ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
LUXEMBOURG<br />
AVRIL 2008 / N°09<br />
<strong>IT</strong> FINANCE ACTUAL <strong>IT</strong> ACTUAL <strong>IT</strong><br />
<strong>New</strong> Access<br />
Arrived !<br />
p.22<br />
Namestock<br />
À vos marques<br />
p.68<br />
Microsoft<br />
2008 Series<br />
p.65<br />
1<br />
LE GRAND DOSSIER SÉCUR<strong>IT</strong>É • Spécial IAM, Risk and Security Management<br />
<strong>ING</strong> : <strong>IT</strong> <strong>New</strong> <strong>Generation</strong><br />
LE GRAND ENTRETIEN<br />
Philippe Gusbin<br />
Membre du Comité de Direction, OPS & <strong>IT</strong><br />
<strong>ING</strong> LUXEMBOURG<br />
EN KIOSQUE - LUXEMBOURG Eur 7.50<br />
: Les meilleures offres d’emploi <strong>IT</strong> au Luxembourg - P78
The vulnerability of your business<br />
is connected to the enormity of your <strong>IT</strong> infrastructure<br />
is connected to an accurate assessment of the risks involved<br />
is connected to solutions that manage security, availability and compliance<br />
is connected to Symantec Global Services for results that shine<br />
from assembly line to the bottom line.<br />
C<br />
M<br />
J<br />
CM<br />
MJ<br />
CJ<br />
CMJ<br />
N<br />
Copyright © 2007 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and<br />
other countries. Other names may be trademarks of their respective owners.<br />
Manage <strong>IT</strong> risk and cost across your entire operation with the unmatched expertise of Symantec.<br />
The first step in dealing with <strong>IT</strong> risk is to quantify it precisely. Our expert assessments quickly give you the necessary input<br />
to select the appropriate solution to fit your needs and budget. And once <strong>IT</strong> risk is mitigated, the cost advantages throughout<br />
your enterprise can be dramatic. Realise the potential in your operation with the help of the Global Services team from<br />
Symantec. Get in touch with a representative by emailing emea_csc@symantec.com or visit symantec.com/confidence_uk<br />
for more information.<br />
Confidence in a connected world.
est un magazine<br />
83 rue de Hollerich<br />
L-1741 Luxembourg<br />
Grand-Duché de Luxembourg<br />
T. +352 26 10 86 26<br />
F. +352 26 10 86 27<br />
E. info@itnews.lu<br />
Internet: www.itnews.lu<br />
© Photography Raoul Somers<br />
Eric Busch<br />
Directeur de la publication<br />
M. +352 691 43 45 45<br />
eric.busch@itnews.lu<br />
Delphine Reuter<br />
Journaliste<br />
delphine.reuter@itnews.lu<br />
Raphaël Henry<br />
Rédacteur<br />
M. +352 691 99 11 57<br />
raphael.henry@itnews.lu<br />
Émilie Mounier<br />
Chef de projet<br />
M. +352 691 99 11 56<br />
emilie.mounier@itnews.lu<br />
Aurélie Rebel<br />
Assistante de production<br />
aurelie.rebel@itnews.lu<br />
Photography Raoul Somers<br />
www.raoulsomers.lu<br />
Avec la complicité de la<br />
Philharmonie de Luxembourg<br />
Merci particulièrement à Dan Vinkowski<br />
www.philharmonie.lu<br />
Photos<br />
<strong>IT</strong>news 2.0<br />
www.itnews-photos.com<br />
Layout<br />
Piranha et Petits Poissons Rouges<br />
itnews@piranha.lu<br />
Abonnements<br />
Luxembourg 75,- € - Europe 85,- €<br />
www.itnews.lu<br />
<strong>IT</strong>news 2.0, anciennement LuxBox<br />
IBAN LU53 0030 7526 7288 1000<br />
BIC BGL: BGLLLULL<br />
TVA LU 19730379<br />
RC Luxembourg B 95210<br />
Maison d’éditions<br />
Autorisation d’établissement N° 102739<br />
© Toute reproduction, même partielle, est<br />
soumise à l’approbation écrite préalable de<br />
l’éditeur. Tous droits réservés. <strong>IT</strong>news2.0<br />
est membre de Luxorr - Luxembourg<br />
Organization For Reproduction Rights -<br />
info@luxorr.lu<br />
Feu vert à une<br />
sécurité ambitieuse<br />
Bienvenue dans l’univers de la Sécurité 2.0 ! Un monde où les entreprises ne veulent plus<br />
cadenasser leurs accès, mais responsabiliser leurs utilisateurs. Un concept où le mythe du<br />
business comme île intouchable a perdu sa cohérence. Une réalité enfin, pour les acteurs de<br />
la sécurité, qui sont confrontés chaque jour aux mêmes problématiques.<br />
Dans un modèle économique globalisé, l’explosion du volume de l’information et la multiplication<br />
des canaux de communication posent de sérieux défis au business. Or, la sécurité<br />
a toutes les clés en main pour devenir un domaine majeur de l’<strong>IT</strong>. Conscientisation des<br />
utilisateurs, contrôle des menaces, accès à internet, traçabilité… les thèmes qui, au final,<br />
déterminent ce que sont et veulent les utilisateurs de l’<strong>IT</strong> : des solutions fiables, faciles,<br />
accessibles. La sécurité ne pose plus des limites, elle soutient des ponts pour permettre<br />
d’aller plus loin. Le mal nécessaire peut-il donc enfin fournir de la valeur ajoutée ?<br />
Oui, la sécurité 2.0 peut être une opportunité.<br />
Pourquoi est-il si compliqué de témoigner ? Parce que connaître une solution de sécurité et,<br />
pire, en parler, équivaut souvent à exposer les secrets des systèmes <strong>IT</strong>. La sécurité est transparente,<br />
ou invisible. Tant mieux, se dit-on encore souvent. Pourtant, le pari mérite d’être pris.<br />
Pour cela, les entreprises doivent changer d’approche. Finis les murs, les cuirasses, les<br />
boucliers. Vive la prise de risque… consciente. Pour devenir plus visible, plus tangible, elle<br />
doit aussi être portée par ceux qui la connaissent le mieux : les RSSI. À quand un système de<br />
certification inspirée du Guide Michelin, dont les étoiles seraient attribuées aux entreprises les<br />
plus innovantes en matière de sécurité ?<br />
<br />
Delphine Reuter
10703_FSC_UK_Parcel.indd 1 8/04/08 10:33:06
LE GRAND ENTRETIEN<br />
Philippe Gusbin<br />
et Bernard Lhermitte :<br />
<strong>ING</strong> Luxembourg sur mainframe 2.0<br />
///////// ACTUAL <strong>IT</strong><br />
Conférence <strong>IT</strong>news<br />
Mobilité à tous les étages<br />
18<br />
///////// LE GRAND DOSSIER<br />
LuxPET<br />
Communications limpides<br />
19<br />
6<br />
CSSF et Clussil<br />
Symantec<br />
Regards croisés sur le RSSI<br />
28<br />
Sécurité 2.0 : le défi<br />
49<br />
LuxTrust<br />
Zeropiu<br />
So far, so good<br />
30<br />
Luxembourg : I AM attractif<br />
50<br />
CASES<br />
Verizon Business<br />
///////// <strong>IT</strong> FINANCE<br />
<strong>New</strong> Access<br />
Les clés pour le<br />
Relationship Manager<br />
22<br />
Les nouvelles menaces<br />
sous contrôle<br />
IBM<br />
W7 au service de l’audit<br />
Accenture<br />
L’IAM, révélateur d’expertise<br />
32<br />
44<br />
46<br />
///////// PORTRA<strong>IT</strong><br />
Le risque est une opportunité<br />
Dimension Data<br />
Microsoft 2008<br />
Zoom sur les endusers<br />
54<br />
La fi n des systèmes châteaux forts 56<br />
///////// ACTUAL <strong>IT</strong><br />
65<br />
Fast Close & XBRL<br />
24<br />
Claude Lüscher<br />
Responsabilité<br />
67<br />
Liquidités à la DVB Bank<br />
26<br />
Embrace and enhance<br />
76<br />
Namestock de A à Z<br />
68<br />
EN MAI 2008… LE GRAND DOSSIER SERA CONSACRÉ À L'OUTSOURC<strong>ING</strong><br />
Conférence Outsourcing et PsF :<br />
le 15 mai 2008 – espace entreprise de la Confiserie namur – luxembourg hamm<br />
Clôture: 28 avril 2008 / Rédaction: raphael.henry@itnews.lu / Régie publicitaire et infos conférence: emilie.mounier@itnews.lu<br />
AVRIL 08 5
BUSINESS DECISION MAKER<br />
LE GRAND ENTRETIEN<br />
Philippe Gusbin<br />
<strong>ING</strong> Luxembourg :<br />
Nouveaux horizons<br />
6 AVRIL 08
le grand entretien<br />
AVRIL 08 7
BUSINESS DECISION MAKER<br />
Philippe Gusbin, qui est <strong>ING</strong><br />
Luxembourg ?<br />
<strong>ING</strong> Luxembourg est une banque qui est<br />
présente sur la Place grand-ducale depuis<br />
plus de quarante ans - depuis les années<br />
’60 - et qui possède donc un track record<br />
assez long. Les dénominations ont été différentes<br />
à travers le temps, notamment avec<br />
le Crédit Européen, puis aujourd’hui avec<br />
<strong>ING</strong> Luxembourg.<br />
Pour quels clients ?<br />
<strong>ING</strong> Luxembourg est une banque universelle,<br />
ce qui suppose que nous servons<br />
différents types de clientèle. La première est<br />
une clientèle de Private Banking - un pôle<br />
important pour la Place luxembourgeoise.<br />
En effet, le groupe a pris la décision, il y a un<br />
an, de rassembler ici à Luxembourg tout le<br />
know-how en matière de gestion centralisée<br />
et de sélection de fonds tiers à destination<br />
de la clientèle Private Banking. Ainsi, toutes<br />
les compétences du groupe ont été concentrées<br />
sur Luxembourg, après une ‘compétition’<br />
entre les différents pays où <strong>ING</strong> est actif<br />
dans le Private Banking…<br />
Le deuxième type de clientèle, c’est la clientèle<br />
Retail, de particuliers, pour laquelle nous<br />
avons un réseau d’une quinzaine d’agences<br />
- qui dessert aussi la clientèle privée par ailleurs.<br />
Bernard Lhermitte,<br />
Head of <strong>IT</strong> d'<strong>ING</strong> Luxembourg<br />
Enfin, nous avons une clientèle d’entreprises<br />
- nous l’appelons Wholesale - où nous<br />
retrouvons aussi bien des groupes<br />
multinationaux (WRM), que des grosses et<br />
moyennes entreprises. Ce sont donc des<br />
entreprises de taille différente, avec des<br />
approches stratégiques du groupe <strong>ING</strong><br />
adaptées. Ainsi pour les WRM, le pilotage de<br />
la relation est global au niveau du Groupe, et<br />
pour les large et mid corps, nous avons des<br />
pilotes plus locaux ou régionaux - ce qui est<br />
principalement le cas ici au Luxembourg. Au<br />
niveau du groupe, les compétences d’<strong>ING</strong><br />
Luxembourg sont souvent utilisées pour<br />
effectuer des opérations d’envergure. Dans<br />
les autres activités Wholesale, il y a encore les<br />
Financial Institutions, qui sont les compagnies<br />
d’assurances, les PSF, etc…, et enfin, le<br />
Financial Markets, le Financial Engineering.<br />
C<br />
M<br />
Y<br />
CM<br />
MY<br />
CY<br />
8 AVRIL 08<br />
CMY<br />
K
BUSINESS DECISION MAKER<br />
Avez-vous d’autres activités<br />
localement ?<br />
Nous avons aussi une clientèle interne groupe<br />
importante pour laquelle nous prestons pour<br />
des clients comme IIM, l’Asset Manager du<br />
groupe, et IPCM, l’entité de gestion de fonds<br />
destinés à la clientèle en Private Banking.<br />
Ainsi, les services Transfer Agent et Custody<br />
liés à l’industrie des fonds sont prestés chez<br />
<strong>ING</strong> Luxembourg. Nous sous-traitons aussi<br />
certaines activités, notamment sur le Fund<br />
Admin.<br />
Quelle est la taille d’<strong>ING</strong><br />
Luxembourg ?<br />
Nous occupons 830 collaborateurs et selon<br />
les critères et segments, nous sommes<br />
considérés comme la quatrième banque<br />
de la Place. Au niveau grand-ducal, nous<br />
retrouvons donc <strong>ING</strong> Luxembourg, <strong>ING</strong><br />
Lease et Car Lease (leasing et car leasing à<br />
destination des entreprises), ainsi qu’<strong>ING</strong> Life<br />
(nos prestations d’assurances à destination<br />
de la clientèle Retail et Private Banking).<br />
Elles sont très diverses,<br />
ces compétences ?<br />
Oui effectivement, et lorsque l’on va parler<br />
d’<strong>IT</strong>, il s’agira donc d’un vrai exercice.<br />
Car lorsque nous devons adresser des<br />
problématiques Retail, Private Banking,<br />
Fonds, Wholesale (de WRM, les grandes<br />
entreprises, aux PME) ou Financial Markets,<br />
ce n’est effectivement pas la même chose…<br />
Cela relève d’un défi permanent pour<br />
l’ensemble de l’organisation.<br />
Et la croissance est au rendez-vous…<br />
Pour 2007, l’ABBL a fourni des résultats au<br />
niveau du monde bancaire luxembourgeois<br />
que l’on voit faiblement évoluer. Au contraire,<br />
au niveau d’<strong>ING</strong> Luxembourg, on note une<br />
progression de 35 %, où tous les segments<br />
ont contribué, de manières diverses, au résultat<br />
d’ensemble. La diversité de nos activités<br />
génère une certaine complexité de gestion,<br />
mais cela permet surtout d’assurer une certaine<br />
homogénéité des performances dans<br />
les résultats fournis. <strong>ING</strong> Luxembourg, dans<br />
le groupe <strong>ING</strong>, preste toujours bien et même<br />
très bien… L’année 2007 a été particulièrement<br />
exceptionnelle pour <strong>ING</strong> Luxembourg.<br />
C’est une bonne nouvelle et surtout, cela<br />
nous permet de nous positionner au niveau<br />
des axes stratégiques importants du groupe.<br />
Qu’est-ce qui est stratégique<br />
pour vous ?<br />
Pour <strong>ING</strong> Luxembourg, un des premiers<br />
axes, c’est la croissance. Chaque métier doit<br />
générer de la croissance, développer son<br />
fonds de commerce et trouver de nouvelles<br />
sources de revenus.<br />
Un autre axe stratégique qui est évident,<br />
c’est l’orientation client, le client au centre<br />
de nos préocupations («customer centricity»).<br />
Cela tombe sous le sens, mais il ne<br />
suffit pas seulement de le dire, il faut aussi le<br />
faire… Et c’est là toute la différence.<br />
J’en arrive à un troisième axe, c’est le «Focus<br />
on Execution». Il ne suffit pas seulement<br />
d’avoir des idées et de les avoir priorisées, il<br />
faut réussir à les implémenter.<br />
Est-il plus facile ou plus difficile<br />
d’être concret localement ?<br />
<strong>ING</strong> Luxembourg est une entité qui preste<br />
bien. Nous nous trouvons dans un contexte<br />
au Grand-Duché de Luxembourg qui est<br />
un peu particulier. Tout ceci fait que nous<br />
intégrons, bien évidemment, les politiques<br />
groupe, mais que nous avons aussi<br />
une certaine indépendance, entre autres<br />
au niveau de l’<strong>IT</strong>. La stratégie <strong>IT</strong> est définie<br />
L'Annonce_Avaloq_2007_210x45mm-left-hand-page.pdf 30.11.2007 13:39:05<br />
à partir de Luxembourg. Elle est bien sûr<br />
alignée sur la stratégie <strong>IT</strong> du groupe. Nous<br />
ne le faisons pas seuls et nous souhaitons<br />
utiliser toutes les compétences et réutiliser<br />
ce qui existe dans le groupe. Nous sommes<br />
très pragmatiques ; nous ne sommes pas un<br />
centre de recherche, nous sommes là pour<br />
implémenter.<br />
Bernard Lhermitte, pouvez-vous<br />
nous donner un exemple ?<br />
On considère qu’être dans un groupe comme<br />
<strong>ING</strong>, c’est une réelle opportunité car <strong>ING</strong><br />
possède un certain poids sur le marché,<br />
notamment vis-à-vis des fournisseurs. Même si<br />
à Luxembourg nous avons une certaine autonomie,<br />
nous jouons la synergie avec le groupe.<br />
Concrètement, on vient de terminer un projet<br />
de migration du mainframe pour notre<br />
architecture informatique. Nous étions sur Bull<br />
depuis une vingtaine d’années et désormais<br />
nous sommes passés sur IBM. Dans ce cas<br />
de figure, nous avons vraiment fait jouer la<br />
synergie de groupe, car IBM est un fournisseur<br />
standard du groupe et nous avons aussi<br />
pu profiter directement des compétences<br />
existantes d’<strong>ING</strong>. En effet, le paramétrage<br />
de ce nouveau mainframe a été réalisé avec<br />
l’aide de nos collègues hollandais du groupe.<br />
Un autre axe de synergie touche aussi notre<br />
environnement de développement qui va<br />
être centralisé aux Pays-Bas. Les machines<br />
se trouvent là-bas, dans un environnement<br />
très élaboré. Les gens de l’<strong>IT</strong> resteront ici<br />
et développeront toujours à partir d’ici, bien<br />
évidemment avec des données banalisées.<br />
D’autres exemples ?<br />
Au niveau des applicatifs, nous utilisons<br />
Kondor+ pour la salle des marchés qui est<br />
centralisé pour tout le groupe. Notre activité<br />
est gérée à partir de Luxembourg mais sur<br />
des applicatifs centralisés. Par contre à côté
BUSINESS DECISION MAKER<br />
de cela, on développe en local pour notre<br />
clientèle Retail et Private Banking, à la fois<br />
en termes de front-office et de back-office,<br />
et on développe des applications localement<br />
avec nos propres choix technologiques<br />
et notre propre architecture applicative.<br />
Ce sont vraiment des approches très<br />
complémentaires qui accroissent nos<br />
capacités à supporter le business…<br />
C’est donc une approche orientée<br />
re-usability ?<br />
C’est une approche très pragmatique : ce<br />
qu’on peut réutiliser est le mieux. On ne veut<br />
pas réinventer les choses si cela n’est pas<br />
nécessaire. Cela fonctionne parce qu’au niveau<br />
de l’entité, on a de bons résultats et de<br />
ce fait une bonne autonomie dans nos choix.<br />
Entre les Pays-Bas et la Belgique, la synergie<br />
du groupe est encore plus importante, car les<br />
volumes sont différents et les gains de productivité<br />
plus significatifs. Un élément important,<br />
c’est aussi le secret bancaire à Luxembourg<br />
: on ne peut pas tout se permettre en<br />
termes de synergie, et il y a des données<br />
qui doivent impérativement être traitées ici…<br />
Vous êtes reconnus par le groupe pour certaines<br />
compétences. Pouvez-vous envisager<br />
de les développer encore plus ?<br />
Au niveau du Private Banking, le groupe a décidé<br />
de centraliser cette activité de gestion à<br />
Luxembourg parce qu’il y a des compétences<br />
métier évidemment, mais aussi parce qu’il y a<br />
des compétences <strong>IT</strong> capables de supporter<br />
cette activité. Cela s’est fait de manière transparente<br />
avec <strong>ING</strong>, car on avait déjà une partie<br />
de ces activités, et seuls les volumes ont augmenté.<br />
Et on était capable de les supporter.<br />
C’est aussi le cas sur les fonds de tiers : on a<br />
centralisé les flux d’autres entités du groupe<br />
ici, à Luxembourg. Ce n’est pas qu’une problématique<br />
<strong>IT</strong>, mais un service global…<br />
Philippe Gusbin, c’est aussi<br />
important de pouvoir capitaliser sur<br />
cela dans un contexte réglementaire<br />
européen très changeant ?<br />
L’aspect réglementaire et de gestion de risque<br />
est de plus en plus présent. Ce sont des<br />
compétences qui se développent de plus en<br />
plus à l’intérieur du groupe et c’est la même<br />
chose pour l’ensemble de nos confrères et<br />
concurrents. C’est une implication non neutre.<br />
Régulièrement, au niveau de l’<strong>IT</strong>, c’est<br />
une charge de développement très lourde.<br />
À cela s’ajoutent les spécificités du Grand-<br />
Duché de Luxembourg que nous tenons à<br />
respecter.<br />
Bernard Lhermitte : Ainsi au niveau de l’<strong>IT</strong>,<br />
nous sommes habitués de longue date à<br />
tout ce qui est Compliance en respectant le<br />
secret bancaire local. Par exemple, en termes<br />
de ségrégation des tâches, nous sommes<br />
très bien avancés…<br />
Philippe Gusbin, dans ce contexte,<br />
quels sont les éléments qui vous ont<br />
le plus marqué ces derniers temps ?<br />
Sepa, Mifid, Bâle II… Et là on voit l’avantage<br />
de faire partie d’un grand groupe. Ce<br />
sont des projets qui ont été gérés de façon<br />
globale afin d’assurer une cohérence à travers<br />
l’ensemble, mais tout en assurant une<br />
certaine souplesse dans l’implémentation<br />
locale. C’est un bon élément de gouvernance.<br />
Il y avait un steering committee et une<br />
gestion de projets globaux dans lesquels<br />
<strong>ING</strong> Luxembourg, comme d’autres entités,<br />
se sont intégrées. Cela nous a permis dans<br />
certains cas de ne pas avoir à analyser certaines<br />
choses et de gagner beaucoup de<br />
temps et délivrer plus rapidement.<br />
Bernard Lhermitte : Tous les projets que l’on<br />
a cités sont des projets qui ont été adoptés<br />
par toutes les banques de la Place, mais<br />
pour <strong>ING</strong>, étant donné que nous sommes<br />
cotés sur le marché américain, nous avons<br />
aussi dû mettre en place un projet SOX<br />
(Sarbanes-Oxley). C’est un projet réglementaire<br />
très contraignant. Cela nous a obligés<br />
à nous poser d’autres questions et est une<br />
charge supplémentaire non négligeable.<br />
10 AVRIL 08
leasing made smarter<br />
leasing made smarter<br />
leasing made smarter<br />
leasing made smarter<br />
leasing made smarter<br />
leasing made smarter<br />
Leasing privé<br />
Leasing operationnel<br />
Leasing professionnel<br />
Gestion personnalisée de flottes<br />
Le sur mesure de la gestion de parc<br />
CARTRUST SA 11, RUE DE B<strong>IT</strong>BOURG L-1273 Luxembourg-HAMM<br />
Tel : (+352) 26 34 35 - 1 E-Mail : info@cartrust.lu www.cartrust.lu
BUSINESS DECISION MAKER<br />
Philippe Gusbin, c’est une charge,<br />
mais cela peut-être aussi un atout…<br />
Lorsque vous faites ce genre de chose,<br />
lorsque vous passez au crible votre organisation,…<br />
c’est une contrainte, c’est une<br />
charge, mais vous en tirez toujours quelque<br />
chose. C’est comme en matière de Risk Management,<br />
c’est une problématique qui est<br />
de plus en plus présente. On parle de Bâle II,<br />
de la problématique des risques opérationnels,<br />
mais aussi des risques IRM (Information<br />
Risk Management), des risques de marché,<br />
des risques de crédit, des risques de sécurité,…<br />
Toutes ces approches sont maintenant<br />
beaucoup plus globales, plus holistiques,<br />
plus complètes. Cela génère un certain formalisme,<br />
mais cela apporte une bien meilleure<br />
connaissance des risques potentiels qui<br />
existent dans une organisation.<br />
Philippe Gusbin : au niveau des départements<br />
informatiques, la philosophie est<br />
d’une grande simplicité : le but, c’est de<br />
s’aligner sur les axes stratégiques d’<strong>ING</strong><br />
Luxembourg. Il y a des axes stratégiques<br />
en matière de génération de valeur, de<br />
croissance, de gouvernance, de maîtrise<br />
des coûts, de gestion des risques…<br />
Le métier <strong>IT</strong> s’aligne sur ces axes<br />
stratégiques et c’est pour cela que nous<br />
fonctionnons en mode projet. Cela nous<br />
permet d’être souple et de nous adapter<br />
en fonction des demandes du business.<br />
Nous avons donc également une approche<br />
matricielle, c'est-à-dire que tout métier a un<br />
interlocuteur, un point d’entrée au niveau<br />
de l’<strong>IT</strong>, avec une personne qui doit adresser<br />
ses demandes et gérer l’interaction entre<br />
l’<strong>IT</strong> et le métier lui-même.<br />
nous avions des compétences sur lesquelles<br />
nous pouvions nous appuyer. C’est un<br />
projet de 40 mois qui a utilisé près de 2 ans<br />
de capacité projet. Le but pendant cette<br />
perte de ressources, c’était de compenser,<br />
de faire que les lignes business ne voient rien<br />
à cette transition. Nous devions faire en sorte<br />
que ce processus de migration soit le plus<br />
transparent possible… Si bien que les lignes<br />
business, à un certain moment, ne savaient<br />
plus qu’il y avait un processus de migration<br />
en cours... Nous avons staffé et nous nous<br />
sommes organisés pour continuer à délivrer<br />
le business en toute transparence.<br />
La conclusion de ce projet s’est déroulée le<br />
12 janvier 2008 où nous avons livré le projet.<br />
Tout s’est bien passé : la migration effective a<br />
commencé un vendredi soir et le lundi matin,<br />
les gens dans les agences ont ouvert leurs<br />
Cela draine-t-il la performance ?<br />
Oui, lorsque vous maîtrisez bien vos risques,<br />
c’est que vous vous connaissez mieux. Et si<br />
vous vous connaissez mieux, vous pouvez<br />
vous améliorer…<br />
Bernard Lhermitte : On peut profiter de<br />
ces projets pour dégager des avantages,<br />
dont la simplification des process. SOX<br />
nous a obligés à revoir bon nombre de<br />
nos process. Ainsi, nous avons mis en<br />
place une approche Lean Six Sigma, pour<br />
simplifier certaines chaînes de valeur dans<br />
la banque.<br />
Le but, c’est de faire en sorte que cela s’applique<br />
réellement sur le terrain, dans un vrai<br />
partenariat. Par exemple, les cahiers de charges<br />
se font ensemble, car la compétence ne<br />
se trouve pas forcément à un seul endroit. On<br />
en parle pour les développements, mais aussi<br />
pour les synergies. C’est le cas dans d’autres<br />
entités en Europe qui tournent carrément sur<br />
des applications groupes en direct.<br />
Comment tout cela se profile-t-il ?<br />
Il y a quatre ans, une décision-clé a été<br />
prise : passer de Bull vers IBM qui est un<br />
standard groupe. Nous savions donc que<br />
terminaux et tout était opérationnel… Il n’y a<br />
eu que quelques petits soucis très mineurs.<br />
Bernard Lhermitte : Cela a été un challenge<br />
énorme : migrer un mainframe, ce sont des<br />
millions de lignes de codes à migrer… La raison<br />
de ce choix mainframe ? D’abord, c’est<br />
un standard du groupe mais aussi pour ce<br />
que le mainframe offre en termes de fiabilité,<br />
de capacité, de performance et de robustesse<br />
de niveaux inégalés... On a aussi voulu<br />
capitaliser sur les investissements du passé<br />
pour aller vers une nouvelle architecture qui<br />
intègre à la fois du mainframe mais aussi des<br />
nouvelles technologies. L’idée pour nous au<br />
AVRIL 08 13
BUSINESS DECISION MAKER<br />
niveau de l’architecture, c’est de capitaliser<br />
sur le meilleur de chacun des mondes,<br />
mainframe et ouvert.<br />
Philippe Gusbin : Et «last but not least», c’est<br />
vraiment de profiter d’une productivité accrue.<br />
On est donc passé d’un monde à un<br />
autre, avec des machines différentes, mais<br />
surtout intégré dans un monde plus large<br />
