Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

Addressing the need to know and the need for reassurance

Supported by the increased number of incidents and attacks on information systems, the cybercrisis has moved into the public realm. The democratisation of its vocabulary is a clear indicator of the place that this subject takes up in the media. Data leakage, ransomware, hacktivist, DDoS, phishing, whistle-blower, these terms have left the server rooms and specialist blogs to make their way into national newspaper columns and most people’s vocabulary. The cybercrisis is no longer a mere quality incident discreetly handled in-house but has become an event that arouses the interest of a broad audience. This interest transforms the cybercrisis into a communicational crisis. However, while this theme’s new popularity is logically transposing into an increase in coverage, other elements justify a significant increase in solicitations, whether internal or external to the organisation in crisis.

When the cybercrisis results in data leakage, for example, it is not only the subject of the crisis that is newsworthy, but its very object. In fact, when the data leaks or is stolen, its nature arouses curiosity, whether it is personal data, a State secret or simply a private conversation. This mechanic logically generates for many audiences both the need to know the unknown, and to make sure that they are not the victim. These two primary needs of curiosity and reassurance are the essential drivers of media coverage and more generally encourage the information consumer, the stakeholder, the client to fill that need and seek to obtain this information. The same logic assumes that the source of this information, in this case the legitimate data holder, addresses these requests and communicates on the incident.

Whether it’s strategic events such as presidential elections or everyday private conversations on digital media that are compromised, the crisis’ media effect is magnified by the extraordinary nature of the event. This is the result of both its supposed impossibility and the confidence that the public entrusts it. The sudden rupture of the trust placed in these “institutions” of major importance, erected in good stead in a 2.0 version of Maslow’s pyramid, then generates itself the interest and the need to know, translated into an explosion of the number of requests for information to the organisation in crisis.

Figure 1: Maslow Pyramid Example

Communication war between the attacker and the communicator

Cybercrisis communication is thus a specific exercise given the subject it deals with, but also by the nature of the actors present. In fact, when immeasurable sums of money are stolen without warning or institutions fall under “citizens” hacktivist attacks, opinion tends to sympathise towards the attacker perceived as a modern hero, a romantic pirate or a anonymous vigilante.

This public figure, aware of its image and the codes of the communication world, will of course be able to play this environment. Thus, the very methods of the attackers reinforce the central place of communication in the management of cybercrises. Attacks on political, ideological and militant grounds are no longer confined to the compromise of a system but send a message whose publicity must be maximised.

This obvious appropriation of the activists’ specific methods is illustrated in several ways: prior warning of a DDoS, defacing a website, publication over time of proofs of a theft on social networks, dissemination of information such as exchanges of compromising private mail conversations, etc. If the attackers have learned to maximize the reputational impact of their attacks, they also use this lever to disrupt their target’s crisis management and make a noise that will buy them time once their attack is discovered. While one of crisis management’s key success factors of is regaining control of this rhythm and the publication of new elements, the cybercrisis inevitably leaves this power to a malicious third party.

This third party can also, if the compromise goes deeply, alter the company’s means of communication. While it tries to respond to the need to express itself urgently and widely, this can severely hinder the fluidity of its communication. Without email, how to spread a message to employees? Without social networks, how to be close to the community and answer their questions?

Restoring the trust relationship through communication

Fascinated by the attackers and the magnitude of the attacks, the general public is nonetheless intransigent at a time when trust and data are the very value of a company. Intrinsically, preserving the first assumes the protection of the second. When the organisation fails to achieve this goal, crisis communication is the only one able to restore this relationship of trust on which depends the future of the relation with customers and partners, who will or will not continue to entrust their data or the management of their tools, as well as their services to an organisation.

This trust requirement also brings about, when it’s is broken, the search for whom to point the blame. Although the reality of the facts is much more complex, the general public will easily assume that information system attacks are made possible by exploiting a vulnerability and therefore a fault.

A data leak is thus not only perceived as an attack perpetuated by a malicious third party, but also as negligence in the defences of the company victim to the theft. The latter is automatically designated as responsible and its reputation is logically impacted. Even as the attackers have become professional, the attacks complexify and the absence of vulnerabilities is a myth, cyber-attacks are now a subject of crisis management and communication in their own right. Because of its potential impact on the general public’s daily life and therefore its newsworthy nature, it forces the victim, considered to be co-responsible for its loss, to express itself.

