What is the extended enterprise?

The extended enterprise is a group of entities and economic players working together on common projects. Companies have always needed to collaborate by sharing resources and exchanging data. To achieve this, the employees of each of these companies need to be able to interact securely with external users.
These external users can be suppliers, subcontractors, B2B customers, subsidiaries (that do not share the same IS), and so on. Collaboration can take many forms and can be time limited.
Because of this diversity of scenarios, it is neither possible nor relevant to define a single answer to every IAM project for the extended enterprise. The strategy to be adopted by any company wishing to address this issue will depend on its own context and specific use cases.
An extended enterprise IAM strategy can be initiated by answering two key questions: how should IAM governance and delegation be handled with the various partners? And, what type of solution on the market best covers these use cases?

What type of governance?

There are 4 main approaches to IAM governance in the extended enterprise. The choice of one of these approaches will depend mainly on two criteria: the level of IAM maturity of the various stakeholders and the sensitivity of the resources accessed.

Which vendor’s solution?

A number of functionalities clearly distinguish CIAM editor solutions (customer scope) from Workforce IAM solutions (employee scope). These two types of solutions are at opposite ends of the spectrum referring to the criteria analyzed in the diagram below.

Extended enterprise (B2B) use cases can be positioned over a wide range of this spectrum for each criterion, depending on the context. It is therefore difficult to respond to them with traditional workplace IAM or CIAM solutions, however more and more software publishers are offering new dedicated modules to meet these new needs.

What new technologies to facilitate implementation?

One of the key factors in the success of an extended enterprise project is the ability to decentralize IAM processes and mechanisms. The technological advances presented in the table below make it possible to rethink traditional approaches to identity and access management from this angle. They offer more flexible solutions, adapted to the diversity of use cases encountered, thus enabling greater decentralization, particularly with less mature partners, thanks to identity wallets and passkeys:

In this quest for solutions adapted to a wide range of use cases, it is imperative to keep abreast of market developments and constantly assess the relevance of proposed solutions to the specific needs of each context.

Cet article Which IAM for the Extended Enterprise? est apparu en premier sur RiskInsight.

Fifteen years ago, when we first started working on SOC implementations for our clients, defining a roadmap was simple: set up a tool, then collect and analyze the logs of security equipment and critical/exposed assets.

However, new challenges linked to the IS decentralization, the evolution of an ever-evolving threat and the crisis we are going through (teleworking, reduction in cybersecurity budgets…) must make us realize that the SOC must reinvent itself.

Involve (really) everyone!

By rewriting the story from the beginning, the SOC is managed by the cybersecurity population, which has therefore set up monitoring mechanisms on cybersecurity equipment with cybersecurity use-cases. The result is mixed, it works quite well, and the figures from our CERT benchmark are there to prove it: 167 days on average to detect an incident!

The first detection strategies were obviously defined, challenged and validated by the cybersecurity industry. Their objective was to increasingly extend the surveillance perimeter by collecting more and more logs (firewalls, WAF, …) and setting up new surveillance equipment (SIEM, probes, …).

This first observation was inevitably found in the majority of our SOC audit conclusions: objectives are poorly defined and not aligned with the expectations of SOC clients (CISOs, CIOs, business functions), leading to a loss of trust and credibility.

Striking examples can explain this feeling: lack of SLAs, poorly defined perimeter, too raw reporting that is too raw, non-contextualized and containing erroneous information.

If you do not want to redefine your SOC strategy once again in a one-sided way, organizing a seminar is the right exercise to establish a new starting point. All the stakeholders must be present (cybersecurity teams, CIOs, SOC clients, …) and the goal is to address the main issues:

• Redefining objectives: concentrating surveillance on much smaller perimeters that are both technically and humanly feasible
• Clarifying governance: redefining the positioning and role of the SOC in the organization
• Redesigning reporting: sharing customer misunderstandings in order to provide the right level of information.

We have seen that this step, which is essential to the renewal of the SOC, enables an entire ecosystem to be federated around a common target.

Give priority to quality over quantity!

Paradoxically, although the attack area of the IS has significantly increased, the priority is indeed to restrict the surveillance scope to focus on what is really valued.

Firstly, once the functional perimeter of surveillance has been redefined and validated by all, the SOC mission is to technically translate these new objectives into detection scenarios in the tools. There is no need to reinvent the wheel, because new frameworks such as MITRE ATT&CK now allow the different types of attacks to be clearly identified and materialized (techniques used, examples/references and suggestions for detection). The objective is obviously not to be able to cover all the techniques that can be used (330 in total) but to prioritize the efforts on what will allow the objectives to be achieved.

In addition, an HR observation was also raised in most of our audits: teams lack motivation, experience and autonomy to bring added value to operations.

This leads to a high turnover because some tasks are considered uninteresting. The objective is to concentrate human effort on what really brings added value. We have assisted many customers in the implementation of SOAR (Security Orchestration, Automation and Response) tools to automate repetitive tasks of the teams in charge of analysis and reaction. These tools are extremely effective in automating the processing of common, very annoying attacks (ransomware, phishing…) which account for a large proportion of alerts.

Once these measures are in place, the teams can then be mobilized on activities with higher added value such as the implementation of automation tasks or Threat Hunting activities.

And now, improve and challenge each other continuously!

Once all the foundations are in place to breathe new life into your SOC, how do you stay up to date?

The answer to this question would have been complex 5 years ago, but many recognized standards now allow us to assess the maturity of the SOC in a continuous improvement process. SOC CMM is the perfect example, as this framework enables self-assessment based on a set of precise questions addressing all the issues in terms of tools and organization. This methodology has enabled us to support customers on many before/after comparisons.

Red Team or Purple Team operations are also excellent ways to challenge the systems put in place in relation to the defined objectives. These exercises highlight concrete examples of vulnerabilities as well as precise recommendations to remedy them. In addition, the MITRE ATT&CK Framework can be used to consolidate the tests carried out by type of attack, as well as their results.

These various initiatives do not provide an exhaustive overview of the problems that SOC are currently facing, but they do highlight our main findings: an isolated SOC, poorly configured tools and demobilized teams.

The exercise of redefining a SOC strategy is a great opportunity to re-mobilize an entire ecosystem under the same banner. This initiative helps to give new meaning to both operational teams and all the stakeholders in the SOC activity. So… let’s do it!

Cet article The SOC died of boredom, fatigue and poor positioning? Find out how to resuscitate it! est apparu en premier sur RiskInsight.

L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

This reflection should cover the main risks of data leakage and access to data by administrators, Microsoft and third parties or applications.

A new governance model imposed by Microsoft

Office 365 is a SaaS communication and collaboration solution. As such, the platform is constantly evolving, unlike the historical “on-premise” solutions: new features or settings appear and are modified, while others disappear (e.g. retirement of Skype for Business planned for 2021, July 31^st and the end of legacy authentication support for Exchange Online planned for 2020). This continuous delivery pace is imposed by Microsoft, without control. Hence, a completely new governance model is required.

Changes integration can no longer be done in project mode. It must follow an established process. In this model, the workplace and security teams must work hand in hand and must be represented in all project and architecture committees, starting from the very beginning of the platform use cases design. These teams will also have a common responsibility to ensure the platform efficiency and regulatory compliance.

The security team sees its perimeter evolving: it no longer has control over security tools and can, or even must, play a business enabler role to support the migration to the cloud by proposing new uses (e.g. opening a controlled external file exchange service). An appropriate organization must be put in place. We could even consider having a Security Officer dedicated to the platform very close to the business, with the role of advising projects, ensuring the platform configuration and monitoring security alerts.

Another topic to be addressed is the delegated administration.  Even though it is not a rare situation, it is not possible to have nearly 20 General Administrators for an O365 tenant. Indeed, a Global Admin has control over Office 365 services, but also Intune, Azure, AAD, etc. A delegated administration solution must be considered for user accounts and objects, through the implementation of an interface or a connector based on PowerShell or Graph API. This process should allow the company to manage all objects while considering business logic. To define this new governance model, the following security pillars must be articulated:

• Identity management ;
• Mastery of services and uses ;
• Control of compliance to company policies.

Identity management at the core of the model

In a solution designed to enable internal or external collaboration, with an ATAWAD use (Any Time, Any Where, Any Device), identity management (and therefore authentication) is the core of platform management.  As with any project, the definition phase of who can access what, when and where is fundamental.

On Office 365, there are three types of users, each with different privilege levels: administrators, internal users and guests (external users invited to collaborate on a file or within an O365 Group or SharePoint site).

For each of these account types, implementing the defined security measures will be challenging. In addition to the unavoidable multi-factor authentication (highlighted by the data leak that affected Deloitte in 2017), there are also other essential issues, such as administrator access control (personalized or predefined roles, permanent or occasional access, etc.) and guest users lifecycle management (nothing being clearly defined by default). The cost of Azure AD Premium licenses or a third-party tool will be a major element of the discussion.

Also note that Office 365 allows external applications to communicate with its APIs. The external application can then act on behalf of a user with its own rights or of an administrator with higher privileges. These applications can come from different application stores (such as AppSource or AAD) or be developed locally. The management of permissions granted to these applications must be highly considered by companies. Indeed, through APIs, it is very easy to imagine a massive data leak in case of a user dupe (e.g. an application requiring unnecessary permissions, such as email access).

