Le Centre de Recherche Public Henri Tudor avait organisé dans ses locaux l’événement « Trusted Hub Luxembourg : Gouvernance systémique des risques pour l’excellence opérationnelle ». L’objectif était de dresser le panorama de l’écosystème IT du Luxembourg et de mobiliser l’ensemble des acteurs autour du challenge que représente pour l’économie luxembourgeoise la gouvernance systémique des risques. Aussi, les intervenants, Jean-Paul Zens du Service des Médias et des Communications, Paul Schuh de l’Institut Luxembourgeois de Régulation, Jean-Marie Spaus de Post Telecom, Yves Reding d’ebrc, François Thill du Ministère de l’Economie et Eric Dubois du CRP Henri Tudor, étaient-ils représentatifs de l’écosystème IT en place au Luxembourg, tout comme, d’ailleurs, les quatre-vingt participants – décideurs politiques, régulateurs, facilitateurs, gestionnaires d’infrastructures IT et de services-clés, etc..
Une carte à jouer pour le Luxembourg
Ces dernières années, l’Etat luxembourgeois a fait d’importants investissements qui aujourd’hui commencent à porter leurs fruits dans la perspective d’une diversification de l’économie luxembourgeoise. En effet, grâce à une infrastructure de pointe, une capacité d’hébergement hautement sécurisée, une connectivité parmi les meilleures au monde et des prestataires de service IT de qualité, le Luxembourg est en train de se placer parmi les leaders européens et d’attirer dans le pays de nouveaux acteurs, actifs en dehors de la sphère financière, comme, par exemple, dans le commerce électronique ou le gaming.
Cependant, pour rendre nos services IT encore plus fiables, plus performants et plus sécurisés, développer encore davantage le secteur, attirer encore plus d’entreprises et leur permettre de s’attaquer au marché international, la mise en place d’une gouvernance systémique du secteur et notamment des risques, est indispensable. De plus, ces dernières années, les exigences réglementaires et légales en matière de gestion des risques se sont multipliées que ce soit au niveau luxembourgeois, européen ou international. Pour les prestataires de services IT, ces nouvelles exigences ont des conséquences en termes de ressources, de compétences, de contrôle, etc.. Une approche mieux coordonnée sur la chaine intégrée des services, mais aussi entre les régulateurs, c’est ce que l’on peut qualifier d’approche systémique. Une telle approche permettra au Luxembourg de développer sa compétitivité via un dispositif hautement qualitatif, sans doute unique au monde, mais aussi beaucoup plus efficient pour les acteurs eux-mêmes qui font face à des réglementations toujours plus nombreuses au niveau national et international.
Le rôle de la recherche publique
L’atteinte de l’excellence opérationnelle par une meilleure gestion des risques mérite incontestablement un effort focalisé de la recherche publique, pour assister les responsables politiques, fournir des outils et des méthodes innovantes, fédérer les acteurs, et contribuer à la diffusion des acquis via des standards internationaux.
En 2013, le CRP Henri Tudor a ainsi réorienté son programme INNOFINANCE vers l’écosystème plus large des données, des infrastructures de données sécurisées, des dispositifs de régulation et des prestataires de services IT. Quelques beaux résultats peuvent être cités comme le développement de méthodes et d’outils pour les PME, la réalisation d’un catalogue des risques orienté vers les PSF de Support, le développement d’un outil de mesure du risque par le client dans le cadre d’un projet financé par le FNR, et la réalisation de plusieurs expérimentations avec l’Institut Luxembourgeois de Régulation, ebrc, Labgroup et Post.
Pour le CRP Henri Tudor, une meilleure gouvernance systémique des risques peut être mise en œuvre autour de trois piliers. Le premier vise à aligner les politiques sectorielles. Pour cela il et nécessaire de réfléchir aux mécanismes d’analyse et de traitement des données de risques, en association avec les décideurs politiques, les organismes de veille, les régulateurs et les représentants sectoriels. Le second réside dans la cartographie de l’écosystème et l’identification des interdépendances, des scénarii de risque, des acteurs, des services et des infrastructures critiques. Enfin, le troisième pilier est la manière d’outiller la gestion des risques entre les acteurs économiques, de leur donner, par exemple, les moyens pour mieux négocier leurs contrats de service ou « service level agreement », en ayant une meilleure connaissance des exigences, des risques, mais aussi de la qualité qu’ils veulent proposer.
Lancement de plusieurs projets
De nouveaux projets s’intégrant dans cette stratégie viennent d’être lancés. Le projet SARIM « Systemic Approach of Risque Management », cofinancé par le FEDER, sera un des projets de référence. Il aura pour objectif de définir un référentiel commun aux multiples acteurs des secteurs IT régulés luxembourgeois en termes de management des risques. Le projet associera des régulateurs et les associations sectorielles dans la construction et le test du référentiel, mais aussi largement le GIE Smile pour l’expertise et le transfert des modèles.
Le projet HEEL « Health Modelling », quant à lui, a pour objectif de définir un référentiel de management de l’information commun aux multiples acteurs du secteur de la santé (médecins libéraux, centres hospitaliers, laboratoires d’analyse, organismes d’aide et de soins à domicile…) et suivant une approche d’architecture d’entreprise en réseau. Le CRP Henri Tudor qui coordonne ce projet, cofinancé par le FEDER et le GIE Smile, aura pour mission de concevoir un modèle de référence national de santé, de modéliser les risques de sécurité de l’information du secteur, de concevoir une méthode d’analyse de risque dédié et de sensibiliser les acteurs du domaine à la sécurité de l’information et à l’analyse des risques. La plate-forme collaborative de Cases permettra le transfert et l’utilisation des modèles.
Ces projets s’articulent autour des axes de recherche que sont la modélisation d’architectures d’entreprise (projet FNR Pearl ASINE du Prof. Erik Proper) et le domaine du GRC (Governance –Risk Management – Compliance) (avec en particulier TIPA, un référentiel relatif aux processus d’IT management). Ces thématiques existantes aujourd’hui au CRP Henri Tudor seront encore renforcées au niveau du futur LIST (Luxembourg Institute of Science and Technology), issu du regroupement du CRP Henri Tudor et du CRP Gabriel Lippmann et qui sera opérationnel à partir du 1er janvier 2015.
Pour toute information complémentaire sur les activités de recherche du CRP Henri Tudor en la matière, n’hésitez pas à contacter Sébastien Pineau, sebastien.pineau@tudor.lu
by 
