ITnation #09 - avril 2008

LE GRAND ENTRETIENPhilippe Gusbin

Membre du Comité de Direction, OPS & IT

ING LUXEMBOURG

ING : IT New Generation

IT FINANCE ACTUAL IT ACTUAL IT 1 New Access

Arrived ! p.22

Namestock À vos marquesp.68

Microsoft 2008 Seriesp.65

1

LE GRAND DOSSIER SÉCURITÉ Spécial IAM, Risk and Security Management

LUXE

MBO

URG

EN KIOSQUE - LUXEMBOURG Eur 7.50

: Les meilleures offres d’emploi IT au Luxembourg - P78

AVRIL 2008 / N°09

ITN_019_ITnews_04_avril_couv.indd 1 10/04/08 16:15:51

Places limitées, réservez votre table dès à présent sur [email protected] www.goldeni.lu


© P

hoto

grap

hy R

aoul

Som

ers

Feu vert à une sécurité ambitieuse

Bienvenue dans l’univers de la Sécurité 2.0 ! Un monde où les entreprises ne veulent plus cadenasser leurs accès, mais responsabiliser leurs utilisateurs. Un concept où le mythe du business comme île intouchable a perdu sa cohérence. Une réalité enfin, pour les acteurs de la sécurité, qui sont confrontés chaque jour aux mêmes problématiques.

Dans un modèle économique globalisé, l’explosion du volume de l’information et la multi-plication des canaux de communication posent de sérieux défis au business. Or, la sécurité a toutes les clés en main pour devenir un domaine majeur de l’IT. Conscientisation des utilisateurs, contrôle des menaces, accès à internet, traçabilité… les thèmes qui, au final, déterminent ce que sont et veulent les utilisateurs de l’IT : des solutions fiables, faciles, accessibles. La sécurité ne pose plus des limites, elle soutient des ponts pour permettre d’aller plus loin. Le mal nécessaire peut-il donc enfin fournir de la valeur ajoutée ?

Oui, la sécurité 2.0 peut être une opportunité.

Pourquoi est-il si compliqué de témoigner ? Parce que connaître une solution de sécurité et, pire, en parler, équivaut souvent à exposer les secrets des systèmes IT. La sécurité est trans-parente, ou invisible. Tant mieux, se dit-on encore souvent. Pourtant, le pari mérite d’être pris.

Pour cela, les entreprises doivent changer d’approche. Finis les murs, les cuirasses, les boucliers. Vive la prise de risque… consciente. Pour devenir plus visible, plus tangible, elle doit aussi être portée par ceux qui la connaissent le mieux : les RSSI. À quand un système de certification inspirée du Guide Michelin, dont les étoiles seraient attribuées aux entreprises les plus innovantes en matière de sécurité ?

Delphine Reuter

est un magazine

83 rue de HollerichL-1741 Luxembourg Grand-Duché de Luxembourg

T. +352 26 10 86 26F. +352 26 10 86 27E. [email protected] Internet: www.itnews.lu

Eric BuschDirecteur de la publicationM. +352 691 43 45 [email protected]

Delphine [email protected]

Raphaël HenryRédacteurM. +352 691 99 11 [email protected]

Émilie MounierChef de projetM. +352 691 99 11 [email protected]

Aurélie RebelAssistante de [email protected]

Photography Raoul Somerswww.raoulsomers.lu

Avec la complicité de la Philharmonie de Luxembourg

Merci particulièrement à Dan Vinkowski www.philharmonie.lu

Photos ITnews 2.0 www.itnews-photos.com

Layout Piranha et Petits Poissons [email protected]

AbonnementsLuxembourg 75,- - Europe 85,- www.itnews.lu

ITnews 2.0, anciennement LuxBoxIBAN LU53 0030 7526 7288 1000BIC BGL: BGLLLULL TVA LU 19730379RC Luxembourg B 95210

Maison d’éditionsAutorisation d’établissement N° 102739 © Toute reproduction, même partielle, est soumise à l’approbation écrite préalable de l’éditeur. Tous droits réservés. ITnews2.0 est membre de Luxorr - Luxembourg Organization For Reproduction Rights - [email protected]

ITN_018_ITnews_03_avril_03>20.indd 3 14/04/08 18:56:15

///////// LE GRAND ENTRETIEN

66Conférence ITnewsMobilité à tous les étages 18

EN MAI 2008… LE GRAND DOSSIER SERA CONSACRÉ À L'OUTSOURCINGConférence Outsourcing et PSF : Le 15 mai 2008 – Espace Entreprise de la Confi serie Namur – Luxembourg HammClôture: 28 avril 2008 / Rédaction: [email protected] / Régie publicitaire et infos conférence: [email protected]

Philippe Gusbinet Bernard Lhermitte :

ING Luxembourg sur mainframe 2.0

///////// ACTUAL IT

///////// LE GRAND DOSSIER

///////// IT FINANCE

New AccessLes clés pour le Relationship Manager 22Fast Close & XBRL 24Liquidités à la DVB Bank 26

CSSF et ClussilRegards croisés sur le RSSI 28LuxTrustSo far, so good 30CASESLes nouvelles menaces sous contrôle 32IBMW7 au service de l’audit 44AccentureL’IAM, révélateur d’expertise 46

Claude LüscherEmbrace and enhance 76

Microsoft 2008Zoom sur les end-users 65Responsabilité 67Namestock de A à Z 68

///////// PORTRAIT

///////// ACTUAL IT

SymantecSécurité 2.0 : le défi 49ZeropiuLuxembourg : I AM attractif 50Verizon BusinessLe risque est une opportunité 54Dimension DataLa fi n des systèmes châteaux forts56

LuxPETCommunications limpides 19

AVRIL 08 5


ING Luxembourg :Nouveaux horizons

6 AVRIL 08

BUSINESS DECISION MAKER

LE G

RA

ND

EN

TRET

IEN

Phili

ppe

Gusb

in


ING Luxembourg : Nouveaux horizons

/////////// LE GRAND ENTRETIEN

AVRIL 08 7


Philippe Gusbin, qui est ING Luxembourg ?

ING Luxembourg est une banque qui est présente sur la Place grand-ducale depuis plus de quarante ans - depuis les années ’60 - et qui possède donc un track record assez long. Les dénominations ont été diffé-rentes à travers le temps, notamment avec le Crédit Européen, puis aujourd’hui avec ING Luxembourg.

Pour quels clients ?

ING Luxembourg est une banque univer-selle, ce qui suppose que nous servons différents types de clientèle. La première est une clientèle de Private Banking - un pôle important pour la Place luxembourgeoise. En effet, le groupe a pris la décision, il y a un an, de rassembler ici à Luxembourg tout le know-how en matière de gestion centralisée et de sélection de fonds tiers à destination de la clientèle Private Banking. Ainsi, toutes les compétences du groupe ont été concen-trées sur Luxembourg, après une ‘compéti-tion’ entre les différents pays où ING est actif dans le Private Banking…

Le deuxième type de clientèle, c’est la clien-tèle Retail, de particuliers, pour laquelle nous avons un réseau d’une quinzaine d’agences - qui dessert aussi la clientèle privée par ailleurs.

Enfin, nous avons une clientèle d’entreprises - nous l’appelons Wholesale - où nous retrouvons aussi bien des groupes multinationaux (WRM), que des grosses et moyennes entreprises. Ce sont donc des entreprises de taille différente, avec des approches stratégiques du groupe ING adaptées. Ainsi pour les WRM, le pilotage de la relation est global au niveau du Groupe, et pour les large et mid corps, nous avons des pilotes plus locaux ou régionaux - ce qui est principalement le cas ici au Luxembourg. Au niveau du groupe, les compétences d’ING Luxembourg sont souvent utilisées pour effectuer des opérations d’envergure. Dans les autres activités Wholesale, il y a encore les Financial Institutions, qui sont les compagnies d’assurances, les PSF, etc…, et enfin, le Financial Markets, le Financial Engineering.

Bernard Lhermitte, Head of IT d'ING Luxembourg

C

M

Y

CM

MY

CY

CMY

K

L'Annonce_Avaloq_2007_210x45mm-left-hand-page.pdf 30.11.2007 13:39:05

8 AVRIL 08



Avez-vous d’autres activités localement ?

Nous avons aussi une clientèle interne groupe importante pour laquelle nous prestons pour des clients comme IIM, l’Asset Manager du groupe, et IPCM, l’entité de gestion de fonds destinés à la clientèle en Private Banking. Ainsi, les services Transfer Agent et Custody liés à l’industrie des fonds sont prestés chez ING Luxembourg. Nous sous-traitons aussi certaines activités, notamment sur le Fund Admin.

Quelle est la taille d’ING Luxembourg ?

Nous occupons 830 collaborateurs et selon les critères et segments, nous sommes considérés comme la quatrième banque de la Place. Au niveau grand-ducal, nous retrouvons donc ING Luxembourg, ING Lease et Car Lease (leasing et car leasing à destination des entreprises), ainsi qu’ING Life (nos prestations d’assurances à destination de la clientèle Retail et Private Banking).

Elles sont très diverses, ces compétences ?

Oui effectivement, et lorsque l’on va parler d’IT, il s’agira donc d’un vrai exercice. Car lorsque nous devons adresser des problématiques Retail, Private Banking, Fonds, Wholesale (de WRM, les grandes entreprises, aux PME) ou Financial Markets, ce n’est effectivement pas la même chose… Cela relève d’un défi permanent pour l’ensemble de l’organisation.

Et la croissance est au rendez-vous…

Pour 2007, l’ABBL a fourni des résultats au niveau du monde bancaire luxembourgeois que l’on voit faiblement évoluer. Au contraire, au niveau d’ING Luxembourg, on note une

progression de 35 %, où tous les segments ont contribué, de manières diverses, au résul-tat d’ensemble. La diversité de nos activités génère une certaine complexité de gestion, mais cela permet surtout d’assurer une cer-taine homogénéité des performances dans les résultats fournis. ING Luxembourg, dans le groupe ING, preste toujours bien et même très bien… L’année 2007 a été particulière-ment exceptionnelle pour ING Luxembourg. C’est une bonne nouvelle et surtout, cela nous permet de nous positionner au niveau des axes stratégiques importants du groupe.

Qu’est-ce qui est stratégique pour vous ?

Pour ING Luxembourg, un des premiers axes, c’est la croissance. Chaque métier doit générer de la croissance, développer son fonds de commerce et trouver de nouvelles sources de revenus.

Un autre axe stratégique qui est évident, c’est l’orientation client, le client au centre de nos préocupations («customer centri-city»). Cela tombe sous le sens, mais il ne suffit pas seulement de le dire, il faut aussi le faire… Et c’est là toute la différence.

J’en arrive à un troisième axe, c’est le «Fo-cus on Execution». Il ne suffit pas seulement d’avoir des idées et de les avoir priorisées, il faut réussir à les implémenter.

Est-il plus facile ou plus difficile d’être concret localement ?

ING Luxembourg est une entité qui preste bien. Nous nous trouvons dans un contexte au Grand-Duché de Luxembourg qui est un peu particulier. Tout ceci fait que nous intégrons, bien évidemment, les politiques groupe, mais que nous avons aussi une certaine indépendance, entre autres au niveau de l’IT. La stratégie IT est définie

à partir de Luxembourg. Elle est bien sûr alignée sur la stratégie IT du groupe. Nous ne le faisons pas seuls et nous souhaitons utiliser toutes les compétences et réutiliser ce qui existe dans le groupe. Nous sommes très pragmatiques ; nous ne sommes pas un centre de recherche, nous sommes là pour implémenter.

Bernard Lhermitte, pouvez-vous nous donner un exemple ?

On considère qu’être dans un groupe com-me ING, c’est une réelle opportunité car ING possède un certain poids sur le marché, notamment vis-à-vis des fournisseurs. Même si à Luxembourg nous avons une certaine auto-nomie, nous jouons la synergie avec le groupe.

Concrètement, on vient de terminer un pro-jet de migration du mainframe pour notre architecture informatique. Nous étions sur Bull depuis une vingtaine d’années et désormais nous sommes passés sur IBM. Dans ce cas de figure, nous avons vraiment fait jouer la synergie de groupe, car IBM est un fournis-seur standard du groupe et nous avons aussi pu profiter directement des compétences existantes d’ING. En effet, le paramétrage de ce nouveau mainframe a été réalisé avec l’aide de nos collègues hollandais du groupe. Un autre axe de synergie touche aussi no-tre environnement de développement qui va être centralisé aux Pays-Bas. Les machines se trouvent là-bas, dans un environnement très élaboré. Les gens de l’IT resteront ici et développeront toujours à partir d’ici, bien évidemment avec des données banalisées.

D’autres exemples ?

Au niveau des applicatifs, nous utilisons Kondor+ pour la salle des marchés qui est centralisé pour tout le groupe. Notre activité est gérée à partir de Luxembourg mais sur des applicatifs centralisés. Par contre à côté

C

M

Y

CM

MY

CY

CMY

K

L'Annonce_Avaloq_2007_210x45mm-left-hand-page.pdf 30.11.2007 13:39:05



de cela, on développe en local pour notre clientèle Retail et Private Banking, à la fois en termes de front-office et de back-office, et on développe des applications localement avec nos propres choix technologiques et notre propre architecture applicative. Ce sont vraiment des approches très complémentaires qui accroissent nos capacités à supporter le business…

C’est donc une approche orientée re-usability ?

C’est une approche très pragmatique : ce qu’on peut réutiliser est le mieux. On ne veut pas réinventer les choses si cela n’est pas nécessaire. Cela fonctionne parce qu’au ni-veau de l’entité, on a de bons résultats et de ce fait une bonne autonomie dans nos choix. Entre les Pays-Bas et la Belgique, la synergie du groupe est encore plus importante, car les volumes sont différents et les gains de pro-

ductivité plus significatifs. Un élément impor-tant, c’est aussi le secret bancaire à Luxem-bourg : on ne peut pas tout se permettre en termes de synergie, et il y a des données qui doivent impérativement être traitées ici… Vous êtes reconnus par le groupe pour cer-taines compétences. Pouvez-vous envisager de les développer encore plus ?

Au niveau du Private Banking, le groupe a dé-cidé de centraliser cette activité de gestion à Luxembourg parce qu’il y a des compétences métier évidemment, mais aussi parce qu’il y a des compétences IT capables de supporter cette activité. Cela s’est fait de manière trans-parente avec ING, car on avait déjà une partie de ces activités, et seuls les volumes ont aug-menté. Et on était capable de les supporter. C’est aussi le cas sur les fonds de tiers : on a centralisé les flux d’autres entités du groupe ici, à Luxembourg. Ce n’est pas qu’une pro-blématique IT, mais un service global…

Philippe Gusbin, c’est aussi important de pouvoir capitaliser sur cela dans un contexte réglementaire européen très changeant ?

L’aspect réglementaire et de gestion de ris-que est de plus en plus présent. Ce sont des compétences qui se développent de plus en plus à l’intérieur du groupe et c’est la même chose pour l’ensemble de nos confrères et concurrents. C’est une implication non neu-tre. Régulièrement, au niveau de l’IT, c’est une charge de développement très lourde. À cela s’ajoutent les spécificités du Grand-Duché de Luxembourg que nous tenons à respecter.

Bernard Lhermitte : Ainsi au niveau de l’IT, nous sommes habitués de longue date à tout ce qui est Compliance en respectant le secret bancaire local. Par exemple, en ter-mes de ségrégation des tâches, nous som-mes très bien avancés…

Philippe Gusbin, dans ce contexte, quels sont les éléments qui vous ont le plus marqué ces derniers temps ?

Sepa, Mifid, Bâle II… Et là on voit l’avan-tage de faire partie d’un grand groupe. Ce sont des projets qui ont été gérés de façon globale afin d’assurer une cohérence à tra-vers l’ensemble, mais tout en assurant une certaine souplesse dans l’implémentation locale. C’est un bon élément de gouvernan-ce. Il y avait un steering committee et une gestion de projets globaux dans lesquels ING Luxembourg, comme d’autres entités, se sont intégrées. Cela nous a permis dans certains cas de ne pas avoir à analyser cer-taines choses et de gagner beaucoup de temps et délivrer plus rapidement.

Bernard Lhermitte : Tous les projets que l’on a cités sont des projets qui ont été adop-tés par toutes les banques de la Place, mais pour ING, étant donné que nous sommes cotés sur le marché américain, nous avons aussi dû mettre en place un projet SOX (Sarbanes-Oxley). C’est un projet réglemen-taire très contraignant. Cela nous a obligés à nous poser d’autres questions et est une charge supplémentaire non négligeable.

10 AVRIL 08



leasing made smarter

Leasing privéLeasing operationnelLeasing professionnelGestion personnalisée de flottesLe sur mesure de la gestion de parc

CARTRUST SA 11, RUE DE BITBOURG L-1273 Luxembourg-HAMMTel : (+352) 26 34 35 - 1 E-Mail : [email protected] www.cartrust.lu







Philippe Gusbin, c’est une charge, mais cela peut-être aussi un atout…

Lorsque vous faites ce genre de chose, lorsque vous passez au crible votre orga-nisation,… c’est une contrainte, c’est une charge, mais vous en tirez toujours quelque chose. C’est comme en matière de Risk Ma-nagement, c’est une problématique qui est de plus en plus présente. On parle de Bâle II, de la problématique des risques opération-nels, mais aussi des risques IRM (Information Risk Management), des risques de marché, des risques de crédit, des risques de sécuri-té,… Toutes ces approches sont maintenant beaucoup plus globales, plus holistiques, plus complètes. Cela génère un certain for-malisme, mais cela apporte une bien meilleu-re connaissance des risques potentiels qui existent dans une organisation.

Cela draine-t-il la performance ?

Oui, lorsque vous maîtrisez bien vos risques, c’est que vous vous connaissez mieux. Et si vous vous connaissez mieux, vous pouvez vous améliorer…

Bernard Lhermitte : On peut profiter de ces projets pour dégager des avantages, dont la simplification des process. SOX nous a obligés à revoir bon nombre de nos process. Ainsi, nous avons mis en place une approche Lean Six Sigma, pour simplifier certaines chaînes de valeur dans la banque.

Philippe Gusbin : au niveau des départe-ments informatiques, la philosophie est d’une grande simplicité : le but, c’est de s’aligner sur les axes stratégiques d’ING Luxembourg. Il y a des axes stratégiques en matière de génération de valeur, de croissance, de gouvernance, de maîtrise des coûts, de gestion des risques…

Le métier IT s’aligne sur ces axes stratégiques et c’est pour cela que nous fonctionnons en mode projet. Cela nous permet d’être souple et de nous adapter en fonction des demandes du business. Nous avons donc également une approche matricielle, c'est-à-dire que tout métier a un interlocuteur, un point d’entrée au niveau de l’IT, avec une personne qui doit adresser ses demandes et gérer l’interaction entre l’IT et le métier lui-même.

Le but, c’est de faire en sorte que cela s’ap-plique réellement sur le terrain, dans un vrai partenariat. Par exemple, les cahiers de char-ges se font ensemble, car la compétence ne se trouve pas forcément à un seul endroit. On en parle pour les développements, mais aussi pour les synergies. C’est le cas dans d’autres entités en Europe qui tournent carrément sur des applications groupes en direct.

Comment tout cela se profile-t-il ?

Il y a quatre ans, une décision-clé a été prise : passer de Bull vers IBM qui est un standard groupe. Nous savions donc que

nous avions des compétences sur lesquel-les nous pouvions nous appuyer. C’est un projet de 40 mois qui a utilisé près de 2 ans de capacité projet. Le but pendant cette perte de ressources, c’était de compenser, de faire que les lignes business ne voient rien à cette transition. Nous devions faire en sor-te que ce processus de migration soit le plus transparent possible… Si bien que les lignes business, à un certain moment, ne savaient plus qu’il y avait un processus de migration en cours... Nous avons staffé et nous nous sommes organisés pour continuer à délivrer le business en toute transparence.

La conclusion de ce projet s’est déroulée le 12 janvier 2008 où nous avons livré le projet. Tout s’est bien passé : la migration effective a commencé un vendredi soir et le lundi matin, les gens dans les agences ont ouvert leurs

terminaux et tout était opérationnel… Il n’y a eu que quelques petits soucis très mineurs.

Bernard Lhermitte : Cela a été un challenge énorme : migrer un mainframe, ce sont des millions de lignes de codes à migrer… La rai-son de ce choix mainframe ? D’abord, c’est un standard du groupe mais aussi pour ce que le mainframe offre en termes de fiabilité, de capacité, de performance et de robus-tesse de niveaux inégalés... On a aussi voulu capitaliser sur les investissements du passé pour aller vers une nouvelle architecture qui intègre à la fois du mainframe mais aussi des nouvelles technologies. L’idée pour nous au

AVRIL 08 13



niveau de l’architecture, c’est de capitali-ser sur le meilleur de chacun des mondes, mainframe et ouvert.

Philippe Gusbin : Et «last but not least», c’est vraiment de profiter d’une productivité ac-crue. On est donc passé d’un monde à un autre, avec des machines différentes, mais surtout intégré dans un monde plus large et plus performant. Ce n’était pas pour la beauté du geste…

Bernard Lhermitte, avez-vous profité de cette refonte pour renforcer ou développer d’autres éléments ?

Pendant la migration, on a continué à déve-lopper pour les lignes business. Mais l’idée, c’était de migrer As-Is et surtout de ne pas mélanger évolutions fonctionnelles et migra-tion technique afin d’être certains de ne pas impacter le business. C’est déjà assez com-plexe comme ça…

Quelles compétences tout cela nécessite-t-il ?

