« Les risques de nos clients sont nos risques »

Face à l’évolution de la menace cybercriminelle et en tenant compte des nouvelles exigences, les acteurs économiques gérant de la donnée sensible doivent pouvoir s’appuyer sur une plateforme technologique de confiance. Evocation de ces enjeux avec Fabien Huraux, ‎Chief Risk, Chief Information Security et Data Protection Officer, EBRC. 

How is the view on cybercrime threats evolving ?

Les récentes attaques, largement médiatisées, permettent de mieux prendre conscience d’une menace réelle et permanente. Chacun réalise désormais les risques auxquels il s’expose si ses données sont prises en otage par un ransomware ou si ses systèmes transactionnels sont rendus indisponibles. Pour y répondre, les régulateurs européens définissent de nouvelles exigences. Notamment avec le nouveau Règlement Général sur la Protection des Données (RGPD), qui s’appliquera dans moins d’un an à l’ensemble des acteurs exploitant les données d’un citoyen résidant dans l’espace de l’Union européenne afin, entre autres, de s’assurer que les données personnelles européennes soient correctement identifiées et protégées.

Comment est-ce que EBRC appréhende ces enjeux ?

Notre volonté est de proposer une « Trusted Platform » sur laquelle peuvent s’appuyer les organisations. Chaque client, en choisissant d’héberger ses données chez nous, a la garantie d’accéder à un niveau de protection élevé sur les couches basses, dans le respect des normes les plus abouties en matière de qualité et de sécurité. Et au-delà de ces couches basses, de définir une approche sécurité personnalisée, parce que chaque acteur a une exposition aux risques différente.

Comment sont envisagées la gestion des risques et les solutions à mettre en œuvre ?

Les solutions peuvent varier considérablement : réplication synchrone des données sur des sites distants, mise en œuvre d’un « Disaster Recovery Plan » avec des positions de secours… Le principe est de concevoir la réponse la plus adaptée pour assurer la meilleure protection. Chez EBRC, notre force est de pouvoir proposer des solutions sur-mesure sur l’ensemble des couches de l’IT, de l’infrastructure à l’« operating system », ainsi qu’aux applicatifs sous notre contrôle. Nos équipes veillent aux accès et au monitoring des systèmes et flux de données entrants et sortants, elles patchent les systèmes en cas de vulnérabilité et alertent en cas de comportement suspect.

Comment EBRC fait face à l’évolution de la menace ?

Nous disposons de notre propre CERT, centre de commandement opérationnel, à partir duquel nous coopérons avec d’autres acteurs. Nous nous inscrivons donc dans une approche de « security by design ». Notre processus d’amélioration continue nous permet de mettre en œuvre des approches de sécurité préventive. La parfaite analyse des risques de nos clients est une étape critique car leurs risques sont nos risques.

Dans le cadre du RGPD, comment aidez-vous les acteurs à se mettre en conformité ?

Les acteurs sont tenus à de nouvelles obligations, imposées par le RGPD. Notamment celles de documenter l’usage qui est fait des données ainsi que la manière dont elles sont protégées et de procéder à un « Privacy Impact Assessment ». Nous mettons à leur service notre expérience et expertise dans la gestion de données sensibles, en leur assurant une meilleure maîtrise et protection de ces dernières. De l’aide à l’identification des données-clés, de leur traitement ou au design de leur protection, nous assurons à nos clients une gestion de leurs risques plus efficace.