Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

Adresser le besoin de savoir et le besoin de rassurance

Soutenue par l’augmentation du nombre d’incidents et d’attaques sur les systèmes d’information, la crise cyber s’est installée dans l’espace public. La démocratisation de son champ lexical est ainsi un indicateur marquant de la place médiatique qu’a pris ce sujet. Fuite de données, ransomware, hacktiviste, DDoS, phishing, lanceur d’alerte, ces mots ont quitté les salles serveurs et les blogs spécialisés pour se faire une place dans les colonnes des journaux nationaux et dans le vocabulaire de la plupart des français. La crise cyber n’est plus un simple incident qualité silencieusement traité en interne et est devenue un événement qui suscite l’intérêt de tous les publics entraînant mécaniquement dans son sillage une crise de nature communicationnelle. Cependant, si la popularité nouvelle de cette thématique se décline logiquement dans l’accroissement de la couverture de ces crises, d’autres éléments justifient l’augmentation significative des sollicitations, qu’elles soient internes ou externes à l’organisation en crise.

Lorsque la crise cyber a pour conséquence la fuite d’une donnée par exemple, ce n’est plus seulement le sujet de la crise qui est médiatique, mais son objet même. De fait, lorsque la donnée fuite ou est volée, sa nature intrigue et suscite la curiosité, qu’il s’agisse d’une donnée personnelle, d’un secret d’état ou simplement d’une conversation privée. Cette mécanique engendre logiquement pour de nombreux publics tant le besoin de connaître l’inconnu, que de s’assurer de ne pas en être la victime. Ces deux besoins primaires de curiosité et de réassurance constituent les moteurs essentiels de la couverture médiatique et plus généralement incite le consommateur d’information, le partenaire, le client à combler ce besoin et à chercher à obtenir cette information. La même logique suppose que la source de cette information, en l’occurrence, le détenteur légitime de cette donnée adresse ces requêtes et communique sur l’incident.

Que ce soient des évènements stratégiques tels que des élections présidentielles ou des conversations privées du quotidiens via des médias digitaux qui sont compromis, l’effet médiatique de la crise se voit amplifié par le caractère extraordinaire de l’événement. Cela résulte tant de sa supposée impossibilité que de la confiance que le public lui confère. La rupture soudaine de la confiance placée en ces « institutions » d’importances majeures, érigées en bonne place dans une version 2.0 de la pyramide de Maslow, génère alors elle aussi l’intérêt et le besoin de savoir, traduits dans une explosion du nombre des requêtes et des demandes d’information à l’organisation en crise.

figure 1. Exemple de pyramide de Maslow

Guerre de communication entre l’attaquant et le communicant

La communication de crise cyber est ainsi un exercice particulier de par le sujet qu’elle traite, mais aussi de par la nature des acteurs en présence. De fait, quand des sommes incommensurables d’argent sont dérobées sans coup férir ou que des institutions tombent sous les attaques d’hacktivistes « citoyens », l’opinion voue une sympathie relative à l’encontre du héros moderne qu’est le pirate romanesque, le hacker hors la loi, le justicier anonyme.

Ce personnage public, conscient de son image et des codes du monde communicationnel, saura bien entendu se jouer de cet environnement. Ainsi, les méthodes mêmes des attaquants renforcent la place centrale de la communication dans la gestion des crises cyber. Les attaques aux motifs politiques, idéologiques et militants ne se limitent plus à la compromission d’un système mais envoient un message dont la publicité doit être maximale.

Cette appropriation manifeste des méthodes propres aux activistes s’illustre de plusieurs manières : Annonce d’un DDoS en amont, défacement d’un site internet, publication au fur et à mesure de preuves d’un vol sur les réseaux sociaux, diffusion d’informations telles que des échanges de conversations mails privés compromettants… Si les attaquants ont appris à maximiser l’impact réputationnel des attaques, ils utilisent aussi ce levier afin de perturber la gestion de crise de leur cible et générer un bruit qui leur fera gagner du temps une fois leur attaque découverte. Alors qu’un des facteurs clefs du succès d’une gestion de crise est la reprise en main du rythme de celle-ci et de la publication de nouveaux éléments, la crise cyber laisse inéluctablement ce pouvoir à un tiers malveillant.

