Techsense Magazine #04

#04

TECHSENSE Magazine #04

EDITO

Chères lectrices, chers lecteurs,

Avec un produit intérieur brut par habitant

supérieur à 132.000 dollars au moment où ce

magazine est mis sous presse, le Luxembourg

caracole en tête du classement des pays les plus

riches au monde établi par le Fonds Monétaire

International ! Et même si les palmarès de ce

genre peuvent varier en fonction des indicateurs

économiques utilisés, le score obtenu par le Grand-

Duché n'en est pas moins révélateur de l'attractivité

que le pays exerce tant sur les entreprises et les

investisseurs que sur les travailleurs.

Kamel Amroune CEO

Situé au cœur de l'Europe, le

Luxembourg est une tête de

pont idéale pour les entreprises

souhaitant accéder au marché européen. Le

pays est connu pour sa stabilité politique,

son économie est diversifiée et résiliente, le

taux de chômage y est faible et la croissance

économique régulière. Cette stabilité offre

aux entreprises un environnement prévisible

et propice aux investissements à long terme.

Si l'on ajoute à cela des infrastructures

modernes et de grande qualité, notamment

en termes de télécommunications et

de technologies numériques, une maind'œuvre

multilingue hautement qualifiée

et un régime fiscal favorable, on obtient la

liste des ingrédients qui, combinés, font

du Luxembourg un choix attrayant pour les

entreprises ainsi que pour les travailleurs à

la recherche d'opportunités professionnelles

et d'une bonne qualité de vie.

Un investissement adéquat dans la

cybersécurité est cependant crucial

pour maintenir et renforcer la résilience

économique d'un pays. Il n'en va pas autrement

au Luxembourg.

Les infrastructures critiques telles que les

réseaux électriques, les systèmes de transport,

les services financiers et les communications

sont essentielles au développement d'une

économie prospère. Il est indispensable

de protéger ces infrastructures contre les

attaques et les intrusions, leur compromission

pouvant entraîner des conséquences

économiques désastreuses. Qui plus est,

de nombreuses entreprises collectent,

stockent et traitent des données économiques

sensibles : informations financières, secrets

commerciaux ou données client. Ces

données doivent être protégées contre le

vol, la manipulation ou la destruction. Et

dans un monde de plus en plus numérique, la

confiance dans la sécurité des transactions

en ligne, des paiements électroniques et de la

confidentialité des données est primordiale.

La cybersécurité joue un rôle essentiel pour

préserver cette confiance en garantissant la

protection des informations personnelles,

la prévention des fraudes et la sécurité des

transactions.

Au fil des pages qui suivent, nous vous invitons

à découvrir les articles que nos partenaires et

nous-mêmes avons consacré à l'attractivité

économique du Luxembourg et à son indispensable

contrepartie, la sécurité des systèmes et des données.

Bonne lecture

03

#04

SOMMAIRE

06

Inform

22

Learn

36

Solve

50

Network

08

Luxembourg Stock Exchange

Le Luxembourg, un pays

attractif pour les travailleurs ?

10

EBRC

Le backup, un enjeu vital pour

l’entreprise moderne

12

Red Hat

A resilient financial sector

is underpinned by open

hybrid cloud

14

LuxProvide

LuxProvide, un pôle d'attraction

pour les acteurs du digital

16

Cybercrime-as-a-Business

18

Supply Chain Attacks

Unmasked

20

Editus

Bien utiliser ses données pour

un marketing plus performant

24

Neofacto

AI in DevOps is Here to Stay

26

Uncovering the Threat

Landscape of API Attacks:

Safeguarding Your Business

from Data Breaches

28

EY

Blockchain et Crypto Monnaie :

Le rôle clé du Luxembourg

30

What’s Involved in Reporting

Cyberattacks?

32

Ransomware-as-a-Service:

A Quick Guide for CIOs

and IT Managers

34

Are Women the Secret Weapon

for Tackling Cybercrime?

38

La Mondiale Europartner

La Mondiale Europartner lance

MyLMEP, sa nouvelle plateforme

100% digitale

40

The LHoFT

Exploring the Luxembourgish

Startup Ecosystem

42

NTT

Empowering Businesses

with Innovation: NTT Ltd.'s

Transformative Investments

in Luxembourg

44

Razrtech

Your Internet is Fast, Your

Website is Not

46

Fujitsu

ChatGPT : véritable opportunité

ou risque latent pour la sécurité

des entreprises ?

48

Business Science Institute

Un DBA international

conçu pour les dirigeants

et managers

52

The Cost of Cybercrime

in the Financial Sector

54

Retour sur le Techsense

Summit: AI & Data in The

Technologic Age

56

Tech Supreme Court:

Crypto Edition

49

nexten.io

nexten.io une solution

end-to-end pour le

recrutement IT

04

01

Inform

{ Verbe transitif }

Faire savoir quelque chose à quelqu’un,

le porter à sa connaissance, le lui apprendre.

06

Building trust and sustained outcomes

around the world.

Cybersecurity increasingly keeps CEOs up at night. At PwC,

we are a community of solvers helping our clients tackle one

of the biggest issues businesses face today.

You’re ready to power global change. We’re ready to create

the tech needed to succeed.

Be a part of The New Equation.

Learn more at www.pwc.lu/careers


Inform

Le Luxembourg,

UN PAYS

ATTRACTIF

POUR LES

TRAVAILLEURS ?

| Propos recueillis par Yann Roll |

Le Luxembourg est une

destination de choix pour les

entreprises et les travailleurs qui

cherchent à s’implanter dans un

environnement stable, compétitif

et propice à la croissance. Nous

avons demandé à Laurent

Pulinckx, CIO, et Christopher

Frères, Head of HR, de la Bourse

de Luxembourg de partager leurs

points de vue sur l’attractivité du

Luxembourg.

— À quels défis l’industrie IT luxembourgeoise est-elle confrontée ?

LP : « Jusqu’il y a une dizaine d’années, les ressources consacrées à l’informatique étaient

déployées dans les départements informatiques, pour l’essentiel. Toutefois, avec l’accélération

de la transformation digitale, il est apparu que l’informatique prenait une place de plus en plus

prépondérante dans la vie des entreprises. En conséquence, les besoins des entreprises en

ressources qualifiées ont connu une augmentation significative. La pandémie de COVID-19

a également joué un rôle clé dans l’accroissement de la digitalisation des métiers. Les

confinements successifs ont en effet favorisé une mobilité accrue des activités professionnelles,

permettant aux employés de travailler depuis n’importe quel endroit. Toutefois, la crise

sanitaire a également entraîné une tendance générale à la réduction de la main-d’œuvre. »

« Le Grand-Duché fait actuellement face à une situation où les besoins excèdent l’offre

disponible sur le marché. Tant que la Commission européenne et le gouvernement

luxembourgeois ont pour ambition de placer la transition digitale au centre de leurs politiques

de développement, il devient vital d’attirer et de retenir les talents nécessaires à cette

transformation. Les défis liés au recrutement dans l’industrie de l’IT dépassent cependant

les frontières du Luxembourg, c’est une problématique mondiale. Il faut également souligner

que la compétition entre les différents acteurs pour attirer les talents est d’autant plus

aigüe dans un pays aussi petit que le Luxembourg. »

— Ces défis se reflètent-ils également dans les processus

de recrutement de l’industrie financière ?

CF : « Sur le marché financier, on remarque souvent, lors des entretiens d’embauche, que

les candidats ont envie de travailler de manière plus flexible. Les adaptations du seuil

fiscal pour le télétravail ou celui de la sécurité sociale doivent être transcrits dans la loi

avant de devenir réellement effectives. Or, on ne légifère pas à la même vitesse que celle

de la parole et cela pose des problèmes car l’attractivité du Luxembourg est impactée par

ce type de contraintes. »

« La place financière luxembourgeoise possède un fort dynamisme et une grande diversité

culturelle. La preuve en est à la Bourse de Luxembourg, par exemple, où nous recensons

pas moins de 17 nationalités différentes parmi nos 140 employés. Il faut souligner que nous

bénéficions, au sein de la place, d’énormément de support en termes de réglementation

et de cadres définis par le gouvernement. Au Luxembourg, il règne une sorte d’obsession

08

Inform


visant à instaurer un cadre dynamique favorisant le développement

économique des entreprises. »

« L’un des principaux défis - si ce n’est le plus important - auxquels

nous faisons face est le recrutement de talents à l’étranger. Depuis la

crise sanitaire, on parle d’une nouvelle frontière pour les travailleurs

français, qui ne se limite plus à Thionville mais s’étend jusqu’à

Metz. Plus précisément, les travailleurs trouvent désormais plus

avantageux de trouver un emploi à Paris, télétravailler pendant 3 ou

4 jours et de ne se déplacer qu’une seule fois par semaine, au lieu

de passer une bonne partie de leur temps dans les embouteillages à

la frontière luxembourgeoise. L’argument de la différence salariale

s’amenuise au fil du temps notamment en raison des différentes

classes d’impôts. »

— De quelle manière la technologie impacte-telle

le recrutement chez LuxSE ?

CF : « Nous réalisons une majeure partie de nos recrutements à

l’étranger. Il est donc logique que nous ayons une technologie adaptée

pour échanger et converser avec nos candidats à distance. Nous

conservons cependant les entretiens physiques lorsqu’un profil

est largement avancé dans notre processus de recrutement. Pour

faciliter nos opérations, nous avons recours à une plateforme externe

de gestion des recrutements - équipée de fonctionnalités intégrant

des techniques d’Intelligence Artificielle - pour la sélection des CV,

notamment. Néanmoins, nous considérons qu’une supervision

humaine est primordiale car certains profils qui ne sont pas retenus

par l’IA peuvent s’avérer être en réalité pertinents pour nous, et

inversement. »

— Comment la technologie peut-elle contribuer

à la satisfaction des employés ?

LP : « La technologie est omniprésente dans la vie de l’entreprise et

cela renforce ma conviction qu’elle participe à la satisfaction - ou à

Laurent Pulinckx

CIO de la Bourse de Luxembourg

l’insatisfaction - des employés. Pour être perçue comme moderne

et digitale, il est impératif pour une entreprise de proposer des

solutions digitales et modernes à tous les collaborateurs. »

« Pour corroborer mes propos, je m’appuie sur une étude menée

par le cabinet Gartner qui révèle que les employés satisfaits de leur

expérience digitale ont deux fois plus de chances de rester dans

l’entreprise. Concrètement, notre objectif est de permettre aux

collaborateurs de se concentrer uniquement sur les tâches à forte

valeur ajoutée et d’éliminer celles qui sont pénibles et redondantes :

automatiser certaines tâches, créer un environnement de travail plus

flexible ou encore recourir aux technologies low-code ou no-code

pour permettre à l’utilisateur de mieux gérer son environnement de

travail sont des pistes à explorer. »

— Selon vous, quelle est la clé pour retenir les

talents sur le long terme ?

LP : « L’aspect primordial à développer avec les équipes – il s’agit

ici d’un constat personnel – sont les valeurs de l’entreprise. Elles

représentent un véritable argument de vente, si je puis dire, pour

attirer les talents. Et c’est là que se pose la véritable problématique :

réussir à exposer correctement ces valeurs et à les transmettre.

Les gens ont besoin de comprendre ce qu’est une bourse, ce qu’est

la finance durable, ils ont besoin de saisir les motifs pour lesquels

la Bourse de Luxembourg est pionnière dans les sujets comme la

finance durable et l’emploi de la technologie. »

Christopher Frères

Head of HR de la Bourse de Luxembourg

CF : « La politique du ‘lead by example’ est la seule manière de faire

vivre aux employés les valeurs de l’entreprise. On peut les afficher

un peu partout, ce n’est pas suffisant. Le ton doit être donné par un

comité exécutif comme celui dont Laurent fait partie chez LuxSE.

Par exemple, une de nos principales valeurs est l’innovation. Elle est

véhiculée à merveille par Laurent et démontre bien l’importance de

vivre ces valeurs. Je pourrais encore citer l’égalité, incarnée chez

nous par notre CEO, Julie Becker. »

09


Inform

Le backup,

un enjeu

vital pour

l’entreprise

moderne

| Par Yann Roll |

En garantissant la sécurité et la disponibilité des

données indispensables au fonctionnement de

l’entreprise, la sauvegarde – ou backup - joue un

rôle central dans le paysage numérique actuel. Ces

dernières années, le concept a dû évoluer pour

répondre à la fois aux exigences croissantes des

organisations et à la complexité grandissante de

la gestion des données. Raphaël Henry, Head of

Marketing and Portfolio Management, Franck

Lartigue, Business Consultant, et Alain Eloy,

Enterprise Architect chez EBRC font le point sur les

concepts et la vision qui sous-tendent une stratégie

de sauvegarde bien conçue.

«

Dans une économie de plus en plus numérique, la protection

des systèmes d’informations et des données est un enjeu

majeur », explique Raphaël Henry. « Les entreprises font

aujourd’hui face à des menaces internes et externes polymorphes,

très dynamiques et dont la complexité ne cesse de croître. Une

simple maladresse de la part d’un collaborateur peut mettre à mal

l’entièreté de l’infrastructure au même titre qu’un acte de sabotage

ou qu’une cyberattaque. De plus, la part croissante prise par les

API a un impact phénoménal sur l’industrie digitale. Les systèmes

d’informations sont entrés dans une ère d’ultra-connexion où chacun

dépend de différents composants traités ou hébergés chez des tiers ».

« Ces éléments démontrent l’importance de disposer d’un système

d’information de repli en cas d’incident car le moindre problème

dans la chaîne d’approvisionnement peut remettre en cause toute

l’activité d’une entreprise », ajoute-t-il. « La base de cette stratégie

de secours repose sur la copie des données. Ce principe n’a rien de

nouveau puisqu’il remonte au début de la numérisation de notre

monde. Néanmoins, il faut à présent prendre en considération les

problématiques inhérentes au Cloud et à la mise en conformité des

entreprises avec les différentes régulations en vigueur en Europe

et au Luxembourg ».