En termes de compétences dans le dépar-tement IT, on a d’une part l’infrastructure (system engineering, network engineering, production, data center) et d’autre part la partie Applications, où là on est organisé, ali-gné par ligne fonctionnelle, pour chacun des business. Dans ces équipes, on retrouve différents types de compétences qui sont à la fois des compétences fonctionnelles, des compétences techniques (programmation,

Cobol par exemple), et une équipe dédica-cée aux nouvelles technologies, (présenta-tion, portail d’entreprise, le site Internet…). Cette équipe intègre nos applications dans un portail d’entreprise.

Concrètement, pour le projet de migration on s’est fait aider par un partenaire externe spécialisé dans les migrations mainframe. À notre charge, il y avait la responsabilité de toute l’intégration et de tout le testing, où importaient les compétences fonctionnelles, afin de travailler en partenariat avec les mé-tiers pour valider la qualité globalement.

Quelles sont vos perspectives ?

Avec tous ces projets de migration et de mise à niveaux réglementaires terminés, on se retrouve désormais avec une capa-cité à produire des projets dédicacés au business, à supporter la croissance,… On a donc initié, fin 2007, une réflexion sur la

manière dont on va gérer les projets dans le futur et la manière de prioriser les projets pour le métier.

Philippe Gusbin : Il y avait deux approches différentes : soit on pouvait dire que l’on avait terminé une migration et donc que l’on pouvait réduire la voilure en matière de ressources IT ; ou bien, on conservait quand même une force de frappe au niveau IT, pour pouvoir soutenir la crois-sance… Et c'est cette dernière option que l’on a retenue.

Au niveau des aspects réglementaires, 2008 semble s’annoncer comme une année plus paisible et on espère pouvoir mettre ces ressources accrues de l’IT occupées sur ce volet-là à destination du business. Au niveau du projet de migration, c’est un projet qui a été nominé au niveau du groupe ING com-me un projet à très haute valeur. D’ailleurs, le cœur de l’équipe qui a travaillé sur ce projet vient de se retrouver convié à Amsterdam, pour recevoir les félicitations du groupe.

Bernard Lhermitte, avez-vous réorienté votre portefeuille de projets ?

Auparavant, nous avions des responsables de département qui venaient avec leurs priorités. On les réunissait en fin d’année et ils nous donnaient leurs priorités. Au sein du département IT, on faisait une synthèse de tout cela et on retournait vers le Comité de Direction avec des propositions en adéquation

avec la stratégie de la banque. Le comité arbitrait et les projets à mener étaient retenus. Nous avons constaté que nos ressources pouvaient s’en retrouver éparpillées à force de vouloir servir tout le monde chaque année. On a désormais une vue plus globale et on se concentre mieux sur la stratégie de la banque et sur la croissance.

On a ainsi défini six axes de priorité : les Profit Drivers (là où les départements vont générer de la croissance), les gains de productivité (principalement améliorer les

14 AVRIL 08



chaînes du Middle et Back Office), la pro-ductivité transversale (là l’IT peut se trouver en tant que Business Enabler comme avec les technologies d’Enterprise Content ma-nagement, de Workflows,…), les Internal Customers (améliorer la convivialité de nos applications, parfois simplement par des quick wins, des choses qui peuvent simplifier la vie des utilisateurs), les Metrics (mettre à disposition des départements de la banque les informations qui leur sont nécessaires pour le pilotage du business - début 2005, nous avions reçu les moyens pour mettre en place un projet d’un nouveau DataWa-rehouse et de BI globale), et le core IT (le spécifique à l’IT, pour mieux fournir à la ban-que, avec une approche «Reuse before Buy before Build»).

Philippe Gusbin : C’est une approche très cohérente : on a cet axe stratégique de développement à la fois des activités existantes mais aussi de nouvelles activités.

Nous sommes curieux ; nous voulons voir, tester… Nous possédons la machine qui nous permet d’augmenter cette capacité… Nous avons de l’oxygène qui s’est libéré en matières réglementaires et légales… Nous avons décidé de maintenir la force de frappe IT afin de pouvoir répondre aux besoins du business… Et nous avons un nouveau plan de prioritisation des projets. Ainsi dans l’ensemble, la qualité des projets retenus est bien meilleure et le scope que nous couvrons adresse bien mieux les préoccupations du business que par le passé.

Quels sont les autres assets forts d’ING ?

Ce sont bien évidemment les gens… La qua-lité des équipes IT au niveau d’ING Luxem-bourg est très élevée. Nous avons de très bonnes compétences… Mais on sait aussi qu’à Luxembourg, les compétences sont difficiles à capter. Ainsi, on cherche sur le marché grand-ducal mais on regarde aussi en dehors de celui-ci.

Bernard Lhermitte : C’est effectivement un challenge pour nous de trouver les bonnes compétences. Il y a un nombre énorme de postes IT ouverts au Luxembourg et il faut donc être les premiers afin de recruter les meilleurs. On a une approche très proactive en allant au-devant du marché. On se dépla-ce dans les universités et cela nous a permis de découvrir de jeunes talents. Il existe dé-sormais chez nous des formations pour les faire grandir et les faire évoluer dans l’entre-prise. On se rend compte aussi que l’IT est

devenu un vivier de talents pour le reste de la banque. Nous n’avons pas un turn-over im-portant de personnes qui quittent la banque, par contre en interne, nos gens sont très pri-sés par les départements business.

Philippe Gusbin : Il y a un circuit très classi-que qui est : IT, opérationnel puis ligne com-merciale. L’IT, c’est un métier qui apprend beaucoup de rigueur et qui oblige à com-prendre les tenants et aboutissants. Et c’est un mouvement excellent pour l’organisation. Sur les 850 salariés, l’IT compte environ 110

personnes. Cela représente environ 18 % des coûts de la banque. Ce qui est un ratio assez bon en comparaison avec le monde financier.

Avez-vous des repères avec ce que font les autres acteurs bancaires en Europe ?

De façon très régulière, nous regardons dans le marché où nous en sommes. Nous nous mesurons à des benchmarks. On utilise des études McKinsey, Gartner, KPMG, etc. Par exemple, chez McKinsey, on a qualifié l’IT au niveau groupe des banques en catégories A, B, C et D, suivant des critères comme leurs dépenses IT par rapport aux dépenses globales. La bonne nouvelle, c’est que ING Luxembourg est considérée comme une A-Bank, lorsque l’on regarde les indicateurs. Ce n’est pas pour cela que l’on s’endort, au contraire… Mais cela nous fait plaisir en tant qu’une A-Bank d’avoir une IT qui est considérée comme business

enabler, avec une utilisation des ressources IT parcimonieuse et dans une organisation qui elle-même est légère et flexible.

Bernard Lhermitte : si l’on devait faire une cartographie de l’IT d’ING ?

Je parlerais d’une bonne intégration, de ca-pitaliser sur le meilleur de chaque monde… Par exemple, au niveau de l’architecture du mainframe, des développements en mode services existent. Dans l’acceptation ha-bituelle du terme SOA, on ne pense pas

AVRIL 08 15



toujours au mainframe, mais ici on fournit bien des services, exposés dans un portail d’entreprise, qui reposent sur l’architecture mainframe. A côté de cela, on a des packa-ges comme Triple A, Kondor+, et des packa-ges pour des métiers spécifiques. On utilise aussi WebSphere, du J2EE, du web2.0 pour exposer nos services, pour l’intégration et la présentation. On réfléchit aussi à faire évo-luer notre portail en capitalisant sur des tech-nologies aujourd’hui accessibles, sans pour autant suivre la mode pour la mode, mais en restant très pragmatique. On a également un environnement Business Intelligence pour l’informatique décisionnelle qui repose sur Oracle et Business Objects. Et nous utilisons aussi Tivoli pour le pilotage de nos systèmes. Enfin, nous allons appuyer plus des projets d’Enterprise Content Management tout en utilisant les outils de stockage et d’archivage dont nous disposons déjà.

Vous allez donc mettre en place un ECM ?

Ici l’IT se positionne clairement en «business enabler». Nous considérons l’ECM comme stratégique pour la banque et nous allons effectivement mettre l’accent sur ce domaine. On a identifié trois projets sur lesquels on va travailler cette année. Il nous faut structurer l’approche et choisir un ou des outils en fonction des besoins qui seront à couvrir. On a déjà reçu quelques propositions… mais le choix des outils n’est pas encore arrêté…

16 AVRIL 08



/////////////////////// CASE CHOICE

> Conférence mobilité p 18

> Computacenter et LuxPET p 19

AVRIL 08 17


Par la suite, Frank Vissotsky, Manager application services Benelux chez Computa-center, a présenté les avantages de l’instant messaging, une technologie qui s’est adaptée au monde de l’entreprise. «L’instant messaging sera intégré à tous les comptes email d’ici deux ans», a dit Frank Vissotsky.

«La mobilité amène de la vraie valeur busi-ness, a ajouté Laurent Brochmann, CIO de Deloitte Luxembourg. Les utilisateurs de Deloitte disposent tous d’un laptop équipé de VPN, 60% des utilisateurs ont aussi un téléphone mobile, et le top management dispose du push mail. Tous ces éléments sont indispensables à notre succès.»

Lors de la conférence organisée par ITnews le 13 mars dernier, Jean-Philippe Ricard, Head of IT de RBC Dexia Investor Services, a évoqué «la culture de l’innovation» en présentant la façon dont une banque d’envergure mondiale comme RBC Dexia peut intégrer ses fonctions globales et locales pour assurer un service complet 24h/24. Début mars, RBC Dexia au Luxembourg a obtenu le certificat CMMI de niveau 2. «La phase de post-fusion dans laquelle nous nous trouvons encore nous a poussés dans cette direction», a dit Jean-Philippe Ricard.

Laurent Brochmann

Jean-Philippe Ricard

Frank Vissotsky

L’innovation, moteur de la mobilité

18 AVRIL 08


CO

NFÉ

REN

CE

ITN

EWS

Mob

ilité


«Les utilisateurs veulent une vraie fonction business, il faut donc optimiser les technolo-gies pour créer une mobilité réelle», explique Frank Vissotsky, Manager application ser-vices Benelux chez Computacenter. Dans certaines entreprises, où l’autonomie des utilisateurs est très importante, la mobilité devient une pierre angulaire du business. «Aujourd’hui, on fait des réalisations plus complexes sur le terrain. Les technologies ont gagné en maturité.» L’information a les mêmes caractéristiques que si elle avait été saisie au sein de l’entreprise.

Les utilisateurs doivent cependant pouvoir déterminer leurs besoins. «On ne peut pas proposer un processus business sur le GSM d’un représentant, donc on se pose la ques-tion de ce qui peut être rendu mobile pour analyser la valeur ajoutée et le coût asso-cié», explique Frank Vissotsky. L’accès aux

données à distance permet la continuité du business, via la sécurisation et la synchro-nisation des devices. Ainsi, l’ERP, le CRM ou la logistique sont en partie «déportables» vers les devices mobiles.

LUXPET : ÊTRE CONNECTÉ POUR RÉDUIRE LES COÛTS

Avec un peu moins de cent personnes à Luxembourg, appartenant au holding Plastipak (5500 personnes worldwide), LuxPET était à la recherche d’une solution mobile complète et satisfaisante pour, en premier lieu, réduire ses coûts. «Computacenter a travaillé avec Plastipak durant l’année dernière, explique Jonathan Mayled, Manager International IT Operations chez LuxPET. Computacenter a rapidement présenté une solution de convergence basée sur les téléphones Nokia E61 et le routage

de Cisco.» La mobilité est essentielle pour Plastipak, dont les entités européennes sont réparties entre le Luxembourg, la France, la République tchèque et la Slovaquie.

L’utilisation des Nokia, qui remplaceraient les téléphones RIM, permettrait de réduire les coûts de communication d’environ 4 euros par minute. Multibandes pour faciliter les communications avec l’Amérique du Nord, les Nokia E61 permettent la synchronisation de l’email, l’accès à internet et d’appeler sans coûts de roaming supplémentaire. Le réseau de Cisco permet de router les flux de data et la vidéoconférence (fournie par le Norvégien

Tandberg). Le système a été intégré avec la Microsoft Active Directory et Exchange 2003 qui fournissent la messagerie unifiée. Ainsi, les utilisateurs peuvent maintenant recevoir et écouter leur voice mail depuis Outlook.

Cibler l’essentielDe plus en plus d’entreprises mettent en place des solutions de mobilité innovantes pour réduire leurs coûts et améliorer la productivité des utilisateurs.

Aujourd’hui, les desiderata des utilisateurs ont évolué. Ils disposent d’outils de communication performants (et souvent gratuits) à la maison, et désirent voir transposées dans le cadre de travail les mêmes facilités. Au-delà de la satis-faction des employés, les entreprises, en mettant en place des solutions de mobilité, réfléchissent aussi à la rentabilisation de l’infrastructure. Être mobile, c’est pouvoir accéder aux ressources de l’entreprise depuis n’importe quel bu-reau, et se rendre disponible à tout instant, grâce à des solutions calibrées sur les véritables besoins des utilisateurs.

TECHNICAL DEVELOPMENT MANAGER

AVRIL 08 19

CA

SE

CH

OIC

EM

obili

té


///////////////////////// IT FINANCE

> New Access présente Branch, son dashboard orienté CRM p 22

> KPMG soutient le duo Fast Close et XBRL pour le reporting externe p 24

> Bâle II : la DVB Bank adopte FlexFinance Liquidity de Fernbach p 26

AVRIL 08 21


CHANGE THINGS YOUR WAY

Video surveillance Solutions

made simple, based on IP technology

High performance, networked video surveillance

> www.telindus.lu

Tel. 45 09 15-1

Secure your business sites with digital video surveillance

Eliminate the cost of managing multiple networks

Use one IP network for all your needs (Video/Voice/Data)

UNIFY your networks

CALL US...

Jean-Philippe Bersier, VP Sales de NewAccess

BRANCH, LA CÎME DE LA VUE CLIENT

Branch, développé sur base d’une architec-ture nTier sur une plateforme .Net, est une solution de visualisation du client dans sa globalité, permettant aux Relationship Ma-nagers de consulter, mais aussi de gérer et d’opérer l’information du client. Branch s’intègre ainsi avec les outils de la banque en place, que ce soit les core systems bancaires, les PMS (Portfolio Management Systems), les fl ux d’informations fi nancières, le CRM, etc…

«Notre premier client s’est servi de Branch comme d’un framework pour développer son intranet et son webbanking sur un back-bone Olympic», explique Jean-Philippe Bersier, VP Sales de NewAccess. Depuis, l’éditeur suisse a gagné d’autres références avec Branch sur Eri (2 actuellement), une sur Globus, une sur Apsys et sur deux solu-tions propriétaires. «Aujourd’hui, nos clients utilisent souvent Branch pour adresser une problématique CRM.»

NewAccess propose de connecter les best-of-breed en place chez les banquiers privés et de les rendre visibles et accessibles, dans une interface consolidée de type client Windows ou web. La mise en place se fait en connectant les solutions existantes directement dans Branch, sans passer par un datawarehouse intermédiaire, garantissant la fraîcheur et la fi abilité des informations délivrées dans Branch. «Nous nous adaptons avec le core en place et agissons de la manière la moins intrusive possible. Mais il s’agit néanmoins d’un véritable projet et pas d’une solution out-of-the-box, car il nous faut accéder les informations dans les db que nous souhaitons publier. Il existe déjà de nombreux connecteurs disponibles pour des implémentations plus rapides.» D’expérience, il faut entre trois et neuf mois pour réaliser un prototype proche des souhaits du client et de trois à dix-huit mois (au plus long) d’implémentation, selon l’envergure du projet. Mais avec un avantage important : il n’est pas nécessaire d’avoir des compétences techniques hautement spécifiques pour démarrer sur Branch. À l’heure où les compétences pointues sont de plus en plus rares et chères, voilà un argument de poids.

VUE 360° CHEZ EFG

Ainsi, EFG, le plus grand déploiement de Branch (18 booking centers dans 24 pays), utilise la solution de NewAccess dans une optique CRM, Portfolio Management et Do-cument Lifecycle Management. Il faut dire aussi que NewAccess dispose de solutions maison dédiées aux questions de gestion électronique de documents et d’archivage (LogicalAccess) et de portfolio & asset ma-nagement (Olivia). «La force de Branch, c’est de rendre transparente toute la complexité de la plateforme sous-jacente, dit Jean-Philippe Bersier. La seule limite est que le back-end puisse répondre aux requêtes de la solution. Au fi nal, Branch normalise l’univers de don-nées.» Le tout dans une interface qui se fait fort d’une ergonomie très avancée, dont les traits de force sont la sobriété et l’effi cacité.

NewAccess, nouvelle vue pour le Relationship ManagerL’éditeur suisse NewAccess a présenté à Luxembourg ses ambitions et succès avec son produit Branch, solution unifi ée pour les gestionnaires de la relation dans les banques privées.

Avec six premières références sur Branch dont EFG, NewAccess adresse une nouvelle problématique pour les banques privées : obtenir le tout et le meilleur de l’information du client dans une vue consolidée pour le gestionnaire de la relation. Mix de solutions métiers pour les banquiers privés, Branch est un ta-bleau de bord unifi é de la vue du client orienté CRM, analyse et visualisation de portefeuilles, gestionnaire de documents, passages d’ordres, informations compliance, news, quotes,…

22 AVRIL 08


IT F

INA

NC

ECl

ient

vis

ion


CHANGE THINGS YOUR WAY

Video surveillance Solutions

made simple, based on IP technology

High performance, networked video surveillance

> www.telindus.lu

Tel. 45 09 15-1

Secure your business sites with digital video surveillance

Eliminate the cost of managing multiple networks

Use one IP network for all your needs (Video/Voice/Data)

UNIFY your networks

CALL US...


CHANGEMENT DE MENTALITÉS

L’XBRL repose sur le langage XML et sur l’utilisation de taxonomies qui définissent les caractéristiques et les relations entre les données. Il s’agit d’une solution d’avenir relativement simple, fiable, évolutive et indépendante des systèmes d’information utilisés. Le succès d’un tel projet dépasse le simple cadre IT et suppose un changement de mentalités.

Il implique un fort sponsorship de la direction qui doit s’assurer que l’ensemble des parties prenantes comprend la finalité du projet et s’investit totalement tout au long de ce der-nier. La fonction IT doit dépasser un rôle pu-rement technique et la fonction finance n’est plus uniquement un pourvoyeur de données et voit sa responsabilité d’analyse et de pla-nification renforcée. Un véritable partenariat entre ces fonctions doit être conclu pour définir et mettre en place un processus de clôture reposant sur l’XBRL.

Ce changement dépasse le temps et le cadre de l’équipe projet. Les interactions entre les différents acteurs doivent donc claire-ment être définies. Le nouveau processus doit répondre au principe «une clôture juste du premier coup». Cela implique que la tech-nologie XBRL soit structurée et adaptée en fonction des activités et non l’inverse. Afin d’être opérationnels, récurrents et évolutifs, les processus doivent être clairement définis et documentés. Et un tel projet doit être pla-nifié et piloté par une gestion de projet tant au niveau stratégique qu’opérationnel.

AVANTAGE STRATÉGIQUE ET PLUS UNIQUEMENT COMPTABLE

La simplicité de l’XBRL conduira à une réduction des possibilités d’erreur via l’utilisation de fichiers de saisie standardisés et d’un contrôle des données à la source. La création de valeur résulte de la réaffectation des ressources à des tâches à plus forte valeur ajoutée. En alliant rapidité et fiabilité, ce nouveau processus de Fast Close sera un avantage indéniable pour obtenir la préférence des investisseurs. Enfin, la possibilité de dupliquer dans le futur le succès de l’utilisation de l’XBRL à d’autre processus : MIS, budgétisation… ouvre la perspective pour les banques d’un avantage stratégique et plus uniquement comptable. La généralisation de l’utilisation de l’XBRL à l’ensemble des processus financiers clés représenterait donc un avantage compétitif substantiel pour les banques. Cela passe au préalable par une gestion de projet mature tant au niveau de la définition et de la mise en place des processus que de la qualité des informations de sortie. C’est pourquoi la clôture comptable et l’utilisation de l’XBRL se doivent d’être un duo gagnant.

Fast Close & XBRL : un duo gagnantAvec l’entrée en vigueur du nouveau set de reporting FinRep/CoRep, le reporting externe repose maintenant sur la taxonomie XBRL. Nouveau défi et opportunité pour les banques de la place : faire de l’XBRL le support central du processus de Fast Close.

«L’intégration de l’XBRL au sein du processus de Fast Close vise une publi-cation d’informations financières plus rapide et plus fiable. Pour ce faire, un travail préalable de diagnostic et de redéfinition du processus de clôture est nécessaire, estiment Laurent Gateau, Assistant Manager et Simon Emeri, Ad-viser, KPMG Luxembourg. Les nouveaux processus et activités reposant sur l’XBRL doivent allier qualité et définition des données d’entrée, vitesse d’exé-cution et évolutivité.

24 AVRIL 08


IT F

INA

NC

ERe

port

ing


Laurent Gateau, Assistant Manager et Simon Emeri, Adviser, KPMG Luxembourg.

AVRIL 08 25


BÂLE II : UN DÉFI POUR LA DVB BANK AG

La gestion bancaire a toujours eu pour principal objectif de garantir la solvabilité et d’assurer une base de refinancement économique et stable. Bâle II définit de nouvelles règles et contraintes en termes de procédures de gestion et de contrôle des risques. Pour obtenir une gestion globale des risques poursuivis par ces directives, la DVB, la banque allemande spécialisée dans les services de financement et de conseil dans les secteurs de l’expédition et du transport aérien et terrestre, devait mettre en place une structure interne de gestion des liquidités.

De surcroît, les procédures de gestion des risques et de controlling doivent être mises en œuvre de manière à ce que les risques les plus importants soient détectés très tôt, saisis dans leur totalité et présentés de manière appropriée. Ainsi, afin de maîtriser les nouvelles directives et d’optimiser ses décisions, la DVB a décidé de mettre en œuvre une solution logicielle adéquate de mesure, de suivi, de contrôle et de reporting des risques de liquidité.