et plus performant. Ce n’était pas pour la<br />
beauté du geste…<br />
Bernard Lhermitte, avez-vous profité<br />
de cette refonte pour renforcer ou<br />
développer d’autres éléments ?<br />
Pendant la migration, on a continué à développer<br />
pour les lignes business. Mais l’idée,<br />
c’était de migrer As-Is et surtout de ne pas<br />
mélanger évolutions fonctionnelles et migration<br />
technique afin d’être certains de ne pas<br />
impacter le business. C’est déjà assez complexe<br />
comme ça…<br />
Cobol par exemple), et une équipe dédicacée<br />
aux nouvelles technologies, (présentation,<br />
portail d’entreprise, le site Internet…).<br />
Cette équipe intègre nos applications dans<br />
un portail d’entreprise.<br />
Concrètement, pour le projet de migration<br />
on s’est fait aider par un partenaire externe<br />
spécialisé dans les migrations mainframe.<br />
À notre charge, il y avait la responsabilité de<br />
toute l’intégration et de tout le testing, où<br />
importaient les compétences fonctionnelles,<br />
afin de travailler en partenariat avec les métiers<br />
pour valider la qualité globalement.<br />
Quelles sont vos perspectives ?<br />
Avec tous ces projets de migration et de<br />
mise à niveaux réglementaires terminés,<br />
on se retrouve désormais avec une capacité<br />
à produire des projets dédicacés au<br />
business, à supporter la croissance,… On<br />
a donc initié, fin 2007, une réflexion sur la<br />
Au niveau des aspects réglementaires, 2008<br />
semble s’annoncer comme une année plus<br />
paisible et on espère pouvoir mettre ces<br />
ressources accrues de l’<strong>IT</strong> occupées sur ce<br />
volet-là à destination du business. Au niveau<br />
du projet de migration, c’est un projet qui a<br />
été nominé au niveau du groupe <strong>ING</strong> comme<br />
un projet à très haute valeur. D’ailleurs, le<br />
cœur de l’équipe qui a travaillé sur ce projet<br />
vient de se retrouver convié à Amsterdam,<br />
pour recevoir les félicitations du groupe.<br />
Bernard Lhermitte, avez-vous<br />
réorienté votre portefeuille de<br />
projets ?<br />
Auparavant, nous avions des responsables<br />
de département qui venaient avec leurs<br />
priorités. On les réunissait en fin d’année et<br />
ils nous donnaient leurs priorités. Au sein du<br />
département <strong>IT</strong>, on faisait une synthèse de<br />
tout cela et on retournait vers le Comité de<br />
Direction avec des propositions en adéquation<br />
Quelles compétences tout cela<br />
nécessite-t-il ?<br />
En termes de compétences dans le département<br />
<strong>IT</strong>, on a d’une part l’infrastructure<br />
(system engineering, network engineering,<br />
production, data center) et d’autre part la<br />
partie Applications, où là on est organisé, aligné<br />
par ligne fonctionnelle, pour chacun des<br />
business. Dans ces équipes, on retrouve<br />
différents types de compétences qui sont à<br />
la fois des compétences fonctionnelles, des<br />
compétences techniques (programmation,<br />
manière dont on va gérer les projets dans<br />
le futur et la manière de prioriser les projets<br />
pour le métier.<br />
Philippe Gusbin : Il y avait deux approches<br />
différentes : soit on pouvait dire que l’on<br />
avait terminé une migration et donc que<br />
l’on pouvait réduire la voilure en matière<br />
de ressources <strong>IT</strong> ; ou bien, on conservait<br />
quand même une force de frappe au<br />
niveau <strong>IT</strong>, pour pouvoir soutenir la croissance…<br />
Et c'est cette dernière option que<br />
l’on a retenue.<br />
avec la stratégie de la banque. Le comité<br />
arbitrait et les projets à mener étaient retenus.<br />
Nous avons constaté que nos ressources<br />
pouvaient s’en retrouver éparpillées à force<br />
de vouloir servir tout le monde chaque année.<br />
On a désormais une vue plus globale et on se<br />
concentre mieux sur la stratégie de la banque<br />
et sur la croissance.<br />
On a ainsi défini six axes de priorité : les<br />
Profit Drivers (là où les départements vont<br />
générer de la croissance), les gains de<br />
productivité (principalement améliorer les<br />
14 AVRIL 08
BUSINESS DECISION MAKER<br />
chaînes du Middle et Back Office), la productivité<br />
transversale (là l’<strong>IT</strong> peut se trouver<br />
en tant que Business Enabler comme avec<br />
les technologies d’Enterprise Content management,<br />
de Workflows,…), les Internal<br />
Customers (améliorer la convivialité de nos<br />
applications, parfois simplement par des<br />
quick wins, des choses qui peuvent simplifier<br />
la vie des utilisateurs), les Metrics (mettre à<br />
disposition des départements de la banque<br />
les informations qui leur sont nécessaires<br />
pour le pilotage du business - début 2005,<br />
nous avions reçu les moyens pour mettre<br />
en place un projet d’un nouveau DataWarehouse<br />
et de BI globale), et le core <strong>IT</strong> (le<br />
spécifique à l’<strong>IT</strong>, pour mieux fournir à la banque,<br />
avec une approche «Reuse before Buy<br />
before Build»).<br />
Philippe Gusbin : C’est une approche<br />
très cohérente : on a cet axe stratégique<br />
de développement à la fois des activités<br />
existantes mais aussi de nouvelles activités.<br />
Quels sont les autres assets forts d’<strong>ING</strong> ?<br />
Ce sont bien évidemment les gens… La qualité<br />
des équipes <strong>IT</strong> au niveau d’<strong>ING</strong> Luxembourg<br />
est très élevée. Nous avons de très<br />
bonnes compétences… Mais on sait aussi<br />
qu’à Luxembourg, les compétences sont<br />
difficiles à capter. Ainsi, on cherche sur le<br />
marché grand-ducal mais on regarde aussi<br />
en dehors de celui-ci.<br />
Bernard Lhermitte : C’est effectivement un<br />
challenge pour nous de trouver les bonnes<br />
compétences. Il y a un nombre énorme de<br />
postes <strong>IT</strong> ouverts au Luxembourg et il faut<br />
donc être les premiers afin de recruter les<br />
meilleurs. On a une approche très proactive<br />
en allant au-devant du marché. On se déplace<br />
dans les universités et cela nous a permis<br />
de découvrir de jeunes talents. Il existe désormais<br />
chez nous des formations pour les<br />
faire grandir et les faire évoluer dans l’entreprise.<br />
On se rend compte aussi que l’<strong>IT</strong> est<br />
personnes. Cela représente environ 18 % des<br />
coûts de la banque. Ce qui est un ratio assez<br />
bon en comparaison avec le monde financier.<br />
Avez-vous des repères avec ce que<br />
font les autres acteurs bancaires en<br />
Europe ?<br />
De façon très régulière, nous regardons dans<br />
le marché où nous en sommes. Nous nous<br />
mesurons à des benchmarks. On utilise<br />
des études McKinsey, Gartner, KPMG, etc.<br />
Par exemple, chez McKinsey, on a qualifié<br />
l’<strong>IT</strong> au niveau groupe des banques en<br />
catégories A, B, C et D, suivant des critères<br />
comme leurs dépenses <strong>IT</strong> par rapport aux<br />
dépenses globales. La bonne nouvelle,<br />
c’est que <strong>ING</strong> Luxembourg est considérée<br />
comme une A-Bank, lorsque l’on regarde<br />
les indicateurs. Ce n’est pas pour cela que<br />
l’on s’endort, au contraire… Mais cela nous<br />
fait plaisir en tant qu’une A-Bank d’avoir<br />
une <strong>IT</strong> qui est considérée comme business<br />
Nous sommes curieux ; nous voulons voir,<br />
tester… Nous possédons la machine qui<br />
nous permet d’augmenter cette capacité…<br />
Nous avons de l’oxygène qui s’est libéré en<br />
matières réglementaires et légales… Nous<br />
avons décidé de maintenir la force de frappe<br />
<strong>IT</strong> afin de pouvoir répondre aux besoins<br />
du business… Et nous avons un nouveau<br />
plan de prioritisation des projets. Ainsi dans<br />
l’ensemble, la qualité des projets retenus est<br />
bien meilleure et le scope que nous couvrons<br />
adresse bien mieux les préoccupations du<br />
business que par le passé.<br />
devenu un vivier de talents pour le reste de la<br />
banque. Nous n’avons pas un turn-over important<br />
de personnes qui quittent la banque,<br />
par contre en interne, nos gens sont très prisés<br />
par les départements business.<br />
Philippe Gusbin : Il y a un circuit très classique<br />
qui est : <strong>IT</strong>, opérationnel puis ligne commerciale.<br />
L’<strong>IT</strong>, c’est un métier qui apprend<br />
beaucoup de rigueur et qui oblige à comprendre<br />
les tenants et aboutissants. Et c’est<br />
un mouvement excellent pour l’organisation.<br />
Sur les 850 salariés, l’<strong>IT</strong> compte environ 110<br />
enabler, avec une utilisation des ressources<br />
<strong>IT</strong> parcimonieuse et dans une organisation<br />
qui elle-même est légère et flexible.<br />
Bernard Lhermitte : si l’on devait faire<br />
une cartographie de l’<strong>IT</strong> d’<strong>ING</strong> ?<br />
Je parlerais d’une bonne intégration, de capitaliser<br />
sur le meilleur de chaque monde…<br />
Par exemple, au niveau de l’architecture du<br />
mainframe, des développements en mode<br />
services existent. Dans l’acceptation habituelle<br />
du terme SOA, on ne pense pas<br />
AVRIL 08 15
BUSINESS DECISION MAKER<br />
toujours au mainframe, mais ici on fournit<br />
bien des services, exposés dans un portail<br />
d’entreprise, qui reposent sur l’architecture<br />
mainframe. A côté de cela, on a des packages<br />
comme Triple A, Kondor+, et des packages<br />
pour des métiers spécifiques. On utilise<br />
aussi WebSphere, du J2EE, du web2.0 pour<br />
exposer nos services, pour l’intégration et la<br />
présentation. On réfléchit aussi à faire évoluer<br />
notre portail en capitalisant sur des technologies<br />
aujourd’hui accessibles, sans pour<br />
autant suivre la mode pour la mode, mais en<br />
restant très pragmatique. On a également un<br />
environnement Business Intelligence pour<br />
l’informatique décisionnelle qui repose sur<br />
Oracle et Business Objects. Et nous utilisons<br />
aussi Tivoli pour le pilotage de nos systèmes.<br />
Enfin, nous allons appuyer plus des projets<br />
d’Enterprise Content Management tout en<br />
utilisant les outils de stockage et d’archivage<br />
dont nous disposons déjà.<br />
Vous allez donc mettre en place un<br />
ECM ?<br />
Ici l’<strong>IT</strong> se positionne clairement en «business<br />
enabler». Nous considérons l’ECM comme<br />
stratégique pour la banque et nous allons<br />
effectivement mettre l’accent sur ce domaine.<br />
On a identifié trois projets sur lesquels on va<br />
travailler cette année. Il nous faut structurer<br />
l’approche et choisir un ou des outils en<br />
fonction des besoins qui seront à couvrir. On<br />
a déjà reçu quelques propositions… mais le<br />
choix des outils n’est pas encore arrêté…<br />
16 AVRIL 08
case choice<br />
> Conférence mobilité p 18<br />
> Computacenter et LuxPET p 19<br />
AVRIL 08 17
BUSINESS DECISION MAKER<br />
CONFÉRENCE <strong>IT</strong>NEWS<br />
Mobilité<br />
Jean-Philippe Ricard<br />
L’innovation,<br />
moteur de la mobilité<br />
Lors de la conférence organisée par <strong>IT</strong>news le 13 mars<br />
dernier, Jean-Philippe Ricard, Head of <strong>IT</strong> de RBC Dexia Investor<br />
Services, a évoqué «la culture de l’innovation» en présentant<br />
la façon dont une banque d’envergure mondiale comme RBC<br />
Dexia peut intégrer ses fonctions globales et locales pour<br />
assurer un service complet 24h/24. Début mars, RBC Dexia au<br />
Luxembourg a obtenu le certificat CMMI de niveau 2. «La phase<br />
de post-fusion dans laquelle nous nous trouvons encore nous a<br />
poussés dans cette direction», a dit Jean-Philippe Ricard.<br />
Par la suite, Frank Vissotsky, Manager<br />
application services Benelux chez Computacenter,<br />
a présenté les avantages de l’instant<br />
messaging, une technologie qui s’est<br />
adaptée au monde de l’entreprise. «L’instant<br />
messaging sera intégré à tous les comptes<br />
email d’ici deux ans», a dit Frank Vissotsky.<br />
«La mobilité amène de la vraie valeur business,<br />
a ajouté Laurent Brochmann, CIO de<br />
Deloitte Luxembourg. Les utilisateurs de<br />
Deloitte disposent tous d’un laptop équipé<br />
de VPN, 60% des utilisateurs ont aussi un<br />
téléphone mobile, et le top management<br />
dispose du push mail. Tous ces éléments<br />
sont indispensables à notre succès.»<br />
Frank Vissotsky<br />
Laurent Brochmann<br />
18 AVRIL 08
Technical Development Manager<br />
CASE CHOICE<br />
Mobilité<br />
Cibler l’essentiel<br />
De plus en plus d’entreprises mettent en place des solutions<br />
de mobilité innovantes pour réduire leurs coûts et améliorer la<br />
productivité des utilisateurs.<br />
Aujourd’hui, les desiderata des utilisateurs ont évolué. Ils disposent d’outils de<br />
communication performants (et souvent gratuits) à la maison, et désirent voir<br />
transposées dans le cadre de travail les mêmes facilités. Au-delà de la satisfaction<br />
des employés, les entreprises, en mettant en place des solutions de<br />
mobilité, réfléchissent aussi à la rentabilisation de l’infrastructure. Être mobile,<br />
c’est pouvoir accéder aux ressources de l’entreprise depuis n’importe quel bureau,<br />
et se rendre disponible à tout instant, grâce à des solutions calibrées sur<br />
les véritables besoins des utilisateurs.<br />
«Les utilisateurs veulent une vraie fonction<br />
business, il faut donc optimiser les technologies<br />
pour créer une mobilité réelle», explique<br />
Frank Vissotsky, Manager application services<br />
Benelux chez Computacenter. Dans<br />
certaines entreprises, où l’autonomie des<br />
utilisateurs est très importante, la mobilité<br />
devient une pierre angulaire du business.<br />
«Aujourd’hui, on fait des réalisations plus<br />
complexes sur le terrain. Les technologies<br />
ont gagné en maturité.» L’information a les<br />
mêmes caractéristiques que si elle avait été<br />
saisie au sein de l’entreprise.<br />
Les utilisateurs doivent cependant pouvoir<br />
déterminer leurs besoins. «On ne peut pas<br />
proposer un processus business sur le GSM<br />
d’un représentant, donc on se pose la question<br />
de ce qui peut être rendu mobile pour<br />
analyser la valeur ajoutée et le coût associé»,<br />
explique Frank Vissotsky. L’accès aux<br />
données à distance permet la continuité du<br />
business, via la sécurisation et la synchronisation<br />
des devices. Ainsi, l’ERP, le CRM<br />
ou la logistique sont en partie «déportables»<br />
vers les devices mobiles.<br />
LUXPET : ÊTRE CONNECTÉ<br />
POUR RÉDUIRE LES COÛTS<br />
Avec un peu moins de cent personnes<br />
à Luxembourg, appartenant au holding<br />
Plastipak (5500 personnes worldwide),<br />
LuxPET était à la recherche d’une<br />
solution mobile complète et satisfaisante<br />
pour, en premier lieu, réduire ses coûts.<br />
«Computacenter a travaillé avec Plastipak<br />
durant l’année dernière, explique Jonathan<br />
Mayled, Manager International <strong>IT</strong> Operations<br />
chez LuxPET. Computacenter a rapidement<br />
présenté une solution de convergence basée<br />
sur les téléphones Nokia E61 et le routage<br />
de Cisco.» La mobilité est essentielle pour<br />
Plastipak, dont les entités européennes sont<br />
réparties entre le Luxembourg, la France, la<br />
République tchèque et la Slovaquie.<br />
L’utilisation des Nokia, qui remplaceraient les<br />
téléphones RIM, permettrait de réduire les<br />
coûts de communication d’environ 4 euros<br />
par minute. Multibandes pour faciliter les<br />
communications avec l’Amérique du Nord,<br />
les Nokia E61 permettent la synchronisation<br />
de l’email, l’accès à internet et d’appeler sans<br />
coûts de roaming supplémentaire. Le réseau<br />
de Cisco permet de router les flux de data et<br />
la vidéoconférence (fournie par le Norvégien<br />
Tandberg). Le système a été intégré avec la<br />
Microsoft Active Directory et Exchange 2003<br />
qui fournissent la messagerie unifiée. Ainsi,<br />
les utilisateurs peuvent maintenant recevoir<br />
et écouter leur voice mail depuis Outlook.<br />
<br />
<br />
<br />
<br />
AVRIL 08 19
it finance<br />
> <strong>New</strong> Access présente Branch, son dashboard orienté CRM p 22<br />
> KPMG soutient le duo Fast Close et XBRL pour le reporting externe p 24<br />
> Bâle II : la DVB Bank adopte FlexFinance Liquidity de Fernbach p 26<br />
AVRIL 08 21
BUSINESS DECISION MAKER<br />
<strong>IT</strong> FINANCE<br />
Client vision<br />
<strong>New</strong>Access,<br />
nouvelle vue pour le<br />
Relationship Manager<br />
L’éditeur suisse <strong>New</strong>Access a présenté à Luxembourg ses<br />
ambitions et succès avec son produit Branch, solution unifi ée<br />
pour les gestionnaires de la relation dans les banques privées.<br />
avec six premières références sur Branch dont efG, newaccess adresse une<br />
nouvelle problématique pour les banques privées : obtenir le tout et le meilleur<br />
de l’information du client dans une vue consolidée pour le gestionnaire de la<br />
relation. Mix de solutions métiers pour les banquiers privés, Branch est un tableau<br />
de bord unifié de la vue du client orienté cRM, analyse et visualisation<br />
de portefeuilles, gestionnaire de documents, passages d’ordres, informations<br />
compliance, news, quotes,…<br />
Jean-Philippe Bersier,<br />
VP Sales de <strong>New</strong>Access<br />
branCh, la CÎme<br />
de la vue Client<br />
Branch, développé sur base d’une architecture<br />
nTier sur une plateforme .Net, est une<br />
solution de visualisation du client dans sa<br />
globalité, permettant aux Relationship Managers<br />
de consulter, mais aussi de gérer<br />
et d’opérer l’information du client. Branch<br />
s’intègre ainsi avec les outils de la banque en<br />
place, que ce soit les core systems bancaires,<br />
les PMS (Portfolio Management Systems), les<br />
fl ux d’informations fi nancières, le CRM, etc…<br />
«Notre premier client s’est servi de Branch<br />
comme d’un framework pour développer<br />
son intranet et son webbanking sur un backbone<br />
olympic», explique Jean-Philippe<br />
Bersier, VP Sales de <strong>New</strong>Access. Depuis,<br />
l’éditeur suisse a gagné d’autres références<br />
avec Branch sur Eri (2 actuellement), une<br />
sur Globus, une sur Apsys et sur deux solutions<br />
propriétaires. «Aujourd’hui, nos clients<br />
utilisent souvent Branch pour adresser une<br />
problématique CRM.»<br />
<strong>New</strong>Access propose de connecter les<br />
best-of-breed en place chez les banquiers<br />
privés et de les rendre visibles et accessibles,<br />
dans une interface consolidée de type client<br />
Windows ou web. La mise en place se<br />
fait en connectant les solutions existantes<br />
directement dans Branch, sans passer par<br />
un datawarehouse intermédiaire, garantissant<br />
la fraîcheur et la fi abilité des informations<br />
délivrées dans Branch. «Nous nous adaptons<br />
avec le core en place et agissons de la<br />
manière la moins intrusive possible. Mais<br />
il s’agit néanmoins d’un véritable projet et<br />
pas d’une solution out-of-the-box, car il<br />
nous faut accéder les informations dans les<br />
db que nous souhaitons publier. Il existe<br />
déjà de nombreux connecteurs disponibles<br />
pour des implémentations plus rapides.»<br />
D’expérience, il faut entre trois et neuf mois<br />
pour réaliser un prototype proche des souhaits<br />
du client et de trois à dix-huit mois (au plus<br />
long) d’implémentation, selon l’envergure du<br />
projet. Mais avec un avantage important : il<br />
n’est pas nécessaire d’avoir des compétences<br />
techniques hautement spécifiques pour<br />
démarrer sur Branch. À l’heure où les<br />
compétences pointues sont de plus en plus<br />
rares et chères, voilà un argument de poids.<br />
vue 360° CheZ efg<br />
Ainsi, EFG, le plus grand déploiement de<br />
Branch (18 booking centers dans 24 pays),<br />
utilise la solution de <strong>New</strong>Access dans une<br />
optique CRM, Portfolio Management et Document<br />
Lifecycle Management. Il faut dire<br />
aussi que <strong>New</strong>Access dispose de solutions<br />
maison dédiées aux questions de gestion<br />
électronique de documents et d’archivage<br />
(LogicalAccess) et de portfolio & asset management<br />
(olivia). «La force de Branch, c’est<br />
de rendre transparente toute la complexité de<br />
la plateforme sous-jacente, dit Jean-Philippe<br />
Bersier. La seule limite est que le back-end<br />
puisse répondre aux requêtes de la solution.<br />
Au fi nal, Branch normalise l’univers de données.»<br />
Le tout dans une interface qui se fait<br />
fort d’une ergonomie très avancée, dont les<br />
traits de force sont la sobriété et l’effi cacité.<br />
22 AVRIL 08
Secure your business sites with digital video surveillance<br />
Eliminate the cost of managing multiple networks<br />
Use one IP network for all your needs (Video/Voice/Data)<br />
UNIFY your networks<br />
CALL US...<br />
> www.telindus.lu<br />
Tel. 45 09 15-1<br />
Video surveillance Solutions<br />
made simple, based on IP technology<br />
High performance, networked video surveillance<br />
CHANGE TH<strong>ING</strong>S YOUR WAY
BUSINESS DECISION MAKER<br />
<strong>IT</strong> finance<br />
Reporting<br />
Fast Close & XBRL :<br />
un duo gagnant<br />
Avec l’entrée en vigueur du nouveau set de reporting FinRep/<br />
CoRep, le reporting externe repose maintenant sur la taxonomie<br />
XBRL. Nouveau défi et opportunité pour les banques de la place :<br />
faire de l’XBRL le support central du processus de Fast Close.<br />
«L’intégration de l’XBRL au sein du processus de Fast Close vise une publication<br />
d’informations financières plus rapide et plus fiable. Pour ce faire, un<br />
travail préalable de diagnostic et de redéfinition du processus de clôture est<br />
nécessaire, estiment Laurent Gateau, Assistant Manager et Simon Emeri, Adviser,<br />
KPMG Luxembourg. Les nouveaux processus et activités reposant sur<br />
l’XBRL doivent allier qualité et définition des données d’entrée, vitesse d’exécution<br />
et évolutivité.<br />
Changement de<br />
mentalités<br />
L’XBRL repose sur le langage XML et sur<br />
l’utilisation de taxonomies qui définissent<br />
les caractéristiques et les relations entre les<br />
données. Il s’agit d’une solution d’avenir<br />
relativement simple, fiable, évolutive et<br />
indépendante des systèmes d’information<br />
utilisés. Le succès d’un tel projet dépasse le<br />
simple cadre <strong>IT</strong> et suppose un changement<br />
de mentalités.<br />
Il implique un fort sponsorship de la direction<br />
qui doit s’assurer que l’ensemble des parties<br />
prenantes comprend la finalité du projet et<br />
s’investit totalement tout au long de ce dernier.<br />
La fonction <strong>IT</strong> doit dépasser un rôle purement<br />
technique et la fonction finance n’est<br />
plus uniquement un pourvoyeur de données<br />
et voit sa responsabilité d’analyse et de planification<br />
renforcée. Un véritable partenariat<br />
entre ces fonctions doit être conclu pour<br />
définir et mettre en place un processus de<br />
clôture reposant sur l’XBRL.<br />
Ce changement dépasse le temps et le<br />
cadre de l’équipe projet. Les interactions entre<br />
les différents acteurs doivent donc clairement<br />
être définies. Le nouveau processus<br />
doit répondre au principe «une clôture juste<br />
du premier coup». Cela implique que la technologie<br />
XBRL soit structurée et adaptée en<br />
fonction des activités et non l’inverse. Afin<br />
d’être opérationnels, récurrents et évolutifs,<br />
les processus doivent être clairement définis<br />
et documentés. Et un tel projet doit être planifié<br />
et piloté par une gestion de projet tant<br />
au niveau stratégique qu’opérationnel.<br />
Avantage stratégique<br />
et plus uniquement<br />
comptable<br />
La simplicité de l’XBRL conduira à une réduction<br />
des possibilités d’erreur via l’utilisation de<br />
fichiers de saisie standardisés et d’un contrôle<br />
des données à la source. La création de valeur<br />
résulte de la réaffectation des ressources à des<br />
tâches à plus forte valeur ajoutée. En alliant<br />
rapidité et fiabilité, ce nouveau processus<br />
de Fast Close sera un avantage indéniable<br />
pour obtenir la préférence des investisseurs.<br />
Enfin, la possibilité de dupliquer dans le futur<br />
le succès de l’utilisation de l’XBRL à d’autre<br />
processus : MIS, budgétisation… ouvre la<br />
perspective pour les banques d’un avantage<br />
stratégique et plus uniquement comptable.<br />
La généralisation de l’utilisation de l’XBRL<br />
à l’ensemble des processus financiers clés<br />
représenterait donc un avantage compétitif<br />
substantiel pour les banques. Cela passe au<br />
préalable par une gestion de projet mature<br />
tant au niveau de la définition et de la mise<br />
en place des processus que de la qualité<br />
des informations de sortie. C’est pourquoi la<br />
clôture comptable et l’utilisation de l’XBRL se<br />
doivent d’être un duo gagnant.<br />
24 AVRIL 08
Laurent Gateau, Assistant Manager<br />
et Simon Emeri, Adviser, KPMG Luxembourg.<br />
AVRIL 08 25
BUSINESS DECISION MAKER<br />
<strong>IT</strong> finance<br />
Case choice<br />
Liquidités transparentes<br />
à la DVB Bank<br />
Le deuxième pilier des nouvelles directives de Bâle sur les fonds<br />
propres (Bâle II) impose aux banques une gestion détaillée de<br />
leurs liquidités ainsi que de leur risque de liquidité. DVB Bank AG<br />
s’est dotée de la solution de Fernbach pour une approche aussi<br />
sur la rentabilité.<br />
Fabrizio Romano, Regional Manager<br />
de Fernbach à Luxembourg<br />