Try to Keep It Simple for Better Crisis Communication

Beyond defining a clear, shared and timely strategy, managing a cybercrisis with its particular rhythm and the obstacles caused by the attackers must be accompanied by a special communication which implies a final effort: keeping it simple.

Confronted by a cybercrisis, like any type of crisis, communicating implies being able to translate the events and corrective actions into clear impacts and to address them in a coherent manner. Of course, the complexity of the terms and the mechanics of a cybercrisis makes this exercise tricky and is another particularity to take into account.

In this context, through their ability to translate the technical cause into business consequences and more generally into layman’s terms, the CISO and their team’s role is central. During business as usual as well as in times of crisis, the CISO’s mission is the responsibility for translating the facts and technical components not only into business impacts but also into understandable and convincing impacts for diverse non-expert audiences. They may also have to conceive or even bear responsibility for elements of crisis communication language in the same way that a human resources representative is exposed during a social crisis.

Without presupposing their exposure on a major TV channel’s news programme, information security experts’ words will be expected on social networks, on professional networks, in the specialized press or in-house. In crisis communication, everyone is responsible for everything and everyone has to be prepared for it.

Thus, the subject of cyber carries a media power of its own; the immediate consequence of which is the considerable increase in expectations and requests to be informed from different divisions of an organisation as well as from the public. If the impending occurrence of an information security incident involves a specific defence and continuity of operations planning, it also requires anticipation of these requests and an active preparation for this overall communication effort.

Cet article Cybercrisis, a fully-fledged media topic est apparu en premier sur RiskInsight.

Les Réseaux Sociaux d’Entreprise ont fait leur apparition dans les années 2000. L’essor des réseaux sociaux dans la sphère privée ainsi que l’arrivée progressive de collaborateurs de la génération Y sur le marché du travail, ont amené les dirigeants à s’intéresser en masse à cet outil et à ses usages.

Aujourd’hui, 70% des entreprises ont expérimenté les technologies sociales dont le Réseau Social d’Entreprise est le fer de lance.

Avec quels objectifs les entreprises se lancent-elles dans la mise en place de réseaux sociaux d’entreprise ? Quels sont les freins observés ? Et comment les dépasser ?

Des fonctionnalités nombreuses et éprouvées

Un réseau social d’entreprise est un outil de communication, pouvant être accessible aux collaborateurs ou ouvert à des partenaires externes. Il vise à favoriser la communication et l’interaction entre les collaborateurs ou entre des groupes de collaborateurs.

Les fonctionnalités développées par un RSE peuvent varier d’un éditeur à un autre, et d’une entreprise à une autre selon la nature de ses besoins. Aujourd’hui sur le marché des réseaux sociaux d’entreprises, des multinationales, renommées comme Microsoft, IBM ou encore salesforce.com côtoient de plus petits développeurs à l’instar de Zyncro ou Liferay.

On retrouve de manière générale des fonctionnalités similaires à celles des réseaux sociaux privés (profil personnalisé, messagerie instantanée, fil d’actualité…) et d’autres spécifiques au contexte professionnel. Il est ainsi possible d’accéder à un organigramme dynamique de l’entreprise permettant d’identifier les groupes de sachants répondant au mieux à son besoin. La notion de communauté est également primordiale dans un réseau social d’entreprise. Elle offre la possibilité de fédérer des acteurs autour d’une thématique ou d’un projet. Ceci offre plus de souplesse et de transversalité permettant de s’affranchir de certaines barrières hiérarchiques et de sortir des silos habituels pour fluidifier la communication et concentrer plus d’énergie sur le partage de connaissances et non sur sa recherche.

Un succès qui reste pourtant timide

Ces outils ont fait leurs preuves dans la sphère privée avant d’intégrer le monde professionnel (l’extraordinaire croissance du nombre d’utilisateurs de Facebook en est un bon témoin : création en 2004 et 1,23 milliard  d’utilisateurs 10 ans plus tard). Pour autant, d’après une étude menée en 2013 par le Gartner seuls 10% des projets de mise en place de réseaux sociaux d’entreprise peuvent être considérés comme une réussite au regard de la valeur apportée au métier.