Dans le domaine de la gestion des liquidi-tés, des décisions erronées ou des risques inattendus peuvent entraîner des coûts de refinancement défavorables. De plus, une méprise de la situation réelle de liquidité peut occasionner une accumulation de ré-serves liquides trop importante. Ce type de problème est essentiellement lié à un manque d’informations (lui-même issu d’une qualité et d’une rapidité de transfert des données insuffisantes), ainsi qu’à une méthodologie inadaptée et à des hypothèses erronées menant à des conclusions inexactes.

LIQUIDITÉS LIMPIDES

La solution FlexFinance Liquidity permet éga-lement de garantir la liquidité nécessaire, ainsi que de minimiser les coûts et de maximiser la stabilité du refinancement. Grâce à la métho-dologie implémentée, la modélisation flexible des scénarios livre des résultats retraçables en continu, ce qui a représenté le critère décisif pour la DVB. En effet, la banque est maintenant en mesure de quantifier ses ris-ques de liquidité et de prévoir leurs impacts sur les opérations traitées.

«Après avoir examiné et analysé l’offre de tous les fournisseurs potentiels de solutions de gestion des liquidités, nous avons opté pour la solution FlexFinance Liquidity de Fernbach parce que nous savions que cette solution livrerait des méthodes éprouvées et cohérentes de gestion du risque de liquidité, dit Martin Kinzel, Head of Controlling à la DVB. Les fonctions très souples de simu-lation et de représentation des risques, des paramètres du marché et des opérations hypothétiques ont été autant de critères qui ont influencé notre décision.»

Avec la mise en œuvre des exigences de Bâle II (Pilier 2), les interventions manuelles dans les procédures ne seront pour ainsi dire plus possibles, ou seulement à un coût très élevé. La faute en est à l’analyse de la situation de liquidité dans différents scénarios et le suivi des différentes lignes de crédit qui rendent le recours à l’outil logiciel indispensable.

Grâce à l’initialisation rapide d’un projet cen-tral, la DVB est en mesure de créer des pro-nostics réalistes de liquidité au niveau global de la banque ou de portefeuilles particuliers, ainsi que d’évaluer et de gérer le risque de liquidité à l’aide d’analyses de scénarios.

Liquidités transparentes à la DVB BankLe deuxième pilier des nouvelles directives de Bâle sur les fonds propres (Bâle II) impose aux banques une gestion détaillée de leurs liquidités ainsi que de leur risque de liquidité. DVB Bank AG s’est dotée de la solution de Fernbach pour une approche aussi sur la rentabilité.

Plus qu'une simple conformité réglementaire, une gestion des liquidités moder-ne représente un potentiel de revenu considérable pour les établissements fi-nanciers. En effet, une variation de leur notation ou de tout autre élément de leur spread de crédit change les données de leur refinancement sur le marché in-terbancaire. Partant de ce constat, les établissements financiers adaptent leurs procédures hiérarchiques, organisationnelles et de gestion en conséquence.

26 AVRIL 08


IT F

INA

NC

ECa

se c

hoic

e

Fabrizio Romano, Regional Manager de Fernbach à Luxembourg


////////////// LE GRAND DOSSIER

> Clussil p 28

> LuxTrust p 30

> CASES p 32

> SecurIT p 34

> PricewaterhouseCoopers p 36

> Avencis p 37

> Telindus p 38

> Zeduke p 40

> Sogeti p 42

> IBM p 44

> Accenture p 46

> M-Plify p 47

> Vasco p 47

> Sun p 48

> Symantec p 49

> Zeropiu p 50

> Bull p 52

> Secaron p 52

> Verizon Business p 54

> Dimension Data p 56

> Trend Micro p 58

> HP p 60

> BT p 60

AVRIL 08 27


David Hagen, Président du Clussil et chef de service à la CSSF

Plus de confiance dans le potentiel de la PlacePour peser dans la balance de l’eCommerce, le Luxembourg devra compter sur son réseau d’experts en sécurité… et soutenir leur reconnaissance, estime le Clussil.

La sécurité passe à un niveau supérieur au Luxem-bourg. La consolidation de réseaux d’experts comme le CERT du CASES et les réflexions entamées par les groupes de travail du Club de la Sécurité des Services d’Information du Luxembourg (Clussil), LuxTrust, les datacenters de nouvelle génération,… le prouvent. La sécurité est bien plus qu’un des aspects day-to-day du business. Les responsables de la sécurité des ser-vices d’information peuvent ainsi jouer un rôle proac-tif dans la promotion de l’image de confiance et de confidentialité donnée au Luxembourg.

28 AVRIL 08


LE G

RA

ND

DO

SS

IER

Sécu

rité


«Au Luxembourg, il y a énormément de ré-flexion sur les meilleures façons de diver-sifier la Place, explique David Hagen, Chef de service à la Commission de Surveillance du Secteur Financier (CSSF). L’axe de la sé-curité a été confirmé par le Fonds National de la Recherche comme étant fondamen-tal.» Le développement récent d’initiatives comme LuxTrust et CASES (le portail de la sécurité de l’information du ministère de l’Économie et du Commerce extérieur) a ap-porté de la confiance aux acteurs de la Place et peut convaincre de nouvelles entreprises de s’implanter au Luxembourg. «Proposer une TVA alléchante ne suffit plus pour atti-rer les acteurs de l’eCommerce, dit David Hagen. Nous devons chercher à diversifier les aspects de la sécurité, via la recherche et, d’autre part, la professionnalisation des responsables de la sécurité des systèmes d’information.»

Les compétences du Luxembourg en matière de sécurité doivent être, en cela, appuyées par les niveaux politique et éco-nomique. «Le ministère de l’Économie pousse d’ores et déjà dans la direction de la confiance et de la protection des données personnelles, rappelle David Hagen. Il faut un business case solide pour favoriser le

développement d’une économie durable plutôt que de l’opportunisme. La sécurité rentre en compte dans le professionnalisme, la manière d’offrir un service. La sécurité est à promouvoir comme un atout et joue un rôle de premier plan dans l’image d’une entreprise ; elle cesse d’être un obstacle pour devenir un avantage constructif.»

ÊTRE RSSI : GRANDS EFFETS

David Hagen, en tant que président du Clus-sil, cherche aussi à promouvoir le rôle du RSSI. «La fonction n’a jamais été imposée par la CSSF, précise-t-il. Mais il faut pouvoir déterminer comment traduire les défis que le RSSI doit relever aujourd’hui pour répondre aux besoins des banques et des institutions dans le futur.» Le Clussil peut ainsi décrire un certain malaise de la fonction de RSSI au sein des banques. Le RSSI demeure souvent celui qui détermine les profils des utilisateurs de la société, ce qui est nécessaire mais pas suffisant. «Le métier dépend au final du contexte que l’employeur va lui donner, par rapport à son intérêt et par rapport à la maturité qu’il veut donner à la fonction, expli-que David Hagen. La fonction de RSSI est en-core par trop ingrate. La sécurité est souvent

ainsi : c’est un coût pour éviter une perte. Le RSSI doit toujours pouvoir chiffrer une perte potentielle en justifiant, si cette perte a lieu, qu’il a fait tout son possible.» À quand une structure qui décernerait des étoiles aux sys-tèmes de sécurité les plus performants ? Un peu à la manière de la cote de confiance don-née par Euro NCAP aux voitures après leurs crash-tests…

«Ceux qui font la sécurité savent en tout cas où ils vont, dit David Hagen. Il y a une volon-té de professionnaliser les choses, notam-ment via un Master.» Ces cours donnent les outils nécessaires au RSSI pour se mettre à niveau avec le management. Ils sont aussi, et surtout, la vitrine d’une profonde volonté de faire du RSSI un acteur de changement. «Si on veut se professionnaliser et ouvrir nos frontières, il faut établir des critères de compétence élevés au niveau européen», dit David Hagen.

AVRIL 08 29



«La signature électronique était une étape à franchir pour que les utilisateurs aient confiance dans l’e-commerce», avance Pierre Zimmer, administrateur-délégué de LuxTrust SA. «Jusqu’à présent, la concen-tration des activités s’est faite principalement sur le B2B et le B2G mais dans les mois à venir, nous développerons plus le B2C et le G2C (government to citizen)», explique Ray-mond Faber, administrateur-délégué de Lux-Trust SA. «LuxTrust propose des produits qui peuvent servir de support unique pour toutes les applications.»

LE CHOIX AUX UTILISATEURS

Les nombreuses solutions proposées par LuxTrust sont adaptables à des contextes et des demandes multiples, étant donné qu’elles reposent sur des standards reconnus au niveau international. «LuxTrust facilite les échanges électroniques dans des environ-nements informatiques très différents», ex-plique Raymond Faber.

Parmi ces outils, la carte à puce (ou smart-card) permet de s’authentifier en ligne et de signer électroniquement des messages ou des transactions. La carte à puce garantit également l’intégrité des documents signés

électroniquement. Pour des besoins de mobilité, l’utilisateur peut préférer le signing stick qui offre une certification comparable à celle des cartes à puce.

La solution des certificats signing server de LuxTrust renforce, quant à elle, la mobilité… tout en conservant des niveaux de sécurité comparables. Pour y accéder, le détenteur du certificat utilise un code d’accès unique au certificat et renouvelé automatiquement à chaque demande (one time password ou OTP). Cet OTP apparaît soit sur un token, soit il est envoyé par SMS.

LuxTrust doit donc maîtriser les mécanismes de sécurité et connaître les risques pour dé-terminer les limites des actions à mener.

SECURITÉ : FEEDBACK ESSENTIEL

LuxTrust joue un rôle important dans la sensibilisation à la sécurité. «La sécurité est un sujet peu palpable», dit Pierre Zimmer. «Le travail de sensibilisation est complexe. Les défis principaux se situent au niveau des utilisateurs finaux qui n’ont souvent pas de connaissance suffisante pour sécuriser cor-rectement leur PC.» Or, l’e-commerce doit pouvoir proposer une solution maîtrisée.

LuxTrust, une question de confianceEn un peu plus de deux ans, LuxTrust SA a rencontré les ambitions de ses actionnaires en devenant un acteur incontournable du secteur économique luxembourgeois.

LuxTrust séduit, et il y a de quoi. Après avoir obtenu le statut de professionnel du secteur financier (PSF) en 2006, LuxTrust SA a lancé des produits et des services qui sont autant d’opportunités pour promouvoir, entre autres, le com-merce électronique au Luxembourg, après avoir mis en place une plate-forme de certification électronique par le biais d’une infrastructure à clé publique (ICP). La société compte, parmi ses actionnaires, notamment le gouvernement luxembourgeois et des acteurs majeurs du secteur privé luxembourgeois.

30 AVRIL 08


LE G

RA

ND

DO

SS

IER

Sécu

rité


De manière générale, la tendance chez les fournisseurs d’applications est de renforcer la sécurité chez les end users, notamment en ce qui concerne les risques inhérents à l’e-banking.

«Une solution de sécurité ne peut jamais prémunir les utilisateurs contre toute atta-que, mais il est indispensable d’avoir une bonne base pour pouvoir ajouter, le moment venu, d’autres types de protections contre de nouvelles attaques», dit Pierre Zimmer.

LuxTrust a mis en place et gère une infras-tructure Helpdesk, à même d’informer les utilisateurs de ses produits et services.

Le site internet (www.luxtrust.lu) centralise les relations avec les utilisateurs, afin de re-cueillir leur feedback via l’utilisation de FAQ régulièrement mises à jour.

PLATEFORME INTERNATIONALE

LuxTrust a une vocation internationale de-puis sa création. La société offre ainsi des certificats SSL et des certificats Objet répon-dant à des standards internationaux et qui permettent d’identifier des serveurs ou des sites Internet, ainsi que des applications ou des logiciels en ligne, envers des tiers.

LuxTrust développe aussi des solutions sur mesure, basées sur les spécifications four-nies par les clients. Par exemple, LuxTrust fournit la technologie utilisée pour l’émission des nouveaux passeports biométriques, munis d’une puce électronique sur lesquel-les les données du détenteur sont stockées. «On constate que certaines entreprises étrangères, établies dans la reconnaissance par biométrie, veulent venir au Luxembourg pour proposer des partenariats à LuxTrust», dit Raymond Faber.

De plus, grâce à la mise en place de l’in-frastructure à clé publique de LuxTrust S.A., les entreprises ont la possibilité d’implé-menter leurs propres solutions SSO (Single Sign-On) correspondant exactement à leurs besoins. Ainsi, dès à présent, LuxTrust per-met une utilisation sécurisée de la nouvelle application «PLDA - paperless douanes et accises» de l’Administration des Douanes et Accises, de procéder à la déclaration eTVA de l’Administration de l’Enregistrement, en-fin d’accéder à Multiline ou de bientôt pou-voir procéder au dépôt électronique auprès du Registre de Commerce et des Sociétés.

AVRIL 08 31



CASES, ou Cyberworld Awareness Secu-rity Enhancement Structure, est destiné à la transmission d’information sur la sécurité vers les utilisateurs finaux, ainsi qu’au suivi real time des menaces et des vulnérabilités. Le public-cible de CASES est multiple: enfants et citoyens, entreprises et administrations. Les PME sont aussi une cible importante des campagnes de sensibilisation car elles ont recours aux managed security services, à l’outsourcing, etc. Généralement, les plus grandes entreprises mettent en place des projets de sécurité suffisants pour se proté-ger notamment de l’espionnage industriel. «Souvent, les salariés au sein des PME nous disent ‘il n’y a rien sur ma machine, que des photos personnelles’, en omettant leurs docu-ments personnels, voire confidentiels comme leurs déclarations d’impôts, explique François

Thill, Chargé de mission au ministère de l’Eco-nomie et du Commerce extérieur. Les gens doivent comprendre que ces données sont très précieuses puisqu’elles peuvent être utilisées pour des vols d’identité par exemple.» Selon CASES, 45% des utilisateurs ont un antivirus ou un firewall qui ne fonctionne pas correctement. RÉDUIRE LE FOSSÉ

Depuis quatre ans, le but de CASES est de réduire la fracture numérique entre le pou-voir-faire technologique et le savoir-faire technologique. «Les connexions à large bande ne sont pas remises en question car elles sont devenues presque indispensables aux échanges actuels, dit François Thill. Par contre, leur sécurité n’est pas forcément suffisante.» Pointée du doigt : l’usurpation

d’identité, via la collecte d’informations sur la machine de l’utilisateur elle-même, ou un autre moyen. L’urgence de la situation est particulièrement palpable auprès de la jeune génération d’adolescents, dont la vie est baignée par l’utilisation de technolo-gies. Non formés aux risques et aux limites qu’une telle promiscuité impose, ils utilisent des chevaux de Troie sans en mesurer les conséquences. Par exemple, les sites web où l’on peut monter soi-même ses attaques abondent… Les méthodes de sensibilisation en matière de sécurité doivent être fine-tu-nées sans arrêt, ou les utilisateurs se las-sent vite de ce genre de méthodes. «Tout le monde s’expose sur internet via le chat ou Facebook. Par contre, la sécurité ne fait pas encore assez partie de notre culture», dit François Thill.

Warning : comportements à risquesCASES, projet d’envergure nationale pour la sensibilisation à la sécurité, mis en place par le ministère de l’Economie, est un des pions majeurs d’un réseau international de veille et de protection contre les hackers.

La sécurité est souvent ‘vendue’ comme un défi technique. Or, la technologie est une aide mais ne résout souvent pas le problème de fond. Le grand défi en matière de sécurité est comportemental, et non technique : il faut changer les habitudes. Certains utilisateurs sont plus regardants quant au type de pro-grammes installés, d’autres cliquent vite sur les popups sans réellement les lire… or les trojans, ou chevaux de Troie, utilisent souvent ce genre d’astuce pour s’installer sur les postes de travail.

32 AVRIL 08


LE G

RA

ND

DO

SS

IER

Sécu

rité


SENSIBILISATION INTELLIGENTE

S’inspirant des techniques de cyber crimi-nalité, CASES s’approprie les manières de fonctionner des hackers, en reposant sur un réseau de partage de connaissances. Les nouvelles tendances du hacking selon CASES sont les malwares qui visent à l’usur-pation d’identité, les blended threats de trojans et virus, l’espionnage industriel chez les PME, la disparition progressive des virus destructeurs et enfin, la professionnalisation des réseaux de cyber crime… Pour publier et diffuser ces informations, ainsi qu’un glos-saire, CASES utilise la newsletter et le site cases.lu. La newsletter cherche à promou-voir une culture simple via une utilisation lu-dique, pour éviter de faire peur ou de créer

une paranoïa. «Certains enfants utilisent le super bluetooth, un outil venu de l’est qui permet de craquer la sécurité des télépho-nes mobiles, déclare François Thill. Si les enfants ont de tels outils à leur disposition, que dire des pirates professionnels ?»

CASES permet aussi de réagir aux incidents, collabore avec la police grand-ducale pour la répression et enfin, agit au niveau de la normalisation. CASES est ainsi partenaire de l’OLAS (Office Luxembourgeois d’Accrédi-tation et de Surveillance), du SIGI (Syndicat Intercommunal de la Gestion Informatique), du CERT (Computer Emergency Response Team) gouvernemental, et suit de près la

volonté de l’ABBL de mettre en place un LERS (local emergency response structure). Enfin, au niveau international, CASES coopère de-puis plusieurs années de manière étroite avec la Suisse, la France et la Belgique car il existe différents types de malwares en fonction des types de réseaux, d’un pays à l’autre.

François Thill, Chargé de mission au ministère de l’Économie et du Commerce extérieur

AVRIL 08 33


Who needs expensive, proprietary virtualization software when, hey, you can get it free with open source Solaris.© 2007 Sun Microsystems, Inc. All rights reserved. All logos and trademarks are property of their respective owners.

L’IAM est de plus en plus important dans le secteur de la sécurité en raison de régle-mentations plus contraignantes comme SOX (Sarbanes-Oxley) et Bâle II. L’IAM est une approche intéressante pour développer plus rapidement les capacités du business, tout en consolidant les accès aux données. L’avantage majeur de la gestion d’identité est de pouvoir restructurer la façon dont les entreprises traitent leurs accès, en interne comme en externe. L’administration des différentes plateformes (ERP, Windows, mainframe…) est peu souvent centralisée au même endroit. Or, il faut pouvoir simplifier le traitement des départs et arrivées des utilisateurs, ainsi que leurs éventuels chan-gements de fonction.

«L’user provisioning passe par donner aux utilisateurs les outils nécessaires pour accéder, de manière évolutive et instinctive, aux ressources dont ils ont besoin, dit Marc Vanmaele. De plus, la centralisation des processus d’accès va de pair avec leur automatisation. La catégorisation des personnes se fait dans le Role Management. C’est cette catégorisation des utilisateurs a priori qui permet l’automatisation, pour un meilleur contrôle des accès. Les clients réfléchissent à leur sécurité aussi pour avoir plus de consistance entre leurs systèmes.»

PAS À PAS

SecurIT, intégrateur de système totalement investi dans le domaine de l’IAM, dispose d’une expertise dans la gestion des projets complexes tant du point de vue technique et technologique. «Nous changeons les rapports de pouvoir au sein des entrepri-ses, ce qui n’est pas à négliger», rappelle Marc Vanmaele. À partir des solutions d’IBM Tivoli Security, Secure IT a développé trois produits principaux : Role Manager, D-man et Trustbuilder. «L’Identity Management est essentiel dans la gestion des infrastructures eBusiness, car toute l’information est canalisée via cette plateforme», dit Marc Vanmaele. Une fois l’infrastructure ouverte à des utilisateurs externes, la sécurité doit être monitorée diffé-remment, pour assurer une disponibilité à 100%. Dans ce secteur, D-man est une solution de monitoring qui permet de gérer la complexité entre différents composants. Le D-man fonc-tionne comme un gatekeeper, afin de pouvoir accéder aux registres, au serveur web, aux applications, ainsi qu’aux composants firewall.

Enfin, Trustbuilder permet de répondre aux besoins d’authentification et d’autorisation. Trustbuilder peut supporter tout type d’authen-tification, comme le token, même en dehors des plateformes IBM. Trustbuilder est bâti sur des standards ouverts, tels XML et XSL, et est souvent utilisé dans le monde Java. Trustbuilder est capable de supporter un système élaboré avec une forte redondance, afin de gérer un million de logs par jour.

//// AUPRÈS DE LUXTRUST ////

Au Luxembourg, SecurIT est

actif dans le projet LuxTrust via le

développement d’une plateforme

de validation des smartcards et

des certificats sur Trustbuilder.

Contrairement aux certificats

dont le contrôle est effectué via

la signature donnée par LuxTrust,

les smartcards sont vérifiées sur

des listes noires, soit online via

un protocole de standardisation

défini par LuxTrust, soit offline en

téléchargeant des listes mises à

jour régulièrement. «Tout dépend

du degré de sécurité voulu et de

l’importance de la transaction,

dit Marc Vanmaele. Or, parfois la

connexion elle-même fait défaut.

Une institution financière peut-elle

refuser de valider la demande si

elle ne peut accéder aux données

désirées ?»

Je danse le IAMÀ la différence des firewalls et des antivirus, les solutions Identity and Access Management peuvent contribuer directement à l’amélioration du business.

Créée en 1999, la société SecurIT, développeur de logiciels et intégrateur de solutions dans l’IAM d’IBM, s’est concentrée sur un domaine encore neuf de la sécurité : l’Identity and Access Management. «Au lieu de nous concentrer sur ‘keeping the bad guys out’, on a préféré l’approche ‘let the good guys in’», résume Marc Vanmaele, CEO de SecurIT.


34 AVRIL 08

LE G

RA

ND

DO

SS

IER

Sécu

rité


Who needs expensive, proprietary virtualization software when, hey, you can get it free with open source Solaris.© 2007 Sun Microsystems, Inc. All rights reserved. All logos and trademarks are property of their respective owners.


