Le cloud d’Econocom PSF certifié ISO 27001

En partenariat avec Digital Security, Econocom PSF a obtenu la certification ISO27001 pour son cloud luxembourgeois et ses managed services. Selon Sébastien Missenard, le directeur de l’entité luxembourgeoise du groupe, cette certification vient répondre aux préoccupations croissantes des acteurs luxembourgeois vis-à-vis des cybermenaces.

De g. à dr. : Benoit Rousseaux, Managing Director / Ercan Kocak, Cybersecurity Consultant – Digital.security et Sébastien Missenard, Director – Econocom PSF

« La sécurité des données et des systèmes d’information est un enjeu considéré par nos clients comme de plus en plus important », explique Sébastien Missenard, directeur d’Econocom PSF. Cet acteur de la transformation digitale des organisations vient de mener à terme avec succès une démarche d’obtention de la certification ISO 27001, relative à la gestion de la sécurité de l’information. « Il y a aujourd’hui une véritable prise de conscience de la cybermenace et des risques qu’elle représente pour le business. A tel point que la cybersécurité est devenue une composante essentielle de la transformation digitale des organisations, poursuit le directeur. Pour mieux répondre à ces préoccupations à travers notre offre et satisfaire aux nouvelles exigences de nos clients en la matière, il était donc essentiel que nous gagnions en maturité vis-à-vis de ces enjeux. C’est pour cela qu’en novembre 2018, nous nous sommes engagés dans une démarche de certification. »

Une approche structurée de la gestion de la sécurité

Afin de l’obtenir, Econocom PSF a pu s’appuyer sur l’expertise de l’équipe GRC de Digital Security, société membre de la galaxie Econocom, spécialisée dans les enjeux de cybersécurité. « La certification est en effet assez exigeante et son obtention implique d’importantes transformations en matière de gouvernance, de gestion des risques et de conformité, commente Ercan Kocak, consultant en gouvernance et risk management au sein de Digital Security à Luxembourg. Considérant l’ampleur d’un tel chantier, il faut bien en définir le périmètre. Dans le cas présent, nous avons travaillé sur le service cloud d’Econocom PSF et les managed services qui y sont associés. » 

Nouvelle gouvernance et gestion opérationnelle améliorée

La démarche a consisté dans la mise en place d’une nouvelle gouvernance permettant d’agir sur la gestion opérationnelle dans une optique d’amélioration continue. « Une telle démarche permet de bien structurer son approche. On travaille sur la gestion du changement, la sensibilisation des équipes, la communication. On constate également que la gestion de la sécurité a des implications à tous les niveaux de l’entreprise, en commençant par la gestion des ressources, pour se traduire au final dans des aspects plus opérationnels », poursuit Ercan Kocak. 

Une évaluation sur 114 points de contrôle

La mise en œuvre d’un tel chantier, mené en quelques mois, présente cependant beaucoup d’avantages. « La certification nous permet d’entretenir de meilleures relations avec nos clients. En appréhendant les enjeux de la gestion de la sécurité de manière structurée à travers la certification et ses 114 points de contrôle, nous avons mieux pris conscience des besoins des organisations en matière de cybersécurité. In fine, nous pouvons apporter de meilleures garanties en matière de préservation de la confidentialité, de l’intégrité et de la disponibilité des données, commente Sébastien Missenard. Une fois inscrit dans cette démarche, impossible de faire marche arrière. Le maintien de la certification, avec des évaluations régulières, implique la mise en place d’un cycle d’investissement régulier. Au quotidien, nous devons veiller à améliorer la qualité et la sécurité eu égard à l’utilisation de nos services, en adoptant les meilleures pratiques de gestion de la sécurité de l’information. » 

