Pour plus d’informations, retrouvez la vidéo de présentation du concours.

Pour la quatrième édition du concours, la data et l’IA viennent s’ajouter à la cybersécurité !

Alors que les précédentes éditions du concours récompensaient uniquement des startups spécialisées dans le domaine de la cybersécurité, l’édition 2020 a élargi son spectre pour accueillir de nouveaux sujets, que sont l’intelligence artificielle et la data, qui demeurent des composantes clés au sein de l’écosystème cyber.

L’ensemble des sociétés participantes, d’origine française ou européenne, ont su partager toute la richesse de leurs diverses expertises. On peut ainsi dresser le top 5 des sujets traités par les participants cette année :

• Lutte contre la fraude
• Protection de l’identité numérique
• Développement de l’intelligence artificielle pour les affaires
• Protection de l’intégrité des données
• Détection des incidents et vulnérabilités

Un jury d’envergure, des analyses et des messages forts !

Cette cérémonie avait bien évidemment pour but de récompenser les grands gagnants de l’édition 2020, mais pas seulement. C’était également l’opportunité, pour l’ensemble des membres du jury et des personnalités présentes, de partager leurs analyses quant à l’écosystème startups actuel.

Cette année, le jury était composé de Claire Calmejane (Directrice de l’Innovation du Groupe – Société Générale), Christophe Leblanc (Directeur des Ressources et de la Transformation Numérique du Groupe – Société Générale), Pascal Imbert (Président Directeur Général – Wavestone), Reza Maghsoudnia (Directeur Développement Stratégique – Wavestone), Guillaume Poupard (Directeur Général – ANSSI), Jamal Attif (Professeur à Dauphine-PSL, responsable de l’équipe MILES) et d’un collège d’experts (Thierry Olivier, Christina Poirson, Julien Molez, Gérôme Billois, Ghislain de Pierrefeu et Severine Hassler).

Enseignements et perspectives de la crise

Bien que cette crise sanitaire ne soit pas encore terminée, elle paraît en tout cas un peu mieux maîtrisée qu’en mars, quand cette maladie nous était encore inconnue. À ce sujet, Pascal Imbert et Christophe Leblanc ont apporté leur analyse de cette crise et de ses impacts.

Selon eux, cette crise a été à la fois révélatrice des fragilités propres à chaque entreprise et des modèles économiques actuels, mais aussi accélératrice de tendance, avec une place plus importante encore prise par le numérique ces derniers mois. Ces éléments rendent les transformations plus profondes et plus rapides. Cela n’est pas sans conséquence pour les entreprises, qui voient leurs transformations s’accélérer, avec la nécessité d’intégrer de nouveaux facteurs, tel qu’un meilleur équilibre entre efficacité et résilience. Tout cela, avec une place majeure de la technologie, qui représente un défi économique, technologique et de souveraineté. L’environnement startups, mis à l’honneur avec ce concours, est, selon Pascal Imbert, un des élément clé devant nous permettre de reprendre la main sur la technologie et ses usages.

Cette crise est donc à la fois un facteur de transformation digitale et stratégique, dont la data et la cybersécurité font partie intégrante, un facteur d’agilité, avec l’accélération du télétravail et l’adaptation des règles de sécurité informatique qui a été nécessaire et un facteur de « stress-test », pour nos modèles économiques et technologiques.

L’intelligence artificielle et la data au service de la crise

Jamal Attif nous l’a tous rappelé d’emblée : « la valeur est dans la donnée ». Cependant, selon lui, l’IA telle qu’on la connait aujourd’hui, n’est pas en mesure de résoudre cette crise. Elle peut aider à la combattre, en utilisant par exemple des algorithmes de fouille de données bibliographiques permettant de comprendre les effets de certains médicaments. Elle peut aussi accélérer et améliorer les diagnostics dans le milieu médical, via la reconnaissance d’images, mais elle ne peut pas prédire ce qui n’a jamais été observé auparavant, telle que cette épidémie, qui s’est développée très rapidement.

L’écosystème des startups a aujourd’hui un vrai impact dans nos modèles économique, mais il paraît important selon lui, pour faire de l’innovation de rupture permettant de répondre à des problématiques d’une telle envergure, de combiner toutes les forces en présence, que ce soient celles du monde de la recherche, des grands groupes ou des startups.

Cybersécurité : évolution de la menace et innovations

Guillaume Poupard constate deux points majeurs concernant le numérique et la cybersécurité aujourd’hui.

Tout d’abord, il soulève le côté positif de la transformation numérique, qui a permis de surmonter le défaut d’activité pendant cette période particulière. Cependant, il faut selon lui rester prudent, notamment face à la croissance particulièrement inquiétante de la cybercriminalité qui cible désormais de grandes entreprises, avec des cas très graves qui se multiplient (50 ransomwares en 2019, contre déjà 130 en 2020, et ce n’est pas terminé). La question de la lutte contre la cybercriminalité est donc un sujet d’importance majeure, d’où l’utilité de refaire des analyses de risques et des audits des systèmes d’information, afin de déceler les éventuels manquements à la cybersécurité durant ces quelques mois. Tout comme Jamal Attif, il rappelle l’importance que des acteurs publics et privés de toutes tailles, avec des motivations différentes, puissent travailler ensemble, afin de renforcer nos défenses en matière de cybersécurité. Il faut selon lui mettre en avant ceux qui innovent, et c’est d’ailleurs l’un des objectifs du campus cyber, qui devrait voir le jour dans les prochaines années, en région parisienne.

L’autre point, c’est de continuer à élever ces sujets au niveau de l’Union Européenne, et même au-delà, en mettant en place des réseaux pour que l’ensemble des parties prenantes puissent travailler ensemble. C’est notamment l’objectif du lancement, par les états membres de l’Union Européenne, du Cyber Crisis Liaison Organisation Network (CyCLONe).

Zoom sur l’écosystème innovation et startups

Reza Maghsoudnia partage l’essence même de l’écosystème startups, qui est de savoir sortir des sentiers battus, de challenger les acteurs établis, et d’innover pour donner plus de valeur aux diverses transformations que nous vivons. La crise augmente encore le besoin d’innovation, d’où l’importance pour Wavestone, de continuer à identifier ces gisements d’innovation, de les soutenir et de les accompagner.

À ce sujet, Wavestone a créé en 2015 un accélérateur de startups (Shake’Up), permettant d’être en permanence en interaction avec plusieurs centaines d’acteurs innovants sur le marché et d’identifier des pépites, afin de les accompagner. À ce jour, plus de 40 startups ont été accompagnées, dont de véritables success stories telles qu’Alsid et Citalid, dans le domaine de la cybersécurité. En ce qui concerne l’écosystème startups Cybersécurité françaises, nous vous proposons d’ailleurs de lire l’analyse de nos experts, suite au radar des startups réalisé par Wavestone.

61 startups participantes, 8 startups retenues et 4 startups récompensées

Isahit, Prix Spécial – Data for good & Ethics

Fondée en 2016, la « Tech for Good » française Isahit propose aux entreprises une plateforme digitale d’impact sourcing, pour le traitement de tâches digitales ne pouvant être prise en charge par une intelligence artificielle.

Retrouvez la vidéo de présentation de la startup Isahit.

CryptoNext, Prix Spécial – Cybersécurité Made in France

Fondée en 2019, CryptoNext a développé une technologie de chiffrement permettant de rendre les données résistantes à la puissance de l’informatique quantique. Son logiciel a vocation à être implémenté dans les offres des grands acteurs de la sécurité informatique.

Retrouvez la vidéo de présentation de la startup CryptoNext.

Inqom, Grand Prix Data & IA

Fondée en 2015, Inqom a construit un logiciel SaaS d’automatisation la production comptable, permettant de générer le bilan en temps réel. Grâce à l’intelligence artificielle, la solution traite et enrichit les données comptables afin de créer une comptabilité centralisée, uniformisée et intelligente.

Retrouvez la vidéo de présentation de la startup Inqom.

Hackuity, Grand Prix Cybersécurité

Fondée en 2018, Hackuity propose une plateforme repensant la manière dont les vulnérabilités informatiques sont gérées dans les entreprises en collectant, normalisant et orchestrant toutes les pratiques d’évaluation de la sécurité, automatisées ou manuelles.

Retrouvez la vidéo de présentation de la startup Hackuity.

Cet article Banking Innovation Awards : ils construisent ensemble la banque du futur !  est apparu en premier sur RiskInsight.

Les levées de fonds cybersécurité semblent plus poussives sur l’exercice 2019-2020 (de Juin 2019 à Juin 2020), comment l’expliquer ? 

On constate effectivement une baisse très nette des montants levés par les start-ups « tech » en France en mars/avril 2020. Ceci est d’autant plus flagrant en comparaison avec l’exercice précédent, 2018-2019, qui avait été particulièrement exceptionnel pour l’écosystème de la cybersécurité (autour de 300 millions d’euros levés, en comptant les levées de Vade Secure et Dashlane). 

2019-2020 est à notre sens une année extraordinaire à bien des égards :  

• D’importantes levées ont été réalisées sur la fin d’année 2019 et début 2020 : 33 millions d’euros pour CybelAngel, de belles levées également pour Trust–in–Soft, Egerie, Dust Mobile et Quarkslab que nous avons pu accompagner ; 
• Celles planifiées sur le premier semestre 2020 ont rapidement été impactées par la crise sanitaire : plusieurs prévues sur la période Février-Avril ont été reportées. 

Pour autant, un redémarrage des levées a été initié dès mi-avril à un rythme soutenu, et nous avons pris la décision en début d’année d’investir dans quatre nouvelles sociétés (trois en France, une en Europe). Ainsi, même si la crise sanitaire a conduit à un ralentissement à court terme, la fin de l’année 2020 devrait apporter de nouvelles levées, et potentiellement inverser la tendance, en particulier dans le domaine de la cybersécurité qui reste en croissance malgré la crise Covid-19.

Certaines start-ups décident de ne pas lever de fonds. Qu’en pensez-vous ? 

Il est possible de créer une entreprise de manière « organique » en autofinancement en particulier dans les activités de service, mais son développement sera beaucoup plus lent.  

Cependant sur le marché de la cybersécurité la vélocité nous semble primordiale pour une start-up : une idée innovante à un instant T peut très rapidement devenir obsolète et passer à côté de son marché.  Nous pensons qu’une levée de fonds est une étape incontournable pour une entreprise avec une offre logiciel/SaaS en cybersécurité voulant atteindre la taille critique pour être un leader dans un marché par nature très international. 

De notre point de vue le sujet particulièrement technique de la cybersécurité, nécessite un fonds spécialisé avec une équipe « sachante » et donc capable de comprendre les enjeux, la technologie, le marché, de faire les bons choix d’investissement et d’être pertinente dans l’accompagnement des sociétés. Ceci rend le positionnement d’Ace encore plus pertinent (pour les entrepreneurs) et différenciant sur le marché (pour les investisseurs dans nos fonds). 

Sur ce sujet, il est également important de noter que si Brienne III est aujourd’hui le seul fonds spécialisé en cybersécurité en France, il existe des fonds similaires dans d’autres pays européens (Allemagne, Pays-Bas …) qui sont des partenaires naturels pour nous. 

Les investisseurs ont tous leur recette magique pour identifier les pépites sur lesquelles investir, nous partageriez-vous quelques ingrédients de la vôtre ? 

Concernant le fond Brienne, nous ciblons des start-ups qui ont déjà une certaine maturité et cherchent à faire des levées conséquentes (au moins 5 millions d’euros, plutôt des séries A ou B). 

Sans dévoiler toute la recette, voici quelques éléments clefs que nous recherchons : 

• Un management ambitieux, sachant s’entourer des compétences adéquates pour le développement de leur structure ; 
• Une proposition de valeur solide techniquement, potentiellement issue de financement de R&D de grands groupes ou laboratoires de recherches ; 
• En adéquation avec les besoins du marché, répondant par exemple à une problématique récurrente non adressée ou à des enjeux de protection mis en lumière par de récentes attaques. 

En parlant des besoins du marché, quelles sont pour vous les prochaines tendances en cybersécurité ? 

Nos échanges avec différents RSSI pendant la crise sanitaire, nos analyses du marché et de l’actualité nous amènent à identifier les suivantes : 

• La sécurité des postes de travail revient sur le devant de la scène, notamment avec la généralisation des accès distants ; 
• La gestion des tiers de manière plus fluide tout en restant en sécurité et en limitant leurs accès ; 
• Les questions de souveraineté se posent davantage mais, sauf contraintes réglementaires, ne devraient pas rester le principal critère de sélection ; 

• Il nous semble également que le cap de l’utilisation du modèle en SaaS (Software As A Service) pour des solutions de sécurité est passé pour un certain nombre de structures, qui sont plus matures sur les modèles Cloud et les appréhendent bien moins. Un élément à garder en tête pour nos start-ups ! 

A propos de Brienne III et ACE Management : 

En juin 2019, avec un premier closing de 80 millions d’euros, Ace Management a lancé le fonds Brienne III, le premier fonds d’investissement français dédié au financement d’entreprises innovantes en cybersécurité et le plus important d’Europe continentale dans ce domaine. Les premiers souscripteurs de ce fonds sont Tikehau Capital (actionnaire d’Ace Management), Bpifrance, EDF, Naval Group, Sopra Steria et la région Nouvelle Aquitaine. D’autres investisseurs stratégiques et institutions, qui souhaitent soutenir l’émergence de solutions cyberdéfense de confiance, sont en discussions avancées avec Ace pour participer au second closing. 

Ace Management, filiale de Tikehau Capital, est une société de capital-investissement spécialisée dans les secteurs industriels et technologiques, avec un milliard d’euros d’actifs sous gestion. Fondé en 2000, Ace Management investit via des stratégies sectorielles, comme les industries stratégiques, la cybersécurité et les technologies de confiance. Ace Management a construit son modèle sur des partenariats avec de grands groupes investisseurs dans ses fonds (notamment Airbus, Safran, EDF). 

Cet article Entretien avec ACE Management – Radar 2020 des startups cybersécurité est apparu en premier sur RiskInsight.

Améliorer la connaissances des menaces et des attaquants : plateformes CTI (-Cyber-Threat Intelligence)

La Cyber Threat Intelligence (CTI ou Threat Intel’) est une discipline regroupant la récolte, la consolidation et l’exploitation de toutes les informations sur les cyber-menaces. “Connais ton ennemi” indique Sun Tzu dans l’Art de la Guerre. Bien que cette citation fasse référence aux guerres « physique », le principe reste vrai… et l’est sans doute même davantage pour les luttes « cyber ».

En effet, aujourd’hui, un nombre important de dispositifs de sécurité s’appuient sur une connaissance des attaques : approche par signature des anti-virus et IDS, scénarios de détection ciblés… Même si la tendance s’inverse (notamment avec la détection d’anomalies), la grande majorité des produits de sécurité s’appuient toujours -et continueront de s’appuyer- sur des principes de Threat Intelligence.

Les besoins des entreprises étant de plus en plus spécifiques, et les attaquants de plus en plus spécialisés, les solutions de Threat Intel’ se démocratisent et proposent directement leurs services aux entreprises. En complément des offres commerciales, de plus en plus de plateformes d’échanges et de partenariats permettent de collaborer directement avec d’autres entreprises (de même secteur, zone géographique…).

Les services rendus par la Threat Intel’ sont multiples. D’une part la Threat Intel’ « stratégique » aide les SOC à mieux connaître le contexte et les menaces spécifiques à leur entreprise. Pour cela, les risques pesant sur chaque écosystème sont étudiés : aspects géographique, politique, idéologique, sectorielle… Ces informations permettent aux équipes sécurités de mieux connaître les menaces les concernant, et d’orienter leurs décisions pour définir leur stratégie « long terme » (solutions à déployer…).

D’autre part, la Threat Intel’ « tactique » donne des informations plus précises sur les méthodes des attaquants et permet notamment au SOC de faciliter la détection et d’adapter les mesures existantes : nouveaux scénarios de menaces à surveiller, ports à bloquer….

En complément de ces approches, la Threat Intel’ « technique » participe grandement à l’analyse des évènements de sécurité en fournissant, sur demande (depuis un SOAR notamment, voir partie suivante), des éléments permettant de juger de la véracité d’une alerte : appartenance d’une IP à un botnet, hash de fichier correspondant à un virus connu…

Les dispositifs de Threat Intelligence figurent donc parmi les outils les plus polyvalents du SOC, en permettant de tirer parti au mieux des dispositifs existant, en restant à jour et priorisant les menaces à détecter, et en orientant vers les prochains outils et mesures à déployer.

Exemples d’éditeurs Threat Intelligence :

Industrialiser et automatiser le processus de réaction : SOAR

Les SOAR (pour Security Orchestration, Automation & Response) sont issus de la combinaison de trois outils du SOC : les SIRP (Security Incident Response Plateform, plus de détails ici), les SOA (Security Orchestration & Automation, les solutions d’industrialisation et d’automatisation) et une partie des fonctionnalités de plateformes de Threat Intelligence. Pour résumer, ce sont des plateformes d’aide et d’automatisation de la réaction aux incidents de sécurité. Ces solutions se rapprochent d’outils de ticketing (ITSM) classiques, mais embarquent des fonctionnalités spécifiques aux problématiques de cybersécurité. Les SOAR offrent principalement trois capacités, chacune liée à l’un des trois types d’outils à leur origine.

Premièrement, comme les SIRP, ils permettent la définition de processus de réaction adaptés à chaque évènement de sécurité. Ceux-ci sont basés sur des playbooks prédéfinis par l’éditeur, publiés par la communauté de la solution, ou créés manuellement pour une meilleure adaptation aux besoins de l’entreprise. Cette tâche impose notamment aux équipes de réaction d’établir un processus clairement défini, les aidant ainsi à se poser les bonnes questions lors de la création de procédures de réaction, et à capitaliser et stocker ces connaissances.

Le gain des SOAR repose cependant davantage sur l’automatisation des différentes étapes suivant la détection. Lors de la phase d’analyse, l’outil va automatiquement enrichir l’évènement de sécurité en allant récupérer des informations de contexte sur le SI (identité dans l’AD, criticité d’une ressource…), et en interrogeant des services de Threat Intelligence externes (via des API) ou proposés avec la solution. Outre l’automatisation de l’enrichissement et des étapes d’analyse, les SOAR facilitent aussi le travail des analystes -investigation de postes, interrogation de VirusTotal… en un clic-  lorsque leur intervention est nécessaire.

Mais l’automatisation ne s’arrête pas là ! Bien que polémique, l’automatisation de la réaction (via la connexion aux équipements de sécurité, héritage du SOA) peut représenter un gain important pour les équipes de sécurité : blocage d’URL, génération de signature de fichier et propagation aux antivirus, blacklisting d’IP…

L’objectif des SOAR est donc clair : faciliter la tâche des équipes en charge de l’analyse et de la réaction, en les aidant à définir des processus et en automatisant les tâches au maximum. Même si les SOAR sont très adaptables, et peuvent donc aider à répondre à toute type d’attaque, ils brillent tout particulièrement pour automatiser le traitement des attaques courantes (ransomware, phishing…), très répétitives et mobilisant les efforts des équipes de réaction.

Une fois ces tâches automatisées, les équipes sécurité en charge de la réaction peuvent se concentrer sur les alertes plus complexes, où leurs connaissances apportent une véritable valeur ajoutée.