Ce tiers peut aussi, si la compromission est profonde, altérer les moyens de communication de l’entreprise. Alors qu’elle tente de répondre à la nécessité de s’exprimer urgemment et largement, cette entrave peut lourdement affecter la fluidité de sa communication. Sans messagerie mail, comment diffuser un message à ses employés ? Sans réseaux sociaux, comment être au plus proche de sa communauté et répondre à ses questions ?

Restaurer le rapport de confiance par la communication

Fasciné par les attaquants et l’ampleur des attaques, le grand public n’en demeure pas moins intransigeant à une heure où la confiance et la donnée constituent la valeur même d’une entreprise. Intrinsèquement, la préservation de la première suppose la protection de la seconde. Lorsque l’organisation faillit à cet objectif, la communication de crise est seule en mesure de restaurer ce rapport de confiance duquel dépend l’avenir de la relation avec clients et partenaires qui continueront ou non à confier la garde de leurs données ou la gestion de leurs outils, ainsi que leurs services à une organisation.

Cette exigence de confiance entraine par ailleurs, lorsqu’elle est brisée, la recherche et la désignation rapide d’un responsable. Bien que la réalité des faits soit bien plus complexe, le grand public aura aisément tendance à supposer que les attaques informatiques sont rendues possibles par l’exploitation d’une vulnérabilité et donc d’une faute.

Une fuite de données, n’est ainsi pas uniquement perçue comme une attaque perpétuée par un tiers malintentionné, mais aussi comme une négligence dans la défense de l’entreprise victime du vol. Cette dernière se voit automatiquement désignée comme responsable et sa réputation en est logiquement impactée. Alors même que les attaquants se professionnalisent, que les attaques se complexifient et que l’absence de vulnérabilité est un mythe, la cyberattaque est aujourd’hui un sujet de gestion et de communication de crise à part entière. Du fait de son impact potentiel sur le quotidien du grand public et donc sa nature médiatique, elle force la victime, considérée comme co-responsable de sa perte, à s’exprimer.

Réaliser l’effort de simplicité pour mieux communiquer face à la crise

Au-delà de la définition d’une stratégie claire, partagée et opportune, la gestion de crise cyber avec son rythme particulier et les entraves causées par les attaquants doit être accompagnée d’une communication particulière qui suppose enfin un dernier travail : l’effort de simplicité.

Face à la crise cyber et comme pour tout type de crise, communiquer suppose d’être en mesure de traduire les évènements subis et les actions correctives menées en impacts clairs et de porter ce discours de façon cohérente. Bien entendu, la complexité des termes et des rouages d’une crise cyber rend cet exercice délicat et constitue une autre spécificité à prendre en considération.

Dans ce cadre, par sa capacité à traduire la cause technique en conséquence métier et plus généralement par son pouvoir vulgarisateur, le rôle du RSSI et de ses équipes est central. En situation nominale comme en temps de crise, la mission du RSSI est de porter cet effort de traduction des faits et des composantes techniques non seulement en impacts métiers mais en impacts compréhensibles et convaincants pour des publics diversifiés et non experts. Il ou elle peut ainsi être amené à concevoir, voire à porter les éléments de langage de communication de crise de la même manière qu’un représentant des ressources humaines sera exposé lors d’une crise sociale.

Sans présupposer de son exposition au journal télévisé d’une grande chaine de télévision, la parole des experts SI sera attendue sur les réseaux sociaux, sur les réseaux professionnels, dans la presse spécialisée ou en interne. En communication de crise, chacun est responsable de tous et tout un chacun doit s’y préparer.

Ainsi, le sujet cyber porte une puissance médiatique qui lui est propre ; dont la conséquence immédiate est l’augmentation considérable des attentes et des demandes d’informer émanant des différentes directions d’une organisation ainsi que du public externe. Si l’imminence de l’occurrence d’un incident SI implique une défense spécifique et une planification de la continuité des opérations, elle exige aussi l’anticipation de ces requêtes et une préparation active à cet effort global de communication.

