Techsense Magazine #04
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
#04
TECHSENSE Magazine #04
EDITO
Chères lectrices, chers lecteurs,
Avec un produit intérieur brut par habitant
supérieur à 132.000 dollars au moment où ce
magazine est mis sous presse, le Luxembourg
caracole en tête du classement des pays les plus
riches au monde établi par le Fonds Monétaire
International ! Et même si les palmarès de ce
genre peuvent varier en fonction des indicateurs
économiques utilisés, le score obtenu par le Grand-
Duché n'en est pas moins révélateur de l'attractivité
que le pays exerce tant sur les entreprises et les
investisseurs que sur les travailleurs.
Kamel Amroune CEO
Situé au cœur de l'Europe, le
Luxembourg est une tête de
pont idéale pour les entreprises
souhaitant accéder au marché européen. Le
pays est connu pour sa stabilité politique,
son économie est diversifiée et résiliente, le
taux de chômage y est faible et la croissance
économique régulière. Cette stabilité offre
aux entreprises un environnement prévisible
et propice aux investissements à long terme.
Si l'on ajoute à cela des infrastructures
modernes et de grande qualité, notamment
en termes de télécommunications et
de technologies numériques, une maind'œuvre
multilingue hautement qualifiée
et un régime fiscal favorable, on obtient la
liste des ingrédients qui, combinés, font
du Luxembourg un choix attrayant pour les
entreprises ainsi que pour les travailleurs à
la recherche d'opportunités professionnelles
et d'une bonne qualité de vie.
Un investissement adéquat dans la
cybersécurité est cependant crucial
pour maintenir et renforcer la résilience
économique d'un pays. Il n'en va pas autrement
au Luxembourg.
Les infrastructures critiques telles que les
réseaux électriques, les systèmes de transport,
les services financiers et les communications
sont essentielles au développement d'une
économie prospère. Il est indispensable
de protéger ces infrastructures contre les
attaques et les intrusions, leur compromission
pouvant entraîner des conséquences
économiques désastreuses. Qui plus est,
de nombreuses entreprises collectent,
stockent et traitent des données économiques
sensibles : informations financières, secrets
commerciaux ou données client. Ces
données doivent être protégées contre le
vol, la manipulation ou la destruction. Et
dans un monde de plus en plus numérique, la
confiance dans la sécurité des transactions
en ligne, des paiements électroniques et de la
confidentialité des données est primordiale.
La cybersécurité joue un rôle essentiel pour
préserver cette confiance en garantissant la
protection des informations personnelles,
la prévention des fraudes et la sécurité des
transactions.
Au fil des pages qui suivent, nous vous invitons
à découvrir les articles que nos partenaires et
nous-mêmes avons consacré à l'attractivité
économique du Luxembourg et à son indispensable
contrepartie, la sécurité des systèmes et des données.
Bonne lecture
03
#04
SOMMAIRE
06
Inform
22
Learn
36
Solve
50
Network
08
Luxembourg Stock Exchange
Le Luxembourg, un pays
attractif pour les travailleurs ?
10
EBRC
Le backup, un enjeu vital pour
l’entreprise moderne
12
Red Hat
A resilient financial sector
is underpinned by open
hybrid cloud
14
LuxProvide
LuxProvide, un pôle d'attraction
pour les acteurs du digital
16
Cybercrime-as-a-Business
18
Supply Chain Attacks
Unmasked
20
Editus
Bien utiliser ses données pour
un marketing plus performant
24
Neofacto
AI in DevOps is Here to Stay
26
Uncovering the Threat
Landscape of API Attacks:
Safeguarding Your Business
from Data Breaches
28
EY
Blockchain et Crypto Monnaie :
Le rôle clé du Luxembourg
30
What’s Involved in Reporting
Cyberattacks?
32
Ransomware-as-a-Service:
A Quick Guide for CIOs
and IT Managers
34
Are Women the Secret Weapon
for Tackling Cybercrime?
38
La Mondiale Europartner
La Mondiale Europartner lance
MyLMEP, sa nouvelle plateforme
100% digitale
40
The LHoFT
Exploring the Luxembourgish
Startup Ecosystem
42
NTT
Empowering Businesses
with Innovation: NTT Ltd.'s
Transformative Investments
in Luxembourg
44
Razrtech
Your Internet is Fast, Your
Website is Not
46
Fujitsu
ChatGPT : véritable opportunité
ou risque latent pour la sécurité
des entreprises ?
48
Business Science Institute
Un DBA international
conçu pour les dirigeants
et managers
52
The Cost of Cybercrime
in the Financial Sector
54
Retour sur le Techsense
Summit: AI & Data in The
Technologic Age
56
Tech Supreme Court:
Crypto Edition
49
nexten.io
nexten.io une solution
end-to-end pour le
recrutement IT
04
01
Inform
{ Verbe transitif }
Faire savoir quelque chose à quelqu’un,
le porter à sa connaissance, le lui apprendre.
06
Building trust and sustained outcomes
around the world.
Cybersecurity increasingly keeps CEOs up at night. At PwC,
we are a community of solvers helping our clients tackle one
of the biggest issues businesses face today.
You’re ready to power global change. We’re ready to create
the tech needed to succeed.
Be a part of The New Equation.
Learn more at www.pwc.lu/careers
TECHSENSE Magazine #04
Inform
Le Luxembourg,
UN PAYS
ATTRACTIF
POUR LES
TRAVAILLEURS ?
| Propos recueillis par Yann Roll |
Le Luxembourg est une
destination de choix pour les
entreprises et les travailleurs qui
cherchent à s’implanter dans un
environnement stable, compétitif
et propice à la croissance. Nous
avons demandé à Laurent
Pulinckx, CIO, et Christopher
Frères, Head of HR, de la Bourse
de Luxembourg de partager leurs
points de vue sur l’attractivité du
Luxembourg.
— À quels défis l’industrie IT luxembourgeoise est-elle confrontée ?
LP : « Jusqu’il y a une dizaine d’années, les ressources consacrées à l’informatique étaient
déployées dans les départements informatiques, pour l’essentiel. Toutefois, avec l’accélération
de la transformation digitale, il est apparu que l’informatique prenait une place de plus en plus
prépondérante dans la vie des entreprises. En conséquence, les besoins des entreprises en
ressources qualifiées ont connu une augmentation significative. La pandémie de COVID-19
a également joué un rôle clé dans l’accroissement de la digitalisation des métiers. Les
confinements successifs ont en effet favorisé une mobilité accrue des activités professionnelles,
permettant aux employés de travailler depuis n’importe quel endroit. Toutefois, la crise
sanitaire a également entraîné une tendance générale à la réduction de la main-d’œuvre. »
« Le Grand-Duché fait actuellement face à une situation où les besoins excèdent l’offre
disponible sur le marché. Tant que la Commission européenne et le gouvernement
luxembourgeois ont pour ambition de placer la transition digitale au centre de leurs politiques
de développement, il devient vital d’attirer et de retenir les talents nécessaires à cette
transformation. Les défis liés au recrutement dans l’industrie de l’IT dépassent cependant
les frontières du Luxembourg, c’est une problématique mondiale. Il faut également souligner
que la compétition entre les différents acteurs pour attirer les talents est d’autant plus
aigüe dans un pays aussi petit que le Luxembourg. »
— Ces défis se reflètent-ils également dans les processus
de recrutement de l’industrie financière ?
CF : « Sur le marché financier, on remarque souvent, lors des entretiens d’embauche, que
les candidats ont envie de travailler de manière plus flexible. Les adaptations du seuil
fiscal pour le télétravail ou celui de la sécurité sociale doivent être transcrits dans la loi
avant de devenir réellement effectives. Or, on ne légifère pas à la même vitesse que celle
de la parole et cela pose des problèmes car l’attractivité du Luxembourg est impactée par
ce type de contraintes. »
« La place financière luxembourgeoise possède un fort dynamisme et une grande diversité
culturelle. La preuve en est à la Bourse de Luxembourg, par exemple, où nous recensons
pas moins de 17 nationalités différentes parmi nos 140 employés. Il faut souligner que nous
bénéficions, au sein de la place, d’énormément de support en termes de réglementation
et de cadres définis par le gouvernement. Au Luxembourg, il règne une sorte d’obsession
08
Inform
TECHSENSE Magazine #04
visant à instaurer un cadre dynamique favorisant le développement
économique des entreprises. »
« L’un des principaux défis - si ce n’est le plus important - auxquels
nous faisons face est le recrutement de talents à l’étranger. Depuis la
crise sanitaire, on parle d’une nouvelle frontière pour les travailleurs
français, qui ne se limite plus à Thionville mais s’étend jusqu’à
Metz. Plus précisément, les travailleurs trouvent désormais plus
avantageux de trouver un emploi à Paris, télétravailler pendant 3 ou
4 jours et de ne se déplacer qu’une seule fois par semaine, au lieu
de passer une bonne partie de leur temps dans les embouteillages à
la frontière luxembourgeoise. L’argument de la différence salariale
s’amenuise au fil du temps notamment en raison des différentes
classes d’impôts. »
— De quelle manière la technologie impacte-telle
le recrutement chez LuxSE ?
CF : « Nous réalisons une majeure partie de nos recrutements à
l’étranger. Il est donc logique que nous ayons une technologie adaptée
pour échanger et converser avec nos candidats à distance. Nous
conservons cependant les entretiens physiques lorsqu’un profil
est largement avancé dans notre processus de recrutement. Pour
faciliter nos opérations, nous avons recours à une plateforme externe
de gestion des recrutements - équipée de fonctionnalités intégrant
des techniques d’Intelligence Artificielle - pour la sélection des CV,
notamment. Néanmoins, nous considérons qu’une supervision
humaine est primordiale car certains profils qui ne sont pas retenus
par l’IA peuvent s’avérer être en réalité pertinents pour nous, et
inversement. »
— Comment la technologie peut-elle contribuer
à la satisfaction des employés ?
LP : « La technologie est omniprésente dans la vie de l’entreprise et
cela renforce ma conviction qu’elle participe à la satisfaction - ou à
Laurent Pulinckx
CIO de la Bourse de Luxembourg
l’insatisfaction - des employés. Pour être perçue comme moderne
et digitale, il est impératif pour une entreprise de proposer des
solutions digitales et modernes à tous les collaborateurs. »
« Pour corroborer mes propos, je m’appuie sur une étude menée
par le cabinet Gartner qui révèle que les employés satisfaits de leur
expérience digitale ont deux fois plus de chances de rester dans
l’entreprise. Concrètement, notre objectif est de permettre aux
collaborateurs de se concentrer uniquement sur les tâches à forte
valeur ajoutée et d’éliminer celles qui sont pénibles et redondantes :
automatiser certaines tâches, créer un environnement de travail plus
flexible ou encore recourir aux technologies low-code ou no-code
pour permettre à l’utilisateur de mieux gérer son environnement de
travail sont des pistes à explorer. »
— Selon vous, quelle est la clé pour retenir les
talents sur le long terme ?
LP : « L’aspect primordial à développer avec les équipes – il s’agit
ici d’un constat personnel – sont les valeurs de l’entreprise. Elles
représentent un véritable argument de vente, si je puis dire, pour
attirer les talents. Et c’est là que se pose la véritable problématique :
réussir à exposer correctement ces valeurs et à les transmettre.
Les gens ont besoin de comprendre ce qu’est une bourse, ce qu’est
la finance durable, ils ont besoin de saisir les motifs pour lesquels
la Bourse de Luxembourg est pionnière dans les sujets comme la
finance durable et l’emploi de la technologie. »
Christopher Frères
Head of HR de la Bourse de Luxembourg
CF : « La politique du ‘lead by example’ est la seule manière de faire
vivre aux employés les valeurs de l’entreprise. On peut les afficher
un peu partout, ce n’est pas suffisant. Le ton doit être donné par un
comité exécutif comme celui dont Laurent fait partie chez LuxSE.
Par exemple, une de nos principales valeurs est l’innovation. Elle est
véhiculée à merveille par Laurent et démontre bien l’importance de
vivre ces valeurs. Je pourrais encore citer l’égalité, incarnée chez
nous par notre CEO, Julie Becker. »
09
TECHSENSE Magazine #04
Inform
Le backup,
un enjeu
vital pour
l’entreprise
moderne
| Par Yann Roll |
En garantissant la sécurité et la disponibilité des
données indispensables au fonctionnement de
l’entreprise, la sauvegarde – ou backup - joue un
rôle central dans le paysage numérique actuel. Ces
dernières années, le concept a dû évoluer pour
répondre à la fois aux exigences croissantes des
organisations et à la complexité grandissante de
la gestion des données. Raphaël Henry, Head of
Marketing and Portfolio Management, Franck
Lartigue, Business Consultant, et Alain Eloy,
Enterprise Architect chez EBRC font le point sur les
concepts et la vision qui sous-tendent une stratégie
de sauvegarde bien conçue.
«
Dans une économie de plus en plus numérique, la protection
des systèmes d’informations et des données est un enjeu
majeur », explique Raphaël Henry. « Les entreprises font
aujourd’hui face à des menaces internes et externes polymorphes,
très dynamiques et dont la complexité ne cesse de croître. Une
simple maladresse de la part d’un collaborateur peut mettre à mal
l’entièreté de l’infrastructure au même titre qu’un acte de sabotage
ou qu’une cyberattaque. De plus, la part croissante prise par les
API a un impact phénoménal sur l’industrie digitale. Les systèmes
d’informations sont entrés dans une ère d’ultra-connexion où chacun
dépend de différents composants traités ou hébergés chez des tiers ».
« Ces éléments démontrent l’importance de disposer d’un système
d’information de repli en cas d’incident car le moindre problème
dans la chaîne d’approvisionnement peut remettre en cause toute
l’activité d’une entreprise », ajoute-t-il. « La base de cette stratégie
de secours repose sur la copie des données. Ce principe n’a rien de
nouveau puisqu’il remonte au début de la numérisation de notre
monde. Néanmoins, il faut à présent prendre en considération les
problématiques inhérentes au Cloud et à la mise en conformité des
entreprises avec les différentes régulations en vigueur en Europe
et au Luxembourg ».