An essential but neglected control of services and uses

Once access to Office 365 is under control, the next topic is to manage its use. It is not uncommon to observe that some services, not prioritized during migration to the Cloud (Power BI, Teams, Flow, API access, etc.) are left accessible with their default configuration. The two reasons are generally a focus on adoption and a lack of time devoted to these non-priority services. In addition to setting up the service, it is also essential to define precise rules around uses to clarify who can do what and when (e.g. managing SharePoint authorizations, creating Groups). The best solution consists in implementing technical measures (general settings or configuration via PowerShell) congruent with the defined policy.

However, the lack of security of these services leaves the door open to potential data leaks: automatic transfer to the outside, exposure on the Internet or loss of the data control. As written above, governance must take security into account when designing future uses. Services must be analyzed and tested on small populations. Indeed, it will always be easier to open a feature than to restrict an already widespread use. In that case, it will be necessary to carry out an impact analysis, to tinker with a workaround solution and to raise users’ awareness widely. However, these actions may require significant investment and could be avoided.

The management of the service should not end with user adoption. Security and Workplace teams will be responsible for following Office 365 evolution (Evergreen program, setting up a watch, monitoring Microsoft blogs, etc.) in order to assess new opportunities and threats.

The control of the compliance with company policies

The implementation of the company security policies is the last pillar and includes the implementation of security tools: information protection, anti-malware, supervision and alerting.

Concerning Office 365 security, we can differentiate 3 levels of maturity. The resources put in place will depend on the expertise available (resources being limited on the market) and the budget (depending in particular on the strategy of the Microsoft licensing management company):

• Level 1 – Control of identities, services and use of the Security and Compliance Center: the company implements native Security Center and Compliance Center security solutions (including Office DLP, Exchange Online Protection, eDiscovery) accessible with basic licenses;
• Level 2 – Development of “in-house tools”: the company creates a set of simple scripts or dashboards, using Graph API, Security Graph API and PowerShell, to implement controls and security measures adapted to its context (e.g. life cycle management of guest users);
• Level 3 – Use of advanced security tools: the company implements additional solutions to strengthen the level of security: tools to fight data leaks, analyze malware on emails, review rights, detect abnormal behavior or even harden the use of the platform according to the context.

Mastering Office 365 services, their uses and native security features is essential, and must precede any consideration of adding an additional security tool, which would not cover existing vulnerabilities and would only add complexity.

Sample of controls included in the Wavestone Office 365 Audit Methodology

Conclusion

Office 365 is an interesting case of opening business applications on the Internet through the Cloud. This evolution requires adapting the company historical security model, towards the airport model following the Cloud adoption.

However, Office 365 security must not omit the security of the on-premise bricks necessary for the platform operation, as it is generally the case for the authentication that is carried out by ADFS.

Cet article A secure Office 365, a rare gem? est apparu en premier sur RiskInsight.

Le développement rapide du véhicule autonome et connectée indique qu’il est urgent de mettre en œuvre des mesures pour réduire le risque cyber.

Dans un premier temps, ces mesures consistent à adapter des concepts de cybersécurité connus et maitrisés tout en s’adaptant à un environnement nouveau, dans un contexte marché ultra-concurrentiel et confronté à des usagers de plus en plus exigeants.

Dans un second temps, il s’agit de mettre sous contrôle des systèmes critiques intelligents, interactifs, et ce en temps réel afin de se prémunir d’attaques évolutives, de plus en plus sophistiquées et difficiles à anticiper.

Des concepts de cybersécurité connus… mais qui doivent tenir compte des contraintes propres aux systèmes embarqués

La course à l’innovation autour du véhicule connecté conduit à la mise en œuvre de plus en plus de services, ce qui augmente le niveau d’exposition du véhicule à de nombreuses menaces – adeptes du car tuning, hacktivistes, organisations criminelles, gouvernements etc.

La mise sur le marché de nouveaux modèles de véhicules pourrait être conditionnée par sa capacité à se protéger des cybermenaces. En effet cette protection pourra s’appuyer sur des incontournables de la cybersécurité tels que : la gestion des identités et des accès (authentification forte, infrastructure PKI…), la segmentation des réseaux et le regroupement par actifs critiques (Firewall, Gateway…), le chiffrement des données et des communications (via un réseau Ethernet, des environnements d’exécution protégés), la détection et la supervision des composants critiques (SIEM embarqué, sonde de sécurité IPS/IDS…).

Contrairement à un système d’information d’entreprise, un véhicule connecté est un produit contenant un système pouvant s’apparenter à un système d’information à espace fini, à prix fixe et en mouvement. Autant de contraintes différentes de celles d’un SI classique qui complexifient sa sécurisation. Celle-ci doivent être prises en compte au plus tôt, dès la phase de conception du véhicule :

• Le coût du véhicule – Des solutions cybersécurité connues certes, mais qui doivent néanmoins s’intégrer dans un système initialement mécanique/électronique où le coût de chaque pièce doit être justifié afin de ne pas trop augmenter le Prix de Revient à la Fabrication (PRF). L’important étant de maintenir un équilibre coût/risques acceptable pour garantir la sécurité de l’usager.

• La dimension et le poids du véhicule – L’encombrement et le poids sont les deux principaux ennemis des solutions de transport. L’intégration de composants embarqués et de modules de cybersécurité supplémentaires peut amener à une modification des architectures physiques des véhicules. Mais l’évolution d’un véhicule n’est pas aussi aisée que celle d’un système d’information classique ; au vu du contexte une approche modulaire permettant l’ajout de capacité hardware dès la phase de conception pourrait être envisagée.

• La capacité de calcul en temps réel – Selon la criticité des composants du véhicule, il pourra être décidé d’y sécuriser certaines communications (via chiffrement, signature). Une analyse fine et une priorisation des échanges à protéger sont préconisées, les mécanismes de cryptographie étant très consommateurs en ressources et puissance de calculs.

• L’expérience utilisateur – Les constructeurs automobiles ont toujours cherché à développer le concept de confort et de plaisir de la conduite. L’intégration de la cybersécurité dans le véhicule ne doit pas aller à l’encontre de ce principe et nombre d’utilisateurs ne sont probablement pas prêts à accepter la cybersécurité au détriment de leur expérience de conduite. Ainsi, il paraît difficilement envisageable de demander à un conducteur d’entrer un mot de passe à chaque démarrage du véhicule, encore moins de configurer un nouvel utilisateur pendant plusieurs minutes à chaque fois qu’il prête son véhicule. Les problématiques de cybersécurité permettent d’identifier de nouveaux usages et de se positionner au service de l’expérience utilisateur. Cela peut conduire au développement de solutions innovantes comme l’authentification de l’usager via smartphone ou la délégation de droits d’accès au véhicule via une application.

• La mobilité et la connectivité – La détection d’incidents et la supervision des composants critiques du véhicule nécessitent une disponibilité et une remontée des logs en continue.  Sachant qu’un véhicule en mouvement peut être amené à se retrouver dans une zone à couverture réseau limitée (voir nulle), ces problématiques de connectivité amènent à concevoir des systèmes de supervision et détection directement intégrés au véhicule. De manière générale, face à la perte de connectivité, la résilience doit être généralisée à l’ensemble des fonctions (cyber ou non) du véhicule.

• Le cycle de vie – La durée de vie peut varier d’un véhicule à l’autre, historiquement basée sur l’usure mécanique que subissent les voitures. Désormais le véhicule c’est aussi un ensemble de composants électroniques et de services qui doivent s’adapter à un cycle de vie long. Chaque système et solution informatique incorporés au véhicule doivent être conçus pour fonctionner et être supportés dans la durée. Le défi que devront relever les constructeurs est de contrôler l’obsolescence et maintenir en condition opérationnelle leur parc automobile. Le développement des systèmes de mise à jour Over-The-Air (OTA) deviendra une nécessité pour le déploiement des patchs et correctifs de sécurité.

Les principaux enjeux de cybersécurité

La (cyber)sécurité des véhicules n’est pas qu’une affaire de solutions techniques

Convergence de l’ingénierie automobile et du digital

Le croisement des univers de l’ingénierie et du service devient un sujet prioritaire chez les constructeurs automobiles, provoquant certains changements dans leur cœur de métier. La gouvernance doit évoluer en prenant en compte un certain nombre d’actions indispensables à la sécurisation de leurs véhicules et plateformes de services.

Il est important de s’assurer que la cybersécurité soit pensée et intégrée dans l’ensemble des étapes du projet tout en disposant des ressources et compétences nécessaires.

La mise en circulation d’un véhicule impose aussi de gérer lors de cette phase des problématiques de maintien en condition opérationnelle et de sécurité des systèmes développés, qu’ils soient embarqués ou débarqués (plateforme de services connectés). Ainsi les constructeurs opèrent dans un environnement qui les positionne, à la fois, en fournisseur de produit mais aussi de services automobiles.