Faciliter l’adoption du cloud

Pour Econocom PSF, la certification constitue une étape essentielle dans l’évolution de la société et de ses services. Elle doit faciliter l’adoption du cloud d’Econocom par des acteurs régulés, notamment dans le secteur financier. « Ces professionnels du secteur financier, sous supervision de la CSSF, doivent pouvoir faire valoir un droit à l’audit auprès de prestataires informatiques. L’approche ISO 27001 nous permet de répondre directement à énormément de questions qui peuvent nous être soumises. La certification nous a contraints à documenter énormément d’éléments. Ce qui nous permet d’offrir une grande transparence à nos clients, de développer des liens de confiance et d’accélérer la mise en relation », ajoute Sébastien Missenard. En outre, précise le directeur, cette démarche s’inscrit directement dans la politique gouvernementale, qui vise à faire du Luxembourg un hub de confiance dans le domaine de la protection des données. 

Cloud hybride sécurisé et managed services de proximité

Si Econocom PSF a choisi d’appliquer la certification ISO 27001 au cloud et aux managed services, c’est parce que cela lui permet de répondre efficacement aux attentes actuelles exprimées par les organisations luxembourgeoises. « Dans une optique de migration vers des plateformes cloud, je crois très fortement à la pertinence d’un environnement hybride. Beaucoup d’organisations, aujourd’hui, désirent maintenir certaines infrastructures critiques localement sans avoir à les gérer elles-mêmes. Ils doivent pour cela s’appuyer sur des acteurs locaux établis sur le territoire luxembourgeois, précise le directeur d’Econocom PSF. En leur permettant de recourir à des ressources cloud adaptées à leurs besoins, tout en étant proches de nos clients, nous répondons à ces attentes. La certification ISO 27001 est un gage de conformité de nos services et un signal fort de confiance qu’ECONOCOM PSF envoie à ses clients actuels et futurs. »

S’appuyer sur un expert en cyber sécurité

Digital Security, partenaire d’Econocom PSF dans cette démarche de certification, est active au Luxembourg depuis deux ans, en tant que filiale de sa maison-mère Digital Security France. « Nous sommes un satellite dans la galaxie du groupe Econocom, ce qui signifie que le groupe nous supporte dans notre croissance tout en nous laissant une totale autonomie quant aux développements stratégiques et commerciaux. A travers ce projet de certification, nous démontrons toute la valeur que notre expertise en sécurisation de l’information peut apporter au groupe et à d’autres organisations », explique Benoît Rousseaux, Managing Director de Digital Security Belgium Luxembourg.

Digital Security: 3 équipes pour une approche complète de la sécurité

Digital Security, en effet, développe des services dans le domaine de la sécurité des systèmes d’information mais également des solutions connectées (Internet of Things). « Une première équipe délivre des services de consultance dans le domaine de la gouvernance, de la gestion des risques et de la conformité (GRC), à l’instar de ce que nous avons réalisé avec la certification ISO 27001 du cloud d’Econocom PSF. Cette démarche peut aussi s’appliquer à d’autres normes, directives ou réglementations, comme GDPR ou NIS, assure Benoît Rousseaux. Nous accompagnons aussi nos clients dans l’amélioration et l’application de leurs politiques de sécurité et leurs campagnes de sensibilisation. Une autre équipe est spécialisée dans la sécurité offensive. Son rôle est d’identifier des vulnérabilités dans les infrastructures et les applications, notamment par des tests d’intrusion (pen-test), et de formuler des recommandations. La troisième équipe opère sur les enjeux de sécurité défensive, en veillant à protéger les données par une meilleure gestion des identités et des accès, ou par la sécurisation des réseaux et des environnements applicatifs, ou encore la mise en œuvre de solutions de gestion opérationnelle de la sécurité.» 

C’est la force d’un groupe tel qu’Econocom qui a permis à Econocom PSF de requérir l’expertise GRC de Digital Security pour mener à bien une telle démarche. A l’instar de tout projet technologique, cette fructueuse collaboration s’inscrit sur le long terme dans une stratégie d’amélioration continue de la qualité des services.