Plus qu'une simple conformité réglementaire, une gestion des liquidités moderne<br />
représente un potentiel de revenu considérable pour les établissements financiers.<br />
En effet, une variation de leur notation ou de tout autre élément de leur<br />
spread de crédit change les données de leur refinancement sur le marché interbancaire.<br />
Partant de ce constat, les établissements financiers adaptent leurs<br />
procédures hiérarchiques, organisationnelles et de gestion en conséquence.<br />
Bâle II : un défi pour<br />
la DVB Bank AG<br />
La gestion bancaire a toujours eu pour<br />
principal objectif de garantir la solvabilité<br />
et d’assurer une base de refinancement<br />
économique et stable. Bâle II définit de<br />
nouvelles règles et contraintes en termes de<br />
procédures de gestion et de contrôle des<br />
risques. Pour obtenir une gestion globale des<br />
risques poursuivis par ces directives, la DVB,<br />
la banque allemande spécialisée dans les<br />
services de financement et de conseil dans<br />
les secteurs de l’expédition et du transport<br />
aérien et terrestre, devait mettre en place une<br />
structure interne de gestion des liquidités.<br />
De surcroît, les procédures de gestion des<br />
risques et de controlling doivent être mises<br />
en œuvre de manière à ce que les risques<br />
les plus importants soient détectés très<br />
tôt, saisis dans leur totalité et présentés de<br />
manière appropriée. Ainsi, afin de maîtriser<br />
les nouvelles directives et d’optimiser ses<br />
décisions, la DVB a décidé de mettre en<br />
œuvre une solution logicielle adéquate de<br />
mesure, de suivi, de contrôle et de reporting<br />
des risques de liquidité.<br />
Dans le domaine de la gestion des liquidités,<br />
des décisions erronées ou des risques<br />
inattendus peuvent entraîner des coûts de<br />
refinancement défavorables. De plus, une<br />
méprise de la situation réelle de liquidité<br />
peut occasionner une accumulation de réserves<br />
liquides trop importante. Ce type de<br />
problème est essentiellement lié à un manque<br />
d’informations (lui-même issu d’une qualité<br />
et d’une rapidité de transfert des données<br />
insuffisantes), ainsi qu’à une méthodologie<br />
inadaptée et à des hypothèses erronées<br />
menant à des conclusions inexactes.<br />
Liquidités limpides<br />
La solution FlexFinance Liquidity permet également<br />
de garantir la liquidité nécessaire, ainsi<br />
que de minimiser les coûts et de maximiser la<br />
stabilité du refinancement. Grâce à la méthodologie<br />
implémentée, la modélisation flexible<br />
des scénarios livre des résultats retraçables<br />
en continu, ce qui a représenté le critère<br />
décisif pour la DVB. En effet, la banque est<br />
maintenant en mesure de quantifier ses risques<br />
de liquidité et de prévoir leurs impacts<br />
sur les opérations traitées.<br />
«Après avoir examiné et analysé l’offre de<br />
tous les fournisseurs potentiels de solutions<br />
de gestion des liquidités, nous avons opté<br />
pour la solution FlexFinance Liquidity de<br />
Fernbach parce que nous savions que cette<br />
solution livrerait des méthodes éprouvées et<br />
cohérentes de gestion du risque de liquidité,<br />
dit Martin Kinzel, Head of Controlling à la<br />
DVB. Les fonctions très souples de simulation<br />
et de représentation des risques, des<br />
paramètres du marché et des opérations<br />
hypothétiques ont été autant de critères qui<br />
ont influencé notre décision.»<br />
Avec la mise en œuvre des exigences de Bâle<br />
II (Pilier 2), les interventions manuelles dans<br />
les procédures ne seront pour ainsi dire plus<br />
possibles, ou seulement à un coût très élevé.<br />
La faute en est à l’analyse de la situation de<br />
liquidité dans différents scénarios et le suivi<br />
des différentes lignes de crédit qui rendent le<br />
recours à l’outil logiciel indispensable.<br />
Grâce à l’initialisation rapide d’un projet central,<br />
la DVB est en mesure de créer des pronostics<br />
réalistes de liquidité au niveau global<br />
de la banque ou de portefeuilles particuliers,<br />
ainsi que d’évaluer et de gérer le risque de<br />
liquidité à l’aide d’analyses de scénarios.<br />
26 AVRIL 08
le grand dossier<br />
> Clussil p 28<br />
> LuxTrust p 30<br />
> CASES p 32<br />
> Secur<strong>IT</strong> p 34<br />
> PricewaterhouseCoopers p 36<br />
> Avencis p 37<br />
> Telindus p 38<br />
> Zeduke p 40<br />
> Sogeti p 42<br />
> IBM p 44<br />
> Accenture p 46<br />
> M-Plify p 47<br />
> Vasco p 47<br />
> Sun p 48<br />
> Symantec p 49<br />
> Zeropiu p 50<br />
> Bull p 52<br />
> Secaron p 52<br />
> Verizon Business p 54<br />
> Dimension Data p 56<br />
> Trend Micro p 58<br />
> HP p 60<br />
> BT p 60<br />
AVRIL 08 27
BUSINESS DECISION MAKER<br />
le grand dossier<br />
Sécurité<br />
Plus de confiance dans<br />
le potentiel de la Place<br />
Pour peser dans la balance de l’eCommerce, le Luxembourg<br />
devra compter sur son réseau d’experts en sécurité…<br />
et soutenir leur reconnaissance, estime le Clussil.<br />
La sécurité passe à un niveau supérieur au Luxembourg.<br />
La consolidation de réseaux d’experts comme<br />
le CERT du CASES et les réflexions entamées par les<br />
groupes de travail du Club de la Sécurité des Services<br />
d’Information du Luxembourg (Clussil), LuxTrust, les<br />
datacenters de nouvelle génération,… le prouvent. La<br />
sécurité est bien plus qu’un des aspects day-to-day<br />
du business. Les responsables de la sécurité des services<br />
d’information peuvent ainsi jouer un rôle proactif<br />
dans la promotion de l’image de confiance et de<br />
confidentialité donnée au Luxembourg.<br />
David Hagen, Président du Clussil<br />
et chef de service à la CSSF<br />
28 AVRIL 08
BUSINESS DECISION MAKER<br />
«Au Luxembourg, il y a énormément de réflexion<br />
sur les meilleures façons de diversifier<br />
la Place, explique David Hagen, Chef<br />
de service à la Commission de Surveillance<br />
du Secteur Financier (CSSF). L’axe de la sécurité<br />
a été confirmé par le Fonds National<br />
de la Recherche comme étant fondamental.»<br />
Le développement récent d’initiatives<br />
comme LuxTrust et CASES (le portail de<br />
la sécurité de l’information du ministère de<br />
l’Économie et du Commerce extérieur) a apporté<br />
de la confiance aux acteurs de la Place<br />
et peut convaincre de nouvelles entreprises<br />
de s’implanter au Luxembourg. «Proposer<br />
une TVA alléchante ne suffit plus pour attirer<br />
les acteurs de l’eCommerce, dit David<br />
Hagen. Nous devons chercher à diversifier<br />
les aspects de la sécurité, via la recherche<br />
et, d’autre part, la professionnalisation des<br />
responsables de la sécurité des systèmes<br />
d’information.»<br />
Les compétences du Luxembourg en<br />
matière de sécurité doivent être, en cela,<br />
appuyées par les niveaux politique et économique.<br />
«Le ministère de l’Économie<br />
pousse d’ores et déjà dans la direction de<br />
la confiance et de la protection des données<br />
personnelles, rappelle David Hagen. Il faut<br />
un business case solide pour favoriser le<br />
développement d’une économie durable<br />
plutôt que de l’opportunisme. La sécurité<br />
rentre en compte dans le professionnalisme,<br />
la manière d’offrir un service. La sécurité<br />
est à promouvoir comme un atout et joue<br />
un rôle de premier plan dans l’image d’une<br />
entreprise ; elle cesse d’être un obstacle<br />
pour devenir un avantage constructif.»<br />
ÊTRE RSSI : GRANDS<br />
EFFETS<br />
David Hagen, en tant que président du Clussil,<br />
cherche aussi à promouvoir le rôle du<br />
RSSI. «La fonction n’a jamais été imposée<br />
par la CSSF, précise-t-il. Mais il faut pouvoir<br />
déterminer comment traduire les défis que le<br />
RSSI doit relever aujourd’hui pour répondre<br />
aux besoins des banques et des institutions<br />
dans le futur.» Le Clussil peut ainsi décrire<br />
un certain malaise de la fonction de RSSI au<br />
sein des banques. Le RSSI demeure souvent<br />
celui qui détermine les profils des utilisateurs<br />
de la société, ce qui est nécessaire mais<br />
pas suffisant. «Le métier dépend au final<br />
du contexte que l’employeur va lui donner,<br />
par rapport à son intérêt et par rapport à la<br />
maturité qu’il veut donner à la fonction, explique<br />
David Hagen. La fonction de RSSI est encore<br />
par trop ingrate. La sécurité est souvent<br />
ainsi : c’est un coût pour éviter une perte. Le<br />
RSSI doit toujours pouvoir chiffrer une perte<br />
potentielle en justifiant, si cette perte a lieu,<br />
qu’il a fait tout son possible.» À quand une<br />
structure qui décernerait des étoiles aux systèmes<br />
de sécurité les plus performants ? Un<br />
peu à la manière de la cote de confiance donnée<br />
par Euro NCAP aux voitures après leurs<br />
crash-tests…<br />
«Ceux qui font la sécurité savent en tout cas<br />
où ils vont, dit David Hagen. Il y a une volonté<br />
de professionnaliser les choses, notamment<br />
via un Master.» Ces cours donnent les<br />
outils nécessaires au RSSI pour se mettre à<br />
niveau avec le management. Ils sont aussi,<br />
et surtout, la vitrine d’une profonde volonté<br />
de faire du RSSI un acteur de changement.<br />
«Si on veut se professionnaliser et ouvrir<br />
nos frontières, il faut établir des critères de<br />
compétence élevés au niveau européen», dit<br />
David Hagen.<br />
AVRIL 08 29
BUSINESS DECISION MAKER<br />
le grand dossier<br />
Sécurité<br />
LuxTrust, une question<br />
de confiance<br />
En un peu plus de deux ans, LuxTrust SA a rencontré<br />
les ambitions de ses actionnaires en devenant un acteur<br />
incontournable du secteur économique luxembourgeois.<br />
LuxTrust séduit, et il y a de quoi. Après avoir obtenu le statut de professionnel<br />
du secteur financier (PSF) en 2006, LuxTrust SA a lancé des produits et des<br />
services qui sont autant d’opportunités pour promouvoir, entre autres, le commerce<br />
électronique au Luxembourg, après avoir mis en place une plate-forme<br />
de certification électronique par le biais d’une infrastructure à clé publique<br />
(ICP). La société compte, parmi ses actionnaires, notamment le gouvernement<br />
luxembourgeois et des acteurs majeurs du secteur privé luxembourgeois.<br />
«La signature électronique était une étape<br />
à franchir pour que les utilisateurs aient<br />
confiance dans l’e-commerce», avance<br />
Pierre Zimmer, administrateur-délégué de<br />
LuxTrust SA. «Jusqu’à présent, la concentration<br />
des activités s’est faite principalement<br />
sur le B2B et le B2G mais dans les mois à<br />
venir, nous développerons plus le B2C et le<br />
G2C (government to citizen)», explique Raymond<br />
Faber, administrateur-délégué de Lux-<br />
Trust SA. «LuxTrust propose des produits<br />
qui peuvent servir de support unique pour<br />
toutes les applications.»<br />
LE CHOIX AUX<br />
UTILISATEURS<br />
Les nombreuses solutions proposées par<br />
LuxTrust sont adaptables à des contextes<br />
et des demandes multiples, étant donné<br />
qu’elles reposent sur des standards reconnus<br />
au niveau international. «LuxTrust facilite les<br />
échanges électroniques dans des environnements<br />
informatiques très différents», explique<br />
Raymond Faber.<br />
Parmi ces outils, la carte à puce (ou smartcard)<br />
permet de s’authentifier en ligne et de<br />
signer électroniquement des messages ou<br />
des transactions. La carte à puce garantit<br />
également l’intégrité des documents signés<br />
électroniquement. Pour des besoins de<br />
mobilité, l’utilisateur peut préférer le signing<br />
stick qui offre une certification comparable à<br />
celle des cartes à puce.<br />
La solution des certificats signing server de<br />
LuxTrust renforce, quant à elle, la mobilité…<br />
tout en conservant des niveaux de sécurité<br />
comparables. Pour y accéder, le détenteur<br />
du certificat utilise un code d’accès unique<br />
au certificat et renouvelé automatiquement<br />
à chaque demande (one time password ou<br />
OTP). Cet OTP apparaît soit sur un token,<br />
soit il est envoyé par SMS.<br />
LuxTrust doit donc maîtriser les mécanismes<br />
de sécurité et connaître les risques pour déterminer<br />
les limites des actions à mener.<br />
SECUR<strong>IT</strong>é : FEEDBACK<br />
ESSENTIEL<br />
LuxTrust joue un rôle important dans la<br />
sensibilisation à la sécurité. «La sécurité est<br />
un sujet peu palpable», dit Pierre Zimmer.<br />
«Le travail de sensibilisation est complexe.<br />
Les défis principaux se situent au niveau des<br />
utilisateurs finaux qui n’ont souvent pas de<br />
connaissance suffisante pour sécuriser correctement<br />
leur PC.» Or, l’e-commerce doit<br />
pouvoir proposer une solution maîtrisée.<br />
30 AVRIL 08
BUSINESS DECISION MAKER<br />
PLATEFORME<br />
INTERNATIONALE<br />
De manière générale, la tendance chez les<br />
fournisseurs d’applications est de renforcer<br />
la sécurité chez les end users, notamment<br />
en ce qui concerne les risques inhérents à<br />
l’e-banking.<br />
«Une solution de sécurité ne peut jamais<br />
prémunir les utilisateurs contre toute attaque,<br />
mais il est indispensable d’avoir une<br />
bonne base pour pouvoir ajouter, le moment<br />
venu, d’autres types de protections contre<br />
de nouvelles attaques», dit Pierre Zimmer.<br />
LuxTrust a mis en place et gère une infrastructure<br />
Helpdesk, à même d’informer les<br />
utilisateurs de ses produits et services.<br />
Le site internet (www.luxtrust.lu) centralise<br />
les relations avec les utilisateurs, afin de recueillir<br />
leur feedback via l’utilisation de FAQ<br />
régulièrement mises à jour.<br />
LuxTrust a une vocation internationale depuis<br />
sa création. La société offre ainsi des<br />
certificats SSL et des certificats Objet répondant<br />
à des standards internationaux et qui<br />
permettent d’identifier des serveurs ou des<br />
sites Internet, ainsi que des applications ou<br />
des logiciels en ligne, envers des tiers.<br />
LuxTrust développe aussi des solutions sur<br />
mesure, basées sur les spécifications fournies<br />
par les clients. Par exemple, LuxTrust<br />
fournit la technologie utilisée pour l’émission<br />
des nouveaux passeports biométriques,<br />
munis d’une puce électronique sur lesquelles<br />
les données du détenteur sont stockées.<br />
«On constate que certaines entreprises<br />
étrangères, établies dans la reconnaissance<br />
par biométrie, veulent venir au Luxembourg<br />
pour proposer des partenariats à LuxTrust»,<br />
dit Raymond Faber.<br />
De plus, grâce à la mise en place de l’infrastructure<br />
à clé publique de LuxTrust S.A.,<br />
les entreprises ont la possibilité d’implémenter<br />
leurs propres solutions SSO (Single<br />
Sign-On) correspondant exactement à leurs<br />
besoins. Ainsi, dès à présent, LuxTrust permet<br />
une utilisation sécurisée de la nouvelle<br />
application «PLDA - paperless douanes et<br />
accises» de l’Administration des Douanes et<br />
Accises, de procéder à la déclaration eTVA<br />
de l’Administration de l’Enregistrement, enfin<br />
d’accéder à Multiline ou de bientôt pouvoir<br />
procéder au dépôt électronique auprès<br />
du Registre de Commerce et des Sociétés.<br />
AVRIL 08 31
BUSINESS DECISION MAKER<br />
le grand dossier<br />
Sécurité<br />
Warning :<br />
comportements<br />
à risques<br />
CASES, projet d’envergure nationale pour la sensibilisation à la<br />
sécurité, mis en place par le ministère de l’Economie, est un des<br />
pions majeurs d’un réseau international de veille et de protection<br />
contre les hackers.<br />
La sécurité est souvent ‘vendue’ comme un défi technique. Or, la technologie<br />
est une aide mais ne résout souvent pas le problème de fond. Le grand défi<br />
en matière de sécurité est comportemental, et non technique : il faut changer<br />
les habitudes. Certains utilisateurs sont plus regardants quant au type de programmes<br />
installés, d’autres cliquent vite sur les popups sans réellement les<br />
lire… or les trojans, ou chevaux de Troie, utilisent souvent ce genre d’astuce<br />
pour s’installer sur les postes de travail.<br />
CASES, ou Cyberworld Awareness Security<br />
Enhancement Structure, est destiné à la<br />
transmission d’information sur la sécurité vers<br />
les utilisateurs finaux, ainsi qu’au suivi real<br />
time des menaces et des vulnérabilités. Le<br />
public-cible de CASES est multiple: enfants<br />
et citoyens, entreprises et administrations.<br />
Les PME sont aussi une cible importante<br />
des campagnes de sensibilisation car elles<br />
ont recours aux managed security services,<br />
à l’outsourcing, etc. Généralement, les plus<br />
grandes entreprises mettent en place des<br />
projets de sécurité suffisants pour se protéger<br />
notamment de l’espionnage industriel.<br />
«Souvent, les salariés au sein des PME nous<br />
disent ‘il n’y a rien sur ma machine, que des<br />
photos personnelles’, en omettant leurs documents<br />
personnels, voire confidentiels comme<br />
leurs déclarations d’impôts, explique François<br />
Thill, Chargé de mission au ministère de l’Economie<br />
et du Commerce extérieur. Les gens<br />
doivent comprendre que ces données sont très<br />
précieuses puisqu’elles peuvent être utilisées<br />
pour des vols d’identité par exemple.» Selon<br />
CASES, 45% des utilisateurs ont un antivirus ou<br />
un firewall qui ne fonctionne pas correctement.<br />
RéDUIRE LE FOSSé<br />
Depuis quatre ans, le but de CASES est de<br />
réduire la fracture numérique entre le pouvoir-faire<br />
technologique et le savoir-faire<br />
technologique. «Les connexions à large<br />
bande ne sont pas remises en question car<br />
elles sont devenues presque indispensables<br />
aux échanges actuels, dit François Thill. Par<br />
contre, leur sécurité n’est pas forcément<br />
suffisante.» Pointée du doigt : l’usurpation<br />
d’identité, via la collecte d’informations sur<br />
la machine de l’utilisateur elle-même, ou<br />
un autre moyen. L’urgence de la situation<br />
est particulièrement palpable auprès de la<br />
jeune génération d’adolescents, dont la vie<br />
est baignée par l’utilisation de technologies.<br />
Non formés aux risques et aux limites<br />
qu’une telle promiscuité impose, ils utilisent<br />
des chevaux de Troie sans en mesurer les<br />
conséquences. Par exemple, les sites web<br />
où l’on peut monter soi-même ses attaques<br />
abondent… Les méthodes de sensibilisation<br />
en matière de sécurité doivent être fine-tunées<br />
sans arrêt, ou les utilisateurs se lassent<br />
vite de ce genre de méthodes. «Tout le<br />
monde s’expose sur internet via le chat ou<br />
Facebook. Par contre, la sécurité ne fait pas<br />
encore assez partie de notre culture», dit<br />
François Thill.<br />
32 AVRIL 08
François Thill, Chargé de mission<br />
au ministère de l’Économie et du Commerce extérieur<br />
SENSIBILISATION<br />
INTELLIGENTE<br />
S’inspirant des techniques de cyber criminalité,<br />
CASES s’approprie les manières de<br />
fonctionner des hackers, en reposant sur<br />
un réseau de partage de connaissances.<br />
Les nouvelles tendances du hacking selon<br />
CASES sont les malwares qui visent à l’usurpation<br />
d’identité, les blended threats de<br />
trojans et virus, l’espionnage industriel chez<br />
les PME, la disparition progressive des virus<br />
destructeurs et enfin, la professionnalisation<br />
des réseaux de cyber crime… Pour publier<br />
et diffuser ces informations, ainsi qu’un glossaire,<br />
CASES utilise la newsletter et le site<br />
cases.lu. La newsletter cherche à promouvoir<br />
une culture simple via une utilisation ludique,<br />
pour éviter de faire peur ou de créer<br />
une paranoïa. «Certains enfants utilisent le<br />
super bluetooth, un outil venu de l’est qui<br />
permet de craquer la sécurité des téléphones<br />
mobiles, déclare François Thill. Si les<br />
enfants ont de tels outils à leur disposition,<br />
que dire des pirates professionnels ?»<br />
CASES permet aussi de réagir aux incidents,<br />
collabore avec la police grand-ducale pour<br />
la répression et enfin, agit au niveau de la<br />
normalisation. CASES est ainsi partenaire de<br />
l’OLAS (Office Luxembourgeois d’Accréditation<br />
et de Surveillance), du SIGI (Syndicat<br />
Intercommunal de la Gestion Informatique),<br />
du CERT (Computer Emergency Response<br />
Team) gouvernemental, et suit de près la<br />
volonté de l’ABBL de mettre en place un LERS<br />
(local emergency response structure). Enfin,<br />
au niveau international, CASES coopère depuis<br />
plusieurs années de manière étroite avec<br />
la Suisse, la France et la Belgique car il existe<br />
différents types de malwares en fonction des<br />
types de réseaux, d’un pays à l’autre.<br />
AVRIL 08 33
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
//// Auprès de<br />
Luxtrust ////<br />
Au Luxembourg, Secur<strong>IT</strong> est<br />
actif dans le projet LuxTrust via le<br />
développement d’une plateforme<br />
de validation des smartcards et<br />
des certificats sur Trustbuilder.<br />
Contrairement aux certificats<br />
dont le contrôle est effectué via<br />
la signature donnée par LuxTrust,<br />
les smartcards sont vérifiées sur<br />
des listes noires, soit online via<br />
un protocole de standardisation<br />
défini par LuxTrust, soit offline en<br />
téléchargeant des listes mises à<br />
jour régulièrement. «Tout dépend<br />
du degré de sécurité voulu et de<br />
l’importance de la transaction,<br />
dit Marc Vanmaele. Or, parfois la<br />
connexion elle-même fait défaut.<br />
Une institution financière peut-elle<br />
refuser de valider la demande si<br />
elle ne peut accéder aux données<br />
désirées ?»<br />
Je danse le IAM<br />
À la différence des firewalls et des antivirus, les solutions Identity<br />
and Access Management peuvent contribuer directement à<br />
l’amélioration du business.<br />
Créée en 1999, la société Secur<strong>IT</strong>, développeur de logiciels et intégrateur de<br />
solutions dans l’IAM d’IBM, s’est concentrée sur un domaine encore neuf de<br />
la sécurité : l’Identity and Access Management. «Au lieu de nous concentrer<br />
sur ‘keeping the bad guys out’, on a préféré l’approche ‘let the good guys in’»,<br />
résume Marc Vanmaele, CEO de Secur<strong>IT</strong>.<br />
L’IAM est de plus en plus important dans<br />
le secteur de la sécurité en raison de réglementations<br />
plus contraignantes comme<br />
SOX (Sarbanes-Oxley) et Bâle II. L’IAM est<br />
une approche intéressante pour développer<br />
plus rapidement les capacités du business,<br />
tout en consolidant les accès aux données.<br />
L’avantage majeur de la gestion d’identité<br />
est de pouvoir restructurer la façon dont<br />
les entreprises traitent leurs accès, en<br />
interne comme en externe. L’administration<br />
des différentes plateformes (ERP, Windows,<br />
mainframe…) est peu souvent centralisée<br />
au même endroit. Or, il faut pouvoir simplifier<br />
le traitement des départs et arrivées des<br />
utilisateurs, ainsi que leurs éventuels changements<br />
de fonction.<br />
«L’user provisioning passe par donner<br />
aux utilisateurs les outils nécessaires pour<br />
accéder, de manière évolutive et instinctive,<br />
aux ressources dont ils ont besoin, dit<br />
Marc Vanmaele. De plus, la centralisation<br />
des processus d’accès va de pair avec<br />
leur automatisation. La catégorisation des<br />
personnes se fait dans le Role Management.<br />
C’est cette catégorisation des utilisateurs<br />
a priori qui permet l’automatisation, pour<br />
un meilleur contrôle des accès. Les clients<br />
réfléchissent à leur sécurité aussi pour avoir<br />
plus de consistance entre leurs systèmes.»<br />
PAS À PAS<br />
Secur<strong>IT</strong>, intégrateur de système totalement<br />
investi dans le domaine de l’IAM, dispose<br />
d’une expertise dans la gestion des projets<br />
complexes tant du point de vue technique<br />
et technologique. «Nous changeons les<br />
rapports de pouvoir au sein des entreprises,<br />
ce qui n’est pas à négliger», rappelle<br />
Marc Vanmaele. À partir des solutions d’IBM<br />
Tivoli Security, Secure <strong>IT</strong> a développé trois<br />
produits principaux : Role Manager, D-man<br />
et Trustbuilder. «L’Identity Management est<br />
essentiel dans la gestion des infrastructures<br />
eBusiness, car toute l’information est canalisée<br />
via cette plateforme», dit Marc Vanmaele. Une<br />
fois l’infrastructure ouverte à des utilisateurs<br />
externes, la sécurité doit être monitorée différemment,<br />
pour assurer une disponibilité à<br />
100%. Dans ce secteur, D-man est une solution<br />
de monitoring qui permet de gérer la complexité<br />
entre différents composants. Le D-man fonctionne<br />
comme un gatekeeper, afin de pouvoir<br />
accéder aux registres, au serveur web, aux<br />
applications, ainsi qu’aux composants firewall.<br />
Enfin, Trustbuilder permet de répondre aux<br />
besoins d’authentification et d’autorisation.<br />
Trustbuilder peut supporter tout type d’authentification,<br />
comme le token, même en dehors<br />
des plateformes IBM. Trustbuilder est bâti sur<br />
des standards ouverts, tels XML et XSL, et est<br />
souvent utilisé dans le monde Java. Trustbuilder<br />
est capable de supporter un système élaboré<br />
avec une forte redondance, afin de gérer un<br />
million de logs par jour.<br />
34 AVRIL 08
Who needs expensive, proprietary virtualization software when, hey, you can get it free with open source Solaris.<br />
© 2007 Sun Microsystems, Inc. All rights reserved. All logos and trademarks are property of their respective owners.