— Bien comprendre les besoins métier

« Le Luxembourg possède un contexte différent de ses voisins

européens », intervient Franck Lartigue. « Évidemment, chaque

entreprise doit se conformer aux règlementations européennes

telles que le RGPD ou le règlement DORA. Cependant, le Grand-Duché

ne se limite pas à appliquer sur son sol les règlementations de l’UE

puisque le pays possède ses propres entités régulatrices. La CSSF,

par exemple, impose certaines exigences en matière de résilience

et de backup. Toute société, quelle qu’elle soit, doit avoir en sa

possession les moyens nécessaires à la continuité de son activité

et pouvoir garantir à ses clients qu’elle a la capacité de le faire ».

« Il est vital pour une entreprise de bien saisir où se situe son MVC,

ou Minimum Viable Company », poursuit Franck Lartigue. « Quels

sont les éléments les plus cruciaux ? Quelle est l’étendue des

besoins métier qui permettront de remettre en œuvre rapidement

l’organisation après une cyberattaque ou autre incident à l’impact

similaire ? Toutes les données ne sont pas équivalentes, c’est pour

cette raison qu’il faut impérativement classifier les données et les

applicatifs de l’entreprise. Pour ce faire, on peut s’appuyer sur un

service capable d’apporter du conseil et de construire un BIA - ou

Business Impact Analysis ».

À SUIVRE...

Rendez-vous sur ebrc.com

pour lire la suite de l’article

et découvrir comment choisir

le bon backup pour le bon cas

d’usage.

10

Unmasking Sustainability:

Now you see me

European Convention Center Luxembourg

November 22 nd 2023

by


Inform

A resilient financial sector

is underpinned

hybrid cloud

| By Richard Harmon, VP, Global Financial Services Industry, Red Hat |

For the financial sector, managing digital risks in this

cloud era is more crucial than ever. New regulations

such as DORA serve as a roadmap for organizations

to improve their security and resilience. An industrywide

strategy is needed to implement these new

requirements. Hybrid cloud, and open source in

particular, can prove to be invaluable tools.

Ever since the 2008 global financial crisis, governments and

regulators have been on a mission to build integrity and

resilience back into their banking and financial systems.

In the EU, DORA (Digital Operational Resilience Act) is the latest of

these efforts. Passed in March 2022 and applying from January 17 th ,

2025, this new legislation will mandate that financial organizations

ensure the resilience of all the technologies in their stack.

With DORA, liability is the key tenet — if you run the technology, then

you have responsibility for it, goes the new rule. That brings thirdparty

systems and applications into the arena of an organization’s

accountability. DORA is namely a response to the increasing

digitalization of the financial world and its additional security

risks, especially when it comes to outsourcing IT services and

cloud models. This also includes major cloud providers such as

Microsoft, Amazon and Google.

It’s not just big banks that will be under the spotlight. DORA will also

apply to all sorts of financial businesses, from credit and payment

providers to investment and insurance firms; cryptocurrency

exchanges to crowdfunding platforms. By doing so, the EU hopes

to prevent substantial economic damage to the industry, as the

estimated annual cost of incidents to the European financial sector

ranges from €2 billion to as much as €27 billion.

— A hyper-connected finance sector

DORA comes at a time when many institutions are adding complexity,

and so risk, to their technology supply chain. The undeniable

benefits of the cloud are likely to prompt even more mission-critical

workloads to head there. These workloads in turn attract more

profound security considerations, and new vendors are sought

to protect these core systems. This way, partners can modernize

legacy platforms and applications, and power the digital innovations

that leave customers happy and the competition behind.

The result is a hyper-connected finance sector, and a wider

and potentially more vulnerable attack surface for institutions.

Organizations now access a vast array of third-party data and

technology services from the same public cloud servers and data

centers. If one organization is vulnerable, it may impact everyone

else. The Federal Reserve estimates that an attack on any one of

the five most active banks in the US could spill over to impact 38%

of the national financial network.

12

Inform


by open

— A shared responsibility

As attacks are increasingly becoming more sophisticated, the

need for a more community-minded open approach is getting

more voice. Make resilience and security a real team effort rather

than a lone pursuit, since financial systems no longer exist in

isolation. If institutions pull down their walls of secrecy, there

can be a holistic view of how everything is stitched together, truly

benefiting all in the ecosystem.

There are efforts in the industry and academia to map how

the global financial sector is technologically connected using

simulations to determine how a system failure or attack could

impact not just a few firms but spill over to the markets. This for

example involves identifying potential gateways that could lead to

systemic risks and quantifying the impact of security incidents on

the overall economy. Regulators, financial institutions and cloud

providers alike can benefit from these insights. Ultimately, it is

the same modelling principles that helped virologists predict the

path of COVID-19.

— Open source and hybrid cloud

A crucial challenge for financial institutions these days is how they

can build the required resilience when using cloud services. To

this end, a growing number of companies are following a strategy

based on open source and the hybrid cloud. A recent Red Hat

survey called “The State of Enterprise Open Source“, for instance,

shows that 81% of IT managers in the financial world prefer to rely

on open source solution providers.

Around 75% of these managers do so because open source software

simplifies the implementation of a hybrid cloud infrastructure. This is

because such an infrastructure provides the flexibility to consistently

run and scale applications across different environments - from

Richard Harmon

VP, Global Financial Services Industry at Red Hat

bare metal to VMs, edge computing, private cloud and multiple

public clouds - without having to redevelop applications, retrain

people or maintain disparate environments.

At the same time, open hybrid cloud provides the necessary

standards and features for consistent security across multiple

cloud environments, while maintaining application portability.

This also allows financial institutions to remain flexible in their

choice of future cloud options. Overall, open hybrid cloud can

contribute to stronger security and resilience.

— Resilience and innovation

As companies are realizing the potential of the cloud, the main

task for the financial sector remains clear: combine resilience

and innovation. Financial institutions should collectively adopt a

truly holistic approach, where security is part of the DNA of the

entire ecosystem and not seen as an afterthought. This task can

be accelerated by consciously opting for shared, open standards

and hybrid cloud infrastructures.

For more information about open hybrid cloud,

please contact laurent@redhat.com

13


Inform

LuxProvide

Un pôle

d'attraction

pour les

acteurs du

digital

| Propos recueillis par Michaël Renotte |

David Papiah est le CEO de LuxProvide,

l'opérateur du supercalculateur MeluXina. Il nous

explique comment les capacités de calcul intensif

dont s'est doté le Luxembourg contribuent au

rayonnement et à l'attractivité du pays.

Le champ des possibles offert

par la digitalisation est infini.

TS : Comment les supercalculateurs s'inscrivent-ils dans

l'évolution des économies modernes ?

DP : C'est énoncer une évidence que de dire que nos sociétés et

nos économies progressent dans le sens d'une digitalisation dont

on n'est pas prêts de voir la fin. Cette vague touche l'ensemble du

globe, comme en témoignent les nombreuses initiatives lancées

partout sur la planète. Dans ce contexte, les supercalculateurs sont

devenus indispensables pour réaliser des opérations complexes

impossibles à traiter avec des ressources informatiques courantes.

En matière de calcul intensif, nous assistons à une véritable course

à l'échelle mondiale, une course non pas juste pour produire de la

puissance de calcul, mais bien pour offrir à un tout un écosystème

les moyens de rester compétitif en s'inscrivant dans une perspective

de long terme et de création de valeur par la digitalisation.

TS : Quelle place l'Europe occupe-t-elle dans cette course

à la puissance de calcul ?

DP : Il existe à ce jour quatre pôles dominants en matière de

ressources de calcul intensif. Il s'agit des États-Unis, de la Chine,

du Japon et de l'Europe, celle-ci accusant un certain retard

historique sur ses compétiteurs. L'Europe est entrée dans la

course en mettant en place EuroHPC Joint Undertaking, une

initiative qui a pour but de mettre en place un réseau européen

de supercalculateurs afin de permettre à nos pays d'acquérir une

place prédominante dans un contexte hyper compétitif. Il est crucial

pour l'Union européenne et les pays qui la composent d'assurer

leur indépendance technologique, en particulier lorsqu'il s'agit

d'activités sensibles. Par ailleurs, EuroHPC, dont le budget s'élève

à 8 milliards €, a installé son quartier général au Luxembourg.

Dans la famille des supercalculateurs, on distingue trois générations

qui correspondent à autant de niveaux de puissance. En attendant

l'arrivée des supercalculateurs exascale, les machines les plus

puissantes imaginées à ce jour, des modèles petascale et préexascale

sont déjà opérationnels. Ces derniers sont des systèmes de

très grande taille qui vont permettre d'assurer la transition entre le

monde d'aujourd'hui et celui de demain en matière de puissance de

calcul. Le Luxembourg a été choisi par la Commission européenne

pour héberger le plus puissant des calculateurs petascale, MeluXina.

Je vois là un signal fort de l'attractivité qu'exerce le Luxembourg

en matière de technologies de pointe.

14

Inform


Destination Earth utilise le supercalculateur

luxembourgeois MeluXina pour créer un

jumeau numérique de la planète Terre.

TS : Justement, qu'en est-il du Luxembourg en particulier ?

DP : La mise en œuvre de MeluXina s'inscrit dans la stratégie

nationale définie il y a quelques années par le Luxembourg et qui

consiste à donner une inflexion très digitale à son économie. Cela

s'est matérialisé par la constitution de diverses organisations dont

LuxProvide pour le calcul intensif et LuxConnect pour la connectivité.

Mais il y a aussi Luxinnovation dont la mission est d'accompagner

les industries dans leur développement et leur digitalisation. Et

plus récemment, nous avons assisté à la création de la plateforme

d’échange de données nationale, la Pned. Ces initiatives ont pour

objet de permettre aux entreprises, qu'elles soient locales, issues

de la Grande Région, de l'UE ou même extra-européennes, d'avoir

accès à des infrastructures digitales de pointe.

Aujourd'hui, le Luxembourg peut être considéré comme un point

d'entrée en Europe pour les entreprises qui veulent développer

une stratégie d'expansion sur notre continent. Ses infrastructures

digitales rendent le pays très attrayant non seulement pour de

nombreuses organisations étrangères, mais également pour les

entreprises locales qui, par le passé, avaient tendance à chercher

ces services à l'étranger.

A notre niveau, cela se traduit par une participation à divers

projets transnationaux. L'Europe cherche à offrir l'accès à des

projets de recherche d'envergure internationale, notamment

dans le domaine des systèmes numériques, en s'appuyant sur le

réseau EuroHPC. Un exemple en est le projet " Destination Earth "

qui utilise le supercalculateur luxembourgeois MeluXina pour

créer un jumeau numérique de la planète Terre. L'objectif de ce

projet est d'anticiper des situations induites par le changement

climatique, la surpopulation et la raréfaction des ressources, afin

de fournir les bonnes informations au bon moment et assurer à

l'humanité un avenir meilleur et plus durable. MeluXina est l'un

des trois centres de calcul intensif sélectionnés pour ce projet,

parmi un total de dix.

Un autre projet intéressant est eTranslation, qui utilise la technologie

NLP (Natural Language Processing) pour fournir une traduction

instantanée dans les 24 langues officielles de l'UE. Ce projet exploite

également les capacités de MeluXina. Dans un autre registre, le

prix Nobel de physique Giorgio Parisi mène en ce moment un

projet visant à relier un problème de physique fondamentale à

David Papiah, CEO de LuxProvide

l'approche du calcul quantique appelée " recuit quantique ". Ce type

de recherche nécessite un centre de calcul haute performance

équipé d'un grand nombre d'accélérateurs graphiques, comme

MeluXina.

Il faut souligner qu'outre les aspects technologiques, LuxProvide -

et le Luxembourg - offrent une expertise et un accompagnement

de qualité pour de tels projets. Le rôle que joue le Luxembourg

est lié à sa petite taille et à ses grandes capacités relativement

à celle-ci. Comparativement à d'autres pays, les choses peuvent

avancer très rapidement au Grand-Duché. C'est là l'une de ses

grandes forces. Le champ des possibles offert par la digitalisation

est infini, ce qui offre de nombreuses opportunités de s'exprimer

à la volonté novatrice du Luxembourg et sa capacité à être agile.

TS : Quelle est votre propre perception des atouts

du Luxembourg ?

DP : En ce qui me concerne, je suis venu chez LuxProvide parce

le challenge que l'on me proposait me semblait intéressant. Mais

je me suis rapidement rendu compte que le Luxembourg offrait

un contexte humain et social enrichissants. Les conditions de

travail y sont très intéressantes et les possibilités d'intégrer des

équipes internationales sont nombreuses. Chez LuxProvide, par

exemple, il y a une grande diversité culturelle, avec 16 nationalités

représentées parmi 25 personnes. Le pays offre d'importantes

possibilités d'évolution professionnelle, notamment dans le

domaine des nouvelles technologies et de la création de valeur à

partir des données. Pour ceux qui recherchent un épanouissement

professionnel, le Luxembourg offre de belles opportunités.

En matière de calcul intensif, nous assistons à une

véritable course à l'échelle mondiale.

15


Inform

-as-a-Business

| By Michaël Renotte |

Cybercriminals are organizing into

legitimate business structures,

bringing together technical expertise,

insider intel, and social engineering

campaigns to enable cybercrimes

with ease and audacity. Beware, the

cybercrime-as-a-business ecosystem

is out to get you, and the enemy may

be someone sitting two cubicles away

from you!

Well, that was a bit too dramatic but the evolution

of the cybercrime industry cannot be emphasized

enough. There is so much greed and vengeance

going around, with the easy availability of cyber weapons online,

and the largely nameless and faceless nature of cybercrime. It was

only a matter of time before cybercrime groups created an entire

business model to sell and propagate their activities.

As a result, cybercrime-as-a-business today is big business,

and like big businesses, cybercrime enterprises interact with

governments of countries in need of their services. China, Russia,

North Korea, and Iran have come under the scanner for using

contract hackers to launch cyberattacks on rival countries. That

said, cyber espionage is a means to an end for any country. But

that’s their business and it’s unlikely to affect you. What you should

be worried about, especially if you’re a small or medium-sized

business, is the possibility of losing money and your reputation

to the cybercrime-as-a-business ecosystem.