Comment peut-on expliquer cette différence entre les attentes des directions d’entreprises et la réalité ?

Un des premiers obstacles réside sans doute dans le degré d’appropriation des outils digitaux par les utilisateurs. Sans pour autant pouvoir être identifiée comme l’unique cause de l’échec, la non appropriation des outils digitaux par les collaborateurs s’est révélée être un obstacle bloquant dans l’implémentation de réseaux social d’entreprise dans certains cas. Cependant l’entreprise a su trouver des moyens pour combler ce manque de connaissance : de la formation présentielle au plus récent reverse mentoring en passant par les nouvelles formes de formation amenées par le digital.

Quelques facteurs clés de succès

L’implémentation d’un RSE doit également se faire pour un projet d’entreprise et non pour l’outil en lui-même. Les enjeux seront donc propres à chaque entreprise. La phase de préparation du RSE (choix de l’outil selon les fonctionnalités, structuration de l’outil, préparation du contenu) est une étape à ne pas sous-estimer. En effet, celle-ci est garante de l’adéquation entre l’objectif de l’entreprise, ses enjeux, et l’intégration du RSE au sein des métiers. Elle devra être réfléchie selon le type de métier, le rythme et les acteurs impactés pour que cela devienne un outil porteur de sens et non un outil redondant (doublon avec les informations de l’intranet par exemple) ou superflu. C’est uniquement lorsque cette adéquation est faite que l’entreprise pourra en tirer profit. Une des bonnes pratiques étant de le coupler à un cas d’usage, un objectif visible pour les collaborateurs : construction d’un plan stratégique, remontées d’informations terrains, création d’une identité visuelle…

Enfin,  les entreprises doivent être prêtes à s’investir dans l’implémentation du RSE. A la création, les entreprises doivent s’attacher à développer et adapter l’outil à leur environnement : développer et insérer le contenu, créer les communautés, choisir les community managers adaptés pour les faire vivre… Les entreprises doivent donc être prêtes à investir du temps, et donc de l’argent, au début du réseau social, mais aussi tout au long de son cycle de vie. En effet, un effort de mise à jour récurrente (mensuelle voir hebdomadaire) est nécessaire que ce soit pour trier, synthétiser, adapter les informations ou adapter le réseau social à l’évolution de l’entreprise (nouveau projet, nouvelles technologies…).

Une conduite du changement nécessaire pour lever des obstacles avant tout sociaux

Comme tout projet, la mise en place d’un RSE s’accompagne d’une conduite du changement. En effet, le RSE requiert l’adoption de nouvelles pratiques et d’usages particuliers : aplanissements de l’organigramme, fluidification de la communication, transversalité…

De nombreux leviers existent permettant de faciliter l’adoption de ces évolutions culturelles. Ainsi le recours à un réseau « d’évangélisateurs » pour promouvoir le RSE (toutes fonctions et rang hiérarchiques confondus) ou la création d’une charte d’usage font partie des bonnes pratiques. Il est, également, primordial de pouvoir compter sur le soutien du management. Un sponsoring fort du projet au niveau stratégique ainsi qu’un relais des ambitions des RSE via les managers de proximité est indispensable. Il est donc essentiel d’accompagner les managers de proximité dans l’appropriation des enjeux et objectifs du projet RSE afin de pouvoir en être l’ambassadeur.

Le RSE, un outil qui s’inscrit dans un changement global de culture d’entreprise

Finalement le réseau social apparaît comme une sous partie d’un écosystème complet du changement de la culture d’entreprise. À l’image de l’évolution du rôle des managers, il n’est qu’un vecteur de changement de culture d’entreprise qui ne peut réussir qu’en étant accompagné d’une évolution des pratiques et des usages. C’est du changement de culture que pourra émaner la création de valeur : optimisation de la performance opérationnelle, fluidification de la relation entre collaborateurs, augmentation du bien-être au travail…  Le réseau social ne peut être le seul composant du changement. La création de valeur sera garantie dès lors que le réseau social est envisagé non pas comme la cible mais comme un moyen de l’atteindre. L’intégrer dans un projet plus global de transformation culturelle, des usages et des pratiques est la clé permettant d’en dégager des bénéfices.

