépannage pour
permettre de laisser une autonomie contrôlée aux utilisateurs afin, d’une part, de minimiser le temps pendant lequel ils
sont bloqués et, d’autre part, ne pas mobiliser des ressources comme les cellules de support qui peuvent être affectées
à des tâches plus complexes.
Par ailleurs, l’une des tendances actuelles
est de mutualiser l’usage des ressources
par le déploiement de serveurs d’applications
(AppliDis de Systancia, Citrix, TSE…).
En s’appuyant sur ces technologies, SSOX
propose des solutions spécifiques de mobilité,
qui permettent aux utilisateurs de passer
rapidement d’un poste à l’autre ou de gérer
plusieurs postes de travail. En particulier, le
mode kiosque associé à un serveur AppliDis
permet à un utilisateur de bénéficier de l’itinérance
complète d’applications, virtuellement
sans aucune rupture de son activité car une
session ouverte sur un poste «suit» l’utilisateur
de poste en poste. SSOX est une solution
ouverte aux standards de l’industrie, ce
qui permet notamment d’agréger des outils
déjà en place dans l’entreprise (comme les
solutions de mots de passe dynamiques
– OTP). La solution est évolutive car elle peut
être déployée par phases et par périmètres
concentriques, en termes de nombre d’utilisateurs,
de technologies d’authentification
et de couverture fonctionnelle.
AVRIL 08 37

Technical Development Manager
le grand dossier
Sécurité
Jeu, set et patch
Après huit ans de tests d’intrusion et la mise en place de
nombreuses infrastructures sécurité, Telindus constate que les
entreprises luxembourgeoises sont généralement bien protégées
contre les agressions externes.
Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux
systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Selon
Telindus, citant Gartner, 80 % des entreprises subiront des attaques au niveau
applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par
l’intégrateur vont dans le même sens : les risques sont moindres de voir les
menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité
de ses clients, Telindus place les priorités à deux niveaux : les individus et les
applications.
«Chaque employé constitue une brique dans
le bouclier contre les hackers», explique
Daniel Soriano, Sales Department Manager,
Consulting & Engineering Services chez
Telindus. «Les entreprises veulent utiliser
des solutions pour diminuer le risque posé
par le facteur humain, explique Jean-Pierre
Henderyckx, Department Manager, Network
& Security Solutions, Consulting & Sales chez
Telindus. Il faut agir en amont du réseau pour
protéger correctement les outils et scanner
le matériel avant de l’intégrer au système
interne. Nous devons, progressivement,
mettre ensemble les Unified Communications
et la sécurité.»
TESTS ET DéTECTIONS
BOOSTéS
«Au niveau des applications, parfois, la
fonctionnalité de l’application prime sur les
contrôles sécurité implémentés, explique
Daniel Soriano. De nouvelles techniques permettent
aujourd’hui d’analyser entièrement,
d’un point de vue sécurité, le code source
de ces applications, afin de détecter les menaces
présentes.» Il est tout aussi probable
de détecter des erreurs de programmation
(bugs permettant un buffer overflow,…) que
des menaces plus ou moins volontaires
(chevaux de Troie, backdoors,…). «La revue
de code sécurisé présente un bon complément
au test d’intrusion, explique Daniel
Soriano. Elle peut être lancée alors que le
développement n’est pas encore finalisé et
mettre en évidence des éléments imperceptibles
de l’extérieur.» La CSSF préconise
que les sites web transactionnels soient testés
après chaque mise à jour majeure. «Par
rapport à la norme ISO/IEC 27001:2005, le
Luxembourg est un peu en retard par rapport
à d’autres pays, dit Daniel Soriano. À
l’heure actuelle, une seule entreprise est
certifiée ISO 27001… alors que plus de 200
entreprises ont décroché l’ISO 9000, qui
date, il est vrai, de 1987.»
PATCHER «à LA VOLéE»
Enfin, la multiplicité et la diversité des applications
présentes dans les environnements
physiques et virtuels rendent difficile, voir
impossible, l’application de la totalité des
patchs sécurité proposés par les éditeurs.
«Il existe des solutions innovantes IPP (Inline
Patch Proxy) permettant de patcher les flux
‘à la volée’ et donc de pouvoir consolider les
fenêtres de maintenance sur des cycles plus
espacés», indique Jean-Pierre Henderyckx.
38 AVRIL 08

Daniel Soriano, Sales Department Manager
Consulting & Engineering Services chez Telindus
AVRIL 08 39

Technical Development Manager
le grand dossier
Sécurité
ISO : lifting sous contrôle
Considérée souvent à tort comme allant de soi, voire sans intérêt
et, surtout, coûteuse, la sécurité informatique prend un coup de
jeune sous l’effet d’une normalisation strictement encadrée.
La conclusion est connue depuis plus de 2500 ans : «L'épaisseur d'un rempart
compte moins que la volonté de le défendre», selon Thucydide, l'auteur
de la Guerre du Péloponnèse. De l’avis unanime de la profession, la sécurité
informatique est l’activité la moins exaltante qu’il puisse exister. Cette pratique
a bien évolué récemment pour suivre, comme bien d’autres, la voie de
la normalisation. Tendance nouvelle, la normalisation souligne l’implication du
management et de l’ensemble des acteurs des organisations qui décident de
s’approprier le sujet.
Une nouvelle approche a été établie à l’initiative
de l’International Organization for Standardization
(ISO) au travers de la famille de
normes ISO 2700x, qui ont succédé à celles
de 1995 de la British Standards Institution.
L’automne 2005 a vu naître la norme ISO/
IEC 27001:2005. Cette norme est en fait un
document traitant des Systèmes de Management
de la Sécurité Informatique (SMSI).
En annexe A de la norme sont énumérées
133 mesures de sécurité. Ces mesures
sont toutes obligatoires, toutefois la norme
envisage la possibilité d’écarter certains
contrôles et autorise l’extension des mesures.
L’ISO a ainsi pris soin de laisser la porte
ouverte à une certification facultative.
ALLO L’OLAS
Il existe un organisme accréditeur (l’OLAS
à Luxembourg) unique dans chaque pays,
lequel accrédite des organismes en vue
de pouvoir certifier d’autres organisations.
Ces certifications, limitées dans le temps,
ont un poids identique pour tout pays : une
organisation certifiée au Canada est à même
de certifier un organisme au Grand-Duché.
De même, il existe des auditeurs certifiés
par ces organismes, capables d’effectuer
des missions de contrôle (certification ISO
27001 Lead Auditor).
Un cadre normatif de la sécurité informatique
apporte une sécurité accrue par son cycle
d’amélioration continue, une gestion davantage
maîtrisée des risques, une harmonisation
par la création d’un langage commun,
une approche commune de l’audit, ainsi
que la rationalisation des contrôles et donc
les économies résultantes. La norme est
d’un intérêt majeur pour Luxembourg et en
particulier pour les professionnels du secteur
financier qui se doivent d’agir comme l’imposent
la circulaire CSSF 05/178 et la loi Mifid.
CLIMAT CONFIANT
La norme décrit un certain nombre d’exigences
en vue de mettre en place, d’exploiter et
d’améliorer un SMSI (qui se doit d’être documenté)
et donc in fine d’établir des mesures
adaptées à l’organisation concernée en vue
de protéger ses actifs (assets) et par conséquence
d’établir un climat de confiance pour
toutes les parties prenantes (stakeholders).
Cependant, la norme n’impose pas que
l’établissement d’un SMSI vise également
à conserver et à faire évoluer certains intérêts
stratégiques de l’organisation, tels sa
profitabilité ou bien son image de marque. Si
ces finalités ne sont pas exigées, elles sont
certainement une des heureuses conséquences
de la mise en place d’un SMSI.
Le système de management
doit établir une
politique de sécurité
validée et supportée par
le management, mise en
place par des mesures
techniques et organisationnelles
ainsi que définir des
objectifs, les atteindre, les
maintenir et surtout pouvoir
les améliorer (et donc pouvoir
faire l’objet d’audits réguliers).
Le cœur de la norme exige
la mise en place d’un modèle
d’activités du type cycle de
Deming, illustré par l’approche
Plan-Do-Check-Act bien connue
des spécialistes de la qualité. Au
final, l’implémentation de la norme
ISO 27001:2005 donne une forme
raisonnable de confiance, synonyme
d’un possible accroissement
du business.
40 AVRIL 08

Technical Development Manager
Christophe Burtin, Independent Information Technology
and Services Professional à Luxembourg
AVRIL 08 41

Technical Development Manager
le grand dossier
Sécurité
Sécurité : au revoir
le maillon faible…
La stratégie de sécurité doit être calquée sur la stratégie globale
de l’entreprise, selon Sogeti. L’expérience de l’utilisateur inspire
les politiques de sécurité réussies.
Souvent, le collaborateur est un risque latent pour l’entreprise… un maillon fort
ou un maillon faible. «Les entreprises ne réfléchissent pas assez à leur gestion
de personnel, explique Jérôme Jacob, expert sécurité chez Sogeti. Les menaces
ne sont maîtrisées que quand la sécurité prend en compte tous les aspects
qui concernent les utilisateurs.»
En fait, la vulnérabilité peut cohabiter avec la
menace sans causer de dommages. Le tout
est d’adapter le niveau de prévention aux besoins
de l’entreprise. «Quand on démarre un
projet sécurité et qu’on arrive avec ses grosses
valises, les utilisateurs pensent ‘oh non,
pas eux’, explique Jérôme Jacob. Pour faire
adhérer les utilisateurs, il faut qu’ils soient au
centre du projet.» Et le rôle du responsable
de la sécurité (RSSI) est tant relationnel que
technique. «On s’appuie sur l’expérience
des gens pour établir un état d’esprit», dit
Jérôme Jacob. Après avoir défini la meilleure
approche et «périmétré» ce qui doit être protégé,
les politiques sont traduites en gestes
quotidiens pour les utilisateurs. «Le suivi des
procédures est assuré par un quizz qui sert
aussi de feedback à l’incident manager»,
explique Jérôme Jacob.
PREVENTION
OU DÉTECTION ?
Le métier de RSSI est encore souvent un
métier de l’ombre, dont les utilisateurs ne
perçoivent la portée qu’en cas de problème.
Or, le RSSI a un rôle essentiel de veille. «Il
faut sans cesse améliorer ses connaissances
et sa réactivité, faire du benchmarking pour
suivre l’évolution des menaces, profiter de
l’expertise d’un réseau comme le Clussil,
explique Jérôme Jacob. Beaucoup de gens
font encore dans la détection et pas assez
dans la prévention.» Un métier ingrat ? «Tous
les jours, il y a de nouvelles menaces, et
tous les jours, un utilisateur peste contre
une nouvelle politique, dit Jérôme Jacob.
L’important est donc de gérer le changement
permanent tout en correspondant aux
investissements, souvent importants,
réalisés dans le domaine de la sécurité.»
Depuis 2001, les grandes entreprises ont
en effet investi beaucoup plus, créant un
mouvement général d’ «ultra-sécurité».
INACCESSIBLE
RISQUE ZÉRO
L’audit est devenu central pour gérer une
politique de sécurité efficace, par exemple
via la norme ISO 27.001 comme «un fil à
suivre pour évaluer le niveau de vulnérabilité»,
explique Jérôme Jacob. Le Business
Impact Analysis (BIA) permet d’assurer la
continuité du business en mettant chaque
élément sous contrôle et en le mesurant.
«On ne peut pas faire de la sécurité informatique
sans analyse et sans BIA, qui sont de
bonnes bases pour la suite», estime Jérôme
Jacob. Et la suite implique de savoir gérer
les sensibilités humaines, dont les accès…
La réactivité des utilisateurs, de même que
leur sensibilisation au secret, deviennent
essentielles par rapport au «mal nécessaire»
qu’est la sécurité.
42 AVRIL 08