— Bien comprendre les besoins métier
« Le Luxembourg possède un contexte différent de ses voisins
européens », intervient Franck Lartigue. « Évidemment, chaque
entreprise doit se conformer aux règlementations européennes
telles que le RGPD ou le règlement DORA. Cependant, le Grand-Duché
ne se limite pas à appliquer sur son sol les règlementations de l’UE
puisque le pays possède ses propres entités régulatrices. La CSSF,
par exemple, impose certaines exigences en matière de résilience
et de backup. Toute société, quelle qu’elle soit, doit avoir en sa
possession les moyens nécessaires à la continuité de son activité
et pouvoir garantir à ses clients qu’elle a la capacité de le faire ».
« Il est vital pour une entreprise de bien saisir où se situe son MVC,
ou Minimum Viable Company », poursuit Franck Lartigue. « Quels
sont les éléments les plus cruciaux ? Quelle est l’étendue des
besoins métier qui permettront de remettre en œuvre rapidement
l’organisation après une cyberattaque ou autre incident à l’impact
similaire ? Toutes les données ne sont pas équivalentes, c’est pour
cette raison qu’il faut impérativement classifier les données et les
applicatifs de l’entreprise. Pour ce faire, on peut s’appuyer sur un
service capable d’apporter du conseil et de construire un BIA - ou
Business Impact Analysis ».
À SUIVRE...
Rendez-vous sur ebrc.com
pour lire la suite de l’article
et découvrir comment choisir
le bon backup pour le bon cas
d’usage.
10
Unmasking Sustainability:
Now you see me
European Convention Center Luxembourg
November 22 nd 2023
by
TECHSENSE Magazine #04
Inform
A resilient financial sector
is underpinned
hybrid cloud
| By Richard Harmon, VP, Global Financial Services Industry, Red Hat |
For the financial sector, managing digital risks in this
cloud era is more crucial than ever. New regulations
such as DORA serve as a roadmap for organizations
to improve their security and resilience. An industrywide
strategy is needed to implement these new
requirements. Hybrid cloud, and open source in
particular, can prove to be invaluable tools.
Ever since the 2008 global financial crisis, governments and
regulators have been on a mission to build integrity and
resilience back into their banking and financial systems.
In the EU, DORA (Digital Operational Resilience Act) is the latest of
these efforts. Passed in March 2022 and applying from January 17 th ,
2025, this new legislation will mandate that financial organizations
ensure the resilience of all the technologies in their stack.
With DORA, liability is the key tenet — if you run the technology, then
you have responsibility for it, goes the new rule. That brings thirdparty
systems and applications into the arena of an organization’s
accountability. DORA is namely a response to the increasing
digitalization of the financial world and its additional security
risks, especially when it comes to outsourcing IT services and
cloud models. This also includes major cloud providers such as
Microsoft, Amazon and Google.
It’s not just big banks that will be under the spotlight. DORA will also
apply to all sorts of financial businesses, from credit and payment
providers to investment and insurance firms; cryptocurrency
exchanges to crowdfunding platforms. By doing so, the EU hopes
to prevent substantial economic damage to the industry, as the
estimated annual cost of incidents to the European financial sector
ranges from €2 billion to as much as €27 billion.
— A hyper-connected finance sector
DORA comes at a time when many institutions are adding complexity,
and so risk, to their technology supply chain. The undeniable
benefits of the cloud are likely to prompt even more mission-critical
workloads to head there. These workloads in turn attract more
profound security considerations, and new vendors are sought
to protect these core systems. This way, partners can modernize
legacy platforms and applications, and power the digital innovations
that leave customers happy and the competition behind.
The result is a hyper-connected finance sector, and a wider
and potentially more vulnerable attack surface for institutions.
Organizations now access a vast array of third-party data and
technology services from the same public cloud servers and data
centers. If one organization is vulnerable, it may impact everyone
else. The Federal Reserve estimates that an attack on any one of
the five most active banks in the US could spill over to impact 38%
of the national financial network.
12
Inform
TECHSENSE Magazine #04
by open
— A shared responsibility
As attacks are increasingly becoming more sophisticated, the
need for a more community-minded open approach is getting
more voice. Make resilience and security a real team effort rather
than a lone pursuit, since financial systems no longer exist in
isolation. If institutions pull down their walls of secrecy, there
can be a holistic view of how everything is stitched together, truly
benefiting all in the ecosystem.
There are efforts in the industry and academia to map how
the global financial sector is technologically connected using
simulations to determine how a system failure or attack could
impact not just a few firms but spill over to the markets. This for
example involves identifying potential gateways that could lead to
systemic risks and quantifying the impact of security incidents on
the overall economy. Regulators, financial institutions and cloud
providers alike can benefit from these insights. Ultimately, it is
the same modelling principles that helped virologists predict the
path of COVID-19.
— Open source and hybrid cloud
A crucial challenge for financial institutions these days is how they
can build the required resilience when using cloud services. To
this end, a growing number of companies are following a strategy
based on open source and the hybrid cloud. A recent Red Hat
survey called “The State of Enterprise Open Source“, for instance,
shows that 81% of IT managers in the financial world prefer to rely
on open source solution providers.
Around 75% of these managers do so because open source software
simplifies the implementation of a hybrid cloud infrastructure. This is
because such an infrastructure provides the flexibility to consistently
run and scale applications across different environments - from
Richard Harmon
VP, Global Financial Services Industry at Red Hat
bare metal to VMs, edge computing, private cloud and multiple
public clouds - without having to redevelop applications, retrain
people or maintain disparate environments.
At the same time, open hybrid cloud provides the necessary
standards and features for consistent security across multiple
cloud environments, while maintaining application portability.
This also allows financial institutions to remain flexible in their
choice of future cloud options. Overall, open hybrid cloud can
contribute to stronger security and resilience.
— Resilience and innovation
As companies are realizing the potential of the cloud, the main
task for the financial sector remains clear: combine resilience
and innovation. Financial institutions should collectively adopt a
truly holistic approach, where security is part of the DNA of the
entire ecosystem and not seen as an afterthought. This task can
be accelerated by consciously opting for shared, open standards
and hybrid cloud infrastructures.
For more information about open hybrid cloud,
please contact laurent@redhat.com
13
TECHSENSE Magazine #04
Inform
LuxProvide
Un pôle
d'attraction
pour les
acteurs du
digital
| Propos recueillis par Michaël Renotte |
David Papiah est le CEO de LuxProvide,
l'opérateur du supercalculateur MeluXina. Il nous
explique comment les capacités de calcul intensif
dont s'est doté le Luxembourg contribuent au
rayonnement et à l'attractivité du pays.
Le champ des possibles offert
par la digitalisation est infini.
TS : Comment les supercalculateurs s'inscrivent-ils dans
l'évolution des économies modernes ?
DP : C'est énoncer une évidence que de dire que nos sociétés et
nos économies progressent dans le sens d'une digitalisation dont
on n'est pas prêts de voir la fin. Cette vague touche l'ensemble du
globe, comme en témoignent les nombreuses initiatives lancées
partout sur la planète. Dans ce contexte, les supercalculateurs sont
devenus indispensables pour réaliser des opérations complexes
impossibles à traiter avec des ressources informatiques courantes.
En matière de calcul intensif, nous assistons à une véritable course
à l'échelle mondiale, une course non pas juste pour produire de la
puissance de calcul, mais bien pour offrir à un tout un écosystème
les moyens de rester compétitif en s'inscrivant dans une perspective
de long terme et de création de valeur par la digitalisation.
TS : Quelle place l'Europe occupe-t-elle dans cette course
à la puissance de calcul ?
DP : Il existe à ce jour quatre pôles dominants en matière de
ressources de calcul intensif. Il s'agit des États-Unis, de la Chine,
du Japon et de l'Europe, celle-ci accusant un certain retard
historique sur ses compétiteurs. L'Europe est entrée dans la
course en mettant en place EuroHPC Joint Undertaking, une
initiative qui a pour but de mettre en place un réseau européen
de supercalculateurs afin de permettre à nos pays d'acquérir une
place prédominante dans un contexte hyper compétitif. Il est crucial
pour l'Union européenne et les pays qui la composent d'assurer
leur indépendance technologique, en particulier lorsqu'il s'agit
d'activités sensibles. Par ailleurs, EuroHPC, dont le budget s'élève
à 8 milliards €, a installé son quartier général au Luxembourg.
Dans la famille des supercalculateurs, on distingue trois générations
qui correspondent à autant de niveaux de puissance. En attendant
l'arrivée des supercalculateurs exascale, les machines les plus
puissantes imaginées à ce jour, des modèles petascale et préexascale
sont déjà opérationnels. Ces derniers sont des systèmes de
très grande taille qui vont permettre d'assurer la transition entre le
monde d'aujourd'hui et celui de demain en matière de puissance de
calcul. Le Luxembourg a été choisi par la Commission européenne
pour héberger le plus puissant des calculateurs petascale, MeluXina.
Je vois là un signal fort de l'attractivité qu'exerce le Luxembourg
en matière de technologies de pointe.
14
Inform
TECHSENSE Magazine #04
Destination Earth utilise le supercalculateur
luxembourgeois MeluXina pour créer un
jumeau numérique de la planète Terre.
TS : Justement, qu'en est-il du Luxembourg en particulier ?
DP : La mise en œuvre de MeluXina s'inscrit dans la stratégie
nationale définie il y a quelques années par le Luxembourg et qui
consiste à donner une inflexion très digitale à son économie. Cela
s'est matérialisé par la constitution de diverses organisations dont
LuxProvide pour le calcul intensif et LuxConnect pour la connectivité.
Mais il y a aussi Luxinnovation dont la mission est d'accompagner
les industries dans leur développement et leur digitalisation. Et
plus récemment, nous avons assisté à la création de la plateforme
d’échange de données nationale, la Pned. Ces initiatives ont pour
objet de permettre aux entreprises, qu'elles soient locales, issues
de la Grande Région, de l'UE ou même extra-européennes, d'avoir
accès à des infrastructures digitales de pointe.
Aujourd'hui, le Luxembourg peut être considéré comme un point
d'entrée en Europe pour les entreprises qui veulent développer
une stratégie d'expansion sur notre continent. Ses infrastructures
digitales rendent le pays très attrayant non seulement pour de
nombreuses organisations étrangères, mais également pour les
entreprises locales qui, par le passé, avaient tendance à chercher
ces services à l'étranger.
A notre niveau, cela se traduit par une participation à divers
projets transnationaux. L'Europe cherche à offrir l'accès à des
projets de recherche d'envergure internationale, notamment
dans le domaine des systèmes numériques, en s'appuyant sur le
réseau EuroHPC. Un exemple en est le projet " Destination Earth "
qui utilise le supercalculateur luxembourgeois MeluXina pour
créer un jumeau numérique de la planète Terre. L'objectif de ce
projet est d'anticiper des situations induites par le changement
climatique, la surpopulation et la raréfaction des ressources, afin
de fournir les bonnes informations au bon moment et assurer à
l'humanité un avenir meilleur et plus durable. MeluXina est l'un
des trois centres de calcul intensif sélectionnés pour ce projet,
parmi un total de dix.
Un autre projet intéressant est eTranslation, qui utilise la technologie
NLP (Natural Language Processing) pour fournir une traduction
instantanée dans les 24 langues officielles de l'UE. Ce projet exploite
également les capacités de MeluXina. Dans un autre registre, le
prix Nobel de physique Giorgio Parisi mène en ce moment un
projet visant à relier un problème de physique fondamentale à
David Papiah, CEO de LuxProvide
l'approche du calcul quantique appelée " recuit quantique ". Ce type
de recherche nécessite un centre de calcul haute performance
équipé d'un grand nombre d'accélérateurs graphiques, comme
MeluXina.
Il faut souligner qu'outre les aspects technologiques, LuxProvide -
et le Luxembourg - offrent une expertise et un accompagnement
de qualité pour de tels projets. Le rôle que joue le Luxembourg
est lié à sa petite taille et à ses grandes capacités relativement
à celle-ci. Comparativement à d'autres pays, les choses peuvent
avancer très rapidement au Grand-Duché. C'est là l'une de ses
grandes forces. Le champ des possibles offert par la digitalisation
est infini, ce qui offre de nombreuses opportunités de s'exprimer
à la volonté novatrice du Luxembourg et sa capacité à être agile.
TS : Quelle est votre propre perception des atouts
du Luxembourg ?
DP : En ce qui me concerne, je suis venu chez LuxProvide parce
le challenge que l'on me proposait me semblait intéressant. Mais
je me suis rapidement rendu compte que le Luxembourg offrait
un contexte humain et social enrichissants. Les conditions de
travail y sont très intéressantes et les possibilités d'intégrer des
équipes internationales sont nombreuses. Chez LuxProvide, par
exemple, il y a une grande diversité culturelle, avec 16 nationalités
représentées parmi 25 personnes. Le pays offre d'importantes
possibilités d'évolution professionnelle, notamment dans le
domaine des nouvelles technologies et de la création de valeur à
partir des données. Pour ceux qui recherchent un épanouissement
professionnel, le Luxembourg offre de belles opportunités.
En matière de calcul intensif, nous assistons à une
véritable course à l'échelle mondiale.
15
TECHSENSE Magazine #04
Inform
-as-a-Business
| By Michaël Renotte |
Cybercriminals are organizing into
legitimate business structures,
bringing together technical expertise,
insider intel, and social engineering
campaigns to enable cybercrimes
with ease and audacity. Beware, the
cybercrime-as-a-business ecosystem
is out to get you, and the enemy may
be someone sitting two cubicles away
from you!
Well, that was a bit too dramatic but the evolution
of the cybercrime industry cannot be emphasized
enough. There is so much greed and vengeance
going around, with the easy availability of cyber weapons online,
and the largely nameless and faceless nature of cybercrime. It was
only a matter of time before cybercrime groups created an entire
business model to sell and propagate their activities.
As a result, cybercrime-as-a-business today is big business,
and like big businesses, cybercrime enterprises interact with
governments of countries in need of their services. China, Russia,
North Korea, and Iran have come under the scanner for using
contract hackers to launch cyberattacks on rival countries. That
said, cyber espionage is a means to an end for any country. But
that’s their business and it’s unlikely to affect you. What you should
be worried about, especially if you’re a small or medium-sized
business, is the possibility of losing money and your reputation
to the cybercrime-as-a-business ecosystem.
It’s worth knowing how the ecosystem operates and the common
crimes perpetrated to be able to plan an effective defense that
thwarts the attempts of the vilest participants looking to harm
your organization. Before that, here are some statistics illustrating
how nicely cybercrime-as-a-business is flourishing.
