Sécurité et confiance, les deux piliers stratégiques de LuxTrust

Sécurité et confiance, les deux piliers stratégiques de LuxTrust
par A. Keilmann pour ITOne.lu 25/02/2019
Banque, Assurance & Fintech
Technologie et Editeurs logiciels

Dans un contexte de transformation numérique qui touche aussi bien les entreprises que les particuliers, LuxTrust, créée au Luxembourg il y a plus de 13 ans, a pour objectif de fournir aux citoyens et aux entreprises un environnement sûr et sécurisé. L’équipe IT One a récemment rencontré Pascal Rogiest, CEO de LuxTrust, pour discuter de sa vision d’expert en sécurité et en données, des dernières collaborations de son entreprise – notamment avec le spécialiste en IT et société partenaire EBRC (European Business Reliance Centre) ayant son siège au Luxembourg –, mais aussi du rôle pionnier du Luxembourg et du développement de l’écosystème numérique du pays.

« LuxTrust a été créée à l’initiative du gouvernement luxembourgeois, avec le soutien de plusieurs banques nationales. Notre mission principale était de fournir des outils à l’ensemble de la population active afin de gérer les identités numériques – par le biais d’un accès bancaire sécurisé et d’une signature électronique – ce que nous avons fait », dit Pascal Rogiest. Il souligne également que depuis la mise en œuvre de l’eIDAS – Electronic IDentification Authentication and trust Services – il y a quelques années en Europe, la société s’est ouverte à un marché européen plus large et est désormais considérée comme un prestataire de services de confiance qualifié, non seulement au Luxembourg mais également dans le reste de l’Union Européenne. LuxTrust est connue pour ses tokens qui permettent une connexion sécurisée aux comptes bancaires en ligne, sa déclinaison mobile, mais aussi pour son offre de signature électronique ayant valeur juridique forte. Depuis deux ans, l’offre de signature électronique constitue un élément clé pour LuxTrust, elle a pour mission de fournir une solution intégrée permettant la numérisation de processus entiers au sein d’organisations et d’institutions. « Remplacer le papier par du numérique nécessite des plateformes complètes au sein desquelles l’authentification, la sécurité et la signature sont les principaux éléments d’un processus numérique qui doit être mis en œuvre de bout en bout », ajoute le CEO.

Prises ensemble, toutes ces solutions, qu’elles soient interopérables et/ou intégrées, permettent la création et la gestion d’identités numériques entières, attribuées à des personnes mais également à des institutions. « Dans les environnements numériques et mobiles actuels, la sécurité reste essentielle et ne doit pas être reléguée au second plan. Il faut trouver des solutions qui s’adaptent à la fois aux entreprises qui demandent plus de flexibilité et aux utilisateurs qui attendent des interactions plus simples et plus fluides », explique Pascal Rogiest, dont la société travaille actuellement à augmenter et développer la valeur des identités numériques en passant notamment par l’ajout d’informations personnelles supplémentaires.

Un partenariat avec un acteur local de confiance

Dans un tel contexte d’internationalisation et de développement de produits, LuxTrust, qui revendique plus de 700 000 utilisateurs luxembourgeois et transfrontaliers avec plus de 300 000 connexions quotidiennes, avait besoin d’un partenaire capable de permettre un développement actif des processus de fourniture de services de LuxTrust, tout en proposant un environnement stable et le plus haut niveau de sécurité de l’information. Comme l’explique Pascal Rogiest, « notre développement au niveau européen passe par un nombre plus élevé de demandes de la part de nos clients et donc par plus de flexibilité et d’agilité. Travailler avec EBRC, un partenaire local ayant une expertise internationale, ajoute plus de profondeur et de crédibilité à notre offre de services. Encore une fois, la confiance et la fiabilité sont des éléments importants dans le monde numérique actuel ». Les données LuxTrust sont hébergées au Luxembourg dans des infrastructures dédiées, ce qui signifie qu’elles ne sont pas partagées avec d’autres, et offrant le niveau le plus élevé de sécurité requis pour répondre à des besoins d’audit spécifiques. « Chez LuxTrust, en tant que tiers de confiance, nous devons assurer un certain niveau de sécurité, avec 6 audits différents organisés chaque année. Conserver ce statut est crucial pour LuxTrust ; nous avions donc besoin d’une infrastructure spécifique à la hauteur des réglementations locales et européennes, de la CSSF à l’ILNAS en passant par le CNPD et bien d’autres encore en Europe. Par exemple, la certification QTSP – Qualified Trusted Service Provider - nous permet de déployer nos services d’authentification, nos identités numériques et nos services de signature, dans tous les secteurs en Europe et dans le monde », a déclaré le CEO. C’est ce que nous faisons aujourd’hui pour la Commission européenne.

Par conséquent, les experts d’EBRC, s’appuyant sur les connaissances de l’équipe de LuxTrust, ont dû gérer le déplacement des opérations informatiques critiques d’un Data Centre externe vers l’un des leurs, et ce sans affecter la qualité de service. De la demande de propositions et la définition de la nouvelle architecture à la mise en place de l’infrastructure et à son audit, en passant par le transfert au département Opérations IT d’EBRC, le projet a duré 12 mois. Le transfert a été effectué avec succès durant une nuit de septembre 2018, sans interruption de service. Cette collaboration fructueuse a récemment été récompensée par le prix « Managed Services of the Year » décerné à EBRC et à LuxTrust en décembre dernier, lors du Gala IT One. Ludovic Gilles, responsable des ventes BeLux chez EBRC, déclare : « LuxTrust est le premier client d’autorité de certification pour EBRC. Cela correspond parfaitement à nos pratiques en matière de Managed Services, axées sur la gestion des infrastructures critiques et des charges de travail à travers l’Europe. Avec ce projet, nous avons pu adapter nos services aux exigences les plus élevées de sécurité et de disponibilité demandées par LuxTrust, un excellent partenaire dans notre collaboration ».