Cet article Le Réseau Social d’Entreprise, doux rêve ou triste réalité ? est apparu en premier sur RiskInsight.

Cette multiplication d’évènements montre que toutes les organisations peuvent être concernées. Et lorsqu’un incident survient, c’est tout l’écosystème de l’entreprise qui doit être mobilisé pour gérer la crise : clients et collaborateurs, mais aussi fournisseurs, partenaires, presse…

Force est de constater que peu de structure ont déjà mise en place un plan de communication de crise face à un incident lié à la cybercriminalité. Aujourd’hui, le RSSI doit se positionner comme le chef d’orchestre de cette démarche. Quelles sont les cibles prioritaires à inclure ? Quel type de message préparer ? Voici des éléments de réponses issues de nos retours d’expérience.

La direction générale : expliquer, analyser et mobiliser

Les RSSI parlent à leur direction depuis des années ; c’est même une de leurs cibles de prédilection. Mais les messages doivent aujourd’hui changer. Jusqu’alors en effet, le RSSI, essayait d’attirer l’attention sur son sujet, afin d’obtenir des ressources par exemple.

Aujourd’hui, il doit démystifier ce qu’il se passe, donner des clés de lecture sur un sujet qui touche maintenant le grand public. A titre d’illustration, les Echos ont publié depuis juin 2013 156 articles consacrés à Edward Snowden.  Cette abondance d’information peut générer des incompréhensions ou des doutes : en quoi mon entreprise est-elle concernée ? Peut-on se protéger ? Un incident de type Target ou Vodafone est-il envisageable chez nous ? Que fait-on en matière de protection ?  Cette communication devra être claire, synthétique… et transparente. Sans sombrer dans le fatalisme ou au contraire l’excès de confiance, elle mettra  en lumière la réalité des menaces pour l’entreprise et les vulnérabilités qui demandent à être traitées dès aujourd’hui.

Ressources humaines et communication interne : des alliés pour sensibiliser les collaborateurs

Les collaborateurs sont une cible essentielle pour le RSSI. Même si les actions de sensibilisations ne sont pas à 100% efficaces, elles sont nécessaires pour minimiser les risques. Comme dans le cas de la direction générale, le RSSI dispose avec l’actualité récente d’une opportunité de communication sans précédent.

Des messages simples et clairs pourront être adressés à l’ensemble des utilisateurs pour leur rappeler leur devoir vis-à-vis du système d’information. Les ressources humaines et la communication interne apporteront  à ces campagnes leur maîtrise des canaux et des codes internes de communication, propre à chaque entreprise. Pour renforcer l’impact des messages,  n’hésitez pas à faire un parallèle avec les situations de la vie privée que les utilisateurs rencontrent (banque en ligne, réseaux sociaux…), les messages seront mieux assimilés.

Les fonctions SI / métiers critiques : maintenir la vigilance des fonctions les plus ciblées

Les incidents récents montrent clairement qu’aujourd’hui les cybercriminels savent mener des attaques ciblées sur les fonctions sensibles de l’entreprise. Même s’ils sont connus, ces scénarios restent encore très efficaces. Une communication spécifique pour maintenir l’attention de ces populations en éveil est nécessaire. L’utilisation d’exemples concrets sera particulièrement efficace et il en existe de nombreux, des photos de Carla Bruni pour piéger des diplomates  à l’appel téléphonique pour pousser un utilisateur à réaliser des virements frauduleux.

Ces trois premières catégories ne sont pas nouvelles : les RSSI ont l’habitude de travailler avec elles. Leurs messages doivent néanmoins s’adapter.

Surtout, nous assistons à l’émergence de deux nouvelles cibles de communication, à qui les évènements récents ont conféré une forte importance.

La direction de la communication : préparer la crise pour en réduire l’impact auprès du public

La probabilité qu’un incident se produise dans les grandes organisations augmente singulièrement ces derniers temps, avec des cas dans tous les secteurs d’activités et de plus en plus d’occurrence en Europe et en France. Surtout, la conscience que de tels incidents peuvent se produire augmente, rendent les directions de la communication plus réceptives au discours des RSSI.

