3 mouvements clés en 2014 dans le transport

Les transformations observées dans le secteur du transport l’an passé étaient annoncées…, ou du moins prévisibles depuis longtemps. 2014 a néanmoins vraiment été symptomatique de leur concrétisation et de la prise de conscience.

Parmi ces mouvements, 3 sujets sont à retenir :

• L’accélération de la mutation numérique  : le digital
• La situation économique tendue  : la rentabilité
• L’avènement d’une concurrence nouvelle  : la libéralisation

Bien que ces tendances ne soient pas spécifiques au monde du transport, elles ont été particulièrement prégnantes dans ce secteur et s’illustrent aisément.

Ainsi, au moment où la SNCF s’est mise en ordre de marche pour préparer l’ouverture à la concurrence du marché, elle a installé une direction « digitale » dont le rôle sera d’accompagner la transformation numérique. Depuis quelques années déjà, la SNCF capte les signes avant-coureurs qui changeront le paysage du transport et de sa distribution et s’y prépare activement : son site internet voyage-sncf.com, iDTGV, OUIGO ou encore récemment iDVROOM en sont de bons exemples. Elle a une fois de plus fait figure de précurseur en s’imposant parmi les 1ères sociétés à mettre en place un Directeur du Digital.

Dans un contexte de concurrence très forte par les compagnies low cost, Air France a de son côté procédé à un repositionnement de ces trois marques Air France, Hop! et Transavia avec une offre plus en ligne avec les attentes des clients. Il est intéressant de rappeler que la compagnie avait fait des choix contraires il y a une vingtaine d’années en fusionnant les sociétés Air France, UTA et Air Inter. L’objectif de l’époque était la rationalisation (en interne) et la simplification de l’offre. Il n’y avait alors ni low cost, ni digital  et moins de contraintes économiques…

Et enfin, en 2014, la notion de « concurrence » a trouvé une nouvelle forme à travers le phénomène « UBER » qui bouleverse les paradigmes établis. Cela est particulièrement vrai dans le secteur du transport, une activité qui est restée longtemps protégée de la libéralisation. Le low cost dans l’aérien a obligé les compagnies traditionnelles à s’adapter, soit en appliquant les mêmes modèles, soit en se repliant sur les marchés moins attaqués comme les longs courriers (à part les compagnies du Proche-Orient qui bénéficient de coûts d’exploitation moindres). Les services de type « UBER » risquent fort de remettre en cause tout un écosystème en contournant la règlementation.

Mais quel est le moteur de ses changements qui vont s’amplifier en 2015 ?

La priorité 2015 : le client final

L’arrivée du digital bouleverse toute la chaîne de valeur traditionnelle et remet en cause leur business model : l’accès à l’offre de transport est profondément modifiée, l’arrivée rapide de solutions inédites et innovantes génère des distorsions sur le marché, et la comparaison des offres est largement facilitée car elles sont maintenant en accès direct. C’est un véritable renversement des pouvoirs : l’usager captif et passif s’est transformé en quelques mois en un client actif et volatile !

Par conséquent le client sera désormais au centre des préoccupations et de toutes les convoitises des acteurs de l’écosystème.

Et si la transformation digitale s’exerce tout d’abord au bénéfice du client final, elle se présente plutôt comme une difficulté nouvelle pour les acteurs du transport. Si le low cost est basé nativement sur une distribution via internet et que les possibilités de la mobilité sont exploitées de manière très agile par les start-ups, il n’en est pas de même pour les acteurs historiques.

Tous les secteurs sont touchés par ce phénomène. Pour les Echos «Les banques profitent du digital pour regagner la confiance de leurs clients. Les applications mobiles bancaires dopent la satisfaction des clients. L’enjeu pour les banques est de fidéliser des clients de plus en plus autonomes. ».  L’enjeu est aussi pour les acteurs majeurs de trouver en 2015 les leviers pour transformer la menace d’une digitalisation galopante en une réelle opportunité. Un challenge qui nécessite de s’adapter…

Le voyage s’attaque au Big data

Au-delà d’une nouvelle posture dans la manière d’aborder la relation client, 2015 sera avant tout l’année du Big data.

La mobilité a formé un nouveau type de client, le Big data sera donc l’outil pour le reconquérir. Là encore, les nouveaux usages et les fonctionnalités offertes vont faciliter la tâche. Beaucoup d’entreprises ont d’ores et déjà engagé des études et se sont essayé à de premières expériences en la matière. On peut constater 3 niveaux d’ambitions : une meilleure connaissance individuelle et globale, une capacité à mieux anticiper les comportements d’achat et enfin un service différenciant  en accompagnant le client de bout en bout,  le seamless travel.

Mais attention, Big data  ne signifie pas un retour sur investissement rapide ! La courbe d’apprentissage sera très longue si les ambitions fixées au début sont trop importantes.

Des SI à faire évoluer : rentabilité et agilité en ligne de mire

Moins visible par le grand public et pas uniquement impulsé par le digital ou le Big data, les grands acteurs sont concernés par le vieillissement de leurs systèmes d’information et les changements des paradigmes dans ce domaine. Les exigences du « client au centre » et d’amélioration de la rentabilité nécessitent plus d’agité en termes de méthode de travail et plus de standardisation en termes SI.

L’autonomie grandissante des clients aura par ailleurs des impacts importants sur les métiers de la distribution, le digital impactera aussi les activités de production. Ce sera certes moins visible par le consommateur, mais d’autant plus important pour les entreprises sur le terrain de la rentabilité, surtout pour les acteurs « traditionnels » face aux nouveaux entrants.

Les leviers de transformation du transport en 2015 et pour les prochaines années sont donc multiples. Il reste aux acteurs du secteur à démontrer leur capacité à les activer au profit des enjeux de fidélisation et de performance !

