Pour l’instant moins connue et moins répandue en Europe que ses consœurs EBIOS RM & Mehari (entre autres), la méthode d’analyse de risques FAIR comble néanmoins des vides laissés par les autres approches. Déjà mise en avant par Wavestone dans un article précédent, ses principaux atouts résident dans la mise en perspective de données habituellement boudées par l’analyse de risque traditionnelle d’une part, et d’autre part dans sa capacité à générer des métriques dédiées à l’aide à la décision stratégique et adaptées au langage des décideurs, comme la Value at Risk.

Néanmoins, comme le souligne ce même article, cette approche est a priori desservie par le temps, les ressources humaines et la multiplicité des connaissances nécessaires pour la mener à bien. Dès lors, bien que le concept soit séduisant, est-il réaliste de déployer la méthode FAIR ? Comment traduire opérationnellement sa nomenclature ? Quid de son automatisation ? Plus largement, apporte-t-elle une plus-value suffisante pour justifier son utilisation ?

Nonobstant son efficacité indéniable en matière de quantification des risques, une telle approche nécessite d’être encadrée à la fois par un dispositif technique adapté et par un accompagnement fonctionnel, essentiel dans la collecte des données. C’est d’autant plus vrai que quantifier financièrement ses potentielles pertes financières en cas d’incident cyber n’est pas suffisant : encore faut-il avoir la capacité de les mettre en perspective dans un écosystème de menaces polymorphes et évolutives. C’est toute l’innovation de Citalid : être capable de réaliser une quantification dynamique du risque cyber à destination des décideurs, en croisant automatiquement la réalité de la menace qui pèse sur une entreprise, son contexte métier et sa maturité défensive. Et, surtout, ne pas s’arrêter à la seule analyse : générer un plan d’action qui reflète l’équilibre optimal entre efficacité et rentabilité.

L’empirisme comme cadre d’automatisation de FAIR

Contextualiser l’environnement externe

Comme dans toute analyse, l’objectivité de l’observation croît avec le nombre de paramètres pris en compte. S’il est fréquent, voire habituel, que le contexte interne d’un système d’information soit étudié, il est plus rare que l’analyste s’intéresse à l’ensemble des dynamiques externes pouvant influencer l’analyse. Ces dynamiques, qui peuvent revêtir des réalités variées comme nous allons le voir, peuvent pourtant fortement influencer la fréquence et l’intensité des menaces cyber. Il est toutefois difficile de dresser une typologie exhaustive de ces données, et leur prise en compte relève quasi-systématiquement du mélange de deux ingrédients :

• La curiosité et l’esprit logique de l’analyste (in fine, sa capacité à se projeter dans / s’adapter à un contexte) ;
• La bonne visibilité du ou des responsable(s) du système et des activités sur leurs périmètres ;

Parmi les critères exogènes pouvant infléchir l’analyse de risque figurent : l’environnement concurrentiel, la position de l’entreprise sur son marché, ses implantations géographiques, les dynamiques géopolitiques, les politiques internes, le cadre normatif, le climat socio-économique, la diversité de ses activités, etc.

Pour autant, il serait aisé de se perdre dans ce labyrinthe de critères. Il est donc nécessaire d’accompagner le décideur dans la constitution d’une cartographie de son environnement au sens le plus englobant du terme. C’est donc par l’échange et l’intelligence collective qu’un premier niveau de filtre se crée, en dressant un périmètre d’analyse à la fois structuré et flexible.

Si définir le périmètre de l’analyse permet de fixer un cadre cohérent, une multitude de risques peuvent toutefois s’y insérer. Il est d’ailleurs à noter que le périmètre défini peut lui-même être une composante d’un périmètre d’analyse plus large. En ce sens, les différents périmètres déterminés peuvent s’articuler sous forme d’arbre hiérarchique, calquant souvent l’organisation interne de l’entreprise (cf. schéma ci-dessous).

Ainsi, dans l’exemple ci-contre, le niveau groupe est représenté par le périmètre « Energy Company », qui agrège le risque de l’ensemble de ses périmètres « enfants » (ici ses « business units »). Chaque périmètre présente pourtant un contexte et des risques qui lui sont propres. Cette arborescence joue un rôle prédominant dans la construction d’une bibliothèque pertinente de scénarios de risques afférents. On pourrait aisément être tenté de remonter à l’échelon groupe pour globaliser ses scénarios, mais cela détériore souvent de facto la granularité, et donc la qualité, de l’analyse en raison des particularismes de chaque périmètre.

