Gérer les risques opérationnels et de sécurité de l’information

Article intéressant sur le partenariat entre Labgroup et le CRP Henri Tudor, publié dans la première édition 2013 de la Revue Technique Luxembourgeoise.

Gérer les risques opérationnels et de sécurité de l’information
avec une approche intégrée

A la recherche d’une solution intégrée lui permettant de répondre à la fois aux exigences de gestion des risques de sécurité de l’information et de gestion des risques opérationnels, Labgroup s’est tourné vers le CRP Henri Tudor. «En tant que Professionnel du Secteur Financier, nous devons répondre à des exigences de la Commission de Surveillance du Secteur Financier (CSSF) et sommes soumis à des contrôles relatifs à notre gestion des risques opérationnels liés au traitement de l’information. Par ailleurs, dans la perspective de la création d’un statut de Prestataire de Services de dématérialisation et/ou de Conservation (PSDC), prévu dans la nouvelle loi sur l’archivage électronique, il faudra aussi répondre à des directives strictes en termes de gestion des risques liée à la sécurité de l’information», explique Manu Roche, Chief Operations Officer de Labgroup Luxembourg. Ces deux approches de gestion du risque, traitant de risques de nature différente, s’appuient respectivement sur la circulaire 12/544 de la CSSF et sur le référentiel de l’ILNAS, organisme d’accréditation pour le statut de PSDC, qui se base notamment sur les normes ISO/IEC 27001, ISO/IEC 27002 et ISO/IEC 27005.

Intégrer deux approches

«Nous recherchions, sur la place, des acteurs capables de nous aider à intégrer ces deux approches en une seule, et ainsi nous faciliter la tâche par rapport aux obligations aux-quelles nous sommes soumis tout en nous permettant de réaliser des économies», poursuit Manu Roche. N’ayant pu trouver des acteurs à même de les accompagner dans la définition de cette approche unique, Labgroup a finalement trouvé dans le CRP Henri Tudor un interlocuteur de choix et s’est donc inscrit dans une démarche d’innovation.

«Cela fait de nombreuses années que nous étudions les différents référentiels réglementaires ou normatifs», explique Nicolas Mayer, Senior R&D Engineer au CRP Henri Tudor. La multiplication des types de risques, et des normes à mettre en oeuvre pour les gérer, a créé une réelle complexité au niveau de la gestion de l’entreprise. Dans la mesure où la gestion des risques opérationnels et la gestion des risques de sécurité de l’information constituent deux domaines intimement liés, il y a donc une réelle valeur ajoutée à les traiter en parallèle, au sein d’une même approche. Cette mutualisation a pour conséquence d’améliorer la gouvernance de ’entreprise et de lui permettre de répondre de manière plus pertinente et efficace à ses problématiques de conformité.

Gain de temps et d’argent

Depuis septembre, le CRP Henri Tudor et Labgroup travaillent main dans la main pour développer une approche unique qui permettra aux entreprises de répondre aux exigences de la CSSF ainsi qu’à la règle technique de l’ILNAS.

«La méthode est opérationnelle et nous l’avons outillée avec un logiciel qui permet de guider l’utilisateur dans la démarche, d’en documenter les étapes et les résultats et de fournir une base de connaissance relative aux risques encourus et à la manière de les réduire. Le logiciel garantit également la production d’une analyse comparable et reproductible dans le temps et donne le cadre des rapport à fournir», explique Nicolas Mayer.

Aujourd’hui, la méthode et l’outil sont testés au niveau de Labgroup. «L’objectif est d’être prêt pour obtenir l’accréditation PSCD au printemps prochain», explique Manu Roche. Pour l’entreprise, disposer d’un même outil pour la gestion des risques opérationnels et de sécurité, c’est la garantie d’un gain de temps et d’argent, mais aussi un moyen de s’assurer une ligne de conduite commune répondant aux différentes exigences réglementaires.

Vers une approche plus large

Pour le CRP Henri Tudor, cette fructueuse collaboration constitue un solide appui pour aller vers une approche plus large encore. «Nous avons pu montrer, par cette collaboration, que l’on pouvait innover de manière très pragmatique sur l’intégration de différents référentiels relatifs à la gestion des risques. L’objectif est de poursuivre dans cette voie, afin de parvenir à une intégration globale de la gestion des différents risques auxquels les organisations sont confrontées, et ce au sein d’une solution», explique Nicolas Mayer.

Propos recueillis par Sébastien Lambotte

Lire l’article sur le site de la Revue Technique.

Plus d’informations sur le site www.tudor.lu

Luxembourg: Getting rid of paper!