À conditions d’être prêt à fournir l’effort initial (formalisation des processus…), les gains en réactivité et en charge attendus sont donc conséquents. Les SOAR sont amenés à changer le mode de travail des équipes SOC, en particulier pour les analystes de premier niveau. Même si ces solutions sont encore peu déployées en France, ils devraient devenir l’un des indispensables du SOC dans les années qui viennent.

Exemples d’éditeurs SOAR :

Même si l’outillage n’est qu’une partie du SOC, chacune de ces solutions présente des avantages certains qui aideront les équipes de détection à rester d’actualité face à l’évolution du SI et des menaces.

Tous ces outils sont prometteurs, et certains arrivent à maturité. Cependant, il est important de garder à l’esprit que l’outillage actuel lève déjà de nombreuses alertes, difficiles à prendre en compte. Il est donc conseillé de finir de déployer et d’industrialiser l’existant (en utilisant un SOAR par exemple), avant de se tourner vers de nouvelles solutions.

Et, comme pour tout produit innovant, il faut savoir garder la tête froide : le déploiement d’une nouvelle solution doit être motivé par des besoins bien définis.

Cet article SOAR, UEBA, CASB, EDR et autres acronymes… suivez la saga de l’été pour comprendre et choisir parmi les nouveaux outils du SOC (3/3) est apparu en premier sur RiskInsight.

Dans le cadre de cette compétition, les participants, d’origine européenne ou française ont su démontrer une richesse dans leur expertise technologique. Le spectre des thématiques abordées a ainsi permis de mettre en valeur la force de cet écosystème cyber.

On peut ainsi dresser le top 5 des types de solutions les plus présentées parmi les candidats aux concours :

• L’authentification, au cœur du SI, pour moderniser la vérification de l’identité
• La sécurité des infrastructures, la France en particulier se positionne comme un leader sur le sujet
• L’anti-fraude pour contrer le risque majeur que cela présente pour le secteur bancaire
• La sécurité applicative afin d’accompagner la multiplication des supports et des services
• La protection des données, une thématique au cœur de l’actualité avec le RGPD

Au terme d’une sélection difficile, 4 start-ups ont été retenus par les membres du jury et les collaborateurs. Retrouvez en exclusivité une interview croisée de ceux qui construisent la cybersécurité de la banque de demain.

• CopSonic, gagnante du grand prix BCSIA, développe et commercialise une technologie de communication sans contact utilisant les ultrasons comme moyen d’interaction et de transmission de données entre les dispositifs électroniques

(Retrouvez l’interview d’Emmanuel Ruiz ici) 

• GitGuardian récompensée du prix protection des données clients, aide les entreprises à se protéger contre les fuites de données sensibles hébergées dans le cloud. Elle alerte les entreprises lorsque les identifiants à leurs services cloud sont compromis ou utilisés de façon abusive

(Retrouvez l’interview d’Eric Fourier ici)

• ICARE Technologie ayant reçu le prix spécial France, développe une bague intelligente couplée à une application smartphone permettant au porteur de la programmer pour remplacer l’intégralité du portefeuille et du porte-clefs

(Retrouvez l’interview de Georges Bote ici)

• ubble, lauréate du prix IA et lutte contre la fraude, permet aux consommateurs de confirmer facilement et en toute sécurité leur identité en ligne et d’utiliser dans le monde digital leur documents d’identité physique régaliens de façon fiable, pratique, et respectueuse de la vie privée

(Retrouvez l’interview de Juliette Delanoë ici)

 Dans le cadre de la remise des prix une table ronde sur le sujet de la relation entre les grands comptes et les startups a eu lieu. Les intervenants, Guillaume Poupard, Thierry Olivier, Yves Vilaginés, Emmanuel Gras et Gérôme Billois ont évoqué chacun leur point de vue. Voici les principaux messages qui en ressortent :

 Un écosystème cyber qui reste à construire

 Les membres de la table ronde ont mis en avant la difficulté pour un entrepreneur cyber de se lancer. En effet il n’existe pas, à ce jour, de structure officielle pour les accompagner. Par ailleurs, les investissements sont encore insuffisants. L’exemple évoqué était le suivant :  les start-ups cyber en France en 2017 ont levé en moyenne 3,8 millions d‘euros pour un total de seulement 26,2 millions d’euros.

Une concurrence historique, compliquée à challenger

Les participants à la table ronde ont par ailleurs soulevé l’autre difficulté majeure pour les start-ups cyber : des produits à l’innovation parfois insuffisante. De leur point de vue, très peu d’entrepreneurs se lancent dans de nouvelles offres, la plupart préférant réinventer des solutions de sécurité existantes.

Ils en tirent la conséquence suivante : face à des éditeurs historiques de logiciels de sécurité qui sont déjà connus et en place dans des grands groupes, les start-ups peinent à convaincre. Leur compétitivité amoindrie freine donc leur croissance.

La nécessaire réconciliation entre stabilité et innovation

Il a ainsi été argumenté que les start-ups sont face à deux besoins contradictoires. Elles doivent tout d’abord chercher à stabiliser leur produit pour le vendre et ainsi diminuer la pression financière qui pèse sur elles. Et dans le même temps, on exige d’elles qu’elles démontrent une agilité, une innovation permanente pour concurrencer les éditeurs existants, ce besoin les empêchant parfois d’aboutir leur produit.

Cependant, pour les experts présents durant cet échange, ces deux dimensions sont loin d’être irréconciliables. Ils ont ainsi avancé trois pistes pour aider les start-up cyber à innover tout en continuant à croitre.

D’une part, la première solution consiste à impliquer les grands groupes pour accompagner les start-ups en les rémunérant durant leurs tests (Proof Of Concept) contrairement à l’usage actuel qui veut que les POCs soient gratuits alors même qu’ils peuvent durer plusieurs semaines, voire plusieurs mois. En les finançant de la sorte, les grands groupes permettront aux start-ups de démontrer la pertinence de leur produit sans mettre en danger leur pérennité financière.

Ensuite, il convient aussi de les aider à gagner en visibilité : pour cela, les intervenants ont suggéré de développer un incubateur spécialisé en cybersécurité et y dédier des fonds pour structurer l’ensemble du marché.

Enfin le dernier axe concerne les start-ups elles-mêmes : il leur faut prendre du recul sur leur solution et, au-delà de l’aspect technique, tenter de mettre en avant leurs avantages compétitifs pour la vendre de manière globale en se différentiant de leurs concurrents.

Pour conclure, l’ensemble des participants à la table ronde s’est accordé pour dire que le marché est très prometteur : les entrepreneurs cyber ayant dans l’ensemble de bons profils techniques et des idées très intéressantes, il convient de leur donner les clés pour se démarquer dans un écosystème compétitif.

La meilleure solution pour cela restant donc de mobiliser autour des start-ups, des métiers, des RSSIs, des investisseurs mais également des grands groupes ou des experts du secteur afin de leur offrir conseil et visibilité comme dans le cadre des Banking CyberSecurity Innovation Awards. Rendez-vous en 2019 pour la troisième édition !

Cet article BCSIA : ILS CONSTRUISENT LA CYBERSECURITE DE DEMAIN est apparu en premier sur RiskInsight.

Compléter la détection avec de nouvelles approches

Raisonner identité pour détecter les comportements suspects : UEBA

Les technologies UEBA (pour User and Entity Behavioral Analysis), précédemment appelées UBA, sont parmi les derniers nés des outils venant compléter l’arsenal de détection des SOC. Comme leur nom l’indique, leur approche est claire : faire abstraction des considérations techniques des solutions actuelles (SIEM…) en analysant le comportement des utilisateurs et des entités (comprendre terminaux, applications, réseaux, serveurs, objets connectés…).

Le principe est simple, mais son implémentation l’est beaucoup moins. En effet, pour être efficace, les dispositifs UEBA ont besoin de sources nombreuses, avec des formats de données variés. Les sources traditionnelles, telles que le SIEM et le(s) gestionnaire(s) de logs, mais aussi directement certaines ressources (AD, proxy, BDD…) sont souvent utilisées.

Mais afin de parfaire la détection, les solutions UEBA interrogent aussi de nouvelles sources : informations sur les utilisateurs (applications RH, gestion des badges…), échanges entre employés (chats, échanges vidéo, emails…), ou toute autre contribution pertinente (applications métiers à surveiller…).

À partir de toutes ces informations, les solutions UEBA analysent les comportements des utilisateurs (et entités) pour identifier de potentielles menaces. Elles peuvent utiliser des règles statiques, sous forme de signatures à détecter (souvent déjà implémentées dans les solutions SIEM) : connexions simultanées depuis deux endroits différents ou hors des plages horaires classiques…

Mais la véritable force des UEBA réside dans l’utilisation d’algorithmes de Machine Learning pour détecter des modifications du comportement d’utilisateurs ou services : opération métier suspecte, accès à des applications critiques jamais utilisées auparavant lors de congés, transferts de données inhabituels…

Si, à l’origine, les UEBA étaient pensés pour lutter contre les fraudes, leur rôle s’est cependant peu à peu élargi pour couvrir certains périmètres posant habituellement des problèmes aux SIEM : vols de données, compromission -ou prêt- de comptes applicatifs, infection de terminaux ou serveurs, abus de privilèges…

Ainsi, les UEBA se positionnent aujourd’hui en compléments des SIEM, en complétant l’approche « technique » par une vision « utilisateur », et en ajoutant une couche d’intelligence supplémentaire dans l’analyse.

Au vu du marché, il probable que les solutions UEBA cessent d’exister en tant que telles dans les années à venir et s’intègrent à des solutions existantes (SIEM, EDR…), passant de produits à fonctionnalités.

Exemples d’éditeurs UEBA :

Piéger les attaquants : Deceptive Security

La Deceptive Security peut être considérée comme un passage au niveau supérieur des Honey Pots. Des leurres, sous formes de données, d’agents ou d’environnements dédiés, sont répartis à grande échelle dans tout ou partie du SI.

Selon les solutions et les besoins, les outils de Deceptive Security peuvent poursuivre deux buts. En détournant l’attention des attaquants des vraies ressources et en les dirigeants vers de fausses pistes, ils peuvent agir comme moyens de protection.

Mais surtout, la surveillance de ces leurres peut permettre de détecter des menaces se propageant au sein du SI. En effet, ces leurres n’ayant d’autres utilités que d’appâter de potentiels attaquants ou de divulguer de fausses informations, toute communication avec l’un d’entre eux est nécessairement suspecte.

Ce type de solution ne remplace par les solutions existantes, mais répond à des cas d’usage bien spécifiques, pour lesquels les dispositifs de détection classiques sont peu efficaces : les APT, spécialement conçus pour les contourner, et plus largement les mouvements horizontaux au sein du SI.

Pour plus de détails sur les solutions de Deceptive Security, vous pouvez consulter notre article dédié au sujet ici !

Exemples d’éditeurs Deceptive Security :

Détecter les signaux faibles sur le réseau : sondes « Machine Learning »

Les sondes de détection classiques (IDPS), basées sur l’analyse de trafic et la comparaison avec des signatures d’attaques connues, sont peu efficaces lorsqu’il s’agit de détecter des menaces subtiles (APT…) ou inconnues (0 days…). Pour pallier ce problème, les IDPS nouvelles générations intègrent des capacités de Machine Learning (parfois présenté comme de l’Intelligence Artificielle) dans leur arsenal de détection.

Selon les solutions, deux types d’usage du Machine Learning sont à distinguer. D’une part, l’utilisation de ces algorithmes en mode supervisé, pour apprendre à reconnaître le comportement de certaines attaques ou phases d’attaque lors de leur phase active : commande & contrôle, scans, mouvements latéraux, fuite de données…

Une fois la sonde déployée, l’ajustement des seuils de détection au contexte client est lui aussi basé sur des algorithmes de Machine Learning (comme le font déjà bon nombre de solutions IDPS classiques).

Ce mode de fonctionnement permet un déploiement rapide (solution utilisable out-of-the-box et phase d’apprentissage écourtée), et une meilleure capacité à détecter les attaques caractérisées précédemment. En contrepartie, la détection des attaques non couvertes par l’apprentissage ou complètement inconnues restent difficiles.

A l’opposé de cette approche, des solutions misent sur l’apprentissage non-supervisé pour détecter les attaques. Pour cela, lors du déploiement, les sondes sont positionnées sur le réseau pour observer le trafic, et apprendre à reconnaître le trafic légitime.

Une fois la phase d’apprentissage terminée, les sondes sont capables de détecter des anomalies, et donc de lever des alertes en cas de comportement suspect. Cette approche permet de détecter des attaques inconnues, mais nécessitent généralement une phase d’apprentissage plus longue pour être efficace et atteindre un taux de fausses alertes acceptables.

Dans les deux cas, les sondes « Machine Learning » permettent de compléter l’arsenal des SOC, aujourd’hui majoritairement destiné à détecter des attaques connues, par des capacités de détection capables de distinguer des attaques complexes, méconnues, ou créés pour contourner les dispositifs de sécurité classiques.

Nos premiers retours terrains montrent que ces technologies peuvent en effet détecter des menaces passant au travers des dispositifs de sécurité classiques. Les faux positifs sont cependant très fréquents (la courbe d’apprentissage variant grandement selon les solutions et les contextes), et il reste difficile de juger de l’exhaustivité des menaces détectées.

Les sondes « Machine Learning » ont donc un avenir certain parmi les outils du SOC, même si un gain en maturité reste à réaliser pour qu’elles atteignent leur plein potentiel.

Exemples d’éditeurs de sondes ML :

Pour retrouver notre troisième et dernier article sur cette saga, c’est par ici.

Cet article SOAR, UEBA, CASB, EDR et autres acronymes… suivez la saga de l’été pour comprendre et choisir parmi les nouveaux outils du SOC (2/3) est apparu en premier sur RiskInsight.

Dans un contexte où l’on assiste à une véritable pénurie de compétences cybersécurités, ces problématiques ne peuvent être adressées uniquement par le renforcement des effectifs du SOC. L’utilisation de nouveaux outils, basée sur 4 axes stratégiques, est indispensable pour permettre au SOC d’avoir de l’avance sur les nouvelles menaces.

Ainsi, l’extension de la détection à de nouveaux périmètres permet de protéger de nouvelles parties du SI, aujourd’hui insuffisamment sécurisées (Cloud) ; et des ressources de plus en plus prises pour cibles (attaques ransomware sur les terminaux, attaques ciblées utilisant les AD…).

Dans le même temps, l’adoption de nouvelles approches devient une nécessité pour détecter les attaques ciblées (0days, « low signal » …), dont la subtilité croissante met à mal les dispositifs de sécurité existants.

En complément de nouveaux outils de détection, une connaissance avancée des menaces et des attaquants peut venir améliorer les capacités de détection existantes, aider à la priorisation des incidents à traiter et faire gagner en efficacité lors de la réaction.

Mais les équipes SOC éprouvent déjà des difficultés à traiter les évènements générés par les outils existants. Il est donc primordial d’industrialiser et d’automatiser les interactions entre équipes et systèmes, et, lorsque c’est possible, les étapes d’analyse et de réaction !

Pendant l’été, suivez les épisodes de notre saga pour découvrir les moyens d’outiller ces 4 axes stratégiques !

Étendre la détection à de nouveaux périmètres

Une solution unique pour sécuriser tous les Cloud : CASB

Les CASB (pour Cloud Access Security Broker) adressent un périmètre du SI aujourd’hui mal desservi par les mesures de sécurité classiques : le Cloud. Par sa nature, sa protection nécessite en effet des adaptations par rapport aux SI classiques : pas ou peu de maîtrise des ressources (infrastructures, OS ou applications, selon le type d’offre), localisation à l’extérieur du SI…

Les CASB visent à centraliser et à faire appliquer les politiques de sécurité aux services situés dans le Cloud. Certains fournisseurs Cloud proposent leurs propres services de sécurisation CASB (par exemple Microsoft avec Microsoft Cloud App Security) ; mais, selon les besoins, il est parfois préférable d’utiliser des solutions tierces, même si l’ajout d’un acteur supplémentaire a un coût. En effet, le CASB visant à s’assurer du niveau de sécurité du Cloud, confier ce rôle aux fournisseurs du service à surveiller peut être contre-productif, et l’utilisation d’un « tiers de confiance » est à privilégier.

Dans tous les cas, les CASB sont des solutions variées, pouvant regrouper de très nombreux services, leurs maturités variant selon les éditeurs de solution, les fournisseurs Cloud et le type d’hébergement (IaaS, PaaS, SaaS…).

D’une part, les solutions CASB permettent d’adresser les enjeux spécifiques aux Cloud, en palliant le manque de visibilité sur ces environnements (détection du Shadow IT, statistiques d’utilisation…), et en s’assurant de leur conformité (vérification des configurations…).

D’autre part, elles participent au déploiement des mesures de sécurités classiques sur ce périmètre. En particulier, les enjeux de sécurité de la donnée (DLP et mesures de chiffrement, particulièrement appréciées par les régulateurs) et de détection des menaces (centralisation des logs Cloud pour transmission au SIEM, détection de comportements anormaux -UEBA !, voir partie dédiée-…) font parties des capacités classiques proposées par les éditeurs. En complément, certaines problématiques d’IAM peuvent aussi être adressées par ces solutions (SSO, contextualisation des accès…).

Il existe deux principaux modes de déploiement pour la mise en place de ces fonctionnalités, chacun possédant ses avantages (et inconvénients). Les solutions types proxy sont placées en coupure entre les utilisateurs et le service Cloud.

A l’opposé, dans le cas des solutions de type API, parfois appelées out-of-band, les consommateurs du service Cloud communiquent directement avec celui-ci. Pour chaque accès, le service interroge les API du CASB afin de d’évaluer les risques, et d’autoriser ou non la consommation du service. Les solutions API s’appuient cependant sur les interfaces proposées par le fournisseur Cloud pour fonctionner, ce qui peut limiter certaines possibilités.

Aujourd’hui jeunes et peu matures, les CASB restent peu déployés. Au vu de la démocratisation (déjà bien avancée) des services Cloud, les CASB ont cependant un bel avenir devant eux, et permettront aux équipes SOC d’étendre leur surveillance sur ce périmètre, voué à représenter une partie importante du SI.

Exemples d’éditeurs CASB :

Détection et réaction, le nouveau couteau suisse pour sécuriser les terminaux : EDR (Endpoint Detection and Response)

Les solutions EDR (pour Endpoint Detection and Response) viennent compléter les capacités de détection et de réaction des SOC sur les terminaux (PC, serveurs…).

Comme leur nom l’indique, les EDR participent à la détection d’attaques. Ceux-ci viennent en effet combler les faiblesses des anti-virus (et autres HIPS) s’appuyant sur des signatures d’attaques précises, et donc inadaptées pour détecter certains types d’attaques, notamment les attaques avancées (APT). Les EDR se basent donc sur d’autres méthodes de détection, les éditeurs proposant généralement une combinaison de techniques habituellement utilisées sur d’autres périmètres.

Parmi ces techniques, la détection d’exploitation de vulnérabilités connues ou de patterns d’attaque (ouverture de port suspects vers des adresses douteuses…), l’analyse de fichiers par une sandbox (émulation locale, soumission dans le Cloud…), et des approches comportementales basées sur du Machine Learning (en particulier les solutions UEBA, cf. partie dédiée) sont utilisées par bon nombre de solutions. Selon les besoins du SOC, les alertes remontées peuvent être intégrées comme sources du SIEM, ou disponibles directement depuis la console de management de la solution.