BUSINESS DECISION MAKER<br />
LE GRAND DoSSIER<br />
Sécurité<br />
Global State<br />
of <strong>IT</strong> Security<br />
Les entreprises du monde entier investissent dans les<br />
infrastructures informatiques, mais restent à la traîne en matière<br />
de mise en œuvre, d’évaluation et d’examen des politiques<br />
liées à la sécurité et à la confi dentialité des informations<br />
transmises. Voici l’une des conclusions d’une étude<br />
PricewaterhouseCoopers avec les magazines CIO et CSO.<br />
La majorité des entreprises disposent d’un directeur de la Sécurité<br />
informatique (dSi) ou d’un RSSi (soit 60% en 2007 contre 43% en 2006) et<br />
d’une politique de sécurité (57% contre 37% y-o-y). et si elles ont réalisé<br />
d’importants investissements dans les dispositifs tels que les pare-feux<br />
(88%), la sauvegarde des données (82%), les mots de passe utilisateurs (80%)<br />
et les logiciels de type anti-Spyware (80%), le temps consacré à la mise en<br />
œuvre de mesures concrètes reste très limité. Preuve en est : une majorité<br />
d’entreprises déclarent ne jamais se soumettre à un audit ou ne jamais<br />
surveiller le respect des politiques de sécurité.<br />
Par Philippe Pierre,<br />
Associé, PricewaterhouseCoopers Luxembourg<br />
La Global State of Information Security Survey 2007<br />
est disponible sur www.pwc.com/giss2007<br />
l’informatique<br />
montre la voie<br />
Fort de ces conclusions, il ne fait aucun<br />
doute que, dans les années à venir, l’amélioration<br />
des procédures internes de sécurité et<br />
l’alignement des dépenses liées à la sécurité<br />
sur les objectifs économiques incomberont<br />
à la Direction informatique. La tendance<br />
a d’ailleurs été amorcée : les résultats de<br />
l’enquête1 montrent que la majorité (65%)<br />
des budgets dédiés à la sécurité informatique<br />
proviennent désormais directement du<br />
service informatique, contre seulement<br />
48% en 2006. Parallèlement on constate<br />
une diminution des budgets consacrés<br />
par les autres départements à la sécurité<br />
informatique, notamment les budgets des<br />
départements Compliance (9% en 2007<br />
contre 18% en 2006), Finance (15% en<br />
2007 contre 19% en 2006) et ceux d’autres<br />
secteurs d’activité (4% en 2007 contre 18%<br />
en 2006).<br />
un manque<br />
d’adéquation<br />
on note également qu’à l’heure actuelle, il<br />
existe un décalage entre les dépenses en matière<br />
de sécurité et les objectifs commerciaux<br />
tels qu’ils sont perçus dans les entreprises.<br />
Enfi n, même si le respect de la réglementation<br />
semble avoir donné lieu à une augmentation<br />
importante des dépenses de sécurité, le lien<br />
entre sécurité – que ce soit par l’intermédiaire<br />
de la structure de l’organisation ou par<br />
le biais de la politique en matière de sécurité<br />
- et confi dentialité des informations et/ou<br />
respect de la réglementation reste diffi cile à<br />
établir au sein des structures concernées.<br />
De plus, les CEo, CIo et CISo ne sont pas<br />
d’accord quant aux priorités à établir et aux<br />
dépenses à effectuer dans ce domaine. Ainsi,<br />
pour ce qui est des dépenses, les CEo et<br />
les CIo accordent la priorité à la planifi cation<br />
de la continuité des affaires et aux plans de<br />
secours en cas de sinistre, alors que les CISo<br />
privilégient le respect de la réglementation.<br />
36 AVRIL 08
BUSINESS DECISION MAKER<br />
La source de<br />
défaillance : les<br />
employés<br />
Autre fait marquant : 69% des employés<br />
et anciens employés sont la source la plus<br />
probable d’atteintes à la sécurité, devant<br />
les pirates informatiques (41%). Ce premier<br />
chiffre est en nette augmentation, puisqu’en<br />
2005, à peine 33% des personnes interrogées<br />
estimaient que les employés représentaient<br />
un risque en matière de sécurité informatique<br />
(contre 63% pour les pirates informatiques).<br />
Ces atteintes prennent principalement la<br />
forme d’e-mails et de détournements de<br />
comptes utilisateurs. Pourtant, à peine la<br />
moitié (52%) utilisent des dispositifs de<br />
sécurité informatique directement liés aux<br />
personnes. De simples précautions telles que<br />
le contrôle des antécédents des employés,<br />
le contrôle de l’utilisation qu’ils font d’Internet<br />
et des données de la société et la mise en<br />
œuvre de programmes de sensibilisation aux<br />
procédures et politiques internes restent peu<br />
répandues. En outre, la majorité des personnes<br />
interrogées ne disposent toujours pas<br />
d’une stratégie de gestion de l’identité.<br />
Ainsi, tout porte à croire que pour la première<br />
fois, les salariés sont la première source de<br />
faiblesses potentielles dans les politiques de<br />
sécurité des informations. Une faiblesse qui<br />
pourra se résoudre par une sensibili sation<br />
et un programme de formation adéquat en<br />
interne ainsi que par la mise en œuvre de<br />
dispositifs de sécurité plus performants et<br />
adaptés.<br />
////////////////////////////////////////////////////////////////////////////////////////////<br />
Le SSO, une solution mobile…<br />
Avencis, fournisseur de solution Single Sign-On, propose une solution d’auto-dépannage<br />
pour minimiser les conséquences en cas de problème d’accès.<br />
Lorsqu’une entreprise déploie une solution de Single Sign-On (SSO), elle cherche à optimiser l’usage de ses ressources<br />
et augmenter la productivité de ses équipes. Le SSO permet de s’authentifier une fois pour toutes. Les applications<br />
vérifient, de manière transparente et via le SSO, que l’utilisateur ait bien les privilèges nécessaires pour accéder Dans<br />
cette optique, Avencis, fournisseur de solutions de sécurité et d'authentification, a développé l’autodépannage pour<br />
permettre de laisser une autonomie contrôlée aux utilisateurs afin, d’une part, de minimiser le temps pendant lequel ils<br />
sont bloqués et, d’autre part, ne pas mobiliser des ressources comme les cellules de support qui peuvent être affectées<br />
à des tâches plus complexes.<br />
Par ailleurs, l’une des tendances actuelles<br />
est de mutualiser l’usage des ressources<br />
par le déploiement de serveurs d’applications<br />
(AppliDis de Systancia, Citrix, TSE…).<br />
En s’appuyant sur ces technologies, SSOX<br />
propose des solutions spécifiques de mobilité,<br />
qui permettent aux utilisateurs de passer<br />
rapidement d’un poste à l’autre ou de gérer<br />
plusieurs postes de travail. En particulier, le<br />
mode kiosque associé à un serveur AppliDis<br />
permet à un utilisateur de bénéficier de l’itinérance<br />
complète d’applications, virtuellement<br />
sans aucune rupture de son activité car une<br />
session ouverte sur un poste «suit» l’utilisateur<br />
de poste en poste. SSOX est une solution<br />
ouverte aux standards de l’industrie, ce<br />
qui permet notamment d’agréger des outils<br />
déjà en place dans l’entreprise (comme les<br />
solutions de mots de passe dynamiques<br />
– OTP). La solution est évolutive car elle peut<br />
être déployée par phases et par périmètres<br />
concentriques, en termes de nombre d’utilisateurs,<br />
de technologies d’authentification<br />
et de couverture fonctionnelle.<br />
AVRIL 08 37
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Jeu, set et patch<br />
Après huit ans de tests d’intrusion et la mise en place de<br />
nombreuses infrastructures sécurité, Telindus constate que les<br />
entreprises luxembourgeoises sont généralement bien protégées<br />
contre les agressions externes.<br />
Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux<br />
systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Selon<br />
Telindus, citant Gartner, 80 % des entreprises subiront des attaques au niveau<br />
applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par<br />
l’intégrateur vont dans le même sens : les risques sont moindres de voir les<br />
menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité<br />
de ses clients, Telindus place les priorités à deux niveaux : les individus et les<br />
applications.<br />
«Chaque employé constitue une brique dans<br />
le bouclier contre les hackers», explique<br />
Daniel Soriano, Sales Department Manager,<br />
Consulting & Engineering Services chez<br />
Telindus. «Les entreprises veulent utiliser<br />
des solutions pour diminuer le risque posé<br />
par le facteur humain, explique Jean-Pierre<br />
Henderyckx, Department Manager, Network<br />
& Security Solutions, Consulting & Sales chez<br />
Telindus. Il faut agir en amont du réseau pour<br />
protéger correctement les outils et scanner<br />
le matériel avant de l’intégrer au système<br />
interne. Nous devons, progressivement,<br />
mettre ensemble les Unified Communications<br />
et la sécurité.»<br />
TESTS ET DéTECTIONS<br />
BOOSTéS<br />
«Au niveau des applications, parfois, la<br />
fonctionnalité de l’application prime sur les<br />
contrôles sécurité implémentés, explique<br />
Daniel Soriano. De nouvelles techniques permettent<br />
aujourd’hui d’analyser entièrement,<br />
d’un point de vue sécurité, le code source<br />
de ces applications, afin de détecter les menaces<br />
présentes.» Il est tout aussi probable<br />
de détecter des erreurs de programmation<br />
(bugs permettant un buffer overflow,…) que<br />
des menaces plus ou moins volontaires<br />
(chevaux de Troie, backdoors,…). «La revue<br />
de code sécurisé présente un bon complément<br />
au test d’intrusion, explique Daniel<br />
Soriano. Elle peut être lancée alors que le<br />
développement n’est pas encore finalisé et<br />
mettre en évidence des éléments imperceptibles<br />
de l’extérieur.» La CSSF préconise<br />
que les sites web transactionnels soient testés<br />
après chaque mise à jour majeure. «Par<br />
rapport à la norme ISO/IEC 27001:2005, le<br />
Luxembourg est un peu en retard par rapport<br />
à d’autres pays, dit Daniel Soriano. À<br />
l’heure actuelle, une seule entreprise est<br />
certifiée ISO 27001… alors que plus de 200<br />
entreprises ont décroché l’ISO 9000, qui<br />
date, il est vrai, de 1987.»<br />
PATCHER «à LA VOLéE»<br />
Enfin, la multiplicité et la diversité des applications<br />
présentes dans les environnements<br />
physiques et virtuels rendent difficile, voir<br />
impossible, l’application de la totalité des<br />
patchs sécurité proposés par les éditeurs.<br />
«Il existe des solutions innovantes IPP (Inline<br />
Patch Proxy) permettant de patcher les flux<br />
‘à la volée’ et donc de pouvoir consolider les<br />
fenêtres de maintenance sur des cycles plus<br />
espacés», indique Jean-Pierre Henderyckx.<br />
38 AVRIL 08
Daniel Soriano, Sales Department Manager<br />
Consulting & Engineering Services chez Telindus<br />
AVRIL 08 39
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
ISO : lifting sous contrôle<br />
Considérée souvent à tort comme allant de soi, voire sans intérêt<br />
et, surtout, coûteuse, la sécurité informatique prend un coup de<br />
jeune sous l’effet d’une normalisation strictement encadrée.<br />
La conclusion est connue depuis plus de 2500 ans : «L'épaisseur d'un rempart<br />
compte moins que la volonté de le défendre», selon Thucydide, l'auteur<br />
de la Guerre du Péloponnèse. De l’avis unanime de la profession, la sécurité<br />
informatique est l’activité la moins exaltante qu’il puisse exister. Cette pratique<br />
a bien évolué récemment pour suivre, comme bien d’autres, la voie de<br />
la normalisation. Tendance nouvelle, la normalisation souligne l’implication du<br />
management et de l’ensemble des acteurs des organisations qui décident de<br />
s’approprier le sujet.<br />
Une nouvelle approche a été établie à l’initiative<br />
de l’International Organization for Standardization<br />
(ISO) au travers de la famille de<br />
normes ISO 2700x, qui ont succédé à celles<br />
de 1995 de la British Standards Institution.<br />
L’automne 2005 a vu naître la norme ISO/<br />
IEC 27001:2005. Cette norme est en fait un<br />
document traitant des Systèmes de Management<br />
de la Sécurité Informatique (SMSI).<br />
En annexe A de la norme sont énumérées<br />
133 mesures de sécurité. Ces mesures<br />
sont toutes obligatoires, toutefois la norme<br />
envisage la possibilité d’écarter certains<br />
contrôles et autorise l’extension des mesures.<br />
L’ISO a ainsi pris soin de laisser la porte<br />
ouverte à une certification facultative.<br />
ALLO L’OLAS<br />
Il existe un organisme accréditeur (l’OLAS<br />
à Luxembourg) unique dans chaque pays,<br />
lequel accrédite des organismes en vue<br />
de pouvoir certifier d’autres organisations.<br />
Ces certifications, limitées dans le temps,<br />
ont un poids identique pour tout pays : une<br />
organisation certifiée au Canada est à même<br />
de certifier un organisme au Grand-Duché.<br />
De même, il existe des auditeurs certifiés<br />
par ces organismes, capables d’effectuer<br />
des missions de contrôle (certification ISO<br />
27001 Lead Auditor).<br />
Un cadre normatif de la sécurité informatique<br />
apporte une sécurité accrue par son cycle<br />
d’amélioration continue, une gestion davantage<br />
maîtrisée des risques, une harmonisation<br />
par la création d’un langage commun,<br />
une approche commune de l’audit, ainsi<br />
que la rationalisation des contrôles et donc<br />
les économies résultantes. La norme est<br />
d’un intérêt majeur pour Luxembourg et en<br />
particulier pour les professionnels du secteur<br />
financier qui se doivent d’agir comme l’imposent<br />
la circulaire CSSF 05/178 et la loi Mifid.<br />
CLIMAT CONFIANT<br />
La norme décrit un certain nombre d’exigences<br />
en vue de mettre en place, d’exploiter et<br />
d’améliorer un SMSI (qui se doit d’être documenté)<br />
et donc in fine d’établir des mesures<br />
adaptées à l’organisation concernée en vue<br />
de protéger ses actifs (assets) et par conséquence<br />
d’établir un climat de confiance pour<br />
toutes les parties prenantes (stakeholders).<br />
Cependant, la norme n’impose pas que<br />
l’établissement d’un SMSI vise également<br />
à conserver et à faire évoluer certains intérêts<br />
stratégiques de l’organisation, tels sa<br />
profitabilité ou bien son image de marque. Si<br />
ces finalités ne sont pas exigées, elles sont<br />
certainement une des heureuses conséquences<br />
de la mise en place d’un SMSI.<br />
Le système de management<br />
doit établir une<br />
politique de sécurité<br />
validée et supportée par<br />
le management, mise en<br />
place par des mesures<br />
techniques et organisationnelles<br />
ainsi que définir des<br />
objectifs, les atteindre, les<br />
maintenir et surtout pouvoir<br />
les améliorer (et donc pouvoir<br />
faire l’objet d’audits réguliers).<br />
Le cœur de la norme exige<br />
la mise en place d’un modèle<br />
d’activités du type cycle de<br />
Deming, illustré par l’approche<br />
Plan-Do-Check-Act bien connue<br />
des spécialistes de la qualité. Au<br />
final, l’implémentation de la norme<br />
ISO 27001:2005 donne une forme<br />
raisonnable de confiance, synonyme<br />
d’un possible accroissement<br />
du business.<br />
40 AVRIL 08
Technical Development Manager<br />
Christophe Burtin, Independent Information Technology<br />
and Services Professional à Luxembourg<br />
AVRIL 08 41
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Sécurité : au revoir<br />
le maillon faible…<br />
La stratégie de sécurité doit être calquée sur la stratégie globale<br />
de l’entreprise, selon Sogeti. L’expérience de l’utilisateur inspire<br />
les politiques de sécurité réussies.<br />
Souvent, le collaborateur est un risque latent pour l’entreprise… un maillon fort<br />
ou un maillon faible. «Les entreprises ne réfléchissent pas assez à leur gestion<br />
de personnel, explique Jérôme Jacob, expert sécurité chez Sogeti. Les menaces<br />
ne sont maîtrisées que quand la sécurité prend en compte tous les aspects<br />
qui concernent les utilisateurs.»<br />
En fait, la vulnérabilité peut cohabiter avec la<br />
menace sans causer de dommages. Le tout<br />
est d’adapter le niveau de prévention aux besoins<br />
de l’entreprise. «Quand on démarre un<br />
projet sécurité et qu’on arrive avec ses grosses<br />
valises, les utilisateurs pensent ‘oh non,<br />
pas eux’, explique Jérôme Jacob. Pour faire<br />
adhérer les utilisateurs, il faut qu’ils soient au<br />
centre du projet.» Et le rôle du responsable<br />
de la sécurité (RSSI) est tant relationnel que<br />
technique. «On s’appuie sur l’expérience<br />
des gens pour établir un état d’esprit», dit<br />
Jérôme Jacob. Après avoir défini la meilleure<br />
approche et «périmétré» ce qui doit être protégé,<br />
les politiques sont traduites en gestes<br />
quotidiens pour les utilisateurs. «Le suivi des<br />
procédures est assuré par un quizz qui sert<br />
aussi de feedback à l’incident manager»,<br />
explique Jérôme Jacob.<br />
PREVENTION<br />
OU DÉTECTION ?<br />
Le métier de RSSI est encore souvent un<br />
métier de l’ombre, dont les utilisateurs ne<br />
perçoivent la portée qu’en cas de problème.<br />
Or, le RSSI a un rôle essentiel de veille. «Il<br />
faut sans cesse améliorer ses connaissances<br />
et sa réactivité, faire du benchmarking pour<br />
suivre l’évolution des menaces, profiter de<br />
l’expertise d’un réseau comme le Clussil,<br />
explique Jérôme Jacob. Beaucoup de gens<br />
font encore dans la détection et pas assez<br />
dans la prévention.» Un métier ingrat ? «Tous<br />
les jours, il y a de nouvelles menaces, et<br />
tous les jours, un utilisateur peste contre<br />
une nouvelle politique, dit Jérôme Jacob.<br />
L’important est donc de gérer le changement<br />
permanent tout en correspondant aux<br />
investissements, souvent importants,<br />
réalisés dans le domaine de la sécurité.»<br />
Depuis 2001, les grandes entreprises ont<br />
en effet investi beaucoup plus, créant un<br />
mouvement général d’ «ultra-sécurité».<br />
INACCESSIBLE<br />
RISQUE ZÉRO<br />
L’audit est devenu central pour gérer une<br />
politique de sécurité efficace, par exemple<br />
via la norme ISO 27.001 comme «un fil à<br />
suivre pour évaluer le niveau de vulnérabilité»,<br />
explique Jérôme Jacob. Le Business<br />
Impact Analysis (BIA) permet d’assurer la<br />
continuité du business en mettant chaque<br />
élément sous contrôle et en le mesurant.<br />
«On ne peut pas faire de la sécurité informatique<br />
sans analyse et sans BIA, qui sont de<br />
bonnes bases pour la suite», estime Jérôme<br />
Jacob. Et la suite implique de savoir gérer<br />
les sensibilités humaines, dont les accès…<br />
La réactivité des utilisateurs, de même que<br />
leur sensibilisation au secret, deviennent<br />
essentielles par rapport au «mal nécessaire»<br />
qu’est la sécurité.<br />
42 AVRIL 08
Jérôme Jacob,<br />
expert sécurité chez Sogeti<br />
AVRIL 08 43
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
La sécurité devient<br />
mature<br />
La traçabilité des accès est essentielle pour l’audit en regard<br />
des conformités mais se révèle de plus en plus complexe,<br />
sans centralisation de l’information.<br />
En plus de ses solutions d’Identity et d’Access Management (IAM), IBM<br />
propose Tivoli Compliance Insight Manager (TCIM), acquis via la société<br />
Consul. TCIM permet de surveiller l’activité des utilisateurs sur le système,<br />
notamment via la solution SEM (Security Event Manager). Une fois qu’un<br />
utilisateur externe ou un consultant (notamment en cas d’externalisation de<br />
certains services) est sur le système, ces personnes qui font plus ou moins<br />
partie du réseau doivent être identifiées. «Il y a encore beaucoup d’impunité<br />
car le comportement des utilisateurs n’est pas assez surveillé, explique<br />
Michael Cable, Tivoli Security Audit & Compliance Sales Leader chez IBM.<br />
Neuf incidents internes sur 10 sont commis par des utilisateurs privilégiés.<br />
Il suffirait donc de mieux surveiller les 10% restants pour diviser par 10 le<br />
nombre des attaques.»<br />
D’abord, il importe d’avoir sous contrôle ce<br />
qui se passe dans l’entreprise via la gestion<br />
des logs, qui permet de tracer l’historique des<br />
activités des utilisateurs et de le comparer<br />
ensuite avec les politiques de sécurité<br />
en vigueur. L’idéal est que les langages<br />
des données soient les plus semblables<br />
possibles et correspondent donc à des<br />
normes. «Le grand avantage de Consul est<br />
que le langage n’est pas technique mais<br />
rédigé en W7 : who, did what, when, where,<br />
from where, how, and why, explique Michael<br />
Cable. Tous les rapports tirés de l’analyse des<br />
données sont mis dans un langage unique,<br />
compréhensible par le business et l’audit.»<br />
Comme par exemple, la comparaison avec<br />
les règles émises par la CSSF, SOX, les<br />
normes ISO, CobiT, PKI…<br />
APRèS LES VIRUS…<br />
Si les auditeurs et le business s’accordent à<br />
réduire les incidents, le plus difficile demeure<br />
la définition du niveau d’accès des utilisateurs,<br />
qui ne peut en aucun cas les empêcher… de<br />
travailler. En plus de gérer la traçabilité, l’outil<br />
doit pouvoir aussi déterminer si l’usage des<br />
données est approprié. «On a rajouté de l’intelligence<br />
dans TCIM, dit Michael Cable. Les<br />
utilisateurs de la solution peuvent déterminer<br />
la cause de l’incident et prendre les mesures<br />
pour qu’il ne se produise plus. TCIM les<br />
assiste dans le processus de détection et<br />
d’investigation.» Par exemple, un utilisateur<br />
dont les logs successifs sur un programme<br />
spécifique ont été ensuite suivis par un «clear<br />
log», peut devenir un suspect aux yeux de<br />
l’audit. «En cas de doute, la spreadsheet<br />
peut être imprimée et apportée au manager<br />
pour analyse», dit Michael Cable. Pour éviter<br />
la fraude, TCIM peut être fine-tunée sur les<br />
applications choisies par le business. «L’époque<br />
des virus destructeurs est révolue, estime<br />
Michael Cable. Il faut des solutions précises<br />
pour répondre à des attaques ciblées.»<br />
LE RISQUE, AU QUOTIDIEN<br />
«Certaines sociétés ont atteint le niveau<br />
où l’information importante est transmise<br />
aux auditeurs en temps réel, comme<br />
le veut la norme Bâle II, explique Pierre<br />
Noël, Worldwide Risk Management &<br />
Information Security Evangelist chez IBM.<br />
Le niveau suivant voit la sécurité divisée<br />
en deux parties. D’un côté, l’informatique<br />
pure, et de l’autre, ceux qui regardent ce<br />
qui se passe en termes d’incidents,…<br />
La sécurité fait de plus en plus partie du<br />
quotidien de ces personnes, qui gèrent<br />
le risque opérationnel. Au Luxembourg,<br />
la plupart des sociétés financières ont<br />
l’approche adéquate, même si souvent,<br />
les RSSI ne possèdent pas tous les outils<br />
nécessaires pour collecter les informations.<br />
Par exemple, leur connaissance du nombre<br />
d’incidents à un temps t est mauvaise.<br />
Or, ces informations sont déterminantes<br />
pour le CFO, le CIO, voire le conseil<br />
d’administration. La sécurité va être le<br />
reflet des nouveaux besoins de l’entreprise,<br />
traduits en politiques claires.»<br />
44 AVRIL 08
Et si notre ouverture multiculturelle<br />
permettait à votre entreprise de s’épanouir à l’international ?<br />
Établi depuis 30 ans sur les principaux<br />
marchés d’Europe, Logica<br />
prend en compte votre ancrage<br />
national et vos caractéristiques<br />
multiculturelles pour vous accompagner<br />
dans vos projets d’expansion internationaux.<br />
Logica, des racines européennes, 39 000<br />
consultants et ingénieurs dans le monde.<br />
www.logica.com/france<br />
UNILOG<br />
devient<br />
LOGICA<br />
CONSEIL - INTÉGRATION DE SYSTÈMES - OUTSOURC<strong>ING</strong><br />
*libérer votre potentiel
BUSINESS DECISION MAKER<br />
le grand dossier<br />
Sécurité<br />
World Wide Security<br />
Avec son expérience en consulting, en outsourcing, et en<br />
intégration de systèmes et de technologies, Accenture dispose<br />
d’une approche globale de la sécurité. La performance business<br />
doit prendre en compte des contraintes techniques mais surtout<br />
80% de compétences organisationnelles…<br />
«Il y a une demande émergente au Luxembourg pour l’IAM, dit Karim Leziar,<br />
Manager, System Integration & Technology chez Accenture. Les entreprises<br />
sont poussées à adopter un IAM pour être conformes, et cela suppose<br />
une restructuration importante.» La problématique commence tôt pour<br />
l’entreprise : définir les rôles et aligner les processus des besoins internes. Un<br />
projet IAM peut ainsi passer par une restructuration des processus business,<br />
telle la mise en place d’une SOA (architecture orientée services). La gestion<br />