Cet article La crise cyber, un sujet médiatique à part entière est apparu en premier sur RiskInsight.

Les Réseaux Sociaux d’Entreprise ont fait leur apparition dans les années 2000. L’essor des réseaux sociaux dans la sphère privée ainsi que l’arrivée progressive de collaborateurs de la génération Y sur le marché du travail, ont amené les dirigeants à s’intéresser en masse à cet outil et à ses usages.

Aujourd’hui, 70% des entreprises ont expérimenté les technologies sociales dont le Réseau Social d’Entreprise est le fer de lance.

Avec quels objectifs les entreprises se lancent-elles dans la mise en place de réseaux sociaux d’entreprise ? Quels sont les freins observés ? Et comment les dépasser ?

Des fonctionnalités nombreuses et éprouvées

Un réseau social d’entreprise est un outil de communication, pouvant être accessible aux collaborateurs ou ouvert à des partenaires externes. Il vise à favoriser la communication et l’interaction entre les collaborateurs ou entre des groupes de collaborateurs.

Les fonctionnalités développées par un RSE peuvent varier d’un éditeur à un autre, et d’une entreprise à une autre selon la nature de ses besoins. Aujourd’hui sur le marché des réseaux sociaux d’entreprises, des multinationales, renommées comme Microsoft, IBM ou encore salesforce.com côtoient de plus petits développeurs à l’instar de Zyncro ou Liferay.

On retrouve de manière générale des fonctionnalités similaires à celles des réseaux sociaux privés (profil personnalisé, messagerie instantanée, fil d’actualité…) et d’autres spécifiques au contexte professionnel. Il est ainsi possible d’accéder à un organigramme dynamique de l’entreprise permettant d’identifier les groupes de sachants répondant au mieux à son besoin. La notion de communauté est également primordiale dans un réseau social d’entreprise. Elle offre la possibilité de fédérer des acteurs autour d’une thématique ou d’un projet. Ceci offre plus de souplesse et de transversalité permettant de s’affranchir de certaines barrières hiérarchiques et de sortir des silos habituels pour fluidifier la communication et concentrer plus d’énergie sur le partage de connaissances et non sur sa recherche.

Un succès qui reste pourtant timide

Ces outils ont fait leurs preuves dans la sphère privée avant d’intégrer le monde professionnel (l’extraordinaire croissance du nombre d’utilisateurs de Facebook en est un bon témoin : création en 2004 et 1,23 milliard  d’utilisateurs 10 ans plus tard). Pour autant, d’après une étude menée en 2013 par le Gartner seuls 10% des projets de mise en place de réseaux sociaux d’entreprise peuvent être considérés comme une réussite au regard de la valeur apportée au métier.

Comment peut-on expliquer cette différence entre les attentes des directions d’entreprises et la réalité ?

Un des premiers obstacles réside sans doute dans le degré d’appropriation des outils digitaux par les utilisateurs. Sans pour autant pouvoir être identifiée comme l’unique cause de l’échec, la non appropriation des outils digitaux par les collaborateurs s’est révélée être un obstacle bloquant dans l’implémentation de réseaux social d’entreprise dans certains cas. Cependant l’entreprise a su trouver des moyens pour combler ce manque de connaissance : de la formation présentielle au plus récent reverse mentoring en passant par les nouvelles formes de formation amenées par le digital.