— There’s strength in numbers
Endpoint protection expert Bromium and independent cybersecurity
review site DataProt find that cybercriminals make $1.5 trillion
in annual revenue, with ransomware accounting for $1 billion.
According to the Allianz Risk Barometer 2022, cyber incidents are
the number one global business risk, above business interruption
and natural disasters. The average cost of a data breach worldwide
is around $4.35 million, with global cybercrime costs predicted to
reach $10.5 trillion annually by 2025. Cybercrime is effectively an
economy in competition with the U.S. and China.
— The cybercrime-as-a-service marketplace
Just as any marketplace has players and participants, so does
cybercrime-as-a-service. Let’s understand how ransomware
16
Inform
TECHSENSE Magazine #04
attacks, one of the most popular types of cybercrime, would be
perpetrated within this ecosystem.
At the top rung, there are the “solution providers“ aka the ransomwareas-a-service
(RaaS) operators. They’re the programmers that develop
ransomware code and its supporting systems and infrastructure,
not unlike a typical software-as-a-service company. They offer
products as a subscription, which includes support to carry out
attacks. They’re also responsible for developing leak sites to host
the illicitly retrieved data of victims, processing payments from
them, and enabling communications and mediation between
victims and service affiliates.
Service affiliates use the RaaS platform to compromise networks,
deliver ransomware payloads, and exfiltrate data. They don’t
necessarily have technical prowess but are instrumental in executing
crimes according to plans. Their involvement helps mask RaaS
operators, no doubt adding complexity to investigations into crimes.
On their own, service affiliates cannot gain access to an organization’s
network. They’re aided by another key player, the access broker,
who has the technical prowess to develop social engineering
campaigns and exploit vulnerabilities in organization systems
to facilitate entry. After a successful breach, the broker puts
the inventory up in the affiliate marketplace for bids. The price
depends on the type of access, companies, security protections,
and other factors.
Signing up for RaaS subscriptions works out to be more costeffective
for service affiliates. A large and growing market of
service affiliates is increasing demand for RaaS operators and
access brokers. Those who’ve been in business for long have the
edge but performance also matters in earning affiliates’ business
and loyalty. Service providers may offer a trial to allow buyers to test
the product before they commit to a purchase. As RaaS operators
serve as communications intermediaries, a strong grasp of their
buyers’ native language tends to work in their favor.
Another way in which cybercrime-as-service is indistinguishable
from a legal business is in its interaction and cooperation with
third-party escrows and arbitrators. A trusted third party holds
the money before the transaction is completed. In the case of a
dispute, a third party is appointed to settle it to the satisfaction
of both parties.
Cybercrime-as-a-business today is big
business, and like big businesses, cybercrime
enterprises interact with governments of
countries in need of their services.
It’s been observed that cyber criminals are happy to launch a number
of smaller-scale attacks that add up to a pretty good haul. Think
- a ransom of $10K for five crimes or about $50k. These amounts
are easier to extract from small and medium-sized businesses
that haven’t exactly built a cybersecurity fortress such as their
larger peers. They’re the low-hanging fruit for now, easy to grab
and extort money from.
— Looking at cybersecurity from a new lens
The industrialization of cybercrime poses a bigger threat to
businesses now that data breaches are more easily implementable
by anyone who wants to make money off you. It could be routine
thievery or a masterminded plan with deeper motives. Recognizing
that the possibilities for cyberattacks against you have only
increased, it’s a good idea to conduct a review of your current
cybersecurity posture to determine if you’re adequately protected.
Threats lurk in all places, from your organization network and
endpoints that connect to it, to your employees who may turn
insiders to obtain vengeance and money. Having a prevention and
response plan for all possible threats is increasingly becoming
paramount. It’s likely that if your organization is attacked by
cybercriminals, they will just as likely be another buyer on the
cybercrime-as-service marketplace. The bottom line - anyone with
malicious intent endangers your data and money. The sooner you
confront this reality, the better it is for your business’s health.
— It’s strictly business
Money is the main motivation to be in the game and stay there.
Players aren’t there for payback and personal gratification. If the
price is right, they’re in.
Overall, for-profit cybercrime encompasses cyber theft, data
trade, online black markets to sell illegal goods, ransomware-asa-service,
the broader cybercrime-as-service that sells a variety
of tools to execute cyber-attacks, and crime business services like
job boards for those with the right talents! Opportunities abound
and a lucrative marketplace is irresistible for those eyeing good
money - and that doesn’t necessarily mean a million-dollar heist.
17
TECHSENSE Magazine #04
Inform
Supply Chain
Attacks
Unmasked | By Michaël Renotte |
In today’s interconnected digital landscape,
supply chain software attacks have emerged as a
significant threat to organizations’ cybersecurity.
Cybercriminals target vulnerable links in the supply
chain to gain unauthorized access to sensitive
data, disrupt operations, or launch large-scale
cyberattacks. Malicious malware attacks have been
increasing by a whopping 633% year-on-year!
Did you know these attacks are primarily due to 90% of
software applications being open source and about 11%
of them being vulnerable? Here’s another statistic: as
many as 21% of organizations typically undergo an open-source
violation!
This article will delve into the key aspects of supply chain attacks,
their potential impact, and essential strategies that CISOs, CIOs,
IT managers, developers, and even others should implement to
safeguard their companies.
— Understanding supply chain attacks
So, what exactly is a supply chain attack? Supply chain attacks
involve exploiting vulnerabilities within an organization’s supply chain
ecosystem, which encompasses suppliers, vendors, contractors,
and third-party service providers. These are also known as valuechain
or third-party attacks.
Instead of directly targeting the IT systems of an organization,
cybercriminals infiltrate the supply chain infrastructure to gain
access to trusted networks, systems, or software used by the
organization.
These attacks can be highly sophisticated, diverse, and challenging
to detect as they exploit the trust relationship between the
organization and its supply chain partners. Typically, supply
chain attack sources include open-source networks, commercial
software, and foreign products.
18
A case in point is the recent SolarWinds’ (a company that produces
network software Orion) infrastructure breach, where hackers
inserted and distributed Trojans in the software update. This
allowed them to access FireEye’s (another cybersecurity company)
network. As a result, the damages to cyber insurance agencies
were estimated to be about $90 million.
— The impact of supply chain attacks
As you can see, supply chain attacks can have severe consequences
for companies, ranging from financial losses to reputational
damage. The potential impact includes:
• Data breaches: Attackers may gain unauthorized access
to sensitive customer data, intellectual property, or trade
secrets, leading to data breaches and compliance violations.
• Operational disruption: Compromised software or hardware
components can disrupt business operations, leading to
downtime, productivity losses, and increased recovery costs.
Types of supply
1
Malware insertion: Attackers insert
malicious code or malware into software,
firmware, or devices (USB drives, cameras,
mobile phones, etc.) during the development or
distribution process. When the compromised
software is deployed within the organization,
it serves as a vehicle for cybercriminals to gain
unauthorized access or carry out malicious
activities.
2
Compromised vendor accounts:
Cybercriminals target vendor accounts
to manipulate or tamper with the software or
hardware components before they reach the
organization. This enables attackers to introduce
backdoors or other vulnerabilities that can be
exploited later.
Inform
TECHSENSE Magazine #04
• Brand reputation damage: Supply chain attacks can erode
customer trust and damage the organization’s reputation. News
of a data breach or security compromise can have far-reaching
implications for customer loyalty and investor confidence.
• Legal impact: Security breaches can also result in penalties,
legal suites, or fines that impact the financial position of the
organization.
— Master tactics to combat supply chain attacks
There are a variety of measures you can take to address cybersecurity
breaches. Here are a few.
• Vendor risk assessment: Conduct thorough due diligence
and risk assessments of suppliers, vendors, and third-party
partners. Evaluate their security practices, including software
development processes, patch management, and incident
response capabilities.
• Endpoint and threat detection: Non-secure endpoints are
extremely vulnerable to attacks. Ensure you have an effective
endpoint detection and response system that can immediately
identify and stop these attacks. Check out some of the clientside
protection and response tools in the market.
• Builds and infrastructure security: Always update and apply
security patches as required. Build robust software updates and
authentication including digital signatures and other controls.
• Code integrity deployment: Enable applications to run only
if they are authorized through code rules and policies. They
can flag issues if any.
• Strong contracts and service level agreements (SLAs):
Establish fool-proof contracts and SLAs to address cybersecurity
expectations, incident response protocols, and liability in
the event of a supply chain breach. Clearly define security
requirements and regularly audit compliance.
chain attacks
• Supply chain visibility: Maintain visibility and control over
the entire supply chain. Understand the origin and security
of components, software, or services that are critical to your
organization’s operations. Implement mechanisms to detect
and respond to any unauthorized changes or compromises.
• Rigorous monitoring: Implement a comprehensive cybersecurity
monitoring program that includes intrusion detection systems,
log analysis, and anomaly detection. Monitor for suspicious
activities within the supply chain and promptly investigate
and respond to any identified threats.
• Incident response process: Ensure you have an efficient
and transparent incident response process in place. Notify
stakeholders immediately with accurate information so that
the attacks can be mitigated.
• Third-party regulations: Third-party risks can be better
addressed through effective frameworks and standards that
vendors have to adhere to. For example, consider using general
standards, such as PCI-DSS, CMM, or ISO 9001.
— Key take-aways
In conclusion, supply chain attacks pose a significant threat to
organizations due to the inherent presence of third-party software.
Given the ever-increasing open source demand, which grew
33% in 2022 (for example, Java components recorded 497 billion
downloads!), it’s becoming imperative for companies across the
globe to understand the risks, implement robust security measures,
ensure code integrity, conduct thorough assessments, and foster
strong partnerships. Stay vigilant, and stay prepared!
Typically, supply chain attack sources include
open-source networks, commercial software,
and foreign products.
3
Compromised hardware or software
components: Attackers infiltrate the
supply chain by introducing counterfeit or
modified hardware or software components.
These components can contain hidden malicious
functionalities that compromise the security
of the organization’s systems when deployed.
5
Cloud service provider security breach:
If an organization relies on cloud service
providers, compromising the security of these
providers can give cybercriminals access to
critical data or systems. This emphasizes the
importance of thoroughly vetting and monitoring
the security practices of third-party cloud
vendors.
4
Certificate theft: Hackers can steal
code certificates that indicate the
safety or legitimacy of the software and insert
malware through them.
19
TECHSENSE Magazine #04
Inform
Bien utiliser ses données
POUR UN MARKETING
PLUS PERFORMANT
| Par Rémi VALENTIN, Innovative Solutions Director, Editus |
Cette décennie marque un tournant historique pour les métiers
du marketing. L’heure est à l’automatisation des campagnes et
du parcours client, à une interaction accrue et nécessairement
plus efficace avec ses cibles, ainsi qu’à la collecte et l’analyse de
données pour prendre les bonnes décisions.
Avec toutes les évolutions majeures rendues possibles
par le digital, il devient de plus en plus facile pour une
entreprise de mesurer le résultat et d’améliorer l’efficacité
de ses actions. Pourtant, beaucoup de campagnes marketing
sont encore lancées sans prendre le temps de réfléchir en amont
au ciblage et aux objectifs. Une campagne mal préparée peut se
révéler coûteuse, tant en termes de temps que d’argent. C’est
pourquoi il est essentiel de se poser les bonnes questions dès le
départ : quels sont mes publics cibles, comment les atteindre,
quels messages communiquer et quels résultats sont attendus.
Dans cet article, nous allons examiner en quoi une utilisation
intelligente des données peut vous aider à améliorer vos
performances marketing et à vous démarquer de vos concurrents.
— Faites un état des lieux de votre activité
avec vos propres données
Avant de mettre en place une stratégie marketing, il est important
de faire un état des lieux de votre activité. Les données de vos
ventes, vos analyses d’audience, les informations issues de vos
réseaux sociaux et d’autres sources peuvent fournir de précieuses
informations. En effet, ces données peuvent aider à mettre en
lumière vos forces et vos faiblesses, à comprendre les préférences
de vos clients et les comportements auxquels vous devez être
attentifs. Cette analyse vous permettra de déterminer vos axes de
progression, de détecter des potentiels inexploités et d’orienter
vos décisions stratégiques futures.
— Croisez vos données à d’autres pour dégager
des opportunités de croissance
En croisant vos données propres avec des données externes, vous
pouvez confronter vos réalités à celles du marché. Ces données
externes, qu’elles soient issues de l’open data ou payantes,
permettent d’obtenir des informations utiles pour expliquer
certains comportements et surtout optimiser l’approche marketing.
La géolocalisation, par exemple, peut jouer un rôle clé dans la
compréhension des comportements des clients de vos zones de
chalandise et aussi détecter le ciblage de nouvelles clientèles.
En corrélant la réalité de vos ventes avec les comportements des
consommateurs par zone géographique, vous pouvez identifier
le lieu idéal pour installer un nouveau point de vente, augmenter
votre attractivité en ciblant mieux vos publics et en adaptant votre
stratégie en conséquence.
— Utilisez la technologie pour anticiper les besoins
de vos clients
Les avancées technologiques ont considérablement élargi les
possibilités d’un marketing plus personnalisé permettant d’aller
jusqu’à anticiper les besoins des clients et les fidéliser. L’Intelligence
Artificielle (IA) est capable de prédire quels sont les clients que
vous risquez de perdre, quelles en sont les raisons et quel type
d’actions mener pour les fidéliser. De même, l’IA peut vous aider
à identifier les clients qui sont les plus susceptibles d’acheter
un produit ou un service, vous permettant ainsi d’adapter vos
offres promotionnelles en conséquence. Le Luxembourg est un
environnement propice à l’usage de ces technologies, tant du
point de vue des infrastructures technologiques que du cadre
réglementaire garantissant les droits des consommateurs en
matière de protection des données personnelles (GDPR) et
d’expertise sur ces différents sujets.
— Mesurez le ROI de votre stratégie marketing
Il est essentiel de suivre les résultats de votre stratégie marketing
pour comprendre si votre investissement actuel vous aide à
atteindre vos objectifs. Mesurez le retour sur investissement
(ROI) de chaque campagne pour savoir si vous devez réajuster
votre stratégie et comment.