Cet article 2015 dans le secteur du transport : conquête, reconquête et fidélisation des clients est apparu en premier sur RiskInsight.

Un environnement en pleine mutation

Par bien des aspects, la relation client évolue. Tout d’abord, ce sont les clients eux-mêmes qui ont changé leurs modes de consommation : immédiateté, multiplication des technologies pour effectuer un seul achat, morcellement du processus d’achat dans le temps ou encore dans l’espace, etc. Aujourd’hui, un  client veut par exemple pouvoir arrêter son processus d’achat sur un site web pour pouvoir le finaliser plus tard sur application mobile, et récupérer son achat en boutique.

De l’autre côté, les vendeurs sont de moins en moins recherchés pour leurs conseils, remplacés par le web qui regorge de commentaires sur les produits et les réseaux sociaux qui fédèrent des clients engagés.  Concurrencés par une vente en ligne ultra-compétitive, les points de vente physiques sont de plus en plus délaissés et doivent se transformer.

De nouvelles attentes envers les points d’accueil physique

Pour répondre aux nouvelles attentes des clients, les points d’accueil doivent évoluer en cohérence avec la stratégie de l’entreprise. Le parcours client et les processus sont un des axes de transformation, tout autant que l’organisation de l’espace et les lieux d’interactions avec les clients : espaces d’écoute et de conseil, showroom ou encore bornes interactives pour un achat autonome, etc. La définition de ce que doit être le point d’accueil physique de demain doit s’attacher à trouver le bon équilibre entre convivialité et autonomie pour garantir une expérience satisfaisante pour le client.

Et les entreprises de service et les institutions en sont aujourd’hui conscientes : la définition d’un nouveau modèle doit aussi s’attacher à traiter les irritants. Aujourd’hui, une qualité de service et d’accueil insuffisante crée de l’insatisfaction et nuit à la relation client. Principal « caillou dans la chaussure » ? Le temps d’attente.

Pour y remédier, l’organisation et les outils doivent être complémentaires. Par exemple, casser la ligne de guichets via un accueil et une orientation systématiques des clients selon le motif de la visite peut se faire l’aide d’une borne tactile d’accueil ou d’un conseiller. Des dispositifs comme un pager ou un boîtier vibrant qui préviennent le client lorsque son tour est bientôt arrivé, ou encore un ticket virtuel numéroté de prise de rang depuis un ordinateur ou un smartphone peuvent être imaginés pour réduire le temps d’attente et donner de la visibilité au client.

Revoir les fondamentaux du métier d’accueil

Au-delà de l’espace, ce sont le rôle et les outils du vendeur qui doivent eux-mêmes évoluer. Et si l’on voit vite les irritants des clients, il ne faut pas oublier ceux des collaborateurs ! L’objectif est donc double : le rôle du vendeur doit répondre aux nouvelles attentes du client, mais il doit aussi augmenter la satisfaction des collaborateurs en valorisant, enrichissant et diversifiant leurs activités.

D’une mission purement centrée sur la vente, son rôle peut évoluer dans diverses directions. Renforcement de la relation client par le SAV, la gestion des réclamations, l’information, ou encore fidélisation et service à valeur ajoutée sont autant de cibles qui peuvent être définies. Ce changement de posture doit s’accompagner d’un management ad hoc, de manière à optimiser la charge de travail et garantir la souplesse et la flexibilité de l’organisation pour faire face aux pics et aux creux d’affluence.

Les outils du vendeur doivent également être adaptés à la fois à la nouvelle posture et aux nouveaux espaces d’accueil des clients.  Il faut ainsi plus de richesse pour répondre à une diversification des missions (portails d’infos, outil CRM, etc.) et plus de mobilité (tablettes, smartphones, etc.) pour s’adapter à des espaces plus ouverts et conviviaux et permettre la fluidité des gestes métier en magasin.

Un vrai projet de transformation

La cible ne s’impose souvent pas d’elle-même, et c’est en testant et en construisant de manière collective que les meilleurs résultats ressortent. Pilier de la démarche, la mise en place de sites pilotes est incontournable pour tester à la fois le concept d’espace, mais aussi la nouvelle expérience client et les nouveaux gestes métiers des collaborateurs. Ces tests pilotes peuvent être progressifs, pour évaluer au fur et à mesure les nouveaux principes et ensuite aboutir à un concept de site complet, vitrine de la cible visée.

La trajectoire de généralisation doit quant à elle être particulièrement attentive à deux aspects. Tout d’abord, la conduite du changement est essentielle. Conduite du changement auprès des managers dans un premier temps pour leur donner de la visibilité sur les étapes à venir, et auprès des collaborateurs dans un second temps. Ne l’oublions pas : si les collaborateurs ne se sentent pas à l’aise dans leur nouveau costume, les clients le ressentiront ! Ensuite, il ne faut pas oublier de laisser quelques marges de manœuvre. Un cadre trop figé peut s’avérer contre-productif quand il ne permet pas de prendre en compte des spécificités locales.

Et si la transformation des points d’accueil apparaît aujourd’hui comme une nécessité, il est primordial de la voir plutôt comme une opportunité. En effet, en la positionnant comme une valeur ajoutée et une nouvelle posture, elle a bien plus de chance de réussir qu’en étant perçue comme subie. C’est là un point de vue essentiel à faire passer aux équipes qui  sont au cœur de cette transformation pour en faire un succès.

Cet article Quelle nouvelle place pour l’accueil physique à l’heure du digital ? est apparu en premier sur RiskInsight.

Cet article Dispositifs de gestion de crise et sécurité des SI : que font les grands comptes français ? est apparu en premier sur RiskInsight.

Cet article Cybercriminalité : et si ça nous arrivait ? est apparu en premier sur RiskInsight.

