Cyber-résilience : EBRC opérateur cyber-résilient de vos informations sensibles

Yves Reding, CEO, EBRC
par Solutions Numériques 22/03/2019
Banque, Assurance & Fintech
Santé et Sciences de la Vie
Secteur public & Institutions européennes
Défense & Spatial
Technologie et Editeurs logiciels
Energie, Logistique & Industrie

Opérateur de services IT européen, EBRC (European Business Reliance Centre) héberge, protège et opère les données numériques les plus sensibles. Du Luxembourg, qui fut historiquement une  forteresse majeure de l’Europe pendant des siècles, EBRC a hérité la culture d’un savoir-faire réputé en matière de sécurité et de résilience. Portrait d’un acteur pionnier du marché des Data Centres en Europe à qui les cyber-menaces, risque majeur perçu par les chefs d’entreprise lors du dernier sommet de Davos, donnent raison avec une approche stratégique, unique et innovante de services IT intégrés, certifiés et cyber-résilients.

Réputé pour ses forteresses bâties par Vauban, le Luxembourg veut aujourd’hui, avec EBRC, être la forteresse de l’Europe pour ses données. La réputation du Grand-Duché n’est plus à faire dans le domaine de la gestion du risque et de la confidentialité des données dans les secteurs de la finance ou des institutions internationales, mais pas seulement, car la vocation internationale de la place n’est plus à faire et de nombreux autres secteurs d’activité (Biotechnologies, Spatial, Santé, Défense…) apprécient la position centrale du pays et ses savoir-faire. Yves Reding, CEO d’EBRC, explique ce positionnement bien spécifique sur le marché européen : « Nous avons pour vocation d’être un centre d’excellence dans la gestion et la protection de l’information sensible. Notre philosophie, c’est que pour protéger l’information la plus critique pour les entreprises, il est nécessaire d’en maîtriser la totalité de la chaîne de traitement depuis l’hébergement jusqu’aux opérations, et d’en assurer la sécurité et la continuité permanente par une identification et une mitigation de chaque risque. C’est ce que nous appelons la cyber-résilience. »

Une maîtrise de bout en bout demeure indispensable

Pour assurer cette cyber-résilience, les dirigeants d’EBRC estiment qu’il est indispensable de maîtriser l’ensemble des services mis en jeu dans cette gestion de l’information comme aime à le résumer Yves Reding. « La maîtrise de la chaine de services de bout en bout revêt une importance majeure et primordiale lorsqu’il s’agit d’assurer une cyber-protection. Cette démarche s’entend avec un minimum de sous-traitance dont on sait aujourd’hui qu’il s’agit d’un levier d’attaque majeur », comme le soulignait Guillaume Poupard, directeur général de l’ANSSI, lors de la dernière édition du FIC.
Premier élément de la chaîne : le Data Centre ou centre de données. C’est une expertise forte pour EBRC qui opère cinq Data Centres, dont trois certifiés Tiers IV (15 000 m² d’espace serveur), offrant le plus haut niveau de disponibilité possible à ce jour. Ces infrastructures sont interconnectées et complétées par des solutions de résilience business (800 positions utilisateurs), afin de pouvoir reprendre l’activité totale d’une entreprise en cas de sinistre. Ces services de premier ordre, sur lesquels reposent l’ensemble des services d’infogérance IT, de cloud « souverain » européen ainsi que de sécurité et de conseil (EBRC Trusted Services Europe), permettent d’offrir aux clients internationaux les plus exigeants un service de prise en charge complet, de bout en bout, afin de se développer en toute sérénité dans le cyberespace. « Il faut être capable de gérer la sécurité avec une équipe interne qui supervise en permanence les menaces » ajoute le CEO. « C’est la raison pour laquelle nous avons notre propre CERT pour évaluer les nouvelles menaces qui émergent en permanence, notre propre SOC, une équipe en 24/7 qui est chargée de détecter les menaces et remédier aux attaques sur les infrastructures de nos clients, un travail mené en commun avec notre CERT. Nous pouvons assurer cette cyber-sécurité sur un mode full-managed, avec une équipe conseil qui, en fonction de l’analyse de risque initiale, va mettre en place la politique de sécurité pour nos clients, jusqu’à nous appuyer sur des hackers éthiques afin de valider l’architecture de sécurité mise en place. »