On constate que le temps moyen de développement et d’intégration d’un véhicule est d’environ 3 à 5 ans, là où il faut quelques mois pour développer et mettre en production un nouveau service (connecté).

De fait, pour faire face à un marché toujours plus concurrentiel ; les architectures développées du véhicule doivent être en capacité de supporter l’approvisionnement régulier de nouveaux services tout au long du cycle de vie. Il sera nécessaire de garantir un maintien du niveau de sécurité, de sureté et de qualité du véhicule.

Ainsi, on peut logiquement s’attendre à une transformation des scénarios de développement et d’intégration, avec un véhicule qui voit sa plateforme devenir plus modulaire, plus évolutive pour réduire ce fameux « time-to-market ». Les services quant-à-eux se verront soumis à un développement Agile avec un temps de mise en production plus flexible afin que les mondes de l’ingénierie et du service soient de nouveau « synchronisés » et puissent travailler en synergie.

Le ruissellement de la cybersécurité des constructeurs aux fournisseurs

La question de la responsabilité en cas d’accident lié à une cyber attaque ou à un incident système devient également un sujet urgent à adresser. En effet, par défaut la responsabilité de l’accident serait attribuée au système assurant le déplacement sécurisé de la voiture. Le constructeur automobile, créateur du système, devrait en assumer la défectuosité (conformément à la partie responsabilité du fait des produits défectueux issu de la loi n°98-389 du 19 mai 1998). C’est pourquoi les constructeurs (ou OEMs – Original Equipment Manufacturer) auront la responsabilité de s’assurer que les fournisseurs de rang 1 (Tiers-1) et plus, s’engagent eux aussi dans une démarche d’intégration de la cybersécurité dans les produits fournis. La sécurité de bout-en-bout du véhicule ne pourra être assurée que par la déclinaison d’exigences de sécurité sur l’ensemble de la chaine fournisseur., intégrées dans les cahiers des charges, renforcées au sein des contrats et vérifiées à la livraison.

La problématique de la cybersécurité dans l’écosystème automobile est prise très au sérieux par les instances internationales et plus particulièrement par la Commission Economique pour l’Europe des Nations Unies qui entend faire de la nouvelle norme, l’ISO/SAE 21434, une base commune de référence que l’ensemble des acteurs de cet écosystème devront respecter. Cette norme encore en cours d’élaboration fera l’objet d’un prochain article.

Cet article Saga 3/3 : La sécurité des véhicules connectés, les réponses pour une transformation nécessaire ! est apparu en premier sur RiskInsight.

The major rating agencies, such as Moody’s and Standard & Poor’s, are well known to the general public—especially after the 2008 financial crisis. They now shape financial markets, de facto, through their generation of comparison grids, which are used, at global scale, to rate the solvency risks associated with companies.

And today, it’s clear that this approach of third-party organizations producing corporate ratings isn’t just limited to the financial sector: it’s gradually being extended into the sphere of cybersecurity.

Cyber rating agencies are now assigning “cyber scores” to companies which quantify the levels of cyber risk that companies are exposed to. The players doing this are mainly American (BitSight, Security ScoreCard, Panorays, and UpGuard, for example), but European start-up, Cyrating, also generates ratings by collecting and analyzing publicly available information, including:

• The vulnerabilities present on the company’s websites and the robustness of the TLS encryption in use;
• The reputation of the company’s public IP addresses, computed from a range of data, such as the number of complaints about spam, their appearance on blacklists used by internet and email service providers, bounce rates, etc.
• Whether corporate email address protection measures (such as DMARC, DKIM, and SPF) are in place;
• DNS analysis (whois, root and NS servers, verification of Start of Authority, MX records, etc.);
• Whether company data is present on the Dark Web.

Apart from this public-domain data, cyber rating platforms capture and analyze a large amount of exchanged data to determine, for example, , or the versions of browsers being used.

The algorithms used to do such analysis are particular to each cyber rating platform; and the platforms then monetizes the results by offering access to results as a subscription-based service.

Companies, then, get to know their rating by subscribing to a cyber rating platform service!

These scores are widely accessible, given that the rating can also be viewed by other players who subscribe to the platform. Firms can therefore compare themselves with competitors . Cyber insurers are also starting to take such ratings into account when calculating . But, more worryingly, it’s also easy to imagine that ratings might facilitate reconnaissance for cyber attackers, by helping them to target lower-rated companies—whose defensive measures are likely to be weaker.

Given all this, it seems essential that firms integrate the question of cyber ratings into their cybersecurity governance.

Some obvious limitations to the current cyber rating model

To put it bluntly, a large part of the cyber community has serious reservations about cyber ratings; this mistrust can be summarized in the following view:

“How much confidence can be placed in a security level assessment carried out by a third-party algorithm, using only a selection of the relevant parameters, and with no control mechanism for the quality of information collected? “

 There is still considerable work to do to perfect the model, which has a number of inherent flaws; these, if not addressed, risk rendering the rating irrelevant:

• doesn’t reflect a firm’s overall level of security. Many factors are ignored: internal network segmentation, system and data protection measures, detection capability, etc.;
• The rating can be “polluted” by false positives: IP addresses or domain names that do not belong to the company (registration errors), traffic originating from sandboxes considered to be malicious, etc. This therefore requires the to carry out a degree of detailed work (the sorting of IP addresses, excluding certain data) in order to obtain as accurate a result as possible;
• A lack of transparency about rating algorithms makes it difficult to evaluate the elements that have led to a given score, and to identify parameters where corrections are needed.

It’s misleading to reduce a company’s entire level of security to a single score. Moreover, in the future, it wouldn’t be surprising to see players like Qualys propose the taking into account of the results of internal tests conducted on a company’s IS, in order to refine its rating system.

A wide range of use cases

However, these limitations shouldn’t obscure the opportunities offered by subscribing to a cyber rating service.

The main argument advanced by cyber rating players is that a score represents a powerful and easy-to-understand indicator for senior management—a concept already well-established in finance but still lacking in cybersecurity. An improvement in the rating could also be used to justify and quantify the effectiveness of any corrective action plan applied to the company’s IS services.

In addition, cyber rating platforms make it possible to see how all the companies that have been assessed score, which enables a company to:

• Calibrate its performance against competitors on a common basis; and, potentially, to make an asset of cybersecurity for marketing purposes;
• Assess its suppliers’ levels of cybersecurity maturity on a more objective basis than that of questionnaires completed for a Security Assurance Plan.

Cyber rating: an essential issue for companies

Given the challenges firms face, and the opportunities on offer, it seems inevitable that cyber ratings will take off, something noted by ANSSI (the French National Cybersecurity Agency) in its strategic review of cyber defense: ” The major players in the field will therefore become benchmarks whose market position will be difficult to challenge.”

Despite the current limitations, it’s vital that companies—some of whom are already talking about giving countries financial-sector-type cyber ratings—identify how such ratings could be used as an asset increase awareness about cybersecurity among senior management, without, of course, stigmatizing .

Cet article Cyberating: more than just a rating, a vital aspect of governance est apparu en premier sur RiskInsight.

Meanwhile, the ecosystem within which data develops is becoming continually more complex. Indeed, information systems, which are in the full throes of transformation, are opening up to the outside world, becoming interconnected with numerous public cloud services, and creating escape routes for the company’s data.

A diversity of events can result in a data leak: employee negligence, internal fraud, third-party hacking etc. and the routes out are just as varied: email, Shadow IT, USB sticks, printers, etc. When an incident occurs, the consequences can be significant. The media take pleasure in persistently highlighting cases of hacking that have resulted in data leakage from major companies, something that permanently damages corporate reputations. The associated financial losses can also be significant, compounded by regulatory penalties and lost confidence on the part of customers and partners.

 Today’s IS: a complex ecosystem that can open many doors to data leaks

DLP, an under-used – but eminently feasible – approach

The major challenge that data leaks represent is not, however, insurmountable. Some companies, including banks, have taken the lead in this area, compared with other sectors, in deploying tools to avoid data leaks that come under the heading of Data Leak Prevention (or Data Loss Protection—DLP). These tools enable them to track sensitive data and apply rules that control data flows, in line with defined policies. These rules can be applied at terminal level (workstations, servers, etc.), application level (Office 365, etc.) or network level (proxies, etc.).

Implementing such solutions, however, requires a rigorously-designed project involving both the Information Security Department and the company’s business functions. Three main factors can be used to reduce the complexity involved in this approach:

The issues that need to be addressed, and the corresponding technical solutions, in such a project, will depend on corporate objectives aimed at mitigating the risk of data leakage, as well as the level of current practices and classification methods.

It’s also imperative, when implementing DLP solutions, to preserve the user experience: users should not expect to see their activities impacted by new protection mechanisms. Therefore, security objectives must take into account the needs of the business, which may require sensitive information to be exchanged with the outside world.

The recipe for a successful DLP project

Firstly, selection of the DLP tool should be based on the objectives defined at the start of the project, in terms of the structure of the data to be protected and the channels of exchange to be analyzed.

Some market solutions are highly mature when it comes to detecting whether data is sensitive, regardless of the data structure or transmission channel. The detection of structured data is simpler because it’s easier to characterize (for example: a social security record, or credit card number, have a defined number of digits). For unstructured data (which comprises 80% of all data, according to Gartner), detection can be based on the analysis of the metadata introduced during classification.