Jérôme Jacob,
expert sécurité chez Sogeti
AVRIL 08 43

Technical Development Manager
le grand dossier
Sécurité
La sécurité devient
mature
La traçabilité des accès est essentielle pour l’audit en regard
des conformités mais se révèle de plus en plus complexe,
sans centralisation de l’information.
En plus de ses solutions d’Identity et d’Access Management (IAM), IBM
propose Tivoli Compliance Insight Manager (TCIM), acquis via la société
Consul. TCIM permet de surveiller l’activité des utilisateurs sur le système,
notamment via la solution SEM (Security Event Manager). Une fois qu’un
utilisateur externe ou un consultant (notamment en cas d’externalisation de
certains services) est sur le système, ces personnes qui font plus ou moins
partie du réseau doivent être identifiées. «Il y a encore beaucoup d’impunité
car le comportement des utilisateurs n’est pas assez surveillé, explique
Michael Cable, Tivoli Security Audit & Compliance Sales Leader chez IBM.
Neuf incidents internes sur 10 sont commis par des utilisateurs privilégiés.
Il suffirait donc de mieux surveiller les 10% restants pour diviser par 10 le
nombre des attaques.»
D’abord, il importe d’avoir sous contrôle ce
qui se passe dans l’entreprise via la gestion
des logs, qui permet de tracer l’historique des
activités des utilisateurs et de le comparer
ensuite avec les politiques de sécurité
en vigueur. L’idéal est que les langages
des données soient les plus semblables
possibles et correspondent donc à des
normes. «Le grand avantage de Consul est
que le langage n’est pas technique mais
rédigé en W7 : who, did what, when, where,
from where, how, and why, explique Michael
Cable. Tous les rapports tirés de l’analyse des
données sont mis dans un langage unique,
compréhensible par le business et l’audit.»
Comme par exemple, la comparaison avec
les règles émises par la CSSF, SOX, les
normes ISO, CobiT, PKI…
APRèS LES VIRUS…
Si les auditeurs et le business s’accordent à
réduire les incidents, le plus difficile demeure
la définition du niveau d’accès des utilisateurs,
qui ne peut en aucun cas les empêcher… de
travailler. En plus de gérer la traçabilité, l’outil
doit pouvoir aussi déterminer si l’usage des
données est approprié. «On a rajouté de l’intelligence
dans TCIM, dit Michael Cable. Les
utilisateurs de la solution peuvent déterminer
la cause de l’incident et prendre les mesures
pour qu’il ne se produise plus. TCIM les
assiste dans le processus de détection et
d’investigation.» Par exemple, un utilisateur
dont les logs successifs sur un programme
spécifique ont été ensuite suivis par un «clear
log», peut devenir un suspect aux yeux de
l’audit. «En cas de doute, la spreadsheet
peut être imprimée et apportée au manager
pour analyse», dit Michael Cable. Pour éviter
la fraude, TCIM peut être fine-tunée sur les
applications choisies par le business. «L’époque
des virus destructeurs est révolue, estime
Michael Cable. Il faut des solutions précises
pour répondre à des attaques ciblées.»
LE RISQUE, AU QUOTIDIEN
«Certaines sociétés ont atteint le niveau
où l’information importante est transmise
aux auditeurs en temps réel, comme
le veut la norme Bâle II, explique Pierre
Noël, Worldwide Risk Management &
Information Security Evangelist chez IBM.
Le niveau suivant voit la sécurité divisée
en deux parties. D’un côté, l’informatique
pure, et de l’autre, ceux qui regardent ce
qui se passe en termes d’incidents,…
La sécurité fait de plus en plus partie du
quotidien de ces personnes, qui gèrent
le risque opérationnel. Au Luxembourg,
la plupart des sociétés financières ont
l’approche adéquate, même si souvent,
les RSSI ne possèdent pas tous les outils
nécessaires pour collecter les informations.
Par exemple, leur connaissance du nombre
d’incidents à un temps t est mauvaise.
Or, ces informations sont déterminantes
pour le CFO, le CIO, voire le conseil
d’administration. La sécurité va être le
reflet des nouveaux besoins de l’entreprise,
traduits en politiques claires.»
44 AVRIL 08

Et si notre ouverture multiculturelle
permettait à votre entreprise de s’épanouir à l’international ?
Établi depuis 30 ans sur les principaux
marchés d’Europe, Logica
prend en compte votre ancrage
national et vos caractéristiques
multiculturelles pour vous accompagner
dans vos projets d’expansion internationaux.
Logica, des racines européennes, 39 000
consultants et ingénieurs dans le monde.
www.logica.com/france
UNILOG
devient
LOGICA
CONSEIL - INTÉGRATION DE SYSTÈMES - OUTSOURCING
*libérer votre potentiel

BUSINESS DECISION MAKER
le grand dossier
Sécurité
World Wide Security
Avec son expérience en consulting, en outsourcing, et en
intégration de systèmes et de technologies, Accenture dispose
d’une approche globale de la sécurité. La performance business
doit prendre en compte des contraintes techniques mais surtout
80% de compétences organisationnelles…
«Il y a une demande émergente au Luxembourg pour l’IAM, dit Karim Leziar,
Manager, System Integration & Technology chez Accenture. Les entreprises
sont poussées à adopter un IAM pour être conformes, et cela suppose
une restructuration importante.» La problématique commence tôt pour
l’entreprise : définir les rôles et aligner les processus des besoins internes. Un
projet IAM peut ainsi passer par une restructuration des processus business,
telle la mise en place d’une SOA (architecture orientée services). La gestion
des identités et des accès vient derrière la SOA pour gérer les ressources
auxquelles les applications ont accès. «L’IAM s’inscrit dans le concept de SOA,
explique Philippe Bovy, Senior Manager, Systems Integration & Consulting
chez Accenture. Si le projet est mal géré, les accès seront mal gérés.
Il faut une solution robuste.»
MADE IN INDIA
VISION D’ENSEMBLE
Accenture accompagne, conseille et suit
le client dans l’implémentation du projet,
ce qui permet de définir un ROI clair et
s’appuyer sur des ressources étendues.
Les compétences sont donc aussi fournies
via le canal de l’outsourcing : il y a six mois,
le nombre d’employés indiens d’Accenture a
dépassé le nombre d’employés américains,
atteignant aujourd’hui 47.000 personnes.
«Ces ressources peuvent aider à mettre en
œuvre un projet de manière rapide et faire
du testing, explique Philippe Bovy. La mise
en place d’un projet de gestion des identités
et des accès révèle les failles d’autres
processus. Un projet business peut être
mis en attente le temps de définir les
priorités… mais les contraintes de temps
poussent à régler le problème rapidement.»
À l’heure actuelle, Accenture dispose en Inde
d’un «pool» de 120 personnes entièrement
dédiées à la sécurité, en plus de 250
spécialistes basés en Europe.
Accenture veut aussi apporter son expertise
au niveau de la structuration des projets
d’IAM. «Trop souvent, l’IAM demeure
focalisé sur les contraintes technologiques,
avec le business qui n’intervient qu’à la
fin, explique Philippe Bovy. Les rôles et les
profils des utilisateurs sont définis trop tard.
Il faut du recul pour comprendre le business
et avoir les différents leviers en main pour
adapter la technique à ce que les managers
souhaitent.» Cette approche «holistique»
permet aussi de faire le lien avec d’autres
projets en cours. De nouvelles applications
appellent de nouvelles fonctionnalités et de
nouvelles ressources. «Par exemple, les projets
de PC banking doivent être alliés, à coup sûr,
aux projets d’IAM», explique Karim Leziar.
«Pour les banques par exemple, l’IAM n’est
pas le seul levier au niveau de la sécurité,
explique Philippe Bovy. La segmentation
des réseaux résulte en des accès plus restreints
pour les utilisateurs.» La gestion des
accès pousse à définir les priorités. «L’IAM
a amené plus d’expertise, ou révélé d’autres
expertises dans d’autres domaines», estime
Karim Leziar. C’est pourquoi la sécurité ne
peut s’envisager sans prendre en compte
le business dans son ensemble. «En faisant
un inventaire des assets, on a découvert
que 80% des utilisateurs n’ont besoin que
d’un nombre réduit d’applications, dit Philippe
Bovy. On a donc simplifié leurs accès
pour diminuer les risques de mégardes,
volontaires ou non. Cela permet d’améliorer
le contexte global au niveau de l’entreprise.
Le core design d’une solution d’IAM, c’est
une cascade d’informations.»
46 AVRIL 08

Technical Development Manager
Alerting : faire «tilt»
En cas de catastrophe naturelle ou d’incendie, la communication entre les acteurs en temps réel est
de première importance. Qui va sur les lieux ? Avec quel matériel ? Autant de questions qui peuvent
être gérées de manière centralisée.
La solution Alarm Tilt de la société luxembourgeoise M-Plify structure les communications en cas de crise et ce, de
manière horizontale, afin que tous les acteurs soient tenus au courant, en même temps, de l’état d’avancement de la
réponse à la crise. «Ce n’est pas tant du unified messaging que du dispatching, explique Alex Alexandrino, Head of
Sales chez M-Plify. Nos clients sont très forts dans le développement de solutions IT mais pas dans le domaine des
Télécoms. Nous leur apportons cette plus-value.»
Dans le cas d’une crise liée à une catastrophe
comme une panne ou un incendie
par exemple, les utilisateurs doivent rester
en contact avec le RSSI (Responsable de
la Sécurité des Services d’Information). Des
messages courts mais explicites sont
envoyés à un groupe de personnes. En
fonction des critères définis avec M-Plify,
une seconde vague de messages est envoyée
pour faire le point de la situation
auprès des personnes alertées. Alarm Tilt
automatise les communications ; si les
personnes ne répondent pas, la solution
génère des appels en cascade, sur des
devices différents, via des moyens différents,
voire à des personnes différentes.
En six mois d’installation, notamment au
Centre Informatique de l’Etat, la solution
n’a jamais mis plus de 9 minutes à alerter
les bonnes personnes. Alarm Tilt Business
Continuity est connectée aux systèmes de
sécurité, qui combinent la sécurité à l’alerte,
dispatchée via la solution automatisée.
Alarm Tilt peut aussi servir de connectivity
as a service, déclenchant une alerte en cas
de problème de connexion.
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Vasco étend son offre
d’authentification
Vasco, fournisseur de programmes de sécurité et spécialisée en produits d'authentification forte,
développe de nouveaux produits pour le marché bancaire et adresse aussi d’autres secteurs.
Vasco est désormais capable d'offrir et supporter
toutes les technologies d'authentification
avec une offre de produits regroupant
des mots de passe dynamiques uniques
et signatures électroniques (OTP - la famille
de produits Digipass), les certificats / PKI
(produits USB, cartes à puces, etc), les technologies
de mots de passe (sessions Q&A,
listes TAN & Scratch, cartes Matrix, etc.) ou
la biométrie en fonction de l'évolution du
marché. Les clients pourront dès lors migrer
aisément d'une technologie d'authentification
Vasco à une autre. Le Digipass est un
élément d'authentification forte et de signature
électronique des utilisateurs, qui combine
un ensemble de fonctionnalités, sur une
large variété de plateformes. En termes de
logiciels, Vasco a développé un partenariat
de premier plan avec LuxTrust.
Parmi les solutions de Vasco, le Vacman
combine toutes les technologies d’authentification
sur une seule et même plateforme.
La suite de produits Vacman (le Controller
et le Middleware) facilite l'intégration des
Digipass d'authentification forte dans les
applications de sécurité. Ensuite, l’Identikey,
serveur d'authentification, combine
Vacman avec la totalité des fonctionnalités
de serveur. Enfin, Vasco dispose d’aXsGuard
Unified Threat Management, une appliance
d'authentification.
AVRIL 08 47

Technical Development Manager
le grand dossier
Sécurité
Un projet IAM
peut en cacher un autre
Gérer les accès, ok… et les identités ?
Combiner les deux approches permet de renforcer
la sécurité globale de l’entreprise, selon Sun.
Pour toute entreprise, et face à l’explosion du volume d’informations et
l’évolution des techniques de communications, la sécurité doit concerner
autant les aspects externes (réseaux, etc.) qu’internes (les utilisateurs
eux-mêmes). Que faire si un utilisateur quitte l’entreprise ou change de rôle
dans la structure ? Un auditeur devenu trader devrait-il continuer à bénéficier
des mêmes accès alors que son rôle a changé ?
Si l’Access Management fait bien partie
des politiques de sécurité, l’Identity
Management y est encore trop peu combiné.
«Bien souvent, l’IAM est vu comme une
solution unique, alors que gérer les accès
et les identités ne se fait pas de la même
manière, explique Sébastien Stormacq,
Senior Software Architect chez Sun Microsystems.
Souvent d’ailleurs, les projets
viennent de départements différents. D’un
côté, l’IT ou la sécurité de l’IT voudra mettre
en place une gestion des accès, afin de
cadrer avec la gestion des applications.
D’un autre côté, les ressources humaines,
l’audit ou le management mettront plus
l’accent sur la gestion des identités.»
«Les entreprises devraient vite voir les avantages
à combiner la gestion des identités
et des accès au sein d’un même projet.
Souvent, les impulsions viennent de départements
différents, et les projets prennent
parfois des chemins différents, dit Sébastien
Stormacq. Même les solutions peuvent être
de différents éditeurs. Mais le plus important
est que l’IT et l’audit se rapprochent, afin de
renforcer la sécurité globale de l’entreprise.»
Au niveau du provisioning par exemple, les
privilèges des utilisateurs sont souvent bien
définis lors de leur entrée dans l’entreprise.
Par contre, le de-provisioning, qui annule ou
redéfinit les accès des privilèges utilisateurs,
fait souvent défaut. «De nombreuses institutions
financières de la Place ont lancé des
projets IAM. Mais parfois, le de-provisioning
n’est pas en place, ce qui pose des risques
évidents en matière de sécurité.»
GÉRER L’HÉTÉROGÉNÉITÉ
Ainsi, mettre en place un projet de gestion
des identités n’est intéressant que si cela
permet de clarifier la gouvernance et de
mieux contrôler l’ensemble des systèmes.
«Quelqu’un doit être responsable du projet,
dit Sébastien Stormacq. On en revient
toujours aux problèmes (singulier ?) d’acceptation
par les utilisateurs. Pour simplifier la mise
en place de projets IAM, mieux vaut séparer
les rôles. Les applications et les politiques de
sécurité doivent être gérées par des personnes
différentes. Par exemple, le responsable de
la sécurité des systèmes d’information (RSSI)
doit pouvoir changer une politique de sécurité
dans l’Access Management sans l’aide du développeur.»
Cette approche permet également
de mettre en place des politiques de sécurité
plus souples. Avec la mise en place d’une
solution d’Access Management, les moyens
d’authentification (one-time password (OTP),
certificat, username,…) sont donc conservés
dans les mains du RSSI, qui peut aussi gérer
l’évolution de la solution sans devoir toucher
aux applications elles-mêmes.
Au final, cela dépend avant tout de la maturité
du système IT. «Les organisations qui
accumulent progressivement des centaines
d’applications se retrouvent avec un univers
IT fait de silos hétérogènes, avec leur liste
d’accréditation, leurs mots de passe et leur
sécurité, dit Sébastien Stormacq. Les administrateurs
doivent alors créer des comptes
différents pour, par exemple, Windows,
le mainframe, l’email,… Imaginez devoir effacer
17 comptes lors du départ d’un utilisateur,
simplement car la gestion n’est pas
centralisée !»
S’ADAPTER À L’EXISTANT
L’IAM ajoute une «couche transversale» de
sécurité sur l’ensemble des produits chez
Sun. Pour l’Access Management, Sun propose
une solution de Single Sign-On open
source. «Le SSO permet surtout de rendre
la vie de l’utilisateur plus simple, explique
Sébastien Sormacq. Les applications vérifient
l’accès une fois pour toutes, le mot
de passe est unique et donc plus simple à
retenir. Cela renforce aussi la sécurité et allègent
le volume des données à stocker.»
48 AVRIL 08

