J’ai eu l’occasion d’organiser pour les Assises de la Sécurité de 2022 une table ronde sur le confidential computing animée par Thierry AUGER CISO & Corporate CIO de Lagardère et regroupant Mathieu Jeandron d’AWS, Thiébaut Meyer de Google Cloud, Arnaud Jumelet de Microsoft France et Julien Levrard d’OVHCloud. Cet article vise à faire une synthèse des éléments échangées en présentant des cas d’usage, la technologie et les premiers pas y aller.

Le confidential computing pour quels besoins ?

Le principe du confidential computing est de créer une enclave garantissant que seul le traitement s’exécutant dans l’enclave peut accéder en clair aux données. Avant de rentrer dans l’explication de la technologie, nous allons voir 4 cas d’usage où le confidential computing peut améliorer la Cybersécurité.

Multi-party confidential data analytics

Plusieurs acteurs souhaitent mettre en commun des données mais aucune des parties ne doit pouvoir accéder aux données des autres. La mise en œuvre d’une enclave de confidential computing va permettre d’assurer cette exigence, seule l’encave étant en mesure d’accéder aux données mises à disposition par chaque acteur.

Exemple : plusieurs banques souhaitent mutualiser leur effort pour construire un algorithme de détection des fraudes. Aucune des banques ne souhaite que les données des clients qui serviront à cette analyse  puissent être connues des autres.

Apprentissage d’IA fédérée.

Plusieurs acteurs souhaitent mettre en commun leurs données pour entrainer un algorithme d’Intelligence Artificielle. Les données ne doivent pas pouvoir être divulguées ou connues d’un autre acteur. L’enclave confidential computing va garantir que seul l’algorithme d’Intelligence Artificielle puisse accéder aux données.

Exemple : plusieurs hôpitaux souhaitent entrainer un modèle d’IA visant à aider au diagnostic médical permettant d’avoir un volume plus significatif. Le secret médical impose qu’en aucun cas, les données d’un patient ne puissent être accédées par un autre acteur.

Protection des calculs dans le edge computing

La sécurité physique des traitements réalisés dans le edge computing ne peut pas être garantie au même niveau qu’un datacenter. On souhaite cependant que le code embarqué et les données traitées ne puissent être accédés ou modifiés. L’enclave confidential computing va permettre d’apporter cette garantie.

Exemple : un fournisseur de solution IOT veut s’assurer que le code embarqué dans son objet de puisse être accédé pour garantir sa propriété intellectuelle.

Enfin le cas d’usage de plus souvent cité : la protection vis-à-vis de son fournisseur d’infrastructure

Ici, il s’agit de garantir que les administrateurs de l’infrastructure sur laquelle je vais réaliser mes traitements ne puissent accéder à mes données. Satya Nadella CEO de Microsoft a lui-même indiqué, lors de la Microsoft Build de mai 2022, qu’il considère le confidential computing comme un “game-changer ».

Exemple : un fournisseur de services Cloud ne doit pas pouvoir accéder aux données qui sont traitées sur son infrastructure . Aujourd’hui, les mécanismes d’isolation logique existants ou des mesures de sécurité mises en œuvre permettant de limiter les actions possibles des administrateurs, le confidential computing ajoute une garantie supplémentaire basée sur le matériel. L’enclave permet également de renforcer le niveau de sécurité vis-à-vis d’un accès malveillant par une autre machine virtuelle s’exécutant sur le même hyperviseur en cas de vulnérabilité sur celui-ci.

Les promesses semblent intéressantes, comment fonctionne le confidential computing?

Le confidential computing vise à réaliser le traitement dans une enclave accessible seulement par le processeur : cette propriété est garantie matériellement par le processeur et son firmware ^(*). Un canal sécurisé est créé entre l’enclave et le processeur, tous les composants sur le chemin (Hyperviseur, OS…) ne pouvant accéder à la donnée.
^(*)’L’implémentation technique de l’enclave varie suivant les fondeurs de processeur (Intel, AMD, ARM, IBM…) nous nous y attarderons pas dans cette article.