It’s worth knowing how the ecosystem operates and the common

crimes perpetrated to be able to plan an effective defense that

thwarts the attempts of the vilest participants looking to harm

your organization. Before that, here are some statistics illustrating

how nicely cybercrime-as-a-business is flourishing.

— There’s strength in numbers

Endpoint protection expert Bromium and independent cybersecurity

review site DataProt find that cybercriminals make $1.5 trillion

in annual revenue, with ransomware accounting for $1 billion.

According to the Allianz Risk Barometer 2022, cyber incidents are

the number one global business risk, above business interruption

and natural disasters. The average cost of a data breach worldwide

is around $4.35 million, with global cybercrime costs predicted to

reach $10.5 trillion annually by 2025. Cybercrime is effectively an

economy in competition with the U.S. and China.

— The cybercrime-as-a-service marketplace

Just as any marketplace has players and participants, so does

cybercrime-as-a-service. Let’s understand how ransomware

16

Inform


attacks, one of the most popular types of cybercrime, would be

perpetrated within this ecosystem.

At the top rung, there are the “solution providers“ aka the ransomwareas-a-service

(RaaS) operators. They’re the programmers that develop

ransomware code and its supporting systems and infrastructure,

not unlike a typical software-as-a-service company. They offer

products as a subscription, which includes support to carry out

attacks. They’re also responsible for developing leak sites to host

the illicitly retrieved data of victims, processing payments from

them, and enabling communications and mediation between

victims and service affiliates.

Service affiliates use the RaaS platform to compromise networks,

deliver ransomware payloads, and exfiltrate data. They don’t

necessarily have technical prowess but are instrumental in executing

crimes according to plans. Their involvement helps mask RaaS

operators, no doubt adding complexity to investigations into crimes.

On their own, service affiliates cannot gain access to an organization’s

network. They’re aided by another key player, the access broker,

who has the technical prowess to develop social engineering

campaigns and exploit vulnerabilities in organization systems

to facilitate entry. After a successful breach, the broker puts

the inventory up in the affiliate marketplace for bids. The price

depends on the type of access, companies, security protections,

and other factors.

Signing up for RaaS subscriptions works out to be more costeffective

for service affiliates. A large and growing market of

service affiliates is increasing demand for RaaS operators and

access brokers. Those who’ve been in business for long have the

edge but performance also matters in earning affiliates’ business

and loyalty. Service providers may offer a trial to allow buyers to test

the product before they commit to a purchase. As RaaS operators

serve as communications intermediaries, a strong grasp of their

buyers’ native language tends to work in their favor.

Another way in which cybercrime-as-service is indistinguishable

from a legal business is in its interaction and cooperation with

third-party escrows and arbitrators. A trusted third party holds

the money before the transaction is completed. In the case of a

dispute, a third party is appointed to settle it to the satisfaction

of both parties.

Cybercrime-as-a-business today is big

business, and like big businesses, cybercrime

enterprises interact with governments of

countries in need of their services.

It’s been observed that cyber criminals are happy to launch a number

of smaller-scale attacks that add up to a pretty good haul. Think

- a ransom of $10K for five crimes or about $50k. These amounts

are easier to extract from small and medium-sized businesses

that haven’t exactly built a cybersecurity fortress such as their

larger peers. They’re the low-hanging fruit for now, easy to grab

and extort money from.

— Looking at cybersecurity from a new lens

The industrialization of cybercrime poses a bigger threat to

businesses now that data breaches are more easily implementable

by anyone who wants to make money off you. It could be routine

thievery or a masterminded plan with deeper motives. Recognizing

that the possibilities for cyberattacks against you have only

increased, it’s a good idea to conduct a review of your current

cybersecurity posture to determine if you’re adequately protected.

Threats lurk in all places, from your organization network and

endpoints that connect to it, to your employees who may turn

insiders to obtain vengeance and money. Having a prevention and

response plan for all possible threats is increasingly becoming

paramount. It’s likely that if your organization is attacked by

cybercriminals, they will just as likely be another buyer on the

cybercrime-as-service marketplace. The bottom line - anyone with

malicious intent endangers your data and money. The sooner you

confront this reality, the better it is for your business’s health.

— It’s strictly business

Money is the main motivation to be in the game and stay there.

Players aren’t there for payback and personal gratification. If the

price is right, they’re in.

Overall, for-profit cybercrime encompasses cyber theft, data

trade, online black markets to sell illegal goods, ransomware-asa-service,

the broader cybercrime-as-service that sells a variety

of tools to execute cyber-attacks, and crime business services like

job boards for those with the right talents! Opportunities abound

and a lucrative marketplace is irresistible for those eyeing good

money - and that doesn’t necessarily mean a million-dollar heist.

17


Inform

Supply Chain

Attacks

Unmasked | By Michaël Renotte |

In today’s interconnected digital landscape,

supply chain software attacks have emerged as a

significant threat to organizations’ cybersecurity.

Cybercriminals target vulnerable links in the supply

chain to gain unauthorized access to sensitive

data, disrupt operations, or launch large-scale

cyberattacks. Malicious malware attacks have been

increasing by a whopping 633% year-on-year!

Did you know these attacks are primarily due to 90% of

software applications being open source and about 11%

of them being vulnerable? Here’s another statistic: as

many as 21% of organizations typically undergo an open-source

violation!

This article will delve into the key aspects of supply chain attacks,

their potential impact, and essential strategies that CISOs, CIOs,

IT managers, developers, and even others should implement to

safeguard their companies.

— Understanding supply chain attacks

So, what exactly is a supply chain attack? Supply chain attacks

involve exploiting vulnerabilities within an organization’s supply chain

ecosystem, which encompasses suppliers, vendors, contractors,

and third-party service providers. These are also known as valuechain

or third-party attacks.

Instead of directly targeting the IT systems of an organization,

cybercriminals infiltrate the supply chain infrastructure to gain

access to trusted networks, systems, or software used by the

organization.

These attacks can be highly sophisticated, diverse, and challenging

to detect as they exploit the trust relationship between the

organization and its supply chain partners. Typically, supply

chain attack sources include open-source networks, commercial

software, and foreign products.

18

A case in point is the recent SolarWinds’ (a company that produces

network software Orion) infrastructure breach, where hackers

inserted and distributed Trojans in the software update. This

allowed them to access FireEye’s (another cybersecurity company)

network. As a result, the damages to cyber insurance agencies

were estimated to be about $90 million.

— The impact of supply chain attacks

As you can see, supply chain attacks can have severe consequences

for companies, ranging from financial losses to reputational

damage. The potential impact includes:

• Data breaches: Attackers may gain unauthorized access

to sensitive customer data, intellectual property, or trade

secrets, leading to data breaches and compliance violations.

• Operational disruption: Compromised software or hardware

components can disrupt business operations, leading to

downtime, productivity losses, and increased recovery costs.

Types of supply

1

Malware insertion: Attackers insert

malicious code or malware into software,

firmware, or devices (USB drives, cameras,

mobile phones, etc.) during the development or

distribution process. When the compromised

software is deployed within the organization,

it serves as a vehicle for cybercriminals to gain

unauthorized access or carry out malicious

activities.

2

Compromised vendor accounts:

Cybercriminals target vendor accounts

to manipulate or tamper with the software or

hardware components before they reach the

organization. This enables attackers to introduce

backdoors or other vulnerabilities that can be

exploited later.

Inform


• Brand reputation damage: Supply chain attacks can erode

customer trust and damage the organization’s reputation. News

of a data breach or security compromise can have far-reaching

implications for customer loyalty and investor confidence.

• Legal impact: Security breaches can also result in penalties,

legal suites, or fines that impact the financial position of the

organization.

— Master tactics to combat supply chain attacks

There are a variety of measures you can take to address cybersecurity

breaches. Here are a few.

• Vendor risk assessment: Conduct thorough due diligence

and risk assessments of suppliers, vendors, and third-party

partners. Evaluate their security practices, including software

development processes, patch management, and incident

response capabilities.

• Endpoint and threat detection: Non-secure endpoints are

extremely vulnerable to attacks. Ensure you have an effective

endpoint detection and response system that can immediately

identify and stop these attacks. Check out some of the clientside

protection and response tools in the market.

• Builds and infrastructure security: Always update and apply

security patches as required. Build robust software updates and

authentication including digital signatures and other controls.

• Code integrity deployment: Enable applications to run only

if they are authorized through code rules and policies. They

can flag issues if any.

• Strong contracts and service level agreements (SLAs):

Establish fool-proof contracts and SLAs to address cybersecurity

expectations, incident response protocols, and liability in

the event of a supply chain breach. Clearly define security

requirements and regularly audit compliance.

chain attacks

• Supply chain visibility: Maintain visibility and control over

the entire supply chain. Understand the origin and security

of components, software, or services that are critical to your

organization’s operations. Implement mechanisms to detect

and respond to any unauthorized changes or compromises.

• Rigorous monitoring: Implement a comprehensive cybersecurity

monitoring program that includes intrusion detection systems,

log analysis, and anomaly detection. Monitor for suspicious

activities within the supply chain and promptly investigate

and respond to any identified threats.

• Incident response process: Ensure you have an efficient

and transparent incident response process in place. Notify

stakeholders immediately with accurate information so that

the attacks can be mitigated.

• Third-party regulations: Third-party risks can be better

addressed through effective frameworks and standards that

vendors have to adhere to. For example, consider using general

standards, such as PCI-DSS, CMM, or ISO 9001.

— Key take-aways

In conclusion, supply chain attacks pose a significant threat to

organizations due to the inherent presence of third-party software.

Given the ever-increasing open source demand, which grew

33% in 2022 (for example, Java components recorded 497 billion

downloads!), it’s becoming imperative for companies across the

globe to understand the risks, implement robust security measures,

ensure code integrity, conduct thorough assessments, and foster

strong partnerships. Stay vigilant, and stay prepared!

Typically, supply chain attack sources include

open-source networks, commercial software,

and foreign products.

3

Compromised hardware or software

components: Attackers infiltrate the

supply chain by introducing counterfeit or

modified hardware or software components.

These components can contain hidden malicious

functionalities that compromise the security

of the organization’s systems when deployed.

5

Cloud service provider security breach:

If an organization relies on cloud service

providers, compromising the security of these

providers can give cybercriminals access to

critical data or systems. This emphasizes the

importance of thoroughly vetting and monitoring

the security practices of third-party cloud

vendors.

4

Certificate theft: Hackers can steal

code certificates that indicate the

safety or legitimacy of the software and insert

malware through them.

19


Inform

Bien utiliser ses données

POUR UN MARKETING

PLUS PERFORMANT

| Par Rémi VALENTIN, Innovative Solutions Director, Editus |

Cette décennie marque un tournant historique pour les métiers

du marketing. L’heure est à l’automatisation des campagnes et

du parcours client, à une interaction accrue et nécessairement

plus efficace avec ses cibles, ainsi qu’à la collecte et l’analyse de

données pour prendre les bonnes décisions.

Avec toutes les évolutions majeures rendues possibles

par le digital, il devient de plus en plus facile pour une

entreprise de mesurer le résultat et d’améliorer l’efficacité

de ses actions. Pourtant, beaucoup de campagnes marketing

sont encore lancées sans prendre le temps de réfléchir en amont

au ciblage et aux objectifs. Une campagne mal préparée peut se

révéler coûteuse, tant en termes de temps que d’argent. C’est

pourquoi il est essentiel de se poser les bonnes questions dès le

départ : quels sont mes publics cibles, comment les atteindre,

quels messages communiquer et quels résultats sont attendus.

Dans cet article, nous allons examiner en quoi une utilisation

intelligente des données peut vous aider à améliorer vos

performances marketing et à vous démarquer de vos concurrents.

— Faites un état des lieux de votre activité

avec vos propres données

Avant de mettre en place une stratégie marketing, il est important

de faire un état des lieux de votre activité. Les données de vos

ventes, vos analyses d’audience, les informations issues de vos

réseaux sociaux et d’autres sources peuvent fournir de précieuses

informations. En effet, ces données peuvent aider à mettre en

lumière vos forces et vos faiblesses, à comprendre les préférences

de vos clients et les comportements auxquels vous devez être

attentifs. Cette analyse vous permettra de déterminer vos axes de

progression, de détecter des potentiels inexploités et d’orienter

vos décisions stratégiques futures.

— Croisez vos données à d’autres pour dégager

des opportunités de croissance

En croisant vos données propres avec des données externes, vous

pouvez confronter vos réalités à celles du marché. Ces données

externes, qu’elles soient issues de l’open data ou payantes,

permettent d’obtenir des informations utiles pour expliquer

certains comportements et surtout optimiser l’approche marketing.

La géolocalisation, par exemple, peut jouer un rôle clé dans la

compréhension des comportements des clients de vos zones de

chalandise et aussi détecter le ciblage de nouvelles clientèles.

En corrélant la réalité de vos ventes avec les comportements des

consommateurs par zone géographique, vous pouvez identifier

le lieu idéal pour installer un nouveau point de vente, augmenter

votre attractivité en ciblant mieux vos publics et en adaptant votre

stratégie en conséquence.

— Utilisez la technologie pour anticiper les besoins

de vos clients

Les avancées technologiques ont considérablement élargi les

possibilités d’un marketing plus personnalisé permettant d’aller

jusqu’à anticiper les besoins des clients et les fidéliser. L’Intelligence

Artificielle (IA) est capable de prédire quels sont les clients que

vous risquez de perdre, quelles en sont les raisons et quel type

d’actions mener pour les fidéliser. De même, l’IA peut vous aider

à identifier les clients qui sont les plus susceptibles d’acheter

un produit ou un service, vous permettant ainsi d’adapter vos

offres promotionnelles en conséquence. Le Luxembourg est un

environnement propice à l’usage de ces technologies, tant du

point de vue des infrastructures technologiques que du cadre

réglementaire garantissant les droits des consommateurs en

matière de protection des données personnelles (GDPR) et

d’expertise sur ces différents sujets.

— Mesurez le ROI de votre stratégie marketing

Il est essentiel de suivre les résultats de votre stratégie marketing

pour comprendre si votre investissement actuel vous aide à

atteindre vos objectifs. Mesurez le retour sur investissement

(ROI) de chaque campagne pour savoir si vous devez réajuster

votre stratégie et comment.