L’INFORMATIQUE MONTRE LA VOIE

Fort de ces conclusions, il ne fait aucun doute que, dans les années à venir, l’amélio-ration des procédures internes de sécurité et l’alignement des dépenses liées à la sécurité sur les objectifs économiques incomberont à la Direction informatique. La tendance a d’ailleurs été amorcée : les résultats de l’enquête1 montrent que la majorité (65%) des budgets dédiés à la sécurité informa-tique proviennent désormais directement du service informatique, contre seulement 48% en 2006. Parallèlement on constate une diminution des budgets consacrés par les autres départements à la sécurité informatique, notamment les budgets des départements Compliance (9% en 2007 contre 18% en 2006), Finance (15% en 2007 contre 19% en 2006) et ceux d’autres secteurs d’activité (4% en 2007 contre 18% en 2006).

UN MANQUE D’ADÉQUATION

On note également qu’à l’heure actuelle, il existe un décalage entre les dépenses en ma-tière de sécurité et les objectifs commerciaux tels qu’ils sont perçus dans les entreprises. Enfi n, même si le respect de la réglementation semble avoir donné lieu à une augmentation importante des dépenses de sécurité, le lien entre sécurité – que ce soit par l’intermé-diaire de la structure de l’organisation ou par le biais de la politique en matière de sécurité - et confi dentialité des informations et/ou respect de la réglementation reste diffi cile à établir au sein des structures concernées.

De plus, les CEO, CIO et CISO ne sont pas d’accord quant aux priorités à établir et aux dépenses à effectuer dans ce domaine. Ain-si, pour ce qui est des dépenses, les CEO et les CIO accordent la priorité à la planifi cation de la continuité des affaires et aux plans de secours en cas de sinistre, alors que les CISO privilégient le respect de la réglementation.

Global State of IT SecurityLes entreprises du monde entier investissent dans les infrastructures informatiques, mais restent à la traîne en matière de mise en œuvre, d’évaluation et d’examen des politiques liées à la sécurité et à la confi dentialité des informations transmises. Voici l’une des conclusions d’une étude PricewaterhouseCoopers avec les magazines CIO et CSO.

La majorité des entreprises disposent d’un Directeur de la Sécurité Informatique (DSI) ou d’un RSSI (soit 60% en 2007 contre 43% en 2006) et d’une politique de sécurité (57% contre 37% y-o-y). Et si elles ont réalisé d’importants investissements dans les dispositifs tels que les pare-feux (88%), la sauvegarde des données (82%), les mots de passe utilisateurs (80%) et les logiciels de type anti-Spyware (80%), le temps consacré à la mise en œuvre de mesures concrètes reste très limité. Preuve en est : une majorité d’entreprises déclarent ne jamais se soumettre à un audit ou ne jamais surveiller le respect des politiques de sécurité.

Par Philippe Pierre, Associé, PricewaterhouseCoopers Luxembourg

La Global State of Information Security Survey 2007 est disponible sur www.pwc.com/giss2007

36 AVRIL 08


LE G

RA

ND

DO

SS

IER

Sécu

rité


LA SOURCE DE DÉFAILLANCE : LES EMPLOYÉS

Autre fait marquant : 69% des employés et anciens employés sont la source la plus probable d’atteintes à la sécurité, devant les pirates informatiques (41%). Ce premier chiffre est en nette augmentation, puisqu’en 2005, à peine 33% des personnes interrogées estimaient que les employés représentaient un risque en matière de sécurité informatique (contre 63% pour les pirates informatiques). Ces atteintes prennent principalement la forme d’e-mails et de détournements de comptes utilisateurs. Pourtant, à peine la moitié (52%) utilisent des dispositifs de sécurité informatique directement liés aux personnes. De simples précautions telles que le contrôle des antécédents des employés, le contrôle de l’utilisation qu’ils font d’Internet et des données de la société et la mise en œuvre de programmes de sensibilisation aux procédures et politiques internes restent peu

répandues. En outre, la majorité des person-nes interrogées ne disposent toujours pas d’une stratégie de gestion de l’identité.

Ainsi, tout porte à croire que pour la première fois, les salariés sont la première source de faiblesses potentielles dans les politiques de sécurité des informations. Une faiblesse qui pourra se résoudre par une sensibili sation et un programme de formation adéquat en interne ainsi que par la mise en œuvre de dispositifs de sécurité plus performants et adaptés.

Par ailleurs, l’une des tendances actuelles est de mutualiser l’usage des ressources par le déploiement de serveurs d’applica-tions (AppliDis de Systancia, Citrix, TSE…). En s’appuyant sur ces technologies, SSOX propose des solutions spécifiques de mobi-lité, qui permettent aux utilisateurs de passer rapidement d’un poste à l’autre ou de gérer

plusieurs postes de travail. En particulier, le mode kiosque associé à un serveur AppliDis permet à un utilisateur de bénéficier de l’itiné-rance complète d’applications, virtuellement sans aucune rupture de son activité car une session ouverte sur un poste «suit» l’utilisa-teur de poste en poste. SSOX est une solu-tion ouverte aux standards de l’industrie, ce

qui permet notamment d’agréger des outils déjà en place dans l’entreprise (comme les solutions de mots de passe dynamiques – OTP). La solution est évolutive car elle peut être déployée par phases et par périmètres concentriques, en termes de nombre d’uti-lisateurs, de technologies d’authentification et de couverture fonctionnelle.

Le SSO, une solution mobile…Avencis, fournisseur de solution Single Sign-On, propose une solution d’auto-dépannage pour minimiser les conséquences en cas de problème d’accès.

Lorsqu’une entreprise déploie une solution de Single Sign-On (SSO), elle cherche à optimiser l’usage de ses ressources et augmenter la productivité de ses équipes. Le SSO permet de s’authentifier une fois pour toutes. Les applications vérifient, de manière transparente et via le SSO, que l’utilisateur ait bien les privilèges nécessaires pour accéder Dans cette optique, Avencis, fournisseur de solutions de sécurité et d'authentification, a développé l’autodépannage pour permettre de laisser une autonomie contrôlée aux utilisateurs afin, d’une part, de minimiser le temps pendant lequel ils sont bloqués et, d’autre part, ne pas mobiliser des ressources comme les cellules de support qui peuvent être affectées à des tâches plus complexes.

////////////////////////////////////////////////////////////////////////////////////////////

AVRIL 08 37



«Chaque employé constitue une brique dans le bouclier contre les hackers», explique Daniel Soriano, Sales Department Manager, Consulting & Engineering Services chez Telindus. «Les entreprises veulent utiliser des solutions pour diminuer le risque posé par le facteur humain, explique Jean-Pierre Henderyckx, Department Manager, Network & Security Solutions, Consulting & Sales chez Telindus. Il faut agir en amont du réseau pour protéger correctement les outils et scanner le matériel avant de l’intégrer au système interne. Nous devons, progressivement, mettre ensemble les Unified Communica-tions et la sécurité.»

TESTS ET DÉTECTIONS BOOSTÉS

«Au niveau des applications, parfois, la fonctionnalité de l’application prime sur les contrôles sécurité implémentés, explique Daniel Soriano. De nouvelles techniques per-mettent aujourd’hui d’analyser entièrement, d’un point de vue sécurité, le code source de ces applications, afin de détecter les me-naces présentes.» Il est tout aussi probable de détecter des erreurs de programmation (bugs permettant un buffer overflow,…) que des menaces plus ou moins volontaires (chevaux de Troie, backdoors,…). «La revue de code sécurisé présente un bon complé-

ment au test d’intrusion, explique Daniel Soriano. Elle peut être lancée alors que le développement n’est pas encore finalisé et mettre en évidence des éléments imper-ceptibles de l’extérieur.» La CSSF préconise que les sites web transactionnels soient tes-tés après chaque mise à jour majeure. «Par rapport à la norme ISO/IEC 27001:2005, le Luxembourg est un peu en retard par rap-port à d’autres pays, dit Daniel Soriano. À l’heure actuelle, une seule entreprise est certifiée ISO 27001… alors que plus de 200 entreprises ont décroché l’ISO 9000, qui date, il est vrai, de 1987.»

PATCHER «À LA VOLÉE»

Enfin, la multiplicité et la diversité des appli-cations présentes dans les environnements physiques et virtuels rendent difficile, voir impossible, l’application de la totalité des patchs sécurité proposés par les éditeurs. «Il existe des solutions innovantes IPP (Inline Patch Proxy) permettant de patcher les flux ‘à la volée’ et donc de pouvoir consolider les fenêtres de maintenance sur des cycles plus espacés», indique Jean-Pierre Henderyckx.

Jeu, set et patchAprès huit ans de tests d’intrusion et la mise en place de nombreuses infrastructures sécurité, Telindus constate que les entreprises luxembourgeoises sont généralement bien protégées contre les agressions externes.

Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Se-lon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au ni-veau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par l’intégrateur vont dans le même sens : les risques sont moindres de voir les menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité de ses clients, Telindus place les priorités à deux niveaux : les individus et les applications.


38 AVRIL 08

LE G

RA

ND

DO

SS

IER

Sécu

rité


Daniel Soriano, Sales Department Manager Consulting & Engineering Services chez Telindus

AVRIL 08 39


Une nouvelle approche a été établie à l’initia-tive de l’International Organization for Stan-dardization (ISO) au travers de la famille de normes ISO 2700x, qui ont succédé à celles de 1995 de la British Standards Institution. L’automne 2005 a vu naître la norme ISO/IEC 27001:2005. Cette norme est en fait un document traitant des Systèmes de Mana-gement de la Sécurité Informatique (SMSI). En annexe A de la norme sont énumérées 133 mesures de sécurité. Ces mesures sont toutes obligatoires, toutefois la norme envisage la possibilité d’écarter certains contrôles et autorise l’extension des mesu-res. L’ISO a ainsi pris soin de laisser la porte ouverte à une certification facultative.

ALLO L’OLAS

Il existe un organisme accréditeur (l’OLAS à Luxembourg) unique dans chaque pays, lequel accrédite des organismes en vue de pouvoir certifier d’autres organisations. Ces certifications, limitées dans le temps, ont un poids identique pour tout pays : une organisation certifiée au Canada est à même de certifier un organisme au Grand-Duché. De même, il existe des auditeurs certifiés par ces organismes, capables d’effectuer des missions de contrôle (certification ISO 27001 Lead Auditor).

Un cadre normatif de la sécurité informatique apporte une sécurité accrue par son cycle d’amélioration continue, une gestion davan-tage maîtrisée des risques, une harmonisa-tion par la création d’un langage commun, une approche commune de l’audit, ainsi que la rationalisation des contrôles et donc les économies résultantes. La norme est d’un intérêt majeur pour Luxembourg et en particulier pour les professionnels du secteur financier qui se doivent d’agir comme l’impo-sent la circulaire CSSF 05/178 et la loi Mifid.

CLIMAT CONFIANT

La norme décrit un certain nombre d’exigen-ces en vue de mettre en place, d’exploiter et d’améliorer un SMSI (qui se doit d’être docu-menté) et donc in fine d’établir des mesures adaptées à l’organisation concernée en vue de protéger ses actifs (assets) et par consé-quence d’établir un climat de confiance pour toutes les parties prenantes (stakeholders). Cependant, la norme n’impose pas que l’établissement d’un SMSI vise également à conserver et à faire évoluer certains inté-rêts stratégiques de l’organisation, tels sa profitabilité ou bien son image de marque. Si ces finalités ne sont pas exigées, elles sont certainement une des heureuses consé-quences de la mise en place d’un SMSI.

Le système de mana-gement doit établir une politique de sécurité validée et supportée par le management, mise en place par des mesures techniques et organisation-nelles ainsi que définir des objectifs, les atteindre, les maintenir et surtout pouvoir les améliorer (et donc pouvoir faire l’objet d’audits réguliers). Le cœur de la norme exige la mise en place d’un modèle d’activités du type cycle de Deming, illustré par l’approche Plan-Do-Check-Act bien connue des spécialistes de la qualité. Au final, l’implémentation de la norme ISO 27001:2005 donne une forme raisonnable de confiance, syno-nyme d’un possible accroissement du business.

ISO : lifting sous contrôleConsidérée souvent à tort comme allant de soi, voire sans intérêt et, surtout, coûteuse, la sécurité informatique prend un coup de jeune sous l’effet d’une normalisation strictement encadrée.

La conclusion est connue depuis plus de 2500 ans : «L'épaisseur d'un rem-part compte moins que la volonté de le défendre», selon Thucydide, l'auteur de la Guerre du Péloponnèse. De l’avis unanime de la profession, la sécurité informatique est l’activité la moins exaltante qu’il puisse exister. Cette prati-que a bien évolué récemment pour suivre, comme bien d’autres, la voie de la normalisation. Tendance nouvelle, la normalisation souligne l’implication du management et de l’ensemble des acteurs des organisations qui décident de s’approprier le sujet.


40 AVRIL 08

LE G

RA

ND

DO

SS

IER

Sécu

rité


Christophe Burtin, Independent Information Technology and Services Professional à Luxembourg


AVRIL 08 41


En fait, la vulnérabilité peut cohabiter avec la menace sans causer de dommages. Le tout est d’adapter le niveau de prévention aux be-soins de l’entreprise. «Quand on démarre un projet sécurité et qu’on arrive avec ses gros-ses valises, les utilisateurs pensent ‘oh non, pas eux’, explique Jérôme Jacob. Pour faire adhérer les utilisateurs, il faut qu’ils soient au centre du projet.» Et le rôle du responsable de la sécurité (RSSI) est tant relationnel que technique. «On s’appuie sur l’expérience des gens pour établir un état d’esprit», dit Jérôme Jacob. Après avoir défini la meilleure approche et «périmétré» ce qui doit être pro-tégé, les politiques sont traduites en gestes quotidiens pour les utilisateurs. «Le suivi des procédures est assuré par un quizz qui sert aussi de feedback à l’incident manager», explique Jérôme Jacob.

PREVENTION OU DÉTECTION ?

Le métier de RSSI est encore souvent un métier de l’ombre, dont les utilisateurs ne perçoivent la portée qu’en cas de problème. Or, le RSSI a un rôle essentiel de veille. «Il faut sans cesse améliorer ses connaissances et sa réactivité, faire du benchmarking pour suivre l’évolution des menaces, profiter de l’expertise d’un réseau comme le Clussil, explique Jérôme Jacob. Beaucoup de gens font encore dans la détection et pas assez

dans la prévention.» Un métier ingrat ? «Tous les jours, il y a de nouvelles menaces, et tous les jours, un utilisateur peste contre une nouvelle politique, dit Jérôme Jacob. L’important est donc de gérer le changement permanent tout en correspondant aux investissements, souvent importants, réalisés dans le domaine de la sécurité.» Depuis 2001, les grandes entreprises ont en effet investi beaucoup plus, créant un mouvement général d’ «ultra-sécurité».

INACCESSIBLE RISQUE ZÉRO

L’audit est devenu central pour gérer une politique de sécurité efficace, par exemple via la norme ISO 27.001 comme «un fil à suivre pour évaluer le niveau de vulnérabi-lité», explique Jérôme Jacob. Le Business Impact Analysis (BIA) permet d’assurer la continuité du business en mettant chaque élément sous contrôle et en le mesurant. «On ne peut pas faire de la sécurité informa-tique sans analyse et sans BIA, qui sont de bonnes bases pour la suite», estime Jérôme Jacob. Et la suite implique de savoir gérer les sensibilités humaines, dont les accès… La réactivité des utilisateurs, de même que leur sensibilisation au secret, deviennent essentielles par rapport au «mal nécessaire» qu’est la sécurité.

Sécurité : au revoir le maillon faible…La stratégie de sécurité doit être calquée sur la stratégie globale de l’entreprise, selon Sogeti. L’expérience de l’utilisateur inspire les politiques de sécurité réussies.

Souvent, le collaborateur est un risque latent pour l’entreprise… un maillon fort ou un maillon faible. «Les entreprises ne réfléchissent pas assez à leur gestion de personnel, explique Jérôme Jacob, expert sécurité chez Sogeti. Les mena-ces ne sont maîtrisées que quand la sécurité prend en compte tous les aspects qui concernent les utilisateurs.»


42 AVRIL 08

LE G

RA

ND

DO

SS

IER

Sécu

rité


Jérôme Jacob, expert sécurité chez Sogeti

AVRIL 08 43


D’abord, il importe d’avoir sous contrôle ce qui se passe dans l’entreprise via la gestion des logs, qui permet de tracer l’historique des activités des utilisateurs et de le comparer ensuite avec les politiques de sécurité en vigueur. L’idéal est que les langages des données soient les plus semblables possibles et correspondent donc à des normes. «Le grand avantage de Consul est que le langage n’est pas technique mais rédigé en W7 : who, did what, when, where, from where, how, and why, explique Michael Cable. Tous les rapports tirés de l’analyse des données sont mis dans un langage unique, compréhensible par le business et l’audit.» Comme par exemple, la comparaison avec les règles émises par la CSSF, SOX, les normes ISO, CobiT, PKI…

APRÈS LES VIRUS…

Si les auditeurs et le business s’accordent à réduire les incidents, le plus difficile demeure la définition du niveau d’accès des utilisateurs, qui ne peut en aucun cas les empêcher… de travailler. En plus de gérer la traçabilité, l’outil doit pouvoir aussi déterminer si l’usage des données est approprié. «On a rajouté de l’in-telligence dans TCIM, dit Michael Cable. Les utilisateurs de la solution peuvent déterminer la cause de l’incident et prendre les mesu-res pour qu’il ne se produise plus. TCIM les assiste dans le processus de détection et d’investigation.» Par exemple, un utilisateur dont les logs successifs sur un programme spécifique ont été ensuite suivis par un «clear log», peut devenir un suspect aux yeux de l’audit. «En cas de doute, la spreadsheet peut être imprimée et apportée au manager pour analyse», dit Michael Cable. Pour éviter la fraude, TCIM peut être fine-tunée sur les applications choisies par le business. «L’épo-que des virus destructeurs est révolue, estime Michael Cable. Il faut des solutions précises pour répondre à des attaques ciblées.»

LE RISQUE, AU QUOTIDIEN

«Certaines sociétés ont atteint le niveau où l’information importante est transmise aux auditeurs en temps réel, comme le veut la norme Bâle II, explique Pierre Noël, Worldwide Risk Management & Information Security Evangelist chez IBM. Le niveau suivant voit la sécurité divisée en deux parties. D’un côté, l’informatique pure, et de l’autre, ceux qui regardent ce qui se passe en termes d’incidents,… La sécurité fait de plus en plus partie du quotidien de ces personnes, qui gèrent le risque opérationnel. Au Luxembourg, la plupart des sociétés financières ont l’approche adéquate, même si souvent, les RSSI ne possèdent pas tous les outils nécessaires pour collecter les informations. Par exemple, leur connaissance du nombre d’incidents à un temps t est mauvaise. Or, ces informations sont déterminantes pour le CFO, le CIO, voire le conseil d’administration. La sécurité va être le reflet des nouveaux besoins de l’entreprise, traduits en politiques claires.»

*libérer votre potentiel

Établi depuis 30 ans sur les prin-cipaux marchés d’Europe, Logicaprend en compte votre ancragenational et vos caractéristiquesmulticulturelles pour vous accom-

pagner dans vos projets d’expansion internationaux.Logica, des racines européennes, 39 000 consultants et ingénieurs dans le monde.

www.logica.com/france

CONSEIL - INTÉGRATION DE SYSTÈMES - OUTSOURCING

UNILOGdevient

LOGICA

Et si notre ouverture multiculturellepermettait à votre entreprise de s’épanouir à l’international ?

La sécurité devient matureLa traçabilité des accès est essentielle pour l’audit en regard des conformités mais se révèle de plus en plus complexe, sans centralisation de l’information.

En plus de ses solutions d’Identity et d’Access Management (IAM), IBM propose Tivoli Compliance Insight Manager (TCIM), acquis via la société Consul. TCIM permet de surveiller l’activité des utilisateurs sur le système, notamment via la solution SEM (Security Event Manager). Une fois qu’un utilisateur externe ou un consultant (notamment en cas d’externalisation de certains services) est sur le système, ces personnes qui font plus ou moins partie du réseau doivent être identifiées. «Il y a encore beaucoup d’impunité car le comportement des utilisateurs n’est pas assez surveillé, explique Michael Cable, Tivoli Security Audit & Compliance Sales Leader chez IBM. Neuf incidents internes sur 10 sont commis par des utilisateurs privilégiés. Il suffirait donc de mieux surveiller les 10% restants pour diviser par 10 le nombre des attaques.»


44 AVRIL 08

LE G

RA

ND

DO

SSI

ERSé

curit

é


*libérer votre potentiel

Établi depuis 30 ans sur les prin-cipaux marchés d’Europe, Logicaprend en compte votre ancragenational et vos caractéristiquesmulticulturelles pour vous accom-

pagner dans vos projets d’expansion internationaux.Logica, des racines européennes, 39 000 consultants et ingénieurs dans le monde.

www.logica.com/france

CONSEIL - INTÉGRATION DE SYSTÈMES - OUTSOURCING

UNILOGdevient

LOGICA

Et si notre ouverture multiculturellepermettait à votre entreprise de s’épanouir à l’international ?


MADE IN INDIA

Accenture accompagne, conseille et suit le client dans l’implémentation du projet, ce qui permet de définir un ROI clair et s’appuyer sur des ressources étendues. Les compétences sont donc aussi fournies via le canal de l’outsourcing : il y a six mois, le nombre d’employés indiens d’Accenture a dépassé le nombre d’employés américains, atteignant aujourd’hui 47.000 personnes. «Ces ressources peuvent aider à mettre en œuvre un projet de manière rapide et faire du testing, explique Philippe Bovy. La mise en place d’un projet de gestion des identités et des accès révèle les failles d’autres processus. Un projet business peut être mis en attente le temps de définir les priorités… mais les contraintes de temps poussent à régler le problème rapidement.» À l’heure actuelle, Accenture dispose en Inde d’un «pool» de 120 personnes entièrement dédiées à la sécurité, en plus de 250 spécialistes basés en Europe.