Deux grands types d’enclave sont possibles :

• Enclave au niveau de la machine ou du conteneur: tous les traitements réalisés dans la machine virtuelle ou le conteneur seront protégés
• Enclave au niveau d’une application : seul un morceau de l’application sera protégé par l’enclave (par exemple le code réalisant des traitements sensibles : les données brutes n’étant jamais accessibles, seuls les résultats l’étant)

Lors de la table ronde, Arnaud Jumelet a présenté une analogie avec un immeuble :

Une enclave au niveau d’une VM ou d’un conteneur peut être comparée à une protection qu’apporterait un appartement via à vis du reste du bâtiment : seules les personnes disposant des clés peuvent y accéder.

Dans le cas d’une enclave au niveau d’une application ou du code, on peut le comparer à un coffre-fort au sein de l’appartement qui protègerait le traitement.

Dans le 1^er cas, le gestionnaire de l’immeuble (ie la gestion de l’infrastructure SI) n’a pas la vision de ce qu’il se passe dans l’appartement, alors que dans le 2^ème cas même les personnes ayant la clé de l’appartement (ie l’administrateur de la VM) n’ont pas la vision sur ce qu’il se passe dans le coffre-fort.

Tout cela semble magique, est-ce que cela couvre tous mes risques ?

Le confidential computing est une nouvelle boite à outil pour réduire les risques. Mathieu Jeandron nous met en garde, il ne faut pas l’opposer aux mesures existantes : il s’agit d’ajouter une garantie supplémentaire par le matériel à l’isolation logique apportée par la virtualisation.

Comme tout outil, il peut avoir ses propres failles de sécurité comme par exemple des attaques par canal latéral ( ou Side-channel attacks) telle la vulnérbilités SQUIP ou des attaques affectant d’autres fonctions du processerus (comme l’attaque ). Il s’agit cependant d’attaques nécessitant un niveau élevé d’expertise. Thiébaut Meyer indiquait, lors de la table ronde, que la désactivation de l’hyperthreading permet de limiter les risques associés à ces vulnérabilités. Il est également important que l’enclave à son démarrage vérifie qu’elle s’exécute bien dans un espace de confiance : challenge du processus, vérification de la version du firmware du processeur par exemple.

Mathieu Jeandron est pour sa part revenu sur la nécessite de comprendre que le confidential computing ne va pas traiter tous mes risques :

• Dans le cadre d’une enclave au niveau d’un VM, l’administrateur de la VM y aura toujours accès
• Une vulnérabilité sur le code s’exécutant dans une enclave pourra toujours être exploitée par un attaquant pour accéder à la donnée
• La compromission de la supply chain produisant les processeurs est toujours envisageable…

La mise en œuvre d’enclave peut rendre aveugle certain mécanisme de détection Cybersécurité qui sont à l’extérieur : attention ce que l’on d’un côté peut être perdu de l’autre !

Il est donc nécessaire de bien comprendre la technologie et les risques associés pour définir une stratégie réfléchie d’usage.

La protection des données, une histoire de gestion de clés

Quand l’on parle de protection de données, le chiffrement n’est jamais très loin. Et qui dit chiffrement, dit outils de génération et stockage de clés. Julien Levrard nous a rappelé que la protection apportée par l’enclave n’est qu’une partie problème, alors qu’il faut le voir dans sa globalité.

En particulier, les données devant être traitées ou même le code s’exécutant dans l’enclave proviennent de l’extérieur de l’enclave. Il est donc nécessaire qu’ils soient chiffés et que seule l’enclave puisse accéder aux clés permettant de déchiffrer les données. Les clés devront être donc séquestrées dans un HSM ou KMS qui devra s’assurer avant de libérer les clés qu’il s’agit bien de la bonne enclave qui lui demande d’y accéder. Le client aura le choix d’utiliser des services de son fournisseur ou d’implémenter des mécanismes de BYOK ou HYOK.

Je vois une opportunité, n’est-ce pas trop compliqué d’y aller?

La majorité des initiatives confidential computing en France sont aujourd’hui au stade de POC. Il existe cependant déjà des cas d’usage en production : la messagerie SIGNAL utilise par exemple le confidential computing pour protéger les messages. Thiébaut Meyer indiquait même que des premiers ransomwares utilisent la technologie pour ne pas être détectés !