En utilisant les données à bon escient, vous pouvez améliorer

la performance de votre marketing. Que ce soit en analysant

vos données internes, en collectant des données externes, en

utilisant des technologies innovantes ou en mesurant le ROI de

votre stratégie marketing, chaque action que vous entreprendrez

vous rapprochera de vos objectifs. N’oubliez pas qu’en matière de

marketing, les données sont votre meilleur atout !

20

Cloud, Cyber, AI

& Sustainability.

Born in tech, Devoteam has over 25 years

of deep expertise in guiding your business

through the complexity of tech, supporting

your sustainable digital transformation.

Scan this QR to download TechRadar,

a spotlight on 150 emerging technologies.

Creative tech for Better Change

02

Learn

{ Verbe transitif }

Acquérir par l’étude, par la pratique,

par l’expérience une connaissance, un savoir-faire,

quelque chose d’utile.

22


Learn

AI IN

DEVOPS IS HERE

TO STAY

NEOFACTO uses ChatGPT to improve code review

process, fixing security flows.

The whole world is talking about ChatGPT and the upheaval,

sometimes alarming, that it will bring to our professional

world. Tools of this kind – large language models aka LLMs

- are particularly adapted to the IT professions.

As a leading tech services company in Luxembourg, we understand

the importance of delivering high-quality code that meets the

highest standards of performance, security, and maintainability.

That’s why we are always looking for innovative ways to improve our

development processes. And one tool that has been a game-changer

for us is ChatGPT and the different OpenAI APIs for code review.

ChatGPT has changed the way we approach coding review by

leveraging the power of AI to analyze our code and identify potential

issues that could impact its quality, performance, or security and

to suggest possible improvements and optimization. This helps

us to improve our code quality and ensure that our code is wellorganized

and easy to maintain, which ultimately leads to better

search engine rankings.

What is really interesting in using this tool is that we can direct

its feedback and focus on certain aspects, such as accessibility

or SEO. This tool will never replace a human expert, but the goal

is to gain productivity and avoid wasting time on things that can

be identified and dealt with by an AI.

Of course, security is a top priority for our clients, so ChatGPT can

help us to identify potential security vulnerabilities in our code and

suggest ways to address them. By ensuring code security, we can

protect our clients’ data and maintain their trust, which is critical

for our reputation and search engine rankings.

So, we are proud to leverage innovative technologies like ChatGPT

to improve our coding processes and deliver better results to

our clients. We strongly believe in the power of AI to support and

improve our development processes.

If you’re looking for a reliable and efficient IT services company,

look no further than ours.

Oh ! By the way, this promotional news has been generated by

ChatGPT!

Innovation is in NEOFACTO’s DNA.

We’ve delivered nearly 25 years of innovative

IT projects to our clients. Large language

models progress is a great example of a

breakthrough that has to be integrated

in a pragmatic way in our toolset, and in

the toolset of our customers. We start to

integrate ChatGPT API calls in our continuous

deployment software development pipeline.

The aim is to anticipate potential security

breaches and other inefficiencies to be

promoted in production.

Laurent Kratz, CEO of NEOFACTO

24

www.telindus.lu

from Data Breac


Learn

Uncovering the Threat Landscape of API Attacks:

Safeguarding Yo

Application Programming Interfaces (APIs) are a

fundamental aspect of modern software development

that facilitates communication between two or more

software components using specific definitions

and protocols.

An API defines the standard methods for requesting and

providing services between software applications,

allowing for efficient and seamless communication

between disparate systems.

Today, APIs are widely used across a variety of industries, from

finance and healthcare to retail and entertainment.

For example, the Google Maps API enables developers to access

daily updated map data and integrate it into their own software

applications. By using the Google Maps API, developers can create

custom map-based applications that leverage the full power of

Google’s mapping technology.

— Importance of APIs

The use of APIs is associated with numerous advantages that can

enhance business operations. Among these benefits are:

• the optimization of user experience,

• the streamlining of business processes, and

• the automation of laborious tasks, leading to significant

savings in time and resources.

— Need for API Security

API Security comprises a comprehensive set of protocols and

techniques aimed at safeguarding businesses’ Application

Programming Interfaces (APIs). In addition to safeguarding the

infrastructure security parameters, it is recommended that

companies programmatically secure their APIs at the application

logic level to ensure comprehensive security measures. Appropriate

API permissions and regulations should be put in place by CIOs to

guarantee that only the intended audience can access the correct

permissible APIs.

Unfortunately, according to a report by Salt Labs, numerous

businesses have experienced an API attack in the past year. But

many of these have no API protection strategy, and as such are

unable to counteract these security threats.

Recent statistics reveal that the average cost of an API attack data

breach is approximately $4 million. This underscores the need for

businesses to prioritize API security to forestall financial losses

and reputational damage.

— Types of API Attacks

As is expected, there are several types of API attacks, each with

its unique operation mode.

• Injection attacks

This form of attack permits a perpetrator to insert code into

a program or query or implant malware onto a computer. This

grants them the ability to execute remote commands that can

access or alter a database. It can also revise information on a

website or application.

There exists a plethora of injection attack types.

• Buffer Overflow disrupts an application’s flow by overwriting

parts of memory.

• LDAP Injection exploits websites that construct LDAP

(Lightweight Directory Access Protocol) statements using

data provided by users.

• OS Commanding, another attack method, exploits websites

by injecting an operating system command via an HTTP

request to the web application.

• SI Injection is a method by which an attacker sends code

to a web application that the server executes locally.

• XPath Injection exploits websites that allow attackers to

inject data into an application to execute XPath queries.

26

Learn


ur Business

hes


• Broken Authentication and Access Controls

Broken User Authentication refers to various vulnerabilities

that may arise in the authentication process. It is critical to

exercise caution while dealing with API endpoints that manage

authentication. These endpoints can dictate user access and

the information they can access.

Broken authentication and access control API attacks usually

take the following forms:

• OAuth and OpenID Vulnerabilities: OAuth and OpenID are

ubiquitous authentication protocols for web applications

and APIs.

• Session Hijacking: Session hijacking is a security breach

that occurs when an intruder seizes a user’s valid session

ID to impersonate the user and gain unauthorized access

to secure resources.

• Cross-site Scripting (XSS): Cross-site scripting (XSS) is a

vulnerability found in web applications that allow hackers

to insert malevolent code into a site or application.

• Denial of Service (DoS) attacks

A Denial-of-Service (DoS) attack refers to an assault that aims

to paralyze a computer or network, rendering it inaccessible

to its authorized users. This attack is usually executed by

inundating the target with a deluge of traffic or transmitting

information that leads to a system crash.

— Common API Vulnerabilities

• Lack of Encryption: When APIs transmit data over the internet

without encryption, malicious actors can intercept and view

sensitive information through man-in-the-middle (MITM) attacks.

• Weak Authentication and Authorization: There are APIs

with insufficient or weak authentication and authorization

mechanisms. These can grant unauthorized users access to

protected resources or confidential data.

• Insufficient Logging and Monitoring: Without adequate logging

and monitoring, it can be challenging to detect threats. Also,

responding to security incidents or data breaches would be

difficult.

— Prevention and Mitigation Strategies

API attacks present a significant risk to the security and integrity

of systems and data. To mitigate and prevent these attacks,

businesses can implement the following strategies:

• Use robust authentication and authorization mechanisms:

Deploying strong authentication mechanisms like API keys,

tokens, or OAuth ensures that only authorized users or

applications can access the API.

• Implement input validation and sanitization: Thoroughly

validate and sanitize all input received by the API to prevent

common attack vectors such as SQL injection, cross-site

scripting (XSS), and command injection.

• Employ encryption and secure transmission: Employ

robust encryption protocols like HTTPS or TLS to secure the

transmission of data between the API and its clients.

• Conduct regular security audits and penetration testing:

Regularly perform security audits and penetration testing

on the API to identify vulnerabilities and weaknesses. These

assessments should encompass a comprehensive review

of the API’s architecture, codebase, access controls, and

configurations.

— Key take-aways

Application Programming Interface (API) security plays a crucial

role in facilitating interconnectivity between various services. This

includes the transmission of data. It is imperative to address the

vulnerability of these APIs to potential security breaches. It is helpful

to note that compromised APIs can result in grave data breaches,

making it necessary to enforce this aspect of app development.

In light of this, the recommendations made by Gartner matter.

Gartner suggests that 90% of web-enabled applications will have

a higher risk of attacks on their exposed APIs, rather than their

user interfaces, which is important information to note. Investing

in the implementation of robust API security measures is not only

beneficial in the short term but also holds significant value in the

foreseeable future.

27


Learn

Blockchain

et Crypto Monnaie

Le rôle clé

du Luxembourg


28

Learn


Romain Swertvaeger est Audit Partner et Fintech

Leader chez EY Luxembourg. Au cours de son

parcours au sein du cabinet, il a accompagné de

nombreuses entreprises tant TMT que Fintech,

essentiellement dans le domaine des paiements et des

monnaies numériques. Nous lui avons demandé où

se situait le Luxembourg sur la carte mondiale de la

blockchain et des crypto monnaies.

TS : Comment le Luxembourg peut-il tirer parti des

technologies de la blockchain et des crypto monnaies pour

stimuler sa croissance économique et renforcer sa position en

tant que centre financier européen ?

RS : Le Luxembourg, de par sa position unique et les caractéristiques

de son économie, a une chance toute particulière de pouvoir tirer

parti de la technologie blockchain et ainsi accélérer la digitalisation

de son industrie financière en particulier et l’innovation en général

pour la place. Il y a bien sûr des initiatives existantes, en particulier

au regard de la distribution des fonds d’investissements. Ces

solutions sont déjà reconnues au niveau européen. Cependant, il

faut faire plus et continuer l’investissement dans le domaine car

l’adoption de la technologie blockchain, tout en faisant disparaître

certains emplois, permettra de créer de nouveaux métiers avec

une valeur ajoutée plus importante que ceux d'aujourd’hui. La

technologie blockchain permettra également d’améliorer la qualité

et la transparence ainsi que de diminuer les coûts de reporting

Romain Swertvaeger,

Audit Partner et Fintech Leader chez EY Luxembourg

et de distribution de services financiers, aidant ainsi la place à

rester compétitive, et cela tout en renforçant la confiance des

investisseurs, des entreprises et du public. Les crypto monnaies,

quant à elles, doivent selon moi surtout servir à fluidifier les

transactions de paiement ou, du moins, être une alternative

crédible aux services de paiement existants tout en s’adaptant à

un cadre réglementaire en évolution.

TS : Quels défis réglementaires le Luxembourg doit-il

relever pour favoriser l'adoption et l'innovation en matière

de blockchain et de crypto monnaies, et quelles solutions

pourraient-elles être mises en place pour les surmonter ?

RS : C’est une question difficile car la réglementation luxembourgeoise

est dérivée de la réglementation européenne et, par conséquent,

le Luxembourg ne peut pas être un « early adopter » ou, du moins,

élaborer des cadres réglementaires en dehors des réglementations

européennes.

Cependant, le Luxembourg peut agir de par la force de son secteur

financier et donc influencer les réglementations européennes

pour favoriser l’émergence de la technologie blockchain mais

aussi réglementer de manière intelligente les crypto monnaies

et leur utilisation. Je pense également que le Luxembourg a eu,

historiquement, la capacité d’adapter son cadre réglementaire,

en particulier au regard de la régulation des « exchanges » de

crypto monnaies en 2014 en tant qu’institutions de paiement,

afin de se positionner comme un acteur clé du secteur. Au-delà

des défis réglementaires, je pense aussi que l'impulsion pour le

développement de la technologie blockchain au Luxembourg

viendra principalement des acteurs privés et de leur volonté

d’accélérer l’innovation, mouvement que nous commençons à

voir par ailleurs, même si bien-sûr la rapidité du Luxembourg à

transposer les directives européennes en droit luxembourgeois

sera déterminante.

TS : Comment voyez-vous le rôle du Luxembourg dans le

développement et la promotion de l'écosystème des start-ups

blockchain et crypto monnaie en Europe ? Quelles initiatives

pourraient-elles être mises en place pour attirer et soutenir

ces entreprises innovantes ?

RS : Le Luxembourg a un rôle clé à jouer dans le développement

et la promotion de l’écosystème des start-ups et scale-ups

blockchain et crypto monnaie en Europe. Pour attirer et soutenir

ces entreprises innovantes, le pays pourrait mettre en place des

initiatives telles que des programmes de formation et de mentorat

ainsi que des incitations fiscales et financières, ou encore des

partenariats avec des institutions éducatives et de recherche. De

plus, en créant un environnement réglementaire favorable ou, en

tout cas, en transposant rapidement en droit luxembourgeois les

réglementations européennes, le Luxembourg pourrait encourager

les start-ups à s’établir et à innover dans le pays.

29


Learn

What’s Involved in

In the aftermath of a cyberattack, businesses hesitate to report the incident to law enforcement

agencies out of fear that it could halt operations. The consequences of non-disclosure can be

even more serious, inviting legal trouble and preventing what might be a large-scale attack from

being contained quickly and effectively. If anything, the involvement of law enforcement and

third parties to lead investigations can help businesses secure justice and get back on their feet.

Catching and prosecuting criminals can be a tall order.

It’s important to know the institutional support available

to support investigations and bring perpetrators to

justice. Collecting evidence proving a cyberattack took place

will naturally be crucial, as will the involvement of a third party to

perform the investigation. The reports of the third party can then

be passed on to law enforcement.

— Knowing the policy on responding

to cyberattacks

Countries have directives for businesses on managing risk and

coordinating responses to cyberattacks. The EU’s policy on cybersecurity,

for example, sets out how businesses can respond to a cyberattack

in cooperation with task forces and government institutions created

to help European citizens, businesses, and governments. The EU’s

blueprint for rapid emergency response recommends cooperation

on the technical, operational, and political levels.