Quelques facteurs clés de succès

L’implémentation d’un RSE doit également se faire pour un projet d’entreprise et non pour l’outil en lui-même. Les enjeux seront donc propres à chaque entreprise. La phase de préparation du RSE (choix de l’outil selon les fonctionnalités, structuration de l’outil, préparation du contenu) est une étape à ne pas sous-estimer. En effet, celle-ci est garante de l’adéquation entre l’objectif de l’entreprise, ses enjeux, et l’intégration du RSE au sein des métiers. Elle devra être réfléchie selon le type de métier, le rythme et les acteurs impactés pour que cela devienne un outil porteur de sens et non un outil redondant (doublon avec les informations de l’intranet par exemple) ou superflu. C’est uniquement lorsque cette adéquation est faite que l’entreprise pourra en tirer profit. Une des bonnes pratiques étant de le coupler à un cas d’usage, un objectif visible pour les collaborateurs : construction d’un plan stratégique, remontées d’informations terrains, création d’une identité visuelle…

Enfin,  les entreprises doivent être prêtes à s’investir dans l’implémentation du RSE. A la création, les entreprises doivent s’attacher à développer et adapter l’outil à leur environnement : développer et insérer le contenu, créer les communautés, choisir les community managers adaptés pour les faire vivre… Les entreprises doivent donc être prêtes à investir du temps, et donc de l’argent, au début du réseau social, mais aussi tout au long de son cycle de vie. En effet, un effort de mise à jour récurrente (mensuelle voir hebdomadaire) est nécessaire que ce soit pour trier, synthétiser, adapter les informations ou adapter le réseau social à l’évolution de l’entreprise (nouveau projet, nouvelles technologies…).

Une conduite du changement nécessaire pour lever des obstacles avant tout sociaux

Comme tout projet, la mise en place d’un RSE s’accompagne d’une conduite du changement. En effet, le RSE requiert l’adoption de nouvelles pratiques et d’usages particuliers : aplanissements de l’organigramme, fluidification de la communication, transversalité…

De nombreux leviers existent permettant de faciliter l’adoption de ces évolutions culturelles. Ainsi le recours à un réseau « d’évangélisateurs » pour promouvoir le RSE (toutes fonctions et rang hiérarchiques confondus) ou la création d’une charte d’usage font partie des bonnes pratiques. Il est, également, primordial de pouvoir compter sur le soutien du management. Un sponsoring fort du projet au niveau stratégique ainsi qu’un relais des ambitions des RSE via les managers de proximité est indispensable. Il est donc essentiel d’accompagner les managers de proximité dans l’appropriation des enjeux et objectifs du projet RSE afin de pouvoir en être l’ambassadeur.

Le RSE, un outil qui s’inscrit dans un changement global de culture d’entreprise

Finalement le réseau social apparaît comme une sous partie d’un écosystème complet du changement de la culture d’entreprise. À l’image de l’évolution du rôle des managers, il n’est qu’un vecteur de changement de culture d’entreprise qui ne peut réussir qu’en étant accompagné d’une évolution des pratiques et des usages. C’est du changement de culture que pourra émaner la création de valeur : optimisation de la performance opérationnelle, fluidification de la relation entre collaborateurs, augmentation du bien-être au travail…  Le réseau social ne peut être le seul composant du changement. La création de valeur sera garantie dès lors que le réseau social est envisagé non pas comme la cible mais comme un moyen de l’atteindre. L’intégrer dans un projet plus global de transformation culturelle, des usages et des pratiques est la clé permettant d’en dégager des bénéfices.

Cet article Le Réseau Social d’Entreprise, doux rêve ou triste réalité ? est apparu en premier sur RiskInsight.

Cette multiplication d’évènements montre que toutes les organisations peuvent être concernées. Et lorsqu’un incident survient, c’est tout l’écosystème de l’entreprise qui doit être mobilisé pour gérer la crise : clients et collaborateurs, mais aussi fournisseurs, partenaires, presse…

Force est de constater que peu de structure ont déjà mise en place un plan de communication de crise face à un incident lié à la cybercriminalité. Aujourd’hui, le RSSI doit se positionner comme le chef d’orchestre de cette démarche. Quelles sont les cibles prioritaires à inclure ? Quel type de message préparer ? Voici des éléments de réponses issues de nos retours d’expérience.

La direction générale : expliquer, analyser et mobiliser

Les RSSI parlent à leur direction depuis des années ; c’est même une de leurs cibles de prédilection. Mais les messages doivent aujourd’hui changer. Jusqu’alors en effet, le RSSI, essayait d’attirer l’attention sur son sujet, afin d’obtenir des ressources par exemple.