En plus de ces capacités de détection avancées, les solutions EDR apportent aussi un important gain en visibilité sur les terminaux : liste des processus et services lancés, liste de fichiers dans certains répertoires systèmes… et toute autre information permettant de faciliter l’investigation en cas d’alerte. Certaines solutions ne se limitent pas à récupérer l’état du terminal au moment de la demande, mais permettent aussi de récupérer son historique : génération de logs, récupération de fichiers supprimés…

Mais les fonctionnalités des EDR ne s’arrêtent pas aux étapes de détection et d’analyse. En effet, ces solutions permettent d’effectuer des actions de remédiation à distance, dont la complexité dépend des éditeurs : suppression ou mise en quarantaine de fichiers, arrêt de processus, mise en quarantaine réseau de postes, modification de clés de registre…

Les EDR sont donc des solutions très complètes intervenant à toutes les étapes du processus : de la détection, à l’analyse, jusqu’à la réaction. Elles n’ont cependant pas vocation à remplacer les solutions anti-virus, toujours plus efficaces pour bloquer les attaques connues ; même si l’on observe de plus en plus d’éditeurs proposant des solutions unissant les deux types de fonctionnalités.

Pour plus de détails sur les solutions EDR, vous pouvez consulter notre article dédié au sujet ici !

Exemples d’éditeurs EDR :

Protection des clés du royaume : supervision Active Directory

Les annuaires comptent parmi les composants les plus critiques du SI. En effet, ceux-ci fournissent les fonctionnalités d’authentification et d’habilitation pour la quasi-totalité des ressources du SI, aussi bien techniques que métiers, y compris les plus critiques. Il n’est donc pas étonnant que la compromission d’AD figure parmi les méthodes d’attaque les plus utilisées, car ouvrant de nombreuses portes aux attaquants.

Malgré cette criticité, et bien que les architectures AD soient bien connues et aient peu évolué depuis plusieurs années, leur sécurisation reste perfectible. Cela est en particulier dû à leur mode de fonctionnement spécifique (OU, domaines, arbres, forêts, utilisateurs…), rendant les moyens de protection et de surveillance classiques peu efficaces, en particulier lorsque toute vulnérabilité peut représenter un risque majeur pour le reste du SI.

Les solutions de surveillance AD visent à pallier ce problème en supervisant (en temps réel, ou lors d’audit) les spécificités des annuaires (configuration, état des comptes…), et en y détectant des vulnérabilités susceptibles de causer leur compromission. Pour cela, les solutions de supervision AD possèdent une connaissance très pointue du fonctionnement des AD, et tout particulièrement des enjeux de sécurité liés.

Lorsqu’une vulnérabilité est détectée, une alerte est remontée (par le biais du SIEM, ou directement dans la solution) et des conseils de remédiation peuvent être fournis afin de faciliter le travail des équipes en charge de la correction.

Les outils de supervision AD permettent par ailleurs au SOC de détecter toute modification de configuration (légitime, accidentelle ou malveillante) et de s’assurer en continu du niveau de sécurité de ces composants critiques, compliquant d’autant la tâche de nombreux attaquants.

En complément du renforcement direct du niveau de sécurité de l’AD, ces solutions peuvent aussi être utilisés pour s’assurer de la compliance vis-à-vis de normes ou de contraintes réglementaires (LPM, PCI DSS…).

Ces solutions restent assez peu répandues aujourd’hui, et leur utilisation généralement limitée à des audits ponctuels. Cependant, au vu des importants gains de sécurité associés (détection et conseils de remédiation) et de leur simplicité d’utilisation, ces solutions sont prometteuses et devraient réussir à se faire une place parmi les outils du SOC.

Exemples d’éditeurs de supervision AD :

Pour retrouver notre second article de la saga, c’est par ici.

Cet article SOAR, UEBA, CASB, EDR et autres acronymes… suivez la saga de l’été pour comprendre et choisir parmi les nouveaux outils du SOC (1/3) est apparu en premier sur RiskInsight.

Stop aux mots de passe !

S’authentifier, c’est prouver par un moyen convenu que l’on est bien la personne que l’on prétend être. Depuis l’Antiquité, le moyen le plus adopté et utilisé reste sans conteste le mot de passe. Il est cependant source d’agacement pour les utilisateurs et présente de nombreuses limites d’un point de vue sécurité.

Un sentiment partagé de « ras-le-bol »…
Nous avons tous une fois rêvé de ne plus devoir se rappeler quel mot de passe utiliser pour se connecter à nos applications préférées. Mais force est de constater que cela reste toujours un rêve.
La promesse de l’authentification unique est loin d’être tenue en entreprise et l’essor des coffres forts de mots de passe montre bien les difficultés rencontrées par les utilisateurs : multiplicité et pertinence relative des politiques de mot de passe, changement de mot de passe obligatoire, sans compter que réinitialiser son mot de passe peut relever du parcours du combattant.
Néanmoins, le principal avantage du mot de passe reste son côté universel et déjà inscrit dans les habitudes de tout un chacun.

… et un niveau de sécurité limité
De nombreux scénarios de cyberattaques s’appuient à un moment ou à un autre sur la compromission d’un mot de passe, de préférence celui d’un compte à privilèges, en utilisant différentes techniques : tests de combinaisons en grand nombre (brute force), interception de communication (Man-In-The-Middle), reconstitution du mot de passe à partir de son empreinte (Rainbow Table)…

Des mesures de sécurité pour se prémunir de ces attaques existent (chiffrement, hachage, salage, blocage du compte…) mais ne sont pas toujours implémentées systématiquement voire pas toujours de manière satisfaisante. Comme le dit l’adage, « Les mots de passe sont du point de vue de l’entreprise comme des déchets nucléaires : on les enterre profondément et on espère qu’il n’y aura pas de fuite.»

Outre les faiblesses techniques évoquées, un risque majeur réside dans les comportements des utilisateurs : réutilisation du même mot de passe pour plusieurs services, mots de passe trop faibles ou faciles à deviner, incrémentation… Ainsi, lorsqu’un mot de passe est réutilisé sur plusieurs services, le maillon le plus faible fragilise toute la chaîne.

En définitive, l’expérience utilisateur appauvrie et le niveau de sécurité limité poussent les entreprises à chercher de nouveaux moyens d’authentification.

Quels remèdes ?

On divise généralement les moyens d’authentification en 4 catégories :

Ce que je sais

Ces méthodes d’authentification se basent sur une clé ou un code que l’utilisateur connait. Elles représentent la majeure partie des solutions mises en place aujourd’hui aussi bien en entreprise que dans la sphère privée. Parmi les solutions existantes, on peut notamment retrouver le traditionnel mot de passe, le code PIN ou encore les questions secrètes. Ces dernières sont toutefois rarement utilisées car soit trop génériques (« Quelle est votre couleur préférée ? ») soit trop difficiles à retenir.

Ce que je possède

La sécurité repose sur le fait de posséder un matériel particulier. On retrouve notamment les matériels suivants :

• Un smartphone

Le smartphone permet, en entreprise comme dans la sphère privée, de sécuriser la réalisation d’opérations plus sensibles : accéder au réseau interne de l’entreprise, confirmer un paiement en ligne ou une opération bancaire inhabituelle…

Le smartphone peut ainsi être utilisé de différentes façons pour s’authentifier :

• Un token matériel

Un token a souvent la forme d’une mini-calculatrice et permet de générer un code à usage unique (OTP), le token pouvant lui-même être protégé par un code PIN choisi par l’utilisateur. Historiquement très utilisé dans les entreprises (accès VPN notamment) et occasionnellement dans la sphère privée pour la connexion à certains espaces clients, les tokens tendent néanmoins à disparaître au profit des smartphones, éliminant ainsi une logistique coûteuse.

• Une carte à puce

La carte à puce contient un certificat qui sert à prouver l’identité du porteur. Un lecteur de carte est indispensable pour l’authentification ; par ailleurs la gestion des certificats nécessite des infrastructures et des procédures de gestion du cycle de vie (arrivée, départ, perte…). Plutôt réservée au monde de l’entreprise, son usage tend à se limiter à des populations ou des usages ciblés (administration IT, opérations financières…).

• Une clé U2F

Cet objet se présente sous la forme d’une clé USB standard mais au lieu d’être utilisée pour stocker des fichiers, elle stocke une clé unique liée à l’utilisateur. Basée sur un standard défini par l’alliance FIDO, cette solution allie bon niveau de sécurité (notamment une résistance au phishing) et bonne expérience utilisateur (les clés peuvent rester brancher sur un port USB du poste) puisqu’une simple pression sur la clé suffit pour s’authentifier. Notons toutefois qu’il ne s’agit pas d’une reconnaissance d’empreinte digitale.

• Un objet connecté tel qu’une montre

Cette dernière solution, la plus novatrice dans cette catégorie, permet à l’utilisateur de se connecter par le biais d’un objet connecté qu’il possède déjà. Ce moyen d’authentification est très peu utilisé en entreprise mais Apple propose par exemple de déverrouiller son ordinateur en s’approchant simplement avec un objet connecté de la même marque.

Ces solutions basées sur la possession d’un matériel se distinguent essentiellement par leur niveau d’ergonomie. Dans tous les cas, il s’avère indispensable de gérer « l’enrôlement » (le fait de lier l’objet à son porteur), le renouvellement, la perte et le vol du matériel en question.

Ce que je suis

Les caractéristiques physiologiques d’une personne telles que l’empreinte digitale, le réseau veineux de la main, l’iris, le visage, l’empreinte vocale ou encore le rythme cardiaque permettent également d’authentifier une personne. L’usage de ces solutions est pour le grand public principalement limité à l’ouverture de son poste de travail ou de son smartphone (empreinte digitale ou visage). Cependant, ces solutions sont mises en œuvre depuis plusieurs années en entreprise pour contrôler l’accès à des salles ou zones hautement sensibles.

Ce que je fais

Le rythme de frappe au clavier, les mouvements de la souris, le maintien du téléphone, ou encore le toucher sur l’écran sont différents moyens de distinguer un utilisateur légitime d’un usurpateur ou encore d’un robot. Ces solutions de biométrie comportementale nécessitent un volume de données important pour être fiables mais cela tend à s’améliorer grâce aux nouvelles approches de Machine Learning. Ces solutions sont plutôt utilisées comme mesures de sécurité complémentaires à l’authentification (détection d’attaque par robot, détection de partage de comptes…).

En synthèse, la figure ci-dessous représente les différentes solutions d’authentification en fonction de leur niveau de sécurité et de leur simplicité d’utilisation.

Expérience utilisateur et sécurité, ennemis inconciliables ?

Nous pensons qu’il est possible de réconcilier expérience utilisateur et sécurité et proposons ici 4 orientations pour y parvenir.

Orientation 1 : Simplifier l’utilisation des mots de passe

S’il parait illusoire d’imaginer une suppression complète de l’utilisation des mots de passe, il reste possible néanmoins de s’attaquer à certains de leurs défauts. On peut déjà réduire la fréquence de saisie via des mécanismes de fédération d’identité qui permettent d’accéder aussi bien à des services de l’entreprise que des services de partenaires. Par ailleurs, des chatbots voient le jour pour simplifier les processus de réinitialisation de mots de passe et vont dans le sens d’une amélioration significative de l’expérience utilisateur. Quant à la sécurité, la sensibilisation des utilisateurs sur la bonne utilisation des mots de passe reste aujourd’hui une action essentielle pour réduire les risques (social engineering, spam, phishing, vols de mot de passe…).

Orientation 2 : Adapter les exigences de sécurité au contexte

De même que l’on doit adapter sa vitesse sur route aux conditions climatiques, la notion de « risque » doit nous guider dans le niveau de sécurité attendu pour authentifier l’utilisateur. Ainsi, pour consulter des informations non sensibles, un simple mot de passe peut suffire, là ou des opérations sensibles (virement bancaire important…) vont nécessiter d’authentifier l’utilisateur avec plus de certitude en combinant plusieurs facteurs d’authentification. D’autres critères peuvent être pris en compte pour évaluer le risque comme le PC ou smartphone utilisé, la localisation géographique, l’heure de connexion voire même le comportement habituel ou non de l’utilisateur.

Au-delà de la phase d’authentification, le niveau de risque peut également influencer la durée avant nouvelle demande d’authentification (pas besoin de retaper son mot de passe Facebook tant que l’on reste sur le même PC ou smartphone, réauthentification à un webmail tous les X jours seulement…).

Finalement, l’authentification n’est plus vue comme un événement mais comme un processus continu.

Orientation 3 : Laisser à l’utilisateur le choix de son facteur d’authentification

Plutôt que d’imposer un unique moyen d’authentification à tous les utilisateurs, le Bring Your Own Token (BYOT) consiste à laisser chacun choisir celui qui lui paraît le plus adapté à son usage. L’idée reste de proposer un choix parmi des solutions de niveau de sécurité comparable.

Aujourd’hui, Facebook ou encore Google, proposent du BYOT comme second facteur d’authentification via l’enregistrement d’un smartphone ou d’une clé USB sécurisée par exemple.

Dans le monde professionnel, cela reste moins développé pour le moment mais on peut facilement imaginer proposer ce service à des populations ciblées : besoins de mobilités spécifiques, appétence technologique…

Orientation 4 : S’appuyer sur les comptes déjà existants

Il est de plus en plus courant d’utiliser son compte d’un réseau social (Facebook, Google, LinkedIn) pour se connecter à des sites de e-commerce ou à d’autres sites web. Le Social Login permet à la fois de simplifier la création du compte sur le nouveau site en ligne et de limiter le nombre de mots de passe à retenir.

Tous les services en ligne n’ont cependant pas vocation à utiliser le Social Login. Dans le cas de services publics ou parapublics par exemple, on privilégiera plutôt le State Login qui permet par exemple d’utiliser son compte des Impôts, de l’Assurance maladie ou de La Poste pour effectuer différentes démarches administratives en ligne (FranceConnect). Le développement de ces usages est en pleine accélération aujourd’hui.

En conclusion

Si les mots de passe ne sont pas prêts de disparaître complètement, la recherche d’alternatives est en plein essor : les usages et les solutions technologiques évoluent rapidement, des consortiums et de nouveaux standards voient le jour (OAuth2, OIDC) et désormais l’expérience utilisateur est au centre de la réflexion au même titre que les enjeux de sécurité.

Cet article Quels remèdes contre les maux de passe ? est apparu en premier sur RiskInsight.

Les grands comptes : des cibles existentielles mais complexes

Le tissu économique français repose beaucoup sur des grands groupes disposant de capacités d’investissement important. Pour les startups cherchant à commercialiser leur offre en cybersécurité, ce sont des clients de choix.  Cependant, les processus rigides et complexes de ces grandes entreprises constituent un obstacle majeur pour les startups.

Après les embûches liées à l’identification des multiples donneurs d’ordre dans la structure (RSSI, architecte, expert, DSI, achats…), il reste très difficile de signer son premier contrat. La durée du processus d’achat allant de 3 à 6 mois et sa complexité ne correspondent pas au fonctionnement des startups, qui se voient demander des preuves de rentabilité, un nombre important d’années d’existence ou des références d’autres clients, ce qui est impossible lors des premiers contrats.

Cette situation est exacerbée pour la cybersécurité car les startups ne peuvent pas souvent compter sur les pôles Innovation créés par les grands-comptes pour faciliter les échanges avec l’écosystème de l’innovation. D’une part car les startups ont du mal à convaincre les apports métiers des solutions proposées et d’autre part car les équipes Innovation ont du mal à comprendre les apports concrets vu les spécificités des sujets abordés. Les retours d’expérience réussis montrent que la filière cybersécurité des grands-comptes doit souvent donner l’impulsion, voir porter elle-même les relations avec les startups cyber.

Des habitudes à faire évoluer dans les grandes entreprises

Une fois la mise en relation réalisée, il reste une étape : la réalisation de tests en conditions réelles (Proof of Concept). C’est un exemple de la difficulté pour les startups de rivaliser avec les éditeurs cybersécurité classiques dans le monde des grands comptes. Ces tests sont demandés pour évaluer l’efficacité d’une nouvelle solution. Les grands éditeurs, aux moyens financiers importants, offrent ces « PoCs » à leurs clients, qui en retour se sont habitués à ces tests « gratuits » à leur profit.

Pour les startups cependant la situation est différente car leur besoin en fonds de roulement est très court et réaliser de tels tests gratuitement peut mettre en péril la structure toute entière !

Il est donc nécessaire que les grands groupes prévoient des budgets adaptés, souvent de l’ordre de quelques milliers d’euros seulement, pour tester les solutions innovantes proposées par les startups.

En France, des retours positifs dans les interactions startup/grands comptes

Cependant des collaborations réussies entre startup et grands comptes montrent que ces deux mondes peuvent travailler ensemble. Et l’effort consenti apporte ensuite énormément. Des startups comme Alsid ou Idecsi bénéficient ainsi de témoignages de clients d’ampleurs à même de rassurer d’autres sociétés et les investisseurs.

Un écosystème cybersécurité français valorisant l’innovation

En France, la présence d’un écosystème qui fait la promotion régulière de l’innovation en associant grands comptes et startups est notable : Assises de la Sécurité avec le Prix de l’Innovation, le FIC avec le prix de la PME Innovante ou encore le concours dédié à la cybersécurité dans le milieu bancaire coorganisé par la Société Générale et Wavestone. Ces initiatives permettent une mise en lumière de l’innovation en cybersécurité, ainsi que la mise en relation directe de différents acteurs. Elles participent ainsi à la création de la relation de confiance nécessaire pour que les grands comptes investissent dans les solutions proposées par des startups.

L’importance de l’existence d’une offre française pour la souveraineté numérique

La cybersécurité est une problématique mondiale mais relève aussi de la sécurité nationale. L’intérêt d’avoir des produits de confiance dans ce domaine est évident.

Même si beaucoup reste à faire pour garantir une souveraineté numérique, les initiatives de certaines startups françaises ont permis l’importation de concepts n’existant initialement qu’à l’étranger. C’est par exemple le cas des plateformes de Bug Bounty (en français, « chasse aux failles »). En France, trois startups, Bug Bounty Factory, Bug Bounty Zone et Yogosha proposent des services dans ce domaine. Ceci pourra permettre à terme de garder la connaissance de vulnérabilités sensibles sur le territoire Européen ou national.

Il est important de noter que le marché hexagonal de la cybersécurité est largement animé par des acteurs du secteur de la défense, publics ou privés, qui investissent et aident aux développements de startups. Mais ces opportunités de développement sont en même temps un frein à l’exportation et rendent plus difficile la communication de références.

Demain, arriver à sortir des frontières

Le secteur de la recherche se structure

La recherche en cybersécurité est aussi très active en France avec de nombreux laboratoires mobilisés et des initiatives de premier plan. Le collectif Allistene, regroupant l’INRIA, le CEA, le CNRS et plusieurs grandes écoles, en est un exemple. De premières chaires sont dédiées aux sujets de la cybersécurité et de ses applications concrètes, par exemple pour les véhicules autonomes. Conjointement avec les initiatives des grandes entreprises, tout concourt à créer un terreau positif pour l’éclosion et la croissance de nombreuses startups.

Dépasser le cadre franco-français pour croître à l’international

La France possède de nombreux talents en cybersécurité, un terreau facilitant l’émergence des startups et un marché permettant de faire vivre ces structures. Mais ce bilan très positif ne doit cependant pas masquer la principale difficulté actuelle de nos startups : connaître le succès et la croissance à l’international.