Construire une bibliothèque pertinente de scénarios

Ce travail de cadrage conditionne donc le choix et le paramétrage des scénarios de risque. Ce paramétrage et le calcul en résultant est rendu complexe par le nombre de critères à prendre en compte et l’incertitude inhérente au risque cyber. Sans revenir sur la méthodologie propre à FAIR déjà abordée sur ce blog, il peut donc être long et fastidieux de construire un grand nombre de scénarios de risque tout en tenant compte des spécificités de chaque périmètre. Une solution à ce problème réside donc dans la construction d’une bibliothèque de scénarios pouvant s’adapter à chaque contexte métier et englobant plusieurs typologies de menaces. En se fondant sur l’expérience des opérateurs et les données accumulées, Citalid dispose aujourd’hui de plusieurs bibliothèques de scénarios et de pertes, répertoriées dans des répertoires ‘Métiers’. Ceux-ci sont facilement exportables sur la plateforme, tout en conservant une part de flexibilité permettant aux scénarios indiqués de s’adapter très précisément au contexte business. Dans la continuité du use-case utilisé plus haut, l’image ci-dessous illustre une bibliothèque ‘fictive’ de scénarios reliée au secteur ‘Energie’. S’agissant d’une version ‘Démo’, ce panel est toutefois non exhaustif.

C’est ainsi que la bibliothèque de scénarios de Citalid s’inscrit dans une double-dynamique à première vue contradictoire : capables de répondre aux exigences d’efficacité et d’automatisation de l’analyse, elle reste suffisamment flexible pour s’implémenter avec précision et pertinence dans n’importe quel contexte. Chaque typologie de menace, combinée aux caractéristiques du périmètre analysé, détermine la fréquence d’occurrence et les pertes financières, qu’elles soient primaires ou secondaires, inhérentes au scénario choisi. Dans le cas d’un scénario d’espionnage économique par exemple, on peut affirmer sans trop s’avancer qu’il y aura systématiquement une perte liée à la remédiation de l’incident, une perte liée à l’exfiltration des données et une perte résultant de l’atteinte à la réputation de l’entité si l’attaque venait à devenir publique.

En complément, pour que les paramètres quantitatifs (fréquence de la menace, résistance du SI à l’attaque, fréquence et magnitude des pertes, actifs ciblés, etc.) du scénario restent pertinents, ils doivent être profilés sur les caractéristiques du périmètre cible. C’est pourquoi l’expertise de Citalid réside en partie dans la définition et le maintien à jour – les menaces cyber et les abaques disponibles évoluant vite – d’une bibliothèque de templates au sein de laquelle l’analyste doit pouvoir piocher pour amorcer facilement et automatiquement son évaluation du risque.

Accumuler des données sur les menaces cyber et leurs impacts permet donc de calibrer des « templates » de scénarios, et d’automatiser ainsi progressivement l’analyse FAIR. En combinant renseignement sur la menace, modèles techniques et abaques issues d’analyses en source ouverte et de retours clients pour aider les analystes, la plateforme Citalid – plusieurs fois primée pour son innovation[1] – prend le parti de l’intelligence collective pour assurer une rigueur scientifique et une précision inégalée dans la quantification des pertes financières.

Remettre les risques en perspective avec l’écosystème de défense

Le RSSI comme pilote de son SI

En matière de management de la cybersécurité, le RSSI constitue, sans surprise, le point central du dispositif. Pour cela, il doit avoir la capacité de visualiser rapidement l’ensemble du panorama des risques cyber pesant sur son SI – une vision « cockpit », pour ensuite infléchir des orientations à plus grande échelle. Il a donc besoin d’un GPS pour le guider dans ses décisions : comment mener son SI d’un point A (état des lieux du risque actuel) à un point B (exposition au risque souhaitée), en prenant soin d’optimiser sa trajectoire (investissements cyber) tout en évitant les obstacles (menaces) qui apparaissent dynamiquement sur sa route.

Exemple de dashboard de risque, illustrant la vision ‘cockpit’ du RSSI.

Une fois les différents scénarios établis et la quantification réalisée, la difficulté réside dans la possibilité de traduire ces risques qualifiés de « bruts » en une roadmap stratégique. La première étape consiste ainsi à mettre en perspective ces risques en les confrontant à l’infrastructure défensive actuelle du SI. La connaissance de son environnement constitue un prérequis à l’analyse pour le RSSI. D’autant plus qu’en matière d’infrastructure défensive, deux options majeures existent et se complètent parfois : opter pour une logique de maturité défensive fondée sur le respect d’un ou plusieurs référentiel(s) (ISO 27k, NIST, CIS, etc.) ou réaliser – puis comparer avec ses pairs – un inventaire et une évaluation de l’ensemble des solutions de sécurité déployées sur le périmètre.

