LG_230

LG
EDITION SPÉCIALE
85
d’incident majeur, l’entreprise dispose de
la réponse adaptée aux besoins du métier
et qu’elle soit délivrable par l’IT. Pour
ce faire, nous accompagnons nos clients
dans l’élaboration d’une étude de BIA
(Business Impact Analysis) suivie d’un
plan de Business Continuity. L’innovation
apportée par EBRC consiste à centraliser
l’ensemble de ces travaux d’analyse par
activité et service au sein d’une plateforme
centrale Cyber-Resilience Portal. Audelà
de l’aspect pratique et sécuritaire de
centralisation du stockage BIA et autres
composants d’un système de gestion de la
continuité d’activité, le Cyber-Resilience
Portal permet, et ce en temps réel, de créer
des scénarios facilitant la prise de décision.
N’oublions pas qu’une démarche de Business
Continuity s’inscrit dans la durée suivant
la méthode PDCA (Plan Do Check Act).
Cyber-Resilience Portal facilite la mise en
place de ce processus récurrent qui permet
d’améliorer la résilience des organisations en
donnant aux dirigeants les moyens de choisir
parmi les meilleures options. Notre solution
leur donne la possibilité de disposer des
différentes alternatives à leur disposition et
d’arbitrer leur décision en maîtrisant le ROI
potentiel de chaque amélioration envisagée.
CR: Grâce à notre accompagnement, nos
clients pourront s’approprier les bonnes
pratiques de continuité d’activité et s’inscrire
dans une démarche d’amélioration continue
en se basant sur la norme ISO 22301. Celleci
spécifie les exigences pour planifier, établir,
mettre en place et en œuvre, contrôler,
réviser, maintenir et améliorer de manière
continue un système de Management
documenté afin de se protéger des incidents
perturbateurs, réduire leur probabilité de
survenance, s’y préparer et s’en rétablir
lorsqu’ils surviennent.
Quelle est votre valeur ajoutée par
rapport à la concurrence?
Ph.D.: Notre valeur ajoutée, tant pour la
réalisation de missions de services que pour le
développement du Cyber-Resilience Portal,
réside dans notre parfaite connaissance
de l’ISO 22301. Notre méthodologie est
basée sur cette norme et nous l’adaptons
en permanence en fonction de l’actualité.
La norme ISO 22301 sera mise à jour cette
année, avec une publication prévue pour
fin 2019, pour devenir une norme chapeau
qui englobera aussi bien les aspects sécurité
de l’information que les niveaux de qualité.
Nous nous y sommes préparés. Nous
pouvons également apporter à nos clients
de précieux retours d’expérience. En effet,
un autre élément différenciateur est que
nous sommes plus que des théoriciens de
la continuité, car nous avons suivi le même
trajet que celui conseillé à nos clients,
et que nous avons obtenu la certification
ISO 22301 en 2016.
Quels sont les principaux marchés couverts
par vos services?
CR: Notre équipe aux profils très variés
nous permet d’avoir une approche assez
diversifiée. Nos clients et nos prospects
proviennent de secteurs d’activité tels que
la finance, les assurances, le transport, la
santé, l’agro-alimentaire ou l’aéronautique.
Nous accompagnons régulièrement des
clients jusqu’à l’obtention de la certification
ISO 22301. C’est le cas notamment
d’Arendt Services, un PSF spécialisé offrant
une gamme complète de services aux
entreprises pour leur installation et leur
gestion au Luxembourg, et la Banque de
Patrimoines Privés, première institution
financière luxembourgeoise à avoir mis
en place un système de Management de
continuité d’activité en totale conformité
avec la norme.
“Nous pouvons
apporter à nos
clients un précieux
retour d’expérience
car nous avons
nous aussi obtenu
la certification
ISO 22301”
Comment vos clients peuvent-ils valoriser
l’apport d’une mission de résilience?
Ph.D.: Ils disposent d’un indéniable
avantage commercial et concurrentiel qui
les différencie de leurs concurrents. Ainsi,
des clients que nous avons accompagnés
jusqu’à l’obtention de la certification
ISO 22301 ont gagné des parts de marché
grâce à la garantie supplémentaire qu’ils
sont en mesure d’offrir. Ils ont notamment
remporté des appels d’offres parce qu’ils
pouvaient prouver, grâce à leur certification,
qu’ils avaient mis en place toutes les
mesures assurant une continuité d’activité.
Dans une économie «digital-dépendante»,
le risque prend une tout autre ampleur
de par la fulgurance de sa propagation
et sa capacité à impacter votre chaîne de
valeur. Pouvoir anticiper et se préparer,
disposer de solutions prêtes à l’emploi,
tels sont les objectifs d’une démarche de
normalisation. La Cyber-Résilience ne
consiste pas seulement à répondre à des
obligations réglementaires, elle est devenue
un impératif business, un vecteur tangible
de confiance. n
Comment entreprendre
une démarche de résilience?
La Business Resilience peut se résumer en
cinq points.
Partir du métier pour évaluer les impacts.
La première démarche consiste à considérer
le métier et à analyser les écarts entre la
situation existante et les exigences formulées
par la norme ISO 22301.
Identifier les activités critiques. Au niveau de
chaque équipe, les effets d’une interruption
de l’activité doivent être évalués selon
différents critères comme le délai de reprise
(Recovery Time Objective ou RTO), l’objectif
de point de reprise informatique (Recovery
Point Objective ou RPO) et le délai maximal
d’interruption admissible (Maximum
Acceptable Outage ou MAO).
Evaluer avec l’IT sa capacité de continuité
des activités. Cette étape va permettre de
faire la liste des actions à mettre en place
pour aligner l’informatique avec les besoins
du business.
Définir les composants de gestion de crise et
les exercer. Il est important de pouvoir faire
des exercices de gestion de crise proches de
la réalité. C’est ce que propose notamment la
plateforme de simulation et d’entraînement
du Cybersecurity Competence Center (C3)
avec lequel EBRC a conclu un partenariat.
Sensibiliser et informer les collaborateurs.
La Cyber-Résilience est l’affaire de tous.
Chaque collaborateur, à son niveau, doit
savoir quelle attitude adopter en situation de
crise.