Une communication rapide, structurée clairement,  est nécessaire  dans des situations de crise. Bien souvent néanmoins, les crises liés à la cybercriminalité ne sont ni connues ni envisagées par les équipes de communication. C’est le bon moment pour le RSSI d’échanger avec ces entités (communication institutionnelle mais aussi de crise) et de les sensibiliser à ce qui pourrait se passer en cas d’attaques.

Quelques réunions de travail, permettront de réfléchir ensemble aux différents temps médiatiques et de définir les postures de base à adopter en cas de phishing (email frauduleux aux clients), de sites web modifié (défacement) ou encore en cas d’interruption de service (Dénis de service DDoS).

Direction de la relation clients : savoir activer les canaux en cas de crise

2014 va rendre cet interlocuteur incontournable pour le RSSI… cette année sera en effet celle du vote du règlement européen sur la protection des données à caractère personnel. Le texte devrait imposer la notification des incidents de sécurité aux clients concernés par un vol de données à partir de 2016.

Il s’agira d’une obligation majeure qui entraînera un changement de posture dans la relation client. Ce changement doit être anticipé dès maintenant. Les retours d’expérience  montrent qu’au-delà du coût important lié à ces notifications (entre 10 et 200 € par client suivant la gravité des fuites de données et les pays concernés), les effets sont réels sur les canaux de communication classique (agences, call-center, site web, réseaux sociaux…) qui peuvent se retrouver dépassés par l’afflux de demandes liés à l’incident. Il faudra donc anticiper ces communications, qu’elles soient requises par la loi ou rendues nécessaires en réponse à la publication par les attaquants des données. Comme avec les directions de la communication, des premières réunions de sensibilisation et de découverte du sujet pourront être organisées. La réalisation de fiches réflexes de communication ou encore d’exercices de crise est un bon moyen d’avancer ensuite.

L’aspect « communication » de la fonction du RSSI ne doit donc pas être négligé. Celle-ci connaît  aujourd’hui une évolution forte, passant d’un rôle de sensibilisation aux bonnes pratiques à une démystification de l’actualité jusqu’à un vrai rôle de communiquant opérationnel lors de gestion des crises.

Cet article RSSI, communiquez avec ceux qui communiquent ! est apparu en premier sur RiskInsight.

Une explosion de données pour une relation client personnalisée

Le Big data, c’est la capacité technologique à analyser en quasi temps réel un très grand nombre de données :

• De nature variée : déstructurées, dans un langage naturel, de diverses sources (internes ou externes) et formats et dont la véracité ne peut être certifiée ;
• Issues de différents types d’interactions : géolocalisation, internet des objets, Machine to Machine (M2M), échanges interpersonnels, etc.

Aujourd’hui  la maturité de nouvelles technologies d’analyse permet de traiter l’explosion de ces données d’un genre nouveau et ainsi de visualiser en temps réel des tendances afin d’obtenir une connaissance détaillée et personnelle des clients.

Le Big data permet donc de répondre encore plus efficacement aux enjeux de la relation client :

• Personnaliser facilement les interactions avec le client ;
• Proposer des produits et services qui répondent mieux aux attentes des consommateurs ;
• Améliorer la satisfaction à chaque étape du parcours client ;
• Mieux comprendre, gérer et anticiper l’e-réputation de l’entreprise.

 Valorisez vos données pour améliorer votre relation client !

Le Big data est au service de plusieurs fonctions de la relation client : communication, vente, marketing et service client.

1. En premier lieu, au niveau de la communication, grâce à la surveillance et à l’analyse des conversations en ligne, le Big data permet de gérer l’e-réputation de l’entreprise et de décupler la notoriété et la visibilité de la marque. C’est l’approche qu’a utilisé Bank Of America en mettant en place un système qui permet de rassembler les requêtes similaires issues de Twitter et de les router vers le service client qui se charge de répondre. Un tel système permet de détecter rapidement les différents ensembles de réclamations sur un sujet similaire et d’y apporter une réponse personnalisée. De cette manière, Bank Of America améliore la satisfaction de ses clients et diminue le risque que certaines plaintes se transforment en phénomène viral pouvant dégrader en quelques heures l’image de l’entreprise.