Technical Development Manager
Un end-point c’est tout
Des devices mal protégés ? La mobilité implique beaucoup de
risques mais est devenue essentielle à de nombreux business.
L’end-point security est l’une des solutions.
Symantec a présenté ses solutions
lors de la conférence sur la sécurité
organisée par ITnews
slides : info@itnews.lu
Symantec focalise ses solutions end-point sur la haute disponibilité de
l’information. Or, le périmètre à protéger n’est plus limité à l’informatique
mais aux personnes elles-mêmes. Le volume de l’information a explosé, le
risque est donc de voir ces données sortir de l’entreprise. Tout cela remet en
question l’approche des entreprises par rapport aux risques qu’elles prennent.
Wouter Mariën, Country Manager
de Symantec Belux
«La sécurité a atteint un niveau supérieur, explique
Wouter Mariën, Country Pre-Sales Manager
Benelux chez Symantec. Auparavant,
on éliminait tout risque. A présent, cette sécurité
2.0 permet d’équilibrer le risque et l’opportunité.
Si le business vient avec un nouveau
projet, il ne s’agit plus de refuser, il faut trouver
un compromis.» La sécurité fait de plus en plus
partie des processus business et implique de
l’automatisation et de la standardisation. De
manière générale, la sécurité évolue vers l’endpoint
security pour éviter la fuite d’informations
sensibles. «Il ne s’agit pas tant de se focaliser
sur le poste de travail de l’utilisateur que sur l’information
elle-même», estime Wouter Mariën.
SOLUTION ALL-IN-ONE
L’Enterprise Security Management and
Compliance Suite aide à mesurer le contrôle
technique, les serveurs… A partir de ce
cœur de compétences, la solution est adaptable
aux besoins de l’entreprise. La vision
de Symantec de la sécurité est d’intégrer le
plus de technologies possible dans un seul
security client. La solution tout en un comprend
l’antivirus, l’antispyware, le device
control (pour bluetooth ou USB),… La sécurité
peut ainsi se concentrer sur la base de
données, pour en définir et surveiller les flux.
Par exemple, une vingtaine de numéros de
cartes de crédit qui sortent en même temps
: est-ce normal? Les solutions de Symantec
en la matière intègrent de l’intelligence
: captage de ce qui se passe, nature des
malwares, des attaques,… La mise à jour se
fait en temps quasi réel, les failles de sécurité
sont contrôlées de manière automatique.
Le module permet de garder la main sur le
cycle de vie du document et de faire du full
back-up chaque semaine. Enfin, début avril,
Symantec a lancé un module d’encryption
du disque dur. En cas de perte ou de vol, les
risques sont donc minimisés…
AVRIL 08 49

Technical Development Manager
le grand dossier
Sécurité
L’IAM, pierre angulaire
Le Luxembourg a mis en place une structure légale contraignante
en termes de sécurité et notamment concernant l’Identity and
Access Management. Analyse par Zeropiu.
Zeropiu est une entreprise d’origine italienne qui déeveloppe depuis 1999
des projets de gestion d’accès et d’identité. Pour faire face aux besoins grandissants
des utilisateurs, Zeropiu s’est lancé avec la suite IAM de Netegrity
(maintenant CA) et travaille également avec les produits majeurs du marché
dont Oracle, Novell et Sun. A l’origine, les fonctionnalités les plus demandées
étaient la gestion d’accès et le Single Sign On (SSO). Aujourd'hui, le
focus est davantage sur la gestion d’identité et de rôle métier.
//// Je suis IAM ////
Selon Gartner, on peut structurer
ainsi le paysage global de la
gestion d’accès et d’identité ou IAM
(Identity & Access Management) :
• les technologies de répertoires,
standards, agrégés ou virtuels
• l’administration d’identité, qui
inclut la création automatique
d’utilisateurs (provisioning),
l’administration des rôles,
des mots de passe, de
l’authentification forte
• l’audit d’identité, de séparation
des charges, la gestion des
événements, le monitoring de
l’activité et les alertes
• la vérification d’identité avec
l’authentification unique ou
Single Sign On et la fédération
d’identité entre organisations ou
parties d’organisations qui se
font confiance
• la gestion des droits d’accès au
niveau du système d’exploitation,
du Web, des applications en
mode client/serveur
«Lors du 1 er Internet Security Day, le 26
mars 2007, LuxTrust prédisait le lancement
de «spin-off in security business» comme
conséquence de la mise en place des
infrastructures de sécurité numérique,
explique Dominique Duthilleul, Business
Development Manager chez Zeropiu. Outre
la présence importante d’institutions financières,
ce contexte prometteur a rendu
le Luxembourg particulièrement attractif
pour le développement de l’IAM. Il ne fallait
cependant pas s’attendre à une déferlante.
Culturellement, certains pays comme la
Norvège sont à l’avant-garde et ont mis
en place des mécanismes de fédération
d’identité et de SSO entre leurs différents
portails à destination des citoyens. Le
Luxembourg adopte une approche résolue
mais prudente avec le lancement, en janvier
dernier, de la signature électronique dans
les applications en ligne, dans le contexte
de l’eGovernment, qui va dynamiser le marché
public et parapublic.»
«La pierre angulaire ainsi posée, il reste à
restructurer la gestion des accès dans les
différentes applications pour faire le lien
entre identité et droit d’accès, déployer
Single Sign On et provisioning», dit
Dominique Duthilleul. Face aux obstacles,
le RSSI aura un rôle d’interlocuteur de
premier plan. «Pour l’optimisation des
projets IAM, les RSSI auront l’opportunité
de s’appuyer sur des sociétés dotées d’une
forte expertise technologique et d’une
expérience étendue. Par exemple, un projet
de gestion d’identité nécessite un soutien
fort du management – certains responsables
applicatifs vont perdre le contrôle
de la création des comptes – et un projet
pilote dans une partie de l’organisation qui
l’attend. Un déploiement global conduit
fréquemment à des projets sans fin, coûteux
et mal vécus par les utilisateurs.» Pour les
entreprises, le défi majeur est donc d’adopter
une approche graduelle.
LE SECRET :
UN OBSTACLE ?
«Le Luxembourg a mis la barre très haut
en termes de respect du secret, explique
Dominique Duthilleul. Secret professionnel,
avec la loi du 5 avril 1993 relative au
secteur financier et de respect de la vie privée
avec la loi du 2 août 2002 relative à la
protection des personnes à l’égard du traitement
des données à caractère personnel.
Sur le plan légal, les pratiques de contrôle,
voire de sanction concernant le secret professionnel
peuvent rapidement entrer en
conflit avec les règles sur le respect de la
vie privée, la CNPD (Commission Nationale
pour la Protection des Données) a la lourde
tâche d’arbitrer ce conflit et travaille depuis
longtemps à l’établissement d’un guide de
conduite. Un autre défi à relever est de faire
de la gestion globale de la sécurité une
50 AVRIL 08

esponsabilité directe du top management,
de par son impact direct sur les problématiques
de conformité, de respect de la vie
privée et parfois des droits de propriété
intellectuelle.»
«Enfin, en tant que place financière majeure,
et compte tenu du poids du secteur financier
dans son économie, le Luxembourg se
doit de compléter l’approche analytique de
la sécurité par une approche systémique,
assurant flexibilité et sécurité aux acteurs
de la place financière tout en préservant
l’équilibre de la place quels que soient les
accidents internes ou agressions subies
par l’un des acteurs. Nul doute que cette
réflexion soit en cours.»
Dominique Duthilleul, Business Development
Manager chez Zeropiu
AVRIL 08 51

Technical Development Manager
L’IAM contre la fraude interne
Pour lutter efficacement contre la fraude, la gestion des accès doit s’accompagner d’une politique
attribuant (ou retirant) les accès en fonction des rôles des utilisateurs, préconise Bull.
Centraliser la gestion des accès des employés est une manière efficace de combattre la fraude interne. En plaçant
un point de contrôle obligé entre un utilisateur et ses applications, les problèmes de mots de passe publics et d’accès
conservés indûment disparaissent. Il y a beaucoup d’éléments mais la complexité de ce domaine n’est souvent
qu’apparente. Fort de centaines de projets mis en place dans le monde, l’éditeur Evidian, filiale du groupe Bull, a
déterminé plusieurs règles-clé pour déployer un projet de ce type. Bien planifié, un projet de gestion des rôles et des
accès apporte à chaque étape des fonctions utiles.
L’authentification unique (Single Sign-On ou
SSO) peut être un point de départ solide pour
un tel projet. Le SSO renseigne les mots de
passe applicatifs à la place de l’utilisateur
et peut les changer automatiquement, donc
les utilisateurs s’alignent naturellement sur
la politique de sécurité. Autre avantage, la
continuité de service apportée par le SSO
réduit les coûts d’exploitation. Libérés des
mots de passe applicatifs, les utilisateurs
n’encombrent plus le help desk d’appels
improductifs.
POLITIQUES LISIBLES
De plus, l’apport d’une gestion rigoureuse
de la politique d’accès, basée sur les rôles,
est également capital. Avec une gestion de
politique (‘policy management’) efficace,
l’attribution des droits n’est plus nominative
: elle dépend du métier de l’utilisateur
et de sa place dans l’organisation. Cette
manière de procéder est rationnelle. Elle est
aussi facilement «auditable» car effectuée
en un seul endroit, et non application par
application. Avec un policy management,
la politique de sécurité de l’entreprise est
lisible et adaptable en fonction des besoins.
Les procédures sont simples et facilement
documentées : une seule interface est
utilisée. Du point de vue de l’utilisateur, les
délais de mise à disposition de ses applications
sont considérablement raccourcis,
et il est aisé de faire respecter les contraintes
de séparation des tâches (‘segregation
of duties’). Pour compléter le tout, un ‘workflow’
automatisera la chaîne de décision.
Car même si le rôle d’un utilisateur lui donne
théoriquement droit à un accès applicatif,
sa hiérarchie doit formellement autoriser
cet accès. Cela renforce les garanties qu’un
utilisateur ait accès uniquement aux applications
utiles à son travail.
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Sécurité virtuelle ?
La virtualisation est l’un des éléments
les plus importants de l’IT
dans les années à venir. Secaron
s’est intéressé aux aspects sécurité
de cette nouvelle tendance.
«Le niveau de sécurité des solutions de
virtualisation disponibles aujourd'hui est
considéré par les spécialistes comme satisfaisant,
dit Sébastien Bourgasser, Security
Consultant chez Secaron. Les éditeurs de
solutions de sécurité font évoluer leur gamme
de produits afin de déployer leurs outils au cœur
des systèmes de virtualisation. Et même si le
risque zéro n'existe pas, il est commu nément
admis que les mécanismes d’isolation et
de protection présents nativement dans les
hyperviseurs actuels sont robustes et garantissent
l’intégrité des machines virtuelles.»
«En permettant l’accès à la mémoire, au
disque et au trafic réseau de manière centrale,
les nouveaux hyperviseurs fournissent
aux outils de sécurité un accès privilégié aux
machines virtuelles. Si cette fonctionnalité
permet d’augmenter sensiblement le niveau
de sécurité individuel de chaque serveur,
elle accroît considérablement la surface
d’attaque sur l’hyperviseur lui-même, ouvrant
potentiellement une brèche dans le mécanisme
d’isolation des machines virtuelles.»
52 AVRIL 08

Managed services that deliver
continuous improvements back
to your business.
At Computacenter, we proactively
apply our broad range of skills,
expertise and the latest technology
solutions to deliver continuous
improvements across the lifetime
of our managed services contracts.
Whether it’s finding new ways to
deliver operational efficiency gains,
using ITIL-based best practices to
improve service management or
applying new technology innovations –
we can help you realise year-on-year
cost savings. Transform your service
delivery with Computacenter.
TECHNOLOGY
SOURCING
INFRASTRUCTURE
INTEGRATION
MANAGED
SERVICES
Office: Espace Kirchberg C 26-28 Rue Edward Steichen 2540 Luxembourg
Phone: +352 26 29 1-1 Fax: +352 26 29 1-815
eMail: infolux@computacenter.com