Si l’on souhaite tester, Julien Levrard a expliqué que les prérequis techniques ne sont pas compliqués à atteindre : il suffit de commander un serveur de nouvelle génération et d’activer la fonction dans le firmware ou de souscription à des ressources compatibles chez un cloud provider. On peut alors facilement déployer un OS ou un conteneur disposant des bons drivers dans une enclave. Pour les cas d’usage métier indiqués au début de l’article, il sera cependant nécessaire de refondre le code de l’application.

Pour faciliter l’adoption, le Confidential Computing Consortium, qui vise à promouvoir la technologie, met à disposition des accélérateurs. Arnaud Jumelet a par exemple mentionné le projet opensource OpenEnclave ou Enarx. Il existe également des acteurs construisent des solutions disponibles as a service comme Securitee, Cosmian ou bien Decentriq. De nombreux acteurs logiciels ont également ajoutés à la roadmap l’intégration de fonctionnalité de confidential computing, dans le futur il s’agira peut-être du fonctionnement par défaut !

Le confidential computing une technologie qui gagne en maturité

Nous avons pu le voir le confidential computing gagne en maturité et qu’il n’est pas nécessaire d’être expert en assembleur pour l’utiliser. C’est probablement le bon moment pour les entreprises ayant des cas d’usage de tester la technologie pour mieux l’appréhender et la comprendre avant de pouvoir décider d’un usage en production. Une inscription dans une roadmap sécurité a aujourd’hui tout son sens.

Cet article <em>Confidential computing</em> : révolution ou nouveau mirage ? est apparu en premier sur RiskInsight.

Données personnelles : le cadre réglementaire

Un cadre légal existe déjà et repose sur la Loi informatique et libertés du 6 janvier 1978, plus particulièrement l’article 34 qui impose aux responsables de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Ce cadre est en évolution. Un projet de règlement européen sur la protection des données devrait aboutir fin 2015, remettant au goût du jour la Directive européenne 95 / 46 relative à la protection des données.

Ces textes sont complétés par des réflexions du G29, groupe de travail des CNIL européennes émettant des opinions sur l’approche par les risques (Article 29 Data Protection Working Party).

Les principes de collecte, transmission, hébergement et traitement des données personnelles doivent suivre des exigences de protection légale très strictes : recueillir le consentement explicite; informer sur la finalité ; collecter uniquement les données liées et nécessaires à cette finalité ; détruire les données une fois la finalité atteinte ; respecter les droits à l’accès, la rectification et la suppression de ces données ; sécuriser la collecte, le transfert, l’hébergement et le traitement des données ; effectuer le traitement de façon loyale et licite.

Ceci donne un cadre légal aux démarches Big data avec un processus d’amélioration continue qui requiert parfois plusieurs itérations pour parvenir à un dispositif de protection de la vie privée acceptable. Il exige en outre une surveillance des évolutions dans le temps et des mises à jour régulières.

Pour faciliter la mise en œuvre concrète de ce cadre juridique, la CNIL a publié le 2 juillet 2015 une méthode pour mener une étude d’impacts sur la vie privée (EIVP). L’objectif est d’aider les responsables de traitement dans leur démarche de conformité, de leur permettre de justifier les mesures choisies et de montrer que les solutions ne portent pas atteinte à la vie privée.

Cette méthode est complétée par un guide d’outillage et par un guide de bonnes pratiques. Cette démarche de conformité se déroule en 4 étapes : délimitation et description du contexte du traitement considéré et de ses enjeux ; identification des mesures existantes ou prévues pour respecter les exigences légales et traiter les risques sur la vie privée de manière proportionnée ; appréciation des risques sur la vie privée pour vérifier qu’ils sont convenablement traités; décision de valider la manière dont il est prévu de respecter les principes de protection de la vie privée et de traiter les risques, ou bien de réviser les étapes précédentes.

L’accès aux données de Santé

L’article 47 du projet de loi de Santé de Marisol Touraine a été adopté par les députés le 11 septembre 2015. Il prévoit la création d’un système national des données de santé (SNDS), grande base de données médicales centralisées accessible au public, afin de faciliter l’accès aux données médicales issues des divers organismes du secteur.

Suivant l’avis favorable de la CNIL à la création d’un numéro d’identification unique, condition sine qua non de la création d’une plateforme numérique unique, le Numéro d’Inscription au Répertoire National (NIR), plus communément appelé numéro de sécurité sociale, deviendra l’identifiant unique de santé.