En utilisant les données à bon escient, vous pouvez améliorer
la performance de votre marketing. Que ce soit en analysant
vos données internes, en collectant des données externes, en
utilisant des technologies innovantes ou en mesurant le ROI de
votre stratégie marketing, chaque action que vous entreprendrez
vous rapprochera de vos objectifs. N’oubliez pas qu’en matière de
marketing, les données sont votre meilleur atout !
20
Cloud, Cyber, AI
& Sustainability.
Born in tech, Devoteam has over 25 years
of deep expertise in guiding your business
through the complexity of tech, supporting
your sustainable digital transformation.
Scan this QR to download TechRadar,
a spotlight on 150 emerging technologies.
Creative tech for Better Change
02
Learn
{ Verbe transitif }
Acquérir par l’étude, par la pratique,
par l’expérience une connaissance, un savoir-faire,
quelque chose d’utile.
22
TECHSENSE Magazine #04
Learn
AI IN
DEVOPS IS HERE
TO STAY
NEOFACTO uses ChatGPT to improve code review
process, fixing security flows.
The whole world is talking about ChatGPT and the upheaval,
sometimes alarming, that it will bring to our professional
world. Tools of this kind – large language models aka LLMs
- are particularly adapted to the IT professions.
As a leading tech services company in Luxembourg, we understand
the importance of delivering high-quality code that meets the
highest standards of performance, security, and maintainability.
That’s why we are always looking for innovative ways to improve our
development processes. And one tool that has been a game-changer
for us is ChatGPT and the different OpenAI APIs for code review.
ChatGPT has changed the way we approach coding review by
leveraging the power of AI to analyze our code and identify potential
issues that could impact its quality, performance, or security and
to suggest possible improvements and optimization. This helps
us to improve our code quality and ensure that our code is wellorganized
and easy to maintain, which ultimately leads to better
search engine rankings.
What is really interesting in using this tool is that we can direct
its feedback and focus on certain aspects, such as accessibility
or SEO. This tool will never replace a human expert, but the goal
is to gain productivity and avoid wasting time on things that can
be identified and dealt with by an AI.
Of course, security is a top priority for our clients, so ChatGPT can
help us to identify potential security vulnerabilities in our code and
suggest ways to address them. By ensuring code security, we can
protect our clients’ data and maintain their trust, which is critical
for our reputation and search engine rankings.
So, we are proud to leverage innovative technologies like ChatGPT
to improve our coding processes and deliver better results to
our clients. We strongly believe in the power of AI to support and
improve our development processes.
If you’re looking for a reliable and efficient IT services company,
look no further than ours.
Oh ! By the way, this promotional news has been generated by
ChatGPT!
Innovation is in NEOFACTO’s DNA.
We’ve delivered nearly 25 years of innovative
IT projects to our clients. Large language
models progress is a great example of a
breakthrough that has to be integrated
in a pragmatic way in our toolset, and in
the toolset of our customers. We start to
integrate ChatGPT API calls in our continuous
deployment software development pipeline.
The aim is to anticipate potential security
breaches and other inefficiencies to be
promoted in production.
Laurent Kratz, CEO of NEOFACTO
24
www.telindus.lu
from Data Breac
TECHSENSE Magazine #04
Learn
Uncovering the Threat Landscape of API Attacks:
Safeguarding Yo
Application Programming Interfaces (APIs) are a
fundamental aspect of modern software development
that facilitates communication between two or more
software components using specific definitions
and protocols.
An API defines the standard methods for requesting and
providing services between software applications,
allowing for efficient and seamless communication
between disparate systems.
Today, APIs are widely used across a variety of industries, from
finance and healthcare to retail and entertainment.
For example, the Google Maps API enables developers to access
daily updated map data and integrate it into their own software
applications. By using the Google Maps API, developers can create
custom map-based applications that leverage the full power of
Google’s mapping technology.
— Importance of APIs
The use of APIs is associated with numerous advantages that can
enhance business operations. Among these benefits are:
• the optimization of user experience,
• the streamlining of business processes, and
• the automation of laborious tasks, leading to significant
savings in time and resources.
— Need for API Security
API Security comprises a comprehensive set of protocols and
techniques aimed at safeguarding businesses’ Application
Programming Interfaces (APIs). In addition to safeguarding the
infrastructure security parameters, it is recommended that
companies programmatically secure their APIs at the application
logic level to ensure comprehensive security measures. Appropriate
API permissions and regulations should be put in place by CIOs to
guarantee that only the intended audience can access the correct
permissible APIs.
Unfortunately, according to a report by Salt Labs, numerous
businesses have experienced an API attack in the past year. But
many of these have no API protection strategy, and as such are
unable to counteract these security threats.
Recent statistics reveal that the average cost of an API attack data
breach is approximately $4 million. This underscores the need for
businesses to prioritize API security to forestall financial losses
and reputational damage.
— Types of API Attacks
As is expected, there are several types of API attacks, each with
its unique operation mode.
• Injection attacks
This form of attack permits a perpetrator to insert code into
a program or query or implant malware onto a computer. This
grants them the ability to execute remote commands that can
access or alter a database. It can also revise information on a
website or application.
There exists a plethora of injection attack types.
• Buffer Overflow disrupts an application’s flow by overwriting
parts of memory.
• LDAP Injection exploits websites that construct LDAP
(Lightweight Directory Access Protocol) statements using
data provided by users.
• OS Commanding, another attack method, exploits websites
by injecting an operating system command via an HTTP
request to the web application.
• SI Injection is a method by which an attacker sends code
to a web application that the server executes locally.
• XPath Injection exploits websites that allow attackers to
inject data into an application to execute XPath queries.
26
Learn
TECHSENSE Magazine #04
ur Business
hes
| By Michaël Renotte |
• Broken Authentication and Access Controls
Broken User Authentication refers to various vulnerabilities
that may arise in the authentication process. It is critical to
exercise caution while dealing with API endpoints that manage
authentication. These endpoints can dictate user access and
the information they can access.
Broken authentication and access control API attacks usually
take the following forms:
• OAuth and OpenID Vulnerabilities: OAuth and OpenID are
ubiquitous authentication protocols for web applications
and APIs.
• Session Hijacking: Session hijacking is a security breach
that occurs when an intruder seizes a user’s valid session
ID to impersonate the user and gain unauthorized access
to secure resources.
• Cross-site Scripting (XSS): Cross-site scripting (XSS) is a
vulnerability found in web applications that allow hackers
to insert malevolent code into a site or application.
• Denial of Service (DoS) attacks
A Denial-of-Service (DoS) attack refers to an assault that aims
to paralyze a computer or network, rendering it inaccessible
to its authorized users. This attack is usually executed by
inundating the target with a deluge of traffic or transmitting
information that leads to a system crash.
— Common API Vulnerabilities
• Lack of Encryption: When APIs transmit data over the internet
without encryption, malicious actors can intercept and view
sensitive information through man-in-the-middle (MITM) attacks.
• Weak Authentication and Authorization: There are APIs
with insufficient or weak authentication and authorization
mechanisms. These can grant unauthorized users access to
protected resources or confidential data.
• Insufficient Logging and Monitoring: Without adequate logging
and monitoring, it can be challenging to detect threats. Also,
responding to security incidents or data breaches would be
difficult.
— Prevention and Mitigation Strategies
API attacks present a significant risk to the security and integrity
of systems and data. To mitigate and prevent these attacks,
businesses can implement the following strategies:
• Use robust authentication and authorization mechanisms:
Deploying strong authentication mechanisms like API keys,
tokens, or OAuth ensures that only authorized users or
applications can access the API.
• Implement input validation and sanitization: Thoroughly
validate and sanitize all input received by the API to prevent
common attack vectors such as SQL injection, cross-site
scripting (XSS), and command injection.
• Employ encryption and secure transmission: Employ
robust encryption protocols like HTTPS or TLS to secure the
transmission of data between the API and its clients.
• Conduct regular security audits and penetration testing:
Regularly perform security audits and penetration testing
on the API to identify vulnerabilities and weaknesses. These
assessments should encompass a comprehensive review
of the API’s architecture, codebase, access controls, and
configurations.
— Key take-aways
Application Programming Interface (API) security plays a crucial
role in facilitating interconnectivity between various services. This
includes the transmission of data. It is imperative to address the
vulnerability of these APIs to potential security breaches. It is helpful
to note that compromised APIs can result in grave data breaches,
making it necessary to enforce this aspect of app development.
In light of this, the recommendations made by Gartner matter.
Gartner suggests that 90% of web-enabled applications will have
a higher risk of attacks on their exposed APIs, rather than their
user interfaces, which is important information to note. Investing
in the implementation of robust API security measures is not only
beneficial in the short term but also holds significant value in the
foreseeable future.
27
TECHSENSE Magazine #04
Learn
Blockchain
et Crypto Monnaie
Le rôle clé
du Luxembourg
| Propos recueillis par Michaël Renotte |
28
Learn
TECHSENSE Magazine #04
Romain Swertvaeger est Audit Partner et Fintech
Leader chez EY Luxembourg. Au cours de son
parcours au sein du cabinet, il a accompagné de
nombreuses entreprises tant TMT que Fintech,
essentiellement dans le domaine des paiements et des
monnaies numériques. Nous lui avons demandé où
se situait le Luxembourg sur la carte mondiale de la
blockchain et des crypto monnaies.
TS : Comment le Luxembourg peut-il tirer parti des
technologies de la blockchain et des crypto monnaies pour
stimuler sa croissance économique et renforcer sa position en
tant que centre financier européen ?
RS : Le Luxembourg, de par sa position unique et les caractéristiques
de son économie, a une chance toute particulière de pouvoir tirer
parti de la technologie blockchain et ainsi accélérer la digitalisation
de son industrie financière en particulier et l’innovation en général
pour la place. Il y a bien sûr des initiatives existantes, en particulier
au regard de la distribution des fonds d’investissements. Ces
solutions sont déjà reconnues au niveau européen. Cependant, il
faut faire plus et continuer l’investissement dans le domaine car
l’adoption de la technologie blockchain, tout en faisant disparaître
certains emplois, permettra de créer de nouveaux métiers avec
une valeur ajoutée plus importante que ceux d'aujourd’hui. La
technologie blockchain permettra également d’améliorer la qualité
et la transparence ainsi que de diminuer les coûts de reporting
Romain Swertvaeger,
Audit Partner et Fintech Leader chez EY Luxembourg
et de distribution de services financiers, aidant ainsi la place à
rester compétitive, et cela tout en renforçant la confiance des
investisseurs, des entreprises et du public. Les crypto monnaies,
quant à elles, doivent selon moi surtout servir à fluidifier les
transactions de paiement ou, du moins, être une alternative
crédible aux services de paiement existants tout en s’adaptant à
un cadre réglementaire en évolution.
TS : Quels défis réglementaires le Luxembourg doit-il
relever pour favoriser l'adoption et l'innovation en matière
de blockchain et de crypto monnaies, et quelles solutions
pourraient-elles être mises en place pour les surmonter ?
RS : C’est une question difficile car la réglementation luxembourgeoise
est dérivée de la réglementation européenne et, par conséquent,
le Luxembourg ne peut pas être un « early adopter » ou, du moins,
élaborer des cadres réglementaires en dehors des réglementations
européennes.
Cependant, le Luxembourg peut agir de par la force de son secteur
financier et donc influencer les réglementations européennes
pour favoriser l’émergence de la technologie blockchain mais
aussi réglementer de manière intelligente les crypto monnaies
et leur utilisation. Je pense également que le Luxembourg a eu,
historiquement, la capacité d’adapter son cadre réglementaire,
en particulier au regard de la régulation des « exchanges » de
crypto monnaies en 2014 en tant qu’institutions de paiement,
afin de se positionner comme un acteur clé du secteur. Au-delà
des défis réglementaires, je pense aussi que l'impulsion pour le
développement de la technologie blockchain au Luxembourg
viendra principalement des acteurs privés et de leur volonté
d’accélérer l’innovation, mouvement que nous commençons à
voir par ailleurs, même si bien-sûr la rapidité du Luxembourg à
transposer les directives européennes en droit luxembourgeois
sera déterminante.
TS : Comment voyez-vous le rôle du Luxembourg dans le
développement et la promotion de l'écosystème des start-ups
blockchain et crypto monnaie en Europe ? Quelles initiatives
pourraient-elles être mises en place pour attirer et soutenir
ces entreprises innovantes ?
RS : Le Luxembourg a un rôle clé à jouer dans le développement
et la promotion de l’écosystème des start-ups et scale-ups
blockchain et crypto monnaie en Europe. Pour attirer et soutenir
ces entreprises innovantes, le pays pourrait mettre en place des
initiatives telles que des programmes de formation et de mentorat
ainsi que des incitations fiscales et financières, ou encore des
partenariats avec des institutions éducatives et de recherche. De
plus, en créant un environnement réglementaire favorable ou, en
tout cas, en transposant rapidement en droit luxembourgeois les
réglementations européennes, le Luxembourg pourrait encourager
les start-ups à s’établir et à innover dans le pays.
29
TECHSENSE Magazine #04
Learn
What’s Involved in
In the aftermath of a cyberattack, businesses hesitate to report the incident to law enforcement
agencies out of fear that it could halt operations. The consequences of non-disclosure can be
even more serious, inviting legal trouble and preventing what might be a large-scale attack from
being contained quickly and effectively. If anything, the involvement of law enforcement and
third parties to lead investigations can help businesses secure justice and get back on their feet.
Catching and prosecuting criminals can be a tall order.
It’s important to know the institutional support available
to support investigations and bring perpetrators to
justice. Collecting evidence proving a cyberattack took place
will naturally be crucial, as will the involvement of a third party to
perform the investigation. The reports of the third party can then
be passed on to law enforcement.
— Knowing the policy on responding
to cyberattacks
Countries have directives for businesses on managing risk and
coordinating responses to cyberattacks. The EU’s policy on cybersecurity,
for example, sets out how businesses can respond to a cyberattack
in cooperation with task forces and government institutions created
to help European citizens, businesses, and governments. The EU’s
blueprint for rapid emergency response recommends cooperation
on the technical, operational, and political levels.
The technical mode of cooperation encompasses incident handling,
surveillance, monitoring, and risk analysis, among other related
activities. Damage assessment, cross-border decision-making,
and mitigation strategies to lessen damages are key activities on
the operational front. The EU has set up a number of institutions
to carry out response, research, and innovation in cybersecurity.