The technical mode of cooperation encompasses incident handling,

surveillance, monitoring, and risk analysis, among other related

activities. Damage assessment, cross-border decision-making,

and mitigation strategies to lessen damages are key activities on

the operational front. The EU has set up a number of institutions

to carry out response, research, and innovation in cybersecurity.

In the political mode of cooperation, these institutions frame a

joint response aimed at protecting the security and integrity of

the EU against malicious cyber activities.

Public-private partnerships in tackling cybersecurity have resulted

in many wins. They include foiling the Ramnit botnet, fending

off large-scale malware attacks originating in Ukraine, and

busting a cybercriminal forum that traded and bartered hacking

expertise, botnets, and malware, and sought partners for their

next cyberattacks.

— Knowing how to

collect evidence

Organizations may get hundreds of security alerts daily and

categorize urgency based on how mission-critical they are to

daily operations, the rate at which they can spread across the

organization, and their visibility to stakeholders.

If the attack in question affects customer or sensitive corporate

data and can prove costly for the organization, investigating its

size and scope, and containing it will be the first order of business.

This is where a forensic investigation comes in.

A forensic investigation confirms the occurrence of the cyberattack,

delves into its full impact, identifies the causes of the incident,

and collects evidence to enable the reporting of the cybercrime.

From the perspective of reporting a cybercrime that has serious

implications for your business, the probe is the only means

to collect evidence before it is lost forever. Depending on the

nature of the crime, speedy reporting can drive immediate law

enforcement response.

30

Learn


Reporting


A forensic investigation is also important from a cybersecurity

perspective. There’s always a chance that a cyberattack that has

occurred and is seemingly done with can resurface if the attacker

still has a way to continue inflicting damage. This makes containing

or eradicating the threat paramount.

After a high-urgency cyberattack, businesses tend to focus on the

recovery process without a complete check of whether the issue

has been completely contained. The original cybercriminal can still

access organizational systems and networks to steal more data. A

forensic investigation contains the intrusion before the attacker

can access more resources and cause more harm.

A forensic investigation implies digital forensics, where a

dedicated in-house team or a third party gathers evidence from

networks, electronic devices, and systems for analysis, reporting,

and preservation for future use. It basically tells you what was

compromised and how it was done.

— What exactly happens in digital forensics?

It’s easier to understand how digital forensics aids cybercrime

reporting when you’re aware of what the process involves.

1. Investigators seize the particular media and create its exact copy

for examination. The original media is secured using specialized

software tools or hardware devices to prevent tampering.

2. The forensic images of the media are analyzed, and evidence

is logged to support or reject a hypothesis. The incident is

reconstructed to visualize the manner in which attackers gained

entry into systems.

3. The findings and conclusions are organized in a report and

handed over to you. The report is written to make them easily

understandable to non-technical folks. It serves as proof of

evidence, which you then transfer to law enforcement.

— What are some use cases of digital forensic

investigations?

Digital forensics can uncover the nature, size, and scope of various

types of cybercrimes, including:

• Data recovery

• Damage analysis to discover vulnerabilities

• Wire fraud and money laundering schemes

• Industrial espionage

• Monitoring email communications among suspected terror

networks (used by national security agencies)

— Keep the investigation in-house or outsource

it to a third party?

Digital forensics has been described as looking for a needle in a

haystack. It is a relatively recent skills concentration requiring

intelligence and creativity. Talent is not widely available, and as

such, organizations don’t have enough staff to allocate to forensics

investigations. Even then, they have to invest time in gauging

internal cybersecurity teams for creative and technical skills, and

implement extensive training on critical forensics skills. Utilizing

third-party digital forensics experts can be more efficient and

cost-effective.

There are digital forensics tools that help examine and investigate

systems after a security incident. They’re helpful for first

responders conducting forensic assessments. However, given

the specialized skills and abilities required for effective digital

forensic investigations, organizations prefer calling in security

consultants to respond to a breach.

By involving the right cybersecurity talent in the early days of the

incident, effective response and reporting are assured. While

they may not offer surety of tracking down the faces behind the

crime, they will help lessen its impact on your business and prevent

subsequent attacks.

31


Learn

Ransomware-as-a-Service:

A Quick Guide for CIOs

and IT Managers


You have all heard of SaaS, IaaS,

and PaaS, which revolutionized

business models in the cloud

era. The new kid on the block, a

perverse one, is RaaS.

Ransomware-as-a-Service

(RaaS) has emerged as a major

cybersecurity threat given the

increasing shift in remote work, enabling

even non-technical criminals to launch

sophisticated ransomware attacks. That’s

right! You don’t have to be a techie or a

hacker to launch skilled cyberattacks, RaaS

is there to do the job for you.

According to Trend Micro Research 2022

Cybersecurity report, there were more

than 50 such RaaS groups that targeted

over 1200 organizations in 2022! Sounds

scary, right?

By delving into the key aspects of RaaS,

and highlighting best practices for incident

response, this article should get you started

with the knowledge needed to protect your

networks, systems, and valuable data.

— Understanding

Ransomware-as-a-Service

(RaaS)

Before we jump into discussing RaaS, let’s

briefly understand what “ransomware“means.

Ransomware is a malicious code that

encrypts victims’ sensitive data and holds

them to ransom in return for access. Simply

put, it’s data kidnapping!

Even though ransomware has been around

since the 1980s, it’s increasingly becoming

rampant. The first ever ransomware

called PC Cyborg infected WHO’s data and

demanded $189 as ransom to return access!

Recently in March 2023, a Barcelona hospital

was a victim of a ransomware attack, in which

the medical data of tons of patients was

hijacked! The same was the case with Ferrari,

which lost its customers’ data to attackers.

32

Learn


Ransomware-as-a-Service goes a step

ahead. It is a cybercriminal business

model, which allows individuals with limited

technical expertise to rent or purchase

ready-to-use ransomware tools from skilled

attackers. These attackers are known as

“affiliates“ or “operators.“ RaaS operators

provide the necessary tools, support, and

backend infrastructure, while affiliates

carry out the attacks and receive a portion

of the ransom payments.

This model opens the door to a wider range

of criminals to engage in ransomware

attacks. These attacks have increased

by 80% per Zscaler report and are

frighteningly predicted to grow even more!

Some examples of notorious ransomware

include LockBit, REvil, DarkSide, Conti,

and BlackCat.

— Mechanics of RaaS

RaaS operates similarly to a legitimate

software-as-a-service (SaaS) model. They

are also provided based on subscriptions

(monthly, annual, affiliate programs, or

profit-based) or use pay-per-use models

like any other cloud service.

RaaS kits, as they are called, are marketed

or sold on the dark web and can be readily

deployed. Affiliates sign up on underground

forums or marketplaces on the dark web and

gain access to a user-friendly dashboard.

They use the dashboard to customize the

ransomware, set the ransom demands, and

monitor the progress of their campaigns.

The RaaS operators typically take a

percentage of the ransom payments as

their commission. For example, a RaaS kit

named Philadelphia, by Rainmaker Labs,

is priced at $389 with more advanced

ransomware.

The main aspects of a successful

ransomware attack are:

• Setting up the infrastructure to target

victims including payment portals

• Providing ransomware prototypes

• Sending the ransomware to victims

• Managing attacks through dashboards,

negotiations, tech support, etc.

— Risks and impact of

ransomware attacks

Ransomware attacks can have devastating

consequences for organizations. These

include:

• Financial loss: Organizations may face

significant financial damages due to

ransom payments, loss of revenue

during downtime, legal expenses, and

recovery costs.

• Data loss and breach: Encrypted

or stolen data can result in the loss

of intellectual property, sensitive

customer information, and violations

of data protection regulations.

• Reputational damage: Ransomware

attacks can tarnish an organization’s

reputation, erode customer trust, and

result in a loss of business opportunities.

— Prevention strategies: Some

tips

That said, how can you, as a CIO or an IT

manager, tackle this menace? Here are

some pointers.

• Robust security measures: Implement

robust multi-layered cybersecurity

controls, including firewalls, endpoint

protection systems, intrusion detection

systems, antivirus software, patches,

and email filtering solutions. Regularly

update and patch all systems and

software to address vulnerabilities.

• Employee awareness and training:

Educate employees about phishing

techniques, safe browsing habits, and

social engineering attacks. Encourage

the reporting of suspicious emails or

activities to the IT department.

• Secure backup and disaster recovery:

Regularly back up critical data and store

backups offline or in a separate, secure

network. Test the restoration process

periodically to ensure data integrity.

• Least privilege principle: Implement

a zero trust model of security, zero

trust network access, and enforce the

principle of least privilege, granting

employees only the necessary access

privileges to perform their tasks.

This reduces the impact of potential

compromises.

• Network segmentation: Implement

network segmentation to restrict

lateral movement within the network.

This limits the potential impact of a

ransomware infection.

• Cybersecurity frameworks: Deploy

standard frameworks, such as Center

of Internet Security (CIS) and National

Institute of Standards and Technology

(NIST) to thwart attacks.

— Incident response: Best

practices

As always, prevention is better than cure.

However, if you are a victim, follow these

response tips to address the problem.

• Develop an incident response plan:

Establish a well-defined incident

response plan that outlines roles,

responsibilities, and communication

channels. Include steps for isolating

affected systems, investigating the

incident, and restoring operations.

• Avoid ransom payment: Experts

in security advise against ransom

payments as it only serves to encourage

criminals.

• Identify and isolate: As soon as

possible, search for the malware

source and isolate infected systems.

Disconnect affected systems from all

networks (Wi-Fi, Bluetooth, LAN, etc.).

• Detect and respond: Implement

advanced anti-phishing software, and

threat detection systems, including

behavior-based analytics and real-time

monitoring. Respond promptly to any

signs of compromise to minimize the

impact.

• Engage law enforcement and external

experts: Report the incident to law

enforcement immediately.

— Conclusion

RaaS is a harsh reality - the opportunity

it provides for anyone to plug and play

these attacks is nerve-racking, to say

the least. Security personnel and key

stakeholders, such as IT managers need

to step up their vigilance in combating

this serious menace through effective and

efficient protection systems. These can

include various measures, such as robust

antivirus software, data backups, advanced

cybersecurity systems, and training.

33


Learn

Are W men

the Secret

Weap n

f r Tackling

Cybercrime?


The mission to defeat cybercriminals needs all the

best talents available. That, of course, includes

women. Yet they’re woefully underrepresented in

cybersecurity. The findings of surveys on female

participation and progress in the tech industry are

a stark reminder of how we must intensify efforts

to boost inclusivity and create an equal learning

and working environment. Although there is

support for women from various quarters, the most

influential architects of gender parity are educational

institutions and employers.

— Women in cybersecurity deal with pay

and promotion discrimination, and find

employers and classrooms non-inclusive

Historically, women have had fewer opportunities to enter

the workforce than men. Even with increased social mobility,

globalization, and digitization, women lack the same income

opportunities as men. According to the World Bank, the labor

force participation rate for women is slightly over 50% compared

to 80% for their male counterparts, globally. Working women get

paid less than their male colleagues.

Women who enter the STEM field haven’t the environment or

motivation to stick on. A study by Accenture and Girls Who Code

showed that 50% of women leave technology careers by age 35

and that women quit their tech jobs at a 45% higher rate than men.

Just 21% of women in the study believed that tech was a field they

could thrive in, with the number falling to 8% for women of color.

Working for a non-inclusive company was cited as a major driver

for leaving. The study noted that in a more inclusive environment,

every employee is more likely to advance, with women being

four times more likely to receive this benefit. A similar story also

appeared to play out in halls of knowledge; women are more

likely to continue studying tech programs if they feel supported

in classrooms. Sadly, the environment in which they can feel safe

and be themselves is lacking.

The gender divide in cybersecurity has

consequences for an industry being

challenged to use new tactics and diverse

skills to tackle cybercrime, which an inclusive

workforce is better equipped to provide.

Marked disparities in pay and promotion are behind women’s exit

from technical roles. A McKinsey & Company’s survey found that

only 52 women in technical roles are promoted to manager for

every 100 men at the same level. The reason for men gaining an

upper hand was organizations’ failure to retain women in the early

stages of their careers, which meant fewer women were being

prepared to step into senior roles. On the bright side, some of

the companies said they were monitoring the advancement of

women in the early years of their careers.

34

Learn


Discrimination in pay is also evident. A workplace study by (ISC), a

global non-profit organization in cybersecurity training, found that

32% of men in cybersecurity have an annual salary of $50,000-

$100,000 while only 18% of women in this field get paid the same.

Women are also underrepresented in the $100,000-$500,000

income bracket. Overall, women in ICT jobs earn less than their

male peers. In Europe, the gender pay gap in ICT is 20%.

— Women may have it easier in the

cybercriminal underground

Cybercrime forums could be more hospitable places for women

proficient in the darker aspects of cyber knowledge. A study

by Trend Micro offers some clues - it notes that where, earlier,

female hackers were less accepted by the hacker community,

gender identity has come to matter a lot less over the years. One

reason could be a fear of expulsion from forums for harassing or

bullying members. But by and large, the cybercriminal underground

appears to practice gender neutrality in their hiring process, with

job ads and affiliate postings emphasizing skill. Even so, women

are generally favored for social engineering, money laundering,

and romance schemes requiring images and voice.

— A lack of female tech talent is a loss for the

cybersecurity industry

Today’s global economy grapples with a shortage of cybersecurity

experts. By 2025, there will be 3.5 million cybersecurity jobs open

globally. Increasing female participation can help close the gap.

The gender divide in cybersecurity has consequences for an industry

being challenged to use new tactics and diverse skills to tackle

cybercrime, which an inclusive workforce is better equipped to

provide. Diverse teams have been seen to outperform homogeneous

ones on various parameters, including innovation, profitability, and

employee engagement. The most gender-diverse teams are 48%

more likely to outperform the least gender-diverse companies.

By bridging the pay gap and providing equal opportunities for

career advancement, employers can hope to retain more of their

talented women cybersecurity professionals and reap the rewards

that diversity brings.

Women bring the valuable skill of emotional intelligence to their

workplace. While emotional intelligence is not unique to women,

they tend to excel in this area and exemplify it more frequently

at work. The quality makes them well-suited to leadership roles,

in which higher levels of emotional intelligence are correlated to

better team performance and employee engagement.