2. Au niveau de la vente, le Big data c’est la possibilité de générer des leads qualifiés pour  comprendre le client en temps réel et ajuster l’offre à ses besoins exacts, de saisir les opportunités de vente en identifiant les leads des communautés en temps réel et d’améliorer le réseau de distribution en identifiant quel type de client achète sur quel canal à quel moment. En utilisant une telle approche, BestMart a été capable de prédire quels seront les jeux vidéo les plus demandés des saisons à venir, quel types de clients les demanderont et où ils les achèteront. De cette manière, BestMart a mis à disposition dans ses magasins le bon nombre de jeux au bon endroit afin de répondre exactement à la demande. L’entreprise a ainsi augmenté ses ventes et la satisfaction de ses clients.

3. Au niveau marketing, l’analyse et le suivi des tendances, des comportements et des réactions des consommateurs permet d’affiner la segmentation, d’améliorer le taux de rétention, d’adapter le pricing plus précisément en fonction d’évènements et de réaction du marché et de mieux cibler les campagnes marketing et publicitaires. C’est ce type de procédé que TF1 a mis en œuvre en s’alliant à Weborama, spécialiste de la gestion des données. Le but était de  créer une segmentation plus fine de son public de TV en replay grâce au Big data afin de proposer aux annonceurs des profils de cibles plus précis permettant d’améliorer l’impact des publicités.

4. Enfin le Big data permet d’optimiser la qualité de service en capitalisant sur les connaissances clients pour enrichir et corriger le support, en améliorant l’expérience client, en anticipant les réclamations et en réduisant le temps de réponse aux situations de crise. Ainsi, lors des Jeux Olympiques de Londres 2012, la société des transports londoniens TFL a utilisé une approche Big data pour anticiper les flux de voyageurs et informer ses clients en temps réel de l’état de congestion du réseau. De cette manière, elle a pu gérer son trafic en quasi instantané et réorienter les passagers vers d’autres itinéraires lorsqu’un pic d’affluence était détecté, incitant parfois les voyageurs à marcher pour leur faire gagner du temps.

Avec de tels arguments, un projet d’amélioration de la relation client d’une entreprise peut difficilement s’envisager sans étudier les opportunités offertes par le Big data. Et même si un projet Big data peut s’avérer complexe aussi bien en termes de technologie que d’organisation, il s’avérera être un véritable levier de performance et de satisfaction client.

Le Big data pour une vision 360° de vos clients

Le Big data, c’est l’occasion de construire une vision 360° de ses clients et ainsi mieux comprendre et tirer parti de leurs interactions avec l’écosystème de l’entreprise. Pour comprendre comment mettre en œuvre cette vision et  quels sont les bénéfices concrets qu’une telle approche peut vous apporter, rendez-vous prochainement sur SolucomINSIGHT !

Cet article Le Big data au service de la relation client ! est apparu en premier sur RiskInsight.

 De trop nombreux cas de détournement des réseaux sociaux

Mais ces réseaux n’ont pas été conçus initialement comme des outils de communication officielle, maîtrisée et contrôlée. Il est très simple de publier et ­de commenter. L’information est également très rapidement relayée. C’est ce qui fait leur force – mais aussi leur faiblesse quand  leur usage est détourné…

C’est ce qui est arrivé récemment au compte Twitter de l’Associated Press. Agence de presse réputée aux Etats-Unis, l’AP a subi une attaque qui a entraîné la publication sur son fil d’un message annonçant un attentat à la Maison Blanche ! Cette fausse information a été rapidement démentie mais les effets en ont été réels et sérieux : Wall Street a décroché pendant plusieurs heures !

Ce cas n’est qu’un exemple parmi d’autres, nombreux. Nous pouvons citer récemment Burger King  ou encore Jeep  dont les comptes ont été détournés – certes  de manière humoristique – pour faire de la publicité à leur concurrent !

Une sécurité désuète basée sur de simples mots de passe

Mais pourquoi assiste-t-on à cette multiplication de cas ? En partie car il est très simple de prendre le contrôle d’un compte sur un réseau social. Bien souvent celui-ci n’est protégé que par un mot de passe, à la complexité toute relative et qui, surtout, est souvent largement partagé au sein des sociétés  !

En effet, les comptes Twitter et Facebook sont associés à un seul email et à un seul mot de passe. Ces informations doivent donc être partagées si plusieurs personnes sont amenées à faire vivre le compte d’une entreprise. Sans parler des départs ou des mobilités qui laissent des situations souvent désastreuses, il est facile aujourd’hui de piéger le poste de travail d’un employé d’un service communication pour s’emparer de ces identifiants !