Aujourd’hui, il doit démystifier ce qu’il se passe, donner des clés de lecture sur un sujet qui touche maintenant le grand public. A titre d’illustration, les Echos ont publié depuis juin 2013 156 articles consacrés à Edward Snowden.  Cette abondance d’information peut générer des incompréhensions ou des doutes : en quoi mon entreprise est-elle concernée ? Peut-on se protéger ? Un incident de type Target ou Vodafone est-il envisageable chez nous ? Que fait-on en matière de protection ?  Cette communication devra être claire, synthétique… et transparente. Sans sombrer dans le fatalisme ou au contraire l’excès de confiance, elle mettra  en lumière la réalité des menaces pour l’entreprise et les vulnérabilités qui demandent à être traitées dès aujourd’hui.

Ressources humaines et communication interne : des alliés pour sensibiliser les collaborateurs

Les collaborateurs sont une cible essentielle pour le RSSI. Même si les actions de sensibilisations ne sont pas à 100% efficaces, elles sont nécessaires pour minimiser les risques. Comme dans le cas de la direction générale, le RSSI dispose avec l’actualité récente d’une opportunité de communication sans précédent.

Des messages simples et clairs pourront être adressés à l’ensemble des utilisateurs pour leur rappeler leur devoir vis-à-vis du système d’information. Les ressources humaines et la communication interne apporteront  à ces campagnes leur maîtrise des canaux et des codes internes de communication, propre à chaque entreprise. Pour renforcer l’impact des messages,  n’hésitez pas à faire un parallèle avec les situations de la vie privée que les utilisateurs rencontrent (banque en ligne, réseaux sociaux…), les messages seront mieux assimilés.

Les fonctions SI / métiers critiques : maintenir la vigilance des fonctions les plus ciblées

Les incidents récents montrent clairement qu’aujourd’hui les cybercriminels savent mener des attaques ciblées sur les fonctions sensibles de l’entreprise. Même s’ils sont connus, ces scénarios restent encore très efficaces. Une communication spécifique pour maintenir l’attention de ces populations en éveil est nécessaire. L’utilisation d’exemples concrets sera particulièrement efficace et il en existe de nombreux, des photos de Carla Bruni pour piéger des diplomates  à l’appel téléphonique pour pousser un utilisateur à réaliser des virements frauduleux.

Ces trois premières catégories ne sont pas nouvelles : les RSSI ont l’habitude de travailler avec elles. Leurs messages doivent néanmoins s’adapter.

Surtout, nous assistons à l’émergence de deux nouvelles cibles de communication, à qui les évènements récents ont conféré une forte importance.

La direction de la communication : préparer la crise pour en réduire l’impact auprès du public

La probabilité qu’un incident se produise dans les grandes organisations augmente singulièrement ces derniers temps, avec des cas dans tous les secteurs d’activités et de plus en plus d’occurrence en Europe et en France. Surtout, la conscience que de tels incidents peuvent se produire augmente, rendent les directions de la communication plus réceptives au discours des RSSI.

Une communication rapide, structurée clairement,  est nécessaire  dans des situations de crise. Bien souvent néanmoins, les crises liés à la cybercriminalité ne sont ni connues ni envisagées par les équipes de communication. C’est le bon moment pour le RSSI d’échanger avec ces entités (communication institutionnelle mais aussi de crise) et de les sensibiliser à ce qui pourrait se passer en cas d’attaques.

Quelques réunions de travail, permettront de réfléchir ensemble aux différents temps médiatiques et de définir les postures de base à adopter en cas de phishing (email frauduleux aux clients), de sites web modifié (défacement) ou encore en cas d’interruption de service (Dénis de service DDoS).

Direction de la relation clients : savoir activer les canaux en cas de crise

2014 va rendre cet interlocuteur incontournable pour le RSSI… cette année sera en effet celle du vote du règlement européen sur la protection des données à caractère personnel. Le texte devrait imposer la notification des incidents de sécurité aux clients concernés par un vol de données à partir de 2016.