 Les données clients : un nouvel or numérique convoité

Quel que soit leur secteur, toutes les entreprises sont aujourd’hui exposées à la cybercriminalité. Certaines redoutent le vol de secrets industriels ou encore l’indisponibilité de leurs systèmes, mais ils partagent une crainte commune: le vol de données personnelles de clients, collaborateurs, prospects, partenaires…

Cette richesse des entreprises est particulièrement convoitée par certains cybercriminels, appâtés par le gain financier qu’elles peuvent représenter. En effet, sur les marchés parallèles, les données peuvent se monnayer jusqu’à plusieurs dizaines de dollars par enregistrement…

 Des obligations réglementaires et légales qui vont se renforcer

Les initiatives se multiplient pour protéger ces données et la vie privée des individus face à ces nouvelles menaces. La loi informatique et libertés, mise à jour en 2004, vise depuis de nombreuses années à protéger les libertés individuelles et les données à caractère personnel de traitement illicites.

Elle a été complétée en août 2011 par le Paquet Télécoms, qui a renforcé les obligations des opérateurs de télécommunications dans ce domaine en imposant notamment la notification des violations des traitements de données à caractère personnel aux victimes. En ligne de mire, permettre aux abonnés de connaître les risques qu’ils courent quand la sécurité de leurs données est en cause. Des premières notifications de faible ampleur ont déjà eu lieu. Cette obligation sera étendue à tous les secteurs avec le projet de règlement européen qui devrait être publié en 2014 ou début 2015.

Mais au-delà de la protection de la vie privée, les attaques sur les infrastructures critiques des états inquiètent également la France et plus largement l’Europe. Deux textes sont attendus pour y remédier : un texte français imposant aux Organismes d’Importance Vitale (OIV) un certain nombre d’exigences de sécurité et de notification, audit… et un texte européen définissant des sanctions minimales pour punir les cyberattaques. Attendus dans les prochains mois, ces textes doteront les états et les entreprises de nouvelles armes pour lutter contre la cybercriminalité.

Entre totale transparence et protection des intérêts de l’entreprise, quel équilibre ?

Ces derniers mois, de nombreuses entreprises ont révélé avoir été victimes de piratages : Apple, Ubisoft, OVH… L’enjeu de ces communications ? Prévenir les clients que la sécurité de leurs données a été remise en cause, pour leur permettre de prendre les actions adaptées. Bien souvent, il s’agit d’un changement de mot de passe sur le service, qui peut signifier pour  l’utilisateur un changement sur l’ensemble des services pour lequel il utilise le même mot de passe !

Il est intéressant d’observer les différences entre les notifications et ce que cela révèle sur la relation client des entreprises. OVH,  par exemple a fait preuve d’une grande transparence technique – ce qui est logique vus ses clients et leurs attentes. Apple, cohérent avec ses habitudes de communication, a été assez lapidaire dans les informations délivrées et a prévenu les utilisateurs plusieurs jours après l’arrêt du service. Ils n’ont mis en ligne qu’une page permettant de suivre la remise en service des différents sites touchés.
Ubisoft  a, quant à lui, eu une approche plus classique, proche de celles des grands acteurs du web qui ont connu des situations similaires (LinkedIn, Evernote…). Cependant, le groupe français a connu des soucis de surcharge de ces serveurs au moment de la communication des emails. Cela montre la nécessité et l’obligation de préparation face à ces évènements qui peuvent survenir à tout moment.

Et si les réglementations en place aujourd’hui imposent à ceux à qui elles s’appliquent une notification sans délai aux autorités et au plus tard dans les trois jours aux personnes, une question essentielle peut alors se poser : révéler les détails de l’attaque et les actions de sécurisation décidées ne peut-il pas permettre aux attaquants de poursuivre l’attaque en connaissance de cause ? Il s’agit dès lors d’une décision à peser soigneusement, en considérant à la fois les risques techniques et les risques réglementaires.

 Se préparer à notifier ses clients, sans attendre les obligations réglementaires

L’enjeu est donc aujourd’hui de se préparer à notifier ses clients d’une violation de traitement de données personnelles. Un projet qui concerne réglementairement les opérateurs télécommunication, mais plus largement toutes les entreprises qui veulent préserver leur relation client et leur image !

Si les attaques ne peuvent être anticipées précisément, un cadre de stratégie de notification peut dès maintenant être élaboré en associant juristes, RSSI, DSI et direction marketing pour élaborer les processus et procédures de notification, le plan de communication et la logistique associée. Et rien de tel qu’un exercice de gestion de crise pour tester ces processus !

Cet article Notification des fuites de données clients : vers une transparence systématique ? est apparu en premier sur RiskInsight.

 Une menace qui s’est accrue ces dernières années

Le constat n’est pas nouveau : nos sociétés reposent de plus en plus sur les systèmes d’information pour leurs activités cœur de métier et sur les réseaux qui les interconnectent, rendant les crises qui les touchent de plus en plus globales et complexes à gérer. Leurs vulnérabilités sont bien souvent la conséquence d’un développement véloce, qui a laissé de côté les démarches de sécurisation ou les a sous-estimées. En revanche, depuis le livre blanc de 2008, les menaces se sont largement accrues, tant en probabilité qu’en impact. Il en résulte une exposition critique pour de nombreux systèmes cruciaux pour les activités françaises.

Les menaces du cyberespace se situent aujourd’hui à deux niveaux. D’un côté, on retrouve la cybercriminalité qui ne remet pas en cause la sécurité nationale mais met en péril la compétitivité des entreprises et leur image : vol de propriétés intellectuelles ou de données personnelles, indisponibilité ou défacement de sites web… De l’autre, des attaques relevant de la cyberguerre à des fins d’espionnage, de destruction ou prise de contrôle d’infrastructures d’importance vitale.