In the political mode of cooperation, these institutions frame a
joint response aimed at protecting the security and integrity of
the EU against malicious cyber activities.
Public-private partnerships in tackling cybersecurity have resulted
in many wins. They include foiling the Ramnit botnet, fending
off large-scale malware attacks originating in Ukraine, and
busting a cybercriminal forum that traded and bartered hacking
expertise, botnets, and malware, and sought partners for their
next cyberattacks.
— Knowing how to
collect evidence
Organizations may get hundreds of security alerts daily and
categorize urgency based on how mission-critical they are to
daily operations, the rate at which they can spread across the
organization, and their visibility to stakeholders.
If the attack in question affects customer or sensitive corporate
data and can prove costly for the organization, investigating its
size and scope, and containing it will be the first order of business.
This is where a forensic investigation comes in.
A forensic investigation confirms the occurrence of the cyberattack,
delves into its full impact, identifies the causes of the incident,
and collects evidence to enable the reporting of the cybercrime.
From the perspective of reporting a cybercrime that has serious
implications for your business, the probe is the only means
to collect evidence before it is lost forever. Depending on the
nature of the crime, speedy reporting can drive immediate law
enforcement response.
30
Learn
TECHSENSE Magazine #04
Reporting
| By Michaël Renotte |
A forensic investigation is also important from a cybersecurity
perspective. There’s always a chance that a cyberattack that has
occurred and is seemingly done with can resurface if the attacker
still has a way to continue inflicting damage. This makes containing
or eradicating the threat paramount.
After a high-urgency cyberattack, businesses tend to focus on the
recovery process without a complete check of whether the issue
has been completely contained. The original cybercriminal can still
access organizational systems and networks to steal more data. A
forensic investigation contains the intrusion before the attacker
can access more resources and cause more harm.
A forensic investigation implies digital forensics, where a
dedicated in-house team or a third party gathers evidence from
networks, electronic devices, and systems for analysis, reporting,
and preservation for future use. It basically tells you what was
compromised and how it was done.
— What exactly happens in digital forensics?
It’s easier to understand how digital forensics aids cybercrime
reporting when you’re aware of what the process involves.
1. Investigators seize the particular media and create its exact copy
for examination. The original media is secured using specialized
software tools or hardware devices to prevent tampering.
2. The forensic images of the media are analyzed, and evidence
is logged to support or reject a hypothesis. The incident is
reconstructed to visualize the manner in which attackers gained
entry into systems.
3. The findings and conclusions are organized in a report and
handed over to you. The report is written to make them easily
understandable to non-technical folks. It serves as proof of
evidence, which you then transfer to law enforcement.
— What are some use cases of digital forensic
investigations?
Digital forensics can uncover the nature, size, and scope of various
types of cybercrimes, including:
• Data recovery
• Damage analysis to discover vulnerabilities
• Wire fraud and money laundering schemes
• Industrial espionage
• Monitoring email communications among suspected terror
networks (used by national security agencies)
— Keep the investigation in-house or outsource
it to a third party?
Digital forensics has been described as looking for a needle in a
haystack. It is a relatively recent skills concentration requiring
intelligence and creativity. Talent is not widely available, and as
such, organizations don’t have enough staff to allocate to forensics
investigations. Even then, they have to invest time in gauging
internal cybersecurity teams for creative and technical skills, and
implement extensive training on critical forensics skills. Utilizing
third-party digital forensics experts can be more efficient and
cost-effective.
There are digital forensics tools that help examine and investigate
systems after a security incident. They’re helpful for first
responders conducting forensic assessments. However, given
the specialized skills and abilities required for effective digital
forensic investigations, organizations prefer calling in security
consultants to respond to a breach.
By involving the right cybersecurity talent in the early days of the
incident, effective response and reporting are assured. While
they may not offer surety of tracking down the faces behind the
crime, they will help lessen its impact on your business and prevent
subsequent attacks.
31
TECHSENSE Magazine #04
Learn
Ransomware-as-a-Service:
A Quick Guide for CIOs
and IT Managers
| By Michaël Renotte |
You have all heard of SaaS, IaaS,
and PaaS, which revolutionized
business models in the cloud
era. The new kid on the block, a
perverse one, is RaaS.
Ransomware-as-a-Service
(RaaS) has emerged as a major
cybersecurity threat given the
increasing shift in remote work, enabling
even non-technical criminals to launch
sophisticated ransomware attacks. That’s
right! You don’t have to be a techie or a
hacker to launch skilled cyberattacks, RaaS
is there to do the job for you.
According to Trend Micro Research 2022
Cybersecurity report, there were more
than 50 such RaaS groups that targeted
over 1200 organizations in 2022! Sounds
scary, right?
By delving into the key aspects of RaaS,
and highlighting best practices for incident
response, this article should get you started
with the knowledge needed to protect your
networks, systems, and valuable data.
— Understanding
Ransomware-as-a-Service
(RaaS)
Before we jump into discussing RaaS, let’s
briefly understand what “ransomware“means.
Ransomware is a malicious code that
encrypts victims’ sensitive data and holds
them to ransom in return for access. Simply
put, it’s data kidnapping!
Even though ransomware has been around
since the 1980s, it’s increasingly becoming
rampant. The first ever ransomware
called PC Cyborg infected WHO’s data and
demanded $189 as ransom to return access!
Recently in March 2023, a Barcelona hospital
was a victim of a ransomware attack, in which
the medical data of tons of patients was
hijacked! The same was the case with Ferrari,
which lost its customers’ data to attackers.
32
Learn
TECHSENSE Magazine #04
Ransomware-as-a-Service goes a step
ahead. It is a cybercriminal business
model, which allows individuals with limited
technical expertise to rent or purchase
ready-to-use ransomware tools from skilled
attackers. These attackers are known as
“affiliates“ or “operators.“ RaaS operators
provide the necessary tools, support, and
backend infrastructure, while affiliates
carry out the attacks and receive a portion
of the ransom payments.
This model opens the door to a wider range
of criminals to engage in ransomware
attacks. These attacks have increased
by 80% per Zscaler report and are
frighteningly predicted to grow even more!
Some examples of notorious ransomware
include LockBit, REvil, DarkSide, Conti,
and BlackCat.
— Mechanics of RaaS
RaaS operates similarly to a legitimate
software-as-a-service (SaaS) model. They
are also provided based on subscriptions
(monthly, annual, affiliate programs, or
profit-based) or use pay-per-use models
like any other cloud service.
RaaS kits, as they are called, are marketed
or sold on the dark web and can be readily
deployed. Affiliates sign up on underground
forums or marketplaces on the dark web and
gain access to a user-friendly dashboard.
They use the dashboard to customize the
ransomware, set the ransom demands, and
monitor the progress of their campaigns.
The RaaS operators typically take a
percentage of the ransom payments as
their commission. For example, a RaaS kit
named Philadelphia, by Rainmaker Labs,
is priced at $389 with more advanced
ransomware.
The main aspects of a successful
ransomware attack are:
• Setting up the infrastructure to target
victims including payment portals
• Providing ransomware prototypes
• Sending the ransomware to victims
• Managing attacks through dashboards,
negotiations, tech support, etc.
— Risks and impact of
ransomware attacks
Ransomware attacks can have devastating
consequences for organizations. These
include:
• Financial loss: Organizations may face
significant financial damages due to
ransom payments, loss of revenue
during downtime, legal expenses, and
recovery costs.
• Data loss and breach: Encrypted
or stolen data can result in the loss
of intellectual property, sensitive
customer information, and violations
of data protection regulations.
• Reputational damage: Ransomware
attacks can tarnish an organization’s
reputation, erode customer trust, and
result in a loss of business opportunities.
— Prevention strategies: Some
tips
That said, how can you, as a CIO or an IT
manager, tackle this menace? Here are
some pointers.
• Robust security measures: Implement
robust multi-layered cybersecurity
controls, including firewalls, endpoint
protection systems, intrusion detection
systems, antivirus software, patches,
and email filtering solutions. Regularly
update and patch all systems and
software to address vulnerabilities.
• Employee awareness and training:
Educate employees about phishing
techniques, safe browsing habits, and
social engineering attacks. Encourage
the reporting of suspicious emails or
activities to the IT department.
• Secure backup and disaster recovery:
Regularly back up critical data and store
backups offline or in a separate, secure
network. Test the restoration process
periodically to ensure data integrity.
• Least privilege principle: Implement
a zero trust model of security, zero
trust network access, and enforce the
principle of least privilege, granting
employees only the necessary access
privileges to perform their tasks.
This reduces the impact of potential
compromises.
• Network segmentation: Implement
network segmentation to restrict
lateral movement within the network.
This limits the potential impact of a
ransomware infection.
• Cybersecurity frameworks: Deploy
standard frameworks, such as Center
of Internet Security (CIS) and National
Institute of Standards and Technology
(NIST) to thwart attacks.
— Incident response: Best
practices
As always, prevention is better than cure.
However, if you are a victim, follow these
response tips to address the problem.
• Develop an incident response plan:
Establish a well-defined incident
response plan that outlines roles,
responsibilities, and communication
channels. Include steps for isolating
affected systems, investigating the
incident, and restoring operations.
• Avoid ransom payment: Experts
in security advise against ransom
payments as it only serves to encourage
criminals.
• Identify and isolate: As soon as
possible, search for the malware
source and isolate infected systems.
Disconnect affected systems from all
networks (Wi-Fi, Bluetooth, LAN, etc.).
• Detect and respond: Implement
advanced anti-phishing software, and
threat detection systems, including
behavior-based analytics and real-time
monitoring. Respond promptly to any
signs of compromise to minimize the
impact.
• Engage law enforcement and external
experts: Report the incident to law
enforcement immediately.
— Conclusion
RaaS is a harsh reality - the opportunity
it provides for anyone to plug and play
these attacks is nerve-racking, to say
the least. Security personnel and key
stakeholders, such as IT managers need
to step up their vigilance in combating
this serious menace through effective and
efficient protection systems. These can
include various measures, such as robust
antivirus software, data backups, advanced
cybersecurity systems, and training.
33
TECHSENSE Magazine #04
Learn
Are W men
the Secret
Weap n
f r Tackling
Cybercrime?
| By Michaël Renotte |
The mission to defeat cybercriminals needs all the
best talents available. That, of course, includes
women. Yet they’re woefully underrepresented in
cybersecurity. The findings of surveys on female
participation and progress in the tech industry are
a stark reminder of how we must intensify efforts
to boost inclusivity and create an equal learning
and working environment. Although there is
support for women from various quarters, the most
influential architects of gender parity are educational
institutions and employers.
— Women in cybersecurity deal with pay
and promotion discrimination, and find
employers and classrooms non-inclusive
Historically, women have had fewer opportunities to enter
the workforce than men. Even with increased social mobility,
globalization, and digitization, women lack the same income
opportunities as men. According to the World Bank, the labor
force participation rate for women is slightly over 50% compared
to 80% for their male counterparts, globally. Working women get
paid less than their male colleagues.
Women who enter the STEM field haven’t the environment or
motivation to stick on. A study by Accenture and Girls Who Code
showed that 50% of women leave technology careers by age 35
and that women quit their tech jobs at a 45% higher rate than men.
Just 21% of women in the study believed that tech was a field they
could thrive in, with the number falling to 8% for women of color.
Working for a non-inclusive company was cited as a major driver
for leaving. The study noted that in a more inclusive environment,
every employee is more likely to advance, with women being
four times more likely to receive this benefit. A similar story also
appeared to play out in halls of knowledge; women are more
likely to continue studying tech programs if they feel supported
in classrooms. Sadly, the environment in which they can feel safe
and be themselves is lacking.
The gender divide in cybersecurity has
consequences for an industry being
challenged to use new tactics and diverse
skills to tackle cybercrime, which an inclusive
workforce is better equipped to provide.
Marked disparities in pay and promotion are behind women’s exit
from technical roles. A McKinsey & Company’s survey found that
only 52 women in technical roles are promoted to manager for
every 100 men at the same level. The reason for men gaining an
upper hand was organizations’ failure to retain women in the early
stages of their careers, which meant fewer women were being
prepared to step into senior roles. On the bright side, some of
the companies said they were monitoring the advancement of
women in the early years of their careers.
34
Learn
TECHSENSE Magazine #04
Discrimination in pay is also evident. A workplace study by (ISC), a
global non-profit organization in cybersecurity training, found that
32% of men in cybersecurity have an annual salary of $50,000-
$100,000 while only 18% of women in this field get paid the same.
Women are also underrepresented in the $100,000-$500,000
income bracket. Overall, women in ICT jobs earn less than their
male peers. In Europe, the gender pay gap in ICT is 20%.
— Women may have it easier in the
cybercriminal underground
Cybercrime forums could be more hospitable places for women
proficient in the darker aspects of cyber knowledge. A study
by Trend Micro offers some clues - it notes that where, earlier,
female hackers were less accepted by the hacker community,
gender identity has come to matter a lot less over the years. One
reason could be a fear of expulsion from forums for harassing or
bullying members. But by and large, the cybercriminal underground
appears to practice gender neutrality in their hiring process, with
job ads and affiliate postings emphasizing skill. Even so, women
are generally favored for social engineering, money laundering,
and romance schemes requiring images and voice.
— A lack of female tech talent is a loss for the
cybersecurity industry
Today’s global economy grapples with a shortage of cybersecurity
experts. By 2025, there will be 3.5 million cybersecurity jobs open
globally. Increasing female participation can help close the gap.
The gender divide in cybersecurity has consequences for an industry
being challenged to use new tactics and diverse skills to tackle
cybercrime, which an inclusive workforce is better equipped to
provide. Diverse teams have been seen to outperform homogeneous
ones on various parameters, including innovation, profitability, and
employee engagement. The most gender-diverse teams are 48%
more likely to outperform the least gender-diverse companies.
By bridging the pay gap and providing equal opportunities for
career advancement, employers can hope to retain more of their
talented women cybersecurity professionals and reap the rewards
that diversity brings.
Women bring the valuable skill of emotional intelligence to their
workplace. While emotional intelligence is not unique to women,
they tend to excel in this area and exemplify it more frequently
at work. The quality makes them well-suited to leadership roles,
in which higher levels of emotional intelligence are correlated to
better team performance and employee engagement.