« Une confrontation permanente entre théorie et expérience est une condition nécessaire à l’expression de la créativité » ^[1]. On ne saurait trouver aphorisme plus révélateur de la méthode énoncée ici : celle de la confrontation entre théorie (risques bruts) et expérience (évaluation de la maturité défensive fondée sur une multitude de retours et d’incidents) comme condition nécessaire de la création d’une roadmap. La confrontation permet d’obtenir le risque « net » auquel est réellement confrontée l’entreprise, inférieur au risque brut puisqu’il considère les défenses du SI.

Alimenté par des métriques « actionnables », le décideur pourra désormais avoir une visibilité sur son risque réel dans son langage, et par conséquent pouvoir arbitrer et déterminer sa destination – son point B – en fonction de son appétit au risque et de la politique de l’entreprise. Quels scénarios traiter en investissant pour réduire le risque associé ? Lesquels maintenir, au regard de leur faible impact économique ? Lesquels partager à un assureur cyber ? Toutefois, comme nous allons le voir, la modélisation du risque net décrite dans le paragraphe précédent requiert une connaissance conséquence de l’écosystème de menaces dans lequel il s’inscrit.

La Cyber Threat Intelligence, catalyseur d’une gestion des risques optimale

L’une des principales lacunes du management des risques en matière de cybersécurité se cristallise autour de la difficulté à déployer une approche qui reflète la réalité du risque « terrain ». Le RSSI ou le Risk Manager doit donc également avoir un radar pour détecter dynamiquement les obstacles sur son chemin (menaces) et, dans la mesure du possible, anticiper et prévenir les impédimentas.

Ainsi, de la même façon qu’un éboulement de pierre sur une route est le résultat d’une conjonction de multiples facteurs (conditions météorologiques, caractéristiques géologiques, activité humaine, etc.), le passage à l’acte d’un attaquant dépend de nombreux éléments. Ces éléments doivent, dans la mesure du possible, être observés et inclus dans l’analyse de risque. Dès lors, la Cyber Threat Intelligence (CTI), discipline dédiée à l’étude et la contextualisation des modes opératoires des attaquants, enrichit et dynamise les analyses de risque traditionnelles. La maîtrise et l’inclusion de cette discipline dans la gestion du risque cyber est l’un des différenciateurs majeurs de Citalid et irrigue toute sa culture d’entreprise.

Comment marier opérationnellement et durablement les données de CTI aux calculs de risque annoncés dans le paragraphe précédent ? On peut en avoir l’intuition en constatant les trois faits suivants :

• Le segment de marché de l’entreprise aide à déterminer les modes opératoires les plus susceptibles de s’intéresser à elle ;
• Les techniques d’attaques utilisées par ces modes opératoires et leurs centres d’intérêt au sein des SI ciblés permettent d’identifier les actifs les plus critiques et de savoir comment améliorer leur protection ;
• En confrontant à nouveau les données de CTI définies dans les deux points précédents avec son infrastructure défensive, l’entité peut identifier quel champ d’application (au sens entendu par un référentiel de sécurité) ou quelle solution de défense n’est pas assez rentable (réduction du risque par rapport au coût).

Le schéma ci-dessus représente un exemple concret d’application de la CTI à l’analyse de risque, agissant comme un véritable catalyseur pour dresser des orientations. Un mode opératoire s’exprime techniquement à travers sa « Kill Chain », soit l’enchaînement des techniques d’attaque qu’il met en œuvre pour arriver à son objectif. Citalid a cartographié les liens entre ces TTPs (Tactics-Techniques-Procedures) et des points précis de différents référentiels de sécurité (ici le CIS20), ces derniers étant les mesures défensives les plus adaptées aux TTPs définis dans le schéma. Sur la première ligne, on observe par exemple que la mesure CIS 16.3 (entre autres) est suffisamment déployée chez l’entité cible pour limiter l’impact des TTPs indiquées à cette étape de la Kill Chain. Sur la seconde ligne, en revanche, l’inverse se produit : la mesure CIS 11.1 n’est pas suffisamment mature pour opérer une protection efficace contre la sophistication de l’attaquant.  C’est donc sur cette ligne que le défenseur doit potentiellement se concentrer.