Si aujourd’hui les cyberattaques semblent, aux yeux de l’opinion publique, moins graves que les actes terroristes qui causent des morts, elles n’en restent pas moins une des préoccupations premières de l’État tant c’est une menace à forte probabilité et fort impact potentiel.

 L’État veut se donner les moyens de ses ambitions

Afin de franchir une étape nécessaire dans sa capacité de protection, l’État souhaite donc lancer des actions sur quatre axes complémentaires. Le premier est celui des ressources humaines. Il s’agit de développer les compétences dans ce domaine et de former des experts à même de répondre à ces nouvelles situations. Au-delà de spécialistes, il est nécessaire de faire de la sécurité de l’information un incontournable de tout cursus informatique afin d’assurer les compétences, mais aussi l’appétence, des informaticiens de demain face à ces sujets. En outre, la volonté de constitution d’une réserve de spécialistes de la cyberdéfense est rappelée. L’ANSSI, qui a déjà annoncé des objectifs de recrutement ambitieux pour les prochaines années devrait donc poursuivre dans cette trajectoire.

Favoriser l’investissement dans des produits de sécurité maîtrisés est le second axe de travail, qui, complété par un renforcement des politiques d’achats devrait permettre à l’État d’avoir toute confiance dans ses fournisseurs.

Le troisième axe s’attache aux comportements humains puisque le livre blanc souligne une fois encore l’importance de la sensibilisation à la sécurité de l’information. Sensibilisation des employés bien sûrs, pour prévenir au maximum les incidents, mais aussi sensibilisation plus large de tous les utilisateurs d’Internet.

Enfin et non des moindres, un dispositif législatif et réglementaire fixant des standards de sécurité pour les opérateurs d’importance vitale va se dessiner : il s’agit ainsi d’imposer des mesures de détection et traitement des incidents touchant les systèmes sensibles, incluant notamment la notification des incidents.

 Des impacts pour les entreprises : encore et toujours la notification des incidents

Ce sont principalement ces deux derniers axes qui vont entraîner le plus d’impacts pour les entreprises.  En effet, ce nouveau livre blanc leur rappelle l’importance de la sensibilisation, démarche déjà lancée dans de nombreuses organisations, et qui nécessite encore et toujours des actions régulières. Mais ce sont les projets de loi qui amèneront certainement le plus de nouveautés !

À l’image du projet de règlement Européen qui élargirait la notification de fuite d’informations personnelles du paquet Télécoms à toutes les entreprises, cette loi imposerait la notification des atteintes à la sécurité de son SI à tous les opérateurs d’importance vitale et donnerait à l’ANSSI des responsabilités associées (capacité d’audits…). De nombreuses entreprises publiques et privées seront alors concernées, sur un périmètre plus large que la fuite de données à caractère personnel et même au-delà du périmètre des opérateurs d’importance vitale déjà suivi par l’Etat. Une réponse attendue depuis plusieurs années dont les modalités d’application resteront à apprécier quand le texte sera rédigé. Rendez-vous fin 2013 !

Plus consulter le livre blanc

Cet article Cyberdéfense : l’Etat veut franchir une nouvelle étape est apparu en premier sur RiskInsight.

[Par Marion Couturier en collaboration avec  Loïc Dechoux]

Cet article Sensibilisation : quelles pratiques chez les grands comptes ? est apparu en premier sur RiskInsight.

Sensibiliser, mais à quel prix ?

Affiches, e-mails, jeux, etc., il existe une multitude de moyens de sensibilisation présentant chacun leurs avantages et leurs défauts.  Largement plébiscité par 78% des entreprises du panel étudié, l’e-mail est le vecteur de sensibilisation le plus utilisé. Facile à déployer, peu coûteux, il n’est néanmoins pas suffisant pour garantir l’efficacité d’une campagne de sensibilisation à la sécurité de l’information. Ainsi, plus de 60% des entreprises optent pour la mise en place complémentaire d’évènements sécurité et de contenu dynamique sur Intranet, la diffusion de plaquettes et de fiches pratiques. Seules 25% des entreprises utilisent des solutions plus élaborées telles que la diffusion de contenu multimédia, la mise en place d’e-learning ou encore le déploiement de jeux et de quizz.

Comment expliquer l’utilisation massive d’e-mails qui ne seront pas forcement efficaces alors que la diffusion d’un contenu multimédia assurerait un impact plus important auprès des collaborateurs à sensibiliser ? La réponse tient en un mot : budget. Là où une campagne de mailing représentera un coût pratiquement nul pour l’entreprise, le tournage d’un clip vidéo de sensibilisation ou la mise en place d’un e-learning peuvent s’élever à plusieurs dizaines de milliers d’euros, notamment en cas de recours à une agence de communication. Seules les entreprises ayant les budgets sensibilisation les plus importants peuvent donc orienter vers cette solution.

 Les mêmes moyens de sensibilisation pour tous ? Focus sur le Plan de Continuité d’Activité (PCA)

Seules 25% des entreprises utilisent l’e-mail comme moyen de sensibilisation au PCA alors qu’elles sont 78% à l’utiliser pour la sensibilisation à la sécurité de l’information. Cette différence tient dans le fait que la sensibilisation au PCA vise notamment à inculquer les réflexes à avoir en cas de sinistre informatique. Les supports dématérialisés ne seraient donc plus accessibles ! Les plaquettes sont dès lors beaucoup plus utilisées. Cela illustre la nécessité d’adapter les supports de sensibilisation, que ce soit en fonction de la cible visée ou des spécificités du sujet traité.