Technical Development Manager
le grand dossier
Sécurité
The big picture
Pour permettre aux entreprises d’appliquer leurs stratégies de
sécurité aux réalités d’une globalisation des menaces, Verizon
Business encourage une approche Risk Management.
En matière de sécurité, la gestion du risque doit à présent prendre en compte
des aspects métiers. Le risque, c’est aussi ce qui peut menacer le capital
immatériel de l’entreprise, telle son image de marque. La sécurité sous-tend
ces aspects et, par sa nature même, ne peut faillir sans remettre en cause
l’entièreté du système. Les organisations devront donc, face à des risques
potentiels, gérer les menaces sur leur réseau et leurs applications critiques.
Verizon Business dispose d’une expertise particulière sur le marché de la
sécurité suite à l’acquisition de Cybertrust en mai 2007. Le fournisseur de
services propose différentes approches de la gestion du risque.
Verizon Business a présenté ses solutions
lors de la conférence sur la sécurité
organisée par ITnews
slides : info@itnews.lu
D’une part, suite à la globalisation, les
entreprises doivent gérer leur sécurité
de manière intégrée, afin de protéger les
systèmes à différents niveaux. Avec la
diversification et la mutation des attaques,
les solutions de sécurité se révèlent parfois
inadéquates. Gérer efficacement le risque
permet de réduire le nombre de menaces
potentielles ou, tout au moins, de les garder
sous contrôle. Ainsi, par exemple, des
fuites de données pourraient causer du tort
aux clients eux-mêmes et avoir un impact
négatif sur le business de l’entreprise. C’est
pourquoi le Risk Management doit prendre
en compte les aspects techniques, mais
aussi les politiques et les systèmes de
l’entreprise, afin de protéger au mieux les
données critiques.
SAISIR LES OPPORTUNITES
D’autre part, en plus d’un changement
d’orientation dans le design de la sécurité,
les entreprises qui font partie d’un réseau
mondial d’échanges doivent pouvoir satisfaire
aux exigences de conformité. Cette
nouvelle vision du business dépasse le
cadre du département IT, et c’est aussi
pourquoi un rapprochement entre les deux
«mondes» est nécessaire. En revanche, en
termes de sécurité, le défi de la conformité
doit être vu plus comme une opportunité
que comme une contrainte. Par exemple,
les profils des Responsables de la Sécurité
des Services d’Information ont, eux aussi,
évolué, acquérant des fonctions juridiques.
«Nous devons disposer de personnes
qui sont à même de correspondre aux
besoins de nos clients, explique Christophe
Bianco, Business Development Manager
chez Verizon. Ces personnes ont toutes
un profil technique tout en étant à même
de comprendre les métiers que font les
entreprises.» Les RSSI ont donc acquis une
sorte de transversalité : une compréhension
de l’entreprise en interne mais aussi des
clients. La feuille de route du RSSI en 2008
sera donc marquée par la conformité…
Face à cette volonté de refocaliser la sécurité
sur l’essentiel, certaines entreprises mettent
en place des projets d’externalisation : log
management, antivirus,… L’externalisation
permet de créer de la valeur ajoutée, en
gardant toutefois la main sur le contrôle
des décisions. L’outsourcing repose sur le
concept de «trusted partners». Il s’agit là
d’apporter un complément de compétences
qui puisse satisfaire l’entreprise. Le critère du
coût est primordial, c’est même souvent la
première raison qui pousse les entreprises à
externaliser la gestion de leurs ressources. Le
tout est de trouver une solution qui s’adapte
à la culture et aux besoins de l’entreprise.
54 AVRIL 08

Christophe Bianco, Business Development
Manager chez Verizon
AVRIL 08 55

Technical Development Manager
le grand dossier
Sécurité
Hosted security :
qui est prêt ?
Dimension Data a une approche complète de la sécurité,
notamment via les managed services… un pas difficile à faire
pour les entreprises.
L’évolution de la sécurité est parallèle à celle des moyens de communication.
De la téléphonie à l’IP, de l’email à l’instant messaging, qui est devenu un
véritable outil de travail. Dimension Data, intégrateur local à forte valeur
ajoutée, a commencé à œuvrer dans la sécurité en 1998, au niveau des
réseaux. À présent, la nature et l’approche de la sécurité se diversifie pour
se propager aux stockages système, aux portables, aux PDA… ainsi qu’aux
applications. Par exemple, le hacking était au départ réduit aux aspects
réseaux ; aujourd’hui, le cyber crime s’est diversifié… et les solutions de
protection aussi.
Les entreprises sont passées du firewall à
la sécurisation de tout le système. Or, les
équipes n’ont pas évolué aussi vite que
les besoins en matière de sécurité. On se
retrouve avec un manque de compétences.
«Nous pensons que le domaine de l’applicatif
et de la sécurité sont assez éloignés,
déclare Jean-Hubert Antoine, Security
Solutions Manager chez Dimension Data.
Eduquer les utilisateurs est difficile : mieux
vaut parfois rajouter une couche supplémentaire
et être préventif. C’est simple et
moins coûteux.»
DéPASSER LES PRéJUGéS
Dimension Data propose les managed
services. Au Luxembourg, la banque peut
être réticente à outsourcer l’infrastructure,
par rapport à sa politique interne de sécurité.
«Notre spécificité est de laisser les
couches sécurité chez le client et de les gérer
soit chez eux, soit à Capellen», précise
Jean-Hubert Antoine. La configuration permet
une alerte 24h/24 pour alerter le client
en cas de problème grâce à l’utilisation de
SLA convenus avec l’équipe de sécurité.
Ainsi, les équipes sur site peuvent être prévenues
et Dimension Data peut effectuer
des manipulations à distance. Certaines
banques ont ainsi outsourcé leur web banking
chez Didata à Capellen pour que leur
infrastructure sécurité, et non leurs données,
soit gérée en 24/7.
Une telle mise en place n’est possible que
par la sécurisation parallèle des moyens de
communication. La solution de Dimension
Data permet de sécuriser la téléphonie IP,
les devices en end-point (GSM, laptops, CD
et DVD, clés USB,…), ainsi que les données
à l’intérieur de l’entreprise pour les prémunir
de toute menace qui pourrait pénétrer par
une back door. «La technologie est vaste
et il faut pouvoir tout couvrir, dit Jean-Hubert
Antoine. Notre défi à nous est de pouvoir
faire notre chemin dans ces produits niches,
c’est-à-dire consolider, garder la maîtrise
sur les technologies proposées et garantir le
suivi aux clients.»
DIRECTION CLAIRE
Auparavant, les relations interne/externe
étaient gérées par le firewall et l’IPS. «Le
château fort est devenu un aéroport, dit
Jean-Hubert Antoine. Il nous faut passer par
une phase de dé-périmétrisation dans nos
approches car les menaces augmentent
en interne.» C’est un modèle dynamique
dont l’originalité réside dans ses possibilités
d’adaptation à l’entreprise. Par exemple,
une banque limite les dangers en utilisant
des postes fixes et les portables sont isolés
pour bénéficier d’une sécurité renforcée.
Dexia a été le premier client de la solution
majeure de sécurité proposée par Dimension
Data, ASI (Adaptive Secure Infrastructure).
«Certains clients partent dans toutes les
directions, dit Jean-Hubert Antoine. Il
faut réfléchir à une solution de protection
adéquate au type d’infrastructure et ne pas
sous estimer l’impact sur la partie gestion.
Il existe encore un domaine dans lequel
les entreprises doivent s’améliorer, c’est
la centralisation et la consolidation des
informations.» Il y a dix ans, la solution unique
était un antivirus sur la station de travail et un
firewall en externe; à présent, c’est du point
à point avec une authentification par accès à
distance. Le marché des solutions de sécurité
est en pleine explosion, il faut une vue globale
de la sécurité pour savoir où intervenir…
56 AVRIL 08

Technical Development Manager
le grand dossier
Sécurité
Hosted security :
qui est prêt ?
Dimension Data a une approche complète de la sécurité,
notamment via les managed services… un pas difficile à faire
pour les entreprises.
L’évolution de la sécurité est parallèle à celle des moyens de communication.
De la téléphonie à l’IP, de l’email à l’instant messaging, qui est devenu un
véritable outil de travail. Dimension Data, intégrateur local à forte valeur
ajoutée, a commencé à œuvrer dans la sécurité en 1998, au niveau des
réseaux. À présent, la nature et l’approche de la sécurité se diversifie pour
se propager aux stockages système, aux portables, aux PDA… ainsi qu’aux
applications. Par exemple, le hacking était au départ réduit aux aspects
réseaux ; aujourd’hui, le cyber crime s’est diversifié… et les solutions de
protection aussi.
Les entreprises sont passées du firewall à
la sécurisation de tout le système. Or, les
équipes n’ont pas évolué aussi vite que
les besoins en matière de sécurité. On se
retrouve avec un manque de compétences.
«Nous pensons que le domaine de l’applicatif
et de la sécurité sont assez éloignés,
déclare Jean-Hubert Antoine, Security
Solutions Manager chez Dimension Data.
Eduquer les utilisateurs est difficile : mieux
vaut parfois rajouter une couche supplémentaire
et être préventif. C’est simple et
moins coûteux.»
DéPASSER LES PRéJUGéS
Dimension Data propose les managed
services. Au Luxembourg, la banque peut
être réticente à outsourcer l’infrastructure,
par rapport à sa politique interne de sécurité.
«Notre spécificité est de laisser les
couches sécurité chez le client et de les gérer
soit chez eux, soit à Capellen», précise
Jean-Hubert Antoine. La configuration permet
une alerte 24h/24 pour alerter le client
en cas de problème grâce à l’utilisation de
SLA convenus avec l’équipe de sécurité.
Ainsi, les équipes sur site peuvent être prévenues
et Dimension Data peut effectuer
des manipulations à distance. Certaines
banques ont ainsi outsourcé leur web banking
chez Didata à Capellen pour que leur
infrastructure sécurité, et non leurs données,
soit gérée en 24/7.
Une telle mise en place n’est possible que
par la sécurisation parallèle des moyens de
communication. La solution de Dimension
Data permet de sécuriser la téléphonie IP,
les devices en end-point (GSM, laptops, CD
et DVD, clés USB,…), ainsi que les données
à l’intérieur de l’entreprise pour les prémunir
de toute menace qui pourrait pénétrer par
une back door. «La technologie est vaste
et il faut pouvoir tout couvrir, dit Jean-Hubert
Antoine. Notre défi à nous est de pouvoir
faire notre chemin dans ces produits niches,
c’est-à-dire consolider, garder la maîtrise
sur les technologies proposées et garantir le
suivi aux clients.»
DIRECTION CLAIRE
Auparavant, les relations interne/externe
étaient gérées par le firewall et l’IPS. «Le
château fort est devenu un aéroport, dit
Jean-Hubert Antoine. Il nous faut passer par
une phase de dé-périmétrisation dans nos
approches car les menaces augmentent
en interne.» C’est un modèle dynamique
dont l’originalité réside dans ses possibilités
d’adaptation à l’entreprise. Par exemple,
une banque limite les dangers en utilisant
des postes fixes et les portables sont isolés
pour bénéficier d’une sécurité renforcée.
Dexia a été le premier client de la solution
majeure de sécurité proposée par Dimension
Data, ASI (Adaptive Secure Infrastructure).
«Certains clients partent dans toutes les
directions, dit Jean-Hubert Antoine. Il
faut réfléchir à une solution de protection
adéquate au type d’infrastructure et ne pas
sous estimer l’impact sur la partie gestion.
Il existe encore un domaine dans lequel
les entreprises doivent s’améliorer, c’est
la centralisation et la consolidation des
informations.» Il y a dix ans, la solution unique
était un antivirus sur la station de travail et un
firewall en externe; à présent, c’est du point
à point avec une authentification par accès à
distance. Le marché des solutions de sécurité
est en pleine explosion, il faut une vue globale
de la sécurité pour savoir où intervenir…
56 AVRIL 08

Technical Development Manager
le grand dossier
Sécurité
Virage contrôlé
Face à l’augmentation constante des malwares et la difficulté de
mettre à jour les logiciels de sécurité, Trend Micro propose une
solution de filtrage… sur internet.
Auparavant inondée par les virus, chevaux de Troie et vers, la Toile est à
présent traversée de menaces plus actives, et beaucoup plus difficiles
à éliminer. «Il y a environ 20 ans, on détectait 2000 virus uniques dans le
monde, déclare Patrick Dalvinck, Regional Director Benelux chez Trend
Micro. Il était alors facile pour les constructeurs de détecter les virus, mettre
à jour les signatures et les déplacer vers les clients à protéger.»
Patrick Dalvinck, Regional Director Benelux
de Trend Micro
Face à ce mouvement de croissance et de
diversification, Trend Micro considère qu’il
est impossible d’envoyer les mises à jour
vers les clients. Trop d’informations, trop
de bande passante alourdie par la sécurité.
«Le but du client n’est pas d’acheter un
ordinateur pour y passer 50% à la sécurité.
Il faut de nouvelles manières de mise à
jour.» Le fournisseur de solutions a donc
mis en place une solution de mise à jour sur
le net : un datacenter «in the cloud». L’utilisateur
se connecte sur les sites approuvés
par Trend Micro et ce, en temps réel. «Plus
de 100 millions de PC sont infectés et leurs
utilisateurs l’ignorent, dit Patrick Dalvinck.
Les nouvelles attaques sont invisibles et
utilisent les PC comme base de relais pour
d’autres attaques.»
L’approche de Trend Micro est donc à 180°
des habitudes. «Le client ne doit plus faire
de mise à jour du logiciel, car sa machine
n’est plus accessible aux malwares, explique
Patrick Dalvinck. Le thin client donne une
protection plus élevée et s’intègre avec les
solutions d’autres fournisseurs.» Si les autres
produits brandés Trend Micro apportent de
la plus-value une fois combinés à la solution
Web Threat Protection, l’ajout de solutions
d’autres fournisseurs permet d’apporter
aussi de la valeur… tout en conservant la
transparence de la solution. «La solution
externe est une évolution importante mais au
fond, le client est satisfait de voir un investissement
«in the cloud». Ce n’est pas à eux de
perdre et budget et performance. Les systèmes
sont laissés libres pour les applicatifs.»
58 AVRIL 08