Cette collaboration avec EBRC et cette nouvelle infrastructure permettent à LuxTrust de proposer « plus de numérique » à ses clients luxembourgeois et étrangers à une époque où toutes les sociétés sont confrontées à des transformations concrètes et parfois fondamentales, tout en devant suivre et se conformer à un nombre croissant de réglementations européennes et mondiales.

Les défis de la création d’identités numériques

Au fil des ans, LuxTrust s’est efforcée de fournir des moyens de paiement sécurisés, travaillant ainsi à renforcer la confiance de ses partenaires et ses utilisateurs. « Nous avons commencé par fournir des tokens aux banques, mais les générations actuelles et futures demandent des applications mobiles à la fois sûres et simples d’utilisation. Pour les signatures électroniques aussi, LuxTrust a créé un produit qualifié et performant. Cependant, des défis subsistent ; et inciter le public à utiliser ces outils innovants et numériques est l’un d’eux », souligne Pascal Rogiest. Selon l’expert, la plupart des gens ne les ont pas encore acceptés, d’où la nécessité de campagnes et d’actions de marketing et de communication visant à montrer aux citoyens la manière dont ils peuvent tirer profit des outils numériques déjà disponibles, en les rassurant et en les informant au sujet de notre monde numérique. « Cela a peut-être commencé avec les services bancaires en ligne, les identités numériques et les signatures électroniques, mais les tendances vont clairement de plus en plus vers une dématérialisation accrue ; nous devons donc changer les esprits pour réussir cette transformation en profondeur », souligne le CEO de LuxTrust.

L’ambiguïté et l’ambivalence entre le besoin de sécurité et la nécessité de fournir des services plus fluides et plus faciles à utiliser sont un autre défi de taille pour la quasi-totalité des entreprises qui naviguent dans un environnement numérique. « Réunir sécurité et réglementation d’une part – notamment avec le RGPD, qui a déjà un impact sur les grands acteurs et les petites et moyennes entreprises –, et besoins des clients et exigences commerciales de l’autre, demande d’abord de définir les limites que les entreprises ne veulent pas franchir tout en recherchant la meilleure expérience pour les utilisateurs. Construire et proposer un parcours client idéal prend du temps, et chaque étape de la numérisation doit être abordée indépendamment en fonction des cas d’utilisation de nos clients. À cet égard, la numérisation se doit d’être plus pragmatique », indique l’expert.

Enfin, Pascal Rogiest souligne le fait que le Grand-Duché de Luxembourg possède un niveau avancé et élevé en matière d’expertise numérique : c’est une belle vitrine que le pays doit continuer à mettre en avant. Par exemple, LuxTrust travaille au niveau international depuis quelques années maintenant, avec un grand intérêt de la part de plusieurs clients en France et en Belgique. En outre, la société a conclu plusieurs partenariats en Belgique et en Italie, et a également conclu un contrat avec la Commission européenne pour lui fournir, ainsi qu’à 80 pays non membres de l’UE, une signature électronique sécurisée pour l’importation de denrées alimentaires dans l’UE. Un autre défi s’est alors posé : veiller à ce que les identités numériques soient compatibles et interopérables dans tous ces pays.

Un pionnier du numérique dans un pays numérique

« Au Luxembourg, presque tout le monde a déjà une identité numérique, que ce soit en utilisant un token ou un téléphone portable pour accéder aux relevés bancaires, ou encore en utilisant et en acceptant les signatures électroniques. Ainsi, notre pays est déjà bien placé dans la course à la numérisation, ayant mis en place un écosystème efficace en matière d’identité digitale. Cependant, plusieurs autres processus pourraient être développés dans les secteurs tant privé que public. Mais saluons le fait que nos administrations publiques aient déjà pris le train du numérique avec de nombreuses initiatives, comme Digital Luxembourg, grâce aux services fournis par le CTIE. L’économie nationale pourrait profiter davantage de l’élan créé et nous travaillons activement à la réalisation de cet objectif », dit Pascal Rogiest à propos de la situation de notre pays.

Avec l’aide du gouvernement luxembourgeois, LuxTrust travaille actuellement au renforcement des identités numériques pour en augmenter la valeur. Devant la nécessité accrue de la confidentialité des données, la société basée à Capellen souhaite augmenter le nombre d’informations intégrées aux identités numériques des citoyens, leur permettant ainsi de gérer et de partager leurs données de santé, d’éducation, professionnelles et privées. « Le Luxembourg construit également tout un écosystème qui conduira éventuellement à la création d’une économie fondée sur les données. Il est de notre devoir, en tant que partenaire TIC possédant une expertise en matière de données et de cybersécurité, de proposer ces nouvelles opportunités aux utilisateurs tout en veillant à ce qu’ils puissent les utiliser dans un environnement sûr, sécurisé et de confiance. Cependant, cette stratégie de digitalisation ne pourra réussir que si les gens font confiance à leur identité numérique. À nous de garantir cette confiance », conclut Pascal Rogiest.

Photo : Dominique Gaul