VISION D’ENSEMBLE

Accenture veut aussi apporter son expertise au niveau de la structuration des projets d’IAM. «Trop souvent, l’IAM demeure focalisé sur les contraintes technologiques, avec le business qui n’intervient qu’à la fin, explique Philippe Bovy. Les rôles et les profils des utilisateurs sont définis trop tard. Il faut du recul pour comprendre le business et avoir les différents leviers en main pour adapter la technique à ce que les managers souhaitent.» Cette approche «holistique» permet aussi de faire le lien avec d’autres projets en cours. De nouvelles applications appellent de nouvelles fonctionnalités et de nouvelles ressources. «Par exemple, les projets de PC banking doivent être alliés, à coup sûr, aux projets d’IAM», explique Karim Leziar.

«Pour les banques par exemple, l’IAM n’est pas le seul levier au niveau de la sécurité, explique Philippe Bovy. La segmentation des réseaux résulte en des accès plus res-treints pour les utilisateurs.» La gestion des accès pousse à définir les priorités. «L’IAM a amené plus d’expertise, ou révélé d’autres expertises dans d’autres domaines», estime Karim Leziar. C’est pourquoi la sécurité ne peut s’envisager sans prendre en compte le business dans son ensemble. «En faisant un inventaire des assets, on a découvert que 80% des utilisateurs n’ont besoin que d’un nombre réduit d’applications, dit Phi-lippe Bovy. On a donc simplifié leurs accès pour diminuer les risques de mégardes, volontaires ou non. Cela permet d’améliorer le contexte global au niveau de l’entreprise. Le core design d’une solution d’IAM, c’est une cascade d’informations.»

World Wide SecurityAvec son expérience en consulting, en outsourcing, et en intégration de systèmes et de technologies, Accenture dispose d’une approche globale de la sécurité. La performance business doit prendre en compte des contraintes techniques mais surtout 80% de compétences organisationnelles…

«Il y a une demande émergente au Luxembourg pour l’IAM, dit Karim Leziar, Manager, System Integration & Technology chez Accenture. Les entreprises sont poussées à adopter un IAM pour être conformes, et cela suppose une restructuration importante.» La problématique commence tôt pour l’entreprise : définir les rôles et aligner les processus des besoins internes. Un projet IAM peut ainsi passer par une restructuration des processus business, telle la mise en place d’une SOA (architecture orientée services). La gestion des identités et des accès vient derrière la SOA pour gérer les ressources auxquelles les applications ont accès. «L’IAM s’inscrit dans le concept de SOA, explique Philippe Bovy, Senior Manager, Systems Integration & Consulting chez Accenture. Si le projet est mal géré, les accès seront mal gérés. Il faut une solution robuste.»

46 AVRIL 08


LE G

RA

ND

DO

SSI

ERSé

curit

é


Vasco est désormais capable d'offrir et sup-porter toutes les technologies d'authentifi-cation avec une offre de produits regroupant des mots de passe dynamiques uniques et signatures électroniques (OTP - la famille de produits Digipass), les certificats / PKI (produits USB, cartes à puces, etc), les tech-nologies de mots de passe (sessions Q&A, listes TAN & Scratch, cartes Matrix, etc.) ou la biométrie en fonction de l'évolution du marché. Les clients pourront dès lors migrer

aisément d'une technologie d'authentifica-tion Vasco à une autre. Le Digipass est un élément d'authentification forte et de signa-ture électronique des utilisateurs, qui com-bine un ensemble de fonctionnalités, sur une large variété de plateformes. En termes de logiciels, Vasco a développé un partenariat de premier plan avec LuxTrust.

Parmi les solutions de Vasco, le Vacman combine toutes les technologies d’authen-

tification sur une seule et même plateforme. La suite de produits Vacman (le Controller et le Middleware) facilite l'intégration des Digipass d'authentification forte dans les applications de sécurité. Ensuite, l’Iden-tikey, serveur d'authentification, combine Vacman avec la totalité des fonctionnalités de serveur. Enfin, Vasco dispose d’aXsGuard Unified Threat Management, une appliance d'authentification.

Vasco étend son offre d’authentificationVasco, fournisseur de programmes de sécurité et spécialisée en produits d'authentification forte, développe de nouveaux produits pour le marché bancaire et adresse aussi d’autres secteurs.

Dans le cas d’une crise liée à une catas-trophe comme une panne ou un incendie par exemple, les utilisateurs doivent rester en contact avec le RSSI (Responsable de la Sécurité des Services d’Information). Des messages courts mais explicites sont envoyés à un groupe de personnes. En fonction des critères définis avec M-Plify, une seconde vague de messages est en-voyée pour faire le point de la situation

auprès des personnes alertées. Alarm Tilt automatise les communications ; si les personnes ne répondent pas, la solution génère des appels en cascade, sur des devices différents, via des moyens différents, voire à des personnes différentes.

En six mois d’installation, notamment au Centre Informatique de l’Etat, la solution n’a jamais mis plus de 9 minutes à alerter les bonnes personnes. Alarm Tilt Business Continuity est connectée aux systèmes de sécurité, qui combinent la sécurité à l’alerte, dispatchée via la solution automatisée. Alarm Tilt peut aussi servir de connectivity as a service, déclenchant une alerte en cas de problème de connexion.

Alerting : faire «tilt»En cas de catastrophe naturelle ou d’incendie, la communication entre les acteurs en temps réel est de première importance. Qui va sur les lieux ? Avec quel matériel ? Autant de questions qui peuvent être gérées de manière centralisée.

La solution Alarm Tilt de la société luxembourgeoise M-Plify structure les communications en cas de crise et ce, de manière horizontale, afin que tous les acteurs soient tenus au courant, en même temps, de l’état d’avancement de la réponse à la crise. «Ce n’est pas tant du unified messaging que du dispatching, explique Alex Alexandrino, Head of Sales chez M-Plify. Nos clients sont très forts dans le développement de solutions IT mais pas dans le domaine des Télécoms. Nous leur apportons cette plus-value.»

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


AVRIL 08 47


Si l’Access Management fait bien par-tie des politiques de sécurité, l’Identity Management y est encore trop peu combi-né. «Bien souvent, l’IAM est vu comme une solution unique, alors que gérer les accès et les identités ne se fait pas de la même manière, explique Sébastien Stormacq, Senior Software Architect chez Sun Micro-systems. Souvent d’ailleurs, les projets viennent de départements différents. D’un côté, l’IT ou la sécurité de l’IT voudra mettre en place une gestion des accès, afin de cadrer avec la gestion des applications. D’un autre côté, les ressources humaines, l’audit ou le management mettront plus l’accent sur la gestion des identités.»

«Les entreprises devraient vite voir les avan-tages à combiner la gestion des identités et des accès au sein d’un même projet. Souvent, les impulsions viennent de dépar-tements différents, et les projets prennent parfois des chemins différents, dit Sébastien Stormacq. Même les solutions peuvent être de différents éditeurs. Mais le plus important est que l’IT et l’audit se rapprochent, afin de renforcer la sécurité globale de l’entreprise.» Au niveau du provisioning par exemple, les privilèges des utilisateurs sont souvent bien définis lors de leur entrée dans l’entreprise. Par contre, le de-provisioning, qui annule ou redéfinit les accès des privilèges utilisateurs,

fait souvent défaut. «De nombreuses institu-tions financières de la Place ont lancé des projets IAM. Mais parfois, le de-provisioning n’est pas en place, ce qui pose des risques évidents en matière de sécurité.»

GÉRER L’HÉTÉROGÉNÉITÉ

Ainsi, mettre en place un projet de gestion des identités n’est intéressant que si cela permet de clarifier la gouvernance et de mieux contrôler l’ensemble des systèmes. «Quelqu’un doit être responsable du projet, dit Sébastien Stormacq. On en revient toujours aux problèmes (singulier ?) d’accepta-tion par les utilisateurs. Pour simplifier la mise en place de projets IAM, mieux vaut séparer les rôles. Les applications et les politiques de sécurité doivent être gérées par des personnes différentes. Par exemple, le responsable de la sécurité des systèmes d’information (RSSI) doit pouvoir changer une politique de sécurité dans l’Access Management sans l’aide du dé-veloppeur.» Cette approche permet également de mettre en place des politiques de sécurité plus souples. Avec la mise en place d’une solution d’Access Management, les moyens d’authentification (one-time password (OTP), certificat, username,…) sont donc conservés dans les mains du RSSI, qui peut aussi gérer l’évolution de la solution sans devoir toucher aux applications elles-mêmes.

Au final, cela dépend avant tout de la ma-turité du système IT. «Les organisations qui accumulent progressivement des centaines d’applications se retrouvent avec un univers IT fait de silos hétérogènes, avec leur liste d’accréditation, leurs mots de passe et leur sécurité, dit Sébastien Stormacq. Les ad-ministrateurs doivent alors créer des comp-tes différents pour, par exemple, Windows, le mainframe, l’email,… Imaginez devoir ef-facer 17 comptes lors du départ d’un utili-sateur, simplement car la gestion n’est pas centralisée !»

S’ADAPTER À L’EXISTANT

L’IAM ajoute une «couche transversale» de sécurité sur l’ensemble des produits chez Sun. Pour l’Access Management, Sun pro-pose une solution de Single Sign-On open source. «Le SSO permet surtout de rendre la vie de l’utilisateur plus simple, explique Sébastien Sormacq. Les applications vé-rifient l’accès une fois pour toutes, le mot de passe est unique et donc plus simple à retenir. Cela renforce aussi la sécurité et al-lègent le volume des données à stocker.»

Un projet IAM peut en cacher un autreGérer les accès, ok… et les identités ? Combiner les deux approches permet de renforcer la sécurité globale de l’entreprise, selon Sun.

Pour toute entreprise, et face à l’explosion du volume d’informations et l’évolution des techniques de communications, la sécurité doit concerner autant les aspects externes (réseaux, etc.) qu’internes (les utilisateurs eux-mêmes). Que faire si un utilisateur quitte l’entreprise ou change de rôle dans la structure ? Un auditeur devenu trader devrait-il continuer à bénéficier des mêmes accès alors que son rôle a changé ?


48 AVRIL 08

LE G

RA

ND

DO

SSI

ERSé

curit

é


Wouter Mariën, Country Manager de Symantec Belux

«La sécurité a atteint un niveau supérieur, ex-plique Wouter Mariën, Country Pre-Sales Ma-nager Benelux chez Symantec. Auparavant, on éliminait tout risque. A présent, cette sécu-rité 2.0 permet d’équilibrer le risque et l’oppor-tunité. Si le business vient avec un nouveau projet, il ne s’agit plus de refuser, il faut trouver un compromis.» La sécurité fait de plus en plus partie des processus business et implique de l’automatisation et de la standardisation. De manière générale, la sécurité évolue vers l’end-point security pour éviter la fuite d’informations sensibles. «Il ne s’agit pas tant de se focaliser sur le poste de travail de l’utilisateur que sur l’in-formation elle-même», estime Wouter Mariën.

SOLUTION ALL-IN-ONE

L’Enterprise Security Management and Compliance Suite aide à mesurer le contrô-le technique, les serveurs… A partir de ce cœur de compétences, la solution est adap-table aux besoins de l’entreprise. La vision de Symantec de la sécurité est d’intégrer le plus de technologies possible dans un seul security client. La solution tout en un com-prend l’antivirus, l’antispyware, le device control (pour bluetooth ou USB),… La sécu-rité peut ainsi se concentrer sur la base de données, pour en définir et surveiller les flux. Par exemple, une vingtaine de numéros de

cartes de crédit qui sortent en même temps : est-ce normal? Les solutions de Syman-tec en la matière intègrent de l’intelligence : captage de ce qui se passe, nature des malwares, des attaques,… La mise à jour se fait en temps quasi réel, les failles de sécu-rité sont contrôlées de manière automatique. Le module permet de garder la main sur le cycle de vie du document et de faire du full back-up chaque semaine. Enfin, début avril, Symantec a lancé un module d’encryption du disque dur. En cas de perte ou de vol, les risques sont donc minimisés…

Un end-point c’est toutDes devices mal protégés ? La mobilité implique beaucoup de risques mais est devenue essentielle à de nombreux business. L’end-point security est l’une des solutions.

Symantec focalise ses solutions end-point sur la haute disponibilité de l’information. Or, le périmètre à protéger n’est plus limité à l’informatique mais aux personnes elles-mêmes. Le volume de l’information a explosé, le risque est donc de voir ces données sortir de l’entreprise. Tout cela remet en question l’approche des entreprises par rapport aux risques qu’elles prennent.

Symantec a présenté ses solutions lors de la conférence sur la sécurité

organisée par ITnewsslides : [email protected]


AVRIL 08 49


«Lors du 1er Internet Security Day, le 26 mars 2007, LuxTrust prédisait le lancement de «spin-off in security business» comme conséquence de la mise en place des infrastructures de sécurité numérique, explique Dominique Duthilleul, Business Development Manager chez Zeropiu. Outre la présence importante d’institutions finan-cières, ce contexte prometteur a rendu le Luxembourg particulièrement attractif pour le développement de l’IAM. Il ne fallait cependant pas s’attendre à une déferlante. Culturellement, certains pays comme la Norvège sont à l’avant-garde et ont mis en place des mécanismes de fédération d’identité et de SSO entre leurs différents portails à destination des citoyens. Le Luxembourg adopte une approche résolue mais prudente avec le lancement, en janvier dernier, de la signature électronique dans les applications en ligne, dans le contexte de l’eGovernment, qui va dynamiser le mar-ché public et parapublic.»

«La pierre angulaire ainsi posée, il reste à restructurer la gestion des accès dans les différentes applications pour faire le lien entre identité et droit d’accès, déployer Single Sign On et provisioning», dit Dominique Duthilleul. Face aux obstacles, le RSSI aura un rôle d’interlocuteur de premier plan. «Pour l’optimisation des projets IAM, les RSSI auront l’opportunité de s’appuyer sur des sociétés dotées d’une

forte expertise technologique et d’une expérience étendue. Par exemple, un projet de gestion d’identité nécessite un soutien fort du management – certains respon-sables applicatifs vont perdre le contrôle de la création des comptes – et un projet pilote dans une partie de l’organisation qui l’attend. Un déploiement global conduit fréquemment à des projets sans fin, coûteux et mal vécus par les utilisateurs.» Pour les entreprises, le défi majeur est donc d’adop-ter une approche graduelle.

LE SECRET : UN OBSTACLE ?

«Le Luxembourg a mis la barre très haut en termes de respect du secret, explique Dominique Duthilleul. Secret profession-nel, avec la loi du 5 avril 1993 relative au secteur financier et de respect de la vie pri-vée avec la loi du 2 août 2002 relative à la protection des personnes à l’égard du trai-tement des données à caractère personnel. Sur le plan légal, les pratiques de contrôle, voire de sanction concernant le secret pro-fessionnel peuvent rapidement entrer en conflit avec les règles sur le respect de la vie privée, la CNPD (Commission Nationale pour la Protection des Données) a la lourde tâche d’arbitrer ce conflit et travaille depuis longtemps à l’établissement d’un guide de conduite. Un autre défi à relever est de fai-re de la gestion globale de la sécurité une

//// JE SUIS IAM ////

Selon Gartner, on peut structurer

ainsi le paysage global de la

gestion d’accès et d’identité ou IAM

(Identity & Access Management) :

standards, agrégés ou virtuels

inclut la création automatique

d’utilisateurs (provisioning),

l’administration des rôles,

des mots de passe, de

l’authentification forte

des charges, la gestion des

événements, le monitoring de

l’activité et les alertes

l’authentification unique ou

Single Sign On et la fédération

d’identité entre organisations ou

parties d’organisations qui se

font confiance

niveau du système d’exploitation,

du Web, des applications en

mode client/serveur

L’IAM, pierre angulaire Le Luxembourg a mis en place une structure légale contraignante en termes de sécurité et notamment concernant l’Identity and Access Management. Analyse par Zeropiu.

Zeropiu est une entreprise d’origine italienne qui déeveloppe depuis 1999 des projets de gestion d’accès et d’identité. Pour faire face aux besoins gran-dissants des utilisateurs, Zeropiu s’est lancé avec la suite IAM de Netegrity (maintenant CA) et travaille également avec les produits majeurs du mar-ché dont Oracle, Novell et Sun. A l’origine, les fonctionnalités les plus de-mandées étaient la gestion d’accès et le Single Sign On (SSO). Aujourd'hui, le focus est davantage sur la gestion d’identité et de rôle métier.


50 AVRIL 08

LE G

RA

ND

DO

SSI

ERSé

curit

é


Dominique Duthilleul, Business Development Manager chez Zeropiu

responsabilité directe du top management, de par son impact direct sur les probléma-tiques de conformité, de respect de la vie privée et parfois des droits de propriété intellectuelle.»

«Enfin, en tant que place financière majeure, et compte tenu du poids du secteur finan-cier dans son économie, le Luxembourg se doit de compléter l’approche analytique de la sécurité par une approche systémique, assurant flexibilité et sécurité aux acteurs de la place financière tout en préservant l’équilibre de la place quels que soient les accidents internes ou agressions subies par l’un des acteurs. Nul doute que cette réflexion soit en cours.»

AVRIL 08 51


TECHNOLOGYSOURCING

MANAGEDSERVICES

INFRASTRUCTUREINTEGRATION

Managed services that delivercontinuous improvements backto your business.At Computacenter, we proactivelyapply our broad range of skills,expertise and the latest technologysolutions to deliver continuousimprovements across the lifetime of our managed services contracts.Whether it’s !nding new ways to

deliver operational e"ciency gains,using ITIL-based best practices toimprove service management orapplying new technology innovations –we can help you realise year-on-yearcost savings. Transform your servicedelivery with Computacenter.

eMail: [email protected]

O"ce: Espace Kirchberg C 26-28 Rue Edward Steichen 2540 Luxembourg

Phone: +352 26 29 1-1 Fax: +352 26 29 1-815

L’authentification unique (Single Sign-On ou SSO) peut être un point de départ solide pour un tel projet. Le SSO renseigne les mots de passe applicatifs à la place de l’utilisateur et peut les changer automatiquement, donc les utilisateurs s’alignent naturellement sur la politique de sécurité. Autre avantage, la continuité de service apportée par le SSO réduit les coûts d’exploitation. Libérés des mots de passe applicatifs, les utilisateurs n’encombrent plus le help desk d’appels improductifs.

POLITIQUES LISIBLES

De plus, l’apport d’une gestion rigoureuse de la politique d’accès, basée sur les rôles, est également capital. Avec une gestion de politique (‘policy management’) efficace, l’attribution des droits n’est plus nomina-tive : elle dépend du métier de l’utilisateur et de sa place dans l’organisation. Cette manière de procéder est rationnelle. Elle est aussi facilement «auditable» car effectuée en un seul endroit, et non application par application. Avec un policy management, la politique de sécurité de l’entreprise est lisible et adaptable en fonction des besoins.

Les procédures sont simples et facilement documentées : une seule interface est utilisée. Du point de vue de l’utilisateur, les délais de mise à disposition de ses appli-cations sont considérablement raccourcis, et il est aisé de faire respecter les contrain-tes de séparation des tâches (‘segregation of duties’). Pour compléter le tout, un ‘work-flow’ automatisera la chaîne de décision. Car même si le rôle d’un utilisateur lui donne théoriquement droit à un accès applicatif, sa hiérarchie doit formellement autoriser cet accès. Cela renforce les garanties qu’un utilisateur ait accès uniquement aux appli-cations utiles à son travail.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

La virtualisation est l’un des élé-ments les plus importants de l’IT dans les années à venir. Secaron s’est intéressé aux aspects sécurité de cette nouvelle tendance.

«Le niveau de sécurité des solutions de virtualisation disponibles aujourd'hui est considéré par les spécialistes comme satis-faisant, dit Sébastien Bourgasser, Security Consultant chez Secaron. Les éditeurs de solutions de sécurité font évoluer leur gamme de produits afin de déployer leurs outils au cœur des systèmes de virtualisation. Et même si le risque zéro n'existe pas, il est commu nément admis que les mécanismes d’isolation et de protection présents nativement dans les hyperviseurs actuels sont robustes et garan-tissent l’intégrité des machines virtuelles.»

«En permettant l’accès à la mémoire, au disque et au trafic réseau de manière cen-trale, les nouveaux hyperviseurs fournissent aux outils de sécurité un accès privilégié aux machines virtuelles. Si cette fonctionnalité permet d’augmenter sensiblement le niveau de sécurité individuel de chaque serveur, elle accroît considérablement la surface d’attaque sur l’hyperviseur lui-même, ouvrant potentiellement une brèche dans le méca-nisme d’isolation des machines virtuelles.»

Sécurité virtuelle ?

L’IAM contre la fraude internePour lutter efficacement contre la fraude, la gestion des accès doit s’accompagner d’une politique attribuant (ou retirant) les accès en fonction des rôles des utilisateurs, préconise Bull.

Centraliser la gestion des accès des employés est une manière efficace de combattre la fraude interne. En plaçant un point de contrôle obligé entre un utilisateur et ses applications, les problèmes de mots de passe publics et d’ac-cès conservés indûment disparaissent. Il y a beaucoup d’éléments mais la complexité de ce domaine n’est souvent qu’apparente. Fort de centaines de projets mis en place dans le monde, l’éditeur Evidian, filiale du groupe Bull, a déterminé plusieurs règles-clé pour déployer un projet de ce type. Bien planifié, un projet de gestion des rôles et des accès apporte à chaque étape des fonctions utiles.