Next, the project should be framed to define and formalize the four essential areas of a DLP project, which are the keys to success in deploying the solution:

Mapping sensitive data and defining the associated protection rules

Where a company has already mapped data and processing activities that are considered sensitive—as well as what it deems legitimate flows—this can serve as a basis for the development of the DLP policies and detailed protection rules during the project.

If such mapping has not been carried out, a DLP project cannot succeed without strong involvement from the business functions. The project team will need to connect with the relevant departments and activities, to identify the sensitive data and the associated processing activities. This initial analysis will enable the demarcation of legitimate processing, storage, and transmission channels, both internal and external, to be separated out. And doing it successfully will mean working closely with key contacts from the various departments who will need to be interviewed to gather the information needed.

Following this, the project team can create the DLP policies to cover scenarios that represent data leaks.

Feedback from major corporates, however, shows that a key success factor in such projects is knowing how to pick your fights; it’s unrealistic—at least at first—to try to implement all potential DLP policies. Implementing good coverage of the company’s most critical data will already demonstrate a satisfactory level of maturity compared with current norms.

The identification of the legal and regulatory requirements associated with the processes being analyzed

The regulations that apply to sensitive data, such as personal data (for example national information processing laws, the EU’s GDPR, etc.) impose specific limits on the extent that such data can be legitimately processed. Moreover, companies operating in an international context have to comply with local regulatory frameworks, of which each has its own particularities. This results in a diversity of rules to be followed concerning data processing.

When it comes to legal compliance, it’s important to take the advice of the company’s own legal and compliance departments, as well as the various international entities who can approve the analyses and protection rules to be applied to the data.

The main points to be addressed during this regulatory due diligence are the processing of personal data, the notification of users about the processing being carried out, the place that the processed data is stored, and the transfer channels used.

Defining the process for managing data leak incidents

The operational implementation of previously considered DLP scenarios then requires the project team to define the resources and processes that will be set in motion when a data leak is detected. These will, of course, need to be tailored to the company’s incident management processes:

• Who will receive the alerts related to potential data leaks (the SOC (if there is one), a dedicated team linked to a business function, etc.)?
• What resources are to be put in place during the investigation of an impacted area (for example, in the event of a highly sensitive area being affected, will an inquiry need to maintain a certain level confidentiality)?
• Depending on the level of criticality, which hierarchical and operational levels should be made aware?

Unlike technical security incidents, it may be important to integrate relevant business teams, or the security manager of the part of the business in question, into the process in order to define the criticality of a data leak and its scope. In cases involving structured data, criticality can be evaluated simply, using correspondence tables, but the thinking required is of a completely different nature when unstructured data is involved (for example, an email from a company manager or a document related to a confidential project).

Strong sponsorship will also be required to ensure that the objectives and methods implemented under DLP are approved by the various business functions, the HR department, and employee representatives.

Implementing a tool tailored to the scenarios defined

Along with the definition of the incident management process, the supervision model and choice of tools must also be fleshed out. In addition to being able to address the detection scenarios defined, the tool selected will need to comply with certain prerequisites specific to the company’s ecosystem, as well as with the results of the regulatory due diligence performed. The criteria for the choice of technical solution should include the ability to:

• Integrate it with SOC tools (SIEM, etc.), and ideally with other enterprise security solutions (proxy, encryption tools/DRM, etc.);
• Tailor it to the business environment (collaborative platforms, file servers, etc.);
• Take into account the diversity of IT assets and the information system in case of deployment of add-on or application.

In addition, the effective implementation of a DLP strategy must, as an imperative, cover all channels of exchange and business use cases, in order not to leave any backdoors open (for example, installing a DLP tool at server, mail, and file levels, while leaving USB ports unprotected).

The four pillars of DLP

Implementing the solution doesn’t mark the end of the interest in data leak prevention: the DLP process must be part of a process of continuous improvement. The study of false positives and alerts should lead to regular reviews (at least every six months) to improve the detection scenarios in use. To do this, it’s good practice to anticipate, right from the beginning of the project, the associated resource requirement from Run teams, and to start with the basic scenarios.

It also makes sense to incorporate the DLP project’s objectives within a larger program to address data protection, including the review of file server rights and permissions, authentication with conditional access, and the integration of supervision with SOC and the encryption of files and applications.

Cet article DLP: how to avoid leaks without having to plug any holes est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

Tout nouveau prestataire, même de bonne foi, risque de ne pas tirer tout le potentiel que lui offre une phase de réversibilité. Pire, les équipes entrantes peuvent perdre progressivement la motivation des débuts en essuyant les plâtres d’une situation transitoire pesant généralement sur la qualité de service et la satisfaction client. Comme nous l’avons vu, il est essentiel que DSI et fournisseurs partagent un cap clair et un plan de transformation maîtrisé et suivi.

Voici quelques recommandations pour suivre et piloter avec rigueur les différentes phases de réversibilité et ainsi s’assurer de la bonne exploitation par chacune des parties de cette opportunité.

Considérez la réversibilité comme un projet : gouvernance, indicateurs et objectifs clairs

Les prestataires s’entendent généralement sur un point pour limiter leurs coûts respectifs : la réversibilité doit se jouer rapidement. Aussi les deux entités auront tendance à naturellement minimiser les risques qu’ils perçoivent. Pour le reste il est parfois périlleux de réussir à faire travailler les deux potentiels concurrents ensemble.

Face à ce phénomène, il est indispensable de cadrer une gouvernance précise :

• des comités de suivi et de pilotage tripartites tenus à fréquence régulière ;
• un chef de projet client et des référents de transition pour chaque partie prenante
  ceux-ci-devront être assistés, pour chaque domaine ou service d’un coordinateur expressément nommé et responsable de transmettre les informations et suivre le bon avancement ;
• des indicateurs de mesure de la réversibilité basés sur des éléments concrets – ne vous reposez pas uniquement sur les retours des parties prenantes pour juger du bon déroulement de la transition ;
• une méthodologie et des outils de transition partagés avec les parties prenantes pour régler l’ensemble des cas de figure et assurer les transferts de responsabilité en minimisant l’impact sur les services ;
• ainsi que des objectifs mesurables à atteindre par paliers (critères de bascule).

Il est important ici de noter qu’un chef de projet externe pourra plus facilement endosser un rôle d’arbitre ou de facilitateur entre les parties, piloter la bonne livraison des différents documents et en contrôler la qualité avec un regard extérieur.

Autre clé de réussite : le management devra se montrer assidu dans le suivi de la transition afin de souligner l’importance et le risque d’un tel projet. Un reporting régulier et complet doit être fait par les parties prenantes afin d’assurer l’engagement et la responsabilisation de chacun.

Exigez des garanties et plus de transparence aux prestataires

Les acteurs sont encore peu enclins à accorder un impact financier au respect des objectifs de la réversibilité. La tolérance est généralement de rigueur vis-à-vis du repreneur et appliquer des pénalités dès l’initialisation n’est pas de bon augure pour le maintien de bonnes relations. Il est donc primordial d’obtenir a minima la plus grande transparence sur les coûts de la transition.

Obtenir un niveau de granularité des coûts par livrable ou par activité permet plus facilement de les comprendre et les discuter voire de les revoir à la baisse si les résultats ne sont pas probants. Échelonner le versement d’un pourcentage du montant de la réversibilité dans le temps et ne l’activer que si les objectifs sont atteints peut-être un levier de performance très efficace.

Le prestataire sortant doit également avoir intérêt à rester investi pendant la durée de la réversibilité. En mettant en place un plan B en cas de prolongation de la phase du fait du repreneur, vous laisserez la possibilité au prestataire sortant de jouer les prolongations. Il tirera donc avantage à être franc en cas de risque sur la qualité de service.

Préparez vos équipes et vos donneurs d’ordres

La transparence est l’affaire de tous. Qu’il s’agisse d’un « simple » changement de prestataire ou d’une plus importante transformation, une réversibilité doit être accompagnée d’une communication claire auprès du Métier : quels sont les objectifs de la démarche ? Quels sont les gains de niveaux de services espérés ? Autant de points qui doivent être partagés lors des préparations d’appels d’offres afin de valider avec les clients les potentiels impacts directs ou indirects (plages horaires, langue de travail, méthodologies, etc.).

De la même manière, cette étude d’impact anticipée, doit permettre de préparer les ressources internes au changement : séparation des activités, sensibilisation au pilotage de fournisseurs, apprentissage de méthodologies et référentiels de bonnes pratiques, impacts d’externalisations et de délocalisations hors site, formations interculturelles en cas de délocalisation en offshore.

La préparation de tous les acteurs, la fixation d’objectifs mesurables et leur pilotage à l’aide d’une gouvernance adaptée sont donc essentiels pour ne pas avoir à subir la réversibilité, mais bien tirer profit de ce service souvent coûteux. De surcroît, exigences de transparence et efficacité des indicateurs sont également à anticiper pour un meilleur pilotage des services en mode nominal.