— Women cybersecurity professionals have
support from various quarters
A number of initiatives exist to help women make inroads into the
tech industry. Cisco’s Skills for All program offers free online courses
in cybersecurity to help learners gain employable skills. Examples of
non-profits aiming to help women enter the cybersecurity industry
and close the gender gap include large organizations with global
reach (Women in Cybersecurity, Women’s Society of Cyberjutsu,
etc.) and Women Cyber Force in Luxembourg.
Women Cyber Force brings together cybersecurity professionals
of different nationalities, education, and backgrounds aspiring to
mentor and support women interested in ICT careers. Members
have networking opportunities and abide by a code of helping
one another. The overarching goal of the non-profit is to tackle
the gender problem in cybersecurity and champion diversity in
the sector.
While gender balance in cybersecurity is some way off, the hope
is that more allies, advocates, and enablers will emerge to inspire
girls and women to pursue their passion for technology. Businesses
that step up efforts in creating a representative workforce will reap
the rewards of diversity. With pressure from shareholders and
regulators, there’s no reason why we cannot make great strides
in achieving gender equality in cybersecurity.
35
03
Solve
{ Verbe transitif }
Trouver une solution, une réponse à un problème,
à une question.
36
TECHSENSE Magazine #04
Solve
La Mond
sa nouvelle platefo
Eleonora Tasciotti,
Head of Digital Transformation
& Sustainability
Pascal Bughin,
Directeur Transformation, IT & Digital
chez La Mondiale Europartner
La Mondiale Europartner a récemment lancé
la solution innovante MyLMEP. À cette occasion,
nous avons rencontré Eleonora Tasciotti, Head of
Digital Transformation & Sustainability, et Pascal
Bughin, Directeur Transformation, IT & Digital
chez La Mondiale Europartner. Ils nous présentent
cette nouvelle plateforme B to B to C 100% digitale
qui révolutionne le processus de souscription
d’assurances en ligne.
— Au cœur de la stratégie de LMEP,
la transformation digitale
« Au sein de La Mondiale Europartner, nous avons décidé que la
transformation digitale devait être un levier de croissance pour
dynamiser notre activité, qu’il s’agisse d’ouvrir un nouveau marché,
de réaliser le lancement d’un produit 100% digital, d’approcher un
nouveau segment de distribution ou de clientèle ou encore de servir
des acteurs 100% en ligne, » explique Pascal Bughin.
« C’est en partant de ce postulat que nous avons développé le premier
axe de notre stratégie digitale, MyLMEP, une solution pérenne
construite sur la base d’échanges avec nos partenaires. Cette
notion de partenariat est une marque de fabrique de La Mondiale
Europartner qui, après s’être concentrée sur le volet business
durant ses premières années d’activité, a abordé la composante
opérationnelle en s’attachant à établir un contact direct entre les
équipes opérationnelles ou middle office. Aujourd’hui, nous y ajoutons
38
Solve
TECHSENSE Magazine #04
iale Europartner lance MyLMEP,
rme 100%
digitale
| Propos recueillis par Yann Roll |
L’aspect 100% digital de la plateforme est
extrêmement attrayant, c’est une première
sur le marché.
l’élément digital avec comme objectif d’être le relais privilégié de
nos partenaires en la matière. »
« Le second axe de notre stratégie digitale est porté par un catalogue
d’API », poursuit Pascal Bughin. « Puisque nous ne disposons pas
d’un réseau propriétaire et afin de nous assurer que nos partenaires
puissent nous suivre dans cette démarche, nous avons développé
un catalogue d’API permettant de connecter les diverses solutions
choisies par nos partenaires. Ces solutions vont du développement
interne à des solutions complètement externalisées, en passant par
des schémas intermédiaires où seuls la donnée, les documents ou le
parcours sont embarqués. Une vraie architecture ouverte, en quelque
sorte ! Ces API nous permettent donc d’être assez granulaires dans
nos interactions avec nos partenaires », souligne-t-il.
— MyLMEP, une plateforme 100% digitale
« MyLMEP est un portail B to B sécurisé qui facilite la relation entre
notre entreprise et ses partenaires, mais aussi la relation entre nos
partenaires et leurs clients », explique Eleonora Tasciotti. « Un
volet informatif est mis à la disposition de nos partenaires pour leur
donner de l’autonomie dans leurs interactions avec les clients, ainsi
qu’un accès aisé à des informations permettant un meilleur suivi des
opérations sans devoir faire appel à nous », ajoute-t-elle. « Un volet
transactionnel est également disponible pour nos partenaires, avec
pour objectif de réduire leurs efforts administratifs. Des règles de
gestion dynamiques, directement intégrées dans les parcours, rendent
l’expérience utilisateur simple et fluide. Un canal de communication
en temps réel est intégré à la plateforme et vient compléter l’offre,
augmentant les interactions entre les partenaires et les gestionnaires
en charge de l’opération et accélérant les temps de traitement. Une
opération transmise par MyLMEP est tout simplement une opération
de meilleure qualité, plus complète, dont le temps de traitement est
optimisé et dont la probabilité d’être acceptée du premier coup est
accrue », résume-t-elle.
« C’est un outil très flexible que nous construisons avec un acteur
Insurtech de renom, sur la base de nos besoins et que nous adaptons
à ceux de nos partenaires », poursuit Eleonora Tasciotti. « Être à
l’écoute de nos utilisateurs est un élément clef de succès. Grâce à
l’extrême agilité qui anime notre partenariat digital, nous donnons à nos
partenaires la possibilité de participer activement à l’enrichissement
des fonctionnalités et des parcours ainsi que de les tester avant
de les faire passer en production. En procédant de la sorte, un
temps précieux est économisé, que l’on peut ensuite consacrer à
la réalisation d’autres missions telles que la gestion de la relation
client, par exemple », ajoute-t-elle.
« L’aspect 100% digital de la plateforme est extrêmement attrayant,
c’est une première sur le marché », fait valoir Eleonora Tasciotti.
« Cette approche est facilitée par le fait que les partenaires sont
guidés tout au long du parcours, avec en prime les règles d’acceptation
de l’entreprise. Nous construisons et générons à la fin du parcours,
de manière dynamique, un PDF plus léger alimenté essentiellement
par les informations recueillies propres au contexte et au contrat
du client. Il ne s’agit donc pas d’une solution classique qui aboutit
au remplissage des parties concernées d’un PDF générique, mais
d’une solution plus durable. Le partenaire peut ainsi se consacrer
davantage à son client, présenter ses offres et, in fine, démontrer
sa véritable valeur ajoutée, laquelle ne réside certainement pas
dans le remplissage de kits. En interne, nous remplaçons le temps
de saisie par du temps de contrôle et d’analyse de dossiers plus
complexes, ce qui permet également de valoriser les compétences
de nos collaborateurs », explique-t-elle.
— Trois axes de développement
« Nous voulons travailler trois axes au cours des prochaines
années », reprend Pascal Bughin. « Le premier consiste à continuer
d’enrichir la plateforme et à étendre les fonctionnalités en termes de
couverture géographique et d’investissement jusqu’à atteindre une
couverture complète d’ici la fin de l’année », dit-il. « Ensuite, nous
souhaitons nous ouvrir à nos clients finaux. Nous évoluons dans un
modèle B to B to C dans lequel le client final est, à l’origine, celui de
notre partenaire. Cela pose des questions d’accompagnement et
de communication. Ces points seront traités avec nos partenaires
avant de délivrer une première version du portail dans le courant du
premier trimestre de 2024. Le troisième axe que nous souhaitons
développer est l’ajout de services innovants avec une intégration
complète front to back en format digital », conclut-il.
39
TECHSENSE Magazine #04
Solve
EXPLORING THE LUXEMB
STARTUP ECOSYSTEM
| By Yann Roll |
Luxembourg is known for its thriving business environment and supportive
ecosystem. It has emerged as a preferred destination for startups in the European
Union. Nasir Zubairi, CEO at the LHoFT delves with us into the reasons behind
Luxembourg’s suitability for entrepreneurs and the support available to them as
well as the role of the Luxembourg House of Financial Technology in facilitating
startups’ growth by providing essential resources, connections,
and opportunities.
40
Solve
TECHSENSE Magazine #04
OURGISH
How is the Luxembourgish ecosystem more suitable than
other places in the EU to start a business?
Connectivity, support, and access to decision-makers are
significant competitive advantages for entrepreneurs establishing
their businesses in Luxembourg. Despite being a small country,
Luxembourg possesses a proactive and determined approach
towards fostering business growth. The depth of expertise
and international connectivity in the business sector is truly
exceptional. Moreover, the close collaboration between industry
and government, exemplified by public-private initiatives, plays
a pivotal role in providing vital support to young enterprises in
managing risk and pursuing expansion opportunities.
In Luxembourg, it is not uncommon to encounter CEOs and
government ministers in everyday settings such as the supermarket
or the gym, with some even residing in the same neighborhoods.
The local business community exhibits a down-to-earth demeanor,
displaying a genuine willingness to engage, assist, and facilitate
commercial endeavors.
An often-overlooked advantage of Luxembourg is the remarkable
breadth of language skills available and their integration within
the business sphere. Notably, English, the global language of
commerce, holds a prominent position and uniquely, within the
European Union, is accepted in legal matters, including the drafting
of contracts, as well as in regulatory frameworks.
What does the LHoFT offer to those who want to start a new
activity?
We offer comprehensive assistance for entrepreneurs seeking
to establish a presence in Luxembourg, providing a smooth and
seamless entry into the market. Our offerings encompass access
to a well-developed and multifaceted support infrastructure,
encompassing both formal and informal channels. Furthermore, we
offer a diverse range of training programs, facilitated by seasoned
professionals in the fields of business and entrepreneurship,
allowing entrepreneurs to acquire valuable knowledge and insights.
One of our key value propositions is our ability to connect startups
with two essential prerequisites for success: access to capital and
the acquisition of customers. Through our extensive network and
an array of promotional packages specifically tailored for startups
entering the LHoFT, we enable entrepreneurs to tap into vital
financial resources and establish crucial customer relationships.
Despite being a small country, Luxembourg
possesses a proactive and determined
approach towards fostering business growth.
Nasir Zubairi, CEO at the LHoFT
Our dedicated team stands ready to provide expert guidance and
support, recognizing that each business is unique and possesses
its own distinct requirements. Moreover, we increasingly leverage
our extensive international network to facilitate connections
for firms seeking opportunities abroad. It is worth noting that
our facility is renowned for serving the finest coffee in town—an
additional perk appreciated by many.
Can you share with us some Luxembourg Fintech startups
success stories?
Let’s start with Next Gate Tech, a cutting-edge provider of
intelligent data management and support solutions for the Asset
Management Industry. They recently achieved a significant
milestone by securing an impressive Series A funding round of
$8 million. This substantial investment not only underscores the
market’s confidence in Next Gate Tech’s innovative platform but
also highlights the company’s potential for exponential growth.
Notably, this funding round included notable participation from
Expon Capital, a prominent Luxembourg venture capital firm. The
successful capital raise will empower Next Gate Tech to further
enhance its offerings and expand its reach to become a leading
player in the industry.
Next is FundVis, an emerging startup dedicated to optimizing
workflow within the Asset Management value chain, recently
forged a highly advantageous and lucrative partnership with EBRC.
As a registered Professional of the Financial Sector (PFS) and a
trusted hosting solutions provider for numerous entities, EBRC’s
collaboration with FundVis represents a significant endorsement
of the startup’s capabilities. This strategic alliance will enable
FundVis to leverage EBRC’s robust infrastructure and expertise,
facilitating streamlined and expedited deployment of its innovative
solution to clients. The collaboration with EBRC not only enhances
FundVis’ credibility in the market but also positions the startup for
accelerated growth and market penetration, offering a win-win
proposition for both parties involved.
41
NTT Ltd.'s Tran
Investments in Lu
TECHSENSE Magazine #04
Solve
Olivier Posty,
Country Managing Director at NTT Ltd.
NTT Ltd., a prominent technology services
provider, is at the forefront of driving the
digital transformation of businesses in
Luxembourg. In an exclusive interview,
Olivier Posty, the Country Managing
Director of NTT Ltd. Luxembourg, provides
insights into the company's investments and
operations in the country. He emphasizes
NTT's commitment to professional
development and their pursuit of futureoriented
ventures. Olivier Posty shares
ambitious plans to maintain NTT's position
as a technology leader, continually pushing
boundaries and driving innovation. Here
we delve into NTT's strategic initiatives
and their dedication to shaping the digital
landscape of Luxembourg.
TS: What can you tell us about NTT's investments and
operations in Luxembourg?
OP: In recent years, NTT has strategically invested in various domains
within Luxembourg. Firstly, we have placed significant emphasis
on the professional development of our engineers, especially in
the wake of the pandemic. Our goal is to enhance their capabilities
and ensure they stay aligned with the latest industry standards.
Secondly, we have expanded our focus towards future-oriented
ventures and high-growth professions. This includes effectively
managing the migration of our clients' infrastructures to hyperscalers
like Microsoft Azure, AWS, and Google Cloud. To accomplish this,
we have actively sought out a qualified workforce with specific
knowledge in these technologies.
Additionally, we operate a management platform that serves as
a host for many client applications. Continuous investments and
improvements are essential to ensure uninterrupted accessibility
to this platform. As a result, we have allocated a substantial budget
to upgrade and enhance its capabilities.
By prioritizing professional development, embracing future-oriented
technologies, and investing in our management platform, NTT is
committed to driving innovation and delivering top services in
Luxembourg.
42
Solve
TECHSENSE Magazine #04
Empowering Businesses
with Innovation:
sformative
xembourg
| By Yann Roll |
TS: Could you provide examples of collaborative initiatives
between NTT and local partners in Luxembourg? How
do these collaborations drive innovation in products and
services?
OP: Absolutely. At NTT, we prioritize establishing local ecosystems
in collaboration with our partners worldwide. In Luxembourg,
we have formed a strategic partnership with Lycée Guillaume
Kroll, focusing on comprehensive training for students in various
domains such as cloud computing, cybersecurity, and more.
Through tailored courses covering these subjects, we provide
some internship opportunities, enabling young talents to engage
in real-world scenarios and projects. We actively encourage them
to leverage NTT's extensive global network and choose the branch
where they would like to perform their internship.
