Plus de sécurité, pour plus de liberté

Eric Mansuy, CIO de KBL, était l’un des invités des dernières Rencontres de la Sécurité Informatique, proposées par Excellium. A cette occasion, il a évoqué les enjeux de sécurité au cœur du processus de transformation digitale du groupe actif dans le domaine de la banque privée.

Eric Mansuy, CIO de KBL ebp, était l’un des invités des dernières Rencontres de la Sécurité Informatique, proposées par Excellium. A cette occasion, il a évoqué les enjeux de sécurité au cœur du processus de transformation digitale du groupe actif dans le domaine de la banque privée. Par Sébastien Lambotte 

Acteur de la banque privée, KBL est présent dans huit pays européens et emploie environ 2200 personnes. Depuis plusieurs mois, le groupe mène une importante transformation technologique et opérationnelle, une réelle migration BPO. A l’avenir, KBL appuiera ses opérations sur la plateforme technologique que Lombard-Odier met à sa disposition. « Nous opérons une migration progressive. Nous avons commencé par la France, puis le Luxembourg, pour poursuivre sur d’autres entités du groupe, commente Eric Mansuy. C’est un chantier d’envergure, avec beaucoup de projets connexes. »

Est-ce sécurisé ? Pouvez-vous le démontrer ?

Ce sont surtout les aspects relatifs à la sécurité, ainsi que la manière de les appréhender qui étaient au centre du débat des « Rencontres ». « KBL a toujours entretenu une culture de la sécurité forte. Or, le changement, l’externalisation dans un mode BPO, n’est pas de nature à rassurer tout le monde. Il a fallu intégrer cette problématique au cœur du projet de transformation, pour lever les inquiétudes du board », assure Eric Mansuy. Un board dont les exigences tournent principalement autour des questions : « est-ce que c’est sécurisé ? » et « comment pouvez-vous le démontrer ? ».

La sécurité, une affaire de responsabilités

Dans ce contexte, KBL a choisi de se faire accompagner (en l’occurrence par Deloitte et Excellium), afin de disposer d’une certification, qui garantit le plus haut de niveau de sécurité. « Les niveaux de responsabilité peuvent différer d’un pays à l’autre, assure Eric Mansuy. La volonté a donc été de profiter de ce projet pour tirer tout les monde vers le haut, en mettant la question de la sécurité au cœur de la structure et en s’inscrivant dans une démarche d’amélioration continue. Nos filiales profitent désormais du parapluie sécurité qui a été déployé à l’échelle du groupe, dont j’ai la responsabilité. » Car, il est bien question de responsabilité. Et même si KBL s’inscrit dans un contexte d’externalisation, la responsabilité liée à la sécurité, compte tenu des nouveaux règlements, ne peut pour sa part pas être sous-traitée.

Meilleures pratiques

Dans ce contexte, la sécurité est donc intégrée au cœur du projet de transformation et, plus largement, au business. Enjeu de plus en plus présent au fil des régulations, la sécurité intègre la gouvernance. « Chaque changement doit être évalué, validé. La démarche est auditée, commente Eric Mansuy. Or, au niveau de la banque, ce ne sont pas des sujets faciles. » Quand, hier, les problématiques de sécurité étaient appréhendées par les équipes informatiques internes uniquement, désormais le groupe développe une approche mêlant ressources internes et externes. « Il faut pouvoir revoir le périmètre extérieur, soumettre nos solutions à des tests de pénétration extérieurs, mais aussi élaborer des mécanismes efficients de réponse en cas de crise. Pour cela, nous devons nous appuyer sur des partenaires extérieurs, profiter de leurs meilleures pratiques. Les réponses ne peuvent plus être uniquement techniques. Il faut s’inscrire dans une démarche globale de gestion de la sécurité, afin d’appréhender des problématiques de plus en plus complexes. »

Dépasser la contrainte

« Nous connaissons les objectifs et les contraintes. Nous privilégions toutefois une approche de sécurité qui n’aille pas à l’encontre de la productivité et de la mobilité. C’est tout l’enjeu, s’il faut plus de sécurité, il faut aussi plus de liberté, assure le CIO. Par le passé, la sécurité a souvent été considérée comme une contrainte, et plus encore d’ailleurs à partir du moment où la gouvernance a été impliquée et que tout a dû être contrôlé selon le principe des 4 yeux. Pour transformer la contrainte en opportunité, tout en garantissant la confiance, il a fallu penser de nouveaux modèles. Nous avons dû évoluer vers d’autres approches, pour assurer un plus grand confort aux utilisateurs. Il faut penser « solutions sécurisées et auditées » mais dans le sens du marché. »

Des budgets biens alloués

Dans un contexte de renforcement réglementaire, fortement imprégné d’enjeux de sécurité, il est plus aisé de placer ces aspects au cœur des préoccupations, directement sur le bureau du board. « En soi, pour les hommes en charge de la sécurité, c’est une opportunité, dans la mesure où des budgets peuvent être directement dégagés au départ du top management. L’enjeu, pour le CIO, est de pouvoir expliquer de manière pédagogique aux membres du board les projets envisagés et leur pertinence dans le contexte de la banque. Il faut pouvoir mieux expliquer les risques, comment ils se matérialisent et comment il est possible de les traiter. Une des préoccupations première du board restant de s’assurer que les budgets sont bien alloués. »