Cet article Tirer profit d’une phase de réversibilité et d’initialisation : une question d’engagement et de transparence est apparu en premier sur RiskInsight.

À quoi servent alors les phases de réversibilité ? Formations du repreneur, vérification de son aptitude à réaliser les services, transferts de connaissances, transformations des pratiques, initialisation des nouveaux services ? Bien souvent elles se résument à un passage de relais ou une simple transmission d’actifs.

Il est aujourd’hui clair que les réversibilités ne sont utiles que lorsque l’on se donne les moyens d’exploiter leur potentiel et donc de bien les préparer. Pour gagner en efficacité il semble judicieux de prévoir d’appliquer certaines bonnes pratiques et de demander de vraies garanties aux fournisseurs de services. Voici en une série de 3 articles quelques conseils pratiques pour mener à bien votre réversibilité.

Définir une stratégie de sortie avant même de s’engager

La réversibilité désigne les engagements pris par un prestataire pour assurer la transmission des informations nécessaires à la reprise des services ou à leur transmission à un tiers ainsi que le transfert des actifs qui ont été confiés au prestataire ou qui ont été produits pour le compte du client.

Préparer une réversibilité c’est aussi assurer le caractère réversible de la position du fournisseur tout au long du contrat. Celui-ci doit garantir la transférabilité des prestations qu’il propose en mettant en place, autant que faire se peut, des solutions aux standards du marché et en garantissant l’interopérabilité des données traités. Ces points doivent donc être discutés et contractualisés avant toute prise d’engagement.

Moins fréquemment abordés en phase de contractualisation, les modalités pratiques de la phase de réversibilité ne sont pas moins importantes : Qui est responsable de la formation du repreneur ? Qui est responsable du bon déroulement du projet ? Quels sont les critères de bascule en phase nominale ? Quels sont les critères justifiant d’une sortie anticipée du contrat ou impliquant le passage à la table des négociations ?

Réversibilité : des  premiers mois décisifs

En conséquence, même si les conditions générales de réversibilité ont été impérativement posées dans l’appel d’offres et le contrat, une première version du plan de réversibilité doit impérativement être entérinée au début de phase nominale.

Ce principe s’explique principalement par la nécessité d’assurer la qualité du plan et les modalités de transfert avant que le prestataire ne soit certain de sa non-reconduction. Bien que d’un point de vue juridique il sera tenu d’assurer le transfert de flambeau, un fournisseur « sortant » sera moins enclin à accepter les désidératas du repreneur ou du client concernant l’organisation détaillée de la phase de réversibilité.

Outre ces considérations commerciales, valider une première version d’un plan de réversibilité dès la transition permet d’initier une dynamique d’amélioration continue du document et un plan d’actions concret à dérouler dans le temps.

Une préparation dans la durée nécessaire pour une transition sans risques

Les efforts fournis par les prestataires entrants en phase d’initialisation et la motivation des premiers travaux sont l’occasion d’établir :

• une liste des sujets à adresser dans le temps pour améliorer les conditions de réversibilité des prestations ;
• un état des lieux précis des inventaires d’actifs matériels et immatériels ;
• une étude sur la complétude et la mise à jour des référentiels documentaires.

Cependant, cette démarche n’est possible que si le prestataire s’engage à mobiliser ses acteurs dans la durée pour réaliser des mises à jour biannuelles du plan d’assurance qualité et plan de réversibilité.

Se fixer pour objectif de sécuriser la réversibilité dès les premiers jours de la prestation ne remet pas en question la relation de partenariat naissante entre deux acteurs économiques. C’est au contraire un moyen de sécuriser la relation dans la durée en adressant certains principes essentiels au quotidien comme la formation continue des équipes et le maintien des compétences.

Pour les mêmes raisons il est conseillé de maintenir la pression sur les activités gestion de configuration tout au long du contrat : maintien d’une documentation et de bases de données à jour, mise au clair de la gestion des licences si nécessaire, élaboration au fil de l’eau de supports de formations et d’un plan d’assurance qualité décrivant les processus applicables, etc. Les efforts fournis par les prestataires entrants et les clients permettent d’améliorer la prestation rendue, sa documentation et, par ricochet, ils facilitent le transfert de responsabilité.

En tout état de cause, les conditions de réversibilité des prestataires sortants doivent être maîtrisées et les contraintes connues avant la décision de lancer un nouvel appel d’offres, le choix de lancer un nouveau prestataire ou de mettre en place une nouvelle technologie. Pour cela il est vivement conseillé de faire jouer les clauses d’audit pour vérifier les bonnes conditions de réversibilité avant de lancer un appel d’offres. La mise en place d’un plan d’actions suite à un audit sera l’occasion pour le prestataire de se mettre à niveau et de prouver sa motivation pour voir son contrat renouvelé de gré à gré.

Cet article Plan de réversibilité : comment se préparer à changer de fournisseur ? est apparu en premier sur RiskInsight.

L’arrêté du 3 novembre 2014 sur le contrôle interne abroge le règlement n°97-02 du CRBF. S’il reprend en grande partie la totalité des dispositions du précédent règlement en matière de contrôle interne, les principales modifications concernent notamment la gouvernance et plus précisément la mise en place de comités spécialisés.

Jusque-là restée à la seule discrétion des établissements, l’ordonnance n° 2014-158 du 20 février 2014 a donné une base légale à la constitution de tels comités par les établissements d’« une importance significative ». Ainsi, une nouvelle sous-section 4 est introduite à la section relative à la gouvernance des établissements de crédit et des sociétés de financement du Code monétaire et financier.

L’ordonnance a laissé le soin à un arrêté de préciser le critère d’établissement d’« importance significative ». C’est chose faite aux articles 104 et 105 de l’arrêté du 3 novembre 2014. Aussi, tout établissement dont le total de bilan social ou consolidé est supérieur à 5 milliards d’euros doit constituer un comité des risques, un comité des nominations et un comité des rémunérations. Le règlement 97-02 faisait déjà référence aux comités de risque et de rémunération.

Le régime juridique de ces comités est posé aux articles L511-89 et suivants du Code monétaire et financier.

La mise en place obligatoire des comités de direction

Dans la pratique française de la gouvernance, l’instauration de tels comités satellites aux organes de direction correspond à une simple modalité de fonctionnement de ces organes. Il s’agit, en effet, de comités de support remplissant essentiellement une fonction de conseil.

Ainsi, le comité des rémunérations a en charge de préparer les décisions concernant les rémunérations, de contrôler directement la rémunération du responsable de la fonction de gestion des risques et, le cas échéant, du responsable de la conformité. Il procède également à un examen annuel des principes de rémunération de l’entreprise, des rémunérations, indemnités et avantages accordés aux mandataires sociaux ainsi que de la politique de rémunération des salariés dont les activités professionnelles ont une incidence significative sur le profil de risque de l’entreprise.

Le comité de nomination, pour sa part, évalue les connaissances et compétences des membres des organes de direction, fixe un objectif de parité entre hommes et femmes à atteindre, examine les politiques relatives à la sélection des directeurs généraux et des personnes responsables de la conformité et de la fonction de gestion des risques. De plus, il s’assure de l’équilibre des pouvoirs entre les différents membres des organes de direction.

Le comité des risques a pour mission de conseiller et d’assister les conseils d’administration, les conseils de surveillance et tous les autres organes exerçant des fonctions semblables dans l’élaboration et la mise en œuvre de la stratégie de l’établissement en matière de risque.

La constitution d’un comité d’audit reste une obligation. Ses missions concernant le dispositif du contrôle interne sont transférées au comité des risques. Le comité d’audit a dès lors pour unique fonction de garantir la fiabilité de l’information financière.

Le caractère consultatif affirmé des comités

Les comités restent dépositaires d’une délégation de pouvoirs par les organes de direction. Ils sont constitués par ces organes qui fixent leur composition à partir des membres des conseils d’administration, des conseils de surveillance ou de tout autre organe exerçant des fonctions de surveillance équivalentes. Néanmoins, les membres des comités spécialisés ne doivent pas exercer de fonction de direction au sein de l’établissement. L’absence d’indépendance qui les caractérise renforce leur nature consultative. Toutefois, ils peuvent recourir à des experts externes pour les conseiller dans leurs missions.

Cet article Les comités spécialisés : articles 104 et 105 de l’arrêté du 3 novembre 2014 est apparu en premier sur RiskInsight.

Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?

Des outils aux fonctionnalités très étendues

Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.

D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :

Une polyvalence capable de répondre aux besoins du RSSI

Chaque module des outils de GRC peut être utilisé dans une logique SSI.

• La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
• Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
• Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.

De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).

Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.

De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.

Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place

Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :

• La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
• Le lotissement doit être progressif  : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
• La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit,  Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.

Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur  un cadre unique.

Cet article Les outils de GRC : une opportunité d’industrialisation de la gouvernance SSI ? est apparu en premier sur RiskInsight.

Mais les résultats de ces démarches sont très hétérogènes. Définir des processus n’est pas une fin en soi et il faut continuellement en vanter les apports. Comment gagner en légitimité auprès des opérationnels et du management ? Quel timing adopter pour réussir les déploiements ?