In a recent development, we have partnered with SES to deliver
innovative collaborative connectivity solutions for businesses
within Luxembourg and worldwide. This collaboration has garnered
significant attention, reaching a global audience of nearly 400
million audience. It highlights the remarkable impact and interest
that Luxembourg can generate, despite its modest size.
In the last few years, we’ve also been recognized for our innovations
in the healthcare sector in Luxembourg on key projects developed
together with Laboratoires Réunis and Hopitaux Robert Shumann.
These collaborative initiatives drive innovation by fostering
knowledge exchange, leveraging local expertise, and capitalizing
on global networks. By combining resources and expertise with our
local partners, we can develop and deliver cutting-edge products
and services that meet the evolving needs of our clients, ultimately
driving innovation in the technology landscape of Luxembourg.
TS: What are some of NTT's future prospects and plans in
Luxembourg?
We have ongoing projects that are significant for our organizational
growth and client offerings. Firstly, we are actively engaged in
a consolidation project with another NTT entity that will result
in a merger and rebranding from 'NTT Limited' to 'NTT Data Inc.'
This transition signifies more than just a name change; it already
empowers us to provide significantly expanded and comprehensive
solutions to our clients.
Secondly, we are dedicated to consistently reassessing and refining
our offerings to ensure their relevance and competitiveness in
the market. Currently, our objective is to extend our portfolio
of solutions to cater to the evolving needs of our clients in the
upcoming years. While maintaining our existing technical expertise,
we are equally committed to investing in emerging technologies
and novel concepts to maintain a strategic edge. As an example, we
are currently conducting a field test of a ChatGPT implementation
within a prominent Luxembourg-based financial institution. The
primary goal of this initiative is to empower the bank in managing
user support through the utilization of ChatGPT technology.
By pursuing these strategic initiatives, NTT aims to stay at the
forefront of technological advancements and provide innovative
solutions that meet the evolving demands of our clients in
Luxembourg.
TS: How do you envision the evolution of NTT's role in the
coming years, considering the ongoing advancements in
technology and the digital economy?
OP: NTT is firmly committed to advancing next-generation
technologies as we look ahead to the future. With the ongoing
advancements in technology and the digital economy, we anticipate
potential shifts in cloud infrastructure and AI-driven innovations.
However, the founding principles and aspirations of NTT remain
unwavering.
Throughout our history, NTT has consistently pursued a path
of innovation, delivering efficient services while embracing
calculated risks. We firmly believe in taking a proactive approach
to transforming conceptual breakthroughs into viable business
ventures. For instance, we have already embraced the potential
of technologies like ChatGPT and 6G, actively working towards
shaping the future of technology.
TS: How did NTT's involvement contribute to the digital
transformation of businesses and industries in the country?
OP: This year we celebrate the 30th anniversary of NTT in
Luxembourg. In the early stages, our primary focus was on
facilitating internet connectivity for businesses, enabling them to
harness the power of the online world. Over time, we recognized
the importance of fortifying these connections to mitigate the
escalating security risks associated with increased exposure. And
then Unified communication technologies emerged as a pivotal
catalyst for our growth.
In recent years, our efforts have revolved around empowering
enterprises to leverage the infrastructure and cloud services
provided by hyperscalers. By helping businesses embrace the
potential of cloud computing, we have unlocked new opportunities
for operational efficiency and innovation. We have worked closely
with organizations, providing guidance and solutions to migrate their
operations to the cloud, enabling them to scale their businesses,
optimize resources, and drive digital innovation.
Throughout each successive technological revolution, NTT has
demonstrated our ability to adapt and reinvent ourselves. We
remain committed to empowering organizations with cutting-edge
technologies and solutions that accelerate their digital journeys
and enable them to thrive in the digital age.
43
TECHSENSE Magazine #04
Solve
Your internet is fast,
YOUR WEBSITE
I S
N O
T
| By Razrtech |
In today’s online world, having a fast website
is crucial for businesses that rely on lead
generation and online sales. Slow-loading
pages can lead to frustration and ultimately
result in lost traffic and revenue. This is where
ThunderboltJS comes in.
ThunderboltJS is a powerful framework and compiler
that helps web developers optimize their websites
for speed, performance, accessibility, SEO, and best
practices. It simplifies the process of optimizing websites
and improves core web vitals such as First Contentful Paint
(FCP), Speed Index (SI), Cumulative Layout Shift (CLS), and
Time to Interactive (TTI). These metrics are essential for
achieving good performance on the web.
One of the most significant benefits of ThunderboltJS
is its compatibility with other frameworks and libraries.
It works seamlessly with popular JavaScript libraries like
React, Angular, and Vue, allowing you to use a program
alongside your existing web development stack without
making significant changes.
ThunderboltJS is also incredibly easy to implement technically.
It’s designed to be simple to install and integrate into
your workflow, meaning you don’t need to be an expert in
performance optimization to use it effectively. The framework
and compiler take care of the heavy lifting, leaving you free
to focus on building great web applications.
In addition, ThunderboltJS helps with SEO optimization,
ensuring that your website is easily discoverable by
search engines. It generates optimized URLs, improves
page speed, and makes your website mobile-friendly, all
critical factors in SEO rankings.
In conclusion, it is a powerful tool that can help businesses
optimize their websites for speed, performance, accessibility,
and SEO. If you’re looking to improve your web application’s
user experience, ThunderboltJS is worth considering.
How page speed
affects user behavior
Bounce rate (%)
40%
30%
20%
10%
9.6
13
17.1
22.2
27.4
32.3
0%
2 3 4 5 6 7
Page load time (seconds)
44
9.6% of visitors bounce when page speed is 2 seconds (without our product)
32.3% of visitors bounce when page speed is 2 seconds (with our product)
YOUR ALL-IN-ONE PLATFORM
FOR RISK AND COMPLIANCE
www.westpole.lu
www.westpole.lu/GRCC/
TECHSENSE Magazine #04
Solve
ChatGPT :
véritable opportunité
ou risque latent pour l
Si les produits d’IA ouverts comme ChatGPT sont
conçus pour traiter et générer des réponses de type
« humain », ils manquent du discernement nécessaire
pour comprendre le contexte, l’intention ou les
conséquences des informations qu’ils reçoivent.
Moussa Ouedraogo, Head of Cybersecurity chez
Fujitsu Luxembourg, soulève l’impact potentiel de
l’utilisation d’outils basés sur l’intelligence artificielle
- tels que ChatGPT - sur la vulnérabilité déjà précaire
des organisations en matière de sécurité.
— Une arme à double tranchant
Il convient de souligner que les risques liés à une technologie
dépendent principalement de son utilisation finale. Dans le domaine
de la sécurité, nous utilisons des scans de vulnérabilité pour
identifier et corriger les failles au sein des systèmes avant qu’elles
ne soient exploitées de manière malveillante. Paradoxalement,
cette même technologie est utilisée par des hackers pour repérer
les points faibles de la sécurité d’une entreprise avant de mener
des attaques. Ainsi, une technologie peut être utilisée à des fins
divergentes.
ChatGPT présente une situation similaire. Son programme
l’empêche de se livrer à des activités contraires à l’éthique ou
d’aider à la réalisation d’activités illégales. Il est cependant possible
de contourner ces règles en fournissant les bons « prompts », ou
instructions. En posant les bonnes questions et en évitant de
susciter des soupçons quant à nos intentions malveillantes, le bot
pourrait nous aider à développer un logiciel malveillant. Il pourrait
également fournir de nouvelles méthodes de social engineering,
une technique de manipulation visant à escroquer le plus grand
nombre de victimes possible. En effet, on peut facilement imaginer
la création d’un e-mail de phishing convaincant ou d’un message
percutant, basés sur des informations préalablement fournies.
Ce risque concerne à la fois les individus et les entreprises du
monde entier.
46
Solve
TECHSENSE Magazine #04
Moussa Ouedraogo
Head of Cybersecurity chez
Fujitsu Luxembourg
a sécurité des entreprises ? | By Yann Roll |
La protection des données est un autre aspect vulnérable à
l’utilisation de ChatGPT. L’outil fonctionne en se basant sur une
base de connaissances qui s’enrichit au fur et à mesure de l’apport
de nouvelles données. C’est là que réside le risque, car les données
fournies ne sont pas toujours filtrées par les utilisateurs, ce qui
peut entraîner la divulgation de secrets professionnels internes à
l’entreprise et les faire sortir du périmètre de l’organisation. Sur base
des informations reçues, l’intelligence artificielle va pouvoir faire
la dichotomie entre toutes les données assimilées et commencer
à établir des profils. Elle pourra catégoriser les informations en
fonction de la localisation, du secteur, etc.
— Prévenir les fuites de données
Pour mitiger les risques liés à l’exploitation d’une technologie
comme ChatGPT, il est primordial de sensibiliser et de former
les collaborateurs de l’entreprise à son utilisation. Néanmoins,
il ne faut pas s’arrêter à cette réponse. La problématique de
sécurité soulevée aujourd’hui vis-à-vis de ChatGPT n’est pas une
nouveauté. Mais surtout, on sait dors et déjà comment la résoudre.
La sensibilisation est une bonne mesure, mais il suffit d’une
exception ou d’une erreur en interne pour que toute la démarche
vole en éclats.
Si l’on veut écarter tout risque, la solution la plus simple à mettre
en place est de bloquer purement et simplement l’accès à l’outil.
Puisque le bot d’OpenAI se trouve derrière un proxy, il est possible
de restreindre l’accès au domaine au sein de l’organisation. Certes,
c’est une solution « radicale » puisque ChatGPT peut tout autant
contribuer de façon positive à l’essor d’un service ou améliorer
l’efficience des employés.
enregistrera dans l’historique afin de permettre une investigation
a posteriori. Il faut souligner en passant que la problématique DLP
est un sujet fortement traité par Fujitsu.
— Une aide à la défense plutôt qu’une menace ?
Tandis que l’utilisation de ChatGPT peut présenter des risques
pour la sécurité d’une entreprise, il existe dans le monde des
technologies beaucoup plus dangereuses encore. Certaines d’entre
elles sont omniprésentes, à la portée du premier néophyte venu,
et disponibles à l’achat sur le dark web pour une poignée d’euros.
ChatGPT aurait, selon moi, plus d’utilité pour organiser la défense
d’une entreprise que pour améliorer l’offensive d’un cybercriminel.
Dans le secteur de la sécurité, il est crucial de s’assurer que les
mesures mises en place sont solides et durables. On pourrait, par
exemple, demander au bot un avis sur différents aspects de la
sécurité de l’entreprise pour atteindre un niveau de maturité encore
plus élevé. Considérons le cas des développeurs d’applications, qui
sont souvent à l’origine de vulnérabilités exploitées par les hackers.
Lorsque nous examinons un morceau de code, nous utilisons
généralement un outil appelé scanner de code qui identifie les
vulnérabilités et propose des solutions pour les résoudre. On pourrait
envisager d’utiliser ChatGPT pour effectuer une analyse similaire.
En lui fournissant un extrait de code en JavaScript ou C++, le bot
pourrait, par exemple, nous signaler une vulnérabilité potentielle
et nous proposer une manière de la corriger. Cela constituerait un
véritable changement de paradigme pour les entreprises de tous
types, mais surtout pour les petites organisations qui ne disposent
pas des ressources nécessaires pour acquérir des solutions de
sécurité onéreuses.
Une autre méthode, beaucoup plus sophistiquée cette fois-ci,
consiste à recourir à l’implémentation de technologies de « Data
Leakage Prevention », dites DLP. Ces technologies sont utilisées
pour s’assurer que le flux d’informations transmis en dehors de
l’entreprise est contrôlé. Les informations seront filtrées sur base
de la politique mise en place au sein de l’entreprise. Le DLP aura la
capacité d’empêcher que des données contenant le nom de certaines
personnes, des stratégies ou d’autres informations sensibles encore
ne fuitent. Une fois ces risques de fuite neutralisés, le DLP les
47
TECHSENSE Magazine #04
Solve
Michel Kalika
Professeur de stratégie et chercheur
en systèmes d’information
Business Science Institute
UN DBA INTERNATIONAL
CONÇU POUR LES DIRIGEANTS
ET MANAGERS
| Propos recueillis par Michaël Renotte |
Professeur de stratégie et chercheur en systèmes
d’information, Michel Kalika a dirigé 59 doctorants
au cours de sa carrière. Il est l’auteur ou le co-auteur
d’une trentaine de livres, d’une centaine d’articles, de
communications et de cas en systèmes d’information
et stratégie. Nous nous sommes entretenus avec lui
de l’institution académique qu’il préside, le Business
Science Institute.
passés deviennent obsolètes et il convient de créer de nouvelles
connaissances managériales ancrées dans les réalités de la vie
des entreprises et qui répondent aux défis actuels. Les sujets des
thèses de DBA proposés par nos doctorants-managers cherchent
des réponses aux défis présents des entreprises et des sociétés.
C’est pourquoi 50% des sujets sont en lien avec les Sustainable
Development Goals (SDG) de l’ONU.
TS : Pourriez-vous nous donner des exemples de sujets de DBA ?
MK: Nous avons fait soutenir près de 140 thèses de DBA et nous
avons actuellement 240 doctorants-managers provenant d’une
cinquantaine de pays différents. Les sujets sont très divers et c’est
pourquoi nous avons créé une organisation en réseau qui mobilise
80 professeurs actifs et potentiellement plus de 150 directeurs de
thèses francophones, anglophones et germanophones. Parmi les
thèses réalisées par des managers luxembourgeois, je peux citer :
TS : Qu’est-ce-que le Business Science Institute ?
MK: Le Business Science Institute est une organisation académique
internationale en réseau basée au Luxembourg qui organise
un DBA et qui fêtera ses 10 ans à Luxembourg les 27, 28 et 29
Septembre 2023.
TS : Qu’est ce qu’un DBA ?
MK: Un DBA, ou Doctorate in Business Administration, est un
programme doctoral post MBA, ou master, créé à l’origine par
l’université Harvard et qui permet à un manager de préparer une
thèse sur un sujet en lien avec son expérience sous la direction
d’un professeur international. L’objectif est de prendre du recul
par rapport à une pratique managériale et de la conceptualiser
afin de pouvoir formuler des recommandations génératrices
d’impact. Après la soutenance du DBA, il est possible de publier
un ouvrage (45 ouvrages ont été publiés à ce jour), de donner des
conférences, de transmettre son expérience. L’objectif n’est pas
de transformer des managers en professeurs d’université ou de
business school - c’est là le rôle du PhD traditionnel. L’objectif
est de faciliter la création de connaissance par les managers. Le
DBA, c’est plus qu’un diplôme - d’ailleurs délivré en partenariat
avec d’autres institutions académiques comme l’ICN Business
School ou l’Université de Lyon - c’est un générateur d’impact
managérial et sociétal.