Pour protéger la vie privée des patients et le secret médical, qui reste la principale critique apportée par le Syndicat des Médecins Libéraux à cet article, de nombreuses garanties ont été apportées par le législateur :

• Open data : les données agrégées et anonymisées ne contenant « ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse » seront accessibles à tous, gratuitement et sans restriction. La réutilisation de ces données sera autorisée si elle n’a « ni pour objet, ni pour effet, d’identifier les personnes concernées ».
• Données personnelles : les données rendant l’identification possible seront détenues par une structure distincte et ne pourront être utilisées que sur autorisation de la CNIL et de l’Institut National des Données de Santé (INDS) à des fins de recherche ou d’étude pour l’accomplissement de missions poursuivant un motif d’intérêt public uniquement. L’article 47 interdit expressément l’utilisation de ces données à des fins commerciales ou d’évolution des primes et contrats d’assurance.

En leur permettant d’analyser une population donnée, le Big data dans le domaine de la Santé permettrait aux médecins d’améliorer leurs pratiques de prévention et de soin en matière de maladies chroniques, ainsi que leur connaissance de maladies rares et / ou orphelines. Cependant, selon un sondage Odexa paru le 19 janvier 2015, un médecin sur deux considère que l’utilisation de la santé connectée menace le secret médical et 1/4 à 1/3 d’entre eux qu’elle porte atteinte à la liberté des patients. En effet, à l’heure actuelle, la donnée de santé est qualifiée de « sensible » par la loi « Informatique et libertés » et est par conséquent très protégée. Mais, bien qu’un projet de règlement européen prenant position sur le sujet soit en cours de rédaction, les données de santé et les données de bien-être ne sont toujours pas juridiquement différenciables. Or, si l’on prend l’exemple du « quantified self », les agissements de l’utilisateur sont enregistrés et peuvent être utilisés. Cette limite doit donc être clarifiée pour lever les réticences des médecins.

Un contrat de confiance pour anticiper les craintes

Citoyens et autorités de régulation des données à caractère personnel expriment des craintes régulièrement relayées par les médias. Maîtriser les risques autour du Big data revient à anticiper ces craintes en communiquant : sur les usages envisagés, la proposition de valeur au regard de ce partage de données, les compétences des équipes en charge des technologies concernées et les mesures de sécurité permettant de garantir la protection des données manipulées.

Il faut donner à l’assuré la maîtrise de ses données personnelles, l’informer sur celles qui seront collectées et l’usage qui en sera fait. Il convient ensuite de lui laisser la possibilité d’arbitrer en permanence sur le partage de celles-ci. Les informations demandées doivent être nécessaires à la réalisation de la finalité. L’objet est d’obtenir un consentement, puis détruire les données brutes pour ne conserver que la finalité. Il est également envisageable de se limiter aux données anonymisées qui s’avèrent suffisantes dans de nombreux cas. Enfin, un rapport de proportionnalité est impératif : le service proposé grâce à ces données partagées doit être à la hauteur du niveau d’intrusion ressenti.

Ce contrat de confiance pourrait être « géré » via l’espace client / adhérent, donnant à ce dernier la possibilité d’exprimer explicitement son accord ou désaccord avec un historique des décisions.

Tout cela permettra de gagner la confiance du client, de mieux le connaître et de passer du diagnostic à une position prescriptive.

La transparence sur les données utilisées ne fera pas entrave aux secrets de fabrication qui se logent de manière plus structurante sur les algorithmes et sur le volume de données manipulées

Cet article Big data dans l’Assurance : gérer les risques liés aux données manipulées est apparu en premier sur RiskInsight.

Afin de mieux comprendre ces mutations, il est intéressant de revenir sur les récents mouvements.  2011 a ainsi été marquée par une importante croissance des MVNO (Mobile Virtual Network Operator) (croissance à 2 chiffres jusqu’à début 2012) stoppée par l’arrivée de Free, ces acteurs ne pouvant plus se battre sur le prix seul (-5 à -15% d’ARPU – Average Revenue Per User – et baisse pour la première fois depuis des années de leur part de marché).

Cette même période a vu les trois opérateurs historiques lancer leurs offres low-cost, stratégie définie pour endiguer la potentielle fuite de clients vers Free sans toucher à la marge des offres classiques. Ils n’avaient cependant pas suffisamment anticipé l’agressivité tarifaire du nouvel arrivant, avec les conséquences que l’on connait : baisse du CA et baisse du nombre d’abonnés.