Avancer pas à pas pour atteindre les objectifs

Une énergie considérable est nécessaire pour définir des pratiques idéales, conformes à l’état de l’art et aux besoins. Cet effort est souvent réalisé au détriment d’une réflexion sur l’applicabilité effective des processus. À l’inverse, chercher à adopter une démarche rapide top-down  de transformation des processus peut avoir pour effet de frustrer les opérationnels en les privant d’un temps de compréhension et d’apprentissage.

Par ailleurs, les « bibles » de référentiels de processus sont rarement consultées et souvent complexes à comprendre. Aussi, s’il faut déterminer une cible idéale, il ne faut pas perdre du temps à l’élaborer dans ses moindres détails. Progresser en « gagnant du terrain » est déjà un bon objectif.

Il est donc conseillé d’appliquer 3 règles d’or :

• Définir un socle d’exigences pour lesquelles le management doit être intransigeant.
• Laisser une marge d’adaptabilité aux besoins spécifiques et promouvoir une démarche collaborative d’amélioration continue du processus.
• S’assurer que les processus sont atteignables c’est-à-dire compris, applicables et mesurables.

Le résultat de déploiements de processus se mesure ainsi par l’atteinte d’améliorations concrètes sur le terrain.

Une gestion de projet par exemple n’est pas conçue de façon identique qu’il s’agisse d’infrastructures ou d’applications. Cependant, le socle de pratiques communes peut se limiter à la définition de l’ossature commune du processus ainsi que l’intégration de normes imposées par le contrôle interne ou encore la sécurité. L’application du processus encourage ainsi les travaux transverses et permet aux acteurs de s’assurer de respecter l’ensemble de la règlementation.

Réussir la conduite du changement, c’est aussi s’assurer que les acteurs savent et peuvent faire ce qui est leur est demandé. Aussi, il est essentiel de mener une réflexion parallèle sur le déploiement des bons outils permettant d’appliquer et de suivre le changement. Un outil de gestion de projet et de portefeuille par exemple doit non seulement offrir des opportunités d’amélioration du processus mais aussi agréger des données pour mesurer l’activité de la DSI. Les indicateurs permettent aussi de s’assurer du soutien managérial nécessaire dans la durée.

Poser la gouvernance après les premières évolutions

Cette approche des « petits pas » se fera au détriment de l’impact que peut avoir un grand projet marquant les esprits. Il faut compenser cela par une communication claire et régulière sur les objectifs et les acteurs. Pour ne pas perdre de crédibilité au gré des déploiements qui se suivent et des processus qui ne sont pas définis dans leurs moindres détails, la démarche d’amélioration continue des processus doit être partagée et admise par tous.

L’équipe processus transverse chargée de faire vivre cette transformation dans la durée doit donc affirmer son identité, animer la communauté d’un tissu de contributeurs et intégrer aux travaux les acteurs les plus influents et ceux ayant développé des « outils maison ». Il est d’ailleurs conseillé de commencer par fédérer autour d’un processus concernant plusieurs acteurs sur plusieurs sujets comme la gestion des demandes clients et d’investir dans des moyens de communication à décliner pour chaque déploiement (newsletters, outils collaboratifs, livrets synthétiques imprimés, etc.)

Avec sa montée en notoriété progressive, « l’équipe processus » devient naturellement un centre de services pour les entités ayant besoin d’un appui sur le sujet. Lorsque les premiers déploiements ont fait leurs preuves, son intervention devient naturellement indispensable pour la légitimation de l’ensemble des initiatives et la garantie de prise en compte des aspects transverses.

La démarche processus s’ancre progressivement dans les pratiques. L’élaboration d’un référentiel de processus, d’une cartographie et de normes de formalisation partagées devient alors nécessaire pour maîtriser les transformations et leurs impacts.

Le déploiement de processus communs n’est effectivement pas une fin en soi mais la mise en commun de moyens, de pratiques et d’outils de mesure permet la production d’indicateurs transverses et un pilotage plus fin de l’activité. À ne pas négliger donc.

Cet article Évolution par les processus : quelles clés pour réussir ? est apparu en premier sur RiskInsight.

Architecture d’entreprise : 4 raisons d’entreprendre la démarche

1. Rationaliser les coûts – C’est là le leitmotiv récurrent, les réponses étant à adapter au niveau de maturité de l’entreprise. Forte de la réponse globale (infrastructures, applications ou processus de gouvernance) qu’elle peut apporter, l’architecture d’entreprise y contribue fortement. Ce sont néanmoins principalement les couches dites « basses » du SI qui bénéficient de cette logique de rationalisation grâce à la définition et à la mise en œuvre de socles techniques. Seules les entreprises les plus matures sauront réussir leurs tentatives de rationalisation des couches dites « hautes » (notamment en termes de services métiers comme le promettaient les démarches SOA).

2. Connaître l’existant – Connaître son SI accélère la phase d’analyse de l’existant préalable à toute étude dans le cadre d’évolutions métiers ou technologiques. L’architecture d’entreprise permet d’accéder à cette vision globale du SI et de l’entreprise et donc de gagner en réactivité. Par exemple, l’évolution majeure du poste de travail ou de l’infrastructure demande une bonne connaissance du parc applicatif pour définir la stratégie de migration.

3. Définir la cible SI – Définir une cible SI pour répondre au mieux aux enjeux stratégiques de l’entreprise est, malgré les apparences (« c’est trop théorique ! »), un exercice de projection essentiel qui permet de poser les 1ers jalons de réalisation du SI qui serviront à valider au fur et à mesure les orientations des différents projets.

4. Être force de proposition vis-à-vis des Métiers – Restreindre la DSI à un ensemble de techniciens est monnaie courante. Pour briser cet a priori, la DSI doit apprendre à se positionner vis-à-vis des Métiers. L’architecture d’entreprise permet à la DSI notamment d’instaurer un dialogue dans la durée (pour mieux comprendre les besoins et contraintes des Métiers). Par ce biais, la DSI peut jouer un rôle de conseil en vulgarisant pour les Métiers les nouvelles technologies et leurs apports. Loin du simple fournisseur de solutions techniques, elle devient incubateur d’innovation pour les Métiers ! 

L’architecture d’entreprise en pratique : étapes de mise en œuvre

Il est bien entendu essentiel de définir les contours d’une 1^ère version de la démarche. Une entreprise et son SI sont souvent représentés en couches (stratégie, métier, fonctionnelle, applicative et technique), l’architecture d’entreprise se concentrant sur les trois dernières. Il est illusoire de vouloir s’attaquer de but en blanc à l’ensemble des couches. Aussi faut-il choisir ses combats en se concentrant sur les faiblesses de l’entreprise et sur certains quick wins.

Par la suite, il faut mettre en place une organisation et des process.

• Définir des rôles clés s’avère incontournable. Créer le rôle d’architecte d’entreprise est indispensable. Il est celui qui saura allier connaissance du SI et du Métier, celui qui saura le mieux dialoguer avec toutes les parties prenantes, au-delà de son expertise technique. Un deuxième rôle qu’un sponsor de haut niveau est indispensable pour légitimer ce rôle dans l’entreprise et l’inscrire dans la durée.
• Construire et mettre à jour le référentiel est aussi rapidement nécessaire. Élément clé de toute démarche d’architecture d’entreprise, il comporte notamment un ensemble de cartographies du SI (fonctions SI, applications, services applicatifs, éléments techniques, objets métiers…) qu’il faudra enrichir, un catalogue des solutions applicatives et techniques référencées (ensemble des composants validés et recommandés par la DSI pour constituer les réponses SI aux besoins métiers ou techniques) ainsi que différents patterns d’architecture. Attention néanmoins : se noyer dans trop de détails est préjudiciable à la pertinence du référentiel d’architecture et augmente les chances de ne pas être à jour. À l’inverse, un manque d’informations peut nuire aux besoins des projets SI.
• Mettre en place un process de veille et d’innovation doit également permettre à la DSI de capter les nouveaux usages et d’en expliquer les enjeux et contraintes aux Métiers pour ne plus les subir.

Seules des instances de gouvernance transverse sauront par ailleurs soutenir ces différents process. Il s’agit d’établir un dialogue récurrent avec les Métiers avec pour ordre du jour partage des contraintes, présentation par la DSI des sujets d’innovation technologique (économies réalisées, diminution du temps de mise en production d’un nouveau produit…), etc.

Pour autant, tous ces process ne sauront être efficaces si la DSI n’arrive pas vendre son projet d’architecture d’entreprise en interne ! Deux types d’acteurs sont à convaincre de l’intérêt de la démarche : les Métiers, à qui il faut très clairement expliquer qu’il ne s’agit pas de « marcher sur leurs plates-bandes » mais de mieux les accompagner, et les acteurs de la DSI elle-même qui, pour certains, pourraient l’interpréter comme une façon d’être contrôlés. Il faut au contraire convaincre ces derniers de l’accès à des activités stratégiques à plus forte valeur ajoutée (et comprenant plus d’interactions avec les Métiers de l’entreprise).

