Opérateur européen de services IT, EBRC (European Business Reliance Centre) héberge, protège et opère les données numériques les plus sensibles.
Du Luxembourg, qui fut historiquement une forteresse majeure de l’Europe pendant des siècles,
EBRC a hérité la culture d’un savoir-faire réputé en matière de sécurité et de résilience.
Avec une approche stratégique unique et innovante de services IT intégrés, certifiés et cyber-résilients, EBRC répond au risque majeur des cybermenaces pointé lors du dernier sommet de Davos.
Portrait d’un acteur pionnier de la cyber-resilience.
Réputé pour ses forteresses bâties par Vauban, le Luxembourg veut aujourd’hui, avec EBRC, être la forteresse de l’Europe pour ses données. La réputation du Grand-Duché n’est plus à faire dans le domaine de la gestion du risque et de la confidentialité des données dans les secteurs de la finance ou des institutions internationales, mais pas seulement, car la vocation internationale de la place n’est plus à faire et de nombreux autres secteurs d’activité (Biotechnologies, Spatial, Santé, Défense ) apprécient la position centrale du pays et ses savoir-faire.
Yves Reding, CEO d’EBRC, explique ce positionnement bien spécifique sur le marché européen : « Nous avons pour vocation d’être un centre d’excellence dans la gestion et la protection de l’information sensible. Notre philosophie, c’est que pour protéger l’information la plus critique pour les entreprises, il est nécessaire d’en maîtriser la totalité de la chaîne de traitement depuis l’hébergement jusqu’aux opérations, et d’en assurer la sécurité et la continuité permanente par une identification et une mitigation de chaque risque. C’est ce que nous appelons la cyber-résilience. »
Une maîtrise de bout en bout demeure indispensable
Pour assurer cette cyber-résilience, les dirigeants d’EBRC estiment qu’il est indispensable de maîtriser l’ensemble des services mis en jeu dans cette gestion de l’information comme aime à le résumer Yves Reding. « La maîtrise de la chaîne de services de bout en bout revêt une importance majeure et primordiale lorsqu’il s’agit d’assurer une cyber-protection. Cette démarche s’entend avec un minimum de sous-traitance dont on sait aujourd’hui qu’il s’agit d’un levier d’attaque majeur », comme le soulignait Guillaume Poupard, directeur général de l’ANSSI, lors de la dernière édition du FIC.
Premier élément de la chaîne :
le Data Centre ou centre de données
C’est une expertise forte pour EBRC qui opère cinq Data Centres, dont trois certifiés Tiers IV (15 000 m² d’espace serveur), offrant le plus haut niveau de disponibilité possible à ce jour. Ces infrastructures sont interconnectées et complétées par des solutions de résilience business (800 positions utilisateurs), afin de pouvoir reprendre l’activité totale d’une entreprise en cas de sinistre. Ces services de premier ordre, sur lesquels reposent l’ensemble des services d’infogérance IT, de cloud « souverain » européen ainsi que de sécurité et de conseil (EBRC Trusted Services Europe), permettent d’offrir aux clients internationaux les plus exigeants un service de prise en charge complet, de bout en bout, afin de se développer en toute sérénité dans le cyberespace. « Il faut être capable de gérer la sécurité avec une équipe interne qui supervise en permanence les menaces » ajoute le CEO. « C’est la raison pour laquelle nous avons notre propre CERT pour évaluer les nouvelles menaces qui émergent en permanence, notre propre SOC, une équipe en 24/7 qui est chargée de détecter les menaces et remédier aux attaques sur les infrastructures de nos clients, un travail mené en commun avec notre CERT. Nous pouvons assurer cette cyber-sécurité sur un mode full-managed, avec une équipe conseil qui, en fonction de l’analyse de risque initiale, va mettre en place la politique de sécurité pour nos clients, jusqu’à nous appuyer sur des hackers éthiques afin de valider l’architecture de sécurité mise en place. »
« Nous nous appliquons tous les principes de cyber-résilience
que nous promouvons ensuite auprès de nos clients.
Ainsi, nous pouvons les accompagner dans le cadre
d’une approche pragmatique et éprouvée. »
Philippe Dann, Directeur Risk & Business Advisory d’EBRC
Conçus et opérés pour héberger
les données critiques
La croissance exponentielle du digital a permis aux entreprises de développer de nouvelles activités à valeur ajoutée. Néanmoins, la protection des données qu’elles gèrent en font des proies faciles et ultra-exposées dans le cyberespace si elles ne prennent pas en considération ce « nouveau monde ». EBRC se positionne sur ce marché avec des offres de conseil, il s’agit de délivrer une réponse adaptée et personnalisée depuis l’hébergement des données, en dédié ou en mode cloud, jusqu’à leur gestion et leur protection. Adapter les moyens permet de sélectionner les réponses offrant la meilleure efficacité en tenant compte des contraintes réglementaires, business et en utilisant des processus normalisés en mesure de garantir la traçabilité et l’auditabilité globale.