Quelques chiffres restent positifs en ce début d’année : taux de pénétration toujours plus élevé (112%), nombre de nouvelles cartes SIM explosant à 4,5 millions vendues sur l’année sans toutefois occulter les tensions grandissantes entre acteurs qui ne veulent pas perdre leur part du gâteau. Quelle(s) stratégie(s) les opérateurs historiques comme les MVNO vont-ils mettre en place ?

La data, nouvelle clé des offres mobiles

Suite au développement du « tout illimité » et des offres low cost, la seule promesse d’un service plus performant ne suffit plus à faire payer plus cher. Le nouvel eldorado semble désormais se trouver dans la data et les réseaux de nouvelles générations (4G). Pour différencier leurs offres premium, les opérateurs mettent en avant le volume de data mais aussi de plus en plus la vitesse de connexion 4G, proposant ainsi des forfaits plus haut de gamme – et plus chers.

D’autres atouts permettent de soutenir les offres premiums :

• bien qu’ayant souffert de la généralisation du sans mobile dans le low cost, le subventionnement du mobile reste intéressant pour attirer des clients avec engagement pour garantir un revenu régulier ;
• le service client et les boutiques permettent aux clients d’être accompagnés par l’opérateur, malgré les économies nécessaires de ce côté.

MVNO, le salut par la segmentation ?

Les MVNO, malgré l’effet Free, gardent des atouts intéressants, aidés par leur agilité et leur faible coût fixe.

A l’inverse des opérateurs principaux, une des clés de leur succès reste la segmentation en niches toujours plus spécifiques, avec un marketing taillé sur mesure. Le principe de communautés que l’on retrouve à l’étranger, avec des offres ciblant uniquement les vétérans de guerre, les hispanophones, les gays ou les sportifs, les démarque fortement de la concurrence. En France, on peut citer Prixtel et ses offres modulaires spécialement dédiées aux pros, mais les exemples sont plus rares.

Les données clients récoltées au sein de ces niches sont également très intéressantes, exploitant des infos très précises sur les comportements utilisateurs. Si à terme on ajoute le paiement NFC, le MVNO aura également des données sur les habitudes d’achat que tous les opérateurs et plus largement tous les acteurs vont lui envier !

Quel avenir pour les 3 opérateurs mobiles historiques ?

L’arrivée de Free a rendu les analyses à long terme difficiles mais de grandes lignes tendent cependant à émerger.

La première hypothèse est optimiste : le marché tendrait progressivement à l’équilibre, avec évidemment des acteurs inégaux, acceptant des marges plus faibles mais restant suffisamment rentables, avec un positionnement clair. Nos voisins ont souvent des marchés structurés autour de 4 grands opérateurs (Angleterre, Allemagne, Espagne…).

D’autres envisagent à l’inverse une concentration du marché et des mouvements importants pour les acteurs historiques, déstabilisés par Free. Tous ne sont pourtant pas égaux :

• Orange peut s’appuyer sur un réseau de boutiques pour rester proche de ses clients, continuer de rassurer sur son SAV et mettre en avant la qualité de son réseau, maintenant ainsi sa base utilisateurs. La société profite aussi de son accord d’itinérance avec Free.
• Le cas SFR est moins lisible, avec un attentisme étonnant après l’annonce de Free, une offre RED timide, sa marque low cost (Joe) sans vrai succès, et actuellement une communication offensive autour de la 4G. L’opérateur serait-il à vendre ? Pourtant, la baisse de sa capitalisation devrait inciter les actionnaires à attendre des jours meilleurs.
• Enfin, Bouygues Telecom a fait preuve d’un certain réalisme, calquant rapidement son offre B&YOU sur Free pour garder un maximum de clients sur son réseau. La société se recentre sur le web et sa stratégie prudente d’achat de licences 4G semble payer (elle pourrait être récompensée en récupérant ses bandes 2G et les convertir).