Hormis quelques success story, comme historiquement Qualys ou plus récemment Linkurious aux Etats-Unis, les startups françaises ont du mal à sortir des frontières hexagonales. Elle se heurtent à des barrières sur leur capacité à communiquer de manière percutante en anglais, sur la faiblesse de références clients françaises, sur des problèmes juridiques mais aussi psychologiques à s’expatrier. Alors que la qualité des profils français en cybersécurité est largement reconnue, la qualité des startups, est-elle encore inconnue.

Dépasser ce plafond de verre requiert des initiatives conjointes de l’Etat, des grandes entreprises et un esprit de conquête exacerbé chez les fondateurs de startups. Mobilisons-nous collectivement, chacun avec ses forces, pour que cela devienne une réalité dans les années à venir.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (2/2) est apparu en premier sur RiskInsight.

La cybersécurité en France

Un tissu dynamique de plus de 100 startups

Aujourd’hui, la France compte plus de 100 startups ou PME innovantes en matière de cybersécurité. Ce nombre, en constante augmentation, reflète le dynamisme du secteur et les atouts de la France dans ce domaine. Le secteur représente plus de 1000 emplois directs. Même si cela peut paraître faible, ce nombre devrait augmenter fortement dans les prochaines années.

Une majorité de startups choisissent de réinventer des solutions de sécurité déjà bien implementées

60% des startups entrent sur le marché avec la volonté de faire évoluer des solutions de sécurité ayant déjà fait leurs preuves (sécurité des terminaux, du réseaux, de la messagerie, gestion des identités…).

De manière générale, attaquer un marché déjà consolidé est complexe. Mais il reste des fenêtres d’opportunités, en particulier dans la sécurité applicative. De nombreux acteurs importants sont présents sur ce domaine sans pour autant parvenir à proposer de solutions vraiment satisfaisantes. Les approches innovantes de jeunes pousses comme Sqreen, Ingen ou encore Yagaan peuvent apporter un renouveau.

Sécurité industrielle, cryptographie, et reverse engineering : des domaines innovants sur lesquels la France est bien positionnée

En regard, de nombreuses startups françaises (40%) ont su se positionner sur des technologies où tout reste à construire. Sur les systèmes  industriels, par exemple, les acteurs français comme Sentryo ou Seclab sont particulièrement bien positionnés. C’est aussi le cas pour les technologies d’analyse de logiciels malveillants avec des produits ou des services comme ceux de Tetrane et Quarkslab. Leurs expertises sont reconnues internationalement, y compris par des grands groupes américains.

Côté cryptographie, l’école française de mathématiques permet aux startups d’avoir accès à des expertises pointues difficiles d’accès dans d’autres pays. Cela permet le développement d’outils innovants d’analyse de vulnérabilités comme Cryptosense.

En revanche, certains domaines sont encore négligés en France alors qu’ils ont un fort potentiel de développement, comme les techniques de « tromperie » (« deception » en anglais, qui vise à fournir des fausses informations à un attaquant pour le ralentir) dont l’essor est déjà amorcé en Israël et même au niveau Européen.

Des startups françaises avec des difficultés de communication et de valorisation de leur expertise

L’écosystème national de startups est très dynamique et les expertises, même très spécifiques, ne manquent pas pour concrétiser des idées ou lancer des premiers produits. Un point-clef est cependant requis sur le marché de la cybersécurité : la capacité à communiquer efficacement. Les contacts entretenus avec plusieurs incubateurs étrangers nous montrent une différence frappante en termes de communication entre des startups anglos-axonnes qui savent valoriser leurs produits grâce à des pitchs percutants et un marketing efficace.

Ce manque d’expertise commerciale est particulièrement pénalisant pour les startups françaises qui souhaitent internationaliser leurs offres.

La France, une terre propice pour les startups cyber

Depuis plusieurs années, de nombreuses initiatives se développent en France pour soutenir le secteur cyber. On peut citer la stratégie de Sécurité Numérique du gouvernement portée par l’ANSSI ou encore les investissements du Ministère de la Défense. Différents pôles économiques sont mobilisés, ce qui se traduit concrètement par une concentration géographique des startups. Paris est, comme souvent, en tête mais Lyon, Rennes ou le sud de la France sont aussi très présents.

Présentation du radar des startups

Depuis 2015, Wavestone réalise une veille active sur le domaine des startups dans le cadre de son programme ShakeUp. Fort de ses nombreux contacts et actions au sein de l’écosystème de l’innovation cybersécurité en France, le radar des startups compte aujourd’hui près de 400 structures répertoriées à l’échelle européenne et internationale avec un focus particulier sur la France. Les critères pour intégrer le radar français : siège social en France, moins de 35 salariés et moins de 7 ans d’existence de la structure juridique (hors pivot majeur).

Suite à ces actions de veille par les équipes de la practice cybersécurité et confiance numérique, les startups les plus innovantes sont rencontrées pour réaliser une évaluation de leur solution et certaines peuvent rejoindre ShakeUp, le programme d’accélération de Wavestone.

Des structures d’accompagnement nombreuses et actives mais peu spécialisées

La France est un des leaders mondiaux dans l’innovation avec pas moins de 228 incubateurs nationaux et une cinquantaine d’accélérateurs. Mais par rapport à Israël, à la Suisse ou au Royaume-Uni, nous ne disposons pas de structures d’incubation ou d’accélération spécifiquement dédiées à la cybersécurité. Certains incubateurs ont créé des clusters pour concentrer les savoir-faire mais sans pour autant spécialiser les accompagnements. Ainsi, il est rare de trouver dans ces structures des coachs ayant une forte connaissance du marché cyber, de ses acteurs et de ses spécificités notamment dans le processus d’achat et de qualification de produits. Axeleo ou Wavestone sont ce qui se rapprochent le plus des structures étrangères dédiées.

A suivre, une initiative régionale nommée Ocssimore va démarrer à la rentrée 2017 à Toulouse.  La FrenchTech, très présente et visible à l’international, se mobilise depuis peu sur le sujet de la cybersécurité avec la création du réseau thématique « Security & Privacy ».

Un écosystème de financement favorable mais perfectible

La France a de véritables atouts pour le financement de l’innovation, dont de nombreuses startups témoignent de l’efficacité.  Le « Programme Investissement Avenir » investit 22 milliards d’euros dans la recherche ; le « Crédit Impôt Recherche » et le statut de « Jeune Entreprise Innovante » permettent de réduire les coûts de R&D, les charges sociales et l’impôt sur les sociétés.

De son côté, BPI France multiplie les financements dédiés aux entrepreneurs et les actions d’accompagnement grâce à ses partenaires (banques, investisseurs, régions…) et, par le biais d’accélérateurs, elle propose des prêts participatifs et peut se porter caution auprès des banques.

De nombreuses aides régionales sont également disponibles. En parallèle, nous assistons à une nette augmentation du corporate venture ainsi que les Business Angels sont parfois même en concurrence pour investir dans les meilleures startups cyber.

Cependant, l’écosystème complexe, avec un grand nombre d’acteurs, rend souvent le parcours de financement compliqué. Les démarches pour lever des fonds s’apparentent à de véritables marathons où la bureaucratie est encore très présente. Il s’agit d’avoir un plan de bataille précis, pour solliciter chaque dispositif au bon moment avec le bon dossier… sans pour autant sacrifier le temps destiné au développement de la startup ! Enfin, peu de grands groupes français font l’acquisition des startups, qui peuvent alors être tentées d’accepter les offres d’entreprises étrangères.

La France possède donc un formidable écosystème de startup dans le domaine de la cybersécurité, plaçant le pays parmi les leaders mondiaux. En effet, la création de startup en France est soutenue par des structures d’accompagnement adaptées. Mais pour assurer leur pérennité, ces startups cherchent à attirer de nombreux clients, notamment parmi les grands groupes français.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (1/2) est apparu en premier sur RiskInsight.

Qu’est-ce que l’informatique quantique et pourquoi s’y intéresser ?

La manière dont les ordinateurs sont encore très majoritairement conçus aujourd’hui repose sur une architecture principalement séquentielle : les opérations sont effectuées par l’ordinateur les unes après les autres, selon un programme d’instructions écrit par l’homme. Le micro-processeur exécute alors les opérations de façon quasi séquentielle, et c’est ici l’une des principales faiblesses de cette architecture et de ses variantes.

L’informatique quantique viendrait alors combler cette faiblesse en proposant des machines dotées d’une faculté de parallélisme, permettant d’augmenter considérablement la puissance de calculs complexes, la rapidité de traitement et la capacité (théorique) de stockage. Cette technologie s’appuie sur le phénomène de superposition d’états quantiques pour développer des capacités de calcul beaucoup plus importantes que l’informatique classique. En effet, l’information est représentée par des « quantum bits » (qubit) similaires aux bits binaires utilisés dans l’informatique numérique. Pour rappel, le bit peut prendre deux valeurs, 0 ou 1 selon l’état du transistor. Le qubit, peut avoir trois états, le 1, le 0 mais aussi les deux à la fois : c’est ce qu’on appelle la superposition.

Cette capacité de superposition multiplierait le nombre d’opérations complexes réalisables dans un temps limité. Ainsi, là où le traitement d’informations volumineuses peut parfois prendre plusieurs jours, semaines, mois à être traitées par des ordinateurs classiques, les systèmes de l’informatique quantique le traiteraient en quelques secondes.

Malheureusement, cette technologie impose de maintenir l’état quantique pour atteindre de telles capacités de calcul, le problème étant que cet état ne peut être atteint qu’en plaçant l’ordinateur proche du zéro absolu, soit -273 °C, seules températures pour lesquelles le qubit est réellement stable. De manière évidente, il est extrêmement complexe de maintenir de telles températures avec un système simple, peu onéreux et peu encombrant pour une longue période de temps.

L’informatique quantique comme outil de sécurité

Les apports de l’informatique quantique en matière de capacité de résolution et de traitements rapides d’opérations complexes sont très convoités, et principalement dans le domaine de la sécurité informatique, où les mesures de protection et de détection nécessitent de plus en plus de rapidité d’exécution.

Par exemple, la lutte contre la fraude est aujourd’hui l’une des principales problématiques de sécurité du secteur bancaire et a pour enjeu d’exploiter des techniques poussées de détection de fraude, basées sur la collecte, le traitement et l’analyse, en temps réel, de données volumineuses. Ces techniques sont très gourmandes en puissance de calcul et, bien qu’aujourd’hui réalisables par nos ordinateurs les plus performants, elles pourraient être encore plus efficientes avec plus de puissance. Les ordinateurs quantiques, s’ils voient le jour, pourraient ainsi constituer un pilier de la lutte contre la fraude, à travers leur forte capacité (théorique) de stockage et leur rapidité de traitement.

De même, les systèmes quantiques pourraient notamment permettre de détecter et de corriger les erreurs. En effet, le qubit, sur lequel repose tout le fonctionnement de cette nouvelle génération informatique, est en effet très sensible aux perturbations de son environnement (interception, changement de configuration, variations de température, champs magnétiques…). Le qubit peut constituer ainsi, dans ces conditions, un moyen fiable pour garantir l’intégrité des données stockées.

L’informatique quantique comme source de menace

Les communications sécurisées, les systèmes sécurisés de paiements, les transactions financières, les monnaies virtuelles telles que le bitcoin, reposent tous sur des mécanismes cryptographiques, et en particulier sur les protocoles de chiffrement asymétriques. La sécurité de ces protocoles dépend principalement du fait qu’il faudrait plusieurs fois l’âge de la Terre à des ordinateurs classiques pour casser une code par la « force brute ». Pour un ordinateur quantique, ce décryptage est théoriquement réalisable et en très peu de temps. D’où le risque non négligeable pour les systèmes de chiffrement actuels si ces ordinateurs quantiques venaient à être démocratisés.

De plus, plusieurs attaques informatiques telles que les attaques par déni de service (DOS ou DDOS) nécessitent d’exploiter de fortes ressources en termes de traitement informatique qui, à l’aide des futurs ordinateurs quantiques, pourraient devenir facilement exécutables.

C’est précisément pour ces raisons que les instigateurs de l’informatique quantique se focalisent notamment sur le domaine de la sécurité afin de combler les failles qui pourraient potentiellement être occasionnées par l’apparition des ordinateurs quantiques, et espérant ainsi offrir des communications totalement sécurisées aux utilisateurs, en misant sur la cryptographie quantique. En effet, un réseau de communication quantique serait théoriquement inviolable. Toute tentative visant à intercepter la « clé de chiffrement quantique » modifierait l’intégrité physique des données quantiques, changerait alors leurs états (passage au 0 ou au 1 par exemple), et pourraient ainsi déclencher une alerte qui avertirait les personnes concernées. Actuellement, plusieurs laboratoires dans différents pays tentent de tirer le meilleur parti de cette technologie.

Par ailleurs, l’histoire nous a montré que lorsqu’un protocole de chiffrement était devenu « cassable », des solutions de chiffrement plus sécurisées voyaient le jour au même moment. On peut donc imaginer que si un jour un ordinateur quantique permet de casser un chiffrement « classique », une solution de chiffrement plus robuste, potentiellement basée sur la cryptographie quantique, sera disponible.

L’informatique quantique, concrètement…

Dans l’état actuel des recherches, tous ces concepts restent théoriques et seuls quelques embryons d’ordinateurs quantiques existent dans le monde, confinés encore à des laboratoires académiques, au sein des institutions les plus prestigieuses. Une quête dans laquelle IBM et Google se sont déjà lancés depuis plusieurs années. Intel a également rejoint la course à l’informatique quantique en annonçant investir 50 millions de dollars sur le sujet. La France n’est pas en reste, avec notamment le Laboratoire Kastler Brossel qui a reçu récemment un troisième Prix Nobel pour des travaux allant dans ce sens.

Du reste, les avis divergent sur cette nouvelle génération de l’informatique : Le National Institute of Standards and Technology (ou NIST) américain a prévenu que les différentes agences gouvernementales devront être prêtes à adopter de tels systèmes en 2025.  La NSA, l’agence nationale de la sécurité, conseille de mettre en place des processus de sécurité quantique aussi rapidement que possible. A l’opposé, certains cryptographes ne partagent pas cet avis, et ont déclaré lors de la dernière Conférence RSA qu’ils doutent que les progrès dans le calcul quantique et l’intelligence artificielle transformera réellement la sécurité informatique. Aussi, Eleni Diamanti, chercheuse au CNRS et membre de Paris Center for Quantum Computing, affirme pareillement que « même si un qubit est plus puissant qu’un bit, il en faut au moins un millier pour concurrencer les machines actuelles », ce qui est loin d’être concrétisé aujourd’hui, au vu de la complexité de création d’un qubit et de maintien dans des conditions stables.

Cet article Informatique quantique et sécurité : menace ou opportunité ? est apparu en premier sur RiskInsight.

Le parallèle assez systématique qui est établi entre les prémisses de l’Internet grand public et la période actuelle d’effervescence autour de la Blockchain est révélateur de ce que nombreux pressentent comme la prochaine révolution numérique, disruption des transactions en écho à la disruption de l’information incarnée par Internet. Ce changement étant rendu possible par la distribution de la confiance et, in fine, une désintermédiation plus ou moins importante des échanges de tout type.

Cette confiance distribuée qui singularise la Blockchain porte en creux une promesse d’horizontalisation de la société. En fonction des choix de gouvernance, publics et privés, nationaux et internationaux, qui seront faits, on pourrait assister à une redéfinition assez profonde de modèles commerciaux et institutionnels qu’on pensait immuables.

La Blockchain ou la réponse technologique au déport de confiance

En tant que technologie, la Blockchain apporte une réponse nouvelle à la décentralisation de registres et à l’automatisation de contrats, et en corollaire suscite naturellement des questionnements ayant trait à sa sécurisation et aux conditions de sa mise en œuvre à grande échelle. Ce qui n’est ni plus ni moins l’histoire naturelle des technologies émergentes : des espoirs plus ou moins exagérés et des obstacles à surmonter.

Originellement la Blockchain est la technologie sous-jacente à l’échange de bitcoins. Elle fut donc à ce titre le premier moyen de réaliser des transactions financières indépendamment de l’intervention des banques. Le contexte, post crise financière de 2008 a son importance car l’initiative a rencontré son public et ses usages à la faveur d’un climat de perte de confiance envers les institutions financières traditionnelles. Ce qu’on observe aujourd’hui c’est un report de la confiance, traditionnellement acquise aux institutions, vers des communautés d’utilisateurs/fournisseurs, dans un mouvement d’horizontalisation de la société. Le succès des plateformes en tout genre est un signal fort de ce mouvement. En effet, la confiance nécessaire avant de réaliser une transaction sur l’une de ces plateformes est désormais davantage conditionnée par les retours d’expérience de la communauté, via les systèmes de notation généralisés entre pairs, que par les autres formes de garanties.

Cependant, se pose toujours la question de la fiabilité de ce modèle de confiance communautaire. C’est dans cette question que se niche la nouveauté de la proposition de valeur de la Blockchain et peut-être l’étape post plateformes : fiabilité et auditabilité distribuée via le consensus pour un modèle purement pair à pair. Dès lors que sont résolues ces questions, la disparition des tiers devient théoriquement envisageable.

L’immensité du champ d’application de la Blockchain ne suppose pas pour autant qu’on puisse y recourir pour tout et n’importe quoi et surtout sans se poser la question du modèle à adopter et de la forme de gouvernance à mettre en œuvre. Ainsi, tous les usages ne nécessitent pas de recourir à la « preuve de travail », qui implique une communauté importante et impose un coût énergétique plus que substantiel.

Des promesses et des possibles

Dans le secteur marchand, les promesses d’automatisation laissent entrevoir des perspectives de réduction des coûts et de fluidité de certaines transactions dont pourraient bénéficier in fine les consommateurs, mais qui supposent également des acteurs commerciaux une capacité de transformation importante. On pense inévitablement au secteur des services financiers, déjà fortement chahuté par la concurrence des fintechs. Au-delà du seul sujet des crypto-monnaies, pour les banques, l’objectif consiste aujourd’hui à s’approprier la technologie, sans implémenter le modèle largement distribué sous-tendu par le bitcoin, afin d’en tirer des bénéfices concurrentiels : offrir aux clients des services à valeur ajoutée, par exemple des transferts d’argent ou de titres quasi-immédiats, moins chers puisque sans intervention humaine dans le processus, et défendre ainsi sa position de tiers et son avantage compétitif. Il en va de même pour les assureurs qui étudient opportunément les gains potentiels qu’offriraient la Blockchain grâce à l’exécution automatique de contrats d’assurance, ou encore la réponse qui pourrait être apportée aux problématiques de déshérence. On pourrait ainsi établir une liste infinie de secteurs et d’usages concernés, sans compter les usages qui émergeront demain et dont nous n’avons pas encore idée.

La plupart des expérimentations en cours portent sur des Blockchains « privées » donc relativement en rupture avec le modèle originel de la Blockchain bitcoin. Ces expérimentations vont apporter du recul sur le sujet et les investissements colossaux qui sont consentis actuellement vont sans doute permettre de se forger des convictions, si ce n’est voir un acteur ou un modèle s’imposer. Les différentes piste étudiées et expérimentées actuellement sont prometteuses, elles témoignent d’une considérable énergie collective sur le sujet et laissent entrevoir des promesses de gains tant pour les entreprises que pour les consommateurs. Pour autant, la promesse de désintermédiation « absolue » ou l’uberisation des plateformes n’en sera pas forcément la résultante.

