Depuis 2017, la société i-Hub développe des solutions innovantes dédiées aux acteurs du secteur financier visant à faciliter la gestion de leurs obligations dans les domaines KYC (Know Your Customer) et AML (lutte contre le financement du terrorisme et le blanchiment d’argent). Cette filiale du groupe POST Luxembourg propose un service unique de collecte, de vérification, de maintenance et de stockage de données et de documents liées à l’identité. En offrant à ses clients et à leurs prestataires un accès sécurisé à un dossier personnel numérique où sont stockées les informations utiles, i-Hub réduit l’ampleur des démarches administratives. « Nous sommes amenés à gérer des données et documents liées à l’identité, ayant trait aux clients finaux de nos clients. Nous devons dès lors garantir le plus haut niveau de sécurité, d’intégrité, de disponibilité et de confidentialité, commente José Correia, Chief Administration Officer, CISO et Business Continuity Manager d’i-Hub. Depuis la création de la structure, nous avons investi de façon soutenue dans la sécurité mais aussi dans la gestion de la continuité des opérations, considérant ces éléments comme essentiels pour gagner et pérenniser la confiance de nos clients. »
La continuité, un vecteur de confiance
Supervisé par la CSSF en tant que PSF de support, i-Hub doit obligatoirement répondre à un niveau d’exigence élevé. En ce qui concerne la continuité des activités, plus particulièrement, les équipes ont pu compter sur le soutien de leur direction à la poursuite de l’excellence. En février 2019, la société a décidé de s’inscrire dans une démarche de certification à la norme ISO 22301, qui spécifie les exigences pour planifier, établir, mettre en place et en œuvre, contrôler, réviser, maintenir et améliorer de manière continue un système de management documenté afin de se protéger des incidents perturbateurs, réduire leur probabilité de survenance, s'y préparer, y répondre et de s'en rétablir lorsqu'ils surviennent (source ISO.org). « Avec cette démarche, la volonté est de garantir d’une part la pérennité de notre activité, d’assurer la préservation de notre réputation, mais surtout de renforcer la confiance que nos clients placent dans nos services, poursuit José Correia. Nous développons dès lors des réponses structurées pour faire face à toute crise potentielle, et activons tous leviers d’amélioration à la poursuite de l’excellence et de la résilience opérationnelle. »
Renforcer la gestion de la continuité
Afin d’intégrer la norme au cœur de ses processus, i-Hub a fait appel à l’expertise des consultants EBRC en matière de continuité. Une des premières étapes a été de procéder à un état des lieux, qui a permis de révéler que des bonnes pratiques étaient d’ores et déjà mises en œuvre. Restait à documenter et à répondre à l’ensemble des prescriptions du référentiel ISO 22301. « Cela a impliqué quelques mois de travail. Il a notamment été nécessaire d’étoffer et de formaliser la documentation, de mettre en place de nouveaux processus et d’élaborer un système de management de la continuité nous inscrivant dans une démarche d’amélioration continue et de mesure de la performance », ajoute José Correia.
Avec les consultants d’EBRC, l’équipe d’i-Hub est allée à la rencontre de ses collaborateurs dans leurs fonctions pour comprendre leurs processus « en temps normal » et leur appétence aux risques face à une série de menaces spécifiques à leur domaine d’activités. « Les sessions d’analyse d’impact métiers (BIA) et d’analyse de risques permettent de cartographier et d’évaluer la criticité des activités et des menaces, d’identifier les ressources nécessaires, de répertorier les parties prenantes internes et externes à l’organisation… pour in fine établir un niveau de tolérance à l’interruption et une chronologie quant à la reprise des activités », commente Barbara Risse, Consultante Business Continuity Management EBRC. « A partir de là, il est possible d’établir une stratégie de continuité cohérente et efficiente intégrant les collaborateurs, les bâtiments, les autorités, les fournisseurs, les applications, les données et les services de télécommunication », poursuit Quentin Mouzard, Consultant Business Continuity Management EBRC. En découlent les Plans de Continuité des Activités, documentés et déclinés pour chaque métier. « Ce document a pour vocation de supporter les Chefs de départements dans la réaction face à un incident ou à une crise majeure (indisponibilité des collaborateurs / du bâtiment, défaut de service de fournisseurs critiques et/ou de la technologie, pandémie, etc.) Il s’agit d’un document circonstancié auquel se référer pour reprendre l’activité, dans un premier temps en mode dégradé afin d’assurer les services essentiels, pour revenir ensuite le plus rapidement possible à la normale », poursuit Barbara Risse.
La Covid-19, un test en situation réelle
La pandémie Covid-19, qui est intervenue pendant le processus d’audits externes de certification, a permis à i-Hub et ses équipes d’éprouver l’efficience de son récent Système de Management de la Continuité des Activités. Ce qui a été vécu par nombre d’acteurs de la Place comme une crise majeure a été perçue comme une opportunité pour i-Hub et ses parties prenantes, qui a réagi rapidement et n’a eu qu‘un effort minime à fournir pour adapter et documenter ses Plans (de continuité, de communication de crise, de gestion de crise, de reprise informatique…), sa Politique et sa Stratégie de Continuité à ce contexte inédit. Le travail s’organisant désormais à distance, pour limiter la propagation du virus, de nouvelles mesures de supervision des échanges ont été mises en place. « Un Système de Management de la continuité doit avant tout donner les capacités à l’entreprise de réagir efficacement le plus rapidement possible à toute éventualité et de permettre à chaque équipe de contribuer à son échelle au maintien de l’activité, explique Christophe Ruppert, Consultant Senior Business Continuity Management EBRC. Il implique une parfaite compréhension des métiers, un réel support du management afin d’insuffler au cœur de l’organisation une réelle culture de la résilience. Au sein d’i-Hub, un réel engagement de chacun dans la démarche est perceptible, au niveau de la direction mais aussi au sein de chaque équipe et beaucoup de compétence professionnelle à la poursuite des objectifs à atteindre », ajoute Christophe Ruppert.
Un travail d’équipe
L’audit mené sur l’ensemble des activités d’i-Hub par un bureau indépendant accrédité, Bureau Veritas, n’a révélé aucune non-conformité au référentiel ISO 22301. La qualité de l’ensemble de la documentation et plus globalement du Système de Management, a été salué par l’auditeur qui vivait lui aussi son premier audit à distance. « L’obtention de la certification est l’aboutissement d’un travail d’équipe conséquent, impliquant l’ensemble des collaborateurs d’i-Hub, mes collègues du comité exécutif, l’expertise et le soutien d’EBRC. Tout au long du projet, nous avons constaté une réelle émulation positive qui nous a permis d’avancer de manière fluide et coordonnée, précise José Correia.
Avec cette certification ISO 22301, nous répondons aux exigences de nos clients qui demandent des solutions intégrées, robustes et éprouvées, ainsi qu’aux autorités qui supervisent nos activités. Cette certification correspond exactement à la philosophie d’i-Hub en matière de fiabilité et de culture de la qualité au service de la pérennité des affaires de ses clients ».