 La sensibilisation à la sécurité de l’information et nouvelles technologies : une course contre la montre

Web 2.0, réseaux sociaux, Bring Your Own Device, etc., ces nouvelles pratiques ne cessent de se développer au sein des entreprises, amenant avec elles de nouvelles menaces pour la sécurité de l’information. La maîtrise des risques liés à ces services évoluant en permanence nécessite un effort constant pour rester efficace et ne pas subir l’innovation. La démocratisation progressive de l’utilisation de ces services au sein de l’entreprise doit donc s’accompagner d’une sensibilisation à leur utilisation en toute sécurité.

Parmi les usages récents, l’utilisation des réseaux sociaux s’est généralisée depuis 2008. 65% des entreprises en autorisent maintenant l’usage, majoritairement en en limitant l’accès à certaines populations métier (55%). Mais ces outils ayant pénétré aussi nos vies personnelles, elles sont aujourd’hui plus de 90% à sensibiliser leurs collaborateurs aux risques inhérents à leur utilisation. En revanche, le BYOD et les services de cloud computing personnels (Dropbox, Google Drive…) qui sont plus récents et moins répandus font encore peu l’objet de l’attention des utilisateurs : 12% des entreprises sensibilisent leurs collaborateurs au risque de fuite d’information que représentent ces derniers, et seulement 8% les sensibilisent aux risques du Bring Your Own Device.

L’un des grands enjeux de la sécurité de l’information aujourd’hui est donc, à défaut de pouvoir traiter immédiatement toutes les menaces, de tenter de réduire le délai entre leur apparition et leur prise en compte effective !

[Article rédigé en collaboration avec Loïc Dechoux, consultant]

Cet article Sensibilisation à la sécurité de l’information : où en sont les entreprises ? est apparu en premier sur RiskInsight.

Mais face à cette multiplicité des gestionnaires de risques et des démarches, comment obtenir une vision d’ensemble ? Telle est la question à laquelle nous nous proposons de répondre dans la deuxième partie de notre dossier consacré au Management des risques.

Une vision d’ensemble difficile à obtenir…

Les multiples acteurs qui composent les filières de gestion des risques SI (DSI, RSSI, RPCA…) agissent le plus souvent indépen­damment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel… tout en ayant peu voire même aucun échange avec les autres acteurs.

L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge. Ce fonctionnement en silos n’optimise ni l’identification, ni l’éva­luation et le traitement des risques. Ces silos pénalisent l’entre­prise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose :

• Quelle est globalement mon exposition aux risques ?
• Ai-je bien mis les priorités aux bons endroits ?

Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens.

… et d’inévitables redondances

L’approche en silos a un second inconvénient : elle génère natu­rellement une sur-sollicitation des métiers : on constate souvent autant de sollici­tations que de filières ! Or, s’il est nécessaire que les acteurs de la gestion des risques SI collaborent avec les directions métiers, notam­ment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive.

La solution réside donc dans l’or­chestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise.

 Vers une cible d’organisation intégrée : la « tour de contrôle »

L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rappro­chement favorise ainsi la consolida­tion d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’opti­misation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires.

Mais attention : rapprochement des filières ne veut pas dire fusion des filières.

Chacune a recours à des compétences, des expertises et des normes spécifiques.

Si la « tour de contrôle » est l’orga­nisation optimale cible, il n’est pas évident de l’implémenter immédia­tement. Une mise en place progressive est, de ce fait préférable. Elle doit permettre de poser les  bases d’une approche des risques partagée et introduire un changement de culture.  Ce sont les premières étapes de cette mise en place que nous détaillerons dans la 3ème partie de notre dossier sur le management des risques.

Cet article Management des risques : casser les silos en articulant les filières de gestion de risques est apparu en premier sur RiskInsight.

Certifier le management de la sécurité, pas un niveau de sécurité

Tout d’abord, bref retour sur un point majeur trop souvent oublié : la norme ISO 27001 ne certifie pas un niveau de sécurité, mais son management. Cette norme, qui énonce les exigences à mettre en œuvre pour l’implémentation d’un Système de Management de la Sécurité de l’Information (SMSI), vise à mettre en place le management de la sécurité et à s’assurer de son amélioration continue sur le périmètre de la certification.

Le choix des mesures et du niveau de sécurité en place est donc fait en réponse aux risques et exigences identifiés par les parties prenantes : un choix nécessairement validé par le management ! Contrairement à un standard « catalogue » comme PCI-DSS où toutes les mesures doivent être implémentées pour arriver à la certification, l’audit ISO 27001 ne vérifiera que les mesures sélectionnées comme apportant une réponse aux risques. Une différence de taille, qui pousse vers une sécurité pragmatique mais en contrepartie nécessite une analyse des risques de sécurité de qualité et une attention particulière de l’auditeur externe.

Un périmètre solide

De nombreuses entreprises affichent des certifications, mais il est souvent nécessaire pour les clients de s’attarder sur la lecture du périmètre pour en connaître la valeur : un périmètre très limité par rapport à l’utilisation de leurs données peut être trompeur !

Ce n’est pas le cas ici, puisque Google présente une certification ISO 27001 qui couvre l’ensemble des systèmes, collaborateurs, processus et datacenters qui permettent de délivrer le service Google Apps. Cela inclut les services  GMail, Google Talk, Google Calendar, Google Docs (documents, spreadsheets, presentations), Google Sites, Control Panel (CPanel), Google Contacts, Google Video, Google Groups, mais aussi les briques support (Directory Sync, Provisioning API, SAML-Based SSO API, Reporting API, Audit API). C’est un périmètre impressionnant au vu de la couverture des services, tant sur le plan fonctionnel que géographique !

Développer la confiance et diminuer le nombre d’audits

A l’heure où de plus en plus d’entreprises se posent la question de l’opportunité d’externaliser les services de bureautiques comme la messagerie, l’édition de documents, etc., rassurer les responsables de la sécurité en garantissant les meilleures pratiques de management de la sécurité ne peut qu’être positif en termes marketing. Au-delà de l’apport de confiance, c’est également pour Google la garantie d’une reconnaissance externe, sanctionnée par un organisme de certification indépendant, qui pourra diminuer le nombre ou la charge d’audits des clients. Un bénéfice opérationnel non négligeable – même si Google n’était pas très enclin à se faire auditer !