— Women cybersecurity professionals have

support from various quarters

A number of initiatives exist to help women make inroads into the

tech industry. Cisco’s Skills for All program offers free online courses

in cybersecurity to help learners gain employable skills. Examples of

non-profits aiming to help women enter the cybersecurity industry

and close the gender gap include large organizations with global

reach (Women in Cybersecurity, Women’s Society of Cyberjutsu,

etc.) and Women Cyber Force in Luxembourg.

Women Cyber Force brings together cybersecurity professionals

of different nationalities, education, and backgrounds aspiring to

mentor and support women interested in ICT careers. Members

have networking opportunities and abide by a code of helping

one another. The overarching goal of the non-profit is to tackle

the gender problem in cybersecurity and champion diversity in

the sector.

While gender balance in cybersecurity is some way off, the hope

is that more allies, advocates, and enablers will emerge to inspire

girls and women to pursue their passion for technology. Businesses

that step up efforts in creating a representative workforce will reap

the rewards of diversity. With pressure from shareholders and

regulators, there’s no reason why we cannot make great strides

in achieving gender equality in cybersecurity.

35

03

Solve

{ Verbe transitif }

Trouver une solution, une réponse à un problème,

à une question.

36


Solve

La Mond

sa nouvelle platefo

Eleonora Tasciotti,

Head of Digital Transformation

& Sustainability

Pascal Bughin,

Directeur Transformation, IT & Digital

chez La Mondiale Europartner

La Mondiale Europartner a récemment lancé

la solution innovante MyLMEP. À cette occasion,

nous avons rencontré Eleonora Tasciotti, Head of

Digital Transformation & Sustainability, et Pascal

Bughin, Directeur Transformation, IT & Digital

chez La Mondiale Europartner. Ils nous présentent

cette nouvelle plateforme B to B to C 100% digitale

qui révolutionne le processus de souscription

d’assurances en ligne.

— Au cœur de la stratégie de LMEP,

la transformation digitale

« Au sein de La Mondiale Europartner, nous avons décidé que la

transformation digitale devait être un levier de croissance pour

dynamiser notre activité, qu’il s’agisse d’ouvrir un nouveau marché,

de réaliser le lancement d’un produit 100% digital, d’approcher un

nouveau segment de distribution ou de clientèle ou encore de servir

des acteurs 100% en ligne, » explique Pascal Bughin.

« C’est en partant de ce postulat que nous avons développé le premier

axe de notre stratégie digitale, MyLMEP, une solution pérenne

construite sur la base d’échanges avec nos partenaires. Cette

notion de partenariat est une marque de fabrique de La Mondiale

Europartner qui, après s’être concentrée sur le volet business

durant ses premières années d’activité, a abordé la composante

opérationnelle en s’attachant à établir un contact direct entre les

équipes opérationnelles ou middle office. Aujourd’hui, nous y ajoutons

38

Solve


iale Europartner lance MyLMEP,

rme 100%

digitale

| Propos recueillis par Yann Roll |

L’aspect 100% digital de la plateforme est

extrêmement attrayant, c’est une première

sur le marché.

l’élément digital avec comme objectif d’être le relais privilégié de

nos partenaires en la matière. »

« Le second axe de notre stratégie digitale est porté par un catalogue

d’API », poursuit Pascal Bughin. « Puisque nous ne disposons pas

d’un réseau propriétaire et afin de nous assurer que nos partenaires

puissent nous suivre dans cette démarche, nous avons développé

un catalogue d’API permettant de connecter les diverses solutions

choisies par nos partenaires. Ces solutions vont du développement

interne à des solutions complètement externalisées, en passant par

des schémas intermédiaires où seuls la donnée, les documents ou le

parcours sont embarqués. Une vraie architecture ouverte, en quelque

sorte ! Ces API nous permettent donc d’être assez granulaires dans

nos interactions avec nos partenaires », souligne-t-il.

— MyLMEP, une plateforme 100% digitale

« MyLMEP est un portail B to B sécurisé qui facilite la relation entre

notre entreprise et ses partenaires, mais aussi la relation entre nos

partenaires et leurs clients », explique Eleonora Tasciotti. « Un

volet informatif est mis à la disposition de nos partenaires pour leur

donner de l’autonomie dans leurs interactions avec les clients, ainsi

qu’un accès aisé à des informations permettant un meilleur suivi des

opérations sans devoir faire appel à nous », ajoute-t-elle. « Un volet

transactionnel est également disponible pour nos partenaires, avec

pour objectif de réduire leurs efforts administratifs. Des règles de

gestion dynamiques, directement intégrées dans les parcours, rendent

l’expérience utilisateur simple et fluide. Un canal de communication

en temps réel est intégré à la plateforme et vient compléter l’offre,

augmentant les interactions entre les partenaires et les gestionnaires

en charge de l’opération et accélérant les temps de traitement. Une

opération transmise par MyLMEP est tout simplement une opération

de meilleure qualité, plus complète, dont le temps de traitement est

optimisé et dont la probabilité d’être acceptée du premier coup est

accrue », résume-t-elle.

« C’est un outil très flexible que nous construisons avec un acteur

Insurtech de renom, sur la base de nos besoins et que nous adaptons

à ceux de nos partenaires », poursuit Eleonora Tasciotti. « Être à

l’écoute de nos utilisateurs est un élément clef de succès. Grâce à

l’extrême agilité qui anime notre partenariat digital, nous donnons à nos

partenaires la possibilité de participer activement à l’enrichissement

des fonctionnalités et des parcours ainsi que de les tester avant

de les faire passer en production. En procédant de la sorte, un

temps précieux est économisé, que l’on peut ensuite consacrer à

la réalisation d’autres missions telles que la gestion de la relation

client, par exemple », ajoute-t-elle.

« L’aspect 100% digital de la plateforme est extrêmement attrayant,

c’est une première sur le marché », fait valoir Eleonora Tasciotti.

« Cette approche est facilitée par le fait que les partenaires sont

guidés tout au long du parcours, avec en prime les règles d’acceptation

de l’entreprise. Nous construisons et générons à la fin du parcours,

de manière dynamique, un PDF plus léger alimenté essentiellement

par les informations recueillies propres au contexte et au contrat

du client. Il ne s’agit donc pas d’une solution classique qui aboutit

au remplissage des parties concernées d’un PDF générique, mais

d’une solution plus durable. Le partenaire peut ainsi se consacrer

davantage à son client, présenter ses offres et, in fine, démontrer

sa véritable valeur ajoutée, laquelle ne réside certainement pas

dans le remplissage de kits. En interne, nous remplaçons le temps

de saisie par du temps de contrôle et d’analyse de dossiers plus

complexes, ce qui permet également de valoriser les compétences

de nos collaborateurs », explique-t-elle.

— Trois axes de développement

« Nous voulons travailler trois axes au cours des prochaines

années », reprend Pascal Bughin. « Le premier consiste à continuer

d’enrichir la plateforme et à étendre les fonctionnalités en termes de

couverture géographique et d’investissement jusqu’à atteindre une

couverture complète d’ici la fin de l’année », dit-il. « Ensuite, nous

souhaitons nous ouvrir à nos clients finaux. Nous évoluons dans un

modèle B to B to C dans lequel le client final est, à l’origine, celui de

notre partenaire. Cela pose des questions d’accompagnement et

de communication. Ces points seront traités avec nos partenaires

avant de délivrer une première version du portail dans le courant du

premier trimestre de 2024. Le troisième axe que nous souhaitons

développer est l’ajout de services innovants avec une intégration

complète front to back en format digital », conclut-il.

39


Solve

EXPLORING THE LUXEMB

STARTUP ECOSYSTEM

| By Yann Roll |

Luxembourg is known for its thriving business environment and supportive

ecosystem. It has emerged as a preferred destination for startups in the European

Union. Nasir Zubairi, CEO at the LHoFT delves with us into the reasons behind

Luxembourg’s suitability for entrepreneurs and the support available to them as

well as the role of the Luxembourg House of Financial Technology in facilitating

startups’ growth by providing essential resources, connections,

and opportunities.

40

Solve


OURGISH

How is the Luxembourgish ecosystem more suitable than

other places in the EU to start a business?

Connectivity, support, and access to decision-makers are

significant competitive advantages for entrepreneurs establishing

their businesses in Luxembourg. Despite being a small country,

Luxembourg possesses a proactive and determined approach

towards fostering business growth. The depth of expertise

and international connectivity in the business sector is truly

exceptional. Moreover, the close collaboration between industry

and government, exemplified by public-private initiatives, plays

a pivotal role in providing vital support to young enterprises in

managing risk and pursuing expansion opportunities.

In Luxembourg, it is not uncommon to encounter CEOs and

government ministers in everyday settings such as the supermarket

or the gym, with some even residing in the same neighborhoods.

The local business community exhibits a down-to-earth demeanor,

displaying a genuine willingness to engage, assist, and facilitate

commercial endeavors.

An often-overlooked advantage of Luxembourg is the remarkable

breadth of language skills available and their integration within

the business sphere. Notably, English, the global language of

commerce, holds a prominent position and uniquely, within the

European Union, is accepted in legal matters, including the drafting

of contracts, as well as in regulatory frameworks.

What does the LHoFT offer to those who want to start a new

activity?

We offer comprehensive assistance for entrepreneurs seeking

to establish a presence in Luxembourg, providing a smooth and

seamless entry into the market. Our offerings encompass access

to a well-developed and multifaceted support infrastructure,

encompassing both formal and informal channels. Furthermore, we

offer a diverse range of training programs, facilitated by seasoned

professionals in the fields of business and entrepreneurship,

allowing entrepreneurs to acquire valuable knowledge and insights.

One of our key value propositions is our ability to connect startups

with two essential prerequisites for success: access to capital and

the acquisition of customers. Through our extensive network and

an array of promotional packages specifically tailored for startups

entering the LHoFT, we enable entrepreneurs to tap into vital

financial resources and establish crucial customer relationships.

Despite being a small country, Luxembourg

possesses a proactive and determined

approach towards fostering business growth.

Nasir Zubairi, CEO at the LHoFT

Our dedicated team stands ready to provide expert guidance and

support, recognizing that each business is unique and possesses

its own distinct requirements. Moreover, we increasingly leverage

our extensive international network to facilitate connections

for firms seeking opportunities abroad. It is worth noting that

our facility is renowned for serving the finest coffee in town—an

additional perk appreciated by many.

Can you share with us some Luxembourg Fintech startups

success stories?

Let’s start with Next Gate Tech, a cutting-edge provider of

intelligent data management and support solutions for the Asset

Management Industry. They recently achieved a significant

milestone by securing an impressive Series A funding round of

$8 million. This substantial investment not only underscores the

market’s confidence in Next Gate Tech’s innovative platform but

also highlights the company’s potential for exponential growth.

Notably, this funding round included notable participation from

Expon Capital, a prominent Luxembourg venture capital firm. The

successful capital raise will empower Next Gate Tech to further

enhance its offerings and expand its reach to become a leading

player in the industry.

Next is FundVis, an emerging startup dedicated to optimizing

workflow within the Asset Management value chain, recently

forged a highly advantageous and lucrative partnership with EBRC.

As a registered Professional of the Financial Sector (PFS) and a

trusted hosting solutions provider for numerous entities, EBRC’s

collaboration with FundVis represents a significant endorsement

of the startup’s capabilities. This strategic alliance will enable

FundVis to leverage EBRC’s robust infrastructure and expertise,

facilitating streamlined and expedited deployment of its innovative

solution to clients. The collaboration with EBRC not only enhances

FundVis’ credibility in the market but also positions the startup for

accelerated growth and market penetration, offering a win-win

proposition for both parties involved.

41

NTT Ltd.'s Tran

Investments in Lu


Solve

Olivier Posty,

Country Managing Director at NTT Ltd.

NTT Ltd., a prominent technology services

provider, is at the forefront of driving the

digital transformation of businesses in

Luxembourg. In an exclusive interview,

Olivier Posty, the Country Managing

Director of NTT Ltd. Luxembourg, provides

insights into the company's investments and

operations in the country. He emphasizes

NTT's commitment to professional

development and their pursuit of futureoriented

ventures. Olivier Posty shares

ambitious plans to maintain NTT's position

as a technology leader, continually pushing

boundaries and driving innovation. Here

we delve into NTT's strategic initiatives

and their dedication to shaping the digital

landscape of Luxembourg.

TS: What can you tell us about NTT's investments and

operations in Luxembourg?

OP: In recent years, NTT has strategically invested in various domains

within Luxembourg. Firstly, we have placed significant emphasis

on the professional development of our engineers, especially in

the wake of the pandemic. Our goal is to enhance their capabilities

and ensure they stay aligned with the latest industry standards.

Secondly, we have expanded our focus towards future-oriented

ventures and high-growth professions. This includes effectively

managing the migration of our clients' infrastructures to hyperscalers

like Microsoft Azure, AWS, and Google Cloud. To accomplish this,

we have actively sought out a qualified workforce with specific

knowledge in these technologies.

Additionally, we operate a management platform that serves as

a host for many client applications. Continuous investments and

improvements are essential to ensure uninterrupted accessibility

to this platform. As a result, we have allocated a substantial budget

to upgrade and enhance its capabilities.

By prioritizing professional development, embracing future-oriented

technologies, and investing in our management platform, NTT is

committed to driving innovation and delivering top services in

Luxembourg.

42

Solve


Empowering Businesses

with Innovation:

sformative

xembourg

| By Yann Roll |

TS: Could you provide examples of collaborative initiatives

between NTT and local partners in Luxembourg? How

do these collaborations drive innovation in products and

services?

OP: Absolutely. At NTT, we prioritize establishing local ecosystems

in collaboration with our partners worldwide. In Luxembourg,

we have formed a strategic partnership with Lycée Guillaume

Kroll, focusing on comprehensive training for students in various

domains such as cloud computing, cybersecurity, and more.

Through tailored courses covering these subjects, we provide

some internship opportunities, enabling young talents to engage

in real-world scenarios and projects. We actively encourage them

to leverage NTT's extensive global network and choose the branch

where they would like to perform their internship.