La dernière ligne cristallise les intérêts de l’enrichissement de l’analyse par la CTI. Le carré jaune détermine la progression de maturité due à la mise en place de solutions de sécurité pertinentes pour la mesure CIS 11.1 (par exemple un système de gestion des périphériques réseau), solutions qui sont automatiquement déterminées et recommandées à l’utilisateur dans le cas du moteur de calcul Citalid. Autrement dit, ce différentiel exprime indirectement une voie à suivre vers une maturité et résilience optimales pour ce scénario spécifique, point de départ de la définition d’une stratégie d’investissement cyber sur-mesure.

Transformer l’analyse en stratégie

Formuler une stratégie cyber alignée sur des objectifs groupe

Une analyse de risque réussie et pertinente se caractérise par la facilité qu’aura l’observateur à visualiser immédiatement comment transmuter les données en actions. Elle se doit donc d’être intelligible et cohérente pour le récipiendaire, quels que soient son niveau de technicité et sa position dans l’organigramme. Autrement dit, l’analyse de risque seule est insuffisante : elle ne peut véritablement servir que si elle donne naissance à une stratégie de long-terme.

Cette vision, fortement orientée vers les niveaux les plus stratégiques, marque l’ADN même de Citalid. Derrière le calcul des risques (brut et réel) et des recommandations les plus efficaces (référentiels comme solutions) grâce à la CTI, l’objectif est de pouvoir proposer un indicateur de retour sur investissement (ROI) des solutions de sécurité. En visualisant sa position initiale (A), sa position souhaitée (B) et les différents chemins possibles (investissements de défense), le décideur final doit pouvoir comparer le ROI des différentes options et dresser une stratégie d’investissement cyber en accord avec son budget et ses objectifs réels.

De plus, l’objectif derrière cette approche singulière est double. Dans un premier temps, il s’agit d’accompagner nos clients dans la définition de leurs stratégies de cybersécurité et dans l’application d’un plan d’action co-construit, visant de fait à pallier les failles rendues visibles par l’analyse. Toutefois, pour que cette stratégie reste réaliste, il est primordial de s’assurer qu’elle puisse s’inscrire dans une dynamique globale et donc qu’elle soit rapidement assimilable par une instance hiérarchique supérieure (COMEX). Pour répondre à ce besoin, nous avons, chez Citalid, affiné notre prestation afin que celle-ci soit en phase avec les réalités du RSSI :

• Par l’adaptation de la plateforme en matière d’ergonomie, de niveau de technicité et de langage, pour que les tableaux de bord soient transparents et facilement interprétables ;
• Par l’assistance auprès de notre clientèle dans la définition des budgets et dans leur légitimation et justification (plaidoyer) au regard de la réalité de la menace.

En alignant les stratégies de cybersécurité sur des stratégies d’investissement plus large, en phase avec les objectifs fixés par le groupe, Citalid entend garantir et renforcer le rôle prédominant du RSSI dans le pilotage de la résilience cyber.

Capitaliser sur l’approche par le déploiement d’un indice de risque

L’avantage majeur quant au choix d’opérer une approche globalisante en matière de sécurité repose sur son potentiel d’agrégation du risque à n’importe quel niveau (groupe, business unit, application, projet, etc.) et de normalisation (comparaison entre périmètres et pairs). À la manière des agences de notation, ce « scoring » de l’entité, qui ne prend pas seulement en compte son niveau de maturité sur ses actifs exposés mais également sa stratégie de gestion du risque, son organisation interne, la réalité de la menace, son contexte business propre, etc. peut se transformer en un indice global de risque, symbole de la résilience de l’entité et suivi par sa direction. Ceci est d’autant plus vrai qu’une approche scientifique fondée sur de nombreux paramètres hétérogènes présente un caractère d’objectivité souhaitable, pour l’entité comme pour ses partenaires et collaborateurs.

Cette fois, il ne s’agit plus seulement de se positionner dans son environnement, mais bien de se positionner par rapport à d’éventuels pairs (comparaison) et partenaires (garanties). Un indice de risque traduisant une résilience élevée et une gestion des risques saine aura pour effet d’assurer à ses fournisseurs ou clients finaux une sécurité optimale et un respect de leurs données, tout en rassurant les investisseurs sur la bonne utilisation de leurs fonds.

Exemples d’indices de risque réalisés par Citalid : il s’agit, en l’occurrence, d’une ‘Météo cyber’ permettant d’identifier les variations de l’exposition médiatique d’un client.