La volonté d’Yves Reding a été d’appliquer à EBRC ces grands principes avant même de les proposer à ses clients. C’est la raison pour laquelle il a mis en place une politique de certification ambitieuse basée sur les certifications ISO 27001 (sécurité de l’information), ISO 22301 sur le volet continuité des opérations, PCI DSS pour les paiements électroniques, ISO 20000 pour le Service Management, ou encore hébergeur de données de santé (HDS) pour le marché français. « Nous nous attendons à ce que la Commission européenne pousse d’autres certifications en cyber-sécurité afin de s’assurer que les partenaires des entreprises soient des partenaires de confiance et nous poursuivrons cette stratégie de certification systématique » explique le CEO.
Philippe Dann, Directeur Risk & Business Advisory d’EBRC, ajoute : « La cyber-résilience est la fusion de la cyber-sécurité et de la continuité d’activité, qui doivent être vues comme un tout inséparable ; c’est ce qui nous a poussé à adopter cette stratégie de certification de nos infrastructures et de notre organisation afin de nous préparer nous-mêmes à cette approche avant de la proposer à nos clients. C’est en cela que l’on se différencie des autres acteurs du Cloud. » L’expert privilégie un pilotage par la gestion du risque, ce qui pousse les équipes d’EBRC « à approcher et échanger tant les entités métiers que la direction de l’entreprise pour identifier les activités et applications critiques, et faire le lien avec la mise en œuvre au niveau informatique. Cette approche résolument pragmatique, fondée sur l’expérience de nombreux retours clients, permet une contextualisation de la réponse par client selon son secteur d’activité. Nous appliquons la méthodologie EBIOS Risk Manager de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information en France), et dans ce but, avons choisi la solution EGERIE développée par la société française EGERIE Software avec qui nous avons un partenariat fort. »
Une réponse au morcellement
du marché européen des Data Centres
Pour Yves Reding, cette vision de bout en bout de la cyber-résilience est une réponse à l’hyper-morcellement du marché européen : « Nous avons d’un côté des opérateurs de Data Centres qui se limitent à l’hébergement des serveurs dans des infrastructures dont ils n’assurent que la sécurité physique. Et d’un autre côté, les grands outsourceurs ICT se concentrent sur le volet infogérance des infrastructures et applications, de même que les spécialistes du Business Continuity restent sur cette niche. Enfin, bien des acteurs de la cyber-sécurité restent positionnés sur le conseil. En sus, la plupart des acteurs ont recours à toute une chaîne de sous-traitants pour délivrer leurs prestations, et la sous-traitance est devenue le maillon faible de la sécurité. Nous sommes l’un des rares, et peut être le seul acteur européen à avoir une approche intégrée, de bout en bout, hautement certifiée et 100% européenne. Pour se positionner sur les applications les plus critiques, il est nécessaire de se positionner de bout en bout car c’est le maillon le plus faible qui va déterminer le niveau de sécurité de l’ensemble. Sous-traiter l’un des maillons de cette chaîne de valeur des services IT induit une perte de la maîtrise de l’ensemble, quels que soient les SLA définis par les contrats. »
« Nous prenons en compte les besoins des métiers
ainsi que les contraintes de conformité (sectorielles, réglementaires…) dans le cadre de toute démarche.
Dans ce contexte, les certifications ne sont pas à voir
comme des contraintes, elles permettent de mettre en place un système de Management structurant et efficient.
Outre la résilience du système d’information,
ces certifications permettent de renforcer le positionnement compétitif pour les entreprises. »
Philippe Dann, Directeur Risk & Business Advisory d’EBRC
Européen par nature
EBRC compte 400 clients et plus de 500 pour sa filiale française Digora. Les clients des différentes institutions internationales représentent 20% du chiffre d’affaires d’EBRC, mais le franco-luxembourgeois a des clients partout dans le monde et bien évidemment sur tout le continent européen. « Nous sommes à mi-chemin entre Francfort et Paris, ce qui nous permet d’être au cœur de l’Europe, d’avoir une grande exposition internationale et d’offrir par exemple d’excellents temps de latence vers les grandes capitales européennes » explique le CEO d’EBRC. « C’est donc naturellement que nous avons une vocation européenne. »
Parmi les clients qu’EBRC accompagne dans la gestion et la protection de leurs données critiques, bien évidemment des banques, de grands assureurs, mais également des acteurs du monde de la santé français et luxembourgeois, du transport, de l’industrie, du spatial. EBRC opère en mode “full managed” de grands acteurs internationaux, jusqu’à des structures plus petites, comme de grands cabinets d’avocats ainsi qu’une quarantaine de FinTechs. Le critère qui réunit les clients EBRC n’est pas la taille mais bien le niveau de criticité de l’information.
Le luxembourgeois cultive cette capacité de pouvoir faire du sur-mesure, à l’opposé des offres ultra-standardisées des offreurs du Hyper-Cloud. « Le client vient avec son cahier des charges et des objectifs business et nous demande de bâtir et d’opérer l’infrastructure technique qui permettra de supporter son activité. Notre maîtrise de bout en bout nous permet de répondre de la manière la plus adaptée aux contraintes de nos clients » conclut Yves Reding, CEO d’EBRC.