Dans le secteur non-marchand,  l’État se trouve tout à la fois dans une position de potentiel utilisateur, promoteur, maître d’œuvre et régulateur de la Blockchain.

• Utilisateur dans le cadre d’automatisations de mécanismes transactionnels complexes et coûteux, on peut notamment penser à des usages pour l’administration fiscale, mais également pour tout ce qui relève de l’accès aux droits.
• Promoteur dans l’accompagnement des initiatives publiques et privées, soutien à un écosystème français dynamique.
• Maître d’œuvre et régulateur d’une future Blockchain publique, porteur d’un modèle fonctionnel de gouvernance à l’échelle nationale et internationale.

La société civile n’est pas en reste qui trouve dans la Blockchain un moyen idéal de mettre en œuvre de nombreux projets collaboratifs nés du modèle des communautés et donc nativement adhérents au concept de confiance distribuée. Le vaste domaine de l’échange de biens et services entre particuliers pourrait parfaitement opérer un glissement d’un modèle commercial de type plateforme vers un modèle purement associatif tendant vers un coût minimal pour l’usager/membre. Reste à savoir si le consomm’acteur, séduit par ce modèle, serait prêt à consentir une expérience transactionnelle plus dépouillée. On a du mal à projeter un parcours client très riche dans ce type de modèle, sauf à tabler sur une communauté de développeurs dévouée, ce qui n’est au demeurant pas exclu. Par ailleurs, il semble complexe de projeter un usage massif ou d’élargir le concept à une activité nécessitant une prise en charge des risques. L’autre principale promesse de la Blockchain à la société civile concerne toutes les possibilités relatives à une expression démocratique plus directe, notamment via les systèmes de votes qui sont explorés par différent pays actuellement. Plus proche encore, on songe aux polémiques qui ont pu naître sur la fiabilité et la légitimité des systèmes de pétitions en lignes et on peut tout à fait imaginer le rôle positif que pourrait jouer une implémentation Blockchain d’un système de pétition pour garantir à la fois la pétition et les pétitionnaires.

La Blockchain présente donc un intérêt à la fois pour la sphère privée et la sphère publique, reste à déterminer s’il s’agira en cible d’une Blockchain et de ses instanciations ou de la coexistence de différents modèles.

Une innovation de rupture qui se cherche un modèle de gouvernance

Ce rapide et non-exhaustif tour d’horizon permet de mesurer l’étendue et la profondeur des implications de l’avènement des Blockchains. Guy Kawasaki, éminent spécialiste de l’innovation, rappelait fort justement dans son intervention à la TED Conférence de Berkeley en 2014 les caractéristiques d’une grande innovation, entendons par là de celles qui changent le monde :

• Profondeur ;
• Intelligence ;
• Globalité ;
• Empowerment ;
• Élégance.

À coup sûr les Blockchains sont porteuses de ces attributs. Il est certain également, que la multiplicité des opportunités ne trouvera à s’exprimer concrètement, que dans une configuration où acteurs privés et publics s’emparent du sujet dans une approche ouverte et pluridisciplinaire. De là pourront émerger un ou plusieurs modèles de gouvernance qui permettront aux nouveaux usages de s’épanouir pour le bénéfice du plus grand nombre.

Cet article La Blockchain ou l’illustration d’un monde qui change est apparu en premier sur RiskInsight.

Travail en extérieur, température, graisse… quels usages possibles en milieu industriel ?

Les opportunités d’utilisation pour les collaborateurs sur le terrain sont nombreuses. La digitalisation de documentation technique, de guide métier en est une. Les métiers de maintenance notamment nécessitent de nombreuses documentations de contrôle ou de modes opératoires : les mettre à disposition sur un unique support numérique est simplificateur.

Les outils numériques et connectés permettent également les remontées d’informations en temps réel et donc un meilleur pilotage et partage d’informations. Ce point est d’autant plus prégnant pour les métiers s’exerçant sur un territoire étendu.

Par ailleurs en digitalisant les outils métiers les retours d’expérience sont alimentés par des données « terrain », enrichissant ainsi les bases d’analyse et améliorant la capitalisation, les processus d’amélioration.

C’est également sans compter que les outils digitaux offrent la possibilité d’utilisation de photos, de vidéos, de lecteur  de tags ou QR code, etc. augmentant ainsi la richesse des informations remontées. Parmi les exemples d’usages « multimédias », la possibilité de mettre à disposition des tutoriels ou  une assistance à distance des collaborateurs. Ces fonctionnalités proposées par les tablettes ou smartphones grand public sont tout à fait accessibles pour les milieux industriels, que le choix soit porté sur un appareil mobile « durci » ou grand public renforcé par des accessoires de protection ad hoc. Se pose en revanche la question de la connectivité qui est nécessaire pour permettre des usages en temps réel, surtout pour les métiers hors ateliers (travaux sur des voies par exemple).

Qu’ils soient génériques ou spécifiques à un métier ou une opération donnée, les usages envisageables sont donc nombreux ! Mais  au-delà de l’usage, ce sont les bénéfices apportés qui peuvent accélérer le mouvement de digitalisation.

Simple gadget ou réel apport ?

La digitalisation ne consiste pas en l’introduction de simples gadgets dans les métiers industriels. Elle ne répond pas non plus en  un simple mouvement inéluctable suivant l’utilisation de smartphones ou de tablettes dans la vie privée. Les initiatives relèvent d’un réel mouvement stratégique des entreprises pour répondre à leurs enjeux voire à leurs fondamentaux : augmentation de productivité, amélioration de la sécurité, de la qualité, réponse à des exigences de conformité, etc.

Prenons pour exemple la digitalisation de documents qui est souvent un des premiers pas du digital. Elle permet à la fois d’optimiser la performance de la production et de la diffusion documentaire (cycle de mise à jour plus rapide), tout en standardisant les pratiques, améliorant ainsi la conformité et la sécurité. Leur mise à disposition sur un outil mobile les rend plus simplement disponibles pour les collaborateurs. Outre le confort d’avoir moins de documents papiers à transporter, disposer d’une application permet de structurer l’information pour la rendre plus simple d’accès.

La modernisation de l’outil est également un vrai facteur de valorisation des salariés. Et ces atouts sont d’autant plus visibles lorsque les salariés sont impliqués dans les projets.

Faire de la transformation digitale un projet pour et par les agents terrain

Les collaborateurs en ateliers, en usines, sur le terrain doivent être acteurs du projet. Il est primordial en effet de comprendre les usages du futur utilisateur : comment travaille-t-il avant la digitalisation ? Quelle valeur ajoutée pour lui ? Comment serait-il impacté par le changement ? Outre les utilisateurs finaux, il est indispensable de construire avec l’ensemble des autres acteurs intervenants dans la chaîne de valeur. En prenant toujours l’exemple d’une digitalisation de documents, en amont de leur utilisation, c’est toute la chaîne de production et de diffusion du document qui est impactée.

Réussir cette transformation c’est savoir co-construire progressivement un nouvel environnement de travail digital avec les collaborateurs. En impliquant les bonnes parties prenantes dès la phase d’étude d’opportunité, l’initiative prend en considération l’expérience utilisateur, elle répond à un réel besoin et tient compte des exigences du métier. Une telle démarche donne une vraie légitimité au projet, et pose les premières pierres de l’accompagnement du changement. Un premier pas vers la réussite d’une transformation aujourd’hui inéluctable.

Cet article Digitalisation des métiers industriels, une nouvelle (r)évolution ? est apparu en premier sur RiskInsight.

Jusqu’à présent, les principales motivations d’adoption du Cloud computing sont les coûts (économie et modèle) et la flexibilité apportée (rapidité de provisioning, élasticité à la demande). L’étape suivante pour ces entreprises consistera sans aucun doute à se recentrer davantage sur leur cœur d’activité et à apporter plus d’innovation. Voici quelques exemples de cas d’usage de demain.

Le Cloud computing comme incubateur

L’un des usages émergents est l’utilisation du Cloud public en tant qu’incubateur. Prenons le Big data par exemple : le Cloud est une excellente opportunité pour les entreprises qui souhaitent éprouver et  expérimenter ces nouvelles technologies pendant un Proof-Of-Concept (POC), quitte à rebasculer ensuite sur un hébergement on-premise pour la phase de mise en production.

Auparavant, réaliser un POC nécessitait d’investir sur des infrastructures, de contractualiser pour disposer de licences de test, de prendre en compte les délais de mise en œuvre. Désormais, les fournisseurs Cloud proposent des offres prêtes à l’utilisation immédiatement et facturées selon l’usage qui en est fait.

Le modèle économique Cloud se prête parfaitement à ce cas d’usage et favorisera demain l’innovation technologique.

Le Cloud comme promesse d’une meilleure qualité de service

La disponibilité des applications critiques reste un enjeu majeur des DSI aujourd’hui. Les infrastructures utilisées doivent pouvoir répondre aux aléas qui surviennent, tels que les incidents ou les pics de charge. C’est l’une des promesses du Cloud, qui se concrétisera demain grâce à plusieurs leviers.

Prenons l’exemple du Plan de Reprise d’Activités (PRA) permanent. Il s’agit de répliquer l’application plusieurs fois et de simuler en continu, via un loadbalancer, la perte de l’une d’elles. Ce mécanisme permet de garantir une meilleure disponibilité du service.

Autre exemple, pour les sites web worldwide, il sera possible de répliquer les infrastructures sous-jacentes dans les différents datacenters du fournisseur et de diriger les utilisateurs qui s’y connectent en fonction de leur localisation géographique. Cette fois-ci, c’est le temps de réponse qui sera optimisé.

Dernier exemple, les entreprises commencent à implémenter des applications pour lesquelles l’infrastructure qui l’héberge pourra d’elle-même s’étendre ou se réduire en fonction des connexions réelles, voire s’éteindre en période d’inactivité. Ce mécanisme de « scale up / scale down » permet à la fois de réduire les coûts (dans un modèle de facturation à l’usage), mais également de garantir une disponibilité optimale en cas de forte activité. Cela se traduit techniquement par l’évolution des ressources même des serveurs ou de leur nombre, en fonction des socles installés dessus, mais nécessite surtout des applications dont le design est spécialement étudié pour.

Une accélération du cycle de vie des applications

Côté PaaS, de nombreuses évolutions sont encore à venir, visant principalement à réduire le time-to-market des applications, via une simplification de leur déploiement.

L’approche par containers est un premier levier visant à répondre à cet objectif. Le marché s’oriente vers des plates-formes capables d’exécuter du code quel que soit le serveur d’application sous-jacent. Cela est rendu possible par l’utilisation de containers, qui embarquent le code, l’application et les binaires du serveur d’application, et sont exécutables sur tout environnement d’exécution. Des solutions se développent pour faciliter la création et la gestion de ces containers, Docker par exemple.

Ainsi les entreprises n’auront plus à choisir entre des offres PaaS proposant  un serveur d’application ou un autre, l’utilisation de containers permettra d’exécuter le code quel que soit l’environnement utilisé. L’approche par containers est un premier levier visant à faciliter le déploiement d’applications sur les offres PaaS.

Le second moyen qui se démocratise est l’utilisation d’un gestionnaire de configuration qui permet d’automatiser le déploiement de composants logiciels. Cette industrialisation peut se faire à l’aide d’outils comme Chef, Puppet, CFEngine… et apporte de nombreux bénéfices. Ces outils en pleine expansion permettront ainsi d’accélérer le cycle de mise en production des applications pour suivre plus facilement les évolutions applicatives demandées plus fréquemment par les Métiers.

Cela ne pourra toutefois pas se faire sans une adaptation du cycle de vie des applications, pour adosser les usines logicielles aux offres PaaS qui les hébergent, et une adaptation de l’organisation et des processus existants. C’est justement l’objectif de l’approche appelée  « DevOps », qui se caractérise par une coopération étroite entre la maîtrise d’œuvre, les équipes chargées des développements, et celles de l’exploitation. Il n’y a par exemple pas d’intérêt à ce qu’une nouvelle fonctionnalité soit demandée chaque semaine et effectivement développée, si les mises en production de l’application ne sont prévues que tous les 6 mois. L’objectif de cette méthode est donc de prendre en compte dès le lancement d’un projet applicatif les besoins fonctionnels en amont, afin d’aligner ensuite les fréquences de mise à disposition de nouvelles fonctionnalités et celles de mise en production.

De nombreux cas d’usage seront rencontrés demain et les exemples présentés ici n’ont pas tous le même degré de maturité : il existe déjà quelques POC réalisés sur des plateformes Cloud, alors que la mise en œuvre du mécanisme de « scale up / scale down » reste aujourd’hui une promesse difficilement réalisable. Quant à l’évolution du cycle de vie des applications, et à l’industrialisation de leur déploiement, on voit que cela se fera une période plus longue, car une transformation des processus, des compétences et des équipes au sein de la DSI seront également nécessaires.

Cet article Cloud computing : les cas d’usage de demain est apparu en premier sur RiskInsight.

Lego Serious Play®: kesako ?

Lego Serious Play® est une technique d’animation et de projection conçue pour renforcer l’esprit d’équipe, développer la créativité et contribuer à la réflexion stratégique et opérationnelle de l’organisation. Cette technique d’animation est particulièrement efficace pour apporter rapidement des solutions créatives aux problématiques d’innovation. La méthodologie a fait ses preuves : en 2003, la Nasa, par exemple, y a eu recours afin de détecter les problèmes de la navette Challenger.

Quid du déroulé d’un atelier ?

Un atelier Lego Serious Play® est animé par des “facilitateurs” (un pour 8 à 12 participants). Contrairement aux participants, ils ne contribuent pas à la réponse de la problématique. Leur rôle est de créer un climat propice à l’expression des participants, de cristalliser les idées clés et de faciliter la logistique de l’atelier. Ils peuvent assister les participants d’un point de vue technique, mais ne doivent pas interférer dans leur réflexion individuelle.

La session se déroule en quatre étapes clés :

• Le facilitateur énonce la problématique, formulée de façon claire mais ouverte.
• En réponse, chaque participant construit son modèle 3D et une histoire autour.
• Chaque participant partage l’histoire qu’il a construite avec le reste de l’équipe.
• Le facilitateur et les participants cristallisent les idées clés et demandent des précisions sur les modèles 3D. Le facilitateur résume les points communs entre les modèles et les éléments ayant suscité la surprise.

Un atelier dure entre une demi-journée et deux jours. En fonction de sa complexité, la problématique peut être déclinée en différents axes de travail pour lesquels les étapes clés se répètent.

Quel matériel ?

Chaque participant dispose d’un kit de Legos® (personnages, briques, etc.) grâce auquel il réalise ses modèles 3D. A la fin de l’atelier, des connecteurs permettent de consolider un modèle synthétique à partir des idées clés cristallisées par le groupe.

Pourquoi choisir cette méthode ?

D’après les experts du MIT, la manipulation des Legos® active un lien entre le cerveau et les mains, ce qui aide les participants à matérialiser leur pensée, même pour des idées complexes. Le facilitateur aide les participants à se détacher de la construction de maquettes, afin de ne pas reproduire fidèlement la réalité. Au contraire, les Legos® peuvent être utilisés comme des outils métaphoriques. Celles-ci sont indispensables pour véhiculer des concepts difficiles à décrire avec des mots. Elles servent également à questionner les convictions du groupe.

Les modèles 3D servent de support pour construire une histoire en réponse à la problématique. Cette verbalisation de l’idée permet au participant de structurer ses idées. Le storytelling sert également à tester les conséquences de certaines décisions que pourraient prendre le groupe de travail et de partager une vision collective.

La modélisation en 3D est réalisée par chaque participant et est suivie de sa présentation. Cela permet de donner à chacun l’opportunité de s’exprimer. Tous les membres de l’équipe sont placés sur un pied d’égalité, quels que soient leur rôle hiérarchique, leur influence ou leur charisme : l’ensemble des idées du groupe sont ainsi collectées et de capitaliser sur l’intelligence collective. Tous les participants ont la parole pour présenter leur histoire : cela assure un engagement à 100% envers les actions décidées en séance. L’implication des participants dans la définition des solutions facilite et accélère leur mise en œuvre.

Quelles bonnes pratiques respecter ?

Comme pour n’importe quel atelier de réflexion de groupe, la session est plus efficace lorsqu’elle débute par un échauffement créatif. Cette phase ludique met le participant en condition, lui permet de déconnecter de son quotidien pour se concentrer sur l’atelier et est l’occasion pour le facilitateur de rappeler la règle essentielle : les débats et les jugements ne sont pas autorisés. L’échauffement créatif peut être l’occasion de manipuler une première fois les Legos®, afin de s’approprier l’outil et les concepts de métaphores et de storytelling.

Notre expérience d’animation d’ateliers Legos nous dit qu’il est nécessaire d’expliquer en préambule aux participants l’intérêt de cette méthode créative. En effet, la culture de l’entreprise provoque parfois des réticences pour mobiliser des collaborateurs autour d’un jeu d’enfance. La compréhension des atouts de la méthodologie désamorce ces aprioris.

Enfin, l’animateur n’est pas obligé de se contenter de la méthodologie Lego Serious Play® : il peut être pertinent de s’appuyer en complément sur d’autres méthodes d’animation pour accompagner le groupe dans la résolution de la problématique. Par exemple, l’intégration d’une étape intermédiaire de jeux de rôles dans le déroulé aide les participants à se décentrer et à réfléchir à la problématique sous des angles nouveaux. En fonction du sujet, l’animateur peut également s’inspirer d’outils de stratégie – par exemple le Blue Ocean – pour structurer son atelier.

Lego Serious Play® est une technique d’animation et de projection très efficace pour résoudre des problématiques de groupe : améliorer l’organisation, identifier et résoudre des situations conflictuelles, renforcer la cohésion, préparer une équipe à un changement important, définir une stratégie, innover…

Cet article Le contraire de jouer n’est pas travailler : la preuve en Legos ! est apparu en premier sur RiskInsight.

Les 8 caractéristiques de l’Open data

Selon les critères retenus par L’Open Government Data¹, pour être « ouvertes », les données doivent être :

1. Complètes : exception faite de celles relevant de la vie privée, la sécurité ou des privilèges d’accès,

2. Élémentaires : diffusées telles que collectées à la source, sans avoir été agrégées ou modifiées,

3. Opportunes : mises à disposition rapidement pour garder toute leur valeur,

4. Accessibles : au plus grand nombre d’utilisateurs possible,

5. Exploitables : dans un format qui permet leur utilisation ; lemonde.fr épinglait récemment la HATVP (« Haute Autorité pour la Transparence de la Vie Publique ») sur le manque d’exploitabilité de ses données ouvertes. Le format .pdf utilisé pour la publication du patrimoine des ministres, le 27/06, a en effet contraint les data journalistes à un travail laborieux de structuration²,

6. Non discriminatoires : sans inscription préalable,

7. Non propriétaires : non soumises à un usage exclusif,

8. Libres de droits

Une ouverture des données timorée côté entreprises

Cet article Open API ou Open Data ? Le cœur des DSI chavire… est apparu en premier sur RiskInsight.

L’innovation en 7 leviers incontournables

 1.Tout d’abord, une démarche d’innovation doit s’inscrire dans la stratégie de l’entreprise. Bien sûr elle suit sa propre stratégie, mais elle ne saura être efficace que si elle est couplée à un engagement et une communication forte de la direction. Ce facteur clé est un pilier pour une démarche forte et engageante.