Enfin la concentration pourrait prendre un visage moins classique. Les trois opérateurs historiques semblent en effet discuter activement sur le partage des investissements en France : serait-ce les prémices d’un modèle de partage des coûts ? Cela pourrait se faire sur le mobile dans les zones moins denses, permettant de couvrir toute la population à moindre coût. Ou par des synergies entre fixe et mobile : Numéricable et Bouygues sont partenaires pour le réseau physique, iront-ils plus loin ? Le temps presse (le gouvernement aussi) et la fenêtre de tir pour le partage des investissements n’est pas énorme….

2013 reste une année incertaine et de nombreux ajustements sont à attendre sur le marché du mobile. Free a rebattu les cartes et les acteurs en place doivent commencer à montrer leur jeu. Une belle partie en perspective !

Pour lire plus d’articles sur le secteur des télécoms et des média, consultez Telcospinner, le blog télécoms et media des consultants Solucom.

Cet article Marché mobile français : quelles évolutions en 2013 ? est apparu en premier sur RiskInsight.

Alors qu’au début de l’année Numéricable, Prixtel, La Poste Mobile et bien d’autres inondaient les médias et le marché de leurs nouvelles offres mobiles, les trois opérateurs historiques (Orange, SFR et Bouygues Telecom) contre-attaquent, diversifient leurs portefeuilles de marques et proposent de plus en plus d’offres intégrées (quadruple play). L’occasion pour nous de revenir sur les évolutions profondes du marché du mobile français à l’origine des nombreuses initiatives des derniers mois, ainsi que sur les perspectives de transformation du marché dans les semaines à venir.

2011, une année agitée

Aujourd’hui on constate sur le marché une tendance lourde, une transition de la voix vers la data, induite par des nouveaux usages en mobilité (web, réseaux sociaux, vidéo, musique). Le marché du mobile a fortement changé et va évoluer de manière encore plus radicale dans les années à venir. Comme nous le prédisions il y a plusieurs mois, les communications voix ne sont plus un facteur différenciant et nous nous approchons du tout illimité à bas coût. Les revenus se déplacent donc vers d’autres offres et services. En conséquence, la segmentation ne se fait plus au nombre d’heures mais à la quantité de données, le débit et l’offre de contenus associée. Le prix de base inclut de plus en plus de voix, l’illimité n’a jamais été aussi accessible. Sans même parler des SMS, presque toujours en illimité. C’est donc bien sur la data et les services associés que le marché se redéfinit.

Le consommateur est d’ailleurs déjà préparé à l’émergence de forfaits data dont le prix s’adaptera à la quantité, au débit, au type de contenu (la fin de la neutralité sur le mobile ?) voire à l’heure (heures pleines / heures creuses). La communication des opérateurs historiques, mettant en avant les niveaux d’investissement consentis à enrayer une saturation des réseaux pouvant peser sur la qualité de service, y est pour beaucoup.

Mais au-delà des nouveaux usages, l’emballement du marché peut être attribué aux nouveaux entrants qui n’hésitent pas à bousculer offres et standards. En effet, depuis quelques mois ils proposent des offres tout illimité (voix, SMS, data) à prix cassé, le tout avec des forfaits sans engagement et sans subvention des terminaux mobiles. La non-subvention des terminaux est un point capital à l’origine d’un modèle économique à part entière. En ne subventionnant pas les terminaux, ces opérateurs virtuels peuvent baisser les prix de leurs forfaits et attirer plus facilement les clients qui ne souhaitent pas forcément changer de mobile (attrait qui est d’autant plus fort de par l’absence d’engagement). Ils profitent aussi d’un coup de pouce d’ordre réglementaire : l’ARCEP (Autorité de Régulation des communications électroniques et des Postes) exerce une véritable pression sur le marché pour lutter contre l’engagement parfois abusif.

Les MVNO ont acquis une grosse part de leur parc client en proposant des forfaits à prix inférieur car ils n’ont pas eu à vendre un mobile. Cependant, il ne faut pas oublier que le terminal reste l’un des premiers critères de choix d’un opérateur mobile pour un client.  Les opérateurs historiques sont dès lors confrontés à une difficulté supplémentaire : continuer à proposer des prix de vente de terminaux accessibles, tout en restant compétitifs au niveau des forfaits, pour ne pas laisser le champ libre aux MVNO sur ce terrain.