des identités et des accès vient derrière la SOA pour gérer les ressources<br />
auxquelles les applications ont accès. «L’IAM s’inscrit dans le concept de SOA,<br />
explique Philippe Bovy, Senior Manager, Systems Integration & Consulting<br />
chez Accenture. Si le projet est mal géré, les accès seront mal gérés.<br />
Il faut une solution robuste.»<br />
MADE IN INDIA<br />
VISION D’ENSEMBLE<br />
Accenture accompagne, conseille et suit<br />
le client dans l’implémentation du projet,<br />
ce qui permet de définir un ROI clair et<br />
s’appuyer sur des ressources étendues.<br />
Les compétences sont donc aussi fournies<br />
via le canal de l’outsourcing : il y a six mois,<br />
le nombre d’employés indiens d’Accenture a<br />
dépassé le nombre d’employés américains,<br />
atteignant aujourd’hui 47.000 personnes.<br />
«Ces ressources peuvent aider à mettre en<br />
œuvre un projet de manière rapide et faire<br />
du testing, explique Philippe Bovy. La mise<br />
en place d’un projet de gestion des identités<br />
et des accès révèle les failles d’autres<br />
processus. Un projet business peut être<br />
mis en attente le temps de définir les<br />
priorités… mais les contraintes de temps<br />
poussent à régler le problème rapidement.»<br />
À l’heure actuelle, Accenture dispose en Inde<br />
d’un «pool» de 120 personnes entièrement<br />
dédiées à la sécurité, en plus de 250<br />
spécialistes basés en Europe.<br />
Accenture veut aussi apporter son expertise<br />
au niveau de la structuration des projets<br />
d’IAM. «Trop souvent, l’IAM demeure<br />
focalisé sur les contraintes technologiques,<br />
avec le business qui n’intervient qu’à la<br />
fin, explique Philippe Bovy. Les rôles et les<br />
profils des utilisateurs sont définis trop tard.<br />
Il faut du recul pour comprendre le business<br />
et avoir les différents leviers en main pour<br />
adapter la technique à ce que les managers<br />
souhaitent.» Cette approche «holistique»<br />
permet aussi de faire le lien avec d’autres<br />
projets en cours. De nouvelles applications<br />
appellent de nouvelles fonctionnalités et de<br />
nouvelles ressources. «Par exemple, les projets<br />
de PC banking doivent être alliés, à coup sûr,<br />
aux projets d’IAM», explique Karim Leziar.<br />
«Pour les banques par exemple, l’IAM n’est<br />
pas le seul levier au niveau de la sécurité,<br />
explique Philippe Bovy. La segmentation<br />
des réseaux résulte en des accès plus restreints<br />
pour les utilisateurs.» La gestion des<br />
accès pousse à définir les priorités. «L’IAM<br />
a amené plus d’expertise, ou révélé d’autres<br />
expertises dans d’autres domaines», estime<br />
Karim Leziar. C’est pourquoi la sécurité ne<br />
peut s’envisager sans prendre en compte<br />
le business dans son ensemble. «En faisant<br />
un inventaire des assets, on a découvert<br />
que 80% des utilisateurs n’ont besoin que<br />
d’un nombre réduit d’applications, dit Philippe<br />
Bovy. On a donc simplifié leurs accès<br />
pour diminuer les risques de mégardes,<br />
volontaires ou non. Cela permet d’améliorer<br />
le contexte global au niveau de l’entreprise.<br />
Le core design d’une solution d’IAM, c’est<br />
une cascade d’informations.»<br />
46 AVRIL 08
Technical Development Manager<br />
Alerting : faire «tilt»<br />
En cas de catastrophe naturelle ou d’incendie, la communication entre les acteurs en temps réel est<br />
de première importance. Qui va sur les lieux ? Avec quel matériel ? Autant de questions qui peuvent<br />
être gérées de manière centralisée.<br />
La solution Alarm Tilt de la société luxembourgeoise M-Plify structure les communications en cas de crise et ce, de<br />
manière horizontale, afin que tous les acteurs soient tenus au courant, en même temps, de l’état d’avancement de la<br />
réponse à la crise. «Ce n’est pas tant du unified messaging que du dispatching, explique Alex Alexandrino, Head of<br />
Sales chez M-Plify. Nos clients sont très forts dans le développement de solutions <strong>IT</strong> mais pas dans le domaine des<br />
Télécoms. Nous leur apportons cette plus-value.»<br />
Dans le cas d’une crise liée à une catastrophe<br />
comme une panne ou un incendie<br />
par exemple, les utilisateurs doivent rester<br />
en contact avec le RSSI (Responsable de<br />
la Sécurité des Services d’Information). Des<br />
messages courts mais explicites sont<br />
envoyés à un groupe de personnes. En<br />
fonction des critères définis avec M-Plify,<br />
une seconde vague de messages est envoyée<br />
pour faire le point de la situation<br />
auprès des personnes alertées. Alarm Tilt<br />
automatise les communications ; si les<br />
personnes ne répondent pas, la solution<br />
génère des appels en cascade, sur des<br />
devices différents, via des moyens différents,<br />
voire à des personnes différentes.<br />
En six mois d’installation, notamment au<br />
Centre Informatique de l’Etat, la solution<br />
n’a jamais mis plus de 9 minutes à alerter<br />
les bonnes personnes. Alarm Tilt Business<br />
Continuity est connectée aux systèmes de<br />
sécurité, qui combinent la sécurité à l’alerte,<br />
dispatchée via la solution automatisée.<br />
Alarm Tilt peut aussi servir de connectivity<br />
as a service, déclenchant une alerte en cas<br />
de problème de connexion.<br />
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////<br />
Vasco étend son offre<br />
d’authentification<br />
Vasco, fournisseur de programmes de sécurité et spécialisée en produits d'authentification forte,<br />
développe de nouveaux produits pour le marché bancaire et adresse aussi d’autres secteurs.<br />
Vasco est désormais capable d'offrir et supporter<br />
toutes les technologies d'authentification<br />
avec une offre de produits regroupant<br />
des mots de passe dynamiques uniques<br />
et signatures électroniques (OTP - la famille<br />
de produits Digipass), les certificats / PKI<br />
(produits USB, cartes à puces, etc), les technologies<br />
de mots de passe (sessions Q&A,<br />
listes TAN & Scratch, cartes Matrix, etc.) ou<br />
la biométrie en fonction de l'évolution du<br />
marché. Les clients pourront dès lors migrer<br />
aisément d'une technologie d'authentification<br />
Vasco à une autre. Le Digipass est un<br />
élément d'authentification forte et de signature<br />
électronique des utilisateurs, qui combine<br />
un ensemble de fonctionnalités, sur une<br />
large variété de plateformes. En termes de<br />
logiciels, Vasco a développé un partenariat<br />
de premier plan avec LuxTrust.<br />
Parmi les solutions de Vasco, le Vacman<br />
combine toutes les technologies d’authentification<br />
sur une seule et même plateforme.<br />
La suite de produits Vacman (le Controller<br />
et le Middleware) facilite l'intégration des<br />
Digipass d'authentification forte dans les<br />
applications de sécurité. Ensuite, l’Identikey,<br />
serveur d'authentification, combine<br />
Vacman avec la totalité des fonctionnalités<br />
de serveur. Enfin, Vasco dispose d’aXsGuard<br />
Unified Threat Management, une appliance<br />
d'authentification.<br />
AVRIL 08 47
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Un projet IAM<br />
peut en cacher un autre<br />
Gérer les accès, ok… et les identités ?<br />
Combiner les deux approches permet de renforcer<br />
la sécurité globale de l’entreprise, selon Sun.<br />
Pour toute entreprise, et face à l’explosion du volume d’informations et<br />
l’évolution des techniques de communications, la sécurité doit concerner<br />
autant les aspects externes (réseaux, etc.) qu’internes (les utilisateurs<br />
eux-mêmes). Que faire si un utilisateur quitte l’entreprise ou change de rôle<br />
dans la structure ? Un auditeur devenu trader devrait-il continuer à bénéficier<br />
des mêmes accès alors que son rôle a changé ?<br />
Si l’Access Management fait bien partie<br />
des politiques de sécurité, l’Identity<br />
Management y est encore trop peu combiné.<br />
«Bien souvent, l’IAM est vu comme une<br />
solution unique, alors que gérer les accès<br />
et les identités ne se fait pas de la même<br />
manière, explique Sébastien Stormacq,<br />
Senior Software Architect chez Sun Microsystems.<br />
Souvent d’ailleurs, les projets<br />
viennent de départements différents. D’un<br />
côté, l’<strong>IT</strong> ou la sécurité de l’<strong>IT</strong> voudra mettre<br />
en place une gestion des accès, afin de<br />
cadrer avec la gestion des applications.<br />
D’un autre côté, les ressources humaines,<br />
l’audit ou le management mettront plus<br />
l’accent sur la gestion des identités.»<br />
«Les entreprises devraient vite voir les avantages<br />
à combiner la gestion des identités<br />
et des accès au sein d’un même projet.<br />
Souvent, les impulsions viennent de départements<br />
différents, et les projets prennent<br />
parfois des chemins différents, dit Sébastien<br />
Stormacq. Même les solutions peuvent être<br />
de différents éditeurs. Mais le plus important<br />
est que l’<strong>IT</strong> et l’audit se rapprochent, afin de<br />
renforcer la sécurité globale de l’entreprise.»<br />
Au niveau du provisioning par exemple, les<br />
privilèges des utilisateurs sont souvent bien<br />
définis lors de leur entrée dans l’entreprise.<br />
Par contre, le de-provisioning, qui annule ou<br />
redéfinit les accès des privilèges utilisateurs,<br />
fait souvent défaut. «De nombreuses institutions<br />
financières de la Place ont lancé des<br />
projets IAM. Mais parfois, le de-provisioning<br />
n’est pas en place, ce qui pose des risques<br />
évidents en matière de sécurité.»<br />
GÉRER L’HÉTÉROGÉNÉ<strong>IT</strong>É<br />
Ainsi, mettre en place un projet de gestion<br />
des identités n’est intéressant que si cela<br />
permet de clarifier la gouvernance et de<br />
mieux contrôler l’ensemble des systèmes.<br />
«Quelqu’un doit être responsable du projet,<br />
dit Sébastien Stormacq. On en revient<br />
toujours aux problèmes (singulier ?) d’acceptation<br />
par les utilisateurs. Pour simplifier la mise<br />
en place de projets IAM, mieux vaut séparer<br />
les rôles. Les applications et les politiques de<br />
sécurité doivent être gérées par des personnes<br />
différentes. Par exemple, le responsable de<br />
la sécurité des systèmes d’information (RSSI)<br />
doit pouvoir changer une politique de sécurité<br />
dans l’Access Management sans l’aide du développeur.»<br />
Cette approche permet également<br />
de mettre en place des politiques de sécurité<br />
plus souples. Avec la mise en place d’une<br />
solution d’Access Management, les moyens<br />
d’authentification (one-time password (OTP),<br />
certificat, username,…) sont donc conservés<br />
dans les mains du RSSI, qui peut aussi gérer<br />
l’évolution de la solution sans devoir toucher<br />
aux applications elles-mêmes.<br />
Au final, cela dépend avant tout de la maturité<br />
du système <strong>IT</strong>. «Les organisations qui<br />
accumulent progressivement des centaines<br />
d’applications se retrouvent avec un univers<br />
<strong>IT</strong> fait de silos hétérogènes, avec leur liste<br />
d’accréditation, leurs mots de passe et leur<br />
sécurité, dit Sébastien Stormacq. Les administrateurs<br />
doivent alors créer des comptes<br />
différents pour, par exemple, Windows,<br />
le mainframe, l’email,… Imaginez devoir effacer<br />
17 comptes lors du départ d’un utilisateur,<br />
simplement car la gestion n’est pas<br />
centralisée !»<br />
S’ADAPTER À L’EXISTANT<br />
L’IAM ajoute une «couche transversale» de<br />
sécurité sur l’ensemble des produits chez<br />
Sun. Pour l’Access Management, Sun propose<br />
une solution de Single Sign-On open<br />
source. «Le SSO permet surtout de rendre<br />
la vie de l’utilisateur plus simple, explique<br />
Sébastien Sormacq. Les applications vérifient<br />
l’accès une fois pour toutes, le mot<br />
de passe est unique et donc plus simple à<br />
retenir. Cela renforce aussi la sécurité et allègent<br />
le volume des données à stocker.»<br />
48 AVRIL 08
Technical Development Manager<br />
Un end-point c’est tout<br />
Des devices mal protégés ? La mobilité implique beaucoup de<br />
risques mais est devenue essentielle à de nombreux business.<br />
L’end-point security est l’une des solutions.<br />
Symantec a présenté ses solutions<br />
lors de la conférence sur la sécurité<br />
organisée par <strong>IT</strong>news<br />
slides : info@itnews.lu<br />
Symantec focalise ses solutions end-point sur la haute disponibilité de<br />
l’information. Or, le périmètre à protéger n’est plus limité à l’informatique<br />
mais aux personnes elles-mêmes. Le volume de l’information a explosé, le<br />
risque est donc de voir ces données sortir de l’entreprise. Tout cela remet en<br />
question l’approche des entreprises par rapport aux risques qu’elles prennent.<br />
Wouter Mariën, Country Manager<br />
de Symantec Belux<br />
«La sécurité a atteint un niveau supérieur, explique<br />
Wouter Mariën, Country Pre-Sales Manager<br />
Benelux chez Symantec. Auparavant,<br />
on éliminait tout risque. A présent, cette sécurité<br />
2.0 permet d’équilibrer le risque et l’opportunité.<br />
Si le business vient avec un nouveau<br />
projet, il ne s’agit plus de refuser, il faut trouver<br />
un compromis.» La sécurité fait de plus en plus<br />
partie des processus business et implique de<br />
l’automatisation et de la standardisation. De<br />
manière générale, la sécurité évolue vers l’endpoint<br />
security pour éviter la fuite d’informations<br />
sensibles. «Il ne s’agit pas tant de se focaliser<br />
sur le poste de travail de l’utilisateur que sur l’information<br />
elle-même», estime Wouter Mariën.<br />
SOLUTION ALL-IN-ONE<br />
L’Enterprise Security Management and<br />
Compliance Suite aide à mesurer le contrôle<br />
technique, les serveurs… A partir de ce<br />
cœur de compétences, la solution est adaptable<br />
aux besoins de l’entreprise. La vision<br />
de Symantec de la sécurité est d’intégrer le<br />
plus de technologies possible dans un seul<br />
security client. La solution tout en un comprend<br />
l’antivirus, l’antispyware, le device<br />
control (pour bluetooth ou USB),… La sécurité<br />
peut ainsi se concentrer sur la base de<br />
données, pour en définir et surveiller les flux.<br />
Par exemple, une vingtaine de numéros de<br />
cartes de crédit qui sortent en même temps<br />
: est-ce normal? Les solutions de Symantec<br />
en la matière intègrent de l’intelligence<br />
: captage de ce qui se passe, nature des<br />
malwares, des attaques,… La mise à jour se<br />
fait en temps quasi réel, les failles de sécurité<br />
sont contrôlées de manière automatique.<br />
Le module permet de garder la main sur le<br />
cycle de vie du document et de faire du full<br />
back-up chaque semaine. Enfin, début avril,<br />
Symantec a lancé un module d’encryption<br />
du disque dur. En cas de perte ou de vol, les<br />
risques sont donc minimisés…<br />
AVRIL 08 49
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
L’IAM, pierre angulaire<br />
Le Luxembourg a mis en place une structure légale contraignante<br />
en termes de sécurité et notamment concernant l’Identity and<br />
Access Management. Analyse par Zeropiu.<br />
Zeropiu est une entreprise d’origine italienne qui déeveloppe depuis 1999<br />
des projets de gestion d’accès et d’identité. Pour faire face aux besoins grandissants<br />
des utilisateurs, Zeropiu s’est lancé avec la suite IAM de Netegrity<br />
(maintenant CA) et travaille également avec les produits majeurs du marché<br />
dont Oracle, Novell et Sun. A l’origine, les fonctionnalités les plus demandées<br />
étaient la gestion d’accès et le Single Sign On (SSO). Aujourd'hui, le<br />
focus est davantage sur la gestion d’identité et de rôle métier.<br />
//// Je suis IAM ////<br />
Selon Gartner, on peut structurer<br />
ainsi le paysage global de la<br />
gestion d’accès et d’identité ou IAM<br />
(Identity & Access Management) :<br />
• les technologies de répertoires,<br />
standards, agrégés ou virtuels<br />
• l’administration d’identité, qui<br />
inclut la création automatique<br />
d’utilisateurs (provisioning),<br />
l’administration des rôles,<br />
des mots de passe, de<br />
l’authentification forte<br />
• l’audit d’identité, de séparation<br />
des charges, la gestion des<br />
événements, le monitoring de<br />
l’activité et les alertes<br />
• la vérification d’identité avec<br />
l’authentification unique ou<br />
Single Sign On et la fédération<br />
d’identité entre organisations ou<br />
parties d’organisations qui se<br />
font confiance<br />
• la gestion des droits d’accès au<br />
niveau du système d’exploitation,<br />
du Web, des applications en<br />
mode client/serveur<br />
«Lors du 1 er Internet Security Day, le 26<br />
mars 2007, LuxTrust prédisait le lancement<br />
de «spin-off in security business» comme<br />
conséquence de la mise en place des<br />
infrastructures de sécurité numérique,<br />
explique Dominique Duthilleul, Business<br />
Development Manager chez Zeropiu. Outre<br />
la présence importante d’institutions financières,<br />
ce contexte prometteur a rendu<br />
le Luxembourg particulièrement attractif<br />
pour le développement de l’IAM. Il ne fallait<br />
cependant pas s’attendre à une déferlante.<br />
Culturellement, certains pays comme la<br />
Norvège sont à l’avant-garde et ont mis<br />
en place des mécanismes de fédération<br />
d’identité et de SSO entre leurs différents<br />
portails à destination des citoyens. Le<br />
Luxembourg adopte une approche résolue<br />
mais prudente avec le lancement, en janvier<br />
dernier, de la signature électronique dans<br />
les applications en ligne, dans le contexte<br />
de l’eGovernment, qui va dynamiser le marché<br />
public et parapublic.»<br />
«La pierre angulaire ainsi posée, il reste à<br />
restructurer la gestion des accès dans les<br />
différentes applications pour faire le lien<br />
entre identité et droit d’accès, déployer<br />
Single Sign On et provisioning», dit<br />
Dominique Duthilleul. Face aux obstacles,<br />
le RSSI aura un rôle d’interlocuteur de<br />
premier plan. «Pour l’optimisation des<br />
projets IAM, les RSSI auront l’opportunité<br />
de s’appuyer sur des sociétés dotées d’une<br />
forte expertise technologique et d’une<br />
expérience étendue. Par exemple, un projet<br />
de gestion d’identité nécessite un soutien<br />
fort du management – certains responsables<br />
applicatifs vont perdre le contrôle<br />
de la création des comptes – et un projet<br />
pilote dans une partie de l’organisation qui<br />
l’attend. Un déploiement global conduit<br />
fréquemment à des projets sans fin, coûteux<br />
et mal vécus par les utilisateurs.» Pour les<br />
entreprises, le défi majeur est donc d’adopter<br />
une approche graduelle.<br />
LE SECRET :<br />
UN OBSTACLE ?<br />
«Le Luxembourg a mis la barre très haut<br />
en termes de respect du secret, explique<br />
Dominique Duthilleul. Secret professionnel,<br />
avec la loi du 5 avril 1993 relative au<br />
secteur financier et de respect de la vie privée<br />
avec la loi du 2 août 2002 relative à la<br />
protection des personnes à l’égard du traitement<br />
des données à caractère personnel.<br />
Sur le plan légal, les pratiques de contrôle,<br />
voire de sanction concernant le secret professionnel<br />
peuvent rapidement entrer en<br />
conflit avec les règles sur le respect de la<br />
vie privée, la CNPD (Commission Nationale<br />
pour la Protection des Données) a la lourde<br />
tâche d’arbitrer ce conflit et travaille depuis<br />
longtemps à l’établissement d’un guide de<br />
conduite. Un autre défi à relever est de faire<br />
de la gestion globale de la sécurité une<br />
50 AVRIL 08
esponsabilité directe du top management,<br />
de par son impact direct sur les problématiques<br />
de conformité, de respect de la vie<br />
privée et parfois des droits de propriété<br />
intellectuelle.»<br />
«Enfin, en tant que place financière majeure,<br />
et compte tenu du poids du secteur financier<br />
dans son économie, le Luxembourg se<br />
doit de compléter l’approche analytique de<br />
la sécurité par une approche systémique,<br />
assurant flexibilité et sécurité aux acteurs<br />
de la place financière tout en préservant<br />
l’équilibre de la place quels que soient les<br />
accidents internes ou agressions subies<br />
par l’un des acteurs. Nul doute que cette<br />
réflexion soit en cours.»<br />
Dominique Duthilleul, Business Development<br />
Manager chez Zeropiu<br />
AVRIL 08 51
Technical Development Manager<br />
L’IAM contre la fraude interne<br />
Pour lutter efficacement contre la fraude, la gestion des accès doit s’accompagner d’une politique<br />
attribuant (ou retirant) les accès en fonction des rôles des utilisateurs, préconise Bull.<br />
Centraliser la gestion des accès des employés est une manière efficace de combattre la fraude interne. En plaçant<br />
un point de contrôle obligé entre un utilisateur et ses applications, les problèmes de mots de passe publics et d’accès<br />
conservés indûment disparaissent. Il y a beaucoup d’éléments mais la complexité de ce domaine n’est souvent<br />
qu’apparente. Fort de centaines de projets mis en place dans le monde, l’éditeur Evidian, filiale du groupe Bull, a<br />
déterminé plusieurs règles-clé pour déployer un projet de ce type. Bien planifié, un projet de gestion des rôles et des<br />
accès apporte à chaque étape des fonctions utiles.<br />
L’authentification unique (Single Sign-On ou<br />
SSO) peut être un point de départ solide pour<br />
un tel projet. Le SSO renseigne les mots de<br />
passe applicatifs à la place de l’utilisateur<br />
et peut les changer automatiquement, donc<br />
les utilisateurs s’alignent naturellement sur<br />
la politique de sécurité. Autre avantage, la<br />
continuité de service apportée par le SSO<br />
réduit les coûts d’exploitation. Libérés des<br />
mots de passe applicatifs, les utilisateurs<br />
n’encombrent plus le help desk d’appels<br />
improductifs.<br />
POL<strong>IT</strong>IQUES LISIBLES<br />
De plus, l’apport d’une gestion rigoureuse<br />
de la politique d’accès, basée sur les rôles,<br />
est également capital. Avec une gestion de<br />
politique (‘policy management’) efficace,<br />
l’attribution des droits n’est plus nominative<br />
: elle dépend du métier de l’utilisateur<br />
et de sa place dans l’organisation. Cette<br />
manière de procéder est rationnelle. Elle est<br />
aussi facilement «auditable» car effectuée<br />
en un seul endroit, et non application par<br />
application. Avec un policy management,<br />
la politique de sécurité de l’entreprise est<br />
lisible et adaptable en fonction des besoins.<br />
Les procédures sont simples et facilement<br />
documentées : une seule interface est<br />
utilisée. Du point de vue de l’utilisateur, les<br />
délais de mise à disposition de ses applications<br />
sont considérablement raccourcis,<br />
et il est aisé de faire respecter les contraintes<br />
de séparation des tâches (‘segregation<br />
of duties’). Pour compléter le tout, un ‘workflow’<br />
automatisera la chaîne de décision.<br />
Car même si le rôle d’un utilisateur lui donne<br />
théoriquement droit à un accès applicatif,<br />
sa hiérarchie doit formellement autoriser<br />
cet accès. Cela renforce les garanties qu’un<br />
utilisateur ait accès uniquement aux applications<br />
utiles à son travail.<br />
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////<br />
Sécurité virtuelle ?<br />
La virtualisation est l’un des éléments<br />
les plus importants de l’<strong>IT</strong><br />
dans les années à venir. Secaron<br />
s’est intéressé aux aspects sécurité<br />
de cette nouvelle tendance.<br />
«Le niveau de sécurité des solutions de<br />
virtualisation disponibles aujourd'hui est<br />
considéré par les spécialistes comme satisfaisant,<br />
dit Sébastien Bourgasser, Security<br />
Consultant chez Secaron. Les éditeurs de<br />
solutions de sécurité font évoluer leur gamme<br />
de produits afin de déployer leurs outils au cœur<br />
des systèmes de virtualisation. Et même si le<br />
risque zéro n'existe pas, il est commu nément<br />
admis que les mécanismes d’isolation et<br />
de protection présents nativement dans les<br />
hyperviseurs actuels sont robustes et garantissent<br />
l’intégrité des machines virtuelles.»<br />
«En permettant l’accès à la mémoire, au<br />
disque et au trafic réseau de manière centrale,<br />
les nouveaux hyperviseurs fournissent<br />
aux outils de sécurité un accès privilégié aux<br />
machines virtuelles. Si cette fonctionnalité<br />
permet d’augmenter sensiblement le niveau<br />
de sécurité individuel de chaque serveur,<br />
elle accroît considérablement la surface<br />
d’attaque sur l’hyperviseur lui-même, ouvrant<br />
potentiellement une brèche dans le mécanisme<br />
d’isolation des machines virtuelles.»<br />