Il s’agira d’une obligation majeure qui entraînera un changement de posture dans la relation client. Ce changement doit être anticipé dès maintenant. Les retours d’expérience  montrent qu’au-delà du coût important lié à ces notifications (entre 10 et 200 € par client suivant la gravité des fuites de données et les pays concernés), les effets sont réels sur les canaux de communication classique (agences, call-center, site web, réseaux sociaux…) qui peuvent se retrouver dépassés par l’afflux de demandes liés à l’incident. Il faudra donc anticiper ces communications, qu’elles soient requises par la loi ou rendues nécessaires en réponse à la publication par les attaquants des données. Comme avec les directions de la communication, des premières réunions de sensibilisation et de découverte du sujet pourront être organisées. La réalisation de fiches réflexes de communication ou encore d’exercices de crise est un bon moyen d’avancer ensuite.

L’aspect « communication » de la fonction du RSSI ne doit donc pas être négligé. Celle-ci connaît  aujourd’hui une évolution forte, passant d’un rôle de sensibilisation aux bonnes pratiques à une démystification de l’actualité jusqu’à un vrai rôle de communiquant opérationnel lors de gestion des crises.

Cet article RSSI, communiquez avec ceux qui communiquent ! est apparu en premier sur RiskInsight.

Une explosion de données pour une relation client personnalisée

Le Big data, c’est la capacité technologique à analyser en quasi temps réel un très grand nombre de données :

• De nature variée : déstructurées, dans un langage naturel, de diverses sources (internes ou externes) et formats et dont la véracité ne peut être certifiée ;
• Issues de différents types d’interactions : géolocalisation, internet des objets, Machine to Machine (M2M), échanges interpersonnels, etc.

Aujourd’hui  la maturité de nouvelles technologies d’analyse permet de traiter l’explosion de ces données d’un genre nouveau et ainsi de visualiser en temps réel des tendances afin d’obtenir une connaissance détaillée et personnelle des clients.

Le Big data permet donc de répondre encore plus efficacement aux enjeux de la relation client :

• Personnaliser facilement les interactions avec le client ;
• Proposer des produits et services qui répondent mieux aux attentes des consommateurs ;
• Améliorer la satisfaction à chaque étape du parcours client ;
• Mieux comprendre, gérer et anticiper l’e-réputation de l’entreprise.

 Valorisez vos données pour améliorer votre relation client !

Le Big data est au service de plusieurs fonctions de la relation client : communication, vente, marketing et service client.

1. En premier lieu, au niveau de la communication, grâce à la surveillance et à l’analyse des conversations en ligne, le Big data permet de gérer l’e-réputation de l’entreprise et de décupler la notoriété et la visibilité de la marque. C’est l’approche qu’a utilisé Bank Of America en mettant en place un système qui permet de rassembler les requêtes similaires issues de Twitter et de les router vers le service client qui se charge de répondre. Un tel système permet de détecter rapidement les différents ensembles de réclamations sur un sujet similaire et d’y apporter une réponse personnalisée. De cette manière, Bank Of America améliore la satisfaction de ses clients et diminue le risque que certaines plaintes se transforment en phénomène viral pouvant dégrader en quelques heures l’image de l’entreprise.

2. Au niveau de la vente, le Big data c’est la possibilité de générer des leads qualifiés pour  comprendre le client en temps réel et ajuster l’offre à ses besoins exacts, de saisir les opportunités de vente en identifiant les leads des communautés en temps réel et d’améliorer le réseau de distribution en identifiant quel type de client achète sur quel canal à quel moment. En utilisant une telle approche, BestMart a été capable de prédire quels seront les jeux vidéo les plus demandés des saisons à venir, quel types de clients les demanderont et où ils les achèteront. De cette manière, BestMart a mis à disposition dans ses magasins le bon nombre de jeux au bon endroit afin de répondre exactement à la demande. L’entreprise a ainsi augmenté ses ventes et la satisfaction de ses clients.