Technical Development Manager
le grand dossier
Sécurité
Virage contrôlé
Face à l’augmentation constante des malwares et la difficulté de
mettre à jour les logiciels de sécurité, Trend Micro propose une
solution de filtrage… sur internet.
Auparavant inondée par les virus, chevaux de Troie et vers, la Toile est à
présent traversée de menaces plus actives, et beaucoup plus difficiles
à éliminer. «Il y a environ 20 ans, on détectait 2000 virus uniques dans le
monde, déclare Patrick Dalvinck, Regional Director Benelux chez Trend
Micro. Il était alors facile pour les constructeurs de détecter les virus, mettre
à jour les signatures et les déplacer vers les clients à protéger.»
Patrick Dalvinck, Regional Director Benelux
de Trend Micro
Face à ce mouvement de croissance et de
diversification, Trend Micro considère qu’il
est impossible d’envoyer les mises à jour
vers les clients. Trop d’informations, trop
de bande passante alourdie par la sécurité.
«Le but du client n’est pas d’acheter un
ordinateur pour y passer 50% à la sécurité.
Il faut de nouvelles manières de mise à
jour.» Le fournisseur de solutions a donc
mis en place une solution de mise à jour sur
le net : un datacenter «in the cloud». L’utilisateur
se connecte sur les sites approuvés
par Trend Micro et ce, en temps réel. «Plus
de 100 millions de PC sont infectés et leurs
utilisateurs l’ignorent, dit Patrick Dalvinck.
Les nouvelles attaques sont invisibles et
utilisent les PC comme base de relais pour
d’autres attaques.»
L’approche de Trend Micro est donc à 180°
des habitudes. «Le client ne doit plus faire
de mise à jour du logiciel, car sa machine
n’est plus accessible aux malwares, explique
Patrick Dalvinck. Le thin client donne une
protection plus élevée et s’intègre avec les
solutions d’autres fournisseurs.» Si les autres
produits brandés Trend Micro apportent de
la plus-value une fois combinés à la solution
Web Threat Protection, l’ajout de solutions
d’autres fournisseurs permet d’apporter
aussi de la valeur… tout en conservant la
transparence de la solution. «La solution
externe est une évolution importante mais au
fond, le client est satisfait de voir un investissement
«in the cloud». Ce n’est pas à eux de
perdre et budget et performance. Les systèmes
sont laissés libres pour les applicatifs.»
58 AVRIL 08

Technical DevelopmenT manager
La sécurité au cœur des solutions
De ses autres secteurs d’activité, HP a hérité d’une vision multifonctionnelle
de la sécurité et la place au centre de ses solutions.
Qu’il s’agisse des outils de protection intégrés aux laptops et aux postes de travail, de contrôle d’accès aux données
sensibles, de privilèges d’utilisation de documents, de gestion de clés ou de validation, le constructeur identifie les
domaines de la sécurité qui sont porteurs de valeur ajoutée. De plus, les services fournis par HP sont inspirés de la propre
expérience du constructeur en matière d’IT et de sécurité, afin de protéger les ressources mondiales de la société.
Le résultat est un mélange de solutions industrialisées et d’innovation.
«Nos offres sécurité sont tous azimuts, explique
Jan De Clerq, CEO HP Security Offi ce.
Nous pensons que la sécurité ne doit pas
être rajoutée comme une couche supplémentaire
mais au contraire doit être placée
au cœur de chaque solution.» Parmi les
nouvelles solutions, les idées d’HP répondent
à un besoin croissant de contrôler l’accès et
l’utilisation des documents. Par exemple, les
limites d’impression et de transmission de
documents contenant des données sensibles
peuvent être clairement défi nies.
Ainsi, de plus en plus d’entreprises s’intéressent
au key management, notamment
suite à l’importance grandissante de
l’encryption pour des raisons de conformité.
«La gestion des clés est devenue l’une des
problématiques majeures de la sécurité,
explique Jan De Clerq. De plus en plus d’entreprises
adoptent le key management comme
solution d’encryption, afi n de mieux gérer
l’accès aux données.» Les documents sont
sécurisés via le recours à une clé unique, qui
ne peut être remplacée. La gestion de ces clés
est donc primordiale pour assurer la continuité
du business de l’entreprise. HP, via sa solution
StorageWorks Secure Key Manager, donne
aux entreprises les moyens de déployer le key
management au travers de toute l’organisation.
PÉRIMèTRE DE QUALITÉ
Pour protéger le réseau, HP a développé
dans la gamme ProCurve, une solution
de Network Access Control active à deux
niveaux : la fermeture des ports non autorisés
et une authentifi cation forte des utilisateurs
BT, prêt pour la complexité
et des applications. Cette approche proactive
est un mécanisme de défense qui
va mettre à jour automatiquement les
connexions que le serveur refuse. Chez
HP, la sécurité va de pair avec la qualité.
Le constructeur s’est donc aussi attelé à
la défense contre les menaces provenant
d’internet. L’Application Security Center, une
solution pour la sécurité des applications
web, fournit un relevé des risques et fait
du testing à chaque phase du cycle de vie
d’une application. HP désire ainsi réduire les
risques opérationnels et s’inspire des techniques
de sécurité du stockage, avec d’une
part, l’accès aux données (identifi cation,
confi dentialité via l’encryption, autorisation)
et d’autre part, la gestion de celles-ci (défi -
nition des rôles, permissions, traçabilité, key
management).
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Face à la complexifi cation des environnements de travail, du recours accéléré à l’externalisation, du
besoin pour les grandes entreprises de réévaluer leur stratégie de sécurité, de la volonté de collaborer
plus sans perte de contrôle, BT, fournisseur de solutions et de services de communications, peut
apporter son expertise «blended» des télécommunications et de la sécurité.
BT est actif dans le secteur de la mobilité,
notamment dans la convergence fi xe /
mobile. La mobilité est liée de près aux
problématiques de sécurité, notamment
par rapport au risque de fuite de données.
«Pour correspondre aux évolutions que
connaissent les entreprises, BT propose
des solutions et des services de sécurité
couvrant la fourniture de conseils, le
respect de la conformité au regard des
règlements en vigueur, la disponibilité des
applications et des réseaux à tout moment,
les applications et les réseaux sécurisés,
l’intégrité des données, etc.», explique Kees
Plas, Head of Business Continuity, Security
& governance Practice, Benelux, BT global
Services. Des services qui vont donner une
place importante à la gestion des risques.
Selon une récente étude menée entre autres
par BT, le recul de la globalisation – affectée
par une montée du protectionnisme – peut
représenter un risque particulièrement
sérieux, auquel les entreprises ne sont pas
correctement préparées. La globalisation
voudrait que la gestion des risques devienne
une question d’importance stratégique.
Selon l’étude, les entreprises qui intègrent
leurs infrastructure et planifi cation de risque
deviendront plus résilientes et en récolteront
les bénéfi ces dans un environnement
commercial devenu plus complexe.
60 AVRIL 08

?
Sh..!! Where are my data today?
Siemens IT Solutions and Services
Security Solutions for IT
www.siemens.lu/it-solutions

BUSineSS DeciSion maKer
ACTUAL-IT
Carrières
BERNARD
LHERMITTE
Devient Head of IT
Department chez ING
Luxembourg
PETER
NURSKI
Est nommé Directeur du
Département Vente pour
les PME de SAP en Belux
Ayant intégré INg Luxembourg
en 1989, Bernard Lhermitte était
devenu responsable de l’équipe
Analyse et Programmation
en 2004, puis Manager
BIS – Application & Project
Management en 2005.
Etant déjà Country Sales
Manager Luxembourg de SAP,
Peter Nurski succède à Henk De
Metsenaere qui quitte la société
pour fonder sa propre entreprise.
Peter Nurski reprend les rênes et
poursuivra le développement du
canal de partenaires.
PETRA
PESIN
Rejoint Dimension Data
Financial Services en tant
que Account Manager
PAUL
JUNG
Devient Senior Security
Engineer chez Dimension
Data Managed Services
DAVID
VERNAZOBRES
Rejoint DiData Managed
Services en tant que
Junior Security Engineer
Active sur le marché
luxembourgeois depuis 1994,
Petra Pesin a précédemment
occupé les fonctions de Business
Development Manager auprès
de Primesphere et Business
Manager auprès de e-BRC.
Paul Jung a une expérience
de 10 ans en France et au
Luxembourg. Il occupait
précédemment la fonction
d’ingénieur réseaux chez Real
Solutions, où il était en charge de
design et d’implémentation de
solutions télécoms.
David Vernazobres occupait ces
trois dernières années la fonction
de chargé de projets en bioinformatique
au sein de l’université
allemande de Münster.
Envoyez votre nomination à info@itnews.lu
62 AVRIL 08

actual it
> Microsoft 2008 p 65
> eLuxembourg p 66
> Apsi p 67
> Namestock p 68
> LuxConnect p 70
> Steria / Prim'X p 71
> IT agenda p 72
> Aubay BPM p 74
> Portrait Claude Lüscher p 76
> IT jobs p 78
AVRIL 08 63

Your financial advisor in Luxembourg
Your real estate advisor in Luxembourg
PROPERTY INVESTMENT ADVICE
Acquisition and sale - Due Diligence
Financial Feasibility Analysis
FIDUCIARY SERVICES
Company Formation - Domiciliation - Accounting - Taxation
Financial Engineering - Payroll Administration
RESIDENTIAL, COMMERCIAL AND OFFICE
Letting - Buy/Sell and Developments
www.boa.lu
info@boa.lu
Tél :(352) 276 217 771
Fax : (352) 276 217 78
COMPANIES HOUSE - 42a Place Guillaume II - L-1648 Luxembourg
www.opava.lu
info@opava.lu
Tél :(352) 276 217 777
Fax : (352) 276 217 78

Developer / Consultant
actual it
Logiciels
Microsoft 2008 :
les end-users sur le
devant de la scène
Lors du lancement de Windows Server 2008, SQL Server 2008
et Visual Studio 2008, Microsoft a mis en avant les acteurs
locaux qui font le pas vers les technologies de demain.
Au Luxembourg, l’IT est omniprésente mais pas toujours en tant que valeur
ajoutée. L’idée de Microsoft était de ramener les end-users à l’avant-scène et
promouvoir leur vision de la technologie pour le lancement de la plateforme
2008 de l’éditeur. À l’heure actuelle, seulement 20% du budget IT est consacré
à la création pure. 80% est nécessaire aux tâches administratives. Les clés
de Microsoft résident donc là : libérer des ressources, du temps et du budget
pour l’innovation.
«L’IT peut être utilisée pour faire des choses
extraordinaires, et pour cela il faut des
nouveaux produits d’infrastructure», explique
Christophe Van Mollekot, Products & Solutions
Marketing Manager chez Microsoft, et en
charge de la plateforme Windows Server au
Belux. Microsoft a surpris. «Windows Server
2008 a une option Core Server qui permet une
installation sans interface graphique… Cela
répond à une demande des utilisateurs de
proposer un serveur à fonctionnalités limitées,
pour plus de liberté.»
La virtualisation répond aussi à un phénomène
croissant de consolidation. «On ne
surfe pas que sur la vague verte mais on
tente d’apporter une réponse pour la longue
durée, explique Christophe Van Mollekot.
La virtualisation demeure une niche, avec 90%
du marché qui n’est pas encore virtualisé, à
cause du coût élevé de la solution. De plus,
la virtualisation pose des problèmes évidents
de traçabilité et de localisation de l’information
dans le système.» En fait, les utilisateurs
qui virtualisent leur infrastructure doivent alors
souvent gérer une troisième couche, en plus
de l’OS et des applications. Pour remédier à
cela, Microsoft propose la virtualisation comme
fonction de l’OS, intégrant le module hyper-V
dans Windows Server 2008.
SOUTENIR L’éCOSYSTèME
L’ajout d’hyper-V est donc un changement
fort, directement orienté vers les utilisateurs
finaux. «On arrive vers le tipping point, dit
Christophe Van Mollekot. Bientôt les capacités
d’innovation vont dépasser les besoins de
maintenance.» Cela est aussi possible grâce
à la force d’industrialisation que Microsoft a
développée. «C’est important de pouvoir soutenir
l’écosystème luxembourgeois, explique
Thierry Fromes, Country Manager chez
Microsoft Luxembourg. Il serait anormal de
proposer un produit sans que les SSII aient
les compétences pour les développer. Nous
devons soutenir la mise en place de nos
solutions au Luxembourg, afin d’atteindre
une meilleure compétitivité IT au niveau international.»
Pour soutenir ce développement
technologique, Microsoft souligne l’aspect
collaboratif des solutions brandées 2008.
Par exemple, Visual Studio intègre un outil de
collaboration, Visual Team System qui permet
à plusieurs développeurs, répartis sur des
sites différents, de travailler sur le même projet.
CONQUêTE DE
NOUVEAUX MARCHéS
«L’outil évolue de même que la façon de
faire des affaires au Luxembourg. La banque
va au client et non l’inverse. Les services
s’améliorent. Nous avons la chance d’avoir
des banques bien organisées, ajoute Thierry
Fromes. La concurrence est toujours là,
de même que le besoin de recourir à la
technologie pour disposer d’informations en
temps réel.» La productivité est par exemple
soutenue par les Unified Communications, qui
permettent aux entreprises de se développer
sur de nouveaux marchés. La plateforme
2008 est donc une fondation solide pour les
applications web de la prochaine génération,
pour la technologie de virtualisation et pour
l’accès à l’information pertinente. Ainsi, SQL
Server 2008 fournit une plateforme intelligente
pour gérer les données de manière sécurisée
et, combinée à Windows Server, permet de
réduire le temps et le coût de gestion.
AVRIL 08 65