Si Google a largement communiqué sur l’obtention de la certification, la firme de Mountain View n’a pas été la première à se lancer dans l’aventure : Amazon web services et Microsoft Office 365 ont déjà fait l’objet de la mise en place de SMSI certifiés. Après les infogérants, l’ISO 27001 serait donc en passe de devenir le standard de référence pour la sécurité des services dans le Cloud : on ne peut que se réjouir de ce mouvement qui rassurera les entreprises clientes de ces services. Celles-ci ne doivent cependant pas considérer la certification comme un niveau de sécurité « garantie » et rester attentive aux périmètres et aux mesures mises en place concrètement.

Cet article ISO 27001, un passage obligé pour les fournisseurs de services dans le cloud ? est apparu en premier sur RiskInsight.

Un nouvel enjeu pour la sensibilisation à la sécurité de l’information : la génération Y pousse la porte des entreprises

La sensibilisation n’est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée ! Comme toute campagne de prévention, des « piqûres de rappel » doivent être faites régulièrement, en variant la manière de communiquer pour assurer l’assimilation des messages dans la durée sans provoquer de lassitude.

Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l’entreprise, qui n’ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l’information augmente : la fameuse génération Y.

Les « digital natives », suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l’entreprise et leur vie personnelle. Leurs usages exposent largement les informations qu’ils manipulent : données personnelles, mais aussi professionnelles ! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu’ils en aient connaissance.  Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers, et ont encore plus besoin d’être convaincus et motivés.

La gamification pour renforcer l’engagement et la motivation des collaborateurs

Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d’éditeurs  (Bunchball, Badgeville, Gamify…) proposent des solutions. Elle a pour principe l’application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données)

Initialement utilisée auprès des clients à des buts marketing (Flying Blue, Accor, Starbucks…)  ou communautaires (Foursquare, Farmville, Nike+…), elle peut se transposer aisément au monde de l’entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique.

Lancer le challenge sécurité !

Il n’y a plus qu’un pas à faire pour l’adapter à la sécurité de l’information en entreprise. En premier lieu, il s’agit de cibler les utilisateurs  et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe…) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l’univers et les mécanismes de jeu qui seront appliqués. C’est là que résidera toute la dynamique de la démarche et l’adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités !

Cet article La gamification : une solution pour sensibiliser la génération Y ? est apparu en premier sur RiskInsight.

 Un nouveau délit : la divulgation d’informations protégées par le secret des affaires

Inspiré du COHEN Act des États-Unis mais aussi d’autres textes européens, ce texte défini la notion « d’informations protégées relevant du secret des affaires d’une entreprise » (Art 325-1) et introduit le délit de divulgation de ces informations (Art 325-2).

Ces informations sont « quel que soit leur support, les procédés, objets, documents, données ou fichiers de nature commerciale, industrielle, financière, scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle »Art. 325-1 .

Cette large définition permet de couvrir les différents incidents rencontrés ces dernières années.

Jusqu’ici, en cas de fuites, les responsabilités pouvaient être recherchées pour vol, abus de confiance ou encore violation de propriétés intellectuelles.  Mais il était difficile de faire reconnaître des délits « virtuels » touchant des données immatérielles non reconnues par le code pénal.

Les exemples de jurisprudence sont rares, comme le jugement de juin 2010 du tribunal correctionnel de Clermont-Ferrand. L’ex-employé de Michelin souhaitant vendre des données à la concurrence a été condamné d’abus de confiance, mais sa peine est toute relative : 2 ans de prison avec sursis et 5000 euros d’amendes.

Les peines prévues dans ce nouveau texte sont largement plus dissuasives : 3 ans de prison et 375 000 € d’amendes. Seul regret, la tentative de fuite d’information n’est pas réprimandée. Il est important de préciser que les données identifiées ne seront pas protégées en cas d’investigations de la justice ou encore d’autorité de contrôle comme la CNIL. D’autre part, les journalistes sont également exclus du champ de la loi en cas de recel. Pour finir, les mesures de sécurité devront faire l’objet d’une information des instances représentatives du personnel.

Mais quels vont être les impacts dans les entreprises et comment le RSSI doit-il aborder ce sujet ?

Des impacts non négligeables

Le dispositif qui sera prochainement adopté va nécessiter un travail important dans les grandes organisations. En effet pour que la loi s’applique, les données doivent faire « l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci » (Art 325-1).

Le texte précise que les mesures seront précisées par décret en conseil d’état. Les premières discussions font état du marquage de l’ensemble des documents, de l’établissement de listes de personnes autorisées à prendre connaissance des informations, d’un stockage des documents papier dans des coffres ou des locaux sécurisés ou encore la mise en place de dispositifs de chiffrement et de codes d’accès.

Des pratiques minimums mais déjà complexes à déployer à large échelle. En effet, même si les données les plus sensibles sont souvent connues instinctivement, il peut être ardu de les identifier dans l’entreprise et à fortiori de les protéger dans son système d’information. Il s’agit d’un travail souvent méticuleux pour bien embrasser l’ensemble des données et tous les cas d’usage associés.

 Une réflexion à entamer dès aujourd’hui

 Il est évident que tout ne devra pas être classifié « secret des affaires » dans une entreprise.  Un bon réglage du « curseur » sera cependant ardu à trouver. Il faudra osciller entre « trop classifier », et donc augmenter les coûts, ou « ne pas assez classifier », et donc prendre de risques de fuites. L’implication des métiers et de la direction sera, encore une fois essentielle, et les efforts des années précédentes dans la réalisation d’analyse de risques s’avèreront très utiles.