Aussi, inutile de se poser la question ! Vous n’avez aujourd’hui plus le choix et devez vous lancer dans une démarche d’architecture d’entreprise. Les évolutions majeures que vit ou va vivre votre entreprise amènent naturellement à lancer ce type de démarche. Autant éviter la marche forcée et accompagner le changement en douceur ! C’est la garantie d’une amélioration sensible de vos relations avec les Métiers.

Pour lire d’avantage sur l’architecture d’entreprise cliquez ici.

Cet article Et si l’architecture d’entreprise permettait enfin de briser la glace avec les Métiers ? est apparu en premier sur RiskInsight.

Différentes contraintes à prendre en compte pour assurer le succès d’un projet

Tout au long de la vie du projet, la prise en compte des contraintes du run doit tendre à s’affiner au fur et à mesure que se précise la vision de la cible attendue. De cette analyse doit alors découler un plan d’actions permettant d’anticiper la future arrivée en production du projet et d’y préparer les équipes de run.

Cette attention est déterminante dans le succès d’un projet informatique et surtout dans la pérennité de son exploitation car c’est un prérequis indispensable :

• Dans l’identification des sujets centraux du transfert de connaissance vers les équipes de run ;
• A l’acquisition de toutes les compétences requises pour la bonne exploitation du futur système par ces mêmes équipes ;
• A la définition de modalités de « service management » claires et partagées.

Impliquer les équipes de run : clé de réussite du passage du build au run

Bien sûr, le passage du build au run se prépare à travers une bonne documentation du projet – et de préférence une documentation validée par les équipes d’exploitation –, par la définition et/ou la contractualisation de services auprès de l’exploitant, par l’implémentation d’une matrice de rôles et responsabilités claire et complète et enfin par la mise en œuvre progressive de processus de gestion des incidents, des demandes et des changements.

Cependant, le véritable succès de ce transfert des équipes de build vers les équipes de run réside aussi – et surtout – dans l’implication des équipes de run dès la phase de design du projet afin d’influer sur l’architecture du système, d’améliorer le coût de son cycle de vie et de prévenir les risques liés à son exploitation.

Mais comment impliquer les interlocuteurs du run dans le projet ? Sachant que les équipes de build et celles de run sont généralement issues de direction différentes. Qui est supposé diriger qui ? Qui est force de décision sur le projet ? À quel moment se fait la bascule du pouvoir de décision ?

Quelques bonnes pratiques de DSI pour mobiliser les équipes de run

Autrefois, la réponse d’une DSI à l’implication du run dans le projet passait par la désignation d’un ou plusieurs interlocuteurs privilégiés au sein de ces équipes de run. Ces « référents » avaient en charge d’assurer la coordination avec les équipes de build et d’acquérir dans le même temps toute la connaissance projet. Mais très vite, ces collaborateurs devenaient des points de contention, leur implication créant un problème de gouvernance récurrent : qui les pilote ?

Aujourd’hui, d’autres réponses émergent. Parmi les plus judicieuses, résident notamment :

• La création d’équipes projet « mixtes », composées autant de personnes venues du build que de personnes venues du run  et détachées sous une direction unique ;
• La création d’instances de gouvernance autour de l’architecture impliquant à la fois les responsables de run et du build pour assurer la prise en compte des contraintes d’exploitation dès la phase de design du système ;
• La réalisation de Proof of concept (POC) pour éprouver les modalités de service management : l’ensemble de mon processus est-il clairement maîtrisé et connu de tous ? Les différentes parties prenantes sont-elles bien définies et en capacité de réaliser leurs actions ?. Ce POC permet également de faciliter la montée en compétences des interlocuteurs de run sur la prise de décision : quoi faire et dans quel cas ?
• La mise en œuvre de périodes probatoires à l’issue de la mise en production pendant lesquelles les équipes de run prennent progressivement la responsabilité du système tout en conservant un support des équipes de build ;
• La mise à disposition de socles normalisés portés par des offres de services standardisées permettant d’inverser le problème : il n’appartient plus au run de répondre aux exigences du build. Au contraire, il devient de la responsabilité du projet de s’inscrire dans les standards d’exploitation définis.

Quelles que soient les approches adoptées, celles-ci visent toutes le même eldorado : trouver le parfait équilibre entre objectifs du build et contraintes du run… et ainsi assurer la réussite totale du projet !

Cet article Le passage du build au run : un sujet trop souvent négligé ? est apparu en premier sur RiskInsight.

Aujourd’hui, les entreprises sont confrontées à une vague de transformations majeures qui les poussent à centraliser au niveau « groupe » des services IT (services utilisateurs, services applicatifs, services techniques) originellement placés au niveau des entités.

Voici trois bonnes pratiques à étudier avec attention pour réussir la mise en place de vos offres communes de services informatiques.

Bonne pratique 1 : s’appuyer sur un élément déclencheur pour lancer la dynamique

Plusieurs éléments déclencheurs favorisent le lancement de cette initiative :

Une contrainte budgétaire : dans un contexte de ralentissement économique, la DSI doit maîtriser ses coûts et  dégager des marges de manœuvre. Les services « groupe » offrent justement un levier de mutualisation et d’économies d’échelle.

• Une transformation du SI : la mise en place d’un projet de transformation (applicatifs ou infrastructures) doit faciliter les actions de mutualisation des services.
• Des processus métiers communs : il n’est pas rare, au sein des entités d’un même groupe, que les applications et infrastructures utilisées soient différentes, alors que certains besoins sont similaires.
• Une croissance externe, comme une fusion/acquisition, où la question du rapprochement des SI et de leurs modalités d’intégration se pose.

Bonne pratique 2 : impliquer les entités dans la phase de construction pour garantir leur adhésion future

Plutôt qu’une démarche de type top-down, consistant à élaborer en central des services à destination des entités, il est recommandé d’adopter une approche collaborative. La constitution de groupes de travail autour de thèmes (datacenters, environnement de travail…), composés de représentants opérationnels issus des Métiers, garantit une conception de services en adéquation aux besoins tout en veillant à converger vers des services communs. Cela permet également de sécuriser les adoptions futures des services par les entités.

Bonne pratique 3 : mettre en place des dispositifs d’accompagnement pour réussir le déploiement

• Un sponsorship de la Direction générale est indispensable. Cette dernière doit être impliquée dès le début et apporter son soutien dans la durée. Comment ? En communiquant notamment sur les avantages de la mutualisation et en facilitant la diffusion d’une culture groupe !
• Pour anticiper au plus tôt les impacts d’une centralisation des activités réalisées jusqu’alors en local, un accompagnement RH est impératif. Cet accompagnement pourra d’ailleurs être facilité par la mise en place d’une gestion prévisionnelle des emplois et des compétences (GPEC).
• Un dispositif de gouvernance s’impose également comme nécessaire pour gérer de manière homogène les relations entre les entités et la DSI. Celles-ci concernent notamment les modalités de facturation, de fourniture de services et d’exploitation des services groupe.

L’ensemble de ces bonnes pratiques place d’ailleurs la gouvernance comme un levier incontournable de la bonne réussite de cet élan de mutualisation. Elle implique en effet  :

• La création de nouveaux rôles, en particulier ceux de responsable de la relation client et de responsable de l’offre de services ;
• La mise en œuvre de processus communs, tels que la définition et l’évolution des offres, mais également leur facturation et leur suivi ;
• L’élaboration d’outils comme le catalogue de services groupe, les indicateurs de pilotage et le modèle économique pour garantir l’équilibre coûts – recettes.

Nous sommes convaincus que 2013 verra fleurir un nombre important de projets de ce type. Il faut s’y préparer !

Cet article Comment réussir la mise en place de vos services IT mutualisés ? est apparu en premier sur RiskInsight.

Des métiers sur-sollicités

Les Directions métiers sont aujourd’hui sur-sollicitées par une filière risques qui peine souvent à mettre en cohérence les démarches de recensement et de traitement des différentes typologies de risques (RH, juridique, SI, qualité, continuité…). La multiplicité des acteurs, démarches et planning entraîne une perte générale de lisibilité pour les métiers, qui en réaction s’impliquent moins dans le processus de management des risques.

Créer un cadre unifié pour la gestion des risques

Il est nécessaire de repenser les filières risques pour une meilleure intégration des différents canaux de remontée et de traitement des risques. Vis-à-vis des métiers, ces changements doivent se traduire par des sollicitations plus cohérentes, favorisant ainsi leur adhésion.

Deux axes majeurs pour opérer cette transformation : la convergence des pratiques et la rationalisation de la gouvernance des risques  (voir notre article à ce sujet).

Un retour sur investissement difficile à percevoir

Difficile pour le métier d’évaluer à quel point le travail fourni dans le cadre de la gestion des risques a permis d’atteindre le résultat escompté si on ne le lui montre pas clairement ! Le gain associé aux efforts consentis est en effet difficilement perceptible, car le premier résultat d’une gestion de risques efficace, c’est bien l’absence de perturbations majeures sur les activités. La filière risques doit ainsi faire l’effort de mesurer les gains associés à ses actions, afin de mieux valoriser ces dernières auprès des métiers et leur faire comprendre l’intérêt qu’ils ont à s’impliquer.