In a recent development, we have partnered with SES to deliver

innovative collaborative connectivity solutions for businesses

within Luxembourg and worldwide. This collaboration has garnered

significant attention, reaching a global audience of nearly 400

million audience. It highlights the remarkable impact and interest

that Luxembourg can generate, despite its modest size.

In the last few years, we’ve also been recognized for our innovations

in the healthcare sector in Luxembourg on key projects developed

together with Laboratoires Réunis and Hopitaux Robert Shumann.

These collaborative initiatives drive innovation by fostering

knowledge exchange, leveraging local expertise, and capitalizing

on global networks. By combining resources and expertise with our

local partners, we can develop and deliver cutting-edge products

and services that meet the evolving needs of our clients, ultimately

driving innovation in the technology landscape of Luxembourg.

TS: What are some of NTT's future prospects and plans in

Luxembourg?

We have ongoing projects that are significant for our organizational

growth and client offerings. Firstly, we are actively engaged in

a consolidation project with another NTT entity that will result

in a merger and rebranding from 'NTT Limited' to 'NTT Data Inc.'

This transition signifies more than just a name change; it already

empowers us to provide significantly expanded and comprehensive

solutions to our clients.

Secondly, we are dedicated to consistently reassessing and refining

our offerings to ensure their relevance and competitiveness in

the market. Currently, our objective is to extend our portfolio

of solutions to cater to the evolving needs of our clients in the

upcoming years. While maintaining our existing technical expertise,

we are equally committed to investing in emerging technologies

and novel concepts to maintain a strategic edge. As an example, we

are currently conducting a field test of a ChatGPT implementation

within a prominent Luxembourg-based financial institution. The

primary goal of this initiative is to empower the bank in managing

user support through the utilization of ChatGPT technology.

By pursuing these strategic initiatives, NTT aims to stay at the

forefront of technological advancements and provide innovative

solutions that meet the evolving demands of our clients in

Luxembourg.

TS: How do you envision the evolution of NTT's role in the

coming years, considering the ongoing advancements in

technology and the digital economy?

OP: NTT is firmly committed to advancing next-generation

technologies as we look ahead to the future. With the ongoing

advancements in technology and the digital economy, we anticipate

potential shifts in cloud infrastructure and AI-driven innovations.

However, the founding principles and aspirations of NTT remain

unwavering.

Throughout our history, NTT has consistently pursued a path

of innovation, delivering efficient services while embracing

calculated risks. We firmly believe in taking a proactive approach

to transforming conceptual breakthroughs into viable business

ventures. For instance, we have already embraced the potential

of technologies like ChatGPT and 6G, actively working towards

shaping the future of technology.

TS: How did NTT's involvement contribute to the digital

transformation of businesses and industries in the country?

OP: This year we celebrate the 30th anniversary of NTT in

Luxembourg. In the early stages, our primary focus was on

facilitating internet connectivity for businesses, enabling them to

harness the power of the online world. Over time, we recognized

the importance of fortifying these connections to mitigate the

escalating security risks associated with increased exposure. And

then Unified communication technologies emerged as a pivotal

catalyst for our growth.

In recent years, our efforts have revolved around empowering

enterprises to leverage the infrastructure and cloud services

provided by hyperscalers. By helping businesses embrace the

potential of cloud computing, we have unlocked new opportunities

for operational efficiency and innovation. We have worked closely

with organizations, providing guidance and solutions to migrate their

operations to the cloud, enabling them to scale their businesses,

optimize resources, and drive digital innovation.

Throughout each successive technological revolution, NTT has

demonstrated our ability to adapt and reinvent ourselves. We

remain committed to empowering organizations with cutting-edge

technologies and solutions that accelerate their digital journeys

and enable them to thrive in the digital age.

43


Solve

Your internet is fast,

YOUR WEBSITE

I S

N O

T

| By Razrtech |

In today’s online world, having a fast website

is crucial for businesses that rely on lead

generation and online sales. Slow-loading

pages can lead to frustration and ultimately

result in lost traffic and revenue. This is where

ThunderboltJS comes in.

ThunderboltJS is a powerful framework and compiler

that helps web developers optimize their websites

for speed, performance, accessibility, SEO, and best

practices. It simplifies the process of optimizing websites

and improves core web vitals such as First Contentful Paint

(FCP), Speed Index (SI), Cumulative Layout Shift (CLS), and

Time to Interactive (TTI). These metrics are essential for

achieving good performance on the web.

One of the most significant benefits of ThunderboltJS

is its compatibility with other frameworks and libraries.

It works seamlessly with popular JavaScript libraries like

React, Angular, and Vue, allowing you to use a program

alongside your existing web development stack without

making significant changes.

ThunderboltJS is also incredibly easy to implement technically.

It’s designed to be simple to install and integrate into

your workflow, meaning you don’t need to be an expert in

performance optimization to use it effectively. The framework

and compiler take care of the heavy lifting, leaving you free

to focus on building great web applications.

In addition, ThunderboltJS helps with SEO optimization,

ensuring that your website is easily discoverable by

search engines. It generates optimized URLs, improves

page speed, and makes your website mobile-friendly, all

critical factors in SEO rankings.

In conclusion, it is a powerful tool that can help businesses

optimize their websites for speed, performance, accessibility,

and SEO. If you’re looking to improve your web application’s

user experience, ThunderboltJS is worth considering.

How page speed

affects user behavior

Bounce rate (%)

40%

30%

20%

10%

9.6

13

17.1

22.2

27.4

32.3

0%

2 3 4 5 6 7

Page load time (seconds)

44

9.6% of visitors bounce when page speed is 2 seconds (without our product)

32.3% of visitors bounce when page speed is 2 seconds (with our product)

YOUR ALL-IN-ONE PLATFORM

FOR RISK AND COMPLIANCE

www.westpole.lu

www.westpole.lu/GRCC/


Solve

ChatGPT :

véritable opportunité

ou risque latent pour l

Si les produits d’IA ouverts comme ChatGPT sont

conçus pour traiter et générer des réponses de type

« humain », ils manquent du discernement nécessaire

pour comprendre le contexte, l’intention ou les

conséquences des informations qu’ils reçoivent.

Moussa Ouedraogo, Head of Cybersecurity chez

Fujitsu Luxembourg, soulève l’impact potentiel de

l’utilisation d’outils basés sur l’intelligence artificielle

- tels que ChatGPT - sur la vulnérabilité déjà précaire

des organisations en matière de sécurité.

— Une arme à double tranchant

Il convient de souligner que les risques liés à une technologie

dépendent principalement de son utilisation finale. Dans le domaine

de la sécurité, nous utilisons des scans de vulnérabilité pour

identifier et corriger les failles au sein des systèmes avant qu’elles

ne soient exploitées de manière malveillante. Paradoxalement,

cette même technologie est utilisée par des hackers pour repérer

les points faibles de la sécurité d’une entreprise avant de mener

des attaques. Ainsi, une technologie peut être utilisée à des fins

divergentes.

ChatGPT présente une situation similaire. Son programme

l’empêche de se livrer à des activités contraires à l’éthique ou

d’aider à la réalisation d’activités illégales. Il est cependant possible

de contourner ces règles en fournissant les bons « prompts », ou

instructions. En posant les bonnes questions et en évitant de

susciter des soupçons quant à nos intentions malveillantes, le bot

pourrait nous aider à développer un logiciel malveillant. Il pourrait

également fournir de nouvelles méthodes de social engineering,

une technique de manipulation visant à escroquer le plus grand

nombre de victimes possible. En effet, on peut facilement imaginer

la création d’un e-mail de phishing convaincant ou d’un message

percutant, basés sur des informations préalablement fournies.

Ce risque concerne à la fois les individus et les entreprises du

monde entier.

46

Solve


Moussa Ouedraogo

Head of Cybersecurity chez

Fujitsu Luxembourg

a sécurité des entreprises ? | By Yann Roll |

La protection des données est un autre aspect vulnérable à

l’utilisation de ChatGPT. L’outil fonctionne en se basant sur une

base de connaissances qui s’enrichit au fur et à mesure de l’apport

de nouvelles données. C’est là que réside le risque, car les données

fournies ne sont pas toujours filtrées par les utilisateurs, ce qui

peut entraîner la divulgation de secrets professionnels internes à

l’entreprise et les faire sortir du périmètre de l’organisation. Sur base

des informations reçues, l’intelligence artificielle va pouvoir faire

la dichotomie entre toutes les données assimilées et commencer

à établir des profils. Elle pourra catégoriser les informations en

fonction de la localisation, du secteur, etc.

— Prévenir les fuites de données

Pour mitiger les risques liés à l’exploitation d’une technologie

comme ChatGPT, il est primordial de sensibiliser et de former

les collaborateurs de l’entreprise à son utilisation. Néanmoins,

il ne faut pas s’arrêter à cette réponse. La problématique de

sécurité soulevée aujourd’hui vis-à-vis de ChatGPT n’est pas une

nouveauté. Mais surtout, on sait dors et déjà comment la résoudre.

La sensibilisation est une bonne mesure, mais il suffit d’une

exception ou d’une erreur en interne pour que toute la démarche

vole en éclats.

Si l’on veut écarter tout risque, la solution la plus simple à mettre

en place est de bloquer purement et simplement l’accès à l’outil.

Puisque le bot d’OpenAI se trouve derrière un proxy, il est possible

de restreindre l’accès au domaine au sein de l’organisation. Certes,

c’est une solution « radicale » puisque ChatGPT peut tout autant

contribuer de façon positive à l’essor d’un service ou améliorer

l’efficience des employés.

enregistrera dans l’historique afin de permettre une investigation

a posteriori. Il faut souligner en passant que la problématique DLP

est un sujet fortement traité par Fujitsu.

— Une aide à la défense plutôt qu’une menace ?

Tandis que l’utilisation de ChatGPT peut présenter des risques

pour la sécurité d’une entreprise, il existe dans le monde des

technologies beaucoup plus dangereuses encore. Certaines d’entre

elles sont omniprésentes, à la portée du premier néophyte venu,

et disponibles à l’achat sur le dark web pour une poignée d’euros.

ChatGPT aurait, selon moi, plus d’utilité pour organiser la défense

d’une entreprise que pour améliorer l’offensive d’un cybercriminel.

Dans le secteur de la sécurité, il est crucial de s’assurer que les

mesures mises en place sont solides et durables. On pourrait, par

exemple, demander au bot un avis sur différents aspects de la

sécurité de l’entreprise pour atteindre un niveau de maturité encore

plus élevé. Considérons le cas des développeurs d’applications, qui

sont souvent à l’origine de vulnérabilités exploitées par les hackers.

Lorsque nous examinons un morceau de code, nous utilisons

généralement un outil appelé scanner de code qui identifie les

vulnérabilités et propose des solutions pour les résoudre. On pourrait

envisager d’utiliser ChatGPT pour effectuer une analyse similaire.

En lui fournissant un extrait de code en JavaScript ou C++, le bot

pourrait, par exemple, nous signaler une vulnérabilité potentielle

et nous proposer une manière de la corriger. Cela constituerait un

véritable changement de paradigme pour les entreprises de tous

types, mais surtout pour les petites organisations qui ne disposent

pas des ressources nécessaires pour acquérir des solutions de

sécurité onéreuses.

Une autre méthode, beaucoup plus sophistiquée cette fois-ci,

consiste à recourir à l’implémentation de technologies de « Data

Leakage Prevention », dites DLP. Ces technologies sont utilisées

pour s’assurer que le flux d’informations transmis en dehors de

l’entreprise est contrôlé. Les informations seront filtrées sur base

de la politique mise en place au sein de l’entreprise. Le DLP aura la

capacité d’empêcher que des données contenant le nom de certaines

personnes, des stratégies ou d’autres informations sensibles encore

ne fuitent. Une fois ces risques de fuite neutralisés, le DLP les

47


Solve

Michel Kalika

Professeur de stratégie et chercheur

en systèmes d’information

Business Science Institute

UN DBA INTERNATIONAL

CONÇU POUR LES DIRIGEANTS

ET MANAGERS


Professeur de stratégie et chercheur en systèmes

d’information, Michel Kalika a dirigé 59 doctorants

au cours de sa carrière. Il est l’auteur ou le co-auteur

d’une trentaine de livres, d’une centaine d’articles, de

communications et de cas en systèmes d’information

et stratégie. Nous nous sommes entretenus avec lui

de l’institution académique qu’il préside, le Business

Science Institute.

passés deviennent obsolètes et il convient de créer de nouvelles

connaissances managériales ancrées dans les réalités de la vie

des entreprises et qui répondent aux défis actuels. Les sujets des

thèses de DBA proposés par nos doctorants-managers cherchent

des réponses aux défis présents des entreprises et des sociétés.

C’est pourquoi 50% des sujets sont en lien avec les Sustainable

Development Goals (SDG) de l’ONU.

TS : Pourriez-vous nous donner des exemples de sujets de DBA ?

MK: Nous avons fait soutenir près de 140 thèses de DBA et nous

avons actuellement 240 doctorants-managers provenant d’une

cinquantaine de pays différents. Les sujets sont très divers et c’est

pourquoi nous avons créé une organisation en réseau qui mobilise

80 professeurs actifs et potentiellement plus de 150 directeurs de

thèses francophones, anglophones et germanophones. Parmi les

thèses réalisées par des managers luxembourgeois, je peux citer :

TS : Qu’est-ce-que le Business Science Institute ?

MK: Le Business Science Institute est une organisation académique

internationale en réseau basée au Luxembourg qui organise

un DBA et qui fêtera ses 10 ans à Luxembourg les 27, 28 et 29

Septembre 2023.

TS : Qu’est ce qu’un DBA ?