Les opérateurs historiques réactifs

Pour les trois opérateurs historiques, l’enjeu au milieu de cette panoplie d’offres est de fidéliser les clients chèrement acquis au fil des années. En effet, si la course aux acquisitions reste d’actualité, la priorité numéro une dans ce contexte de forte concurrence sera de  garder ses clients. La réponse des opérateurs historiques aux MVNO prend donc forme depuis quelques mois, selon trois axes :

• Le premier est de proposer des offres qui soient adaptées au besoin de chaque client (SFR avec ses “Formules Carrées” notamment) ou de capitaliser sur leur base d’abonnés Internet pour proposer des offres 4P compétitives.
• Le deuxième consiste à mettre en avant la relation client et la qualité de leur service client de par leur présence sur tout le territoire. Il s’agit également de ne pas laisser les MVNO occuper tout l’espace médiatique. La multiplication des offres a tendance à faire oublier celles des opérateurs et à écorner leur image d’innovateurs.
• Enfin le dernier a été de diversifier leur portefeuille de marques, via le lancement de nouvelles marques en propre, afin d’adresser de manière assez ciblée un segment de client précis. Nous parlons bien évidemment ici de B&You, marque de Bouygues Telecom lancée début Juillet, de Sosh, annoncé par Orange fin juillet et des séries RED de SFR. Ces nouvelles marques reprennent les nouveaux standards imposés par les MVNO et évoqués ci-dessus : aucun engagement pour le client, pas de subvention des terminaux et une orientation très data des forfaits. Orange, SFR et Bouygues Telecom adoptent donc sur ces marques l’agressivité commerciale des MVNO, tout en visant la potentielle cible principale de Free Mobile (attendu au plus tard pour début 2012), une population assez technophile.

Perspectives : l’arrivée de Free, une (R)évolution ?

Les premières offres tout en ligne sont apparues avec les MVNO et sont en train de se démocratiser avec les opérateurs historiques. Il est évident que c’est le modèle que choisira Free au lancement : simple et économique, il fonctionne en répartissant les efforts sur la société autant que sur les clients en concentrant tous les contacts clients sur internet, et seulement si nécessaire par téléphone. Paradoxalement, Free est en train de compléter ce modèle par une présence physique : limitée dans un premier temps, elle permettra tout de même de concurrencer les opérateurs sur la vente de terminaux, point faible du tout online, tout en travaillant leur relation client et en proposant un showroom de leurs produits, gammes et services.

Au-delà de son modèle de relation client, il reste maintenant à savoir comment Free, 4e opérateur français, va attaquer le marché. De nombreuses rumeurs ont enflammé les sites d’informations high-tech en prédisant les futurs forfaits proposés par Free. Sans rentrer dans le détail et dans l’attente d’une information plus officielle, il est très probable que le trublion attaque le marché avec une offre prix plancher autour de 6€ pour 2h de communication et qu’il chapeaute sa gamme par un tout illimité autour de 29,90€, prix emblématique pour la société. Avec un coût à la minute de 8ct en passant par le réseau d’Orange et en possédant ses propres infrastructures dans les zones les plus denses, ces offres semblent tout à fait viables. Sans oublier que Free est déjà bien installé sur le marché de l’ADSL : ils pourront capitaliser sur cette base client pour lancer leur offre mobile – une offre 4P alléchante est prévisible – et profiter de leur entrée sur un nouveau marché pour redynamiser leur croissance ADSL.

Le trublion Free, après avoir bouleversé durablement le marché de l’internet, risque de récidiver sur le mobile : en proposant du tout illimité à des prix ultra-complétifs certes, et c’est là que tout le monde l’attend, mais en proposant surtout des offres entrée de gamme à des tarifs encore jamais atteints, Free paraît bien armé pour couper l’herbe sous le pied des MVNO.

Les trois opérateurs, et les MVNO avec eux, s’en défendent : ils n’ont pas attendu Free pour innover. Pourtant le timing de leurs offres tombe au bon moment (6 mois avant le lancement de Free mobile). Et ce n’est pas leur campagne ultra agressive pour fidéliser les clients sur le long terme qui contredira ce qui est sur toutes les lèvres : Free fait peur et toutes les armes disponibles sont soit dégainées soit affutées pour affronter son arrivée, prévue début 2012. Des temps mouvementés en perspectives !

Cet article La redéfinition du marché mobile est apparu en premier sur RiskInsight.