Développer le « marketing de la filière risques »

Pour favoriser l’adhésion des Métiers, la filière risques doit développer sa capacité à intervenir en mode projet ou en phases d’étude à leur demande, en sortant d’un mode de fonctionnement aujourd’hui trop basé sur le récurrent.

Elle doit pour cela apprendre à se vendre, en assurant la promotion des services qu’elle peut offrir aux Métiers et des résultats qu’elle obtient. Cela doit contribuer, si ce n’est à inverser, au moins à rééquilibrer les flux de sollicitations entre les deux parties. Ces derniers partent en effet aujourd’hui majoritairement de la filière risques et non des Métiers, contrairement à la quasi-totalité des autres directions support ! La filière risque dispose de plusieurs moyens pour ce faire, au travers par exemple :

• de la structuration de « l’offre de la filière risque » : comment et sur quoi cette dernière se propose d’intervenir auprès des métiers, à leur demande ;
• de la valorisation des résultats obtenus, en trouvant des indicateurs pertinents et des exemples concrets pour les différentes typologies de risques ;
• de la détection des nouvelles opportunités qui apparaissent aux Métiers grâce à la bonne gestion des risques (moyens de valorisation en externe par exemple)

Un refus trop fréquent du risque

La filière risques est souvent perçue comme l’entité qui « sur-traite » voire refuse systématiquement le risque, plutôt que celle qui valorise la prise de risque maîtrisée.

Les métiers, au cours du processus de décision, attendent pourtant que les pertes potentielles soient analysées au regard des gains attendus. Réaliser cet exercice difficile et décider « en toute connaissance de cause » est de plus en plus complexe pour eux, et la filière risque peut les aider en cela, que ce soit sur un plan stratégique ou opérationnel.

S’aligner sur les objectifs des Métiers et veiller à ne pas sur-traiter les risques

La filière risques doit passer du refus trop fréquent du risque à l’assistance au métier dans la conduite de ses choix stratégiques et opérationnels, pour lui permettre d’atteindre ses objectifs en prenant des risques maîtrisés. Le gestionnaire de risques doit devenir un des soutiens indispensables dans les équipes chargées de mener des études ou projets stratégiques, via sa capacité à analyser de manière large et détaillée les risques et valider que la prise de risques permettra de générer de la valeur et est conforme à « l’appétence au risque » qu’exprime le métier. Dans un cadre plus opérationnel, il doit s’assurer que les projets intègrent bien la notion de risque tout en conservant ses missions récurrentes de cartographie et traitement.

Mais il doit surtout développer son rôle de conseil « à la demande du métier », en veillant à ne pas imposer des processus et solutions qui viseraient à « sur-traiter » les risques et donc à diminuer la performance de l’entreprise.

Cet article Transformer la relation avec les métiers : une évolution nécessaire pour la filière risques est apparu en premier sur RiskInsight.

La montée en puissance de la relation multicanal amène à réinterroger les dispositifs de pilotage existant. Or, mettre en place une gouvernance multicanale est un exercice complexe.

Par essence transverse, elle concerne à la fois les marchés (vision « client »), les canaux (vision « relation »), la vente et l’après-vente (vision « opération »). Elle est également multidimensionnelle, devant intégrer l’efficience, la qualité (produite par l’entreprise et perçue par le client), la performance commerciale (conquête et fidélisation).
Elle  est enfin mouvante, dans le contexte actuel de foisonnement des canaux, les leviers de performance d’hier n’étant plus forcément ceux de demain.

Piloter la performance des parcours clients : le lien entre le pilotage stratégique et le pilotage par canal

D’une manière générale, l’entreprise a mis en place deux niveaux de pilotage :

• En amont, le pilotage de la stratégie multicanal pour répondre notamment aux besoins d’allocation des ressources et des investissements. Il fixe les objectifs de déport entre canaux, d’efficience (productivité, qualité, …), de performance commerciale (coûts d’acquisition, taux de transformation, …), etc.
• En aval, le pilotage de la performance par canal (agence, centre de relation client, Internet, …), chaque canal ayant son référentiel de pilotage propre et ses objectifs adaptés.

Cependant, le lien entre ces 2 niveaux de pilotage ne se fait pas. Le chaînon manquant ne peut qu’être le pilotage de la performance des parcours client.

Ce niveau « Pilotage de la prise en charge Client » a pour objectif de mesurer la contribution des parcours client à la fois aux objectifs de satisfaction client et aux objectifs de performance économique et de vente.

3 dimensions à prendre en compte : la satisfaction client, l’efficience du processus de prise en charge et la maturité des organisations en contact

Il est à la fois quantitatif et qualitatif, permet de traduire vis-à-vis des canaux le niveau de service attendu du client et d’identifier les leviers qui permettent de répondre aux objectifs de performances pour l’entreprise comme pour le client.

Il définit les normes de prise en charge client (délai, qualité perçue et produite, …), les objectifs d’efficience par opération sur tous les parcours multicanal ouverts (délai, sécurisation de l’opération, réduction des réclamations, …), ainsi que les objectifs commerciaux associés (taux de transformation, taux de rebond, …).

Il mesure l’efficacité des leviers mis en œuvre par canaux et entre canaux (par exemple : un service de web call back en appui des souscriptions sur Internet, des alertes et confirmations par SMS pour sécuriser le client, ….) et d’ajuster ainsi en permanence ces solutions pour optimiser les parcours.

Il procède d’une triple vision :

• la qualité perçue du client qui s’évalue par les études et baromètres ainsi que par les « irritants » (réclamations),

• la performance du processus de prise en charge du client qui agrège des indicateurs d’efficience (productivité / délai selon le parcours), de performance commerciale (taux de transformation), de différenciation selon les segments / valeurs client,

• enfin, la maturité des organisations en contact sur la maîtrise de la relation client (pratiques relationnelles, pratiques managériales, intégration des parcours multicanal, …).

En assurant le lien entre le pilotage de la stratégie et de l’efficience de chaque canal, piloter le parcours client permet au final de valider leur performance au regard d’un paramètre essentiel : le comportement du client.

Cet article Distribution multicanal : du « multi-pilotage » à une gouvernance globale cohérente est apparu en premier sur RiskInsight.

Selon cette enquête, quels objectifs les entreprises poursuivent-elles à travers la transformation de leur système d’information ?

Sans surprise, la réduction des coûts apparaît comme un objectif des transformations dans 62% des cas ! Il est même l’objectif principal dans 35% des cas. Cette réduction des coûts traduit soit une volonté de diminuer les coûts de fonctionnement du SI, soit, comme l’enquête le révèle pour une majorité d’acteurs, l’ambition d’utiliser le SI comme un vecteur pour optimiser les coûts des processus métiers, qu’ils soient transverses (RH, finance, achats…) ou relatifs aux activités opérationnelles.

Pour répondre à ce besoin de réduction des coûts, les grandes entreprises font appel à trois principaux leviers techniques et organisationnels. Premier d’entre eux,  la rationalisation des infrastructures pour 62% des répondants, car elle est source d’économies substantielles grâce au double effet de la centralisation/mutualisation (datacenters, réseaux…) et  de l’usage de technologies de virtualisation désormais disponibles.

Second levier, la transformation du sourcing. Utilisée dans plus d’une transformation sur deux, elle permet de gagner en flexibilité et répond à la nécessité d’organisations plus rationnelles et maîtrisées faisant appel à une sous-traitance plus ciblée. Il est à noter que la majorité des grandes entreprises françaises, à la différence de leurs homologues anglo-saxonnes, donnent la préférence à des choix multiples de grands fournisseurs selon leurs domaines d’excellence.

La convergence des applications qui permet une réduction du poids de la maintenance  et une meilleure adéquation aux processus arrive juste derrière, à hauteur de 46%.

Les entreprises sont donc majoritairement à la recherche de réduction de coûts. N’est-ce pas contradictoire avec la place stratégique que revêt aujourd’hui le SI dans l’entreprise ?

En effet, souvent étroitement lié à la réduction des coûts, l’alignement du SI avec la stratégie business s’impose comme le deuxième objectif majeur des transformations SI, dans 54% des cas recueillis. Les éléments de la transformation sont ici liés à l’agilité du SI et à la richesse fonctionnelle… Dans les faits, une part significative de ces straté­gies d’alignement concerne la filière front office (commercial / relation clients). Elles sont privi­légiées dans les secteurs finance et B2C.

Concrètement, comment se traduit cet alignement ?

Il se traduit par notamment par une optimisation de la gouvernance, qui évolue dans 73% des entreprises interviewées. Il s’agit là d’un rééquilibrage des modes de pilotage entre une DSI qui doit innover et les directions métiers qui doivent dégager des moyens et arbitrer. Cette évolution implique également un management global de la filière SI par la direction générale.  Ensuite, la rénovation (notamment la création de nouveaux services 2.0) et l’urbanisation du SI, principalement  dans le secteur tertiaire et B2C sont les leviers les plus utilisés.

Télécharger l’enquête complète au format PDF.

Pour en savoir plus, participer au webminar organisé le 18 octobre par PAC et Solucom.

Cet article La réduction des coûts, premier objectif des transformations du SI est apparu en premier sur RiskInsight.