52 AVRIL 08


TECHNOLOGYSOURCING

MANAGEDSERVICES

INFRASTRUCTUREINTEGRATION

Managed services that delivercontinuous improvements backto your business.At Computacenter, we proactivelyapply our broad range of skills,expertise and the latest technologysolutions to deliver continuousimprovements across the lifetime of our managed services contracts.Whether it’s !nding new ways to

deliver operational e"ciency gains,using ITIL-based best practices toimprove service management orapplying new technology innovations –we can help you realise year-on-yearcost savings. Transform your servicedelivery with Computacenter.

eMail: [email protected]

O"ce: Espace Kirchberg C 26-28 Rue Edward Steichen 2540 Luxembourg

Phone: +352 26 29 1-1 Fax: +352 26 29 1-815


D’une part, suite à la globalisation, les entreprises doivent gérer leur sécurité de manière intégrée, afin de protéger les systèmes à différents niveaux. Avec la diversification et la mutation des attaques, les solutions de sécurité se révèlent parfois inadéquates. Gérer efficacement le risque permet de réduire le nombre de menaces potentielles ou, tout au moins, de les gar-der sous contrôle. Ainsi, par exemple, des fuites de données pourraient causer du tort aux clients eux-mêmes et avoir un impact négatif sur le business de l’entreprise. C’est pourquoi le Risk Management doit prendre en compte les aspects techniques, mais aussi les politiques et les systèmes de l’entreprise, afin de protéger au mieux les données critiques.

SAISIR LES OPPORTUNITES

D’autre part, en plus d’un changement d’orientation dans le design de la sécurité, les entreprises qui font partie d’un réseau mondial d’échanges doivent pouvoir satis-faire aux exigences de conformité. Cette nouvelle vision du business dépasse le cadre du département IT, et c’est aussi pourquoi un rapprochement entre les deux «mondes» est nécessaire. En revanche, en termes de sécurité, le défi de la conformité doit être vu plus comme une opportunité

que comme une contrainte. Par exemple, les profils des Responsables de la Sécurité des Services d’Information ont, eux aussi, évolué, acquérant des fonctions juridiques. «Nous devons disposer de personnes qui sont à même de correspondre aux besoins de nos clients, explique Christophe Bianco, Business Development Manager chez Verizon. Ces personnes ont toutes un profil technique tout en étant à même de comprendre les métiers que font les entreprises.» Les RSSI ont donc acquis une sorte de transversalité : une compréhension de l’entreprise en interne mais aussi des clients. La feuille de route du RSSI en 2008 sera donc marquée par la conformité…

Face à cette volonté de refocaliser la sécurité sur l’essentiel, certaines entreprises mettent en place des projets d’externalisation : log management, antivirus,… L’externalisation permet de créer de la valeur ajoutée, en gardant toutefois la main sur le contrôle des décisions. L’outsourcing repose sur le concept de «trusted partners». Il s’agit là d’apporter un complément de compétences qui puisse satisfaire l’entreprise. Le critère du coût est primordial, c’est même souvent la première raison qui pousse les entreprises à externaliser la gestion de leurs ressources. Le tout est de trouver une solution qui s’adapte à la culture et aux besoins de l’entreprise.

Verizon Business a présenté ses solutions lors de la conférence sur la sécurité

organisée par ITnewsslides : [email protected]

The big picturePour permettre aux entreprises d’appliquer leurs stratégies de sécurité aux réalités d’une globalisation des menaces, Verizon Business encourage une approche Risk Management.

En matière de sécurité, la gestion du risque doit à présent prendre en compte des aspects métiers. Le risque, c’est aussi ce qui peut menacer le capital immatériel de l’entreprise, telle son image de marque. La sécurité sous-tend ces aspects et, par sa nature même, ne peut faillir sans remettre en cause l’entièreté du système. Les organisations devront donc, face à des risques potentiels, gérer les menaces sur leur réseau et leurs applications critiques. Verizon Business dispose d’une expertise particulière sur le marché de la sécurité suite à l’acquisition de Cybertrust en mai 2007. Le fournisseur de services propose différentes approches de la gestion du risque.


54 AVRIL 08

LE G

RA

ND

DO

SSI

ERSé

curit

é


Christophe Bianco, Business Development Manager chez Verizon

AVRIL 08 55


Les entreprises sont passées du firewall à la sécurisation de tout le système. Or, les équipes n’ont pas évolué aussi vite que les besoins en matière de sécurité. On se retrouve avec un manque de compétences. «Nous pensons que le domaine de l’appli-catif et de la sécurité sont assez éloignés, déclare Jean-Hubert Antoine, Security Solutions Manager chez Dimension Data. Eduquer les utilisateurs est difficile : mieux vaut parfois rajouter une couche supplé-mentaire et être préventif. C’est simple et moins coûteux.»

DÉPASSER LES PRÉJUGÉS

Dimension Data propose les managed services. Au Luxembourg, la banque peut être réticente à outsourcer l’infrastructure, par rapport à sa politique interne de sé-curité. «Notre spécificité est de laisser les couches sécurité chez le client et de les gé-rer soit chez eux, soit à Capellen», précise Jean-Hubert Antoine. La configuration per-met une alerte 24h/24 pour alerter le client en cas de problème grâce à l’utilisation de SLA convenus avec l’équipe de sécurité. Ainsi, les équipes sur site peuvent être pré-

venues et Dimension Data peut effectuer des manipulations à distance. Certaines banques ont ainsi outsourcé leur web ban-king chez Didata à Capellen pour que leur infrastructure sécurité, et non leurs don-nées, soit gérée en 24/7.

Une telle mise en place n’est possible que par la sécurisation parallèle des moyens de communication. La solution de Dimension Data permet de sécuriser la téléphonie IP, les devices en end-point (GSM, laptops, CD et DVD, clés USB,…), ainsi que les données à l’intérieur de l’entreprise pour les prémunir de toute menace qui pourrait pénétrer par une back door. «La technologie est vaste et il faut pouvoir tout couvrir, dit Jean-Hubert Antoine. Notre défi à nous est de pouvoir faire notre chemin dans ces produits niches, c’est-à-dire consolider, garder la maîtrise sur les technologies proposées et garantir le suivi aux clients.»

DIRECTION CLAIRE

Auparavant, les relations interne/externe étaient gérées par le firewall et l’IPS. «Le château fort est devenu un aéroport, dit

Jean-Hubert Antoine. Il nous faut passer par une phase de dé-périmétrisation dans nos approches car les menaces augmentent en interne.» C’est un modèle dynamique dont l’originalité réside dans ses possibilités d’adaptation à l’entreprise. Par exemple, une banque limite les dangers en utilisant des postes fixes et les portables sont isolés pour bénéficier d’une sécurité renforcée.

Dexia a été le premier client de la solution majeure de sécurité proposée par Dimension Data, ASI (Adaptive Secure Infrastructure). «Certains clients partent dans toutes les directions, dit Jean-Hubert Antoine. Il faut réfléchir à une solution de protection adéquate au type d’infrastructure et ne pas sous estimer l’impact sur la partie gestion. Il existe encore un domaine dans lequel les entreprises doivent s’améliorer, c’est la centralisation et la consolidation des informations.» Il y a dix ans, la solution unique était un antivirus sur la station de travail et un firewall en externe; à présent, c’est du point à point avec une authentification par accès à distance. Le marché des solutions de sécurité est en pleine explosion, il faut une vue globale de la sécurité pour savoir où intervenir…

SystemSol_annce_itnews_A4.indd 1 28/03/08 10:24:33

Hosted security : qui est prêt ?Dimension Data a une approche complète de la sécurité, notamment via les managed services… un pas difficile à faire pour les entreprises.

L’évolution de la sécurité est parallèle à celle des moyens de communication. De la téléphonie à l’IP, de l’email à l’instant messaging, qui est devenu un véritable outil de travail. Dimension Data, intégrateur local à forte valeur ajoutée, a commencé à œuvrer dans la sécurité en 1998, au niveau des réseaux. À présent, la nature et l’approche de la sécurité se diversifie pour se propager aux stockages système, aux portables, aux PDA… ainsi qu’aux applications. Par exemple, le hacking était au départ réduit aux aspects réseaux ; aujourd’hui, le cyber crime s’est diversifié… et les solutions de protection aussi.


56 AVRIL 08

LE G

RA

ND

DO

SSI

ERSé

curit

é


SystemSol_annce_itnews_A4.indd 1 28/03/08 10:24:33ITN_018_ITnews_03_avril_43>62.indd 57 14/04/08 18:49:07

Patrick Dalvinck, Regional Director Benelux de Trend Micro

Face à ce mouvement de croissance et de diversification, Trend Micro considère qu’il est impossible d’envoyer les mises à jour vers les clients. Trop d’informations, trop de bande passante alourdie par la sécurité. «Le but du client n’est pas d’acheter un ordinateur pour y passer 50% à la sécurité. Il faut de nouvelles manières de mise à jour.» Le fournisseur de solutions a donc mis en place une solution de mise à jour sur le net : un datacenter «in the cloud». L’utili-sateur se connecte sur les sites approuvés par Trend Micro et ce, en temps réel. «Plus de 100 millions de PC sont infectés et leurs utilisateurs l’ignorent, dit Patrick Dalvinck. Les nouvelles attaques sont invisibles et utilisent les PC comme base de relais pour d’autres attaques.»

L’approche de Trend Micro est donc à 180° des habitudes. «Le client ne doit plus faire de mise à jour du logiciel, car sa machine n’est plus accessible aux malwares, explique Patrick Dalvinck. Le thin client donne une protection plus élevée et s’intègre avec les solutions d’autres fournisseurs.» Si les autres produits brandés Trend Micro apportent de la plus-value une fois combinés à la solution Web Threat Protection, l’ajout de solutions d’autres fournisseurs permet d’apporter aussi de la valeur… tout en conservant la transparence de la solution. «La solution externe est une évolution importante mais au fond, le client est satisfait de voir un investis-sement «in the cloud». Ce n’est pas à eux de perdre et budget et performance. Les systè-mes sont laissés libres pour les applicatifs.»

Virage contrôléFace à l’augmentation constante des malwares et la difficulté de mettre à jour les logiciels de sécurité, Trend Micro propose une solution de filtrage… sur internet.

Auparavant inondée par les virus, chevaux de Troie et vers, la Toile est à présent traversée de menaces plus actives, et beaucoup plus difficiles à éliminer. «Il y a environ 20 ans, on détectait 2000 virus uniques dans le monde, déclare Patrick Dalvinck, Regional Director Benelux chez Trend Micro. Il était alors facile pour les constructeurs de détecter les virus, mettre à jour les signatures et les déplacer vers les clients à protéger.»


58 AVRIL 08

LE G

RA

ND

DO

SSI

ERSé

curit

é


Patrick Dalvinck, Regional Director Benelux de Trend Micro


«Nos offres sécurité sont tous azimuts, expli-que Jan De Clerq, CEO HP Security Offi ce. Nous pensons que la sécurité ne doit pas être rajoutée comme une couche supplé-mentaire mais au contraire doit être placée au cœur de chaque solution.» Parmi les nouvelles solutions, les idées d’HP répondent à un besoin croissant de contrôler l’accès et l’utilisation des documents. Par exemple, les limites d’impression et de transmission de documents contenant des données sensi-bles peuvent être clairement défi nies.

Ainsi, de plus en plus d’entreprises s’in-téressent au key management, notam-ment suite à l’importance grandissante de l’encryption pour des raisons de conformité. «La gestion des clés est devenue l’une des problématiques majeures de la sécurité,

explique Jan De Clerq. De plus en plus d’en-treprises adoptent le key management com-me solution d’encryption, afi n de mieux gérer l’accès aux données.» Les documents sont sécurisés via le recours à une clé unique, qui ne peut être remplacée. La gestion de ces clés est donc primordiale pour assurer la continuité du business de l’entreprise. HP, via sa solution StorageWorks Secure Key Manager, donne aux entreprises les moyens de déployer le key management au travers de toute l’organisation.

PÉRIMÈTRE DE QUALITÉ

Pour protéger le réseau, HP a développé dans la gamme ProCurve, une solution de Network Access Control active à deux niveaux : la fermeture des ports non autorisés et une authentifi cation forte des utilisateurs

et des applications. Cette approche pro-active est un mécanisme de défense qui va mettre à jour automatiquement les connexions que le serveur refuse. Chez HP, la sécurité va de pair avec la qualité. Le constructeur s’est donc aussi attelé à la défense contre les menaces provenant d’internet. L’Application Security Center, une solution pour la sécurité des applications web, fournit un relevé des risques et fait du testing à chaque phase du cycle de vie d’une application. HP désire ainsi réduire les risques opérationnels et s’inspire des tech-niques de sécurité du stockage, avec d’une part, l’accès aux données (identifi cation, confi dentialité via l’encryption, autorisation) et d’autre part, la gestion de celles-ci (défi -nition des rôles, permissions, traçabilité, key management).

BT est actif dans le secteur de la mobilité, notamment dans la convergence fi xe / mobile. La mobilité est liée de près aux problématiques de sécurité, notamment par rapport au risque de fuite de données. «Pour correspondre aux évolutions que connaissent les entreprises, BT propose des solutions et des services de sécurité couvrant la fourniture de conseils, le respect de la conformité au regard des règlements en vigueur, la disponibilité des

applications et des réseaux à tout moment, les applications et les réseaux sécurisés, l’intégrité des données, etc.», explique Kees Plas, Head of Business Continuity, Security & Governance Practice, Benelux, BT Global Services. Des services qui vont donner une place importante à la gestion des risques.

Selon une récente étude menée entre autres par BT, le recul de la globalisation – affectée par une montée du protectionnisme – peut

représenter un risque particulièrement sérieux, auquel les entreprises ne sont pas correctement préparées. La globalisation voudrait que la gestion des risques devienne une question d’importance stratégique. Selon l’étude, les entreprises qui intègrent leurs infrastructure et planifi cation de risque deviendront plus résilientes et en récolteront les bénéfi ces dans un environnement commercial devenu plus complexe.

BT, prêt pour la complexitéFace à la complexifi cation des environnements de travail, du recours accéléré à l’externalisation, du besoin pour les grandes entreprises de réévaluer leur stratégie de sécurité, de la volonté de collaborer plus sans perte de contrôle, BT, fournisseur de solutions et de services de communications, peut apporter son expertise «blended» des télécommunications et de la sécurité.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

La sécurité au cœur des solutionsDe ses autres secteurs d’activité, HP a hérité d’une vision multifonctionnelle de la sécurité et la place au centre de ses solutions.

Qu’il s’agisse des outils de protection intégrés aux laptops et aux postes de travail, de contrôle d’accès aux données sensibles, de privilèges d’utilisation de documents, de gestion de clés ou de validation, le constructeur identifi e les domaines de la sécurité qui sont porteurs de valeur ajoutée. De plus, les services fournis par HP sont inspirés de la propre expérience du constructeur en matière d’IT et de sécurité, afi n de protéger les ressources mondiales de la société. Le résultat est un mélange de solutions industrialisées et d’innovation.


60 AVRIL 08

Security Solutions for IT

www.siemens.lu/it-solutions

Siemens IT Solutions and Services

?Sh..!! Where are my data today?


Security Solutions for IT

www.siemens.lu/it-solutions

Siemens IT Solutions and Services

?Sh..!! Where are my data today?


ACTU

AL-

ITCa

rriè

res

BERNARD LHERMITTE

Devient Head of IT Department chez ING Luxembourg

Ayant intégré ING Luxembourg en 1989, Bernard Lhermitte était devenu responsable de l’équipe Analyse et Programmation en 2004, puis Manager BIS – Application & Project Management en 2005.

PETER NURSKI

Est nommé Directeur du Département Vente pour les PME de SAP en Belux

Etant déjà Country Sales Manager Luxembourg de SAP, Peter Nurski succède à Henk De Metsenaere qui quitte la société pour fonder sa propre entreprise. Peter Nurski reprend les rênes et poursuivra le développement du canal de partenaires.

PETRA PESIN

Rejoint Dimension Data Financial Services en tant que Account Manager

Active sur le marché luxembourgeois depuis 1994, Petra Pesin a précédemment occupé les fonctions de Business Development Manager auprès de Primesphere et Business Manager auprès de e-BRC.

PAUL JUNG

Devient Senior Security Engineer chez Dimension Data Managed Services

Paul Jung a une expérience de 10 ans en France et au Luxembourg. Il occupait précédemment la fonction d’ingénieur réseaux chez Real Solutions, où il était en charge de design et d’implémentation de solutions télécoms.

DAVID VERNAZOBRES

Rejoint DiData Managed Services en tant que Junior Security Engineer

David Vernazobres occupait ces trois dernières années la fonction de chargé de projets en bio-informatique au sein de l’université allemande de Münster.

Envoyez votre nomination à [email protected]

62 AVRIL 08



/////////////////////////// ACTUAL IT

> Microsoft 2008 p 65

> eLuxembourg p 66

> Apsi p 67

> Namestock p 68

> LuxConnect p 70

> Steria / Prim'X p 71

> IT agenda p 72

> Aubay BPM p 74

> Portrait Claude Lüscher p 76

> IT jobs p 78

AVRIL 08 63


Your nancial advisor in Luxembourg Your real estate advisor in Luxembourg

PROPERTY INVESTMENT ADVICEAcquisition and sale - Due Diligence

Financial Feasibility Analysis

FIDUCIARY SERVICESCompany Formation - Domiciliation - Accounting - Taxation

Financial Engineering - Payroll Administration

COMPANIES HOUSE - 42a Place Guillaume II - L-1648 Luxembourg

[email protected]

Tél :(352) 276 217 777Fax : (352) 276 217 78

[email protected]él :(352) 276 217 771 Fax : (352) 276 217 78

RESIDENTIAL, COMMERCIAL AND OFFICELetting - Buy/Sell and Developments

annoncaA4210X297.indd 1 25/02/2008 10:19:20ITN_018_ITnews_04_avril_63>82.indd 64 14/04/08 21:36:58

Your nancial advisor in Luxembourg Your real estate advisor in Luxembourg

PROPERTY INVESTMENT ADVICEAcquisition and sale - Due Diligence

Financial Feasibility Analysis

FIDUCIARY SERVICESCompany Formation - Domiciliation - Accounting - Taxation

Financial Engineering - Payroll Administration

COMPANIES HOUSE - 42a Place Guillaume II - L-1648 Luxembourg

[email protected]

Tél :(352) 276 217 777Fax : (352) 276 217 78

[email protected]él :(352) 276 217 771 Fax : (352) 276 217 78

RESIDENTIAL, COMMERCIAL AND OFFICELetting - Buy/Sell and Developments

annoncaA4210X297.indd 1 25/02/2008 10:19:20

«L’IT peut être utilisée pour faire des choses extraordinaires, et pour cela il faut des nouveaux produits d’infrastructure», explique Christophe Van Mollekot, Products & Solutions Marketing Manager chez Microsoft, et en charge de la plateforme Windows Server au Belux. Microsoft a surpris. «Windows Server 2008 a une option Core Server qui permet une installation sans interface graphique… Cela répond à une demande des utilisateurs de proposer un serveur à fonctionnalités limitées, pour plus de liberté.»

La virtualisation répond aussi à un phéno-mène croissant de consolidation. «On ne surfe pas que sur la vague verte mais on tente d’apporter une réponse pour la longue durée, explique Christophe Van Mollekot. La virtualisation demeure une niche, avec 90% du marché qui n’est pas encore virtualisé, à cause du coût élevé de la solution. De plus, la virtualisation pose des problèmes évidents de traçabilité et de localisation de l’informa-tion dans le système.» En fait, les utilisateurs qui virtualisent leur infrastructure doivent alors souvent gérer une troisième couche, en plus de l’OS et des applications. Pour remédier à cela, Microsoft propose la virtualisation comme

fonction de l’OS, intégrant le module hyper-V dans Windows Server 2008.

SOUTENIR L’ÉCOSYSTÈME

L’ajout d’hyper-V est donc un changement fort, directement orienté vers les utilisateurs finaux. «On arrive vers le tipping point, dit Christophe Van Mollekot. Bientôt les capaci-tés d’innovation vont dépasser les besoins de maintenance.» Cela est aussi possible grâce à la force d’industrialisation que Microsoft a développée. «C’est important de pouvoir sou-tenir l’écosystème luxembourgeois, explique Thierry Fromes, Country Manager chez Microsoft Luxembourg. Il serait anormal de proposer un produit sans que les SSII aient les compétences pour les développer. Nous devons soutenir la mise en place de nos solutions au Luxembourg, afin d’atteindre une meilleure compétitivité IT au niveau inter-national.» Pour soutenir ce développement technologique, Microsoft souligne l’aspect collaboratif des solutions brandées 2008. Par exemple, Visual Studio intègre un outil de collaboration, Visual Team System qui permet à plusieurs développeurs, répartis sur des sites différents, de travailler sur le même projet.

CONQUÊTE DE NOUVEAUX MARCHÉS

«L’outil évolue de même que la façon de faire des affaires au Luxembourg. La banque va au client et non l’inverse. Les services s’améliorent. Nous avons la chance d’avoir des banques bien organisées, ajoute Thierry Fromes. La concurrence est toujours là, de même que le besoin de recourir à la technologie pour disposer d’informations en temps réel.» La productivité est par exemple soutenue par les Unified Communications, qui permettent aux entreprises de se développer sur de nouveaux marchés. La plateforme 2008 est donc une fondation solide pour les applications web de la prochaine génération, pour la technologie de virtualisation et pour l’accès à l’information pertinente. Ainsi, SQL Server 2008 fournit une plateforme intelligente pour gérer les données de manière sécurisée et, combinée à Windows Server, permet de réduire le temps et le coût de gestion.

Microsoft 2008 : les end-users sur le devant de la scèneLors du lancement de Windows Server 2008, SQL Server 2008 et Visual Studio 2008, Microsoft a mis en avant les acteurs locaux qui font le pas vers les technologies de demain.