3. Au niveau marketing, l’analyse et le suivi des tendances, des comportements et des réactions des consommateurs permet d’affiner la segmentation, d’améliorer le taux de rétention, d’adapter le pricing plus précisément en fonction d’évènements et de réaction du marché et de mieux cibler les campagnes marketing et publicitaires. C’est ce type de procédé que TF1 a mis en œuvre en s’alliant à Weborama, spécialiste de la gestion des données. Le but était de  créer une segmentation plus fine de son public de TV en replay grâce au Big data afin de proposer aux annonceurs des profils de cibles plus précis permettant d’améliorer l’impact des publicités.

4. Enfin le Big data permet d’optimiser la qualité de service en capitalisant sur les connaissances clients pour enrichir et corriger le support, en améliorant l’expérience client, en anticipant les réclamations et en réduisant le temps de réponse aux situations de crise. Ainsi, lors des Jeux Olympiques de Londres 2012, la société des transports londoniens TFL a utilisé une approche Big data pour anticiper les flux de voyageurs et informer ses clients en temps réel de l’état de congestion du réseau. De cette manière, elle a pu gérer son trafic en quasi instantané et réorienter les passagers vers d’autres itinéraires lorsqu’un pic d’affluence était détecté, incitant parfois les voyageurs à marcher pour leur faire gagner du temps.

Avec de tels arguments, un projet d’amélioration de la relation client d’une entreprise peut difficilement s’envisager sans étudier les opportunités offertes par le Big data. Et même si un projet Big data peut s’avérer complexe aussi bien en termes de technologie que d’organisation, il s’avérera être un véritable levier de performance et de satisfaction client.

Le Big data pour une vision 360° de vos clients

Le Big data, c’est l’occasion de construire une vision 360° de ses clients et ainsi mieux comprendre et tirer parti de leurs interactions avec l’écosystème de l’entreprise. Pour comprendre comment mettre en œuvre cette vision et  quels sont les bénéfices concrets qu’une telle approche peut vous apporter, rendez-vous prochainement sur SolucomINSIGHT !

Cet article Le Big data au service de la relation client ! est apparu en premier sur RiskInsight.

 De trop nombreux cas de détournement des réseaux sociaux

Mais ces réseaux n’ont pas été conçus initialement comme des outils de communication officielle, maîtrisée et contrôlée. Il est très simple de publier et ­de commenter. L’information est également très rapidement relayée. C’est ce qui fait leur force – mais aussi leur faiblesse quand  leur usage est détourné…

C’est ce qui est arrivé récemment au compte Twitter de l’Associated Press. Agence de presse réputée aux Etats-Unis, l’AP a subi une attaque qui a entraîné la publication sur son fil d’un message annonçant un attentat à la Maison Blanche ! Cette fausse information a été rapidement démentie mais les effets en ont été réels et sérieux : Wall Street a décroché pendant plusieurs heures !

Ce cas n’est qu’un exemple parmi d’autres, nombreux. Nous pouvons citer récemment Burger King  ou encore Jeep  dont les comptes ont été détournés – certes  de manière humoristique – pour faire de la publicité à leur concurrent !

Une sécurité désuète basée sur de simples mots de passe

Mais pourquoi assiste-t-on à cette multiplication de cas ? En partie car il est très simple de prendre le contrôle d’un compte sur un réseau social. Bien souvent celui-ci n’est protégé que par un mot de passe, à la complexité toute relative et qui, surtout, est souvent largement partagé au sein des sociétés  !

En effet, les comptes Twitter et Facebook sont associés à un seul email et à un seul mot de passe. Ces informations doivent donc être partagées si plusieurs personnes sont amenées à faire vivre le compte d’une entreprise. Sans parler des départs ou des mobilités qui laissent des situations souvent désastreuses, il est facile aujourd’hui de piéger le poste de travail d’un employé d’un service communication pour s’emparer de ces identifiants !

 Quelles bonnes pratiques suivre ?