MK: Un DBA, ou Doctorate in Business Administration, est un

programme doctoral post MBA, ou master, créé à l’origine par

l’université Harvard et qui permet à un manager de préparer une

thèse sur un sujet en lien avec son expérience sous la direction

d’un professeur international. L’objectif est de prendre du recul

par rapport à une pratique managériale et de la conceptualiser

afin de pouvoir formuler des recommandations génératrices

d’impact. Après la soutenance du DBA, il est possible de publier

un ouvrage (45 ouvrages ont été publiés à ce jour), de donner des

conférences, de transmettre son expérience. L’objectif n’est pas

de transformer des managers en professeurs d’université ou de

business school - c’est là le rôle du PhD traditionnel. L’objectif

est de faciliter la création de connaissance par les managers. Le

DBA, c’est plus qu’un diplôme - d’ailleurs délivré en partenariat

avec d’autres institutions académiques comme l’ICN Business

School ou l’Université de Lyon - c’est un générateur d’impact

managérial et sociétal.

TS : Qu’entendez-vous par impact managérial et sociétal ?

MK: Dans un contexte de révolutions technologiques, de crises

environnementales, sanitaires, géopolitiques, etc., les modèles

• «Leadership of Digital Transformation. The case of CEOs in the

banking industry », par Jean Elia, diplômé DBA 2021;

• « Proposal of a New Service Orientation Maturity Model: The

case of information technology service providers of financial

institutions in Luxembourg », par Martin Cross, diplômé DBA 2020;

• « ESG in Private Equity and Other Alternative Asset Classes: What

the industry has accomplished so far regarding Environmental,

Social and Governance matters », par Jens Hoellermann,

diplômé DBA 2020.

TS : Pensez-vous que le DBA est appelé à se développer

davantage ?

MK: Forts de huit institutions et programmes de DBA accrédités

internationalement par AMBA - nous sommes accrédités depuis

2020 - nous avons publié récemment conjointement un ouvrage

intitulé « The Doctor of Business Administration, Taking your

Professionnal Practice to the Next Level » où nous montrons que

le DBA est une réponse actuelle à une demande des managers.

TS : Est-il vraiment possible de préparer une thèse de DBA

tout en travaillant ?

MK: Nous avons mis en place un processus très rigoureux de suivi

à distance de nos doctorants-managers par nos professeurs et un

système de traçabilité automatique de toutes les relations entre

nos doctorants et leurs professeurs. C’est ainsi que nos doctorantsmanagers

deviennent « Doctor of Business Administration ».

48

Solve


compter sur un vivier de talents capables de travailler dans plusieurs

langues et d'apporter une véritable valeur ajoutée dans un secteur

en perpétuelle évolution.

UNE SOLUTION

END-TO-END

POUR LE

RECRUTEMENT IT


Eric Busch est le fondateur et CEO de nexten.io, une

plateforme internationale d'offres d'emploi qui utilise

le matching intelligent pour mettre directement en

relation les travailleurs de la tech et les entreprises. Il

nous expose les atouts dont dispose le Luxembourg

pour attirer les professionnels de l'informatique et les

défis à surmonter.

TS: Quelles sont les particularités qui rendent le Luxembourg

particulièrement attractif pour les professionnels de

l'informatique ? Et en quoi l'environnement luxembourgeois se

distingue-t-il des autres pays européens dans ce secteur ?

EB: Il ne fait aucun doute que le Luxembourg demeure un choix

de premier ordre pour de nombreuses entreprises étrangères qui

recherchent une implantation locale. Cet attrait provient de plusieurs

facteurs distincts et complémentaires.

D'abord, le Luxembourg offre une stabilité politique inébranlable qui

procure aux entreprises un environnement sûr et prévisible pour

opérer. De plus, sa position géographique, au cœur de l'Europe,

favorise l'accessibilité et la connectivité, éléments essentiels pour

toute entreprise technologique. C'est une porte d'entrée privilégiée

vers le marché européen qui facilite ainsi les échanges commerciaux

et la mobilité. Le cadre fiscal du Luxembourg représente également

un facteur clé. Le pays offre une fiscalité avantageuse qui encourage

l'investissement et le développement des affaires. Et puis, il ne

faut pas oublier l'infrastructure moderne dont bénéficie le Grand-

Duché et qui soutient de manière efficace le secteur informatique,

notamment en matière de data centers et de connectivité haut débit.

Une autre particularité qui distingue le Luxembourg est sans doute

sa main-d'œuvre hautement qualifiée et multilingue. Le pays peut

Nous devons cependant faire face à un défi majeur qui pourrait

compromettre l'attrait qu'exerce le Luxembourg : le problème du

logement. Il devient de plus en plus difficile pour les travailleurs

expatriés d'emménager et de vivre dans notre pays. Cette question est

aujourd'hui sur le devant de la scène et requiert une réponse politique

urgente et adaptée pour préserver l'attractivité du Luxembourg. Je

reste néanmoins confiant dans la capacité du pays à résoudre ce

problème et à maintenir le Luxembourg comme un lieu de choix pour

les professionnels de l'informatique et les entreprises technologiques.

TS: Avec nexten.io, vous avez mis en place une plateforme

dédiée au recrutement de profils informatiques. Quels sont les

défis et les opportunités spécifiques à ce marché que votre

plateforme vise à adresser ?

EB: nexten.io a été créée pour répondre aux défis spécifiques

que rencontrent les entreprises dans le domaine du recrutement

informatique. Notre plateforme repose sur une approche qui propose

trois solutions pour résoudre ces défis.

Premièrement, nous offrons aux entreprises des solutions de

recrutement et de staffing dans les domaines de la Tech et de l'IT en

leur permettant de recruter des professionnels qui résident déjà au

Luxembourg et dans la Grande Région, ce qui favorise une intégration

rapide et efficace des ressources dans les équipes en place.

Deuxièmement, nous visons à attirer des talents internationaux en leur

offrant un accompagnement pour se relocaliser au Luxembourg ou

dans la Grande Région. Cela augmente la disponibilité des compétences

et élargit le bassin de candidats potentiels pour les entreprises.

Troisièmement, nous proposons des solutions de travail à distance où

les individus peuvent demeurer physiquement dans leur pays d'origine

tout en travaillant pour des entreprises basées au Luxembourg. Pour

cela, nous avons mis en place des solutions de payrolling adaptées

à ce type de situation.

Dans toutes ces configurations, nexten.io offre une solution " endto-end

". De la recherche du candidat idéal à la gestion du payrolling,

en passant par la prise en charge des aspects légaux et fiscaux, nous

sommes à même de simplifier considérablement le processus de

recrutement pour les entreprises. En répondant à ces défis spécifiques,

nous croyons que nexten.io offre des opportunités uniques pour les

entreprises à la recherche de talents dans le domaine informatique.

Eric Busch

CEO & Founder de nexten.io

49

04

Network

{ Nom masculin }

Réseau social, professionnel, familial, virtuel, etc.

d’une personne.

50

The Cost of Cybe

the Financial Sec


B

Network

E

Y

Cybercrime is a dangling sword for financial institutions. It has turned

more precarious in the hybrid work environment where employees

move from secure office environments to vulnerable home networks.

There’s also the small fact of cybercrime evolving quickly in recent years

- where, earlier, criminals were content stealing credit card information,

they’re today shutting down systems and holding companies hostage.

Moreover, ongoing digitalization in the financial sector is increasing

its exposure to threats. Meanwhile, the threat landscape has grown

more insidious, which means the financial sector - a favorite target of

cybercriminals - needs to stay alert.

R

— The costs of cybercrime are high

In 2022, the average cost of a data breach in the financial sector

was $5.97 million, over a million above the overall average. It’s only

likely to go up in the future; Cybersecurity Ventures expects global

cybercrime costs to reach $10.5 trillion by 2025.

In the aftermath of a major cyberattack that affects stakeholders,

companies can bear material losses due to various new developments.

A direct loss is if the company is forced to pay ransomware but other

leaks in revenue and cash are possible. If the attack compromised

customer data, confidence in the business is bound to diminish and

customers may feel less secure staying on, potentially resulting

in a loss of revenue for the company.

Losses can ensue from a disruption to business operations.

Imagine a major bank with considerable cybersecurity resources

having to shut down all of its branch offices after being hit with

malware, and potentially losing millions in just one day. It’s what

BancoEstado, one of Chile’s three major banks, went through after

REvil/Sodinokibi ransomware infiltrated the bank’s internal network.

The financial sector already pays the highest cyber insurance of all

sectors. There is every possibility that premiums will go up after a

cyberattack exposes holes in the victim’s cybersecurity arsenal.

— Threats to watch out for

Staying ahead of cybersecurity threats is challenging given the

sheer variety of attacks that can strike the financial sector.

Cybercriminals are creating entire economies where tools and

talent to target organizations are readily available to everyone.

No cyber threat exemplifies this more than ransomware.

• Ransomware poses a clear and present danger for financial firms.

It uses sophisticated encryption algorithms to block access

to system data. Paying the demanded ransom is the easiest

solution and many companies do relent to avoid reputational

damage and loss of business or productivity. The alternative is

to utilize cybersecurity experts specializing in ransomware to

decrypt the data or use other means to retrieve it. The rise of

ransomware-as-service, the provision of ransomware codes

as a subscription via brokers to buyers, has led to a rise in

ransomware attacks. Anyone with basic technical skills can

purchase platforms, tools, and support to carry out attacks.

The report recommends that the Financial

Stability Board (FSB) develop a framework

for supervising cyber risk management in the

financial sector.

52

Network


rcrime in

tor


In 2022, the average cost of a data

breach in the financial sector was

$5.97 million, over a million above

the overall average.

E

C

• Phishing is also big business today, accessible as phishing-as-aservice

(PhaaS) which involves an operator providing the attacker

with an entire infrastructure to launch a phishing campaign. A

typical PhaaS service includes the development Rof the spoofed

page, website hosting, phishing mail template creation, email

distribution, credential parsing, and orchestration. Attackers

stand to save time and effort by simply purchasing a PhaaS

solution or phishing kit.

• Web application and API attacks tripled in frequency in 2022.

Attackers exploited weaknesses in banking APIs and applications

to exfiltrate sensitive data. As financial institutions increase

their investment in APIs for mobile banking and digital payment

apps, a spike in the number of attacks in this category is likely.

• Vulnerability exploitation accounts for 31% of attacks in

the financial sector. In 2022, zero-day vulnerabilities were

the leading cause and included high-severity flaws in Zoho

ManageEngine products, Microsoft Exchange, and virtual

private networks solutions from Citrix and Fortinet.

• DDoS attacks against the financial sector grew in frequency by

22% in 2022. Aimed at disrupting normal business operations,

this type of attack is especially dangerous for banks, which

offer 24/7 access to services and hold massive amounts of

personally identifiable and financial data. It has no direct

monetary benefits for the attacker and is usually motivated

by revenge or competition. Unfortunately for the financial

sector, DDoS services can be cheaply bought.

• State-sponsored attacks are motivated by various factors,

including stealing trade or military secrets, manipulating

elections, and obtaining information about dissidents. A

country may target businesses in another to gain negotiation

leverage or spread chaos and fear. It tends to increase when

tensions between countries are high but can also be difficult to

attribute. In 2022, Russia is alleged to have targeted multiple

Ukrainian banks with a DDoS attack, which took websites

offline and brought ATM services to a halt. A Chinese threat

M

actor is alleged to have exploited a vulnerability in a web

interface to gain access to Taiwanese trading accounts and

make transactions on the Hong Kong stock market.

• Insider threats via a financial firm’s own employees or thirdparty

vendors are a tough nut to crack. Most cybersecurity

measures are focused on tackling threats originating from

outside the company. Employees and consultants may have

sufficient knowledge of the company’s systems to bypass

guardrails and carry out attacks successfully.

— Preventing cybercrime in the financial sector

requires Icollective action

Cyber incidents rank as the most important business risk globally.

Understanding the challenges ahead is crucial to implement

measures that stop highly organized cybercriminals in their tracks.

Even as financial institutions strengthen their cybersecurity

policies, they should consider working closely with governments

and organizations in the sector to mitigate challenges. A 2020

report by the Carnegie Endowment for International Peace offers

some recommendations in this respect.

The report recommends that the Financial Stability Board (FSB)

develop a framework for supervising cyber risk management

in the financial sector. It advises governments and industry to

bolster security by exchanging information on threats and creating

computer emergency response teams (CERTs) with specialized

cybersecurity capabilities to deal with threats affecting the

finance sector.

Emphasizing the need for international collaboration, the report says

that governments and financial firms can protect more effectively

against cyber threats by coming together. It also recommends

that governments clarify how they will apply international law to

cyberspace and reinforce norms to safeguard the integrity of the

financial system. The governments of Australia, the Netherlands,

and the UK have made progress by stating that cyberattacks

originating from a foreign country may be regarded as an illegal

intervention in the domestic affairs of their country.

53


Network

54

Network


2 0 2 3

55


Network

C R Y P TO E D I T I O N

56

Network


2023

57

#05

MANAGING EDITOR

Kamel Amroune

CEO

kamel.amroune@thedots.lu

À retrouver dès le mois

d'octobre 2023

ADVERTISING CONTACT

Aurélie Paini

Head of Sales & Operations

aurelie.paini@thedots.lu

+352 691 339 918

Morgane Montaigu

Sales & Marketing Officer

morgane.montaigu@thedots.lu

EDITORIAL TEAM

Michaël Renotte

Rédacteur en chef

michael.renotte@thedots.lu

Yann Roll

Marketing Officer

yann.roll@thedots.lu

Nastassia Haux

Marketing Manager

nastassia.haux@thedots.lu

DESIGN

Nicolas Bœuf

Directeur Artistique

nicolas.boeuf@thedots.lu

DISTRIBUTION

Post Luxembourg

PRINTING

BDZ Luxembourg

Print 1000 exemplaires

EDITOR

The Dots

33, Boulevard Prince Henri

L-1724 Luxembourg

+352 20 60 29 410

RE

Pour que l’e-mobilité

soit toujours un plaisir

Faites évoluer votre flotte de véhicules

au rythme de vos activités

BIL Lease vous permet de renouveler votre flotte de véhicules en faveur

de l’e-mobilité à budget maîtrisé. En détenant vos équipements en

leasing, vous vous assurez de leur mise à jour en permanence. Découvrez

l’ensemble des services de la gamme BIL Lease sur bil.com/leasing

Société Luxembourgeoise de Leasing BIL-LEASE, 42 rue de la Vallée, L-2661 Luxembourg, RCS Luxembourg B-38718

Techsense Magazine #04

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?