Sécurité, investissez dans les certifications !

Investir dans les certifications ISO 27001 (sécurité de l’information) et ISO 22301 (continuité d’activité), c’est, pour l’entreprise, assurer la protection de son outil de travail et de son patrimoine.

Sur le FIC, le Forum International de la Cybersécurité, qui se tiendra à Lille les 7, 8 et 9 septembre, EBRC annoncera la mise à disposition, gratuite, d’un outil d’auto-évaluation en ligne à destination des entreprises pour mesurer leur maturité en « continuité des affaires » sur le référentiel ISO 22301. Avec cet outil pédagogique, l’entreprise luxembourgeoise entend permettre aux organisations de mieux comprendre la norme avec sa méthodologie et son process de façon à élaborer la démarche à suivre pour établir un BCP (Business Continuity Plan).

EBRC exposera sur le pavillon d’Hexatrust, stand A7-15, ses offres souveraines en matière de data center neutre et de cloud. Ses consultants présenteront la solution Cyber-Resilience Portal qui permet de gérer le BCMS (Business Continuity Management System) pour une entreprise -une solution s’appuyant sur l’offre de son partenaire Egerie.

« Cette proposition s’inscrit dans notre stratégie de prestataire de services ‘souverains’, commente Jean-François Hugon, Head of Marketing, EBRC. Nous possédons nos propres infrastructures de trois data centre, tous certifiés Tier IV, notre cloud souverain Trusted Cloud Europe et nos propres équipes de service pour sécuriser, opérer, maintenir et faire évoluer ces offres. Rappelons qu’EBRC est partenaire ‘ Day One Member ‘ de GAIA-X. Avec cette proposition de valeur unique, notre ambition est de proposer aux organisations une alternative de services IT 100% européenne, avec 16 certifications parmi lesquelles ISO 27001-22301-Hébergeur de Données de Santé. »

Trop souvent, encore, l’absence d’un BIA

La crise sanitaire a accéléré la prise de conscience des chefs d’entreprises concernant la diversité des risques auxquels ils doivent faire face. Pour preuve, EBRC a enregistré en 2020 une augmentation significative de l’activité de conseil en particulier en accompagnement à la mise en place des process de la norme ISO 22301 relative à la continuité des affaires.

« La principale menace pour notre économie demeure encore un manque de préparation des entreprises aux potentielles menaces. Soit, en termes plus techniques, l’absence de BIA (Business Impact Analysis). Cette première étape est le pré-requis pour préparer des scenarii de menaces et définir les modalités de réponse. Un manque d’anticipation peut conduire à une sous ou sur-réaction, la démarche permet ainsi d’objectiver les risques et d’apporter une réponse adaptée aux besoins de l’organisation. Nous proposons également un entrainement à la gestion de crise pour mettre en situation les équipes de direction. Pour cela, nous disposons d’une salle de simulation de crises : un exercice révélateur… »

Un retour d’expérience de vingt ans

Plus qu’une multitude d’outils les entreprises ont besoins de conseil et d’experts. EBRC gère 15.000 m² de suites IT privées ou mutualisées Fault-Tolerant Tier IV, dispose de 16 certifications dont ISO 27001 et ISO 22301, opère l’IT d’entreprises internationales ayant une activité sensible, critique et régulée… «En matière de sécurité et de business continuity, nous savons justifier nos recommandations avec un réel retour d’expérience de vingt ans, enchaîne Jean-François Hugon. Ce niveau de pratique et d’expérience nous permet d’être plus efficaces. Notre slogan : ‘nous recommandons d’abord ce que nous nous appliquons nous-mêmes ! »

Dès 2000, l’entreprise luxembourgeoise a fait de la résilience et de la cyber-résilience sa stratégie. Filiale du Groupe POST (860 millions EUR de chiffre d’affaires), les deux entreprises ont créé ensemble l’entité CyberForce, une équipe qui permet de mutualiser, fédérer et organiser des ressources de cyber-sécurité et de cyber-résilience. Soit, aujourd’hui, plus d’une centaine d’experts.

Immédiatement prêts en mars 2020…

Côté marchés adressés et clients opérés par EBRC, ce sont des entreprises sensibles ou critiques : finance, santé, sécurité, services en ligne, défense, institutions internationales… soumis à des contraintes de sécurité fortes et encadrés par des règlementations strictes. « EBRC dispose de processus rigoureux concernant la sécurité de l’information avec la certification ISO 27001. Plus, à travers notre BCMS (Business Continuity Management System), un plan ‘pandémie’ dans le cadre de notre certification ISO 22301. »

Lorsque le confinement a été annoncé en mars 2020, les moyens nécessaires étaient opérationnels et les collaborateurs étaient prêts. « Chaque année, nous répétons des exercices de crise nous permettant de tester nos processus et d’accroitre la préparation des collaborateurs. La communication permanente sur le respect des bonnes pratiques ainsi qu’une information ciblée sur les évolutions des menaces complètent un dispositif technique évolué et permet de créer une culture de cyber-résilience : c’est notre marque de fabrique ! »

Protéger l’outil et le patrimoine informationnel

Depuis ses débuts, EBRC prône la protection la plus exhaustive possible afin d’éviter le « maillon faible » dans le dispositif de protection. Pour Jean-François Hugon, il convient également de mettre en place une approche récurrente d’analyse et d’amélioration afin de faire évoluer en permanence la protection de l’entreprise face aux nouvelles menaces. Les experts sur le marché sont rares, aussi le recours aux services d’infogérance permet pour les entreprises de s’appuyer sur des prestataires de services efficaces disposant des équipes avec les compétences nécessaires pour faire face.

On l’a compris, le pire n’est jamais certain, mais il peut toujours se produire. « Qui, en 2019, aurait imaginé une pandémie et un confinement de plusieurs semaines, questionne encore Jean-François Hugon. Cette crise a permis de pointer à la fois le rôle vital du digital qui a permis à notre économie de résister, tout en pointant l’importance de ne pas négliger la sécurité IT. Pour l’actionnaire ou le chef d’entreprise, investir dans les certifications ISO 27001 et ISO 22301 c’est assurer la protection de son outil de travail et de son patrimoine. Cette crise a été un révélateur qui a permis une prise de conscience nécessaire des dirigeants.»