Conçus et opérés pour héberger les données numériques

La croissance exponentielle du digital a permis aux entreprises de développer de nouvelles activités à valeur ajoutée. Néanmoins, la protection des données qu’elles gèrent en font des proies faciles et ultra-exposées dans le cyberespace si elles ne prennent pas en considération ce « nouveau monde ». EBRC se positionne sur ce marché avec des offres de conseil, il s’agit de délivrer une réponse adaptée et personnalisée depuis l’hébergement des données, en dédié ou en mode cloud, jusqu’à leur gestion et leur protection. Adapter les moyens permet de sélectionner les réponses offrant la meilleure efficacité en tenant compte des contraintes réglementaires, business et en utilisant des processus normalisés en mesure de garantir la traçabilité et l’auditabilité globale. La volonté d’Yves Reding a été d’appliquer à EBRC ces grands principes avant même de les proposer à ses clients. C’est la raison pour laquelle il a mis en place une politique de certification ambitieuse basée sur les certifications ISO 27001 (sécurité de l’information), ISO 22301 sur le volet continuité des opérations, PCI DSS pour les paiements électroniques, ISO 20000 pour le Service Management, ou encore hébergeur de données de santé (HDS) pour le marché français. « Nous nous attendons à ce que la Commission européenne pousse d’autres certifications en cyber-sécurité afin de s’assurer que les partenaires des entreprises soient des partenaires de confiance et nous poursuivrons cette stratégie de certification systématique » explique le CEO. Philippe Dann, Directeur Risk & Business Advisory d’EBRC, ajoute : « La cyber-résilience est la fusion de la cyber-sécurité et de la continuité d’activité, qui doivent être vues comme un tout inséparable ; c’est ce qui nous a poussé à adopter cette stratégie de certification de nos infrastructures et de notre organisation afin de nous préparer nous-mêmes à cette approche avant de la proposer à nos clients. C’est en cela que l’on se différencie des autres acteurs du Cloud. » L’expert privilégie un pilotage par la gestion du risque, ce qui pousse les équipes d’EBRC « à approcher et échanger tant les entités métiers que la direction de l’entreprise pour identifier les activités et applications critiques, et faire le lien avec la mise en œuvre au niveau informatique. Cette approche résolument pragmatique, fondée sur l’expérience de nombreux retours clients, permet une contextualisation de la réponse par client selon son secteur d’activité. Nous appliquons la méthodologie EBIOS Risk Manager de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information en France), et dans ce but, avons choisi la solution EGERIE développée par la société française EGERIE software avec qui nous avons un partenariat fort. »

Une réponse au morcellement du marché européen des Data Centres

Pour Yves Reding, cette vision de bout en bout de la cyber-résilience est une réponse à l’hyper-morcellement du marché européen : « Nous avons d’un côté des opérateurs de Data Centres qui se limitent à l’hébergement des serveurs dans des infrastructures dont ils n’assurent que la sécurité physique. Et d’un autre côté, les grands outsourceurs ICT se concentrent sur le volet infogérance des infrastructures et applications, de même que les spécialistes du Business Continuity restent sur cette niche. Enfin, bien des acteurs de la cyber-sécurité restent positionnés sur le conseil. En sus, la plupart des acteurs ont recours à toute une chaîne de sous-traitants pour délivrer leurs prestations, et la sous-traitance est devenue le maillon faible de la sécurité. Nous sommes l’un des rares, et peut être le seul acteur européen à avoir une approche intégrée, de bout en bout, hautement certifiée et 100% européenne. Pour se positionner sur les applications les plus critiques, il est nécessaire de se positionner de bout en bout car c’est le maillon le plus faible qui va déterminer le niveau de sécurité de l’ensemble. Sous-traiter l’un des maillons de cette chaîne de valeur des services IT induit une perte de la maîtrise de l’ensemble, quels que soit les SLA définis par les contrats. »

Européen par nature

EBRC compte 400 clients et plus de 500 pour sa filiale française Digora. Les clients des différentes institutions internationales représentent 20% du chiffre d’affaires d’EBRC, mais le franco-luxembourgeois a des clients partout dans le monde et bien évidemment sur tout le continent européen. « Nous sommes à mi-chemin entre Francfort et Paris, ce qui nous permet d’être au cœur de l’Europe, d’avoir une grande exposition internationale et d’offrir par exemple d’excellents temps de latence vers les grandes capitales européennes » explique le CEO d’EBRC. « C’est donc naturellement que nous avons une vocation européenne. »

Parmi les clients qu’EBRC accompagne dans la gestion et la protection de leurs données critiques, bien évidemment des banques, de grands assureurs, mais également des acteurs du monde de la santé français et luxembourgeois, du transport, de l’industrie, du spatial. EBRC opère en mode "full managed" de grands acteurs internationaux, jusqu’à des structures plus petites, comme de grands cabinets d’avocats ainsi qu’une quarantaine de FinTechs. Le critère qui réunit les clients EBRC n’est pas la taille mais bien le niveau de criticité de l’information.

Le luxembourgeois cultive cette capacité de pouvoir faire du sur-mesure, à l’opposé des offres ultra-standardisées des offreurs du Hyper-Clouds. « Le client vient avec son cahier des charges et des objectifs business et nous demande de bâtir et d’opérer l’infrastructure technique qui permettra de supporter son activité. Notre maîtrise de bout en bout nous permet de répondre de la manière la plus adaptée aux contraintes de nos clients » conclut Yves Reding, CEO d’EBRC.