52 AVRIL 08
Managed services that deliver<br />
continuous improvements back<br />
to your business.<br />
At Computacenter, we proactively<br />
apply our broad range of skills,<br />
expertise and the latest technology<br />
solutions to deliver continuous<br />
improvements across the lifetime<br />
of our managed services contracts.<br />
Whether it’s finding new ways to<br />
deliver operational efficiency gains,<br />
using <strong>IT</strong>IL-based best practices to<br />
improve service management or<br />
applying new technology innovations –<br />
we can help you realise year-on-year<br />
cost savings. Transform your service<br />
delivery with Computacenter.<br />
TECHNOLOGY<br />
SOURC<strong>ING</strong><br />
INFRASTRUCTURE<br />
INTEGRATION<br />
MANAGED<br />
SERVICES<br />
Office: Espace Kirchberg C 26-28 Rue Edward Steichen 2540 Luxembourg<br />
Phone: +352 26 29 1-1 Fax: +352 26 29 1-815<br />
eMail: infolux@computacenter.com
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
The big picture<br />
Pour permettre aux entreprises d’appliquer leurs stratégies de<br />
sécurité aux réalités d’une globalisation des menaces, Verizon<br />
Business encourage une approche Risk Management.<br />
En matière de sécurité, la gestion du risque doit à présent prendre en compte<br />
des aspects métiers. Le risque, c’est aussi ce qui peut menacer le capital<br />
immatériel de l’entreprise, telle son image de marque. La sécurité sous-tend<br />
ces aspects et, par sa nature même, ne peut faillir sans remettre en cause<br />
l’entièreté du système. Les organisations devront donc, face à des risques<br />
potentiels, gérer les menaces sur leur réseau et leurs applications critiques.<br />
Verizon Business dispose d’une expertise particulière sur le marché de la<br />
sécurité suite à l’acquisition de Cybertrust en mai 2007. Le fournisseur de<br />
services propose différentes approches de la gestion du risque.<br />
Verizon Business a présenté ses solutions<br />
lors de la conférence sur la sécurité<br />
organisée par <strong>IT</strong>news<br />
slides : info@itnews.lu<br />
D’une part, suite à la globalisation, les<br />
entreprises doivent gérer leur sécurité<br />
de manière intégrée, afin de protéger les<br />
systèmes à différents niveaux. Avec la<br />
diversification et la mutation des attaques,<br />
les solutions de sécurité se révèlent parfois<br />
inadéquates. Gérer efficacement le risque<br />
permet de réduire le nombre de menaces<br />
potentielles ou, tout au moins, de les garder<br />
sous contrôle. Ainsi, par exemple, des<br />
fuites de données pourraient causer du tort<br />
aux clients eux-mêmes et avoir un impact<br />
négatif sur le business de l’entreprise. C’est<br />
pourquoi le Risk Management doit prendre<br />
en compte les aspects techniques, mais<br />
aussi les politiques et les systèmes de<br />
l’entreprise, afin de protéger au mieux les<br />
données critiques.<br />
SAISIR LES OPPORTUN<strong>IT</strong>ES<br />
D’autre part, en plus d’un changement<br />
d’orientation dans le design de la sécurité,<br />
les entreprises qui font partie d’un réseau<br />
mondial d’échanges doivent pouvoir satisfaire<br />
aux exigences de conformité. Cette<br />
nouvelle vision du business dépasse le<br />
cadre du département <strong>IT</strong>, et c’est aussi<br />
pourquoi un rapprochement entre les deux<br />
«mondes» est nécessaire. En revanche, en<br />
termes de sécurité, le défi de la conformité<br />
doit être vu plus comme une opportunité<br />
que comme une contrainte. Par exemple,<br />
les profils des Responsables de la Sécurité<br />
des Services d’Information ont, eux aussi,<br />
évolué, acquérant des fonctions juridiques.<br />
«Nous devons disposer de personnes<br />
qui sont à même de correspondre aux<br />
besoins de nos clients, explique Christophe<br />
Bianco, Business Development Manager<br />
chez Verizon. Ces personnes ont toutes<br />
un profil technique tout en étant à même<br />
de comprendre les métiers que font les<br />
entreprises.» Les RSSI ont donc acquis une<br />
sorte de transversalité : une compréhension<br />
de l’entreprise en interne mais aussi des<br />
clients. La feuille de route du RSSI en 2008<br />
sera donc marquée par la conformité…<br />
Face à cette volonté de refocaliser la sécurité<br />
sur l’essentiel, certaines entreprises mettent<br />
en place des projets d’externalisation : log<br />
management, antivirus,… L’externalisation<br />
permet de créer de la valeur ajoutée, en<br />
gardant toutefois la main sur le contrôle<br />
des décisions. L’outsourcing repose sur le<br />
concept de «trusted partners». Il s’agit là<br />
d’apporter un complément de compétences<br />
qui puisse satisfaire l’entreprise. Le critère du<br />
coût est primordial, c’est même souvent la<br />
première raison qui pousse les entreprises à<br />
externaliser la gestion de leurs ressources. Le<br />
tout est de trouver une solution qui s’adapte<br />
à la culture et aux besoins de l’entreprise.<br />
54 AVRIL 08
Christophe Bianco, Business Development<br />
Manager chez Verizon<br />
AVRIL 08 55
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Hosted security :<br />
qui est prêt ?<br />
Dimension Data a une approche complète de la sécurité,<br />
notamment via les managed services… un pas difficile à faire<br />
pour les entreprises.<br />
L’évolution de la sécurité est parallèle à celle des moyens de communication.<br />
De la téléphonie à l’IP, de l’email à l’instant messaging, qui est devenu un<br />
véritable outil de travail. Dimension Data, intégrateur local à forte valeur<br />
ajoutée, a commencé à œuvrer dans la sécurité en 1998, au niveau des<br />
réseaux. À présent, la nature et l’approche de la sécurité se diversifie pour<br />
se propager aux stockages système, aux portables, aux PDA… ainsi qu’aux<br />
applications. Par exemple, le hacking était au départ réduit aux aspects<br />
réseaux ; aujourd’hui, le cyber crime s’est diversifié… et les solutions de<br />
protection aussi.<br />
Les entreprises sont passées du firewall à<br />
la sécurisation de tout le système. Or, les<br />
équipes n’ont pas évolué aussi vite que<br />
les besoins en matière de sécurité. On se<br />
retrouve avec un manque de compétences.<br />
«Nous pensons que le domaine de l’applicatif<br />
et de la sécurité sont assez éloignés,<br />
déclare Jean-Hubert Antoine, Security<br />
Solutions Manager chez Dimension Data.<br />
Eduquer les utilisateurs est difficile : mieux<br />
vaut parfois rajouter une couche supplémentaire<br />
et être préventif. C’est simple et<br />
moins coûteux.»<br />
DéPASSER LES PRéJUGéS<br />
Dimension Data propose les managed<br />
services. Au Luxembourg, la banque peut<br />
être réticente à outsourcer l’infrastructure,<br />
par rapport à sa politique interne de sécurité.<br />
«Notre spécificité est de laisser les<br />
couches sécurité chez le client et de les gérer<br />
soit chez eux, soit à Capellen», précise<br />
Jean-Hubert Antoine. La configuration permet<br />
une alerte 24h/24 pour alerter le client<br />
en cas de problème grâce à l’utilisation de<br />
SLA convenus avec l’équipe de sécurité.<br />
Ainsi, les équipes sur site peuvent être prévenues<br />
et Dimension Data peut effectuer<br />
des manipulations à distance. Certaines<br />
banques ont ainsi outsourcé leur web banking<br />
chez Didata à Capellen pour que leur<br />
infrastructure sécurité, et non leurs données,<br />
soit gérée en 24/7.<br />
Une telle mise en place n’est possible que<br />
par la sécurisation parallèle des moyens de<br />
communication. La solution de Dimension<br />
Data permet de sécuriser la téléphonie IP,<br />
les devices en end-point (GSM, laptops, CD<br />
et DVD, clés USB,…), ainsi que les données<br />
à l’intérieur de l’entreprise pour les prémunir<br />
de toute menace qui pourrait pénétrer par<br />
une back door. «La technologie est vaste<br />
et il faut pouvoir tout couvrir, dit Jean-Hubert<br />
Antoine. Notre défi à nous est de pouvoir<br />
faire notre chemin dans ces produits niches,<br />
c’est-à-dire consolider, garder la maîtrise<br />
sur les technologies proposées et garantir le<br />
suivi aux clients.»<br />
DIRECTION CLAIRE<br />
Auparavant, les relations interne/externe<br />
étaient gérées par le firewall et l’IPS. «Le<br />
château fort est devenu un aéroport, dit<br />
Jean-Hubert Antoine. Il nous faut passer par<br />
une phase de dé-périmétrisation dans nos<br />
approches car les menaces augmentent<br />
en interne.» C’est un modèle dynamique<br />
dont l’originalité réside dans ses possibilités<br />
d’adaptation à l’entreprise. Par exemple,<br />
une banque limite les dangers en utilisant<br />
des postes fixes et les portables sont isolés<br />
pour bénéficier d’une sécurité renforcée.<br />
Dexia a été le premier client de la solution<br />
majeure de sécurité proposée par Dimension<br />
Data, ASI (Adaptive Secure Infrastructure).<br />
«Certains clients partent dans toutes les<br />
directions, dit Jean-Hubert Antoine. Il<br />
faut réfléchir à une solution de protection<br />
adéquate au type d’infrastructure et ne pas<br />
sous estimer l’impact sur la partie gestion.<br />
Il existe encore un domaine dans lequel<br />
les entreprises doivent s’améliorer, c’est<br />
la centralisation et la consolidation des<br />
informations.» Il y a dix ans, la solution unique<br />
était un antivirus sur la station de travail et un<br />
firewall en externe; à présent, c’est du point<br />
à point avec une authentification par accès à<br />
distance. Le marché des solutions de sécurité<br />
est en pleine explosion, il faut une vue globale<br />
de la sécurité pour savoir où intervenir…<br />
56 AVRIL 08
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Hosted security :<br />
qui est prêt ?<br />
Dimension Data a une approche complète de la sécurité,<br />
notamment via les managed services… un pas difficile à faire<br />
pour les entreprises.<br />
L’évolution de la sécurité est parallèle à celle des moyens de communication.<br />
De la téléphonie à l’IP, de l’email à l’instant messaging, qui est devenu un<br />
véritable outil de travail. Dimension Data, intégrateur local à forte valeur<br />
ajoutée, a commencé à œuvrer dans la sécurité en 1998, au niveau des<br />
réseaux. À présent, la nature et l’approche de la sécurité se diversifie pour<br />
se propager aux stockages système, aux portables, aux PDA… ainsi qu’aux<br />
applications. Par exemple, le hacking était au départ réduit aux aspects<br />
réseaux ; aujourd’hui, le cyber crime s’est diversifié… et les solutions de<br />
protection aussi.<br />
Les entreprises sont passées du firewall à<br />
la sécurisation de tout le système. Or, les<br />
équipes n’ont pas évolué aussi vite que<br />
les besoins en matière de sécurité. On se<br />
retrouve avec un manque de compétences.<br />
«Nous pensons que le domaine de l’applicatif<br />
et de la sécurité sont assez éloignés,<br />
déclare Jean-Hubert Antoine, Security<br />
Solutions Manager chez Dimension Data.<br />
Eduquer les utilisateurs est difficile : mieux<br />
vaut parfois rajouter une couche supplémentaire<br />
et être préventif. C’est simple et<br />
moins coûteux.»<br />
DéPASSER LES PRéJUGéS<br />
Dimension Data propose les managed<br />
services. Au Luxembourg, la banque peut<br />
être réticente à outsourcer l’infrastructure,<br />
par rapport à sa politique interne de sécurité.<br />
«Notre spécificité est de laisser les<br />
couches sécurité chez le client et de les gérer<br />
soit chez eux, soit à Capellen», précise<br />
Jean-Hubert Antoine. La configuration permet<br />
une alerte 24h/24 pour alerter le client<br />
en cas de problème grâce à l’utilisation de<br />
SLA convenus avec l’équipe de sécurité.<br />
Ainsi, les équipes sur site peuvent être prévenues<br />
et Dimension Data peut effectuer<br />
des manipulations à distance. Certaines<br />
banques ont ainsi outsourcé leur web banking<br />
chez Didata à Capellen pour que leur<br />
infrastructure sécurité, et non leurs données,<br />
soit gérée en 24/7.<br />
Une telle mise en place n’est possible que<br />
par la sécurisation parallèle des moyens de<br />
communication. La solution de Dimension<br />
Data permet de sécuriser la téléphonie IP,<br />
les devices en end-point (GSM, laptops, CD<br />
et DVD, clés USB,…), ainsi que les données<br />
à l’intérieur de l’entreprise pour les prémunir<br />
de toute menace qui pourrait pénétrer par<br />
une back door. «La technologie est vaste<br />
et il faut pouvoir tout couvrir, dit Jean-Hubert<br />
Antoine. Notre défi à nous est de pouvoir<br />
faire notre chemin dans ces produits niches,<br />
c’est-à-dire consolider, garder la maîtrise<br />
sur les technologies proposées et garantir le<br />
suivi aux clients.»<br />
DIRECTION CLAIRE<br />
Auparavant, les relations interne/externe<br />
étaient gérées par le firewall et l’IPS. «Le<br />
château fort est devenu un aéroport, dit<br />
Jean-Hubert Antoine. Il nous faut passer par<br />
une phase de dé-périmétrisation dans nos<br />
approches car les menaces augmentent<br />
en interne.» C’est un modèle dynamique<br />
dont l’originalité réside dans ses possibilités<br />
d’adaptation à l’entreprise. Par exemple,<br />
une banque limite les dangers en utilisant<br />
des postes fixes et les portables sont isolés<br />
pour bénéficier d’une sécurité renforcée.<br />
Dexia a été le premier client de la solution<br />
majeure de sécurité proposée par Dimension<br />
Data, ASI (Adaptive Secure Infrastructure).<br />
«Certains clients partent dans toutes les<br />
directions, dit Jean-Hubert Antoine. Il<br />
faut réfléchir à une solution de protection<br />
adéquate au type d’infrastructure et ne pas<br />
sous estimer l’impact sur la partie gestion.<br />
Il existe encore un domaine dans lequel<br />
les entreprises doivent s’améliorer, c’est<br />
la centralisation et la consolidation des<br />
informations.» Il y a dix ans, la solution unique<br />
était un antivirus sur la station de travail et un<br />
firewall en externe; à présent, c’est du point<br />
à point avec une authentification par accès à<br />
distance. Le marché des solutions de sécurité<br />
est en pleine explosion, il faut une vue globale<br />
de la sécurité pour savoir où intervenir…<br />
56 AVRIL 08
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Virage contrôlé<br />
Face à l’augmentation constante des malwares et la difficulté de<br />
mettre à jour les logiciels de sécurité, Trend Micro propose une<br />
solution de filtrage… sur internet.<br />
Auparavant inondée par les virus, chevaux de Troie et vers, la Toile est à<br />
présent traversée de menaces plus actives, et beaucoup plus difficiles<br />
à éliminer. «Il y a environ 20 ans, on détectait 2000 virus uniques dans le<br />
monde, déclare Patrick Dalvinck, Regional Director Benelux chez Trend<br />
Micro. Il était alors facile pour les constructeurs de détecter les virus, mettre<br />
à jour les signatures et les déplacer vers les clients à protéger.»<br />
Patrick Dalvinck, Regional Director Benelux<br />
de Trend Micro<br />
Face à ce mouvement de croissance et de<br />
diversification, Trend Micro considère qu’il<br />
est impossible d’envoyer les mises à jour<br />
vers les clients. Trop d’informations, trop<br />
de bande passante alourdie par la sécurité.<br />
«Le but du client n’est pas d’acheter un<br />
ordinateur pour y passer 50% à la sécurité.<br />
Il faut de nouvelles manières de mise à<br />
jour.» Le fournisseur de solutions a donc<br />
mis en place une solution de mise à jour sur<br />
le net : un datacenter «in the cloud». L’utilisateur<br />
se connecte sur les sites approuvés<br />
par Trend Micro et ce, en temps réel. «Plus<br />
de 100 millions de PC sont infectés et leurs<br />
utilisateurs l’ignorent, dit Patrick Dalvinck.<br />
Les nouvelles attaques sont invisibles et<br />
utilisent les PC comme base de relais pour<br />
d’autres attaques.»<br />
L’approche de Trend Micro est donc à 180°<br />
des habitudes. «Le client ne doit plus faire<br />
de mise à jour du logiciel, car sa machine<br />
n’est plus accessible aux malwares, explique<br />
Patrick Dalvinck. Le thin client donne une<br />
protection plus élevée et s’intègre avec les<br />
solutions d’autres fournisseurs.» Si les autres<br />
produits brandés Trend Micro apportent de<br />
la plus-value une fois combinés à la solution<br />
Web Threat Protection, l’ajout de solutions<br />
d’autres fournisseurs permet d’apporter<br />
aussi de la valeur… tout en conservant la<br />
transparence de la solution. «La solution<br />
externe est une évolution importante mais au<br />
fond, le client est satisfait de voir un investissement<br />
«in the cloud». Ce n’est pas à eux de<br />
perdre et budget et performance. Les systèmes<br />
sont laissés libres pour les applicatifs.»<br />
58 AVRIL 08
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Virage contrôlé<br />
Face à l’augmentation constante des malwares et la difficulté de<br />
mettre à jour les logiciels de sécurité, Trend Micro propose une<br />
solution de filtrage… sur internet.<br />
Auparavant inondée par les virus, chevaux de Troie et vers, la Toile est à<br />
présent traversée de menaces plus actives, et beaucoup plus difficiles<br />
à éliminer. «Il y a environ 20 ans, on détectait 2000 virus uniques dans le<br />
monde, déclare Patrick Dalvinck, Regional Director Benelux chez Trend<br />
Micro. Il était alors facile pour les constructeurs de détecter les virus, mettre<br />
à jour les signatures et les déplacer vers les clients à protéger.»<br />
Patrick Dalvinck, Regional Director Benelux<br />
de Trend Micro<br />
Face à ce mouvement de croissance et de<br />
diversification, Trend Micro considère qu’il<br />
est impossible d’envoyer les mises à jour<br />
vers les clients. Trop d’informations, trop<br />
de bande passante alourdie par la sécurité.<br />
«Le but du client n’est pas d’acheter un<br />
ordinateur pour y passer 50% à la sécurité.<br />
Il faut de nouvelles manières de mise à<br />
jour.» Le fournisseur de solutions a donc<br />
mis en place une solution de mise à jour sur<br />
le net : un datacenter «in the cloud». L’utilisateur<br />
se connecte sur les sites approuvés<br />
par Trend Micro et ce, en temps réel. «Plus<br />
de 100 millions de PC sont infectés et leurs<br />
utilisateurs l’ignorent, dit Patrick Dalvinck.<br />
Les nouvelles attaques sont invisibles et<br />
utilisent les PC comme base de relais pour<br />
d’autres attaques.»<br />
L’approche de Trend Micro est donc à 180°<br />
des habitudes. «Le client ne doit plus faire<br />
de mise à jour du logiciel, car sa machine<br />
n’est plus accessible aux malwares, explique<br />
Patrick Dalvinck. Le thin client donne une<br />
protection plus élevée et s’intègre avec les<br />
solutions d’autres fournisseurs.» Si les autres<br />
produits brandés Trend Micro apportent de<br />
la plus-value une fois combinés à la solution<br />
Web Threat Protection, l’ajout de solutions<br />
d’autres fournisseurs permet d’apporter<br />
aussi de la valeur… tout en conservant la<br />
transparence de la solution. «La solution<br />
externe est une évolution importante mais au<br />
fond, le client est satisfait de voir un investissement<br />
«in the cloud». Ce n’est pas à eux de<br />
perdre et budget et performance. Les systèmes<br />
sont laissés libres pour les applicatifs.»<br />
58 AVRIL 08
Technical DevelopmenT manager<br />
La sécurité au cœur des solutions<br />
De ses autres secteurs d’activité, HP a hérité d’une vision multifonctionnelle<br />
de la sécurité et la place au centre de ses solutions.<br />
Qu’il s’agisse des outils de protection intégrés aux laptops et aux postes de travail, de contrôle d’accès aux données<br />
sensibles, de privilèges d’utilisation de documents, de gestion de clés ou de validation, le constructeur identifie les<br />
domaines de la sécurité qui sont porteurs de valeur ajoutée. De plus, les services fournis par HP sont inspirés de la propre<br />
expérience du constructeur en matière d’<strong>IT</strong> et de sécurité, afin de protéger les ressources mondiales de la société.<br />
Le résultat est un mélange de solutions industrialisées et d’innovation.<br />
«Nos offres sécurité sont tous azimuts, explique<br />
Jan De Clerq, CEO HP Security Offi ce.<br />
Nous pensons que la sécurité ne doit pas<br />
être rajoutée comme une couche supplémentaire<br />
mais au contraire doit être placée<br />
au cœur de chaque solution.» Parmi les<br />
nouvelles solutions, les idées d’HP répondent<br />
à un besoin croissant de contrôler l’accès et<br />
l’utilisation des documents. Par exemple, les<br />
limites d’impression et de transmission de<br />
documents contenant des données sensibles<br />
peuvent être clairement défi nies.<br />
Ainsi, de plus en plus d’entreprises s’intéressent<br />
au key management, notamment<br />
suite à l’importance grandissante de<br />
l’encryption pour des raisons de conformité.<br />
«La gestion des clés est devenue l’une des<br />
problématiques majeures de la sécurité,<br />
explique Jan De Clerq. De plus en plus d’entreprises<br />
adoptent le key management comme<br />
solution d’encryption, afi n de mieux gérer<br />
l’accès aux données.» Les documents sont<br />
sécurisés via le recours à une clé unique, qui<br />
ne peut être remplacée. La gestion de ces clés<br />
est donc primordiale pour assurer la continuité<br />
du business de l’entreprise. HP, via sa solution<br />
StorageWorks Secure Key Manager, donne<br />
aux entreprises les moyens de déployer le key<br />
management au travers de toute l’organisation.<br />
PÉRIMèTRE DE QUAL<strong>IT</strong>É<br />
Pour protéger le réseau, HP a développé<br />
dans la gamme ProCurve, une solution<br />
de Network Access Control active à deux<br />
niveaux : la fermeture des ports non autorisés<br />
et une authentifi cation forte des utilisateurs<br />
BT, prêt pour la complexité<br />
et des applications. Cette approche proactive<br />
est un mécanisme de défense qui<br />
va mettre à jour automatiquement les<br />
connexions que le serveur refuse. Chez<br />
HP, la sécurité va de pair avec la qualité.<br />
Le constructeur s’est donc aussi attelé à<br />
la défense contre les menaces provenant<br />
d’internet. L’Application Security Center, une<br />
solution pour la sécurité des applications<br />
web, fournit un relevé des risques et fait<br />
du testing à chaque phase du cycle de vie<br />
d’une application. HP désire ainsi réduire les<br />
risques opérationnels et s’inspire des techniques<br />
de sécurité du stockage, avec d’une<br />
part, l’accès aux données (identifi cation,<br />
confi dentialité via l’encryption, autorisation)<br />
et d’autre part, la gestion de celles-ci (défi -<br />
nition des rôles, permissions, traçabilité, key<br />
management).<br />
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////<br />
Face à la complexifi cation des environnements de travail, du recours accéléré à l’externalisation, du<br />
besoin pour les grandes entreprises de réévaluer leur stratégie de sécurité, de la volonté de collaborer<br />
plus sans perte de contrôle, BT, fournisseur de solutions et de services de communications, peut<br />
apporter son expertise «blended» des télécommunications et de la sécurité.<br />
BT est actif dans le secteur de la mobilité,<br />
notamment dans la convergence fi xe /<br />
mobile. La mobilité est liée de près aux<br />
problématiques de sécurité, notamment<br />
par rapport au risque de fuite de données.<br />
«Pour correspondre aux évolutions que<br />
connaissent les entreprises, BT propose<br />
des solutions et des services de sécurité<br />
couvrant la fourniture de conseils, le<br />
respect de la conformité au regard des<br />
règlements en vigueur, la disponibilité des<br />
applications et des réseaux à tout moment,<br />
les applications et les réseaux sécurisés,<br />
l’intégrité des données, etc.», explique Kees<br />
Plas, Head of Business Continuity, Security<br />
& governance Practice, Benelux, BT global<br />
Services. Des services qui vont donner une<br />
place importante à la gestion des risques.<br />
Selon une récente étude menée entre autres<br />
par BT, le recul de la globalisation – affectée<br />
par une montée du protectionnisme – peut<br />
représenter un risque particulièrement<br />
sérieux, auquel les entreprises ne sont pas<br />
correctement préparées. La globalisation<br />
voudrait que la gestion des risques devienne<br />
une question d’importance stratégique.<br />
Selon l’étude, les entreprises qui intègrent<br />
leurs infrastructure et planifi cation de risque<br />
deviendront plus résilientes et en récolteront<br />
les bénéfi ces dans un environnement<br />
commercial devenu plus complexe.<br />
60 AVRIL 08
?<br />
Sh..!! Where are my data today?<br />
Siemens <strong>IT</strong> Solutions and Services<br />