 Quelles bonnes pratiques suivre ?

Afin de réduire ces risques, il est possible pour l’entreprise d’utiliser des plates-formes professionnelles d’interaction avec les réseaux sociaux. Ces outils, par exemple SproutSocial ou Hootsuit, permette de masquer le compte Twitter principal et de créer des comptes pour chacune des personnes pouvant intervenir sur les réseaux sociaux. Ces outils ajoutent également une notion de traçabilité et de suivi des actions qui peuvent être intéressantes. Assortis d’une charte de « community manager », ils réduisent les risques d’usages malencontreux ou malicieux.  Mais cela ne réduit pas le risque lié au vol des identifiants.

Pour répondre à cette menace, les fournisseurs de réseaux sociaux réfléchissent actuellement à augmenter le niveau de sécurité de leur service, en particulier en requérant une authentification à deux facteurs à la place du mot de passe. Il s’agira alors pour utiliser le service d’utiliser un mot de passe unique, par exemple délivré par SMS ou via une application dédiée, en complément du mot de passe habituel. Google et Dropbox ont déjà mis en  place ce système avec succès. Les entreprises devront donc faire évoluer leurs pratiques pour inclure ces nouveaux mécanismes.

Cet article Protéger son image sur les réseaux sociaux ou l’hérésie du mot de passe partagé… est apparu en premier sur RiskInsight.

Le défi aujourd’hui est de réussir à ancrer la sécurité durablement dans les pratiques de chacun des utilisateurs.

L’inventivité, facteur de renouveau

Que ce soit lors de la mise en place, ou dans les piqûres de rappel, l’originalité, la créativité, peut être un réel facteur d’attractivité et de différentiation de la compagne de sensibilisation à la sécurité. Pour autant ce facteur doit être mis en regard de la culture de communication interne de l’entreprise, et ce pour trouver le meilleur compromis entre originalité et crédibilité de la démarche.

La campagne doit ensuite évoluer dans le temps, ainsi que la posture en elle-même, mais également les canaux de communication. Nombreux sont les concepts, les supports qui peuvent être intégrés à la sensibilisation. Les serious games, la gamification et les applications pour smartphones ou tablettes en sont des illustrations.

L’adaptabilité, une réponse aux nouveaux usages et les risques afférents

L’évolution des usages permet de donner un nouveau souffle au catalogue de communication et formation, mais elle doit aussi être considérée sous l’angle des risques. Le BYOD (Bring Your Own Device) ou encore le Cloud en sont des cas concrets. Les objectifs de communication, les messages à diffuser vont évoluer, et ce dans l’objectif de responsabiliser davantage le personnel qui en fera l’usage. Un axe intéressant est de dresser un parallèle avec la vie quotidienne des collaborateurs afin de les responsabiliser.

La mesure d’efficacité, source d’amélioration

Chercher à s’améliorer implique de mesurer l’efficacité dans l’atteinte des objectifs initiaux. In fine, les collaborateurs sont-ils tous acteurs de la protection de l’information chacun à leur niveau ? La clé réside dans le fait que la sensibilisation est un dispositif de sécurité, et par conséquent il est important :

• D’identifier les éléments du plan de contrôle qui sont en lien avec le facteur humain d’une part. Un exemple ? Les audits  intègrent-ils la notion de « bureau net », de protection physique du matériel, d’exigence de port de badges, etc. ?
• D’intégrer de nouveaux contrôles spécifiques d’autre part. Il peut s’agir de contrôles par échantillonnage qu’ils soient techniques (vérification des mots de passe par exemple) ou de l’ordre de la simple observation « terrain ».

En conclusion, comme toute démarche liée à sécurité, la sensibilisation et la formation doivent s’inscrire dans un cycle de revue tant sur le fond (messages à faire passer, collaborateurs à cibler…), que sur la forme (canaux, supports, et conception…). L’ensemble doit s’intégrer dans l’existant de l’entreprise en respectant les pratiques des ressources humaines en termes de formation et de communication interne !

Cet article La sensibilisation : un dispositif à inscrire dans la durée ! est apparu en premier sur RiskInsight.