Philippe Dann, Head of Risk and Business Advisory, EBRC

Par Michaël Renotte pour EBRC

Convaincue que les entreprises doivent acquérir la résilience indispensable à leur développement dans l'économie numérique, EBRC a déployé une offre de conseil qui répond aux défis posés par la transformation digitale. Cette activité de conseil couvre aujourd'hui la gestion de la continuité d'activité, la cyber-sécurité, la transformation informatique, l'audit des centres de données ainsi que tout le spectre de la Gouvernance, du Risque et de la Conformité.

"Nos missions de conseil et d'accompagnement sont menées par notre équipe de Trusted Advisors", explique Philippe Dann, Head of Risk & Business Advisory chez EBRC. "Nos experts rencontrent les responsables des différentes activités de l'entreprise qui fait appel à nos services, pour identifier ses processus et activités critiques. Ils peuvent ainsi identifier les besoins métiers et analyser la capacité de l'IT à répondre à ces impératifs."

Les investigations des experts d'EBRC couvrent tout le spectre de la continuité d'activité, du DRP - c'est à dire la continuité de l'infrastructure - jusqu'aux analyses d'impact business. "Nos consultants travaillent à la fois avec les métiers et avec l'IT pour s'assurer de l'alignement des deux pôles", précise Philippe Dann. "Ils mènent des campagnes d'analyse d'impact, identifient les applications, les éléments à risque ou les plus critiques, et mettent ensuite en place, avec le client, ses propres stratégies et plans de continuité ainsi que la gestion de crise". Les Trusted Advisors d'EBRC peuvent ensuite accompagner le client jusqu'à l’obtention de la certification ISO 22301 qui régit le domaine de la continuité d'activité.

"En matière de gestion de la continuité d'activité, nous avons accompagné Arendt Services dans leur parcours de certification, premier PSF luxembourgeois à obtenir la certification ISO 22301, Banque de Patrimoines Privés, pionnière parmi les banques de la place, et une compagnie d'assurance française", témoigne Philippe Dann. "En ce moment", poursuit-il, "nous accompagnons une demi-douzaine d'entreprises dans leur processus de certification. Pour d'autres, notre intervention se concentre sur l'analyse de risque ou la Business Impact Analysis".

L'offre de conseil Trusted Advisory inclut en outre l'audit et l'accompagnement à la certification de data centres. Ces missions d'audit de data centres sont menées par les équipes certifiées qui gèrent et exploitent les propres centres de données Tier IV d'EBRC. "Au-delà des audits classiques portant sur les infrastructures et leur exploitation, ces missions intègrent l'analyse et la gestion des risques, qu'il s'agisse des risques environnementaux liés aux data centres, des risques cyber, ou encore des éléments mis en évidence par la directive NIS et qui concernent le périmètre du data centre", détaille Philippe Dann. "Pour cela, nous menons systématiquement une analyse des risques auxquels est exposé le data centre de notre client par rapport à son activité économique et son environnement informatique. Nous combinons ainsi notre expertise technique des centres de données - sécurité physique, sécurité logique, disponibilité - et le pilotage des risques".

"Nos activités de conseil s'étendent également à la GRC, Governance Risk & Compliance, un domaine qui relève de la sécurité du système d'information, notamment de la norme ISO 27001. Nous aidons nos clients à mener leurs analyses de risques, à mettre en place un pilotage du risque et à élaborer leurs stratégies de sécurité", expose Philippe Dann. "Dans ce cadre", ajoute-t-il, "nous intégrons à la fois les régulations et les directives européennes - GDPR et NIS, notamment - les standards internationaux et les règles internes propres à l'entreprise pour définir un tableau de bord du pilotage du risque et de la cyber-sécurité afin d'en évaluer la conformité".

La transformation IT constitue un autre volet de l'offre de conseil d'EBRC. "Nous aidons nos clients à faire le choix de la solution la plus adaptée à leurs besoins, leur métier et leurs applications dans le cadre de la transformation de leur environnement informatique, que ce soit en termes de relocalisation de data centres ou de migration vers le cloud", dit encore Philippe Dann. Et pour aider les entreprises à mieux protéger leurs données et l’intégrité de leurs systèmes, les experts d'EBRC évaluent, afin de le renforcer, le niveau de sécurité des infrastructures et des applications sur la base d'analyses de risques, de tests de vulnérabilité et d’intrusion.

Une approche résolument pragmatique

"Notre activité de conseil est basée sur un ensemble de compétences développées en interne car ce que nous recommandons à nos clients, nous l'appliquons à nos propres activités", explique Philippe Dann. "Notre approche est pragmatique. Elle se fonde sur le partage d'informations avec nos clients et le retour d'expérience. Nous ne sommes pas des théoriciens de la continuité d'activité, pas plus que de la gouvernance", souligne-t-il. "À ce jour, nous comptons plus de 800 tests de continuité à notre actif et de nombreuses réalisations en matière de gestion de crise", indique Philippe Dann. "Et nous détenons la certification ISO 27001 depuis 2010, renouvelée chaque année, ce qui nous permet de capitaliser sur une expérience acquise de longue date. C'est notamment pour cela que nos clients nous font confiance, parce que nous connaissons intimement les sujets que nous abordons et que nous possédons l'expérience nécessaire pour dialoguer d'une part avec les informaticiens, les CISO, les Risk Managers ou les DPO, et d'autre part avec les métiers".

"Notre intervention peut ainsi avoir pour point de départ une demande émanant des métiers, relative à la continuité d'activités par exemple, ou un besoin lié au risque identifié par le CISO, le Risk Manager ou le DPO. Dans les deux cas, l'alignement avec l'IT devra faire l'objet d'une évaluation", souligne Philippe Dann. "C'est ce qui nous permet de couvrir l'ensemble des besoins de l'entreprise et, en combinaison avec nos activités Cloud, SOC, et data centre, d'offrir une solution de bout-en-bout aux clients qui le souhaitent", conclut Philippe Dann.