BUSINESS DECISION MAKER
actual it
Secteur Public
L’eGouvernement
retend sa toile
Des sites web de meilleure qualité technique, plus
ergonomiques et accessibles ? Tel est le but du référentiel
de normalisation (ReNo) émis par eLuxembourg.
Le référentiel de normalisation émis par le service eLuxembourg se veut
pratique pour améliorer la présence du gouvernement luxembourgeois sur
internet. «Nous voulons augmenter les standards de qualité des sites de l’Etat,
tout en gardant la logique et la cohérence qui étaient les objectifs visés lors
du lancement des sites», explique Claude Wiseler, Ministre de la Fonction
publique et de la Réforme administrative. Des outils d’évaluation vont être mis
en place, pour mesurer les standards inspirés de la Charte de normalisation
publiée en 2002. Ainsi, le gouvernement pourra cerner l’impact et l’efficacité de
sa communication aux citoyens via le net.
NOUVEAUX BESOINS,
NOUVELLES APPROCHES
ReNo peut avoir un impact significatif sur
la façon dont le Luxembourg est perçu au
niveau européen. Selon une étude d’Eurostat,
en 2006, le Luxembourg occupait la
première place quant à l’utilisation par les
citoyens de formulaires publiés sur les sites
de l’Etat. La fréquentation des sites publics
est en moyenne importante. Par exemple,
le portail legilux.lu connaît 5000 visites par
jour, alors que police.lu n’en compte «que»
2000. Selon une étude des Nations Unies,
le Luxembourg occupe une respectable
quatorzième place dans le classement
mondial des eGouvernements. «Beaucoup
d’efforts ont été fournis pour améliorer la
visibilité de nos sites mais nous devons
encore progresser», explique Claude Wiseler.
En 2008, le service eLuxembourg promet
des sites plus modernes, plus légers et plus
faciles d’utilisation, avec des fonctionnalités
supplémentaires pour les rédacteurs et les
utilisateurs (webTV, agenda, cartographie,
newsletters,…). La présence online du
gouvernement va pouvoir être améliorée
avec l’ajout de nouveaux portails, afin de garantir
les meilleurs services possibles. «Nous
créerons un guichet unique dans les années
à venir, dit Claude Wiseler. La centralisation
de l’information est essentielle aux procédures
administratives. La fréquentation des
sites augmente si les services offerts sont
pertinents, fiables et complets.»
Pour augmenter la visibilité de l’eGouvernement,
ReNo innove principalement dans
la prise en compte des besoins des citoyens
(le projet est basé sur la norme ISO 13407
et prévoit d’être testé par les utilisateurs).
Le référentiel préconise un niveau élevé
d’accessibilité, notamment pour les malvoyants.
Par exemple, si la page web n’a pas
été formatée pour être lue à haute voix par
un logiciel spécialisé, le contenu est incompréhensible.
La navigation dans la page doit
aussi être facilitée par les raccourcis clavier
et par un affichage qui permette de modifier
la taille des caractères. De telles astuces
sont minimes et pourtant étendent l’utilisation
d’internet à des utilisateurs qui en sont,
autrement, privés.
DOCUMENT, MAINTENANCE & FACILITY MANAGEMENT
WWW.MAPS-SUITE.COM
, BASÉE À LUXEMBOURG, EST UN LEADER EUROPÉEN DANS LA CONCEPTION ET LE DEVELOPPEMENT DE LOGICIELS
DE GESTION DE L'INFORMATION DE VOTRE ENTREPRISE.
66 AVRIL 08

BUSINESS DECISION MAKER
actual it
Business
La responsabilité civile
des entreprises IT
La responsabilité, principe fondamental du droit civil (Art. 1382), s’applique aussi
bien aux dommages créés dans la vie privée que causés dans le cadre d’une relation
contractuelle entre un fournisseur et son client. Quelle en est la portée en IT ?
Litiges : quelques
conseils pratiques
• Limitez vos responsabilités
Afin d’éviter des responsabilités trop lourdes
ou pour éviter toute discussion inextricable
sur la répartition des responsabilités, la loi
admet le recours à une clause limitative de
responsabilité dans certaines hypothèses
d’inexécution.
• Clarifiez la juridiction
dans les contrats internationaux
Régler les litiges
• La transaction
Le tribunal n’est pas la seule solution.
Lorsque les contractants sont prêts à
sacrifier une partie de leurs avantages,
le code civil prévoit de conclure un
litige par transaction pour terminer une
contestation.
• Arbitrage / médiation
Pour l’APSI, Janin Heniqui,
conseiller CLC
«Tout fait quelconque de l’homme qui cause
à autrui un dommage oblige celui par la
faute duquel il est arrivé à le réparer» (Art.
1382 Code civil). La responsabilité du prestataire
de service IT dépend des obligations
et clauses convenues de commun accord
entre un fournisseur et son client et qui sont
habituellement arrêtées dans un contrat.
Aucune partie ne pourra se défaire de ses
engagements sauf en cas de force majeure,
de faute de la victime ou du fait d’un tiers.
Le prestataire de service IT devra donc
non seulement veiller à une description
précise de ses obligations (obligation de
donner / de transférer un droit ; obligation
de faire / exécuter une prestation), mais
également à bien définir l’intensité des
engagements pris. Ceux-ci peuvent varier
de façon significative selon l’existence d’une
obligation de moyens ou de résultat. L’APSI
adressera prochainement cette question
par l’organisation d’une conférence dédiée
aux «Service Level Agreements».
Dans un contexte BtoB, sauf clause
contraire, tout litige entre professionnels a
lieu dans le pays où la partie qui doit fournir
la prestation caractéristique a, au moment
de la conclusion du contrat, sa résidence
habituelle. Habituellement, dans un cadre
BtoC, les litiges sont traités dans le pays
de résidence du privé. Dans un contexte
international avec des clients privés, il est
donc fortement conseillé de définir la loi
par laquelle le contrat est régi.
• L’apport de la preuve
L’Article 1315 du code civil prévoit que
«celui qui réclame l'exécution d'une
obligation, doit la prouver. Réciproquement,
celui qui se prétend libéré, doit justifier le
paiement ou le fait qui a produit l'extinction
de son obligation». Ceci signifie que si le
client n’est pas satisfait d’une prestation,
ce sera à lui de prouver que le service
rendu n’est pas conforme au contrat. Le
prestataire de service pourra utiliser la pièce
documentant le paiement du service presté
pour prouver la réalisation des engagements
pris dans le contrat.
La médiation est un processus volontaire
et confidentiel de gestion des conflits par
lequel les parties recourent à un tiers indépendant
et impartial. Le rôle du médiateur
est d'aider les parties à élaborer par ellesmêmes,
une entente juste et raisonnable
qui respecte les besoins de chacun des
intervenants. La médiation est un moyen
efficace, rapide et relativement peu
onéreux pour régler un litige tout en
garantissant aux parties une confidentialité
en cas d'échec de la médiation.
Au Luxembourg, l’arbitrage ou la médiation
est assuré par le Centre de Médiation du
Barreau de Luxembourg (CMBL).
La loi prévoit la possibilité d’intégrer une
clause d’arbitrage dans les contrats par
laquelle les parties s’engagent à trancher
tous différends suivant le Règlement
d’arbitrage du Centre d’arbitrage de la
Chambre de Commerce du G.-D. de
Luxembourg par un ou plusieurs arbitres
nommés conformément à ce règlement.
AVRIL 08 67

BUSINESS DECISION MAKER
actual it
Marques
Signé .lu
Etapes incontournables pour les entreprises, les créations
de marques et de noms de domaine peuvent être facilités
par le recours à un broker spécialisé en la matière.
Après avoir créé une première société de protection de marques sous le nom de
Legitiname, Nicolas Van Beek a lancé, suite à la loi 5801 sur l’exonération des
droits de propriété intellectuelle, une nouvelle société baptisée Namestock. La
société propose des services en matière de création de noms de marques et possède
aussi un portefeuille de noms de domaine. Alors que d’autres entreprises
se spécialisent dans l’enregistrement de noms de domaine, Namestock a lié des
relations avec, entre autres, des cabinets d’avocats et des fiduciaires, afin d’offrir
des solutions complètes aux entrepreneurs désirant s’établir au Luxembourg.
«Par exemple, les sociétés qui veulent
implanter leurs nouvelles marques au
Luxembourg font appel à nous en tant que
coordinateurs, explique Nicolas Van Beek,
CEO de Namestock. Notre mission, dans ce
cas, est d’augmenter la valeur de ces marques
et noms de domaine en les centralisant
au Luxembourg.» Le but de l’entreprise est
donc de soutenir la création de marques et
de noms de domaine au niveau international,
tout en mettant en avant le bénéfice que les
entreprises peuvent tirer de la loi 5801 sur la
propriété intellectuelle au Luxembourg.
«Nous voulions être utiles aux entrepreneurs
et aux sociétés qui veulent créer des marques
internationales, explique Nicolas Van Beek.
Il y a de moins en moins de marques disponibles,
et encore moins de noms de domaine
en .com. Alors que les «domainers»
se limitent à acheter des noms à fort potentiel,
tel fund.com vendu 10 millions de USD
en mars 2008, nous proposons un service
complet allant de la création de la marque
jusqu’à la valorisation de celui-ci.»
COMMUNAUTE DE TESTING
L’idée repose sur la création d’un stock de
noms de marques, dont l’impact culturel et
linguistique est mesuré par une communauté
de testeurs/consommateurs locaux auxquels
Namestock s’est associé. La création
des noms se fait aussi sur commande,
Namestock se charge d’enregistrer la
marque aux niveaux local et international,
ainsi que les noms de domaine. «Le .com
pour une entreprise internationale est
indispensable, dit Nicolas Van Beek. Le
Luxembourg peut jouer un rôle sur ce
plan. Par contre, au point de vue local, une
entreprise qui ne souhaite se développer
qu’au Luxembourg trouvera plus d’intérêt
à adopter le .lu. L’utilisation du domaine .lu,
notamment pour certains services financiers
uniquement délivrés au Luxembourg, peut
aussi donner plus de crédibilité à une
entreprise, voire une véritable signature.»
L’expertise de Namestock au niveau marques
et noms de domaine fait appel à une
bonne connaissance de ceux-ci, ainsi que de
la combinaison avec des compétences juridiques
et techniques. «Nous nous engageons
à limiter les risques de cyber-squatting, dit
Nicolas Van Beek. Nous faisons aussi de la
recherche de noms disponibles, un aspect
déterminant pour trouver les perles rares.
En effet, il est de plus en plus difficile de
trouver des noms de marques prononçables
dans toutes les langues et ne comportant
que deux ou trois syllabes. Nous recherchons
des noms à l’aide d’outils de recherche automatisés
et de séances de brainstorming.»
68 AVRIL 08

UN MARCHÉ PLUS
TRANSPARENT
Namestock peut aussi aider à choisir les
pays où les noms de domaine doivent être
développés en priorité. De plus, la législation
concernant la propriété intellectuelle favorise
l’enregistrement de marques et de noms de
domaine au Luxembourg. Le but est ainsi
d’attirer les entreprises hors des paradis
fiscaux, afin d’assainir le marché et de
conserver en Europe la gestion des marques
et des noms de domaine.
Nicolas Van Beek,
CEO de Namestock
AVRIL 08 69

Technical Development Manager
ACTUAL IT
Infrastructure
Luxconnect,
de fibres et de béton
Jean-Louis Schiltz ministre des Communications, Roby Biwer
bourgmestre de la ville de Bettembourg, Roger Lampach,
directeur technique et Edouard Wangen, directeur général, ont
posé la première pierre du nouveau datacenter de Luxconnect
à Bettembourg en présence d’Ann Wagner, Ambassadrice des
Etats-Unis d’Amérique. Une cérémonie relevée aussi par une
participation de membres des Ministères et administrations ainsi
que de dirigeants d’entreprises – fournisseurs et clients - qui
accompagnent Luxconnect dans cette «aventure».
«Luxconnect a invité aujourd’hui à cette
cérémonie pour montrer que l’initiative du
Gouvernement sous l’impulsion du Ministre
Jean-Louis Schiltz commence à émerger
de la phase de planification avec des faits
accomplis en béton et en acier comme vous
pouvez le voir derrière moi, a déclaré Edouard
Wangen. Quand ce centre international
d’hébergement et de communication ouvrira
ses portes il sera dans le monde virtuel de
l’économie numérique un hôtel 5 étoiles.
Avec cette prétention, il nous faut assurer le
haut de gamme des services aux grands du
secteur des technologies de l’information et
des communications. Mais je rassure tout de
suite les «moins grands» qui d’ailleurs seront
les «grands de demain» et qui ne seront pas
situés au 5e sous-sol de notre attention!»
Ce datacenter se verrait bien accueillir et
héberger des plate-formes de commerce
électronique (Ebay, Amazon, Paypal,…), des
serveurs de communications avancés (pour
les Skype, Google, Facebook, SecondLife,
MySpace,…), des serveurs de streaming
pour les portails Internet du Web (Youtube,
MSN, MyVideo, Playtime qui basée à
Luxembourg…), et des serveurs pour les
plateformes informatiques de recherche
pour les universités les hôpitaux ou encore
les départements de «Recherche et
Développement» de groupes internationaux
comme p.ex. EADS ou BMW.
70 AVRIL 08