For Flydoscope Magazine (2013 Spring Edition), Raymond Faber, from the Luxembourg Economy and Trade Ministry, speaks about the new Luxembourg legislation on virtual record-keeping and how it aims at attracting more multinationals to the Grand Duchy.

Article written by Aaron Grunwald.

Luxembourg has taken another step towards attracting the regional and global headquarters of multinational corporations with the introduction of the country’s new electronic archiving law. The bill is the first move in Europe, and possibly in the world, to put electronic versions of many legal documents on the same playing field as their paper counterparts.

The measure – currently winding its way through the legislative process – updates the Grand Duchy’s 1986 archiving law, explains Raymond Faber, e-commerce and IT security manager at the economy and trade ministry. Under the existing system, if there ever is a conflict between a physical and virtual version of a document before a court, “the paper will always prevail” because “it’s always the paper which has the more legal value”, he says.

The new regime represents a huge shift. If “you are compliant with the legislation and with the conditions in the regulations, this means that in front of a tribunal the burden of proof changes” according to Faber. “It’s not you that will have to prove that the electronic document has been created and store correctly, but ot’s the other party who has to prove that is has not been done correctly. It’s a change in the burden of proof”.

Read full article in the Flydoscope Magazine.

You want to learn more about the Luxembourg archiving bill ? Read our Introduction to the law proposal on electronic archiving (in French).

Bernard Moreau: Retour sur investissement oui, mais aller en confiance d’abord !

Dans une entrevue pour paperJam Magazine, Bernard Moreau, Labgroup CEO, explique l’importance de la confiance entre les clients et les prestataires de cloud computing.

De plus en plus de prestataires se positionnent pour des offres de services cloud. Quels sont les indicateurs clés (software, hardware, télécoms, data management…) que vous préconisez pour mesurer le retour sur investissement de votre solution ?

Labgroup est un prestataire de services de Cloud Computing à titre “secondaire”, mais c’est paradoxalement un argument majeur pour nos (futurs) clients… En effet, si Labgroup possède et gère son centre de données depuis 1999, c’est d’abord et avant tout pour héberger sa propre infrastructure et offrir ses propres applications en mode ASP (l’ancêtre du SaaS !). Autrement dit, Labgroup, en tant que premier utilisateur de son Cloud, est dans le même… nuage que ses clients. Quand on les interroge sur les raisons de leur choix, ceux-ci mettent cette situation en exergue.

Pourquoi ?

Tout simplement, parce qu’elle établit un pacte de solidarité entre eux et nous : si nos services sont bons, nos utilisateurs et les leurs seront satisfaits. Inversement, un défaut de qualité de service ou de sécurité des données les affecterait tous. La deuxième raison invoquée : le conseil. On ne vend bien que ce que l’on connait bien et on connait mieux ce que l’on utilise pour soi. En détaillant les raisons de la sélection de tel ou tel fournisseur de technologie, de tel moyen de sécurité, de tel niveau de service, de tel indicateur de performance, nous renforçons les convictions du client. Last but not least, la confidentialité s’affiche comme un autre critère important, qui est largement satisfait grâce au statut de PSF de support.

Solidarité, conseil et confidentialité peuvent-ils mesurer le ROI du client ?

Certes non. Mais écarter ces aspects qualitatifs serait ignorer que le client n’investit pas seulement dans un service, mais aussi dans une relation avec son prestataire. Et que si cette relation n’est pas suffisamment confiante, son investissement sera remis en cause. Sur le terrain des petites et moyennes entreprises où Labgroup évolue, il faut d’abord faire ensemble un aller en confiance, avant d’envisager un retour sur investissement !

Lire l’article complet sur paperJam – Février 2013.

Sur le terrain des petites et moyennes entreprises où Labgroup évolue, il faut d’abord faire ensemble un aller en confiance, avant d’envisager un retour sur investissement !

Bernard Moreau, Labgroup CEO.

Labgroup: Evolving from “Scan to Store” to “Scan to Use”

Interviewed by paperJam Magazine, Jean Racine, Business Development Director at Labgroup, explains how the scanning needs have evolved from “Scan to Store” to “Scan to Use”.

Traditionally clients were scanning their archives in order to gain space and be more cost efficient, but today they understand the technology provides so much more. By extracting the information through an OCR process, the dematerialization allows data protection, sharing, safe collaboration and fastest management.

For instance the invoices can be digitized and the information (prices, VAT, …) can be integrated directly into the ERP. Fast, safe and reliable information management has never been more easy. Information become a strategic resource for the company instead of a storage cost.

Customers don’t scan in order to store the information anymore; they scan to better use it.

Read the full interview (in French) on paperJam Magazine – January 2013 Edition.