Même si de nombreuses étapes législatives restent à franchir, réjouissons-nous cependant de l’avancée que représente ce texte, qui va d’une part aider à la sensibilisation du management et d’autre part apporter enfin une réponse juridique aux nombreux incidents rencontrés ces dernières années !

Cet article Le « secret des affaires » arrive dans notre cadre réglementaire ! Quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

Les opportunités sont multiples face à des clients qui ont largement adopté ces réseaux sociaux. Gestion de la relation client, campagnes marketing ou encore recrutement sont autant d’utilisations possibles pour les différents métiers, qui sont séduits par la facilité d’utilisation de ces plates-formes.

Des risques bien réels à maîtriser !

Mais ces nouveaux usages amènent de nouveaux risques pour l’entreprise qui va s’exposer au travers de pages Facebook, de fils Twitter, etc. En tête de ces risques, le détournement de pages et les atteintes à l’image résultant d’une mauvaise utilisation de ces outils. Une page Facebook mal paramétrée peut aussi conduire à une usurpation d’identité, un détournement de la finalité du site… Les exemples récents de Fox News annonçant la mort d’Obama (http://www.guardian.co.uk/news/blog/2011/jul/04/fox-news-hacked-twitter-obama-dead) ou encore de Microsoft et de sa chaîne YouTube sont assez représentatifs (http://nakedsecurity.sophos.com/2011/10/23/microsofts-youtube-channel-has-been-hacked/).

Des projets à ne pas sous-estimer

La facilité d’utilisation des réseaux sociaux par les métiers leur permet de lancer des initiatives sans aucune aide de la DSI ou du RSSI. Pourtant, il s’agit d’un projet comme un autre, même si l’outil utilisé est en libre-service ! Il est donc primordial que les équipes sécurité soient informées et qu’elles sensibilisent et appuient les métiers sur leurs actions relatives aux réseaux sociaux : guide de paramétrage d’une page, règles de gestion des accès, etc.

Après la charte administrateur, la charte « Community Manager »

Au-delà de l’administration « technique » du compte ou de la page, les métiers doivent être conscients de l’importance d’une animation régulière pour éviter les pages à l’abandon. Cette démarche de « community management » permet d’assurer une maîtrise du discours vers les clients et de gérer les interactions avec eux au quotidien, mais aussi d’assurer la sécurité grâce à la sensibilisation et la responsabilisation des gestionnaires de communauté sur la confidentialité du mot de passe, la gestion du contenu, des abonnés, la déconnexion, etc. Autant de thèmes qui justifient la création d’une charte des gestionnaires de réseaux sociaux au sein de l’entreprise, qui formalise leurs rôles et responsabilités.

Des outils dédiés et sécurisés de gestion de communauté

En complément de la charte et de la sensibilisation, des outils viennent maintenant au secours des métiers et des RSSI pour éviter les mauvaises pratiques comme le partage du mot de passe d’accès à un compte ou une page à tout le service : les cas de départs malheureux ont déjà causé des incidents visibles (http://www.webmastertalkforums.com/social-networks/75948-mark-davidson-fires-employee-twitter-account-hacked.html) ! Heureusement, ces nouveaux outils de gestion de réseaux sociaux en équipe (par exemple CoTweet ou HootSuite) font enfin leur apparition et permettent de mettre en application des règles de sécurité élémentaires telles que la gestion des accès, la traçabilité, ou encore l’imputabilité des actions.

Cet article Sécurité et réseaux sociaux : maîtriser l’exposition de l’entreprise est apparu en premier sur RiskInsight.

En effet si le premier cycle Plan-Do-Check-Act est souvent de la découverte, la deuxième année peut se révéler pavé d’écueils si elle n’est pas soigneusement préparée. La dérive la plus fréquemment rencontrée est bien sûr la démobilisation des collaborateurs : passée la phase projet et l’aboutissement de l’implémentation des processus ou de la certification, il ne faut pas « laisser le soufflé retomber », même si des projets d’autres entités occupent désormais le devant de la scène auprès du management !

Conserver la dynamique projet

Il est important de maintenir une dynamique ambitieuse pour traiter les risques par les projets de sécurité. Ces chantiers permettront de garder un focus sur la sécurité et feront vivre le SMSI indirectement. En effet, ils sont propices à la mise en place de rendez-vous réguliers (comités de pilotage, points projets…) avec les collaborateurs et la direction sur le sujet sécurité. Le SMSI est alors utilisé au quotidien et l’avancement des projets permet de montrer des réductions des risques concrètes, et mesuré dans le temps. Les premiers effets concrets du SMSI !

Optimiser et garantir l’adhésion au SMSI dans le temps

La construction initiale est bien souvent réalisée sur des bases nouvelles, en imaginant le fonctionnement des processus de manière optimale. Fort de l’expérience des premiers cycles, le responsable du SMSI doit être à l’écoute des collaborateurs sur le fonctionnement de ces processus, de manière, de manière directe (rencontre, questionnaire…) ou indirecte, pour déterminer où se trouvent les points d’amélioration les plus criants et apporter des modifications rapides. Cela permet d’éviter un effet de lassitude, voire même de rejet, pour des processus qui fonctionneraient moyennement.

Ces évolutions sont généralement de deux types. Il s’agit tout d’abord de l’industrialisation des tâches récurrentes par l’outillage : même s’il n’existe pas aujourd’hui de solution idéale, des optimisations sur des tâches particulières sont possibles (qu’elles soient techniques, de pilotage comme les indicateurs ou administratives comme la documentation). Puis vient la rationalisation des actions existantes, particulièrement en renforçant l’intégration du SMSI dans les processus de l’entreprise. Par exemple l’intégration de revues de direction de plusieurs systèmes de management ou encore l’unification des démarches d’audit et de contrôle interne sont de beaux défis qui nécessitent une maturité importante mais qui sont autant de vecteurs d’optimisation.