Technical Development Manager
L’encryption, une
protection chirurgicale
Véritable patrimoine de l’entreprise, les données sensibles doivent
être protégées le mieux possible, notamment via l’encryption.
Lors du petit-déjeuner organisé par ITnews le 10 avril, la société Steria a introduit
la solution d’encryption de données ZoneCentral, de Prim’X Technologies.
Basée à Paris, Prim’X a notamment équipé le gouvernement français. Selon la
société, l’une des clés d’une sécurité réussie est de faire cohabiter harmonieusement
les solutions de sécurité, afin que leurs fonctionnalités se complètent,
et de ne pas changer les habitudes des utilisateurs.
«Depuis 2007, la protection des données
sensibles est une priorité», dit Eric Stylemans,
Security Solutions Group Manager chez
Steria. Or, trop souvent, les solutions de
sécurité sont disparates sur les laptops, les
desktops, les serveurs,… En plus de l’email
et des documents, les données sensibles
se trouvent dans l’historique (les cookies,
le cache), sur le VPN, la configuration de
l’OS… «Lorsqu’un hacker cherche une faille, il
profile l’utilisateur en croisant l’information des
solutions utilisées, des updates effectués, et à
quelle fréquence», explique Pierre Cassimans,
Security Consultant chez Steria. L’encryption
permet de sécuriser directement les données
sensibles. Pour diminuer les risques,
l’utilisateur doit connaître l’emplacement de
ces données et déterminer leur niveau de
confidentialité.
UN PARAMÉTRAGE
TRÈS FIN
Prim’X Technologies a développé ZoneCentral,
une solution d’encryption agnostique pour
protéger l’ensemble des données sur le
hardware, y compris les serveurs de stockage.
La solution inclut aussi Zed, pour l’échange
d’emails cryptés et de documents en
attachés. «Etre loggé ne signifie pas accéder
au document, explique Xavier Conqui,
Channel Manager chez Prim’X Technologies.
Seul l’utilisateur habilité a accès au document
décrypté.» Bien que les documents soient
séparés au sein du système, ZoneCentral
permet d’homogénéiser la protection. Le
cryptage et le décryptage sont totalement
transparents pour l’utilisateur et peuvent
s’adapter à toute infrastructure. De plus,
la communication par email est sécurisée,
un avantage décisif lors d’échanges de
documents financiers en mode Swap.
Bientôt, les solutions Zed for Outlook et Zed
for Lotus crypteront tout l’email, ainsi que
les pièces jointes, de poste à poste. Les
documents ne sont déchiffrés que lorsque
l’utilisateur dispose des clés nécessaires.
ZoneCentral s’adapte aux besoins de
l’entreprise avec ses solutions parallèles Zone
Express, dédiée à l’encryption des laptops,
et Zone Mobile, disponible en juin 2008, qui
chiffre les PDA : base de contacts, pièces
jointes, cartes de stockage, historique…
Toutefois, l’utilisateur doit toujours réfléchir
au type de déploiement voulu. «En cas de
perte de données, de vol ou de catastrophe,
le recouvrement des données n’est possible
que si un mot de passe a été convenu
avant de remettre les clés aux utilisateurs»,
explique Xavier Conqui. Zone Central est
donc une solution au paramétrage très fin,
qui permet autant de sécuriser par «frappes»
chirurgicales que d’étendre la protection au
système entier.
AVRIL 08 71

23/04/2008
IT Industrialization
«Mastering your Business Agility»
ORGaNiSatEuR: Fujitsu Siemens Computers Luxembourg
en collabaoration avec Gartner
et Fujitsu Services
tHÈME: IT Industrialization
DatE: 23/04/2008
liEu: Mercure Kikuoka Golf Club
Informations et inscriptions:
www.fujitsu-siemens.lu/events/industrialization/index
06/05/2008
First Tuesday Luxembourg :
online search tools
ORGaNiSatEuR: First Tuesday Luxembourg
tHÈME: Online Search Tools
DatE: 06/05/2008
liEu: Sofi tel Luxembourg
Informations et inscriptions:
www.fi rsttuesday.lu
24/04/2008
Petit-déjeuner d'ITnews :
Business Process Management (BPM)
ORGaNiSatEuR: Petit-déjeuner d'ITnews
tHÈME: Business Process Management (BPM)
DatE: 24/04/2008 dès 8h30
liEu: Confi serie Namur, Luxembourg-Hamm
Informations et inscriptions:
www.itnews.lu/eventbpm
08/05/2008
Identity, Access & Compliancy
Management avec les produits
de sécurité IBM Tivoli
ORGaNiSatEuR: IBM
tHÈME: IAM & Compliance
DatE: 08/05/2008
liEu: IBM - Hesperange
Informations et inscriptions:
www.ibm.com/events/be
C
M
J
CM
MJ
CJ
CMJ
N
25/04/2008
29/04/2008
IP Day in Luxembourg :
La valeur économique
des droits de propriété intellectuelle
ORGaNiSatEuR: Ministère de l’Economie
et du Commerce extérieur, AIPPI,
Centre de Veille Technologique, Luxinnovation
tHÈME: Propriété intellectuelle
DatE: 25/04/2008 de 14h à 17h
liEu: Chambre de Commerce,
Informations et inscriptions:
www.luxinnovation.lu
Qualité et ergonomie
au service de vos applications web
ORGaNiSatEuR: CRP Henri Tudor
tHÈME: Qualité et ergonomie au service
de vos applications web
DatE: 29/04/2008
liEu: CRP Henri Tudor - 29, Avenue John F. Kennedy
Luxembourg-Kirchberg
Informations et inscriptions:
www.sitec.lu
15/05/2008
22/05/2008
Conférence/Cocktail ITnews :
Outsourcing
ORGaNiSatEuR: Conférence/Cocktail ITnews
tHÈME: Outsourcing
DatE: 15/05/2008
liEu: Espace Entreprise Confi serie Namur
Luxembourg-Hamm
Golden-i Gala & Awards
Informations et inscriptions:
www.itnews.lu/eventoutsourcing
ORGaNiSatEuR: ITnews avec APSI, sous le patronnage
du Minsitère des Communications
tHÈME: CIO of the Year & Flagship Award
DatE: 22/05/2008
liEu: Espace Entreprise Confi serie Namur
Luxembourg-Hamm
Informations et inscriptions:
www.goldeni.lu

Grégory, Laurence, Patrick, Stephan, Yuri, Tobias, David, Renaud, Hassan, Yann, Benno, Reinhard, Steve, Khalid, Frédéric, Patrick,
Christophe, Damien, Mickaël, Renato, Olivier, Michael, Arnaud, David, Bruno, Robert, Sébastien, Eric, Loïc, Frédéric, Georges,
Stéphanie, Petra, Redouane, André, Ludovic, Dominique, Jean-Luc, Raphaël, Sandrino, Guillaume, Stephen, Julien, Zahir,
Olivier, David, Didier, Michael, Marc, Karine, Laurent, Boris, Anthoni, Jean, Robert, Aurélie, Mathias, Benjamin, Grégory, Pierre-
Olivier, Lionel, Frédéric, Sébastien, René, Jean-Paul, Anissa, Marc, Sergio, Walter, Yuksel, Saïd, Steve, April, Nathalie, Nadine,
Lionel, Gilles, Christian, Olivia, Bernard, Pierre, Yves, Daniel, Geoffrey, Maria, Gautier, Pascal, David, Marc, Stéphane, Thomas,
Sébastien, Nicolas, Pierre, Marie, Brice, Bertrand, Sébastien, Olivier, Samuel, Roland, Yves, Ivan, Mark, Matt, David, Jean-Pierre,
Xavier, Michel, Olaf, Sébastien, Boris, Jerome, Yves, Sarah, Maxime, Ludovic, Andy, Emilie, Jochen, Jeremy, Luis, Arnaud,
Mélanie, Christophe, Olivier, Ruben, Georges, David, Katia, Michel, Nicolas, Max, Catherine, Arnaud, Cédric, Nathalie…
…ONT CHOISI UN MEILLEUR JOB AVEC LANCELOT,
ET VOUS ?
www.elancelot.com
CABINET DE RECRUTEMENT SPÉCIALISÉ EN ICT AU LUXEMBOURG
SIMPLICITÉ • DISCRÉTION • EFFICACITÉ
+(352) 26 38 93 57
IT Recruitment & Consulting

BUSINESS DECISION MAKER
Petit-déjeuner
Business Process Management
Gestion des processus
métier : les enjeux de la
maîtrise
L’automatisation des processus : un moyen d’orchestrer les
actions de chacun pour une meilleure efficacité.
Le fonctionnement de toute organisation repose sur des processus : on les
qualifie de «cœur de métier» lorsqu’il s’agit d’un domaine touchant au métier, et
de «transverses» pour les fonctions de type RH, Achats, Juridique… Parmi eux,
certains sont critiques et doivent être automatisés, afin de fournir aux utilisateurs
des applications informatiques mieux structurées et évolutives. Pour répondre à
ces enjeux sur le marché luxembourgeois, la société Aubay a choisi de s’appuyer
sur la solution W4 BPM Suite pour proposer cette démarche à ses clients.
Chaque entreprise aujourd’hui cherche à
améliorer la qualité de ses produits et de ses
services. Les enjeux sont de taille, que ce soit
dans le secteur privé ou dans les services
publics. Il s’agit de faire face à la concurrence,
d’augmenter la satisfaction client (ou des
administrés), de répondre aux exigences des
réglementations… Comment mettre en place
une solution pour maximiser l’efficience des
processus dont dépendent les produits et
les services, en assurant un contrôle sur leur
déroulement dans une sécurité optimale ?
Une méthodologie
pragmatique
Les processus traversent toute l’organisation et
impactent un grand nombre de services. Il est
donc nécessaire d’obtenir l’adhésion de tous
pour mener à bien un tel projet. «Comprendre
les processus de l’entreprise peut mettre à
jour certains dysfonctionnements», prévient
Philippe Laurent, Senior ECM Consultant chez
Aubay Luxembourg. Cependant, cela n’est
pas un obstacle car dans ce type de projet,
il faut rester les pieds sur terre : les différents
intervenants savent déjà travailler ensemble,
ainsi la mise en place des applications les
aidera sans nécessairement commencer par
une refonte de l’organisation.
Donc, un des principes de la mise en
place réside dans la capacité à prendre en
compte l’existant en se mettant à la place
de l’utilisateur : quelles sont les informations
dont il a besoin pour mener à bien chacune
des tâches qui lui incombent, où perd-on
du temps... Une fois les premiers résultats
de l’automatisation obtenus, il sera temps
d’optimiser le processus.
Des solutions
évolutives
Expliciter les processus est la clef de la
réussite des projets, en évitant l’effet tunnel
dans la mise en place : chaque évolution se
fait en différentiel par une modification du
processus. Les impacts des modifications
sont très locaux et ne nécessitent pas
une revalidation globale de l’ensemble du
processus. «Rajouter une étape de validation
ne modifie pas le comportement des autres
étapes», assure François Bonnet, responsable
marketing chez W4. Il n’est pas rare que les
entreprises fassent évoluer leurs processus
plusieurs fois par an.
Des résultats
tangibles
Grâce à la mise en place de la solution W4
BPM Suite, aujourd’hui dans certaines
administrations 95% des dossiers reçus sont
traités dans les délais ; dans certaines banques,
les chargés de clientèle disposent de 5 à 10%
de temps commercial supplémentaire pour se
consacrer à la nouvelle clientèle, et le délai de
traitement d’une demande a été ramené à une
heure plutôt qu’une journée ; dans l’industrie,
74 AVRIL 08

plus de produits sont lancés dans les délais
avec une qualité améliorée ; les assureurs
arrivent à diminuer les temps de traitement des
dossiers sinistre par quatre ; et les opérateurs
de telco peuvent faire face à l’augmentation
de la demande avec une prestation de service
irréprochable dans la fourniture de lignes …
Petit-déjeuner
d’ITnews
Jeudi 24 avril 2008
Thème : Business Process Management
Quand ? Jeudi 24 avril 2008 à partir de 8h30
Où ? Confiserie Namur, Espace entreprises
Luxembourg Hamm
Qui ? François Bonnet Marketing Manager, W4
Luc Bernard Board Director, Aubay
Cas d'études ECM dans un rôle BPM:
• BNP Paribas Private Bank Luxemburg par Philippe
Laurent, Senior ECM Consultant, Aubay Luxemburg
• Barclays Bank par François Bonnet, W4
• Ville d’Arlon par Patrick Adam,
Chef de Division Administrative, Ville d'Arlon
Infos : www.itnews.lu/emailing/bpm/
AVRIL 08 75

Perso
Portrait
Pour vous l’it c’est…
Un outil quasi tout-puissant à la disposition
des entreprises et des individus. Ceux qui
savent s’en servir habilement seront toujours
en avance.
Comment aimez-vous
aborder l’it ?
Idéalement, il faut combiner des compétences
métier avec des compétences IT afi n
d’assurer un alignement optimal entre les
deux.
Qu'est-ce qui vaut la peine d’être
combattu ?
L’incompétence, la mentalité «fonctionnaire».
Le goût
de l’innovation
Carte d’identité :
Prénom : Claude
Nom : Lüscher
age : 43
Nationalité : Suisse
Fonction : Managing Partner
Société : Exigo S.A.
loisirs : Jogging, Gastronomie,
Cigares
Signes particuliers
(ou traits de caractère) :
Direct, pragmatique, mesuré
76 AVRIL 08