Au Luxembourg, l’IT est omniprésente mais pas toujours en tant que valeur ajoutée. L’idée de Microsoft était de ramener les end-users à l’avant-scène et promouvoir leur vision de la technologie pour le lancement de la plateforme 2008 de l’éditeur. À l’heure actuelle, seulement 20% du budget IT est consacré à la création pure. 80% est nécessaire aux tâches administratives. Les clés de Microsoft résident donc là : libérer des ressources, du temps et du budget pour l’innovation.

DEVELOPER / CONSULTANT

AVRIL 08 65

AC

TUA

L IT

Logi

ciel

s


ReNo peut avoir un impact significatif sur la façon dont le Luxembourg est perçu au niveau européen. Selon une étude d’Euros-tat, en 2006, le Luxembourg occupait la première place quant à l’utilisation par les citoyens de formulaires publiés sur les sites de l’Etat. La fréquentation des sites publics est en moyenne importante. Par exemple, le portail legilux.lu connaît 5000 visites par jour, alors que police.lu n’en compte «que» 2000. Selon une étude des Nations Unies, le Luxembourg occupe une respectable quatorzième place dans le classement mondial des eGouvernements. «Beaucoup d’efforts ont été fournis pour améliorer la visibilité de nos sites mais nous devons encore progresser», explique Claude Wiseler.

NOUVEAUX BESOINS, NOUVELLES APPROCHES

En 2008, le service eLuxembourg promet des sites plus modernes, plus légers et plus faciles d’utilisation, avec des fonctionnalités supplémentaires pour les rédacteurs et les utilisateurs (webTV, agenda, cartographie, newsletters,…). La présence online du gouvernement va pouvoir être améliorée avec l’ajout de nouveaux portails, afin de ga-rantir les meilleurs services possibles. «Nous créerons un guichet unique dans les années à venir, dit Claude Wiseler. La centralisation de l’information est essentielle aux procé-dures administratives. La fréquentation des sites augmente si les services offerts sont pertinents, fiables et complets.»

Pour augmenter la visibilité de l’eGouver-nement, ReNo innove principalement dans la prise en compte des besoins des citoyens (le projet est basé sur la norme ISO 13407 et prévoit d’être testé par les utilisateurs). Le référentiel préconise un niveau élevé d’accessibilité, notamment pour les mal-voyants. Par exemple, si la page web n’a pas été formatée pour être lue à haute voix par un logiciel spécialisé, le contenu est incom-préhensible. La navigation dans la page doit aussi être facilitée par les raccourcis clavier et par un affichage qui permette de modi-fier la taille des caractères. De telles astuces sont minimes et pourtant étendent l’utilisation d’internet à des utilisateurs qui en sont, autrement, privés.

L’eGouvernement retend sa toileDes sites web de meilleure qualité technique, plus ergonomiques et accessibles ? Tel est le but du référentiel de normalisation (ReNo) émis par eLuxembourg.

Le référentiel de normalisation émis par le service eLuxembourg se veut pratique pour améliorer la présence du gouvernement luxembourgeois sur internet. «Nous voulons augmenter les standards de qualité des sites de l’Etat, tout en gardant la logique et la cohérence qui étaient les objectifs visés lors du lancement des sites», explique Claude Wiseler, Ministre de la Fonction publique et de la Réforme administrative. Des outils d’évaluation vont être mis en place, pour mesurer les standards inspirés de la Charte de normalisation publiée en 2002. Ainsi, le gouvernement pourra cerner l’impact et l’efficacité de sa communication aux citoyens via le net.

DOCUMENT, MAINTENANCE & FACILITY MANAGEMENT WWW.MAPS-SUITE.COM

, BASÉE À LUXEMBOURG, EST UN LEADER EUROPÉEN DANS LA CONCEPTION ET LE DEVELOPPEMENT DE LOGICIELSDE GESTION DE L'INFORMATION DE VOTRE ENTREPRISE.

66 AVRIL 08


AC

TUA

L IT

Sect

eur P

ublic


«Tout fait quelconque de l’homme qui cau-se à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer» (Art. 1382 Code civil). La responsabilité du pres-tataire de service IT dépend des obligations et clauses convenues de commun accord entre un fournisseur et son client et qui sont habituellement arrêtées dans un contrat. Aucune partie ne pourra se défaire de ses engagements sauf en cas de force majeure, de faute de la victime ou du fait d’un tiers.

Le prestataire de service IT devra donc non seulement veiller à une description précise de ses obligations (obligation de donner / de transférer un droit ; obligation de faire / exécuter une prestation), mais également à bien définir l’intensité des engagements pris. Ceux-ci peuvent varier de façon significative selon l’existence d’une obligation de moyens ou de résultat. L’APSI adressera prochainement cette question par l’organisation d’une conférence dédiée aux «Service Level Agreements».

LITIGES : QUELQUES CONSEILS PRATIQUES

Afin d’éviter des responsabilités trop lourdes ou pour éviter toute discussion inextricable sur la répartition des responsabilités, la loi admet le recours à une clause limitative de responsabilité dans certaines hypothèses d’inexécution.

dans les contrats internationaux

Dans un contexte BtoB, sauf clause contraire, tout litige entre professionnels a lieu dans le pays où la partie qui doit fournir la prestation caractéristique a, au moment de la conclusion du contrat, sa résidence habituelle. Habituellement, dans un cadre BtoC, les litiges sont traités dans le pays de résidence du privé. Dans un contexte international avec des clients privés, il est donc fortement conseillé de définir la loi par laquelle le contrat est régi.

L’Article 1315 du code civil prévoit que «celui qui réclame l'exécution d'une obligation, doit la prouver. Réciproquement, celui qui se prétend libéré, doit justifier le paiement ou le fait qui a produit l'extinction de son obligation». Ceci signifie que si le client n’est pas satisfait d’une prestation, ce sera à lui de prouver que le service rendu n’est pas conforme au contrat. Le prestataire de service pourra utiliser la pièce documentant le paiement du service presté pour prouver la réalisation des engagements pris dans le contrat.

RÉGLER LES LITIGES

Le tribunal n’est pas la seule solution. Lorsque les contractants sont prêts à sacrifier une partie de leurs avantages, le code civil prévoit de conclure un litige par transaction pour terminer une contestation.

La médiation est un processus volontaire et confidentiel de gestion des conflits par lequel les parties recourent à un tiers indé-pendant et impartial. Le rôle du médiateur est d'aider les parties à élaborer par elles-mêmes, une entente juste et raisonnable qui respecte les besoins de chacun des intervenants. La médiation est un moyen efficace, rapide et relativement peu onéreux pour régler un litige tout en garantissant aux parties une confiden-tialité en cas d'échec de la médiation. Au Luxembourg, l’arbitrage ou la médiation est assuré par le Centre de Médiation du Barreau de Luxembourg (CMBL).

La loi prévoit la possibilité d’intégrer une clause d’arbitrage dans les contrats par laquelle les parties s’engagent à trancher tous différends suivant le Règlement d’arbitrage du Centre d’arbitrage de la Chambre de Commerce du G.-D. de Luxembourg par un ou plusieurs arbitres nommés conformément à ce règlement.

La responsabilité civile des entreprises ITLa responsabilité, principe fondamental du droit civil (Art. 1382), s’applique aussi bien aux dommages créés dans la vie privée que causés dans le cadre d’une relation contractuelle entre un fournisseur et son client. Quelle en est la portée en IT ?

Pour l’APSI, Janin Heniqui, conseiller CLC

AVRIL 08 67


AC

TUA

L IT

Busi

ness


«Par exemple, les sociétés qui veulent implanter leurs nouvelles marques au Luxembourg font appel à nous en tant que coordinateurs, explique Nicolas Van Beek, CEO de Namestock. Notre mission, dans ce cas, est d’augmenter la valeur de ces mar-ques et noms de domaine en les centralisant au Luxembourg.» Le but de l’entreprise est donc de soutenir la création de marques et de noms de domaine au niveau international, tout en mettant en avant le bénéfice que les entreprises peuvent tirer de la loi 5801 sur la propriété intellectuelle au Luxembourg.

«Nous voulions être utiles aux entrepreneurs et aux sociétés qui veulent créer des marques internationales, explique Nicolas Van Beek. Il y a de moins en moins de marques dis-ponibles, et encore moins de noms de do-maine en .com. Alors que les «domainers» se limitent à acheter des noms à fort poten-tiel, tel fund.com vendu 10 millions de USD en mars 2008, nous proposons un service complet allant de la création de la marque jusqu’à la valorisation de celui-ci.»

COMMUNAUTE DE TESTING

L’idée repose sur la création d’un stock de noms de marques, dont l’impact culturel et linguistique est mesuré par une communauté de testeurs/consommateurs locaux auxquels Namestock s’est associé. La création

des noms se fait aussi sur commande, Namestock se charge d’enregistrer la marque aux niveaux local et international, ainsi que les noms de domaine. «Le .com pour une entreprise internationale est indispensable, dit Nicolas Van Beek. Le Luxembourg peut jouer un rôle sur ce plan. Par contre, au point de vue local, une entreprise qui ne souhaite se développer qu’au Luxembourg trouvera plus d’intérêt à adopter le .lu. L’utilisation du domaine .lu, notamment pour certains services financiers uniquement délivrés au Luxembourg, peut aussi donner plus de crédibilité à une entreprise, voire une véritable signature.»

L’expertise de Namestock au niveau mar-ques et noms de domaine fait appel à une bonne connaissance de ceux-ci, ainsi que de la combinaison avec des compétences juridi-ques et techniques. «Nous nous engageons à limiter les risques de cyber-squatting, dit Nicolas Van Beek. Nous faisons aussi de la recherche de noms disponibles, un aspect déterminant pour trouver les perles rares. En effet, il est de plus en plus difficile de trouver des noms de marques prononçables dans toutes les langues et ne comportant que deux ou trois syllabes. Nous recherchons des noms à l’aide d’outils de recherche auto-matisés et de séances de brainstorming.»

Signé .luEtapes incontournables pour les entreprises, les créations de marques et de noms de domaine peuvent être facilités par le recours à un broker spécialisé en la matière.

Après avoir créé une première société de protection de marques sous le nom de Legitiname, Nicolas Van Beek a lancé, suite à la loi 5801 sur l’exonération des droits de propriété intellectuelle, une nouvelle société baptisée Namestock. La société propose des services en matière de création de noms de marques et pos-sède aussi un portefeuille de noms de domaine. Alors que d’autres entreprises se spécialisent dans l’enregistrement de noms de domaine, Namestock a lié des relations avec, entre autres, des cabinets d’avocats et des fiduciaires, afin d’offrir des solutions complètes aux entrepreneurs désirant s’établir au Luxembourg.

68 AVRIL 08


AC

TUA

L IT

Mar

ques


UN MARCHÉ PLUS TRANSPARENT

Namestock peut aussi aider à choisir les pays où les noms de domaine doivent être développés en priorité. De plus, la législation concernant la propriété intellectuelle favorise l’enregistrement de marques et de noms de domaine au Luxembourg. Le but est ainsi d’attirer les entreprises hors des paradis fiscaux, afin d’assainir le marché et de conserver en Europe la gestion des marques et des noms de domaine.

AVRIL 08 69

Nicolas Van Beek, CEO de Namestock


«Luxconnect a invité aujourd’hui à cette cérémonie pour montrer que l’initiative du Gouvernement sous l’impulsion du Ministre Jean-Louis Schiltz commence à émerger de la phase de planification avec des faits accomplis en béton et en acier comme vous pouvez le voir derrière moi, a déclaré Edouard Wangen. Quand ce centre international d’hébergement et de communication ouvrira ses portes il sera dans le monde virtuel de l’économie numérique un hôtel 5 étoiles.

Avec cette prétention, il nous faut assurer le haut de gamme des services aux grands du secteur des technologies de l’information et des communications. Mais je rassure tout de suite les «moins grands» qui d’ailleurs seront les «grands de demain» et qui ne seront pas situés au 5e sous-sol de notre attention!»

Ce datacenter se verrait bien accueillir et héberger des plate-formes de commerce électronique (Ebay, Amazon, Paypal,…), des

serveurs de communications avancés (pour les Skype, Google, Facebook, SecondLife, MySpace,…), des serveurs de streaming pour les portails Internet du Web (Youtube, MSN, MyVideo, Playtime qui basée à Luxembourg…), et des serveurs pour les plateformes informatiques de recherche pour les universités les hôpitaux ou encore les départements de «Recherche et Développement» de groupes internationaux comme p.ex. EADS ou BMW.

Luxconnect, de fibres et de bétonJean-Louis Schiltz ministre des Communications, Roby Biwer bourgmestre de la ville de Bettembourg, Roger Lampach, directeur technique et Edouard Wangen, directeur général, ont posé la première pierre du nouveau datacenter de Luxconnect à Bettembourg en présence d’Ann Wagner, Ambassadrice des Etats-Unis d’Amérique. Une cérémonie relevée aussi par une participation de membres des Ministères et administrations ainsi que de dirigeants d’entreprises – fournisseurs et clients - qui accompagnent Luxconnect dans cette «aventure».


70 AVRIL 08

AC

TUA

L IT

Infr

astr

uctu

re


«Depuis 2007, la protection des données sensibles est une priorité», dit Eric Stylemans, Security Solutions Group Manager chez Steria. Or, trop souvent, les solutions de sécurité sont disparates sur les laptops, les desktops, les serveurs,… En plus de l’email et des documents, les données sensibles se trouvent dans l’historique (les cookies, le cache), sur le VPN, la configuration de l’OS… «Lorsqu’un hacker cherche une faille, il profile l’utilisateur en croisant l’information des solutions utilisées, des updates effectués, et à quelle fréquence», explique Pierre Cassimans, Security Consultant chez Steria. L’encryption permet de sécuriser directement les données sensibles. Pour diminuer les risques, l’utilisateur doit connaître l’emplacement de ces données et déterminer leur niveau de confidentialité.

UN PARAMÉTRAGE TRÈS FIN

Prim’X Technologies a développé ZoneCentral, une solution d’encryption agnostique pour protéger l’ensemble des données sur le hardware, y compris les serveurs de stockage. La solution inclut aussi Zed, pour l’échange d’emails cryptés et de documents en attachés. «Etre loggé ne signifie pas accéder au document, explique Xavier Conqui, Channel Manager chez Prim’X Technologies. Seul l’utilisateur habilité a accès au document décrypté.» Bien que les documents soient séparés au sein du système, ZoneCentral permet d’homogénéiser la protection. Le cryptage et le décryptage sont totalement transparents pour l’utilisateur et peuvent s’adapter à toute infrastructure. De plus, la communication par email est sécurisée, un avantage décisif lors d’échanges de documents financiers en mode Swap.

Bientôt, les solutions Zed for Outlook et Zed for Lotus crypteront tout l’email, ainsi que les pièces jointes, de poste à poste. Les documents ne sont déchiffrés que lorsque l’utilisateur dispose des clés nécessaires. ZoneCentral s’adapte aux besoins de l’entreprise avec ses solutions parallèles Zone Express, dédiée à l’encryption des laptops, et Zone Mobile, disponible en juin 2008, qui chiffre les PDA : base de contacts, pièces jointes, cartes de stockage, historique… Toutefois, l’utilisateur doit toujours réfléchir au type de déploiement voulu. «En cas de perte de données, de vol ou de catastrophe, le recouvrement des données n’est possible que si un mot de passe a été convenu avant de remettre les clés aux utilisateurs», explique Xavier Conqui. Zone Central est donc une solution au paramétrage très fin, qui permet autant de sécuriser par «frappes» chirurgicales que d’étendre la protection au système entier.

L’encryption, une protection chirurgicaleVéritable patrimoine de l’entreprise, les données sensibles doivent être protégées le mieux possible, notamment via l’encryption.

Lors du petit-déjeuner organisé par ITnews le 10 avril, la société Steria a intro-duit la solution d’encryption de données ZoneCentral, de Prim’X Technologies. Basée à Paris, Prim’X a notamment équipé le gouvernement français. Selon la société, l’une des clés d’une sécurité réussie est de faire cohabiter harmonieu-sement les solutions de sécurité, afin que leurs fonctionnalités se complètent, et de ne pas changer les habitudes des utilisateurs.


AVRIL 08 71


Grégory, Laurence, Patrick, Stephan, Yuri, Tobias, David, Renaud, Hassan, Yann, Benno, Reinhard, Steve, Khalid, Frédéric, Patrick,

Christophe, Damien, Mickaël, Renato, Olivier, Michael, Arnaud, David, Bruno, Robert, Sébastien, Eric, Loïc, Frédéric, Georges,

Stéphanie, Petra, Redouane, André, Ludovic, Dominique, Jean-Luc, Raphaël, Sandrino, Guillaume, Stephen, Julien, Zahir,

Olivier, David, Didier, Michael, Marc, Karine, Laurent, Boris, Anthoni, Jean, Robert, Aurélie, Mathias, Benjamin, Grégory, Pierre-

Olivier, Lionel, Frédéric, Sébastien, René, Jean-Paul, Anissa, Marc, Sergio, Walter, Yuksel, Saïd, Steve, April, Nathalie, Nadine,

Lionel, Gilles, Christian, Olivia, Bernard, Pierre, Yves, Daniel, Geoffrey, Maria, Gautier, Pascal, David, Marc, Stéphane, Thomas,

Sébastien, Nicolas, Pierre, Marie, Brice, Bertrand, Sébastien, Olivier, Samuel, Roland, Yves, Ivan, Mark, Matt, David, Jean-Pierre,

Xavier, Michel, Olaf, Sébastien, Boris, Jerome, Yves, Sarah, Maxime, Ludovic, Andy, Emilie, Jochen, Jeremy, Luis, Arnaud,

Mélanie, Christophe, Olivier, Ruben, Georges, David, Katia, Michel, Nicolas, Max, Catherine, Arnaud, Cédric, Nathalie…

…ONT CHOISI UN MEILLEUR JOB AVEC LANCELOT,

IT Recruitment & Consulting+(352) 26 38 93 57

CABINET DE RECRUTEMENT SPÉCIALISÉ EN ICT AU LUXEMBOURG

ET VOUS ?

www.elancelot.com

First Tuesday Luxembourg : online search toolsORGANISATEUR: First Tuesday LuxembourgTHÈME: Online Search ToolsDATE: 06/05/2008LIEU: Sofi tel Luxembourg

Informations et inscriptions:www.fi rsttuesday.lu

Identity, Access & Compliancy Management avec les produits de sécurité IBM TivoliORGANISATEUR: IBMTHÈME: IAM & ComplianceDATE: 08/05/2008LIEU: IBM - Hesperange

Informations et inscriptions:www.ibm.com/events/be

Conférence/Cocktail ITnews : OutsourcingORGANISATEUR: Conférence/Cocktail ITnewsTHÈME: OutsourcingDATE: 15/05/2008LIEU: Espace Entreprise Confi serie Namur Luxembourg-Hamm

Informations et inscriptions:www.itnews.lu/eventoutsourcing

Golden-i Gala & Awards

ORGANISATEUR: ITnews avec APSI, sous le patronnage du Minsitère des CommunicationsTHÈME: CIO of the Year & Flagship AwardDATE: 22/05/2008LIEU: Espace Entreprise Confi serie Namur Luxembourg-Hamm

Informations et inscriptions:www.goldeni.lu

06/0

5/20

0808

/05/

2008

15/0

5/20

0822

/05/

2008

IT Industrialization «Mastering your Business Agility»ORGANISATEUR: Fujitsu Siemens Computers Luxembourg en collabaoration avec Gartner et Fujitsu ServicesTHÈME: IT IndustrializationDATE: 23/04/2008LIEU: Mercure Kikuoka Golf Club

Informations et inscriptions: www.fujitsu-siemens.lu/events/industrialization/index

Petit-déjeuner d'ITnews : Business Process Management (BPM)ORGANISATEUR: Petit-déjeuner d'ITnewsTHÈME: Business Process Management (BPM)DATE: 24/04/2008 dès 8h30LIEU: Confi serie Namur, Luxembourg-Hamm

Informations et inscriptions:www.itnews.lu/eventbpm

IP Day in Luxembourg : La valeur économique des droits de propriété intellectuelleORGANISATEUR: Ministère de l’Economie et du Commerce extérieur, AIPPI, Centre de Veille Technologique, LuxinnovationTHÈME: Propriété intellectuelleDATE: 25/04/2008 de 14h à 17hLIEU: Chambre de Commerce,

Informations et inscriptions:www.luxinnovation.lu

Qualité et ergonomie au service de vos applications webORGANISATEUR: CRP Henri TudorTHÈME: Qualité et ergonomie au service de vos applications webDATE: 29/04/2008LIEU: CRP Henri Tudor - 29, Avenue John F. Kennedy Luxembourg-Kirchberg

Informations et inscriptions:www.sitec.lu

23/0

4/20

0824

/04/

2008

25/0

4/20

0829

/04/

2008


Grégory, Laurence, Patrick, Stephan, Yuri, Tobias, David, Renaud, Hassan, Yann, Benno, Reinhard, Steve, Khalid, Frédéric, Patrick,

Christophe, Damien, Mickaël, Renato, Olivier, Michael, Arnaud, David, Bruno, Robert, Sébastien, Eric, Loïc, Frédéric, Georges,

Stéphanie, Petra, Redouane, André, Ludovic, Dominique, Jean-Luc, Raphaël, Sandrino, Guillaume, Stephen, Julien, Zahir,

Olivier, David, Didier, Michael, Marc, Karine, Laurent, Boris, Anthoni, Jean, Robert, Aurélie, Mathias, Benjamin, Grégory, Pierre-

Olivier, Lionel, Frédéric, Sébastien, René, Jean-Paul, Anissa, Marc, Sergio, Walter, Yuksel, Saïd, Steve, April, Nathalie, Nadine,

Lionel, Gilles, Christian, Olivia, Bernard, Pierre, Yves, Daniel, Geoffrey, Maria, Gautier, Pascal, David, Marc, Stéphane, Thomas,

Sébastien, Nicolas, Pierre, Marie, Brice, Bertrand, Sébastien, Olivier, Samuel, Roland, Yves, Ivan, Mark, Matt, David, Jean-Pierre,

Xavier, Michel, Olaf, Sébastien, Boris, Jerome, Yves, Sarah, Maxime, Ludovic, Andy, Emilie, Jochen, Jeremy, Luis, Arnaud,

Mélanie, Christophe, Olivier, Ruben, Georges, David, Katia, Michel, Nicolas, Max, Catherine, Arnaud, Cédric, Nathalie…

…ONT CHOISI UN MEILLEUR JOB AVEC LANCELOT,

IT Recruitment & Consulting+(352) 26 38 93 57

CABINET DE RECRUTEMENT SPÉCIALISÉ EN ICT AU LUXEMBOURG

ET VOUS ?

www.elancelot.com


Chaque entreprise aujourd’hui cherche à améliorer la qualité de ses produits et de ses services. Les enjeux sont de taille, que ce soit dans le secteur privé ou dans les services publics. Il s’agit de faire face à la concurrence, d’augmenter la satisfaction client (ou des administrés), de répondre aux exigences des réglementations… Comment mettre en place une solution pour maximiser l’efficience des processus dont dépendent les produits et les services, en assurant un contrôle sur leur déroulement dans une sécurité optimale ?

