Philippe Dann, Heaf of Risk & Business Advisory & Christophe Rupper, Senior Consultant, EBRC

Interview publiée dans le LG du mois de novembre 2019.

Toute organisation, qu’elle soit issue du public ou du privé, sera tôt ou tard amenée à mettre en place un plan de résilience si elle veut survivre dans un marché toujours plus concurrentiel. Pour aider les entreprises à définir et utiliser des dispositifs de continuité d’activité efficaces, EBRC a développé le « Cyber-Resilience Portal », un outil en ligne centralisant l’ensemble du processus BCMS (Business Continuity Management System) et visant à créer un système de Management documenté. Le point avec Philippe Dann, Head of Risk & Business Advisory, et Christophe Ruppert, Senior Consultant Business Continuity Management – Practice Lead.

Quelle innovation le Cyber-Resilience Portal apporte-t-il aux entreprises qui ont mis en place une démarche de Business Continuity ou qui souhaitent la mettre en place ?

Ph.D.: Notre offre de services couvre principalement les activités liées à la gestion des risques, de la conformité à la sécurité opérationnelle, et à la transformation informatique. Bien souvent, il existe un décalage entre les niveaux d’exigences exprimés par les métiers et la capacité réelle qu’a l’informatique en place à les atteindre. Notre objectif est de faire en sorte que ces deux parties soient alignées afin qu’en cas d’incident majeur, l’entreprise dispose de la réponse adaptée aux besoins du métier et qu’elle soit délivrable par l’IT. Pour ce faire, nous accompagnons nos clients à élaborer une étude de BIA (Business Impact Analysis) suivie d’un plan de Business Continuity. L’innovation apportée par EBRC consiste à centraliser l’ensemble de ces travaux d’analyse par activité et service au sein d’une plateforme centrale Cyber-Resilience Portal. Au-delà de l’aspect pratique et sécuritaire de centralisation du stockage BIA et autres composants d’un système de gestion de la continuité d’activité, le Cyber-Resilience Portal permet, et ce en temps réel, de créer des scénarios facilitant la prise de décision. N’oublions pas qu’une démarche de Business Continuity s’inscrit dans la durée suivant la méthode PDCA (Plan Do Check Act). Cyber-Resilience Portal facilite la mise en place de ce processus récurrent qui permet d’améliorer la résilience des organisations en donnant aux dirigeants les moyens de choisir parmi les meilleures options. Notre solution leur donne la possibilité de disposer des différentes alternatives à leur disposition et d’arbitrer leur décision en maîtrisant le ROI potentiel de chaque amélioration envisagée.

CR: Grâce à notre accompagnement, nos clients pourront s’approprier les bonnes pratiques de continuité d’activité et s’inscrire dans une démarche d’amélioration continue en se basant sur la norme ISO 22301. Celle-ci spécifie les exigences pour planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir et améliorer de manière continue un système de Management documenté afin de se protéger des incidents perturbateurs, réduire leur probabilité de survenance, s’y préparer et s’en rétablir lorsqu’ils surviennent.

Quelle est votre valeur ajoutée par rapport à la concurrence ?

Ph.D.: Notre valeur ajoutée, tant pour la réalisation de missions de services que pour le développement du Cyber-Resilience Portal, réside dans notre parfaite connaissance de l’ISO 22301. Notre méthodologie est basée sur cette norme et nous l’adaptons en permanence en fonction de l’actualité. La norme ISO 22301 sera mise à jour cette année, avec une publication prévue pour fin 2019, pour devenir une norme chapeau qui englobera aussi bien les aspects sécurité de l’information que les niveaux de qualité. Nous nous y sommes préparés. Nous pouvons également apporter à nos clients de précieux retours d’expérience. En effet, un autre élément différenciateur est que nous sommes plus que des théoriciens de la continuité, car nous avons nous-mêmes suivi le même trajet que celui conseillé à nos clients, et que nous avons obtenu la certification ISO 22301 en 2016.

Nous pouvons apporter à nos clients un précieux retour d’expérience car nous avons nous aussi obtenu la certification ISO 22301

Quels sont les principaux marchés couverts par vos services ?

CR: Notre équipe aux profils très variés nous permet d’avoir une approche assez diversifiée. Nos clients et nos prospects proviennent de secteurs d’activité tels que la finance, les assurances, le transport, la santé, l’agro-alimentaire ou l’aéronautique. Nous accompagnons régulièrement des clients jusqu’à l’obtention de la certification ISO 22301. C’est le cas notamment d’Arendt Services, un PSF spécialisé offrant une gamme complète de services aux entreprises pour leur installation et leur gestion au Luxembourg, et la Banque de Patrimoines Privés, première institution financière luxembourgeoise à avoir mis en place un système de Management de continuité d’activité en totale conformité avec la norme.

Comment vos clients peuvent-ils valoriser l’apport d’une mission de résilience ?

Ph.D.: Ils disposent d’un indéniable avantage commercial et concurrentiel qui les différencie de leurs concurrents. Ainsi, des clients que nous avons accompagnés jusqu’à l’obtention de la certification ISO 22301 ont gagné des parts de marché grâce à la garantie supplémentaire qu’ils sont en mesure d’offrir. Ils ont notamment remporté des appels d’offres parce qu’ils pouvaient prouver, grâce à leur certification, qu’ils avaient mis en place toutes les mesures assurant une continuité d’activité. Dans une économie « digital-dépendante », le risque prend une tout autre ampleur de par la fulgurance de sa propagation et sa capacité à impacter votre chaîne de valeur. Pouvoir anticiper et se préparer, disposer de solutions prêtes à l’emploi, tels sont les objectifs d’une démarche de normalisation. La Cyber-Résilience ne consiste pas seulement à répondre à des obligations réglementaires, elle est devenue un impératif business, un vecteur tangible de confiance.

Comment entreprendre une démarche de résilience ?

La Business Resilience peut se résumer en 5 points.

Partir du métier pour évaluer les impacts.

La première démarche consiste à considérer le métier et à analyser les écarts entre la situation existante et les exigences formulées par la norme ISO 22301.

Identifier les activités critiques.

Au niveau de chaque équipe, les effets d’une interruption de l’activité doivent être évalués selon différents critères comme le délai de reprise (Recovery Time Objective ou RTO), l’objectif de point de reprise informatique (Recovery Point Objective ou RPO) et le délai maximal d’interruption admissible (Maximum Acceptable Outage ou MAO).

Évaluer avec l’IT sa capacité de continuité des activités.

Cette étape va permettre de faire la liste des actions à mettre en place pour aligner l’informatique avec les besoins du business.

Définir les composants de gestion de crise et les exercer.

Il est important de pouvoir faire des exercices de gestion de crise proches de la réalité. C’est ce que propose notamment la plateforme de simulation et d’entraînement du Cybersecurity Competence Center (C3) avec lequel EBRC a conclu un partenariat.

Sensibiliser et informer les collaborateurs.

La Cyber-Résilience est l’affaire de tous. Chaque collaborateur, à son niveau, doit savoir quelle attitude adopter en situation de crise.