D’autres acteurs pourraient également tirer profit d’un tel index : le milieu assurantiel, et en particulier les cyber-assureurs. La quantification du risque cyber reste un obstacle pour eux, les approches actuarielles classiques étant limitées par le manque de données historiques en cybersécurité. Le modèle de Citalid, présenté ici, combine expertise de la menace, modèles probabilistes avancés et simulations attaque-défense innovantes afin de pallier ce manque de données. Notre « scoring » et nos métriques, fondés sur les risques plutôt que sur un simple niveau de défense, permettent donc d’affiner le modèle assurantiel pour être au plus proche des besoins réels de leurs clients.

Ainsi, la quantification du risque cyber et du retour sur investissement des solutions de sécurité constitue aujourd’hui l’un des plus grands défis auxquels font face les RSSI, Risk Managers et assureurs. À travers son approche innovante, Citalid répond à ce besoin de repositionner la cybersécurité au cœur des stratégies d’entreprises et d’optimiser ses plans d’actions et investissements.

^[1] Attribuée à Pierre Joliot-Curie

Cet article Citalid | Shake Up – La Cyber Threat Intelligence au service de l’optimisation des budgets cyber est apparu en premier sur RiskInsight.

Comment ? Par le biais du sourcing notamment, car avec des taux d’externalisation élevés au sein des DSI, il est un levier à activer pour dégager cette performance. Pour autant, les pratiques de sourcing héritées des récentes transformations sont complexes et hétérogènes. Optimiser la performance des fournisseurs n’est pas si simple… aussi, pour améliorer la relation DSI / fournisseurs, la mise en place d’un VMO (Vendor Management Office) s’avère clé.

Le VMO a en effet pour mission de maximiser la performance de ses fournisseurs, durant toutes les phases du cycle de vie du sourcing, et ce quel que soit le produit ou le service fourni à la DSI (matériels, logiciels, hébergement…). Il contribue notamment à un meilleur pilotage économique et à une mise sous contrôle de la qualité de service, dans une démarche pérenne. Souvent rattaché à la DSI ou directement au niveau d’une direction Étude / Production, le VMO s’appuie sur les acteurs de la relation fournisseur (pilote opérationnel, pilote contractuel).

Le VMO, levier de performance « fournisseurs »

Pour améliorer la performance des fournisseurs, il faut déjà savoir la mesurer et également identifier les services et activités présentant un potentiel d’optimisation ! Le VMO est là pour consolider cette vision globale de l’apport des fournisseurs en mettant en œuvre des processus, des outils de remontée d’informations et d’agrégation des indicateurs quantitatifs et qualitatifs de performance de toutes les prestations, y compris en avant-vente ou durant les phases de réversibilité et de transition. Cette vision sous forme de tableau de bord synthétique et factuel (balanced scorecard) peut être partagée au plus haut niveau pour le lancement d’un plan d’actions ou la réorientation d’un partenariat.

Force est de constater que de nombreux acteurs sont impliqués en interne dans le pilotage des fournisseurs (du pilotage opérationnel au pilotage stratégique en passant par le pilotage tactique) et que la mesure de la performance fournisseur n’est que peu partagée. Cela est nuisible à l’efficacité de la relation fournisseurs. La gouvernance de la relation fournisseurs s’avère nécessaire pour garantir la cohérence des actions et des prises de décisions côté Direction générale comme du côté opérationnel. Le VMO met en œuvre cette gouvernance et contribue à l’animer avec l’ensemble des interlocuteurs des fournisseurs (directions opérationnelles comme juridique, financière, achats…).

Le VMO, clé de voûte des modèles de sourcing innovants

Les nouveaux modèles d’externalisation (Cloud, centres de services, centres de compétences…) et le travail à distance font que l’intégration des nouveaux modèles de sourcing, dans la chaîne globale de fourniture de services de la DSI, demande une attention particulière. Le VMO effectue une veille marché pour que la DSI ait les informations et le recul nécessaire pour sécuriser ses choix d’externalisation.

Gestion des demandes, des incidents, de la qualité… autant de processus et d’outillage à mettre en œuvre pour échanger avec le nouveau fournisseur. Le VMO s’assure aux côtés des fonctions achats, juridiques et opérationnelles de la DSI que les choix réalisés répondent aux enjeux de chacun, y compris à ceux des fournisseurs, et s’inscrivent dans une cohérence globale au sein de la DSI. Pour éviter que les processus et outils mis en œuvre soient le résultat de choix isolés, le VMO s’appuie sur un cadre de référence, véritable guide des principes et bonnes pratiques du sourcing.