Quel est votre sens de l’innovation ?
En citant un grand constructeur américain :
«embrace and enhance». Il faut avoir une
bonne veille technologique et savoir utiliser
et adapter ce qui supporte au mieux les
objectifs de l’entreprise.
Ce que vous aimez le plus dans
votre métier ?
La diversité.
Ce que vous aimez le moins dans
votre métier ?
Les gens qui ne savent (n’osent) pas prendre
des décisions.
Comment considérez-vous la place
luxembourgeoise ?
Comme un paradis… fragile.
Pour vous, quel est le produit ou
solution professionnel de l’année ?
Avaloq, une solution «core banking» d’origine
suisse qui, avec son apparition sur le marché
luxembourgeois, a marqué le début de toute
une série de remises en cause des solutions
existantes dans les banques de la place.
Banque en ligne ou billet en papier ?
Banque en ligne
Pourquoi choisir Exigo ?
Pour nos consultants qui font la différence.
Pour notre capacité à combiner l’expertise
bancaire avec la compétence IT et à favoriser
un meilleur alignement de l’IT avec les
objectifs du business.
À quoi ressemble votre journée type ?
Il n’y a pas de journée type mais régulièrement,
on trouvera évidemment les réunions
clients, les interviews, le networking,
le développement de nouvelles idées…
Développements ou conseils ?
Plutôt le conseil.
Bloc-notes ou PDA ?
PDA !
Quels sont vos passions et hobbies ?
Les randonnées en cabrio ou en moto, la
cuisine et les produits méditerranéens, un
bon cigare entre amis.
Quelle est votre place-to-be préférée
au Luxembourg ?
Le «bar à vin» chez Pascal, le Cat Club, le
Havanna Lounge et le Bar au 8ème du Sofitel,
le Boos Café.
AVRIL 08 77

L’ENTREPRISE
DU MOIS
www.itjobs.lu/bcee
www.itjobs.lu/exigo
www.itjobs.lu/kbl
• T24/GLOBUS ARCHITECTURE,
DEVELOPMENT LEADER
• BUSINESS ANALYSTS CRM/WEB
• SERVICE DESK MANAGERS
KBL European Private Bankers (KBL
epb) est le moteur du Private Banking
européen au sein du KBC Groupe, un
groupe fi nancier international, solide et
performant, comptant près de 50.000
collaborateurs et plus de 13 millions
de clients. De Luxembourg à Monaco,
Londres à Munich, Paris à Genève en
passant par Amsterdam ou Bruxelles,
KBL epb rassemble des banques et
sociétés de gestion spécialisées en
Private Banking.
• ANALYSTE-PROGRAMMEUR
• E-BUSINESS CONSULTANTS
• BUSINESS INTELLIGENCE
CONSULTANTS
www.itjobs.lu/b&d
www.itjobs.lu/ctg
• GESTIONNAIRE D'EXPLOITATION UNIX
• BUSINESS ANALYST FINANCE
• UNIX SYSTEM ADMINISTRATOR
SOLARIS, AIX
• CONSULTANT – BUSINESS PROCESS
MANAGEMENT
• CONSULTANT – OLYMPIC
• AVALOQ PROJECT MANAGER
www.itjobs.lu/fdm
• DÉVELOPPEUR CONFIRMÉ DOT NET
• TRANSFER AGENCY BUSINESS ANALYST
• DÉVELOPPEUR ORACLE PL/SQL
ET POWERBUILDER
• ANALYSTE-DEVELOPPEUR /
SOFTWARE DEVELOPER
www.itjobs.lu/genix
www.itjobs.lu/deloitte
www.itjobs.lu/gfi
Kredietbank Luxembourg
43 Boulevard Royal
L-2955 Luxembourg
Tel. : +352 47 97 76 49
Fax : +352 47 26 67
http://www.kbl.lu/
• TRIPLE A ARCHITECT
• TRIPLE A DEVELOPER
• SAP TECHNICAL CONSULTANTS
• ICT FORMATEUR/CONSULTANT
(JAVA, BO)

Déposez votre CV, présentez votre entreprise
et découvrez les dernières offres sur www.itjobs.lu
Devenez annonceur ! Contactez Emilie Mounier au: +352 26 10 86 26 - emilie.mounier@itnews.lu
Toutes les offres d’emploi sont autant accessibles aux femmes qu’aux hommes.
www.itjobs.lu/kelly
• IT DEVELOPER
FOR AN INTERNATIONAL BANK
• HELPDESK FRENCH / ENGLISH
www.itjobs.lu/nvision
• 3 WEB DEVELOPERS
ANALYSTE-PROGRAMMEUR XHTML/CSS
• JUNIOR WEB DEVELOPER
ANALYSTE-PROGRAMMEUR XHTML
• ASSISTANT ADMINISTRATIF DANS
SOCIÉTÉ SPÉCIALISÉE DANS LE WEB
www.itjobs.lu/teamtrade
• BUSINESS ANALYST MUREX
ACCOUNTING MODULE
• INGÉNIEURS D'ÉTUDES OUTILS DE
DÉVELOPPEMENT ORACLE
• CONSULTANT MAÎTRISE D’OUVRAGE
JUNIOR/SENIOR
www.itjobs.lu/crp
www.itjobs.lu/scs
www.itjobs.lu/telindus
• PROJECT LEADER IN IT
FOR HEALTH CARE
• BUSINESS ANALYST
• PRIMARY SYSTEM ENGINEER
CITRIX (H/F)
• SECURITY SALES CONSULTANT
• SPÉCIALISTE TECHNIQUE EN STORAGE
www.itjobs.lu/lancelot
• KERNEL DEVELOPER
• ANALYSTE PROGRAMMEUR
SENIOR PHP
• CHEF DE PROJET DEVPT JAVA
www.itjobs.lu/sfeir
• ANALYSTE / DÉVELOPPEUR JAVA
• ARCHITECTE JAVA
• ANALYSTE / DÉVELOPPEUR .NET
www.itjobs.lu/logica
www.itjobs.lu/sogeti
• DÉVELOPPEUR EN NOUVELLES
TECHNOLOGIES – JAVA / J2EE
• TESTEUR (LUXEMBOURG) M/F
• SENIORS ANALYSTES
PROGRAMMEURS JAVA/J2EE

Lancelot
IT Consulting & Resourcing Services
SAN STORAGE SYSTEM ENGINEER LUXEMBOURG
Our client is an international IT solution provider that helps clients plan, build and support their IT infrastructures.
MISSION:
• Installation, confi guration, administration and troubleshooting
of large heterogeneous backup and storage infrastructure.
• Incident handling with respect of targeted resolution times.
• Elaboration of operational guidelines / procedures
and technical documentation.
• Evaluation, review and implementation of standards (best practices).
• Participation in architectural design / reviews
and relevant client meetings
• Implementation of design changes.
SPECIFICATIONS DU POSTE
• Début: ASAP
• Lieu: Luxembourg
• Salaire: 55000.00-70000.00
PROFIL:
• In-depth technical knowledge of EMC high-end hardware and
management software, and Unix Solaris, Windows NT/2000+, Linux.
• In-depth knowledge of (some of): Oracle, Microsoft SQL Server,
MS Exchange and TCP/IP networking (especially related
to backup and storage)
• Ability to write and debug scripts in any one or more
of the following operating systems (Solaris, Windows or Linux)
• Solution driven and user-satisfaction oriented
• Ability to work in a demanding environment
where time fl exibility is mandatory.
• Technical knowledge of application environments
and their interactions with storage/backup environments
• Capabilities to manage small technical projects.
• Good knowledge, written and spoken, of English and/or French
• Minimum 5 years of relevant experience
• Certifi cation in SAN and/or NAS product(s)
• Certifi cation in at least one storage manufacturer's product range
• Certifi cation in Backup products.
• Certifi cation in either Solaris, Windows or Linux.
Lancelot Consulting
83, rue de Hollerich
L-1741 Luxembourg
Tél. +(352) 26 38 93 57
apply@elancelot.com
www.elancelot.com
INTÉRESSÉ(E) ? POUR POSTULER:
Si vous souhaitez postuler pour ce poste, merci de nous faire parvenir votre candidature à l’adresse suivante: mcastro@elancelot.com
en ajoutant le texte suivant dans l’objet de l’email: “Réf. 387 - SAN STORAGE”
Votre CV doit être de préférence en format MS WORD ou RTF.
Confidentialité assurée! Pour les offres d’emploi, Lancelot s’engage à ne jamais envoyer un CV à un client sans avoir demandé au préalable
l’accord du candidat.
Analyste-Développeur Java Expérimenté
TYPE DE CONTRAT : CDI • TYPE D'EMPLOI : Temps plein • RÉFÉRENCE : 149988
Vous êtes intéressé(e) ?
N'hésitez pas à envoyer votre dossier à :
CTG LUXEMBOURG PSF
Melle Staebler Audrey
ZA de Bourmicht, 10
L-8070 Bertrange
audrey.staebler@ctg.com
www.thisisctg.lu
VOTRE MISSION :
• Vous interviendrez sur des projets J2EE dans le secteur fi nancier
(banques et assurances).
VOTRE PROFIL :
Developpeur java expérimenté avec une expérience d'au moins 2 ans
avec les technologies suivantes :
• Spring
• Strut
• Java J2EE
LANGUES :
• Français
• Anglais
VOS APTITUDES :
• Sens de l’organisation
• Capacité d’analyse
• Esprit d’équipe
• Bon relationnel
• Critique
• Rigoureux
NOTRE OFFRE :
• Un 13 ème mois
• Une Voiture de société
• Une Carte carburant
• Des Tickets Restaurant à 8,40
• Prime de parrainage
• 26 à 31 jours de congés
• Un Plan de formation personnel
• Une Gestion de carrière
• Des Missions valorisantes
Vous souhaitez mieux nous connaître CTG ? Rendez-vous sur www.thisisctg.lu

Vous recrutez ? Votre annonce ici pour seulement 450 !
VOS AVANTAGES:
• Plus de 7000 lecteurs spécialisés en IT
• La solution pour à la fois recruter et renforcer votre image
• Une parution de l’annonce couplée dans le magazine ITnews 2.0
et sur le site www.itjobs.lu
• Aucun frais de graphisme
SPÉCIFICATIONS TECHNIQUES:
Vous nous transmettez:
• Votre logo
• Votre annonce
Nous faisons la mise en page...
VOTRE TARIF:
• 450€ seulement pour une parution à la fois dans le magazine
ITnews 2.0 et sur le site www.itjobs.lu
MAKANA - Emilie Mounier
83, rue de Hollerich
L-1741 Luxembourg
T +352 26 10 86 26
F +352 26 10 86 27
emilie.mounier@makana.lu
www.makana.lu
PLUS D’INFORMATIONS:
MAKANA - Emilie Mounier - 83, rue de Hollerich - L-1741 Luxembourg - T +352 26 10 86 26 - F +352 26 10 86 27
emilie.mounier@makana.lu
SYME_264951_IT-Risk-UK-A4 16/03/2007 16:06 Page 1
Principal System Engineer (SE) for Luxemburg
Symantec is recruiting
MISSION :
PROFIL :
The Principal System Engineer will work with the sales teams in a The candidate must have a Bachelor's degree in Computer Science,
pre-sales role to develop and position solutions involving Symantec’s Engineering or related fi eld, 6-8 years experience in systems
The products. vulnerability The SE Delivers of your presentations business and participates in
administration, pre-sales or related fi eld. Strong knowledge and
conference call discussions, confi rms that Symantec’s products meet understanding of the storage and security industry. In-depth
the prospect’s requirements is connected and assist sales to the in technical enormity qualifi cation. of your knowledge IT infrastructure
of multiple Operating Systems such as UNIX, Windows
He or she also needs to be able to articulate and demonstrate and storage devices. Must possess good presentation skills. Strong
Symantec solutions, and is connected position products torelative an accurate to the competition. assessment interpersonal of the skills. risks Ability involved to relate to a wide range of technical
Actively delivering presentations at high level speaking engagements, staff and managers in customer environments. Excellent verbal and
seminars and trade shows is connected are also part of tothe solutions assignment. This that manage written security, communication availability skills in French/English. and compliance Good knowledge of
position may require travel throughout Belgium and Luxemburg. the storage & security landscape.
is connected to Symantec Global Services for results that shine
WHEN : ASAP
from assembly line to the bottom line.
Wouter Marien
Symantec Corporation
Offi ce: +32 25311142
www.symantec.com
wouter_marien@symantec.com
APPLY ?
contact Wouter Marien by email

Special
Offshoring :
india...
Le 15 mai 2008
ITnews 2.0 Spécial Outsourcing
SOURCING: IN & OUT, AND SPECIAL INDIA
Sourcing: la définition des besoins
Comment s'engager sur la voie du sourcing?
Un bon contrat vaut mieux que deux tu l'auras...
Sourcing: tendances 7 ou 9 ans?
Outsoucing / Cosourcing / Insourcing / Hubbing... Jusque où aller ?
Sourcing de base : outtasking, cotasking, body shopping...
Le management des partenaires de sourcing
Communiquer : l'essentiel, mesurer : l'incontournable
La qualité dans le sourcing : standards & méthodes
Big players, big projects, big bangs...
Et les PME ?
Mais aussi: les (nouveaux) PSF...
SaaS : extreme sourcing ?
BPO
Tailor-made sourcing: mutualisation 'one to one'
ITnews 2.0 Outsourcing Special
Contacts: Rédaction: raphael.henry@itnews.lu
Publicité: emilie.mounier@itnews.lu
EN juin 2008
DATACENTERS
& INFRASTRUCTURE
Clôtures: Manifestation à intérêt : 21 avril 2008
Contribution: 28 avril 2008
Parution et conférence: 15 mai 2008

SOUS LE HAUTPATRONAGE DU MINISTÈRE DES COMMUNICATIONS
&
PRESENTENT
Qui sera le CIO de l’année 2008 ? Quelle sera l’entreprise de l’année 2008 ?
Places limitées, réservez votre table dès à présent sur info@itnews.lu
www.goldeni.lu
EVENT PARTNER:
MEDIA PARTNER:

©2008
_Gen_223x275_v1a_kb.indd 1 3/31/08 6:15:44