 2. Par ailleurs, un processus d’innovation est un processus à part qui doit bénéficier de critères et de comités d’évaluation propres à chacune de ses phases. Il vit en parallèle des processus plus classiques de l’entreprise.

 3. Les collaborateurs participant à la démarche d’innovation doivent être responsabilisés. La création d’espaces  d’autonomie permet notamment à des personnes n’ayant pas forcément de responsabilités managériales de se sentir en confiance pour porter des projets innovants au fur et à mesure des phases.

 4. Naturellement, ces espaces d’autonomie n’empêchent pas un accompagnement formalisé des collaborateurs. Outre des formations et des suivis, l’intervention d’experts métiers fait gagner les projets en pertinence. Cet accompagnement prend également la forme de livrables prédéfinis pour chacune des phases et l’organisation de challenges réguliers pour animer la communauté.

 5. Cette communauté doit en outre être transparente, tout autant que la démarche. Une vision claire des objectifs de la démarche, de l’avancement et de l’évolution de chaque projet aussi bien au sein de la communauté qu’auprès du reste de l’entreprise permet à la fois de valoriser le travail effectué et de stimuler l’intérêt des autres collaborateurs tout en mettant en avant des synergies entre différents projets qui gagneront en valeur dans la collaboration.

 6. Le sixième levier est un des plus complexes à mettre en œuvre. Comment inciter les collaborateurs à participer à une démarche d’innovation ? Comment mettre en valeur leur implication. La rétribution financière est ce qui semble parfois le plus simple et le plus adapté. Au même titre que l’intéressement aux parts de l’entreprise, ce n’est pourtant pas toujours la réponse la plus pertinente. Une rétribution financière, si elle est objectivée sur la quantité, peut mettre en péril la qualité de la démarche. Par ailleurs, l’incitation doit se faire pour chaque phase du processus, bien que le dépôt d’une idée n’a, a priori, pas la même valeur que la participation à l’implémentation d’un projet plus abouti. Et pourtant, sans idée, pas de projet. Une évaluation spécifique et adaptée à chaque action doit donc être mise en place.

 7. Enfin, un temps libre, dédié à la démarche doit être accordé aux participants afin que leur travail principal ne soit pas impacté et que dans le même temps, les créneaux  réservés à la démarche soient plus efficaces. La combinaison de ces 7 leviers garantit la mise en place d’une démarche d’innovation plus pertinente, plus porteuse de valeur et surtout plus pérenne.

Alors comment appliquer ces 7 leviers à une démarche d’innovation ouverte ?

Un échange avec l’écosystème nécessaire à l’open innovation

Dans un environnement interconnecté, une entreprise ne saurait survivre sans son écosystème. Il en va de même pour une démarche d’innovation. Aussi bien les clients que les concurrents ou les législations peuvent être sources d’inspiration. Pour ce qui est de l’open innovation, son principe même est fondé sur cette ouverture. Wikipedia et les logiciels d’open source l’ont démontré : une entreprise ne peut plus penser que le savoir est concentré uniquement en son sein. Le savoir est partout et la collaboration, les échanges l’enrichissent à chaque instant.

Une démarche d’innovation ouverte permet de développer plus facilement des projets innovants d’envergure de par son organisation. Elle peut notamment mener à un essaimage de ces projets facilitant ainsi l’incitation à participer à la démarche. Si la valorisation de la participation à travers une participation au capital de l’entreprise peut présenter un intérêt limité (la croissance boursière d’une structure importante a souvent une tendance stagnante ou en faible augmentation), proposer une participation au capital d’une entreprise née de l’intrapreneuriat et son essaimage est de son côté beaucoup plus stimulante. Outre une croissance plus forte les premières années, l’accomplissement est également plus important. L’idée de participer à la création d’une entreprise et à son expansion représente la motivation principale des entrepreneurs et, a fortiori, des intrapreneurs.

Une question se pose alors : comment l’entreprise peut-elle profiter de la valorisation ? De manière générale, comment, dans le cadre d’une démarche d’innovation, travailler avec des start-ups aussi bien rachetées que celles nées de l’essaimage ? Pour les start-ups nées de l’essaimage, comme pour celles qui ont été rachetées et à l’image du processus d’innovation qui vit en parallèle des processus classiques, une prise de participation dans le capital est une bonne option. En revanche, ces startups doivent absolument pouvoir évoluer et croître en parallèle de l’entreprise mère. Une  réintégration complète et par conséquent une application des processus classiques mettront fin à l’innovation. Ces startups doivent donc être traitées comme des projets de la démarche d’innovation avec des critères d’évaluation et un accompagnement adaptés à leur stade de développement. Les échanges entre les experts de l’entreprise et ceux des startups permettront en outre de développer de nouvelles connaissances pour chaque partie ou même de nouveaux projets issus des synergies ainsi créées.

Les démarches d’innovation ont connu une évolution à la hauteur des enjeux économiques qu’elles représentent. La question pour les entreprises n’est donc plus de savoir si elles se lancent, ni même selon quelle méthode, mais de savoir adapter chacun des facteurs clés de succès à leur environnement tout en tirant partie de leur écosystème. Écosystème qui demain ne saura se limiter à la collaboration avec les clients mais bien englober fournisseurs, concurrents, législateurs et les autres acteurs qui gravitent autour de l’entreprise pour augmenter la valeur créée par l’innovation.

Cet article 7 clés de succès au service d’une démarche d’innovation… ouverte ! est apparu en premier sur RiskInsight.

L’innovation en entreprise

Selon le manuel d’Oslo de l’OCDE, l’innovation est « la mise en œuvre – la commercialisation ou l’implémentation – par une entreprise, et pour la première fois, d’un produit ou d’un procédé nouveau ou sensiblement amélioré, d’une nouvelle méthode de commercialisation ou organisationnelle dans les pratiques d’une entreprise, l’organisation du lieu de travail ou les relations avec l’extérieur. » De plus en plus de grandes entreprises veillent à développer des démarches d’innovation en interne notamment comme une réponse face à la crise. Cependant, les processus d’innovation ne sauraient survivre dans un environnement classique, ils doivent se développer en parallèle de celui-ci. Alors comment innover ? Comment amener son entreprise à mettre en place des processus stimulants et durables ? Comment aller plus loin que la basique boîte à idées ?

Au-delà de ses multiples facettes, l’innovation se caractérise par un processus complet, de la stimulation de la création des idées jusqu’au lancement auprès du public cible. On représente souvent ce dernier sous la forme d’un entonnoir afin de mettre en avant le fait que pour 100 idées proposées, seules 2 ou 3 arriveront sous forme mature et travaillée sur le marché.

Les trajectoires de l’innovation

Ces 100 idées n’émergeront pas spontanément. Pour les récolter, il faut mettre en place une phase dite d’idéation, souvent liée à une phase d’inspiration, pour laquelle il est nécessaire de stimuler la naissance des idées à travers des ateliers de créativité ou des challenges thématiques. Une fois les idées récoltées, il faut réaliser une première analyse afin d’écarter celles qui ne répondent pas à la stratégie de l’entreprise ou tout simplement qui existent déjà.

Vient alors la phase de prototypage qui concerne en moyenne 30% des idées. L’objectif est de réaliser des tests de l’idée sur un marché réduit et représentatif de la cible. À la fin de cette phase, durant laquelle le prototype aura pu évoluer pour s’adapter aux besoins du terrain, une évaluation de la pertinence et de la valeur de l’innovation est réalisée.

7% des idées récoltées à l’origine vont alors entrer en phase d’implémentation. Cette phase doit accompagner l’évolution de l’innovation vers un produit suffisamment mature pour une mise sur le marché. Enfin, pour stimuler l’innovation sur le long terme, une valorisation adaptée à chacune des étapes précédentes doit être mise en place.

Afin de prendre en compte ce processus, les entreprises ont, ces dernières années, misé sur un système d’innovation dit inside-in. En résumé, l’innovation était développée uniquement par des ressources internes à l’entreprise, grâce notamment à des systèmes de management des idées à destination des collaborateurs, des incubateurs internes ou encore via la R&D.

Aujourd’hui cependant, alors que, les frontières entre une entreprise et son écosystème tendent à se dématérialiser, la tendance est à l’ouverture. C’est ce qu’on appelle l’open innovation. Littéralement «innovation ouverte », cette démarche se décline en deux trajectoires. La plus pratiquée est celle de l’outside-in qui consiste à aller chercher en dehors de l’entreprise des connaissances ou même des ressources. Des géants comme Apple ou Google ont savamment mis en place une communauté pour préparer leur écosystème à l’arrivée d’innovations de rupture comme l’iPhone hier et les Google Glass aujourd’hui. Des grands groupes français organisent quant à eux des hackatons, 48h durant lesquels tout un chacun peut venir proposer et développer une application avec les données qui sont mises à disposition. Dans cette trajectoire on note aussi beaucoup de systèmes de management des idées ouverts au grand public. À l’inverse, l’inside-out permet de mettre à disposition ressources et savoirs d’une entreprise auprès de l’écosystème.

Le premier type de dispositif inside-out est celui de la vente de brevets sous forme de licence. Il peut également s’agir d’essaimage. Ces deux trajectoires, loin d’être divergentes, se doivent d’être complémentaires. Pour cela, Google par exemple, a mis en place des démarches « d’intrapreneuriat », c’est à dire des dispositifs permettant de stimuler l’entrepreneuriat au sein même de l’entreprise.

Au-delà de la compréhension et de l’implémentation des différentes phases de l’innovation et des dispositifs associés, il existe des facteurs clés à la réussite d’une telle entreprise. C’est d’ailleurs ce que nous verrons dans un prochain article.

Cet article Démarche d’innovation : le succès passe par l’ouverture est apparu en premier sur RiskInsight.

Un triptyque de spécialistes du Smart

1 – Les spécialistes de la relation client, agrégateurs de services

Ce sont des acteurs qui connaissent très bien les clients et leurs comportements de consommation et surtout qui sont considérés par les clients comme légitimes pour leur proposer de nouvelles offres, de nouvelles expériences de consommation. On peut dire que ce sont les interlocuteurs clients de « 1ère intention ».  Leur position peut paraître simple, mais il n’en est rien car ils doivent :

• Être capables d’anticiper les besoins, y compris en se projetant dans de nouveaux domaines de consommation ;
• Parvenir à offrir une relation simple, fluide quels que soient les canaux, les moments et les motifs de contact ;
• Maîtriser les savoir-faire du métier d’intégrateur de services qui ne consiste pas à additionner des composants, mais à co-concevoir avec ses partenaires des services qui prendront leur sens une fois assemblés. Cette ingénierie de l’assemblage est particulièrement délicate, le Graal étant un véritable saut de valeur.

2 – Les spécialistes de l’innovation : équipements, systèmes et usages

Une grande partie des usages Smart provient d’innovations valorisant des technologies existantes en les associant et en inventant un usage, c’est-à-dire un résultat utile pour un client. Bien sûr, les structures de recherche et développement des grands groupes consacrent des ressources importantes à cette recherche, mais force est de constater que le foisonnement de l’innovation est presque infini chez les petits acteurs et que de nombreux usages ou « briques de services » Smart ont été développés par ces entreprises fonctionnant sur une logique de start-up, comme par exemple AlertMe.

Pour ces acteurs, il ne s’agit pas simplement de surfer sur les technologies, il s’agit d’abord de trouver de nouveaux usages et de convaincre des clients ou des partenaires de les tester et de les développer… pour les imposer dans le paysage. Ils doivent donc à la fois bien connaître les clients pour raisonner usage et conduire une stratégie partenariale très forte. Innovation client et stratégie partenariale sont les deux impératifs majeurs pour que ces acteurs restent durablement autonomes. Cependant, dans la pratique, bien souvent, ils sont rachetés par des grands groupes agissant dans leur secteur majeur d’activité.

3 – Les spécialistes des infrastructures et services critiques (back-office) indispensables au bon fonctionnement de l’ensemble de l’écosystème Smart

L’exemple d’Atos (voir notre Synthèse Smart page 10) montre que la stratégie de spécialisation back-office est tout à fait centrale dans l’univers du Smart. Il s’agit d’abord de la gestion des données Big data, mais aussi de composants plus élémentaires d’équipements communicants comme les cartes SIM. Il y a en France aujourd’hui plus de cartes SIM que d’habitants, puisqu’au-delà des téléphones, elles équipent par exemple les tablettes et les automobiles. Les spécialistes du back-office doivent à la fois industrialiser leurs offres et co-concevoir les services du futur avec leurs partenaires, en particulier les acteurs du front-office… sans compter qu’ils doivent promouvoir et imposer leurs standards pour devenir, effectivement, incontournables.

Une évolution dynamique des positionnements

Le positionnement ne se limite ni aux trois rôles types présentés ci-avant, ni à une vision statique. Si l’on s’intéresse maintenant aux dynamiques, on peut schématiquement distinguer quatre grands types de mouvements.

1 – L’émergence

On pense bien sûr aux start-up, mais cela peut aussi concerner le lancement de nouvelles activités dans des entreprises installées. Les enjeux sont multiples : pertinence de l’offre, accès aux clients, rentabilité du modèle économique, stratégie de développement ou de valorisation capitalistique.

2 – Le déplacement centripète

Des acteurs du back-office se diversifient ou se transforment en acteurs du front-office. C’est une stratégie fondamentale du secteur industriel européen depuis de nombreuses années : créer de la valeur par une offre combinant produits et services avec en cible une facturation au résultat. De nombreuses entreprises suivent cette stratégie, comme Schneider Electric qui développe des offres de prise en charge de la performance énergétique des clients. Ce mouvement se traduit par un fort enjeu de développement de la « culture services ».

3 – Le déplacement centrifuge

Ce mouvement est plus rare, il est cependant clé dans l’univers du Smart où le back-office joue un rôle central. C’est aussi, pour les start-up innovantes, un moyen pour trouver des gisements de croissance en adoptant une stratégie de développement en « marque blanche » (cf. le cas d’AlertMe en page 10 de la Synthèse).

4 – L’extension circulaire

L’intérêt d’une vision multisectorielle du Smart, c’est qu’elle fait apparaître le potentiel de ce type de mouvement. Il peut concerner tout type d’acteurs :

• D’abord, bien sûr, les spécialistes des infrastructures, puisqu’en général celles-ci peuvent être utilisées pour tous les types d’usage ;
• Les spécialistes de la relation client et de l’intégration de services ensuite, qui doivent sans cesse renforcer leur légitimité en cherchant à couvrir le plus largement possible les besoins des clients avec des accès et des services ergonomiques et simples ;
• Les spécialistes de l’innovation, mais cela s’avère plus difficile parce que cela suppose une aptitude à se projeter dans des univers d’usages très différents.

Tous ces mouvements sont à la fois des opportunités de développement ou des menaces concurrentielles. À tout moment, de nouveaux acteurs peuvent apparaître dans son propre champ concurrentiel. Il faut donc y être très attentif.

Pas de Smart sans cadre réglementaire

Bien sûr, les innovations technologiques et les innovations d’usages sont deux moteurs fondamentaux du Smart, mais ces innovations ont besoin d’un terreau favorable pour se développer. Ce terreau ne correspond ni à la demande spontanée des clients ni à la rentabilité intrinsèque des offres.

C’est le cadre réglementaire qui apparaît comme étant le socle de développement du Smart. Par exemple dans le secteur du bâtiment, la réglementation thermique (aujourd’hui la RT 2012) joue un rôle central pour l’installation de solutions intelligentes de pilotage des consommations énergétiques. Les pouvoirs publics ont donc une responsabilité essentielle pour « créer » les territoires du Smart : « les collectivités locales sont à la Smart city ce que Apple est au smartphone. ». Ainsi, le véhicule électrique ne se développera que lorsque les pouvoirs publics fixeront les règles et les aides qui permettront de créer une infrastructure de recharge : par exemple permettre à un copropriétaire d’installer une prise sur son emplacement de stationnement sans avoir besoin d’obtenir la majorité en assemblée générale.

Cet article Comment se positionner dans l’écosystème foisonnant du Smart ? est apparu en premier sur RiskInsight.

Le Smart ré-invente la vie quotidienne des consommateurs

Pour mieux comprendre le Smart, nous avons partagé avec vous ce que sera le quotidien de Monsieur Dupont lors d’une  journée à SmartVille, tant dans sa vie personnelle que professionnelle.

La majorité des technologies que comporte l’illustration (stores automatiques, smartphone, voiture électrique, tablette, GPS, smart TV ) existent déjà. Si certaines sont encore à l’étape de prototype, comme par exemple le paiement par NFC (Near field communication), d’autres ont atteint le stade de démonstrateurs, comme les Smart grids à Lyon et à Nice. D’autres, à l’instar des applications délivrant des informations sur le trafic ou la géolocalisation des bornes de vélos urbains, sont déjà largement répandues.

Face à cette pluralité et à cette richesse, parvenir à une définition du Smart est  inévitablement génératrice de débats ! On pourrait néanmoins le faire en ces termes : « Le Smart, c’est la rencontre entre la vie quotidienne des clients et des équipements communicants offrant, à chaque instant, un nouveau mode de consommation personnalisé et maîtrisé ».

 Un Smart tributaire des avancées technologiques… et des aspirations socio-culturelles

Le Smart s’applique à de nombreuses réalités : smartphones, smart grids, smart cities… Adossé à un appareil mobile, à un réseau électrique ou à une ville toute entière, le Smart, comme bien d’autres concepts avant lui semble de prime abord s’incarner dans la technologie qui dote ces entités de capacités de pilotage et d’intelligence enrichies. On l’aura compris, la technologie joue un rôle important : pas de smartphone sans processeur avancé, pas de Smart grids sans compteurs communicants, pas de Smart cities sans SI évolués.

Pourtant, cette vision d’un marché où l’offre crée automatiquement la demande laisse de côté un peu vite le rôle du client.  Car au-delà des nouveaux usages que permettent le Smart, c’est bien la capacité d’appropriation par les clients, et donc l’existence de besoins sous-jacents et pré-existants, qui en détermineront le succès. Le Smart comme ses ancêtres est bien tributaire des aspirations socio-culturelles et économiques de la société. La réussite du walkman de Sony, a été décortiquée en mettant en exergue l’individualisation de la société, et l’aspiration croissante à une consommation individuelle plutôt que collective de la musique. Le walkman a ainsi tiré son succès de la concordance de sa disponibilité avec la glorification de cette aspiration individualiste.

On pourrait dans le cas du Smart distinguer 3 principales tendances de fond, chacune se traduisant en bénéfices pour le consommateur :

• L’omniprésence des nouvelles technologies comme moyen de faciliter le quotidien : par exemple, le déploiement des technologies NFC permettant de payer, de prendre les transports en commun, de cumuler des points de fidélité, etc.
• La recherche d’optimisation économique : dans le contexte actuel de crise économique mondiale, les solutions Smart permettant d’obtenir le meilleur ratio confort / coût d’usage répondent à une aspiration globale du « mieux pour moins ».
• L’ère d’une consommation responsable et éclairée : le client accepte de moins en moins de subir ses usages et cherche à piloter ses choix de consommation, via une capacité d’arbitrage entre différentes opportunités possibles (voiture versus transports en commun, niveau de confort versus économies…)

Pour répondre à ces aspirations, pas de martingale technologique ou d’innovation révolutionnaire : le Smart naît avant tout de la rencontre entre différentes solutions existantes qui, combinées, permettent de nouveaux usages. Ceci peut partiellement expliquer que le phénomène du Smart reste une réalité méconnue pour le grand public. Fin 2011, le taux de notoriété du terme n’était que de 21% aux États-Unis (source : JD Power). Dans une société technologique inondée par le marketing de l’innovation, l’émergence d’un écosystème intelligent prendra du temps pour se développer.