Même si ces chantiers sont peu visibles, ils vont être la clé pour démontrer que l’adaptabilité, la réactivité et légèreté du SMSI.

Faire de l’audit de surveillance un marqueur clé

Le suivi des incidents, des crises mais aussi des non-conformités et des actions correctives et préventives sont essentielles pour montrer l’apport du SMSI. Cette analyse ne doit pas être un travail isolé mené par le responsable du SMSI mais bien une démarche collaborative avec les équipes opérationnelles. Cette revue régulière et partagée permet de montrer l’apport du SMSI dans la couverture des évènements liés à la sécurité.

Bien sûr, cette dynamique ne saurait être complète sans une communication régulière auprès de l’ensemble des populations : qu’il s’agisse de sensibilisation ou de communication sur les gains de la démarche et les succès (impact auprès des clients, gains opérationnels, etc.), les piqûres de rappel sont nécessaires pour ancrer dans les pratiques et les esprits la démarche sécurité et les enjeux de l’organisme. L’audit de surveillance, voire de renouvellement, est un marqueur clé de cette stratégie de communication. Il doit être vécu comme un aboutissement chaque année. Et ceci pas uniquement car la certification est maintenue, mais bien parce que le niveau de protection est meilleur d’année en année !

Se remettre en question pour aller plus loin

Finalement, le responsable du SMSI doit avoir un esprit d’écoute et de conquête pour d’une part comprendre les évènements qui marquent son périmètre métier (nouvelles offres, fusions, rapprochement, évolution du marché…) et d’autre part identifier les actions clés pour une potentielle évolution du SMSI. Des pistes judicieuses pour faire souffler un vent de fraîcheur sur le SMSI et donner une nouvelle impulsion à la démarche !

Cet article Maintenir le SMSI : conserver une dynamique de construction est apparu en premier sur RiskInsight.

La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) doit s’appuyer sur une stratégie solidement établie définie lors d’une étude d’opportunité préalable. À l’issue de cette étude, périmètre, cible d’alignement, organisation et chantiers de mise en conformité ont été cadrés.  Dès lors, il s’agit de se lancer dans l’implémentation à proprement parler : quels sont les facteurs clés de succès pour assurer une mise en œuvre efficace ?

Optimiser le planning de mise en œuvre

Tout en respectant les très nombreuses dépendances entre les processus du SMSI, il est tout à fait possible d’optimiser leur implémentation pour paralléliser les tâches et ainsi raccourcir le planning de mise en œuvre.

La mise en place d’un SMSI peut ainsi s’organiser en deux grands chantiers principaux :

–  D’une part, la mise en place du système de management en lui-même. Il faut définir les processus (pilotage, sensibilisation, contrôle et mesure de l’efficacité, etc.), et les implémenter. Le processus de pilotage sera bien entendu le premier à être étudié.

–  D’autre part, la mise en place de la gestion des risques, pilier de la démarche ISO 27001. Elle débute par la définition du processus de gestion des risques et la réalisation de l’appréciation des risques. Une première analyse rapide et macroscopique a déjà été menée lors de l’étude d’opportunité, afin d’identifier les chantiers de sécurité à démarrer au plus vite (PCA, IAM, chiffrement, etc.). Lors de cette deuxième étape,  il s’agit de réaliser l’analyse détaillée des risques de sécurité répondant aux exigences de l’ISO 27001. Elle permettra d’affiner et compléter les chantiers de sécurité qui auront été lancés en parallèle avec leur documentation.

Cette parallèlisation et les dépendances fortes entre les différents chantiers  nécessitent bien sûr un suivi de projet rigoureux afin d’identifier au plus tôt les éventuelles dérives de planning !

Faire adhérer les opérationnels à la démarche

Si le responsable SMSI – bien souvent le RSSI, même s’il peut également être un acteur  métier– et son équipe sont les pilotes du projet, il ne faut pas négliger la contribution des opérationnels avec lesquelles il est nécessaire de mettre en place une coordination forte.

Au-delà de la sensibilisation et de la conduite du changement qui s’adresse à tous les collaborateurs du périmètre ciblé, il est primordial de s’assurer de la mobilisation des équipes opérationnelles en charge de la mise en œuvre des projets de sécurité. L’enjeu va bien au-delà de la réalisation des projets sécurité selon le planning et les modalités prévues.  En effet, passée la phase projet, ce sont eux qui maintiendront les mesures de sécurité implémentées et la documentation : leur appropriation garantira la pérennité du niveau de sécurité ciblé.

Construire pour le futur

L’amélioration continue occupe une place clé dans les principes de l’ISO 27001. Dès lors, il est tout à fait acceptable de commencer par mettre en place une cible pragmatique dans la situation actuelle de l’organisme, tout en se projetant dans une stratégie d’évolution du SMSI plus ambitieuse à moyen terme.

Bien que le premier cycle Plan-Do-Check-Act soit principalement celui de la mise en place et de la découverte, il est également celui où les fondations du SMSI sont posées.  Il est donc important d’avoir dès ces premières phases les potentielles évolutions du SMSI en tête (une extension du périmètre par exemple). C’est particulièrement vrai pour la définition et la mise en place des processus, qui doivent pouvoir survivre aux changements de périmètre et d’organisation sans devoir subir une refonte complète.

La mise en place du SMSI doit ainsi être considérée comme un projet à part entière, mais ce n’est qu’un début : c’est également un tremplin pour assurer la pérennité de la démarche et l’adhésion des acteurs dans le temps !

Cet article Rendre la norme ISO 27001 opérationnelle : construire efficacement son SMSI est apparu en premier sur RiskInsight.