Gérer les risques opérationnels et de sécurité de l’information

/in /by

Article intéressant sur le partenariat entre Labgroup et le CRP Henri Tudor, publié dans la première édition 2013 de la Revue Technique Luxembourgeoise.

Gérer les risques opérationnels et de sécurité de l’information
avec une approche intégrée

A la recherche d’une solution intégrée lui permettant de répondre à la fois aux exigences de gestion des risques de sécurité de l’information et de gestion des risques opérationnels, Labgroup s’est tourné vers le CRP Henri Tudor. «En tant que Professionnel du Secteur Financier, nous devons répondre à des exigences de la Commission de Surveillance du Secteur Financier (CSSF) et sommes soumis à des contrôles relatifs à notre gestion des risques opérationnels liés au traitement de l’information. Par ailleurs, dans la perspective de la création d’un statut de Prestataire de Services de dématérialisation et/ou de Conservation (PSDC), prévu dans la nouvelle loi sur l’archivage électronique, il faudra aussi répondre à des directives strictes en termes de gestion des risques liée à la sécurité de l’information», explique Manu Roche, Chief Operations Officer de Labgroup Luxembourg. Ces deux approches de gestion du risque, traitant de risques de nature différente, s’appuient respectivement sur la circulaire 12/544 de la CSSF et sur le référentiel de l’ILNAS, organisme d’accréditation pour le statut de PSDC, qui se base notamment sur les normes ISO/IEC 27001, ISO/IEC 27002 et ISO/IEC 27005.

Intégrer deux approches

«Nous recherchions, sur la place, des acteurs capables de nous aider à intégrer ces deux approches en une seule, et ainsi nous faciliter la tâche par rapport aux obligations aux-quelles nous sommes soumis tout en nous permettant de réaliser des économies», poursuit Manu Roche. N’ayant pu trouver des acteurs à même de les accompagner dans la définition de cette approche unique, Labgroup a finalement trouvé dans le CRP Henri Tudor un interlocuteur de choix et s’est donc inscrit dans une démarche d’innovation.

«Cela fait de nombreuses années que nous étudions les différents référentiels réglementaires ou normatifs», explique Nicolas Mayer, Senior R&D Engineer au CRP Henri Tudor. La multiplication des types de risques, et des normes à mettre en oeuvre pour les gérer, a créé une réelle complexité au niveau de la gestion de l’entreprise. Dans la mesure où la gestion des risques opérationnels et la gestion des risques de sécurité de l’information constituent deux domaines intimement liés, il y a donc une réelle valeur ajoutée à les traiter en parallèle, au sein d’une même approche. Cette mutualisation a pour conséquence d’améliorer la gouvernance de ’entreprise et de lui permettre de répondre de manière plus pertinente et efficace à ses problématiques de conformité.

Gain de temps et d’argent

Depuis septembre, le CRP Henri Tudor et Labgroup travaillent main dans la main pour développer une approche unique qui permettra aux entreprises de répondre aux exigences de la CSSF ainsi qu’à la règle technique de l’ILNAS.

«La méthode est opérationnelle et nous l’avons outillée avec un logiciel qui permet de guider l’utilisateur dans la démarche, d’en documenter les étapes et les résultats et de fournir une base de connaissance relative aux risques encourus et à la manière de les réduire. Le logiciel garantit également la production d’une analyse comparable et reproductible dans le temps et donne le cadre des rapport à fournir», explique Nicolas Mayer.

Aujourd’hui, la méthode et l’outil sont testés au niveau de Labgroup. «L’objectif est d’être prêt pour obtenir l’accréditation PSCD au printemps prochain», explique Manu Roche. Pour l’entreprise, disposer d’un même outil pour la gestion des risques opérationnels et de sécurité, c’est la garantie d’un gain de temps et d’argent, mais aussi un moyen de s’assurer une ligne de conduite commune répondant aux différentes exigences réglementaires.

Vers une approche plus large

Pour le CRP Henri Tudor, cette fructueuse collaboration constitue un solide appui pour aller vers une approche plus large encore. «Nous avons pu montrer, par cette collaboration, que l’on pouvait innover de manière très pragmatique sur l’intégration de différents référentiels relatifs à la gestion des risques. L’objectif est de poursuivre dans cette voie, afin de parvenir à une intégration globale de la gestion des différents risques auxquels les organisations sont confrontées, et ce au sein d’une solution», explique Nicolas Mayer.

Propos recueillis par Sébastien Lambotte

Lire l’article sur le site de la Revue Technique.

Plus d’informations sur le site www.tudor.lu

Luxembourg: Getting rid of paper!

/in /by

For Flydoscope Magazine (2013 Spring Edition), Raymond Faber, from the Luxembourg Economy and Trade Ministry, speaks about the new Luxembourg legislation on virtual record-keeping and how it aims at attracting more multinationals to the Grand Duchy.

Article written by Aaron Grunwald.

Luxembourg has taken another step towards attracting the regional and global headquarters of multinational corporations with the introduction of the country’s new electronic archiving law. The bill is the first move in Europe, and possibly in the world, to put electronic versions of many legal documents on the same playing field as their paper counterparts.

The measure – currently winding its way through the legislative process – updates the Grand Duchy’s 1986 archiving law, explains Raymond Faber, e-commerce and IT security manager at the economy and trade ministry. Under the existing system, if there ever is a conflict between a physical and virtual version of a document before a court, “the paper will always prevail” because “it’s always the paper which has the more legal value”, he says.

The new regime represents a huge shift. If “you are compliant with the legislation and with the conditions in the regulations, this means that in front of a tribunal the burden of proof changes” according to Faber. “It’s not you that will have to prove that the electronic document has been created and store correctly, but ot’s the other party who has to prove that is has not been done correctly. It’s a change in the burden of proof”.

Read full article in the Flydoscope Magazine.

You want to learn more about the Luxembourg archiving bill ? Read our Introduction to the law proposal on electronic archiving (in French).