Security Solutions for <strong>IT</strong><br />
www.siemens.lu/it-solutions
BUSineSS DeciSion maKer<br />
ACTUAL-<strong>IT</strong><br />
Carrières<br />
BERNARD<br />
LHERM<strong>IT</strong>TE<br />
Devient Head of <strong>IT</strong><br />
Department chez <strong>ING</strong><br />
Luxembourg<br />
PETER<br />
NURSKI<br />
Est nommé Directeur du<br />
Département Vente pour<br />
les PME de SAP en Belux<br />
Ayant intégré INg Luxembourg<br />
en 1989, Bernard Lhermitte était<br />
devenu responsable de l’équipe<br />
Analyse et Programmation<br />
en 2004, puis Manager<br />
BIS – Application & Project<br />
Management en 2005.<br />
Etant déjà Country Sales<br />
Manager Luxembourg de SAP,<br />
Peter Nurski succède à Henk De<br />
Metsenaere qui quitte la société<br />
pour fonder sa propre entreprise.<br />
Peter Nurski reprend les rênes et<br />
poursuivra le développement du<br />
canal de partenaires.<br />
PETRA<br />
PESIN<br />
Rejoint Dimension Data<br />
Financial Services en tant<br />
que Account Manager<br />
PAUL<br />
JUNG<br />
Devient Senior Security<br />
Engineer chez Dimension<br />
Data Managed Services<br />
DAVID<br />
VERNAZOBRES<br />
Rejoint DiData Managed<br />
Services en tant que<br />
Junior Security Engineer<br />
Active sur le marché<br />
luxembourgeois depuis 1994,<br />
Petra Pesin a précédemment<br />
occupé les fonctions de Business<br />
Development Manager auprès<br />
de Primesphere et Business<br />
Manager auprès de e-BRC.<br />
Paul Jung a une expérience<br />
de 10 ans en France et au<br />
Luxembourg. Il occupait<br />
précédemment la fonction<br />
d’ingénieur réseaux chez Real<br />
Solutions, où il était en charge de<br />
design et d’implémentation de<br />
solutions télécoms.<br />
David Vernazobres occupait ces<br />
trois dernières années la fonction<br />
de chargé de projets en bioinformatique<br />
au sein de l’université<br />
allemande de Münster.<br />
Envoyez votre nomination à info@itnews.lu<br />
62 AVRIL 08
actual it<br />
> Microsoft 2008 p 65<br />
> eLuxembourg p 66<br />
> Apsi p 67<br />
> Namestock p 68<br />
> LuxConnect p 70<br />
> Steria / Prim'X p 71<br />
> <strong>IT</strong> agenda p 72<br />
> Aubay BPM p 74<br />
> Portrait Claude Lüscher p 76<br />
> <strong>IT</strong> jobs p 78<br />
AVRIL 08 63
Your financial advisor in Luxembourg<br />
Your real estate advisor in Luxembourg<br />
PROPERTY INVESTMENT ADVICE<br />
Acquisition and sale - Due Diligence<br />
Financial Feasibility Analysis<br />
FIDUCIARY SERVICES<br />
Company Formation - Domiciliation - Accounting - Taxation<br />
Financial Engineering - Payroll Administration<br />
RESIDENTIAL, COMMERCIAL AND OFFICE<br />
Letting - Buy/Sell and Developments<br />
www.boa.lu<br />
info@boa.lu<br />
Tél :(352) 276 217 771<br />
Fax : (352) 276 217 78<br />
COMPANIES HOUSE - 42a Place Guillaume II - L-1648 Luxembourg<br />
www.opava.lu<br />
info@opava.lu<br />
Tél :(352) 276 217 777<br />
Fax : (352) 276 217 78
Developer / Consultant<br />
actual it<br />
Logiciels<br />
Microsoft 2008 :<br />
les end-users sur le<br />
devant de la scène<br />
Lors du lancement de Windows Server 2008, SQL Server 2008<br />
et Visual Studio 2008, Microsoft a mis en avant les acteurs<br />
locaux qui font le pas vers les technologies de demain.<br />
Au Luxembourg, l’<strong>IT</strong> est omniprésente mais pas toujours en tant que valeur<br />
ajoutée. L’idée de Microsoft était de ramener les end-users à l’avant-scène et<br />
promouvoir leur vision de la technologie pour le lancement de la plateforme<br />
2008 de l’éditeur. À l’heure actuelle, seulement 20% du budget <strong>IT</strong> est consacré<br />
à la création pure. 80% est nécessaire aux tâches administratives. Les clés<br />
de Microsoft résident donc là : libérer des ressources, du temps et du budget<br />
pour l’innovation.<br />
«L’<strong>IT</strong> peut être utilisée pour faire des choses<br />
extraordinaires, et pour cela il faut des<br />
nouveaux produits d’infrastructure», explique<br />
Christophe Van Mollekot, Products & Solutions<br />
Marketing Manager chez Microsoft, et en<br />
charge de la plateforme Windows Server au<br />
Belux. Microsoft a surpris. «Windows Server<br />
2008 a une option Core Server qui permet une<br />
installation sans interface graphique… Cela<br />
répond à une demande des utilisateurs de<br />
proposer un serveur à fonctionnalités limitées,<br />
pour plus de liberté.»<br />
La virtualisation répond aussi à un phénomène<br />
croissant de consolidation. «On ne<br />
surfe pas que sur la vague verte mais on<br />
tente d’apporter une réponse pour la longue<br />
durée, explique Christophe Van Mollekot.<br />
La virtualisation demeure une niche, avec 90%<br />
du marché qui n’est pas encore virtualisé, à<br />
cause du coût élevé de la solution. De plus,<br />
la virtualisation pose des problèmes évidents<br />
de traçabilité et de localisation de l’information<br />
dans le système.» En fait, les utilisateurs<br />
qui virtualisent leur infrastructure doivent alors<br />
souvent gérer une troisième couche, en plus<br />
de l’OS et des applications. Pour remédier à<br />
cela, Microsoft propose la virtualisation comme<br />
fonction de l’OS, intégrant le module hyper-V<br />
dans Windows Server 2008.<br />
SOUTENIR L’éCOSYSTèME<br />
L’ajout d’hyper-V est donc un changement<br />
fort, directement orienté vers les utilisateurs<br />
finaux. «On arrive vers le tipping point, dit<br />
Christophe Van Mollekot. Bientôt les capacités<br />
d’innovation vont dépasser les besoins de<br />
maintenance.» Cela est aussi possible grâce<br />
à la force d’industrialisation que Microsoft a<br />
développée. «C’est important de pouvoir soutenir<br />
l’écosystème luxembourgeois, explique<br />
Thierry Fromes, Country Manager chez<br />
Microsoft Luxembourg. Il serait anormal de<br />
proposer un produit sans que les SSII aient<br />
les compétences pour les développer. Nous<br />
devons soutenir la mise en place de nos<br />
solutions au Luxembourg, afin d’atteindre<br />
une meilleure compétitivité <strong>IT</strong> au niveau international.»<br />
Pour soutenir ce développement<br />
technologique, Microsoft souligne l’aspect<br />
collaboratif des solutions brandées 2008.<br />
Par exemple, Visual Studio intègre un outil de<br />
collaboration, Visual Team System qui permet<br />
à plusieurs développeurs, répartis sur des<br />
sites différents, de travailler sur le même projet.<br />
CONQUêTE DE<br />
NOUVEAUX MARCHéS<br />
«L’outil évolue de même que la façon de<br />
faire des affaires au Luxembourg. La banque<br />
va au client et non l’inverse. Les services<br />
s’améliorent. Nous avons la chance d’avoir<br />
des banques bien organisées, ajoute Thierry<br />
Fromes. La concurrence est toujours là,<br />
de même que le besoin de recourir à la<br />
technologie pour disposer d’informations en<br />
temps réel.» La productivité est par exemple<br />
soutenue par les Unified Communications, qui<br />
permettent aux entreprises de se développer<br />
sur de nouveaux marchés. La plateforme<br />
2008 est donc une fondation solide pour les<br />
applications web de la prochaine génération,<br />
pour la technologie de virtualisation et pour<br />
l’accès à l’information pertinente. Ainsi, SQL<br />
Server 2008 fournit une plateforme intelligente<br />
pour gérer les données de manière sécurisée<br />
et, combinée à Windows Server, permet de<br />
réduire le temps et le coût de gestion.<br />
AVRIL 08 65
BUSINESS DECISION MAKER<br />
actual it<br />
Secteur Public<br />
L’eGouvernement<br />
retend sa toile<br />
Des sites web de meilleure qualité technique, plus<br />
ergonomiques et accessibles ? Tel est le but du référentiel<br />
de normalisation (ReNo) émis par eLuxembourg.<br />
Le référentiel de normalisation émis par le service eLuxembourg se veut<br />
pratique pour améliorer la présence du gouvernement luxembourgeois sur<br />
internet. «Nous voulons augmenter les standards de qualité des sites de l’Etat,<br />
tout en gardant la logique et la cohérence qui étaient les objectifs visés lors<br />
du lancement des sites», explique Claude Wiseler, Ministre de la Fonction<br />
publique et de la Réforme administrative. Des outils d’évaluation vont être mis<br />
en place, pour mesurer les standards inspirés de la Charte de normalisation<br />
publiée en 2002. Ainsi, le gouvernement pourra cerner l’impact et l’efficacité de<br />
sa communication aux citoyens via le net.<br />
NOUVEAUX BESOINS,<br />
NOUVELLES APPROCHES<br />
ReNo peut avoir un impact significatif sur<br />
la façon dont le Luxembourg est perçu au<br />
niveau européen. Selon une étude d’Eurostat,<br />
en 2006, le Luxembourg occupait la<br />
première place quant à l’utilisation par les<br />
citoyens de formulaires publiés sur les sites<br />
de l’Etat. La fréquentation des sites publics<br />
est en moyenne importante. Par exemple,<br />
le portail legilux.lu connaît 5000 visites par<br />
jour, alors que police.lu n’en compte «que»<br />
2000. Selon une étude des Nations Unies,<br />
le Luxembourg occupe une respectable<br />
quatorzième place dans le classement<br />
mondial des eGouvernements. «Beaucoup<br />
d’efforts ont été fournis pour améliorer la<br />
visibilité de nos sites mais nous devons<br />
encore progresser», explique Claude Wiseler.<br />
En 2008, le service eLuxembourg promet<br />
des sites plus modernes, plus légers et plus<br />
faciles d’utilisation, avec des fonctionnalités<br />
supplémentaires pour les rédacteurs et les<br />
utilisateurs (webTV, agenda, cartographie,<br />
newsletters,…). La présence online du<br />
gouvernement va pouvoir être améliorée<br />
avec l’ajout de nouveaux portails, afin de garantir<br />
les meilleurs services possibles. «Nous<br />
créerons un guichet unique dans les années<br />
à venir, dit Claude Wiseler. La centralisation<br />
de l’information est essentielle aux procédures<br />
administratives. La fréquentation des<br />
sites augmente si les services offerts sont<br />
pertinents, fiables et complets.»<br />
Pour augmenter la visibilité de l’eGouvernement,<br />
ReNo innove principalement dans<br />
la prise en compte des besoins des citoyens<br />
(le projet est basé sur la norme ISO 13407<br />
et prévoit d’être testé par les utilisateurs).<br />
Le référentiel préconise un niveau élevé<br />
d’accessibilité, notamment pour les malvoyants.<br />
Par exemple, si la page web n’a pas<br />
été formatée pour être lue à haute voix par<br />
un logiciel spécialisé, le contenu est incompréhensible.<br />
La navigation dans la page doit<br />
aussi être facilitée par les raccourcis clavier<br />
et par un affichage qui permette de modifier<br />
la taille des caractères. De telles astuces<br />
sont minimes et pourtant étendent l’utilisation<br />
d’internet à des utilisateurs qui en sont,<br />
autrement, privés.<br />
DOCUMENT, MAINTENANCE & FACIL<strong>IT</strong>Y MANAGEMENT<br />
WWW.MAPS-SU<strong>IT</strong>E.COM<br />
, BASÉE À LUXEMBOURG, EST UN LEADER EUROPÉEN DANS LA CONCEPTION ET LE DEVELOPPEMENT DE LOGICIELS<br />
DE GESTION DE L'INFORMATION DE VOTRE ENTREPRISE.<br />
66 AVRIL 08
BUSINESS DECISION MAKER<br />
actual it<br />
Business<br />
La responsabilité civile<br />
des entreprises <strong>IT</strong><br />
La responsabilité, principe fondamental du droit civil (Art. 1382), s’applique aussi<br />
bien aux dommages créés dans la vie privée que causés dans le cadre d’une relation<br />
contractuelle entre un fournisseur et son client. Quelle en est la portée en <strong>IT</strong> ?<br />
Litiges : quelques<br />
conseils pratiques<br />
• Limitez vos responsabilités<br />
Afin d’éviter des responsabilités trop lourdes<br />
ou pour éviter toute discussion inextricable<br />
sur la répartition des responsabilités, la loi<br />
admet le recours à une clause limitative de<br />
responsabilité dans certaines hypothèses<br />
d’inexécution.<br />
• Clarifiez la juridiction<br />
dans les contrats internationaux<br />
Régler les litiges<br />
• La transaction<br />
Le tribunal n’est pas la seule solution.<br />
Lorsque les contractants sont prêts à<br />
sacrifier une partie de leurs avantages,<br />
le code civil prévoit de conclure un<br />
litige par transaction pour terminer une<br />
contestation.<br />
• Arbitrage / médiation<br />
Pour l’APSI, Janin Heniqui,<br />
conseiller CLC<br />
«Tout fait quelconque de l’homme qui cause<br />
à autrui un dommage oblige celui par la<br />
faute duquel il est arrivé à le réparer» (Art.<br />
1382 Code civil). La responsabilité du prestataire<br />
de service <strong>IT</strong> dépend des obligations<br />
et clauses convenues de commun accord<br />
entre un fournisseur et son client et qui sont<br />
habituellement arrêtées dans un contrat.<br />
Aucune partie ne pourra se défaire de ses<br />
engagements sauf en cas de force majeure,<br />
de faute de la victime ou du fait d’un tiers.<br />
Le prestataire de service <strong>IT</strong> devra donc<br />
non seulement veiller à une description<br />
précise de ses obligations (obligation de<br />
donner / de transférer un droit ; obligation<br />
de faire / exécuter une prestation), mais<br />
également à bien définir l’intensité des<br />
engagements pris. Ceux-ci peuvent varier<br />
de façon significative selon l’existence d’une<br />
obligation de moyens ou de résultat. L’APSI<br />
adressera prochainement cette question<br />
par l’organisation d’une conférence dédiée<br />
aux «Service Level Agreements».<br />
Dans un contexte BtoB, sauf clause<br />
contraire, tout litige entre professionnels a<br />
lieu dans le pays où la partie qui doit fournir<br />
la prestation caractéristique a, au moment<br />
de la conclusion du contrat, sa résidence<br />
habituelle. Habituellement, dans un cadre<br />
BtoC, les litiges sont traités dans le pays<br />
de résidence du privé. Dans un contexte<br />
international avec des clients privés, il est<br />
donc fortement conseillé de définir la loi<br />
par laquelle le contrat est régi.<br />
• L’apport de la preuve<br />
L’Article 1315 du code civil prévoit que<br />
«celui qui réclame l'exécution d'une<br />
obligation, doit la prouver. Réciproquement,<br />
celui qui se prétend libéré, doit justifier le<br />
paiement ou le fait qui a produit l'extinction<br />
de son obligation». Ceci signifie que si le<br />
client n’est pas satisfait d’une prestation,<br />
ce sera à lui de prouver que le service<br />
rendu n’est pas conforme au contrat. Le<br />
prestataire de service pourra utiliser la pièce<br />
documentant le paiement du service presté<br />
pour prouver la réalisation des engagements<br />
pris dans le contrat.<br />
La médiation est un processus volontaire<br />
et confidentiel de gestion des conflits par<br />
lequel les parties recourent à un tiers indépendant<br />
et impartial. Le rôle du médiateur<br />
est d'aider les parties à élaborer par ellesmêmes,<br />
une entente juste et raisonnable<br />
qui respecte les besoins de chacun des<br />
intervenants. La médiation est un moyen<br />
efficace, rapide et relativement peu<br />
onéreux pour régler un litige tout en<br />
garantissant aux parties une confidentialité<br />
en cas d'échec de la médiation.<br />
Au Luxembourg, l’arbitrage ou la médiation<br />
est assuré par le Centre de Médiation du<br />
Barreau de Luxembourg (CMBL).<br />
La loi prévoit la possibilité d’intégrer une<br />
clause d’arbitrage dans les contrats par<br />
laquelle les parties s’engagent à trancher<br />
tous différends suivant le Règlement<br />
d’arbitrage du Centre d’arbitrage de la<br />
Chambre de Commerce du G.-D. de<br />
Luxembourg par un ou plusieurs arbitres<br />
nommés conformément à ce règlement.<br />
AVRIL 08 67
BUSINESS DECISION MAKER<br />
actual it<br />
Marques<br />
Signé .lu<br />
Etapes incontournables pour les entreprises, les créations<br />
de marques et de noms de domaine peuvent être facilités<br />
par le recours à un broker spécialisé en la matière.<br />
Après avoir créé une première société de protection de marques sous le nom de<br />
Legitiname, Nicolas Van Beek a lancé, suite à la loi 5801 sur l’exonération des<br />
droits de propriété intellectuelle, une nouvelle société baptisée Namestock. La<br />
société propose des services en matière de création de noms de marques et possède<br />
aussi un portefeuille de noms de domaine. Alors que d’autres entreprises<br />
se spécialisent dans l’enregistrement de noms de domaine, Namestock a lié des<br />
relations avec, entre autres, des cabinets d’avocats et des fiduciaires, afin d’offrir<br />
des solutions complètes aux entrepreneurs désirant s’établir au Luxembourg.<br />
«Par exemple, les sociétés qui veulent<br />
implanter leurs nouvelles marques au<br />
Luxembourg font appel à nous en tant que<br />
coordinateurs, explique Nicolas Van Beek,<br />
CEO de Namestock. Notre mission, dans ce<br />
cas, est d’augmenter la valeur de ces marques<br />
et noms de domaine en les centralisant<br />
au Luxembourg.» Le but de l’entreprise est<br />
donc de soutenir la création de marques et<br />
de noms de domaine au niveau international,<br />
tout en mettant en avant le bénéfice que les<br />
entreprises peuvent tirer de la loi 5801 sur la<br />
propriété intellectuelle au Luxembourg.<br />
«Nous voulions être utiles aux entrepreneurs<br />
et aux sociétés qui veulent créer des marques<br />
internationales, explique Nicolas Van Beek.<br />
Il y a de moins en moins de marques disponibles,<br />
et encore moins de noms de domaine<br />
en .com. Alors que les «domainers»<br />
se limitent à acheter des noms à fort potentiel,<br />
tel fund.com vendu 10 millions de USD<br />
en mars 2008, nous proposons un service<br />
complet allant de la création de la marque<br />
jusqu’à la valorisation de celui-ci.»<br />
COMMUNAUTE DE TEST<strong>ING</strong><br />
L’idée repose sur la création d’un stock de<br />
noms de marques, dont l’impact culturel et<br />
linguistique est mesuré par une communauté<br />
de testeurs/consommateurs locaux auxquels<br />
Namestock s’est associé. La création<br />
des noms se fait aussi sur commande,<br />
Namestock se charge d’enregistrer la<br />
marque aux niveaux local et international,<br />
ainsi que les noms de domaine. «Le .com<br />
pour une entreprise internationale est<br />
indispensable, dit Nicolas Van Beek. Le<br />
Luxembourg peut jouer un rôle sur ce<br />
plan. Par contre, au point de vue local, une<br />
entreprise qui ne souhaite se développer<br />
qu’au Luxembourg trouvera plus d’intérêt<br />
à adopter le .lu. L’utilisation du domaine .lu,<br />
notamment pour certains services financiers<br />
uniquement délivrés au Luxembourg, peut<br />
aussi donner plus de crédibilité à une<br />
entreprise, voire une véritable signature.»<br />
L’expertise de Namestock au niveau marques<br />
et noms de domaine fait appel à une<br />
bonne connaissance de ceux-ci, ainsi que de<br />
la combinaison avec des compétences juridiques<br />
et techniques. «Nous nous engageons<br />
à limiter les risques de cyber-squatting, dit<br />
Nicolas Van Beek. Nous faisons aussi de la<br />
recherche de noms disponibles, un aspect<br />
déterminant pour trouver les perles rares.<br />
En effet, il est de plus en plus difficile de<br />
trouver des noms de marques prononçables<br />
dans toutes les langues et ne comportant<br />
que deux ou trois syllabes. Nous recherchons<br />
des noms à l’aide d’outils de recherche automatisés<br />
et de séances de brainstorming.»<br />
68 AVRIL 08
UN MARCHÉ PLUS<br />
TRANSPARENT<br />
Namestock peut aussi aider à choisir les<br />
pays où les noms de domaine doivent être<br />
développés en priorité. De plus, la législation<br />
concernant la propriété intellectuelle favorise<br />
l’enregistrement de marques et de noms de<br />
domaine au Luxembourg. Le but est ainsi<br />
d’attirer les entreprises hors des paradis<br />
fiscaux, afin d’assainir le marché et de<br />
conserver en Europe la gestion des marques<br />
et des noms de domaine.<br />
Nicolas Van Beek,<br />
CEO de Namestock<br />
AVRIL 08 69
Technical Development Manager<br />
ACTUAL <strong>IT</strong><br />
Infrastructure<br />
Luxconnect,<br />
de fibres et de béton<br />
Jean-Louis Schiltz ministre des Communications, Roby Biwer<br />
bourgmestre de la ville de Bettembourg, Roger Lampach,<br />
directeur technique et Edouard Wangen, directeur général, ont<br />
posé la première pierre du nouveau datacenter de Luxconnect<br />
à Bettembourg en présence d’Ann Wagner, Ambassadrice des<br />
Etats-Unis d’Amérique. Une cérémonie relevée aussi par une<br />
participation de membres des Ministères et administrations ainsi<br />
que de dirigeants d’entreprises – fournisseurs et clients - qui<br />
accompagnent Luxconnect dans cette «aventure».<br />
«Luxconnect a invité aujourd’hui à cette<br />
cérémonie pour montrer que l’initiative du<br />
Gouvernement sous l’impulsion du Ministre<br />
Jean-Louis Schiltz commence à émerger<br />
de la phase de planification avec des faits<br />
accomplis en béton et en acier comme vous<br />
pouvez le voir derrière moi, a déclaré Edouard<br />
Wangen. Quand ce centre international<br />
d’hébergement et de communication ouvrira<br />
ses portes il sera dans le monde virtuel de<br />
l’économie numérique un hôtel 5 étoiles.<br />
Avec cette prétention, il nous faut assurer le<br />
haut de gamme des services aux grands du<br />
secteur des technologies de l’information et<br />
des communications. Mais je rassure tout de<br />
suite les «moins grands» qui d’ailleurs seront<br />
les «grands de demain» et qui ne seront pas<br />
situés au 5e sous-sol de notre attention!»<br />
Ce datacenter se verrait bien accueillir et<br />
héberger des plate-formes de commerce<br />
électronique (Ebay, Amazon, Paypal,…), des<br />
serveurs de communications avancés (pour<br />
les Skype, Google, Facebook, SecondLife,<br />
MySpace,…), des serveurs de streaming<br />
pour les portails Internet du Web (Youtube,<br />
MSN, MyVideo, Playtime qui basée à<br />
Luxembourg…), et des serveurs pour les<br />
plateformes informatiques de recherche<br />
pour les universités les hôpitaux ou encore<br />
les départements de «Recherche et<br />
Développement» de groupes internationaux<br />
comme p.ex. EADS ou BMW.<br />
70 AVRIL 08
Technical Development Manager<br />
L’encryption, une<br />
protection chirurgicale<br />
Véritable patrimoine de l’entreprise, les données sensibles doivent<br />
être protégées le mieux possible, notamment via l’encryption.<br />
Lors du petit-déjeuner organisé par <strong>IT</strong>news le 10 avril, la société Steria a introduit<br />
la solution d’encryption de données ZoneCentral, de Prim’X Technologies.<br />
Basée à Paris, Prim’X a notamment équipé le gouvernement français. Selon la<br />
société, l’une des clés d’une sécurité réussie est de faire cohabiter harmonieusement<br />
les solutions de sécurité, afin que leurs fonctionnalités se complètent,<br />
et de ne pas changer les habitudes des utilisateurs.<br />
«Depuis 2007, la protection des données<br />
sensibles est une priorité», dit Eric Stylemans,<br />
Security Solutions Group Manager chez<br />
Steria. Or, trop souvent, les solutions de<br />
sécurité sont disparates sur les laptops, les<br />
desktops, les serveurs,… En plus de l’email<br />
et des documents, les données sensibles<br />
se trouvent dans l’historique (les cookies,<br />
le cache), sur le VPN, la configuration de<br />
l’OS… «Lorsqu’un hacker cherche une faille, il<br />
profile l’utilisateur en croisant l’information des<br />
solutions utilisées, des updates effectués, et à<br />
quelle fréquence», explique Pierre Cassimans,<br />
Security Consultant chez Steria. L’encryption<br />
permet de sécuriser directement les données<br />
sensibles. Pour diminuer les risques,<br />
l’utilisateur doit connaître l’emplacement de<br />
ces données et déterminer leur niveau de<br />
confidentialité.<br />
UN PARAMÉTRAGE<br />
TRÈS FIN<br />
Prim’X Technologies a développé ZoneCentral,<br />
une solution d’encryption agnostique pour<br />
protéger l’ensemble des données sur le<br />
hardware, y compris les serveurs de stockage.<br />
La solution inclut aussi Zed, pour l’échange<br />
d’emails cryptés et de documents en<br />
attachés. «Etre loggé ne signifie pas accéder<br />
au document, explique Xavier Conqui,<br />
Channel Manager chez Prim’X Technologies.<br />
Seul l’utilisateur habilité a accès au document<br />
décrypté.» Bien que les documents soient<br />
séparés au sein du système, ZoneCentral<br />
permet d’homogénéiser la protection. Le<br />
cryptage et le décryptage sont totalement<br />
transparents pour l’utilisateur et peuvent<br />
s’adapter à toute infrastructure. De plus,<br />
la communication par email est sécurisée,<br />
un avantage décisif lors d’échanges de<br />
documents financiers en mode Swap.<br />
Bientôt, les solutions Zed for Outlook et Zed<br />