En attendant que le grand public ne s’en empare, ce sont bien entendu les entreprises qui sont au 1^er rang pour accompagner son essor. Votre entreprise sera-elle à la pointe de ce mouvement ? Pour le savoir, évaluez son coefficient de Smart’titutde »

 1. Le Smart est-il inscrit dans votre plan stratégique pour les 3 prochaines années ?

2. Êtes-vous en train de conduire une ou plusieurs expérimentations liées au Smart ?

3. Suivez-vous de manière active les travaux des instances de réglementation liées au Smart ?

4. Participez-vous à des initiatives de lobbying autour de ces sujets ?

5. Êtes-vous membre d’un consortium industriel autour du Smart ?

6. Avez-vous déjà, dans votre catalogue, des offres réalisées en partenariat avec d’autres entreprises ?

7. Considérez-vous que l’orientation client de votre marketing et de votre service client est satisfaisante ?

8. Avez-vous en cours un projet d’évolution majeure de votre système d’information client ?

9. Une réflexion Big data est-elle déjà initialisée dans votre entreprise ?

10. Êtes-vous une entreprise de services ?

 Si vous n’avez pas répondu « Oui » à l’ensemble de ces questions, c’est que vous découvrirez forcément quelque chose dans la Synthèse « Smart : au-delà du buzzword, préparez la transformation ! » .

Cet article La révolution smart arrive… êtes-vous prêts ? est apparu en premier sur RiskInsight.

Gares et aéroports, un rôle historiquement monofonctionnel

Autrefois appelées « embarcadères », les gares ont été des éléments clés de la révolution industrielle et de l’urbanisation des villes du XIXème siècle. Elles ont participé au façonnage des transports modernes en assurant une interconnexion continue entre les grandes agglomérations et les villes de province.

Situés en périphérie ou au cœur de la ville, ces espaces ont longtemps été réduits à des lieux de correspondance. La gare était centrée sur l’acheminement des voyageurs aux quais. L’aéroport assurait pour un départ ou une correspondance l’accès aux avions grâce aux zones d’embarquement.
Cependant le vieillissement des infrastructures et la hausse progressive du trafic voyageur rendent caduque ce modèle. Un travail d’adaptation aux nouvelles habitudes des voyageurs est en marche.

Des infrastructures vivantes au quotidien …

Gares et aéroports s’humanisent et se transforment en pôles d’échanges multimodaux où viennent se greffer une multitude de services. Les importants chantiers de modernisation de la Gare Saint-Lazare et de l’Aéroport Paris-Charles de Gaulle illustrent cette tendance de fond.
La Gare Saint Lazare a ainsi subi une véritable remise à plat de son espace public fin 2012 ; une reconversion marquée notamment par le réaménagement de son espace en galerie marchande qui permet d’enrichir le parcours du voyageur et de diversifier les revenus de l’entreprise SNCF par la rétrocession d’une quote-part des loyers des franchises.
Dans le même esprit, l’aéroport Paris-CDG a développé de nouvelles infrastructures sous la bannière du projet « Hub 2012 ». Un vaste chantier qui consiste à déployer une nouvelle salle d’embarquement pour les passagers des longs courriers et une zone commerciale proposant une gamme de service étendue (institut de soins, espace de relaxation, bars, restaurants, boutiques haut de gamme, …).Ces investissements seront complétés par l’installation d’un centre commercial premium « Aéroville » à proximité de Roissy.

Ces changements se traduisent au quotidien par des évolutions visibles par le client voyageur :
Au-delà d’une offre de service diversifiée et montant en gamme, les espaces d’attente s’aménagent et intègrent des aires de jeux pour enfants ou encore une connexion Wi-Fi gratuite. Pour offrir plus de confort, l’intérieur des espaces est ré-agencé avec des équipements plus modernes et un mobilier urbain pratique (ascenseur, escalators, identité visuelle et sonore…).
Au sol, un guidage et des itinéraires améliorent significativement l’orientation et les conditions d’accès aux trains. De l’entrée de la gare ou de l’aéroport à la zone de départ, le parcours du voyageur est balisé à l’aide de multiple points d’appui pour un repérage efficace (signalétique, luminosité, …).
Aux abords, on note un réaménagement des gares routières pour les correspondances avec les lignes de bus. L’accès immédiat aux quais ou aux halls d’embarquement est facilité, notamment pour les populations à mobilité réduite. Des bornes d’accès aux vélos en libre-service sont implantées… et connectées en temps réel avec l’usager
Les gares et les aéroports veulent tirer au maximum partie de l’omniprésence des technologies de l’information de la sphère individuelle, et s’appuient notamment sur la démocratisation des mobiles et l’explosion des réseaux sociaux.
Les smartphones permettent de rendre l’usager acteur de son parcours. Le mobile devient un vecteur de services personnalisés et d’informations en temps réel:

• Information commerciale : le voyageur réceptionne des SMS promotionnels et des coupons de réduction à son passage dans la zone commerciale. Il peut effectuer ses achats par mobile en utilisant les murs virtuels des magasins de distribution.
• Information sur l’offre de transport : le voyageur peut consulter les informations des panneaux d’affichage des autres transporteurs sur son mobile de manière dynamique. Des bornes interactives et tactiles complètent les informations.
• Information en temps réel : l’usager consulte une information continue sur le temps d’attente des trains, les perturbations éventuelles, les solutions de délestage en cas de forte affluence ou de situation dégradée.
• Des applications de mobilité développées par les opérateurs ferroviaires pour appuyer les voyageurs dans l’organisation de leur trajet en amont de celui-ci.

La relation entre le voyageur et la gare/aéroport prend une nouvelle dimension. La multiplication des occasions de contact avec les voyageurs contribue à faire émerger une relation « client/fournisseur ». En effet, le voyageur peut signaler via son mobile/une borne interactive les dysfonctionnements éventuels sur des installations en place ou sa perception de la qualité de service. En même temps, l’opérateur de transport collecte des informations lui permettant d’ajuster au mieux le contenu de son offre de services.

Et demain : l’émergence d’une plate-forme de services de mobilité ?

Une nouvelle approche collaborative se dessine qui permettra au voyageur de s’exprimer tout au long de son trajet.En surfant sur le vague des « réseaux sociaux », le voyageur participe pleinement à enrichir le socle de connaissance de son Transporteur par ses remarques et son expérience terrain.

L’innovation permanente et la coopération constitueront des axes forts de la phase de conception des services. Cette étape pourrait s’appuyer sur une plate-forme de mobilité ou viendront se greffer de multiples acteurs de la chaîne (intégrateurs, experts SIV, utilisateurs, exploitant, …), un processus de fabrication maîtrisant de manière complète les informations des canaux de production « Transporteur » et « Exploitant », des technologies innovantes au service des usages quotidiens et un pilotage global pour garantir la cohérence des services et enfin une organisation « agile » en cas de changement majeur (ouverture à la concurrence, nouvelles offres, etc. ).

Nul doute que pour les principaux acteurs du transport, ce laboratoire d’innovation ouvert sur le monde extérieur va certainement affiner la manière de concevoir et de consommer les services de mobilité.

Pour plus d’informations sur le sujet, consultez Transport Shaker, le blog transport des consultants Solucom

Cet article Gares et Aéroports : vers une transformation simultanée ? est apparu en premier sur RiskInsight.

Orchestrer la gestion de la demande en bonne intelligence avec les Métiers

Le processus de gestion de la demande doit faciliter l’alignement stratégique et clarifier la prise d’engagement. De fait, la construction d’une vision pluriannuelle du portefeuille projets doit permettre de favoriser les échanges entre la DSI et les Métiers. La DSI peut ainsi partager ses contraintes (donc sa capacité à faire) ce qui facilite la compréhension des Métiers vis-à-vis de l’IT. Par ailleurs, mener efficacement la gestion de la demande implique des décisions d’arbitrage plus argumentées et fondées sur des analyses d’impacts approfondies sur le portefeuille projets d’une part mais aussi sur la stratégie IT de manière plus globale. De son côté, la DSI doit également être plus précise sur les engagements qu’elle prend, étape par étape pour clarifier la valeur apportée et les conditions de réalisation. Par exemple, en fin d’étude d’opportunité, la DSI doit s’engager sur des KPI coûts / qualité / délai extrêmement précis.

Parallèlement, il est essentiel de remettre sous contrôle le pilotage des évolutions. Car s’il est bien maîtrisé pour les « projets », force est de constater que les dérives budgétaires sont fréquentes côté « évolutions ». Plusieurs pratiques permettent pourtant de limiter ces dérives. D’abord, il faut savoir détecter les projets qui sont dissimulés dans les évolutions. Il n’est pas rare que des évolutions aient en effet des impacts sur les architectures ou sur les coûts du run. Ensuite, la mise en place d’une gouvernance spécifique pour les évolutions est nécessaire. L’introduction de mailles d’arbitrage assure une meilleure anticipation des dérives budgétaires et donne des leviers d’action. On retrouve, en général, les mailles d’arbitrage par regroupement (logique de train d’évolution) ou encore par enveloppe (logique de validation trimestrielle).

Challenger le choix des solutions et des niveaux de services

Dans un contexte de maîtrise ou de réduction des coûts, la DSI ne doit pas se limiter à une posture d’ « exécutant ». Elle doit au contraire développer une posture de conseil et de prescripteur vis-à-vis des Métiers.

Tout d’abord, la DSI doit proposer aux Métiers un choix entre des solutions différenciées et évaluées. Il faut en effet éviter d’aller trop vite vers une solution informatique là où un processus métier manuel reste plus rentable et concevoir des solutions équilibrant processus métiers et outils informatiques. La proposition systématique d’au-moins deux solutions crédibles en ayant mesuré leurs avantages et inconvénients (évaluation en termes de valeur et de coût) est également une bonne pratique.

Par ailleurs, la DSI doit se doter d’une offre de services différenciée. Cette offre intègre différents niveaux de services et fournit de véritables alternatives aux Métiers si tant est que ces services soient  bien valorisés tant en termes de valeur que de coûts. La DSI doit également savoir créer de la rupture dans les services qu’elle rend, en identifiant des périmètres sur lesquels des offres low-cost sont pertinentes. C’est déjà le cas sur des services infrastructures comme la messagerie par exemple mais cela reste très marginal sur des services applicatifs.

Enfin, la DSI doit également renforcer la compréhension des coûts IT par les Métiers. Cela passe à la fois par une meilleure maîtrise de ses coûts IT mais également par la fourniture aux Métiers de clés de compréhension des paramètres influant sur les coûts IT dans leur langage. Il s’agit bien de redonner des leviers de maîtrise de la facture IT aux Métiers !

Donner à la DSI des rôles plus orientés métiers

L’évolution du cœur de métier de la DSI et de ses nouvelles responsabilités vers un rôle de partenaire exige une plus grande ouverture qui ne peut se faire sans une évolution des rôles et un apport de nouvelles compétences Métiers.

La DSI doit en effet s’approprier les enjeux de performance opérationnelle des Métiers et les décliner / diffuser au sein de la DSI. Des rôles vont renforcer cette diffusion : les business analysts pour traduire les besoins Métiers en solution IT, les architectes d’entreprise pour garantir la cohérence du SI avec ces mêmes besoins, etc. Il faut également créer de la proximité et de la légitimité avec les Métiers : le client manager, représentant des DSI au sein des Métiers, va garantir cette relation.

Au-delà de ces rôles, une évolution des compétences sera nécessaire. L’évolution vers la double compétence Métier / IT est assez évidente. Une évolution des compétences managériales sera également nécessaire pour renforcer la capacité de dialogue mais également l’excellence dans le pilotage des actions et des engagements.

Somme toute, renforcer la proximité avec les Métiers passe ainsi nécessairement par un changement de posture de la DSI. Ce partenariat Métiers / DSI ne sera possible que par l’évolution de la gouvernance, des processus de pilotage de la DSI et des rôles associés (incarnés par des acteurs précis dont le choix sera crucial).

Alors, prêt à changer de posture ?

Cet article DSI : renforcez votre proximité avec les Métiers ! est apparu en premier sur RiskInsight.

Peu voire pas de surprises dans les nouvelles fonctionnalités offertes, car elles sont intimement liées à iOS 7 déjà présenté en juin dernier.

Mais cette annonce avant tout matérielle fait la part belle à la sécurité…

Des améliorations qui restent incrémentales

Apple n’a pas cédé à l’appel du low cost : l’iPhone 5C vient remplacer l’iPhone 5 tandis que l’iPhone 5S porte les innovations, et l’iPhone 4S reste au catalogue en prix d’appel.

Outre sa coque plastique, l’iPhone 5C reprend en effet la majorité des caractéristiques de l’iPhone 5. Il élargit cependant sa compatibilité 4G en supportant les gammes de fréquences utilisées par les opérateurs français.

Les nouveautés sont à chercher sur l’iPhone 5S, avec 3 points mis en avant par Apple.

En premier lieu, une amélioration des performances de l’appareil, à laquelle Apple nous a habitués à chaque nouvelle version. Le nouveau processeur A7 est en 64 bits, une première dans un smartphone.

Celui ci se voit par ailleurs assisté d’un contrôleur de mouvement dédié, dont le stockage des données et les possibilités de désactivation sont à suivre du point de vue de la protection des données personnelles.

Deuxième domaine touché par l’amélioration incrémentale : l’appareil photo et ses optiques.

Et si Apple mettait la sécurité à la mode ?

La véritable nouveauté réside dans le troisième point mis en avant : un bouton d’accueil faisant office de lecteur d’empreintes digitales, appelé TouchID.

Apple prétend répondre avec ce dispositif à l’absence de mot de passe sur une grande partie des iPhone. Ce point est moins critique pour les flottes d’entreprises disposant de MDM à même d’imposer des contraintes de robustesse sur le code ou mot de passe de verrouillage. Reste que la fonctionnalité permettra de faciliter grandement la vie des utilisateurs, et par là même de faciliter leur consommation sur différents Stores ou magasins en ligne, l’empreinte digitale valant acceptation de paiement.

Pour les entreprises, si l’on rapproche cette annonce de la fonctionnalité de SSO d’Entreprise annoncée pour iOS 7, et s’il est possible forcer l’utilisation de TouchID par MDM, l’iPhone pourrait constituer une solution robuste d’accès au SI. Il reste néanmoins à éprouver la fiabilité du lecteur en terme de faux positifs et de facilité d’enrolement.

Selon Apple la confidentialité est garantie car toute la reconnaissance d’empreinte s’effectue hors ligne sur l’iPhone, et aucune donnée d’authentification n’est envoyée vers le Cloud. Ces données seraient stockées dans une partie dédiée du processeur A7, sorte de TPM intégré au SoC.

Si TouchID tient ses promesses en termes de fiabilité et d’ergonomie, il pourrait constituer un nouveau standard et embrasser de multiples usages : signature électronique, paiement mobile, signature à valeur probante. Apple attendra probablement à son habitude de valider l’adoption par les utilisateurs avant de donner les clefs de TouchID aux développeurs pour en étendre les usages.

Cet article Et si Apple mettait la sécurité entre toutes les mains avec l’iPone 5S ? est apparu en premier sur RiskInsight.

Au-delà d’un nouveau design, coloré et animé (fond d’écran, icônes…), il faut aller chercher en profondeur des évolutions qui vont certainement susciter des interrogations dans les entreprises.

De nouveaux risques à évaluer

iOS 7 propose des nouvelles fonctionnalités dont il faudra évaluer les risques. Il s’agit en particulier d’AirDrop. Ce système de transfert de contenus (photos, contacts…) permet d’échanger très simplement avec les périphériques en proximité. Il sera également accessible aux développeurs via des API de Peer To Peer Connectivity. Même si l’utilisateur peut décider de son niveau de visibilité, il sera important de le sensibiliser et d’évaluer la solidité du mécanisme.

Une autre évolution concerne l’écran de verrouillage qui permettra d’accéder aux notifications. Très pratique au quotidien, il peut cependant représenter un risque de fuite d’information à évaluer.

Nous pouvons également citer la mise à jour automatique des applications. Très utile pour disposer des dernières versions, corrigeant souvent des soucis de sécurité, cela pourrait entraîner quelques casse-têtes pour la gestion du cycle de vie des applications, ou la conduite du changement avec les utilisateurs.

Activation lock, SSO multi-applications et autres évolutions bienvenues

Apple, avec iOS 7, promet plusieurs avancées utiles en entreprise mais aussi pour les particuliers.

Par exemple la fonctionnalité Activation Lock permettra de verrouiller « définitivement » un téléphone. L’objectif premier est de limiter les vols, le terminal ne pouvant plus être remis à zéro sans utiliser le compte iTunes de la personne concernée.

Des fonctionnalités dédiées à l’entreprise ont été annoncées. On peut citer le VPN par application, qui limitera la consommation en bande passante et épargnera la batterie, ou encore le SSO multi-application qui pourra simplifier la vie des utilisateurs. Des nouveautés sur la gestion de la configuration des applications sont également attendues. Elles permettront certainement de pré-configurer les applications avant leur déploiement, voire de les installer et les supprimer de manière transparente pour l’utilisateur.

Diverses autres avancées sont attendues : une simplification de l’ajout d’un périphérique dans un système MDM, une refonte du système de partage de connexion et également une fonctionnalité de « Data Protection By Default » pour les développeurs. Lors de premiers tests, nous avons également constaté de nouveaux contrôles sur le matériel, en particulier une demande d’autorisation du micro par les applications et également une capacité à faire confiance ou pas à un ordinateur auquel l’iPhone est connecté.

Voici une évolution majeure qui ne se résume pas à un changement cosmétique ! Apple a bien compris l’intérêt qu’il a à faciliter l’utilisation de ses terminaux en entreprise. Et les jours prochains nous révèleront certainement quelques nouveautés !

Cet article iOS 7 et l’entreprise, quelles nouveautés ? est apparu en premier sur RiskInsight.

Architecture d’entreprise : 4 raisons d’entreprendre la démarche

1. Rationaliser les coûts – C’est là le leitmotiv récurrent, les réponses étant à adapter au niveau de maturité de l’entreprise. Forte de la réponse globale (infrastructures, applications ou processus de gouvernance) qu’elle peut apporter, l’architecture d’entreprise y contribue fortement. Ce sont néanmoins principalement les couches dites « basses » du SI qui bénéficient de cette logique de rationalisation grâce à la définition et à la mise en œuvre de socles techniques. Seules les entreprises les plus matures sauront réussir leurs tentatives de rationalisation des couches dites « hautes » (notamment en termes de services métiers comme le promettaient les démarches SOA).

2. Connaître l’existant – Connaître son SI accélère la phase d’analyse de l’existant préalable à toute étude dans le cadre d’évolutions métiers ou technologiques. L’architecture d’entreprise permet d’accéder à cette vision globale du SI et de l’entreprise et donc de gagner en réactivité. Par exemple, l’évolution majeure du poste de travail ou de l’infrastructure demande une bonne connaissance du parc applicatif pour définir la stratégie de migration.

3. Définir la cible SI – Définir une cible SI pour répondre au mieux aux enjeux stratégiques de l’entreprise est, malgré les apparences (« c’est trop théorique ! »), un exercice de projection essentiel qui permet de poser les 1ers jalons de réalisation du SI qui serviront à valider au fur et à mesure les orientations des différents projets.