Afin de réduire ces risques, il est possible pour l’entreprise d’utiliser des plates-formes professionnelles d’interaction avec les réseaux sociaux. Ces outils, par exemple SproutSocial ou Hootsuit, permette de masquer le compte Twitter principal et de créer des comptes pour chacune des personnes pouvant intervenir sur les réseaux sociaux. Ces outils ajoutent également une notion de traçabilité et de suivi des actions qui peuvent être intéressantes. Assortis d’une charte de « community manager », ils réduisent les risques d’usages malencontreux ou malicieux.  Mais cela ne réduit pas le risque lié au vol des identifiants.

Pour répondre à cette menace, les fournisseurs de réseaux sociaux réfléchissent actuellement à augmenter le niveau de sécurité de leur service, en particulier en requérant une authentification à deux facteurs à la place du mot de passe. Il s’agira alors pour utiliser le service d’utiliser un mot de passe unique, par exemple délivré par SMS ou via une application dédiée, en complément du mot de passe habituel. Google et Dropbox ont déjà mis en  place ce système avec succès. Les entreprises devront donc faire évoluer leurs pratiques pour inclure ces nouveaux mécanismes.

Cet article Protéger son image sur les réseaux sociaux ou l’hérésie du mot de passe partagé… est apparu en premier sur RiskInsight.

Le défi aujourd’hui est de réussir à ancrer la sécurité durablement dans les pratiques de chacun des utilisateurs.

L’inventivité, facteur de renouveau

Que ce soit lors de la mise en place, ou dans les piqûres de rappel, l’originalité, la créativité, peut être un réel facteur d’attractivité et de différentiation de la compagne de sensibilisation à la sécurité. Pour autant ce facteur doit être mis en regard de la culture de communication interne de l’entreprise, et ce pour trouver le meilleur compromis entre originalité et crédibilité de la démarche.

La campagne doit ensuite évoluer dans le temps, ainsi que la posture en elle-même, mais également les canaux de communication. Nombreux sont les concepts, les supports qui peuvent être intégrés à la sensibilisation. Les serious games, la gamification et les applications pour smartphones ou tablettes en sont des illustrations.

L’adaptabilité, une réponse aux nouveaux usages et les risques afférents

L’évolution des usages permet de donner un nouveau souffle au catalogue de communication et formation, mais elle doit aussi être considérée sous l’angle des risques. Le BYOD (Bring Your Own Device) ou encore le Cloud en sont des cas concrets. Les objectifs de communication, les messages à diffuser vont évoluer, et ce dans l’objectif de responsabiliser davantage le personnel qui en fera l’usage. Un axe intéressant est de dresser un parallèle avec la vie quotidienne des collaborateurs afin de les responsabiliser.

La mesure d’efficacité, source d’amélioration

Chercher à s’améliorer implique de mesurer l’efficacité dans l’atteinte des objectifs initiaux. In fine, les collaborateurs sont-ils tous acteurs de la protection de l’information chacun à leur niveau ? La clé réside dans le fait que la sensibilisation est un dispositif de sécurité, et par conséquent il est important :

• D’identifier les éléments du plan de contrôle qui sont en lien avec le facteur humain d’une part. Un exemple ? Les audits  intègrent-ils la notion de « bureau net », de protection physique du matériel, d’exigence de port de badges, etc. ?
• D’intégrer de nouveaux contrôles spécifiques d’autre part. Il peut s’agir de contrôles par échantillonnage qu’ils soient techniques (vérification des mots de passe par exemple) ou de l’ordre de la simple observation « terrain ».

En conclusion, comme toute démarche liée à sécurité, la sensibilisation et la formation doivent s’inscrire dans un cycle de revue tant sur le fond (messages à faire passer, collaborateurs à cibler…), que sur la forme (canaux, supports, et conception…). L’ensemble doit s’intégrer dans l’existant de l’entreprise en respectant les pratiques des ressources humaines en termes de formation et de communication interne !

Cet article La sensibilisation : un dispositif à inscrire dans la durée ! est apparu en premier sur RiskInsight.