TS : Qu’entendez-vous par impact managérial et sociétal ?
MK: Dans un contexte de révolutions technologiques, de crises
environnementales, sanitaires, géopolitiques, etc., les modèles
• «Leadership of Digital Transformation. The case of CEOs in the
banking industry », par Jean Elia, diplômé DBA 2021;
• « Proposal of a New Service Orientation Maturity Model: The
case of information technology service providers of financial
institutions in Luxembourg », par Martin Cross, diplômé DBA 2020;
• « ESG in Private Equity and Other Alternative Asset Classes: What
the industry has accomplished so far regarding Environmental,
Social and Governance matters », par Jens Hoellermann,
diplômé DBA 2020.
TS : Pensez-vous que le DBA est appelé à se développer
davantage ?
MK: Forts de huit institutions et programmes de DBA accrédités
internationalement par AMBA - nous sommes accrédités depuis
2020 - nous avons publié récemment conjointement un ouvrage
intitulé « The Doctor of Business Administration, Taking your
Professionnal Practice to the Next Level » où nous montrons que
le DBA est une réponse actuelle à une demande des managers.
TS : Est-il vraiment possible de préparer une thèse de DBA
tout en travaillant ?
MK: Nous avons mis en place un processus très rigoureux de suivi
à distance de nos doctorants-managers par nos professeurs et un
système de traçabilité automatique de toutes les relations entre
nos doctorants et leurs professeurs. C’est ainsi que nos doctorantsmanagers
deviennent « Doctor of Business Administration ».
48
Solve
TECHSENSE Magazine #04
compter sur un vivier de talents capables de travailler dans plusieurs
langues et d'apporter une véritable valeur ajoutée dans un secteur
en perpétuelle évolution.
UNE SOLUTION
END-TO-END
POUR LE
RECRUTEMENT IT
| Propos recueillis par Michaël Renotte |
Eric Busch est le fondateur et CEO de nexten.io, une
plateforme internationale d'offres d'emploi qui utilise
le matching intelligent pour mettre directement en
relation les travailleurs de la tech et les entreprises. Il
nous expose les atouts dont dispose le Luxembourg
pour attirer les professionnels de l'informatique et les
défis à surmonter.
TS: Quelles sont les particularités qui rendent le Luxembourg
particulièrement attractif pour les professionnels de
l'informatique ? Et en quoi l'environnement luxembourgeois se
distingue-t-il des autres pays européens dans ce secteur ?
EB: Il ne fait aucun doute que le Luxembourg demeure un choix
de premier ordre pour de nombreuses entreprises étrangères qui
recherchent une implantation locale. Cet attrait provient de plusieurs
facteurs distincts et complémentaires.
D'abord, le Luxembourg offre une stabilité politique inébranlable qui
procure aux entreprises un environnement sûr et prévisible pour
opérer. De plus, sa position géographique, au cœur de l'Europe,
favorise l'accessibilité et la connectivité, éléments essentiels pour
toute entreprise technologique. C'est une porte d'entrée privilégiée
vers le marché européen qui facilite ainsi les échanges commerciaux
et la mobilité. Le cadre fiscal du Luxembourg représente également
un facteur clé. Le pays offre une fiscalité avantageuse qui encourage
l'investissement et le développement des affaires. Et puis, il ne
faut pas oublier l'infrastructure moderne dont bénéficie le Grand-
Duché et qui soutient de manière efficace le secteur informatique,
notamment en matière de data centers et de connectivité haut débit.
Une autre particularité qui distingue le Luxembourg est sans doute
sa main-d'œuvre hautement qualifiée et multilingue. Le pays peut
Nous devons cependant faire face à un défi majeur qui pourrait
compromettre l'attrait qu'exerce le Luxembourg : le problème du
logement. Il devient de plus en plus difficile pour les travailleurs
expatriés d'emménager et de vivre dans notre pays. Cette question est
aujourd'hui sur le devant de la scène et requiert une réponse politique
urgente et adaptée pour préserver l'attractivité du Luxembourg. Je
reste néanmoins confiant dans la capacité du pays à résoudre ce
problème et à maintenir le Luxembourg comme un lieu de choix pour
les professionnels de l'informatique et les entreprises technologiques.
TS: Avec nexten.io, vous avez mis en place une plateforme
dédiée au recrutement de profils informatiques. Quels sont les
défis et les opportunités spécifiques à ce marché que votre
plateforme vise à adresser ?
EB: nexten.io a été créée pour répondre aux défis spécifiques
que rencontrent les entreprises dans le domaine du recrutement
informatique. Notre plateforme repose sur une approche qui propose
trois solutions pour résoudre ces défis.
Premièrement, nous offrons aux entreprises des solutions de
recrutement et de staffing dans les domaines de la Tech et de l'IT en
leur permettant de recruter des professionnels qui résident déjà au
Luxembourg et dans la Grande Région, ce qui favorise une intégration
rapide et efficace des ressources dans les équipes en place.
Deuxièmement, nous visons à attirer des talents internationaux en leur
offrant un accompagnement pour se relocaliser au Luxembourg ou
dans la Grande Région. Cela augmente la disponibilité des compétences
et élargit le bassin de candidats potentiels pour les entreprises.
Troisièmement, nous proposons des solutions de travail à distance où
les individus peuvent demeurer physiquement dans leur pays d'origine
tout en travaillant pour des entreprises basées au Luxembourg. Pour
cela, nous avons mis en place des solutions de payrolling adaptées
à ce type de situation.
Dans toutes ces configurations, nexten.io offre une solution " endto-end
". De la recherche du candidat idéal à la gestion du payrolling,
en passant par la prise en charge des aspects légaux et fiscaux, nous
sommes à même de simplifier considérablement le processus de
recrutement pour les entreprises. En répondant à ces défis spécifiques,
nous croyons que nexten.io offre des opportunités uniques pour les
entreprises à la recherche de talents dans le domaine informatique.
Eric Busch
CEO & Founder de nexten.io
49
04
Network
{ Nom masculin }
Réseau social, professionnel, familial, virtuel, etc.
d’une personne.
50
The Cost of Cybe
the Financial Sec
TECHSENSE Magazine #04
B
Network
E
Y
Cybercrime is a dangling sword for financial institutions. It has turned
more precarious in the hybrid work environment where employees
move from secure office environments to vulnerable home networks.
There’s also the small fact of cybercrime evolving quickly in recent years
- where, earlier, criminals were content stealing credit card information,
they’re today shutting down systems and holding companies hostage.
Moreover, ongoing digitalization in the financial sector is increasing
its exposure to threats. Meanwhile, the threat landscape has grown
more insidious, which means the financial sector - a favorite target of
cybercriminals - needs to stay alert.
R
— The costs of cybercrime are high
In 2022, the average cost of a data breach in the financial sector
was $5.97 million, over a million above the overall average. It’s only
likely to go up in the future; Cybersecurity Ventures expects global
cybercrime costs to reach $10.5 trillion by 2025.
In the aftermath of a major cyberattack that affects stakeholders,
companies can bear material losses due to various new developments.
A direct loss is if the company is forced to pay ransomware but other
leaks in revenue and cash are possible. If the attack compromised
customer data, confidence in the business is bound to diminish and
customers may feel less secure staying on, potentially resulting
in a loss of revenue for the company.
Losses can ensue from a disruption to business operations.
Imagine a major bank with considerable cybersecurity resources
having to shut down all of its branch offices after being hit with
malware, and potentially losing millions in just one day. It’s what
BancoEstado, one of Chile’s three major banks, went through after
REvil/Sodinokibi ransomware infiltrated the bank’s internal network.
The financial sector already pays the highest cyber insurance of all
sectors. There is every possibility that premiums will go up after a
cyberattack exposes holes in the victim’s cybersecurity arsenal.
— Threats to watch out for
Staying ahead of cybersecurity threats is challenging given the
sheer variety of attacks that can strike the financial sector.
Cybercriminals are creating entire economies where tools and
talent to target organizations are readily available to everyone.
No cyber threat exemplifies this more than ransomware.
• Ransomware poses a clear and present danger for financial firms.
It uses sophisticated encryption algorithms to block access
to system data. Paying the demanded ransom is the easiest
solution and many companies do relent to avoid reputational
damage and loss of business or productivity. The alternative is
to utilize cybersecurity experts specializing in ransomware to
decrypt the data or use other means to retrieve it. The rise of
ransomware-as-service, the provision of ransomware codes
as a subscription via brokers to buyers, has led to a rise in
ransomware attacks. Anyone with basic technical skills can
purchase platforms, tools, and support to carry out attacks.
The report recommends that the Financial
Stability Board (FSB) develop a framework
for supervising cyber risk management in the
financial sector.
52
Network
TECHSENSE Magazine #04
rcrime in
tor
| By Michaël Renotte |
In 2022, the average cost of a data
breach in the financial sector was
$5.97 million, over a million above
the overall average.
E
C
• Phishing is also big business today, accessible as phishing-as-aservice
(PhaaS) which involves an operator providing the attacker
with an entire infrastructure to launch a phishing campaign. A
typical PhaaS service includes the development Rof the spoofed
page, website hosting, phishing mail template creation, email
distribution, credential parsing, and orchestration. Attackers
stand to save time and effort by simply purchasing a PhaaS
solution or phishing kit.
• Web application and API attacks tripled in frequency in 2022.
Attackers exploited weaknesses in banking APIs and applications
to exfiltrate sensitive data. As financial institutions increase
their investment in APIs for mobile banking and digital payment
apps, a spike in the number of attacks in this category is likely.
• Vulnerability exploitation accounts for 31% of attacks in
the financial sector. In 2022, zero-day vulnerabilities were
the leading cause and included high-severity flaws in Zoho
ManageEngine products, Microsoft Exchange, and virtual
private networks solutions from Citrix and Fortinet.
• DDoS attacks against the financial sector grew in frequency by
22% in 2022. Aimed at disrupting normal business operations,
this type of attack is especially dangerous for banks, which
offer 24/7 access to services and hold massive amounts of
personally identifiable and financial data. It has no direct
monetary benefits for the attacker and is usually motivated
by revenge or competition. Unfortunately for the financial
sector, DDoS services can be cheaply bought.
• State-sponsored attacks are motivated by various factors,
including stealing trade or military secrets, manipulating
elections, and obtaining information about dissidents. A
country may target businesses in another to gain negotiation
leverage or spread chaos and fear. It tends to increase when
tensions between countries are high but can also be difficult to
attribute. In 2022, Russia is alleged to have targeted multiple
Ukrainian banks with a DDoS attack, which took websites
offline and brought ATM services to a halt. A Chinese threat
M
actor is alleged to have exploited a vulnerability in a web
interface to gain access to Taiwanese trading accounts and
make transactions on the Hong Kong stock market.
• Insider threats via a financial firm’s own employees or thirdparty
vendors are a tough nut to crack. Most cybersecurity
measures are focused on tackling threats originating from
outside the company. Employees and consultants may have
sufficient knowledge of the company’s systems to bypass
guardrails and carry out attacks successfully.
— Preventing cybercrime in the financial sector
requires Icollective action
Cyber incidents rank as the most important business risk globally.
Understanding the challenges ahead is crucial to implement
measures that stop highly organized cybercriminals in their tracks.
Even as financial institutions strengthen their cybersecurity
policies, they should consider working closely with governments
and organizations in the sector to mitigate challenges. A 2020
report by the Carnegie Endowment for International Peace offers
some recommendations in this respect.
The report recommends that the Financial Stability Board (FSB)
develop a framework for supervising cyber risk management
in the financial sector. It advises governments and industry to
bolster security by exchanging information on threats and creating
computer emergency response teams (CERTs) with specialized
cybersecurity capabilities to deal with threats affecting the
finance sector.
Emphasizing the need for international collaboration, the report says
that governments and financial firms can protect more effectively
against cyber threats by coming together. It also recommends
that governments clarify how they will apply international law to
cyberspace and reinforce norms to safeguard the integrity of the
financial system. The governments of Australia, the Netherlands,
and the UK have made progress by stating that cyberattacks
originating from a foreign country may be regarded as an illegal
intervention in the domestic affairs of their country.
53
TECHSENSE Magazine #04
Network
54
Network
TECHSENSE Magazine #04
2 0 2 3
55
TECHSENSE Magazine #04
Network
C R Y P TO E D I T I O N
56
Network
TECHSENSE Magazine #04
2023
57
#05
MANAGING EDITOR
Kamel Amroune
CEO
kamel.amroune@thedots.lu
À retrouver dès le mois
d'octobre 2023
ADVERTISING CONTACT
Aurélie Paini
Head of Sales & Operations
aurelie.paini@thedots.lu
+352 691 339 918
Morgane Montaigu
Sales & Marketing Officer
morgane.montaigu@thedots.lu
EDITORIAL TEAM
Michaël Renotte
Rédacteur en chef
michael.renotte@thedots.lu
Yann Roll
Marketing Officer
yann.roll@thedots.lu
Nastassia Haux
Marketing Manager
nastassia.haux@thedots.lu
DESIGN
Nicolas Bœuf
Directeur Artistique
nicolas.boeuf@thedots.lu
DISTRIBUTION
Post Luxembourg
PRINTING
BDZ Luxembourg
Print 1000 exemplaires
EDITOR
The Dots
33, Boulevard Prince Henri
L-1724 Luxembourg
+352 20 60 29 410
RE
Pour que l’e-mobilité
soit toujours un plaisir
Faites évoluer votre flotte de véhicules
au rythme de vos activités
BIL Lease vous permet de renouveler votre flotte de véhicules en faveur
de l’e-mobilité à budget maîtrisé. En détenant vos équipements en
leasing, vous vous assurez de leur mise à jour en permanence. Découvrez
l’ensemble des services de la gamme BIL Lease sur bil.com/leasing
Société Luxembourgeoise de Leasing BIL-LEASE, 42 rue de la Vallée, L-2661 Luxembourg, RCS Luxembourg B-38718