for Lotus crypteront tout l’email, ainsi que<br />
les pièces jointes, de poste à poste. Les<br />
documents ne sont déchiffrés que lorsque<br />
l’utilisateur dispose des clés nécessaires.<br />
ZoneCentral s’adapte aux besoins de<br />
l’entreprise avec ses solutions parallèles Zone<br />
Express, dédiée à l’encryption des laptops,<br />
et Zone Mobile, disponible en juin 2008, qui<br />
chiffre les PDA : base de contacts, pièces<br />
jointes, cartes de stockage, historique…<br />
Toutefois, l’utilisateur doit toujours réfléchir<br />
au type de déploiement voulu. «En cas de<br />
perte de données, de vol ou de catastrophe,<br />
le recouvrement des données n’est possible<br />
que si un mot de passe a été convenu<br />
avant de remettre les clés aux utilisateurs»,<br />
explique Xavier Conqui. Zone Central est<br />
donc une solution au paramétrage très fin,<br />
qui permet autant de sécuriser par «frappes»<br />
chirurgicales que d’étendre la protection au<br />
système entier.<br />
AVRIL 08 71
23/04/2008<br />
<strong>IT</strong> Industrialization<br />
«Mastering your Business Agility»<br />
ORGaNiSatEuR: Fujitsu Siemens Computers Luxembourg<br />
en collabaoration avec Gartner<br />
et Fujitsu Services<br />
tHÈME: <strong>IT</strong> Industrialization<br />
DatE: 23/04/2008<br />
liEu: Mercure Kikuoka Golf Club<br />
Informations et inscriptions:<br />
www.fujitsu-siemens.lu/events/industrialization/index<br />
06/05/2008<br />
First Tuesday Luxembourg :<br />
online search tools<br />
ORGaNiSatEuR: First Tuesday Luxembourg<br />
tHÈME: Online Search Tools<br />
DatE: 06/05/2008<br />
liEu: Sofi tel Luxembourg<br />
Informations et inscriptions:<br />
www.fi rsttuesday.lu<br />
24/04/2008<br />
Petit-déjeuner d'<strong>IT</strong>news :<br />
Business Process Management (BPM)<br />
ORGaNiSatEuR: Petit-déjeuner d'<strong>IT</strong>news<br />
tHÈME: Business Process Management (BPM)<br />
DatE: 24/04/2008 dès 8h30<br />
liEu: Confi serie Namur, Luxembourg-Hamm<br />
Informations et inscriptions:<br />
www.itnews.lu/eventbpm<br />
08/05/2008<br />
Identity, Access & Compliancy<br />
Management avec les produits<br />
de sécurité IBM Tivoli<br />
ORGaNiSatEuR: IBM<br />
tHÈME: IAM & Compliance<br />
DatE: 08/05/2008<br />
liEu: IBM - Hesperange<br />
Informations et inscriptions:<br />
www.ibm.com/events/be<br />
C<br />
M<br />
J<br />
CM<br />
MJ<br />
CJ<br />
CMJ<br />
N<br />
25/04/2008<br />
29/04/2008<br />
IP Day in Luxembourg :<br />
La valeur économique<br />
des droits de propriété intellectuelle<br />
ORGaNiSatEuR: Ministère de l’Economie<br />
et du Commerce extérieur, AIPPI,<br />
Centre de Veille Technologique, Luxinnovation<br />
tHÈME: Propriété intellectuelle<br />
DatE: 25/04/2008 de 14h à 17h<br />
liEu: Chambre de Commerce,<br />
Informations et inscriptions:<br />
www.luxinnovation.lu<br />
Qualité et ergonomie<br />
au service de vos applications web<br />
ORGaNiSatEuR: CRP Henri Tudor<br />
tHÈME: Qualité et ergonomie au service<br />
de vos applications web<br />
DatE: 29/04/2008<br />
liEu: CRP Henri Tudor - 29, Avenue John F. Kennedy<br />
Luxembourg-Kirchberg<br />
Informations et inscriptions:<br />
www.sitec.lu<br />
15/05/2008<br />
22/05/2008<br />
Conférence/Cocktail <strong>IT</strong>news :<br />
Outsourcing<br />
ORGaNiSatEuR: Conférence/Cocktail <strong>IT</strong>news<br />
tHÈME: Outsourcing<br />
DatE: 15/05/2008<br />
liEu: Espace Entreprise Confi serie Namur<br />
Luxembourg-Hamm<br />
Golden-i Gala & Awards<br />
Informations et inscriptions:<br />
www.itnews.lu/eventoutsourcing<br />
ORGaNiSatEuR: <strong>IT</strong>news avec APSI, sous le patronnage<br />
du Minsitère des Communications<br />
tHÈME: CIO of the Year & Flagship Award<br />
DatE: 22/05/2008<br />
liEu: Espace Entreprise Confi serie Namur<br />
Luxembourg-Hamm<br />
Informations et inscriptions:<br />
www.goldeni.lu
Grégory, Laurence, Patrick, Stephan, Yuri, Tobias, David, Renaud, Hassan, Yann, Benno, Reinhard, Steve, Khalid, Frédéric, Patrick,<br />
Christophe, Damien, Mickaël, Renato, Olivier, Michael, Arnaud, David, Bruno, Robert, Sébastien, Eric, Loïc, Frédéric, Georges,<br />
Stéphanie, Petra, Redouane, André, Ludovic, Dominique, Jean-Luc, Raphaël, Sandrino, Guillaume, Stephen, Julien, Zahir,<br />
Olivier, David, Didier, Michael, Marc, Karine, Laurent, Boris, Anthoni, Jean, Robert, Aurélie, Mathias, Benjamin, Grégory, Pierre-<br />
Olivier, Lionel, Frédéric, Sébastien, René, Jean-Paul, Anissa, Marc, Sergio, Walter, Yuksel, Saïd, Steve, April, Nathalie, Nadine,<br />
Lionel, Gilles, Christian, Olivia, Bernard, Pierre, Yves, Daniel, Geoffrey, Maria, Gautier, Pascal, David, Marc, Stéphane, Thomas,<br />
Sébastien, Nicolas, Pierre, Marie, Brice, Bertrand, Sébastien, Olivier, Samuel, Roland, Yves, Ivan, Mark, Matt, David, Jean-Pierre,<br />
Xavier, Michel, Olaf, Sébastien, Boris, Jerome, Yves, Sarah, Maxime, Ludovic, Andy, Emilie, Jochen, Jeremy, Luis, Arnaud,<br />
Mélanie, Christophe, Olivier, Ruben, Georges, David, Katia, Michel, Nicolas, Max, Catherine, Arnaud, Cédric, Nathalie…<br />
…ONT CHOISI UN MEILLEUR JOB AVEC LANCELOT,<br />
ET VOUS ?<br />
www.elancelot.com<br />
CABINET DE RECRUTEMENT SPÉCIALISÉ EN ICT AU LUXEMBOURG<br />
SIMPLIC<strong>IT</strong>É • DISCRÉTION • EFFICAC<strong>IT</strong>É<br />
+(352) 26 38 93 57<br />
<strong>IT</strong> Recruitment & Consulting
BUSINESS DECISION MAKER<br />
Petit-déjeuner<br />
Business Process Management<br />
Gestion des processus<br />
métier : les enjeux de la<br />
maîtrise<br />
L’automatisation des processus : un moyen d’orchestrer les<br />
actions de chacun pour une meilleure efficacité.<br />
Le fonctionnement de toute organisation repose sur des processus : on les<br />
qualifie de «cœur de métier» lorsqu’il s’agit d’un domaine touchant au métier, et<br />
de «transverses» pour les fonctions de type RH, Achats, Juridique… Parmi eux,<br />
certains sont critiques et doivent être automatisés, afin de fournir aux utilisateurs<br />
des applications informatiques mieux structurées et évolutives. Pour répondre à<br />
ces enjeux sur le marché luxembourgeois, la société Aubay a choisi de s’appuyer<br />
sur la solution W4 BPM Suite pour proposer cette démarche à ses clients.<br />
Chaque entreprise aujourd’hui cherche à<br />
améliorer la qualité de ses produits et de ses<br />
services. Les enjeux sont de taille, que ce soit<br />
dans le secteur privé ou dans les services<br />
publics. Il s’agit de faire face à la concurrence,<br />
d’augmenter la satisfaction client (ou des<br />
administrés), de répondre aux exigences des<br />
réglementations… Comment mettre en place<br />
une solution pour maximiser l’efficience des<br />
processus dont dépendent les produits et<br />
les services, en assurant un contrôle sur leur<br />
déroulement dans une sécurité optimale ?<br />
Une méthodologie<br />
pragmatique<br />
Les processus traversent toute l’organisation et<br />
impactent un grand nombre de services. Il est<br />
donc nécessaire d’obtenir l’adhésion de tous<br />
pour mener à bien un tel projet. «Comprendre<br />
les processus de l’entreprise peut mettre à<br />
jour certains dysfonctionnements», prévient<br />
Philippe Laurent, Senior ECM Consultant chez<br />
Aubay Luxembourg. Cependant, cela n’est<br />
pas un obstacle car dans ce type de projet,<br />
il faut rester les pieds sur terre : les différents<br />
intervenants savent déjà travailler ensemble,<br />
ainsi la mise en place des applications les<br />
aidera sans nécessairement commencer par<br />
une refonte de l’organisation.<br />
Donc, un des principes de la mise en<br />
place réside dans la capacité à prendre en<br />
compte l’existant en se mettant à la place<br />
de l’utilisateur : quelles sont les informations<br />
dont il a besoin pour mener à bien chacune<br />
des tâches qui lui incombent, où perd-on<br />
du temps... Une fois les premiers résultats<br />
de l’automatisation obtenus, il sera temps<br />
d’optimiser le processus.<br />
Des solutions<br />
évolutives<br />
Expliciter les processus est la clef de la<br />
réussite des projets, en évitant l’effet tunnel<br />
dans la mise en place : chaque évolution se<br />
fait en différentiel par une modification du<br />
processus. Les impacts des modifications<br />
sont très locaux et ne nécessitent pas<br />
une revalidation globale de l’ensemble du<br />
processus. «Rajouter une étape de validation<br />
ne modifie pas le comportement des autres<br />
étapes», assure François Bonnet, responsable<br />
marketing chez W4. Il n’est pas rare que les<br />
entreprises fassent évoluer leurs processus<br />
plusieurs fois par an.<br />
Des résultats<br />
tangibles<br />
Grâce à la mise en place de la solution W4<br />
BPM Suite, aujourd’hui dans certaines<br />
administrations 95% des dossiers reçus sont<br />
traités dans les délais ; dans certaines banques,<br />
les chargés de clientèle disposent de 5 à 10%<br />
de temps commercial supplémentaire pour se<br />
consacrer à la nouvelle clientèle, et le délai de<br />
traitement d’une demande a été ramené à une<br />
heure plutôt qu’une journée ; dans l’industrie,<br />
74 AVRIL 08
plus de produits sont lancés dans les délais<br />
avec une qualité améliorée ; les assureurs<br />
arrivent à diminuer les temps de traitement des<br />
dossiers sinistre par quatre ; et les opérateurs<br />
de telco peuvent faire face à l’augmentation<br />
de la demande avec une prestation de service<br />
irréprochable dans la fourniture de lignes …<br />
Petit-déjeuner<br />
d’<strong>IT</strong>news<br />
Jeudi 24 avril 2008<br />
Thème : Business Process Management<br />
Quand ? Jeudi 24 avril 2008 à partir de 8h30<br />
Où ? Confiserie Namur, Espace entreprises<br />
Luxembourg Hamm<br />
Qui ? François Bonnet Marketing Manager, W4<br />
Luc Bernard Board Director, Aubay<br />
Cas d'études ECM dans un rôle BPM:<br />
• BNP Paribas Private Bank Luxemburg par Philippe<br />
Laurent, Senior ECM Consultant, Aubay Luxemburg<br />
• Barclays Bank par François Bonnet, W4<br />
• Ville d’Arlon par Patrick Adam,<br />
Chef de Division Administrative, Ville d'Arlon<br />
Infos : www.itnews.lu/emailing/bpm/<br />
AVRIL 08 75
Perso<br />
Portrait<br />
Pour vous l’it c’est…<br />
Un outil quasi tout-puissant à la disposition<br />
des entreprises et des individus. Ceux qui<br />
savent s’en servir habilement seront toujours<br />
en avance.<br />
Comment aimez-vous<br />
aborder l’it ?<br />
Idéalement, il faut combiner des compétences<br />
métier avec des compétences <strong>IT</strong> afi n<br />
d’assurer un alignement optimal entre les<br />
deux.<br />
Qu'est-ce qui vaut la peine d’être<br />
combattu ?<br />
L’incompétence, la mentalité «fonctionnaire».<br />
Le goût<br />
de l’innovation<br />
Carte d’identité :<br />
Prénom : Claude<br />
Nom : Lüscher<br />
age : 43<br />
Nationalité : Suisse<br />
Fonction : Managing Partner<br />
Société : Exigo S.A.<br />
loisirs : Jogging, Gastronomie,<br />
Cigares<br />
Signes particuliers<br />
(ou traits de caractère) :<br />
Direct, pragmatique, mesuré<br />
76 AVRIL 08
Quel est votre sens de l’innovation ?<br />
En citant un grand constructeur américain :<br />
«embrace and enhance». Il faut avoir une<br />
bonne veille technologique et savoir utiliser<br />
et adapter ce qui supporte au mieux les<br />
objectifs de l’entreprise.<br />
Ce que vous aimez le plus dans<br />
votre métier ?<br />
La diversité.<br />
Ce que vous aimez le moins dans<br />
votre métier ?<br />
Les gens qui ne savent (n’osent) pas prendre<br />
des décisions.<br />
Comment considérez-vous la place<br />
luxembourgeoise ?<br />
Comme un paradis… fragile.<br />
Pour vous, quel est le produit ou<br />
solution professionnel de l’année ?<br />
Avaloq, une solution «core banking» d’origine<br />
suisse qui, avec son apparition sur le marché<br />
luxembourgeois, a marqué le début de toute<br />
une série de remises en cause des solutions<br />
existantes dans les banques de la place.<br />
Banque en ligne ou billet en papier ?<br />
Banque en ligne<br />
Pourquoi choisir Exigo ?<br />
Pour nos consultants qui font la différence.<br />
Pour notre capacité à combiner l’expertise<br />
bancaire avec la compétence <strong>IT</strong> et à favoriser<br />
un meilleur alignement de l’<strong>IT</strong> avec les<br />
objectifs du business.<br />
À quoi ressemble votre journée type ?<br />
Il n’y a pas de journée type mais régulièrement,<br />
on trouvera évidemment les réunions<br />
clients, les interviews, le networking,<br />
le développement de nouvelles idées…<br />
Développements ou conseils ?<br />
Plutôt le conseil.<br />
Bloc-notes ou PDA ?<br />
PDA !<br />
Quels sont vos passions et hobbies ?<br />
Les randonnées en cabrio ou en moto, la<br />
cuisine et les produits méditerranéens, un<br />
bon cigare entre amis.<br />
Quelle est votre place-to-be préférée<br />
au Luxembourg ?<br />
Le «bar à vin» chez Pascal, le Cat Club, le<br />
Havanna Lounge et le Bar au 8ème du Sofitel,<br />
le Boos Café.<br />
AVRIL 08 77
L’ENTREPRISE<br />
DU MOIS<br />
www.itjobs.lu/bcee<br />
www.itjobs.lu/exigo<br />
www.itjobs.lu/kbl<br />
• T24/GLOBUS ARCH<strong>IT</strong>ECTURE,<br />
DEVELOPMENT LEADER<br />
• BUSINESS ANALYSTS CRM/WEB<br />
• SERVICE DESK MANAGERS<br />
KBL European Private Bankers (KBL<br />
epb) est le moteur du Private Banking<br />
européen au sein du KBC Groupe, un<br />
groupe fi nancier international, solide et<br />
performant, comptant près de 50.000<br />
collaborateurs et plus de 13 millions<br />
de clients. De Luxembourg à Monaco,<br />
Londres à Munich, Paris à Genève en<br />
passant par Amsterdam ou Bruxelles,<br />
KBL epb rassemble des banques et<br />
sociétés de gestion spécialisées en<br />
Private Banking.<br />
• ANALYSTE-PROGRAMMEUR<br />
• E-BUSINESS CONSULTANTS<br />
• BUSINESS INTELLIGENCE<br />
CONSULTANTS<br />
www.itjobs.lu/b&d<br />
www.itjobs.lu/ctg<br />
• GESTIONNAIRE D'EXPLO<strong>IT</strong>ATION UNIX<br />
• BUSINESS ANALYST FINANCE<br />
• UNIX SYSTEM ADMINISTRATOR<br />
SOLARIS, AIX<br />
• CONSULTANT – BUSINESS PROCESS<br />
MANAGEMENT<br />
• CONSULTANT – OLYMPIC<br />
• AVALOQ PROJECT MANAGER<br />
www.itjobs.lu/fdm<br />
• DÉVELOPPEUR CONFIRMÉ DOT NET<br />
• TRANSFER AGENCY BUSINESS ANALYST<br />
• DÉVELOPPEUR ORACLE PL/SQL<br />
ET POWERBUILDER<br />
• ANALYSTE-DEVELOPPEUR /<br />
SOFTWARE DEVELOPER<br />
www.itjobs.lu/genix<br />
www.itjobs.lu/deloitte<br />
www.itjobs.lu/gfi<br />
Kredietbank Luxembourg<br />
43 Boulevard Royal<br />
L-2955 Luxembourg<br />
Tel. : +352 47 97 76 49<br />
Fax : +352 47 26 67<br />
http://www.kbl.lu/<br />
• TRIPLE A ARCH<strong>IT</strong>ECT<br />
• TRIPLE A DEVELOPER<br />
• SAP TECHNICAL CONSULTANTS<br />
• ICT FORMATEUR/CONSULTANT<br />
(JAVA, BO)
Déposez votre CV, présentez votre entreprise<br />
et découvrez les dernières offres sur www.itjobs.lu<br />
Devenez annonceur ! Contactez Emilie Mounier au: +352 26 10 86 26 - emilie.mounier@itnews.lu<br />
Toutes les offres d’emploi sont autant accessibles aux femmes qu’aux hommes.<br />
www.itjobs.lu/kelly<br />
• <strong>IT</strong> DEVELOPER<br />
FOR AN INTERNATIONAL BANK<br />
• HELPDESK FRENCH / ENGLISH<br />
www.itjobs.lu/nvision<br />
• 3 WEB DEVELOPERS<br />
ANALYSTE-PROGRAMMEUR XHTML/CSS<br />
• JUNIOR WEB DEVELOPER<br />
ANALYSTE-PROGRAMMEUR XHTML<br />
• ASSISTANT ADMINISTRATIF DANS<br />
SOCIÉTÉ SPÉCIALISÉE DANS LE WEB<br />
www.itjobs.lu/teamtrade<br />
• BUSINESS ANALYST MUREX<br />
ACCOUNT<strong>ING</strong> MODULE<br />
• <strong>ING</strong>ÉNIEURS D'ÉTUDES OUTILS DE<br />
DÉVELOPPEMENT ORACLE<br />
• CONSULTANT MAÎTRISE D’OUVRAGE<br />
JUNIOR/SENIOR<br />
www.itjobs.lu/crp<br />
www.itjobs.lu/scs<br />
www.itjobs.lu/telindus<br />
• PROJECT LEADER IN <strong>IT</strong><br />
FOR HEALTH CARE<br />
• BUSINESS ANALYST<br />
• PRIMARY SYSTEM ENGINEER<br />
C<strong>IT</strong>RIX (H/F)<br />
• SECUR<strong>IT</strong>Y SALES CONSULTANT<br />
• SPÉCIALISTE TECHNIQUE EN STORAGE<br />
www.itjobs.lu/lancelot<br />
• KERNEL DEVELOPER<br />
• ANALYSTE PROGRAMMEUR<br />
SENIOR PHP<br />
• CHEF DE PROJET DEVPT JAVA<br />
www.itjobs.lu/sfeir<br />
• ANALYSTE / DÉVELOPPEUR JAVA<br />
• ARCH<strong>IT</strong>ECTE JAVA<br />
• ANALYSTE / DÉVELOPPEUR .NET<br />
www.itjobs.lu/logica<br />
www.itjobs.lu/sogeti<br />
• DÉVELOPPEUR EN NOUVELLES<br />
TECHNOLOGIES – JAVA / J2EE<br />
• TESTEUR (LUXEMBOURG) M/F<br />
• SENIORS ANALYSTES<br />
PROGRAMMEURS JAVA/J2EE
Lancelot<br />
<strong>IT</strong> Consulting & Resourcing Services<br />
SAN STORAGE SYSTEM ENGINEER LUXEMBOURG<br />
Our client is an international <strong>IT</strong> solution provider that helps clients plan, build and support their <strong>IT</strong> infrastructures.<br />
MISSION:<br />
• Installation, confi guration, administration and troubleshooting<br />
of large heterogeneous backup and storage infrastructure.<br />
• Incident handling with respect of targeted resolution times.<br />
• Elaboration of operational guidelines / procedures<br />
and technical documentation.<br />
• Evaluation, review and implementation of standards (best practices).<br />
• Participation in architectural design / reviews<br />
and relevant client meetings<br />
• Implementation of design changes.<br />
SPECIFICATIONS DU POSTE<br />
• Début: ASAP<br />
• Lieu: Luxembourg<br />
• Salaire: 55000.00-70000.00<br />
PROFIL:<br />
• In-depth technical knowledge of EMC high-end hardware and<br />
management software, and Unix Solaris, Windows NT/2000+, Linux.<br />
• In-depth knowledge of (some of): Oracle, Microsoft SQL Server,<br />
MS Exchange and TCP/IP networking (especially related<br />
to backup and storage)<br />
• Ability to write and debug scripts in any one or more<br />
of the following operating systems (Solaris, Windows or Linux)<br />
• Solution driven and user-satisfaction oriented<br />
• Ability to work in a demanding environment<br />
where time fl exibility is mandatory.<br />
• Technical knowledge of application environments<br />
and their interactions with storage/backup environments<br />
• Capabilities to manage small technical projects.<br />
• Good knowledge, written and spoken, of English and/or French<br />
• Minimum 5 years of relevant experience<br />
• Certifi cation in SAN and/or NAS product(s)<br />
• Certifi cation in at least one storage manufacturer's product range<br />
• Certifi cation in Backup products.<br />
• Certifi cation in either Solaris, Windows or Linux.<br />
Lancelot Consulting<br />
83, rue de Hollerich<br />
L-1741 Luxembourg<br />
Tél. +(352) 26 38 93 57<br />
apply@elancelot.com<br />
www.elancelot.com<br />
INTÉRESSÉ(E) ? POUR POSTULER:<br />
Si vous souhaitez postuler pour ce poste, merci de nous faire parvenir votre candidature à l’adresse suivante: mcastro@elancelot.com<br />
en ajoutant le texte suivant dans l’objet de l’email: “Réf. 387 - SAN STORAGE”<br />
Votre CV doit être de préférence en format MS WORD ou RTF.<br />
Confidentialité assurée! Pour les offres d’emploi, Lancelot s’engage à ne jamais envoyer un CV à un client sans avoir demandé au préalable<br />
l’accord du candidat.<br />
Analyste-Développeur Java Expérimenté<br />
TYPE DE CONTRAT : CDI • TYPE D'EMPLOI : Temps plein • RÉFÉRENCE : 149988<br />
Vous êtes intéressé(e) ?<br />
N'hésitez pas à envoyer votre dossier à :<br />
CTG LUXEMBOURG PSF<br />
Melle Staebler Audrey<br />
ZA de Bourmicht, 10<br />
L-8070 Bertrange<br />
audrey.staebler@ctg.com<br />
www.thisisctg.lu<br />
VOTRE MISSION :<br />
• Vous interviendrez sur des projets J2EE dans le secteur fi nancier<br />
(banques et assurances).<br />
VOTRE PROFIL :<br />
Developpeur java expérimenté avec une expérience d'au moins 2 ans<br />
avec les technologies suivantes :<br />
• Spring<br />
• Strut<br />
• Java J2EE<br />
LANGUES :<br />
• Français<br />
• Anglais<br />
VOS APT<strong>IT</strong>UDES :<br />
• Sens de l’organisation<br />
• Capacité d’analyse<br />
• Esprit d’équipe<br />
• Bon relationnel<br />
• Critique<br />
• Rigoureux<br />
NOTRE OFFRE :<br />
• Un 13 ème mois<br />
• Une Voiture de société<br />
• Une Carte carburant<br />
• Des Tickets Restaurant à 8,40<br />
• Prime de parrainage<br />
• 26 à 31 jours de congés<br />
• Un Plan de formation personnel<br />
• Une Gestion de carrière<br />
• Des Missions valorisantes<br />
Vous souhaitez mieux nous connaître CTG ? Rendez-vous sur www.thisisctg.lu
Vous recrutez ? Votre annonce ici pour seulement 450 !<br />
VOS AVANTAGES:<br />
• Plus de 7000 lecteurs spécialisés en <strong>IT</strong><br />
• La solution pour à la fois recruter et renforcer votre image<br />
• Une parution de l’annonce couplée dans le magazine <strong>IT</strong>news 2.0<br />
et sur le site www.itjobs.lu<br />
• Aucun frais de graphisme<br />
SPÉCIFICATIONS TECHNIQUES:<br />
Vous nous transmettez:<br />
• Votre logo<br />
• Votre annonce<br />
Nous faisons la mise en page...<br />
VOTRE TARIF:<br />
• 450€ seulement pour une parution à la fois dans le magazine<br />
<strong>IT</strong>news 2.0 et sur le site www.itjobs.lu<br />
MAKANA - Emilie Mounier<br />
83, rue de Hollerich<br />
L-1741 Luxembourg<br />
T +352 26 10 86 26<br />
F +352 26 10 86 27<br />
emilie.mounier@makana.lu<br />
www.makana.lu<br />
PLUS D’INFORMATIONS:<br />
MAKANA - Emilie Mounier - 83, rue de Hollerich - L-1741 Luxembourg - T +352 26 10 86 26 - F +352 26 10 86 27<br />
emilie.mounier@makana.lu<br />
SYME_264951_<strong>IT</strong>-Risk-UK-A4 16/03/2007 16:06 Page 1<br />
Principal System Engineer (SE) for Luxemburg<br />
Symantec is recruiting<br />
MISSION :<br />
PROFIL :<br />
The Principal System Engineer will work with the sales teams in a The candidate must have a Bachelor's degree in Computer Science,<br />
pre-sales role to develop and position solutions involving Symantec’s Engineering or related fi eld, 6-8 years experience in systems<br />
The products. vulnerability The SE Delivers of your presentations business and participates in<br />
administration, pre-sales or related fi eld. Strong knowledge and<br />
conference call discussions, confi rms that Symantec’s products meet understanding of the storage and security industry. In-depth<br />
the prospect’s requirements is connected and assist sales to the in technical enormity qualifi cation. of your knowledge <strong>IT</strong> infrastructure<br />
of multiple Operating Systems such as UNIX, Windows<br />
He or she also needs to be able to articulate and demonstrate and storage devices. Must possess good presentation skills. Strong<br />
Symantec solutions, and is connected position products torelative an accurate to the competition. assessment interpersonal of the skills. risks Ability involved to relate to a wide range of technical<br />
Actively delivering presentations at high level speaking engagements, staff and managers in customer environments. Excellent verbal and<br />
seminars and trade shows is connected are also part of tothe solutions assignment. This that manage written security, communication availability skills in French/English. and compliance Good knowledge of<br />
position may require travel throughout Belgium and Luxemburg. the storage & security landscape.<br />
is connected to Symantec Global Services for results that shine<br />
WHEN : ASAP<br />
from assembly line to the bottom line.<br />
Wouter Marien<br />
Symantec Corporation<br />
Offi ce: +32 25311142<br />
www.symantec.com<br />
wouter_marien@symantec.com<br />
APPLY ?<br />
contact Wouter Marien by email
Special<br />
Offshoring :<br />
india...<br />
Le 15 mai 2008<br />
<strong>IT</strong>news 2.0 Spécial Outsourcing<br />
SOURC<strong>ING</strong>: IN & OUT, AND SPECIAL INDIA<br />
Sourcing: la définition des besoins<br />
Comment s'engager sur la voie du sourcing?<br />
Un bon contrat vaut mieux que deux tu l'auras...<br />
Sourcing: tendances 7 ou 9 ans?<br />
Outsoucing / Cosourcing / Insourcing / Hubbing... Jusque où aller ?<br />
Sourcing de base : outtasking, cotasking, body shopping...<br />
Le management des partenaires de sourcing<br />
Communiquer : l'essentiel, mesurer : l'incontournable<br />
La qualité dans le sourcing : standards & méthodes<br />
Big players, big projects, big bangs...<br />
Et les PME ?<br />
Mais aussi: les (nouveaux) PSF...<br />
SaaS : extreme sourcing ?<br />
BPO<br />
Tailor-made sourcing: mutualisation 'one to one'<br />
<strong>IT</strong>news 2.0 Outsourcing Special<br />
Contacts: Rédaction: raphael.henry@itnews.lu<br />
Publicité: emilie.mounier@itnews.lu<br />
EN juin 2008<br />
DATACENTERS<br />
& INFRASTRUCTURE<br />
Clôtures: Manifestation à intérêt : 21 avril 2008<br />
Contribution: 28 avril 2008<br />
Parution et conférence: 15 mai 2008
SOUS LE HAUTPATRONAGE DU MINISTÈRE DES COMMUNICATIONS<br />
&<br />
PRESENTENT<br />
Qui sera le CIO de l’année 2008 ? Quelle sera l’entreprise de l’année 2008 ?<br />
Places limitées, réservez votre table dès à présent sur info@itnews.lu<br />
www.goldeni.lu<br />
EVENT PARTNER:<br />
MEDIA PARTNER:
©2008<br />
_Gen_223x275_v1a_kb.indd 1 3/31/08 6:15:44