UNE MÉTHODOLOGIE PRAGMATIQUE

Les processus traversent toute l’organisation et impactent un grand nombre de services. Il est donc nécessaire d’obtenir l’adhésion de tous pour mener à bien un tel projet. «Comprendre les processus de l’entreprise peut mettre à jour certains dysfonctionnements», prévient Philippe Laurent, Senior ECM Consultant chez Aubay Luxembourg. Cependant, cela n’est pas un obstacle car dans ce type de projet, il faut rester les pieds sur terre : les différents intervenants savent déjà travailler ensemble, ainsi la mise en place des applications les aidera sans nécessairement commencer par une refonte de l’organisation.

Donc, un des principes de la mise en place réside dans la capacité à prendre en compte l’existant en se mettant à la place de l’utilisateur : quelles sont les informations dont il a besoin pour mener à bien chacune des tâches qui lui incombent, où perd-on du temps... Une fois les premiers résultats de l’automatisation obtenus, il sera temps d’optimiser le processus.

DES SOLUTIONS ÉVOLUTIVES

Expliciter les processus est la clef de la réussite des projets, en évitant l’effet tunnel dans la mise en place : chaque évolution se fait en différentiel par une modification du processus. Les impacts des modifications sont très locaux et ne nécessitent pas une revalidation globale de l’ensemble du processus. «Rajouter une étape de validation ne modifie pas le comportement des autres étapes», assure François Bonnet, responsable marketing chez W4. Il n’est pas rare que les entreprises fassent évoluer leurs processus plusieurs fois par an.

DES RÉSULTATS TANGIBLES

Grâce à la mise en place de la solution W4 BPM Suite, aujourd’hui dans certaines administrations 95% des dossiers reçus sont traités dans les délais ; dans certaines banques, les chargés de clientèle disposent de 5 à 10% de temps commercial supplémentaire pour se consacrer à la nouvelle clientèle, et le délai de traitement d’une demande a été ramené à une heure plutôt qu’une journée ; dans l’industrie,

Gestion des processus métier : les enjeux de la maîtriseL’automatisation des processus : un moyen d’orchestrer les actions de chacun pour une meilleure efficacité.

Le fonctionnement de toute organisation repose sur des processus : on les qualifie de «cœur de métier» lorsqu’il s’agit d’un domaine touchant au métier, et de «transverses» pour les fonctions de type RH, Achats, Juridique… Parmi eux, certains sont critiques et doivent être automatisés, afin de fournir aux utilisateurs des applications informatiques mieux structurées et évolutives. Pour répondre à ces enjeux sur le marché luxembourgeois, la société Aubay a choisi de s’appuyer sur la solution W4 BPM Suite pour proposer cette démarche à ses clients.

74 AVRIL 08


PET

IT-D

ÉJEU

NER

Bu

sine

ss P

roce

ss M

anag

emen

t


plus de produits sont lancés dans les délais avec une qualité améliorée ; les assureurs arrivent à diminuer les temps de traitement des dossiers sinistre par quatre ; et les opérateurs de telco peuvent faire face à l’augmentation de la demande avec une prestation de service irréprochable dans la fourniture de lignes …

AVRIL 08 75

Petit-déjeuner d’ITnewsJeudi 24 avril 2008

Thème : Business Process Management

Quand ? Jeudi 24 avril 2008 à partir de 8h30

Où ? Confiserie Namur, Espace entreprises Luxembourg Hamm

Qui ? FRANÇOIS BONNET Marketing Manager, W4 LUC BERNARD Board Director, Aubay

Cas d'études ECM dans un rôle BPM: BNP Paribas Private Bank Luxemburg par Philippe

Laurent, Senior ECM Consultant, Aubay Luxemburg Barclays Bank par François Bonnet, W4 Ville d’Arlon par Patrick Adam,

Chef de Division Administrative, Ville d'Arlon

Infos : www.itnews.lu/emailing/bpm/


Cart

e d’

iden

tité :

Pré

nom

: C

laud

e

Nom

: Lü

sche

r

Age

: 43

Nat

iona

lité

: Sui

sse

Fonc

tion

: M

anag

ing

Par

tner

Soc

iété

: Ex

igo

S.A

.

Lois

irs

: Jog

ging

, Gas

trono

mie

,

Cig

ares

Sig

nes

part

icul

iers

(o

u tr

aits

de

cara

ctèr

e) :

Dire

ct, p

ragm

atiq

ue, m

esur

é

Pou

r vo

us l’

IT c

’est

…

Un

outil

qua

si to

ut-p

uiss

ant à

la d

ispo

sitio

n de

s en

trepr

ises

et

des

indi

vidu

s. C

eux

qui

save

nt s

’en

serv

ir ha

bile

men

t se

ront

tou

-jo

urs

en a

vanc

e.

abor

der

l’IT

?Id

éale

men

t, il

faut

com

bine

r des

com

péte

n-ce

s m

étie

r av

ec d

es c

ompé

tenc

es I

T afi

n

d’as

sure

r un

alig

nem

ent

optim

al e

ntre

les

de

ux.

Qu'

est-

ce q

ui v

aut

la p

eine

d’ê

tre

com

batt

u ?

L’in

com

péte

nce,

la m

enta

lité

«fon

ctio

nnai

re».

Que

l est

vot

re s

ens

de l’

inno

vatio

n ?

En c

itant

un

gran

d co

nstru

cteu

r am

éric

ain

: «e

mbr

ace

and

enha

nce»

. Il

faut

avo

ir un

e bo

nne

veille

tec

hnol

ogiq

ue e

t sa

voir

utilis

er

et a

dapt

er c

e qu

i su

ppor

te a

u m

ieux

les

ob

ject

ifs d

e l’e

ntre

pris

e.

votr

e m

étie

r ?La

div

ersi

té.

votr

e m

étie

r ?Le

s ge

ns q

ui n

e sa

vent

(n’o

sent

) pas

pre

ndre

de

s dé

cisi

ons.

luxe

mbo

urge

oise

?C

omm

e un

par

adis

… fr

agile

.

Pou

r vo

us, q

uel e

st le

pro

duit

ou

solu

tion

prof

essi

onne

l de

l’ann

ée ?

Aval

oq, u

ne s

olut

ion

«cor

e ba

nkin

g» d

’orig

ine

suis

se q

ui, a

vec

son

appa

ritio

n su

r le

mar

ché

luxe

mbo

urge

ois,

a m

arqu

é le

déb

ut d

e to

ute

une

série

de

rem

ises

en

caus

e de

s so

lutio

ns

exis

tant

es d

ans

les

banq

ues

de la

pla

ce.

Ban

que

en li

gne

ou b

illet

en

papi

er ?

Ban

que

en li

gne

Pou

rquo

i cho

isir

Exi

go ?

Pou

r no

s co

nsul

tant

s qu

i fon

t la

diff

éren

ce.

Pou

r no

tre c

apac

ité à

com

bine

r l’e

xper

tise

banc

aire

ave

c la

com

péte

nce

IT e

t à

favo

-ris

er u

n m

eille

ur a

ligne

men

t de

l’IT

ave

c le

s ob

ject

ifs d

u bu

sine

ss.

À q

uoi r

esse

mbl

e vo

tre

jour

née

type

?Il

n’y

a pa

s de

jour

née

type

mai

s ré

guliè

-re

men

t, on

tro

uver

a év

idem

men

t le

s ré

u-ni

ons

clie

nts,

les

inte

rvie

ws,

le n

etw

orki

ng,

le d

ével

oppe

men

t de

nouv

elle

s id

ées…

Dév

elop

pem

ents

ou

cons

eils

?P

lutô

t le

cons

eil.

Blo

c-no

tes

ou P

DA

?P

DA

!

Que

ls s

ont

vos

pass

ions

et

hobb

ies

?Le

s ra

ndon

nées

en

cabr

io o

u en

mot

o, la

cu

isin

e et

les

pro

duits

méd

iterr

anée

ns,

un

bon

ciga

re e

ntre

am

is.

Que

lle e

st v

otre

pla

ce-t

o-be

pré

féré

e au

Lux

embo

urg

?Le

«ba

r à

vin»

che

z P

asca

l, le

Cat

Clu

b, le

H

avan

na L

oung

e et

le B

ar a

u 8è

me

du S

ofi -

tel,

le B

oos

Caf

é.

Le g

oût

de l’

inno

vatio

n

Per

soPo

rtra

it

76 AVRIL 08


Pou

r vo

us l’

IT c

’est

…

Un

outil

qua

si to

ut-p

uiss

ant à

la d

ispo

sitio

n de

s en

trepr

ises

et

des

indi

vidu

s. C

eux

qui

save

nt s

’en

serv

ir ha

bile

men

t se

ront

tou

-jo

urs

en a

vanc

e.

ab

orde

r l’I

T ?

Idéa

lem

ent,

il fa

ut c

ombi

ner d

es c

ompé

ten-

ces

mét

ier

avec

des

com

péte

nces

IT

afin

d’as

sure

r un

alig

nem

ent

optim

al e

ntre

les

de

ux.

Qu'

est-

ce q

ui v

aut

la p

eine

d’ê

tre

com

batt

u ?

L’in

com

péte

nce,

la m

enta

lité

«fon

ctio

nnai

re».

Que

l est

vot

re s

ens

de l’

inno

vatio

n ?

En c

itant

un

gran

d co

nstru

cteu

r am

éric

ain

: «e

mbr

ace

and

enha

nce»

. Il

faut

avo

ir un

e bo

nne

veille

tec

hnol

ogiq

ue e

t sa

voir

utilis

er

et a

dapt

er c

e qu

i su

ppor

te a

u m

ieux

les

ob

ject

ifs d

e l’e

ntre

pris

e.

votr

e m

étie

r ?La

div

ersi

té.

votr

e m

étie

r ?Le

s ge

ns q

ui n

e sa

vent

(n’o

sent

) pas

pre

ndre

de

s dé

cisi

ons.

luxe

mbo

urge

oise

?C

omm

e un

par

adis

… fr

agile

.

Pou

r vo

us, q

uel e

st le

pro

duit

ou

solu

tion

prof

essi

onne

l de

l’ann

ée ?

Aval

oq, u

ne s

olut

ion

«cor

e ba

nkin

g» d

’orig

ine

suis

se q

ui, a

vec

son

appa

ritio

n su

r le

mar

ché

luxe

mbo

urge

ois,

a m

arqu

é le

déb

ut d

e to

ute

une

série

de

rem

ises

en

caus

e de

s so

lutio

ns

exis

tant

es d

ans

les

banq

ues

de la

pla

ce.

Ban

que

en li

gne

ou b

illet

en

papi

er ?

Ban

que

en li

gne

Pou

rquo

i cho

isir

Exi

go ?

Pou

r no

s co

nsul

tant

s qu

i fon

t la

diff

éren

ce.

Pou

r no

tre c

apac

ité à

com

bine

r l’e

xper

tise

banc

aire

ave

c la

com

péte

nce

IT e

t à

favo

-ris

er u

n m

eille

ur a

ligne

men

t de

l’IT

ave

c le

s ob

ject

ifs d

u bu

sine

ss.

À q

uoi r

esse

mbl

e vo

tre

jour

née

type

?Il

n’y

a pa

s de

jour

née

type

mai

s ré

guliè

-re

men

t, on

tro

uver

a év

idem

men

t le

s ré

u-ni

ons

clie

nts,

les

inte

rvie

ws,

le n

etw

orki

ng,

le d

ével

oppe

men

t de

nouv

elle

s id

ées…

Dév

elop

pem

ents

ou

cons

eils

?P

lutô

t le

cons

eil.

Blo

c-no

tes

ou P

DA

?P

DA

!

Que

ls s

ont

vos

pass

ions

et

hobb

ies

?Le

s ra

ndon

nées

en

cabr

io o

u en

mot

o, la

cu

isin

e et

les

pro

duits

méd

iterr

anée

ns,

un

bon

ciga

re e

ntre

am

is.

Que

lle e

st v

otre

pla

ce-t

o-be

pré

féré

e au

Lux

embo

urg

?Le

«ba

r à

vin»

che

z P

asca

l, le

Cat

Clu

b, le

H

avan

na L

oung

e et

le B

ar a

u 8è

me

du S

ofi-

tel,

le B

oos

Caf

é.

AVRIL 08 77


L’ENTREPRISEDU MOIS

www.itjobs.lu/kbl

Kredietbank Luxembourg43 Boulevard RoyalL-2955 LuxembourgTel. : +352 47 97 76 49Fax : +352 47 26 67http://www.kbl.lu/

KBL European Private Bankers (KBL epb) est le moteur du Private Banking européen au sein du KBC Groupe, un groupe fi nancier international, solide et performant, comptant près de 50.000 collaborateurs et plus de 13 millions de clients. De Luxembourg à Monaco, Londres à Munich, Paris à Genève en passant par Amsterdam ou Bruxelles, KBL epb rassemble des banques et sociétés de gestion spécialisées en Private Banking.

www.itjobs.lu/exigo

www.itjobs.lu/fdm

www.itjobs.lu/genix

www.itjobs.lu/gfi

www.itjobs.lu/bcee

www.itjobs.lu/b&d

www.itjobs.lu/ctg

www.itjobs.lu/deloitte


www.itjobs.lu/kelly

www.itjobs.lu/crp

www.itjobs.lu/lancelot

www.itjobs.lu/logica

www.itjobs.lu/nvision

www.itjobs.lu/scs

www.itjobs.lu/sfeir

www.itjobs.lu/sogeti

www.itjobs.lu/teamtrade

www.itjobs.lu/telindus

Devenez annonceur ! Contactez Emilie Mounier au: +352 26 10 86 26 - [email protected]

Toutes les offres d’emploi sont autant accessibles aux femmes qu’aux hommes.

Déposez votre CV, présentez votre entrepriseet découvrez les dernières offres sur www.itjobs.lu


LancelotIT Consulting & Resourcing Services

Lancelot Consulting 83, rue de HollerichL-1741 LuxembourgTél. +(352) 26 38 93 57 [email protected]

INTÉRESSÉ(E) ? POUR POSTULER:Si vous souhaitez postuler pour ce poste, merci de nous faire parvenir votre candidature à l’adresse suivante: [email protected] ajoutant le texte suivant “Réf. 387 - SAN STORAGE”Votre CV doit être de préférence en format MS WORD ou RTF.Confi dentialité assurée! Pour les offres d’emploi, Lancelot s’engage à ne jamais envoyer un CV à un client sans avoir demandé au préalable l’accord du candidat.

SAN STORAGE SYSTEM ENGINEER LUXEMBOURG

MISSION: Installation, confi guration, administration and troubleshooting

of large heterogeneous backup and storage infrastructure. Incident handling with respect of targeted resolution times. Elaboration of operational guidelines / procedures

and technical documentation. Evaluation, review and implementation of standards (best practices). Participation in architectural design / reviews

and relevant client meetings Implementation of design changes.

SPECIFICATIONS DU POSTE Début: ASAP Lieu: Luxembourg Salaire: 55000.00-70000.00

PROFIL: In-depth technical knowledge of EMC high-end hardware and

management software, and Unix Solaris, Windows NT/2000+, Linux. In-depth knowledge of (some of): Oracle, Microsoft SQL Server,

MS Exchange and TCP/IP networking (especially related to backup and storage) Ability to write and debug scripts in any one or more

of the following operating systems (Solaris, Windows or Linux) Solution driven and user-satisfaction oriented Ability to work in a demanding environment

where time fl exibility is mandatory. Technical knowledge of application environments

and their interactions with storage/backup environments Capabilities to manage small technical projects. Good knowledge, written and spoken, of English and/or French Minimum 5 years of relevant experience Certifi cation in SAN and/or NAS product(s) Certifi cation in at least one storage manufacturer's product range Certifi cation in Backup products. Certifi cation in either Solaris, Windows or Linux.

Analyste-Développeur Java ExpérimentéTYPE DE CONTRAT : TYPE D'EMPLOI : RÉFÉRENCE : 149988

VOTRE MISSION :

Vous interviendrez sur des projets J2EE dans le secteur fi nancier (banques et assurances).

VOTRE PROFIL :Developpeur java expérimenté avec une expérience d'au moins 2 ans avec les technologies suivantes : Spring Strut Java J2EE

LANGUES : Français Anglais

VOS APTITUDES : Sens de l’organisation Capacité d’analyse Esprit d’équipe Bon relationnel Critique Rigoureux

NOTRE OFFRE : Un 13ème mois Une Voiture de société Une Carte carburant Des Tickets Restaurant à 8,40 Prime de parrainage 26 à 31 jours de congés Un Plan de formation personnel Une Gestion de carrière Des Missions valorisantes

Vous êtes intéressé(e) ? N'hésitez pas à envoyer votre dossier à :

CTG LUXEMBOURG PSF Melle Staebler Audrey ZA de Bourmicht, 10 L-8070 Bertrange [email protected] Vous souhaitez mieux nous connaître CTG ? Rendez-vous sur www.thisisctg.lu


MAKANA - Emilie Mounier83, rue de HollerichL-1741 LuxembourgT +352 26 10 86 26F +352 26 10 86 [email protected]

Vous recrutez ? Votre annonce ici pour seulement 450 !

VOS AVANTAGES: Plus de 7000 lecteurs spécialisés en IT La solution pour à la fois recruter et renforcer votre image Une parution de l’annonce couplée dans le magazine ITnews 2.0et sur le site www.itjobs.lu Aucun frais de graphisme

VOTRE TARIF: 450 seulement pour une parution à la fois dans le magazine ITnews 2.0 et sur le site www.itjobs.lu

SPÉCIFICATIONS TECHNIQUES:Vous nous transmettez: Votre logo Votre annonce

Nous faisons la mise en page...

PLUS D’INFORMATIONS:MAKANA - Emilie Mounier - 83, rue de Hollerich - L-1741 Luxembourg - T +352 26 10 86 26 - F +352 26 10 86 [email protected]

Wouter MarienSymantec Corporation

[email protected]

Principal System Engineer (SE) for Luxemburg

MISSION :The Principal System Engineer will work with the sales teams in a pre-sales role to develop and position solutions involving Symantec’s products. The SE Delivers presentations and participates in conference call discussions, confi rms that Symantec’s products meet the prospect’s requirements and assist sales in technical qualifi cation. He or she also needs to be able to articulate and demonstrate Symantec solutions, and position products relative to the competition. Actively delivering presentations at high level speaking engagements, seminars and trade shows are also part of the assignment. This position may require travel throughout Belgium and Luxemburg.

WHEN : ASAP

PROFIL :The candidate must have a Bachelor's degree in Computer Science, Engineering or related fi eld, 6-8 years experience in systems administration, pre-sales or related fi eld. Strong knowledge and understanding of the storage and security industry. In-depth knowledge of multiple Operating Systems such as UNIX, Windows and storage devices. Must possess good presentation skills. Strong interpersonal skills. Ability to relate to a wide range of technical staff and managers in customer environments. Excellent verbal and written communication skills in French/English. Good knowledge of the storage & security landscape.

APPLY ?contact Wouter Marien by email


EN JUIN 2008DATACENTERS & INFRASTRUCTURE

ITnews 2.0 Outsourcing Special

Contacts: Rédaction: [email protected] Publicité: [email protected]

Clôtures: Manifestation à intérêt : 21 avril 2008 Contribution: 28 avril 2008 Parution et conférence: 15 mai 2008

SOURCING: IN & OUT, AND SPECIAL INDIA

Sourcing: la définition des besoins Comment s'engager sur la voie du sourcing? Un bon contrat vaut mieux que deux tu l'auras... Sourcing: tendances 7 ou 9 ans? Outsoucing / Cosourcing / Insourcing / Hubbing... Jusque où aller ? Sourcing de base : outtasking, cotasking, body shopping... Le management des partenaires de sourcing Communiquer : l'essentiel, mesurer : l'incontournable

La qualité dans le sourcing : standards & méthodes Big players, big projects, big bangs... Et les PME ? Mais aussi: les (nouveaux) PSF... SaaS : extreme sourcing ? BPO Tailor-made sourcing: mutualisation 'one to one'

Le 15 mai 2008ITnews 2.0 Spécial Outsourcing

SPECIAL OFFSHORING :

INDIA...


Places limitées, réservez votre table dès à présent sur [email protected] www.goldeni.lu


ITnation #09 - avril 2008

Documents

Transcript of ITnation #09 - avril 2008