4. Être force de proposition vis-à-vis des Métiers – Restreindre la DSI à un ensemble de techniciens est monnaie courante. Pour briser cet a priori, la DSI doit apprendre à se positionner vis-à-vis des Métiers. L’architecture d’entreprise permet à la DSI notamment d’instaurer un dialogue dans la durée (pour mieux comprendre les besoins et contraintes des Métiers). Par ce biais, la DSI peut jouer un rôle de conseil en vulgarisant pour les Métiers les nouvelles technologies et leurs apports. Loin du simple fournisseur de solutions techniques, elle devient incubateur d’innovation pour les Métiers ! 

L’architecture d’entreprise en pratique : étapes de mise en œuvre

Il est bien entendu essentiel de définir les contours d’une 1^ère version de la démarche. Une entreprise et son SI sont souvent représentés en couches (stratégie, métier, fonctionnelle, applicative et technique), l’architecture d’entreprise se concentrant sur les trois dernières. Il est illusoire de vouloir s’attaquer de but en blanc à l’ensemble des couches. Aussi faut-il choisir ses combats en se concentrant sur les faiblesses de l’entreprise et sur certains quick wins.

Par la suite, il faut mettre en place une organisation et des process.

• Définir des rôles clés s’avère incontournable. Créer le rôle d’architecte d’entreprise est indispensable. Il est celui qui saura allier connaissance du SI et du Métier, celui qui saura le mieux dialoguer avec toutes les parties prenantes, au-delà de son expertise technique. Un deuxième rôle qu’un sponsor de haut niveau est indispensable pour légitimer ce rôle dans l’entreprise et l’inscrire dans la durée.
• Construire et mettre à jour le référentiel est aussi rapidement nécessaire. Élément clé de toute démarche d’architecture d’entreprise, il comporte notamment un ensemble de cartographies du SI (fonctions SI, applications, services applicatifs, éléments techniques, objets métiers…) qu’il faudra enrichir, un catalogue des solutions applicatives et techniques référencées (ensemble des composants validés et recommandés par la DSI pour constituer les réponses SI aux besoins métiers ou techniques) ainsi que différents patterns d’architecture. Attention néanmoins : se noyer dans trop de détails est préjudiciable à la pertinence du référentiel d’architecture et augmente les chances de ne pas être à jour. À l’inverse, un manque d’informations peut nuire aux besoins des projets SI.
• Mettre en place un process de veille et d’innovation doit également permettre à la DSI de capter les nouveaux usages et d’en expliquer les enjeux et contraintes aux Métiers pour ne plus les subir.

Seules des instances de gouvernance transverse sauront par ailleurs soutenir ces différents process. Il s’agit d’établir un dialogue récurrent avec les Métiers avec pour ordre du jour partage des contraintes, présentation par la DSI des sujets d’innovation technologique (économies réalisées, diminution du temps de mise en production d’un nouveau produit…), etc.

Pour autant, tous ces process ne sauront être efficaces si la DSI n’arrive pas vendre son projet d’architecture d’entreprise en interne ! Deux types d’acteurs sont à convaincre de l’intérêt de la démarche : les Métiers, à qui il faut très clairement expliquer qu’il ne s’agit pas de « marcher sur leurs plates-bandes » mais de mieux les accompagner, et les acteurs de la DSI elle-même qui, pour certains, pourraient l’interpréter comme une façon d’être contrôlés. Il faut au contraire convaincre ces derniers de l’accès à des activités stratégiques à plus forte valeur ajoutée (et comprenant plus d’interactions avec les Métiers de l’entreprise).

Aussi, inutile de se poser la question ! Vous n’avez aujourd’hui plus le choix et devez vous lancer dans une démarche d’architecture d’entreprise. Les évolutions majeures que vit ou va vivre votre entreprise amènent naturellement à lancer ce type de démarche. Autant éviter la marche forcée et accompagner le changement en douceur ! C’est la garantie d’une amélioration sensible de vos relations avec les Métiers.

Pour lire d’avantage sur l’architecture d’entreprise cliquez ici.

Cet article Et si l’architecture d’entreprise permettait enfin de briser la glace avec les Métiers ? est apparu en premier sur RiskInsight.

 Un outil collaboratif améliorant la productivité et l’efficacité des équipes

L’utilisation de Lync répond en premier lieu à un besoin utilisateur : il leur permet en effet de retrouver les fonctionnalités dont ils disposent dans leur environnement privé. Au-delà de satisfaire ce besoin, l’outil permet une amélioration de la productivité au quotidien.

Cette solution collaborative, qui s’intègre nativement avec l’écosystème Microsoft (Active Directory, Exchange…),  offre des fonctionnalités de messagerie instantanée, de partage d’écran et d’applications, très simples à utiliser, et disponibles via un seul et même outil.

Le chat, au contraire du mail, est un outil synchrone permettant des échanges rapides et adaptés à des situations moins formelles, alors que le statut présentiel permet de visualiser si le contact recherché est disponible à cet instant. Les fonctionnalités de partage d’écran, d’application, ou de tableau blanc rendent plus efficaces les discussions téléphoniques, quand un simple clic permet d’afficher le contenu visualisé par le correspondant, et d’interagir avec lui. Il est également possible pour des collaborateurs à distance de suivre en direct le déroulement d’une présentation menée par l’animateur depuis son poste. Lync Web App permet  au présentateur de réaliser ce partage avec des collaborateurs externes à l’entreprise ou ne disposant de compte ou de client Lync. Avec la version 2013, et le module Office Web Apps, le partage est rendu disponible sur de nombreux appareils mobiles.

Si l’utilisation de ces fonctionnalités est très simple au quotidien, il ne faut toutefois pas négliger la communication et l’accompagnement du changement, qui est une clé essentielle pour obtenir l’adhésion des utilisateurs.

Une solution de communication génératrice d’économies ?

Une partie des entreprises se tournent vers Lync à des fins de réduction de coûts, notamment les frais de déplacements et de téléphonie. En effet, Lync, grâce à la VoIP, permet de réaliser des communications audio et vidéo, avec une ou plusieurs personnes, évitant par exemple à des collaborateurs d’une entreprise internationale de se déplacer.

Toutefois, pour assurer le bon fonctionnement de ce type de communications, le facteur clé est la bande passante qui leur est allouée. Le débit nécessaire est à calculer en fonction des besoins et usages auxquels on souhaite répondre à l’aide d’abaques officiels. Il sera éventuellement nécessaire de procéder à l’augmentation de cette capacité, pouvant donc générer des coûts récurrents supplémentaires. Pour limiter les débits engendrés, il existe une solution de bridage dans la console d’administration, la CAC (Call Admission Control). Il reste recommandé de préférer à son utilisation une augmentation des capacités réseau, sous peine de voir les appels utilisateurs fréquemment refusés, poussant ces derniers à délaisser Lync pour des appels téléphoniques.

Trois solutions d’implémentation de la solution existent : on premise, dans le Cloud, ou de manière hybride (combinaison des deux modes précédents). Certaines sociétés font le choix du Cloud avec Lync Online, afin  de réduire les coûts d’infrastructure. Cette alternative leur apporte une certaine souplesse d’administration, et facilite également les migrations vers des versions supérieures, qui permettent d’intégrer rapidement les innovations. Des calculs de ROI standards existent, mais restent à projeter sur des contextes techniques et contractuels propres à chaque entreprise. Nombre d’entre elles préfèrent néanmoins garder la maîtrise de leur infrastructure.

 La solution collaborative Lync offre donc un large éventail de fonctionnalités répondant à un  besoin utilisateur, et permettant une augmentation de la productivité qui ne se mesure que de manière qualitative, et qui ne garantit pas une réduction des coûts IT. Comparé à d’autres solutions plus traditionnelles de salles de conférence, Lync apporte souplesse d’utilisation et facilité d’intégration. Néanmoins, cette solution implique une conduite du changement et une intégration de ce nouveau service dans un environnement déjà existant, et donc des contraintes d’architecture à ne pas sous-estimer.

Cet article Lync : un levier de productivité et d’économie en entreprise ? est apparu en premier sur RiskInsight.

Authentec, une cible inattendue pour Apple

En annonçant le rachat d’Authentec pour 356 millions de dollars, Apple a surpris le marché. Il s’agit en effet d’un achat au prix fort, Authentec réalisant quasiment 70 millions de dollars de chiffre d’affaires et étant actuellement déficitaire avec une perte nette de 10 millions de dollars. C’est  une des opérations les plus importants pour Apple. Cible inattendue, d’autant que la sécurité n’est pas au cœur du métier d’Apple, connu pour ses solutions grand public.

Une stratégie pour acquérir des brevets de premier plan sur la sécurité ?

Authentec est une société bien installée sur le secteur de la téléphonie mobile, elle compte aujourd’hui pour clients des géants du secteur comme Samsung, Nokia, Motorola… Et surtout cette société détient plus de 200 brevets sur de multiples solutions de sécurité (protection des données, communication sécurisée…), et en particulier les brevets « fondamentaux » sur l’authentification biométrique. De là à imaginer qu’Apple voudrait renforcer son arsenal de brevets, il n’y a qu’un pas ! Cela serait une mauvaise nouvelle pour l’innovation… Nous observons tous les jours les effets délétères des guerres que se livrent les grands acteurs du secteur : Oracle et Google, Apple et Samsung, et bien d’autres…

Les récentes annonces font pencher la balance vers l’innovation !

Des documents récemment révélés par la SEC (le gendarme de la bourse aux Etats-Unis) montrent que cette acquisition a été réalisée de manière rapide, apparemment avant tout pour garantir l’approvisionnement en composants auprès d’Apple. Voilà qui pourrait cacher les futures innovations qui seront peut être présentes dans l’iPhone 5 ? En effet, Authentec dispose de technologies qui lui permettent d’intégrer des lecteurs d’empreintes digitales de manière simple dans les smartphones. Les derniers produits présentés permettraient même d’imaginer un lecteur d’empreintes digitales dans le bouton « Home » de nos iPhone !

Une idée qui pourrait plaire à Apple pour simplifier l’authentification de ses clients et ainsi faciliter l’adoption de technologie comme le NFC, mais aussi constituer un avantage distinctif de son futur système de « portefeuille virtuel » Passbook ! L’utilisation d’authentification biométrique pourrait à la fois simplifier la vie de l’utilisateur (plus de mots de passe…)  et rassurer les cybermarchands (diminution des cas de fraude…).

Voilà donc un rachat qui pourrait s’avérer une avancée significative dans l’adoption de mécanismes de sécurité dans le grand public ! Croisons les doigts et attendons peut-être le 12 septembre pour voir si la prochaine « Keynote » révèlera les plans du géant à la pomme dans ce domaine.

Cet article Apple et Authentec : guerre des brevets ou réelle innovation ? est apparu en premier sur RiskInsight.

Les raisons ne manqueront pas pour alimenter un climat général de doute, d’incertitude et d’attentisme économique, le manque de visibilité sur la conjoncture générant une plus grande prudence des entreprises. La pression opérationnelle pousse à gérer les actions en urgence, engendrant des décisions relativement court-termistes. Pour les nouveaux projets, un certain attentisme s’instaure et leur lancement est repoussé à des lendemains plus sûrs. Oui, mais si ces lendemains ne reviennent plus, il va donc nous falloir considérer les choses autrement.

Se résigner ? Non. Innover ? Oui ! L’innovation doit être vue comme un moyen de sortie de crise ou, tout du moins, comme un modérateur de celle-ci.

L’innovation comme outil de différentiation

C’est bien sûr un des buts les plus recherchés des démarches d’innovation. Il est faux de croire qu’en temps de crise, les clients ne sont pas sensibles aux produits et services innovants. Quand l’innovation fait sens, elle trouve son marché. Citons deux exemples. 1993/94, crise du Système Monétaire Européen ; 1995, décollage du GSM en Europe. 2008, crise économique majeure ; 2009, explosion des ventes de l’i-Phone. De plus, l’entreprise innovante, en tant que pionnière, se constitue un avantage concurrentiel fort sur le marché, avec une image de marque très valorisable.

L’innovation au service de la compétitivité de l’entreprise

Mais l’innovation peut aussi être utilisée comme outil de rationalisation et d’optimisation des coûts et processus. De nombreuses entreprises ont lancé des programmes spécifiques pour stimuler les réflexions innovantes autour de la baisse des coûts de production des biens ou des services.
Par exemple, dans l’industrie, les démarches d’analyse de la valeur s’appuient sur des groupes d’innovation pluridisciplinaires qui, lors de séances de créativité, travaillent sur un poste de coût en particulier et imaginent toutes les solutions qui permettraient de le réduire.

L’innovation comme pilier de l’animation des équipes

Last but not least, l’innovation constitue un véritable pilier d’une politique de stimulation du travail entre les équipes. L’animation de l’intelligence collective, tous les process et outils collaboratifs sont autant de formidables catalyseurs d’échanges au sein de l’entreprise. De plus, ils renforcent les liens entre des directions pour lesquelles les tensions peuvent être plus vives en temps de crise (ex : la DSI dont les budgets ont été réduits et les métiers qui cherchent à avoir le plus de réactivité possible pour trouver de nouvelles sources de développement)

Pour conclure, n’oublions pas que l’innovation n’est pas une incantation ; elle est avant tout un état d’esprit. Elle est pragmatique et progressive, n’entraînant pas forcément de gros investissements ou de coûts déraisonnables.

L’innovation n’est pas l’invention, l’innovation est un moyen concret qui peut permettre à l’entreprise de sortir du marasme économique, ou tout du moins, de traverser plus aisément cette passe difficile. Mon cadeau pour 2012 est cette belle maxime de Tite-Live « Il faut oser ou se résigner à tout ». Alors en 2012, OSEZ L’INNOVATION !!

Cet article INNOVATION : Adieu 2011, année de crise. Bonjour 2012… année de crise ! est apparu en premier sur RiskInsight.

L’ouverture sous toutes ses formes

Tout d’abord, l’ouverture vers de nouveaux métiers et de nouveaux partenaires est essentiel pour réussir dans un monde aujourd’hui friand d’alliances parfois improbables entre secteurs (qui aurait imaginé, par exemple, que les banques vendraient un jour des  forfaits de téléphonie ?).

L’ouverture, c’est également un élan vers de nouveaux horizons de développement, par exemple à l’international ou vers les nouveaux marchés émergents, relais de croissance essentiel.

L’ouverture, c’est aussi promouvoir de nouveaux usages et de nouvelles manières de faire. L’arrivée en force des smartphones et des tablettes l’illustre bien. Le cloud computing, vecteur de réduction des coûts mais aussi de la création de SI plus souples, a commencé à démontrer ses bienfaits.

L’ouverture est d’ailleurs de plus en plus exigée par les utilisateurs eux-mêmes. Les réseaux sociaux, publics ou d’entreprise, la volonté d’utilisation d’équipements personnels des collaborateurs (le fameux BYOD « Bring Your Own Device ») seront certainement des sujets d’actualité en 2012.

Maîtriser l’ouverture du SI

Bien évidemment, l’actualité récente et les différents incidents de sécurité majeurs rencontrés à l’étranger comme en France, nous rappelle que l’ouverture doit être raisonnée et réfléchie. Il ne s’agit pas d’ouvrir sans contrôle un SI au cœur de la performance de l’entreprise et de laisser en libre accès des informations confidentielles.

Dans ce contexte, il est crucial de bien maîtriser les fondamentaux de la protection de l’information. Savoir où sont les informations sensibles, qui les possède, comment elles sont utilisées sont des éléments clés ! Cette connaissance permet de protéger de manière adéquate les informations les plus sensibles tout en autorisant de nouveaux usages sur le reste du système d’information, moins sensible.

Transformer son SI pour tendre vers l’ouverture

Pour autoriser l’ouverture, des mouvements de fonds dans le SI doivent être envisagés. Les priorités de 2012 seront certainement la création de « sanctuaires » pour protéger les informations les plus sensibles de manière avancée, le renforcement de la sécurité des applications (à la fois lors de l’expression des besoins, mais aussi et surtout du développement et des recettes) et finalement la création de systèmes de gestion d’identité et d’accès qui seront capables d’interagir avec les services du cloud pour garantir la continuité de la protection. La surveillance du SI et l’adaptation des processus de gestion de crises et d’incidents aux nouvelles menaces seront aussi des éléments clés.

L’ouverture est essentielle pour accompagner et développer nos organisations et les rendre compétitives tout en préservant leurs ressources ! 2012 sera sans conteste l’année de l’ouverture, comme un levier de réduction des coûts et d’émergence de nouveaux services. Un incontournable pour assurer le développement des grandes organisations !

Cet article OUVERTURE – La clé du développement des grandes organisations est apparu en premier sur RiskInsight.

Tous les analystes constatent que la rentabilité de la division PSG a toujours été moindre que la rentabilité globale de HP : la marge opérationnelle de PSG tourne autour de 6% contre presque 10% pour le groupe, en baisse pour la première fois depuis 5 ans. En se séparant de cette division, HP cherche à rassurer les marchés et ses actionnaires. Mais le marché ne semble pas réagir favorablement à cette annonce.

Les smartphones et les tablettes sont les deux produits de l’informatique personnel qui ont le plus fort potentiel de croissance. Avec le rachat de Palm, HP aurait pu occuper ce segment de marché prometteur.

Mais le paysage des OS pour les matériels mobiles est déjà bien encombré avec trois acteurs majeurs : Apple/iOS, Google/Android, qui occupent toujours plus de parts du marché (à deux ils représentent 75 % du marché américain) et RIM/Blackberry (23 %). Il ne reste que peu d’espace pour d’autres OS, et malgré les annonces rassurantes de HP concernant l’avenir de WebOS, le choix de s’appuyer sur celui-ci a probablement été une erreur stratégique qui lui a coûté les échecs des lancements de ses derniers produits.

Le retard pris par HP sur ce marché risquant de peser sur les résultats de l’entreprise sur le court terme, externaliser ou céder l’activité de la division PSG, permet à celle-ci de reprendre le temps de rattraper les autres acteurs et redevenir profitable.

Quelles peuvent être les conséquences pour les clients HP ?

La situation est aujourd’hui assez floue, les premiers retours montrent bien que les équipes opérationnelles ont été autant surprises que le marché. Et elles l’ont d’ailleurs fait savoir en modifiant les sites internet du groupe pour faire passer leur message de manière temporaire. Pour les clients, le passé montre que des mouvements similaires, en particulier celui d’IBM, a bien été accompagné. Mais ce mouvement était franc et orchestré. Le problème aujourd’hui c’est l’incertitude qui règne coté HP.

Quel serait un scenario envisageable?

Un critère clé dans ce secteur reste l’innovation. Le poste de travail connaît, ou va connaître prochainement, de fortes ruptures : arrivée en force des tablettes, premières initiatives de consumerization / Bring Your Own Device, l’acteur en charge de la division PSG devra à la fois s’emparer de ses évolutions, les porter auprès des grands acteurs et continuer à faire évoluer ses gammes classiques. Le challenge est important, et au-delà de la forme juridique que prendra la future structure, l’important sera d’évaluer son autonomie, ses moyens et son ambition pour décupler le succès historique d’HP.

Article publié sur le JDNet : http://www.journaldunet.com/solutions/systemes-reseaux/changement-strategique-chez-hp/benoit-paroissin-solucom.shtml

Cet article HP arrête sa division PC est apparu en premier sur RiskInsight.