Les nouveaux modèles d’externalisation occasionnent aussi de véritables ruptures au sein de la DSI qui doivent être anticipées et accompagnées : nouvelles compétences, nouvelles postures, nouveaux modes de fonctionnement, nouveaux métiers… Ces changements dans la vie des internes doivent se préparer et être accompagnés ! Là encore le VMO intervient pour mettre en place des plans de communication, de formation voire des accompagnements personnalisés.

Attention cependant. Au-delà des bénéfices escomptés, la réussite du VMO n’est pas garantie. Le VMO reste un savoir-faire mal maîtrisé et émergent au sein des DSI. Il est primordial de le légitimer en privilégiant notamment des actions permettant des résultats rapides (une BSC sur les fournisseurs stratégiques…), un déploiement progressif et un fort sponsorship au niveau de la direction.

Cet article Vendor Management Office : un levier clé de performance des fournisseurs de la DSI est apparu en premier sur RiskInsight.

Véritable figure de style imposée, la réponse commerciale à un appel d’offres (AO) public nécessite un réel savoir-faire, tant dans la compréhension des choix qui ont conduit à sa rédaction, que dans celle du cadre de réponse et de la démarche attendue en retour.

En effet, la qualité de la réponse apportée à un AO public est souvent le fruit d’une expérience construite sur plusieurs années ; dès lors il importe de s’entourer de toute l’expertise nécessaire (sollicitation d’experts, retour d’expérience, base documentaire…). Ceci afin de situer l’appel d’offres dans le cadre plus général des marchés publics, d’identifier les caractéristiques spécifiques qui nécessiteront une attention approfondie, d’optimiser le délai de rédaction de la réponse administrative, et enfin de concentrer son énergie sur les facteurs d’appréciation et de différentiation commerciale, permettant d’optimiser les chances de succès.

Des marchés publics structurés …mais multiples

Historiquement le code des marchés publics s’est toujours construit autour d’une volonté de  « bonne utilisation et d’efficacité des deniers publics ». Dès lors, et pour mettre en œuvre une égalité de traitement des candidats sur des secteurs et des compétences les plus divers, les marchés publics se sont profondément structurés. Et même restreints au domaine des prestations intellectuelles, ils se déclinent de nombreuses façons, chacune avec ses critères, sous-critères et règles de gestion spécifiques.

La principale caractéristique est le type de procédure adoptée, qui définit les règles générales qui vont procéder in fine au choix du/des titulaire(s). Parmi les procédures les plus utilisées, on trouve : les procédures simples, adaptées, négociées, les AO ouverts ou restreints, le dialogue compétitif…

Le type de procédure sélectionné sera ainsi fonction du montant financier du marché, mais également du mode d’approche que l’établissement public aura déterminé comme étant le plus efficient pour répondre à sa problématique. Par exemple, une procédure de type dialogue compétitif permettra à un projet peu mature la rédaction d’un cahier des charges à partir de plusieurs séries d’échanges réalisées avec les candidats, alors même que le titulaire définitif du projet n’a pas encore été retenu…

La complexité des marchés publics peut s’illustrer par de nombreux autres aspects. Citons pêle-mêle le type d’établissement concerné (état, collectivité ou autre), les options d’allotissement, les accords-cadres, la sous-traitance, les AO à bons de commandes, les marchés subséquents …

Optimisation de l’approche commerciale

Bien évidemment, les contraintes et le parcours d’obstacles inhérents à la rédaction d’un appel d’offres public sont autant d’éléments de différenciation qui valorisent les savoir-faire. L’expertise en marchés publics pourra intervenir à plusieurs niveaux. L’expert saura en particulier analyser les caractéristiques et particularités d’un appel d’offres public, décrypter plus facilement les enjeux et attentes spécifiques du client. Il permettra également, de par son expérience, une bonne quantification de l’effort de rédaction à fournir (très variable selon les cas de figure, jusqu’à 3 mois). Il saura idéalement favoriser le re-use, et retrouver les particularités d’une législation en constante évolution.

Par ailleurs, la partie administrative (nécessairement « sans-faute ») pourra idéalement être déléguée à des ressources rodées à ce genre d’exercice, permettant aux forces commerciales de se concentrer sur le cœur de réponse, à savoir les parties techniques et financières.

A partir de là, une stratégie commerciale pourra être élaborée par appropriation de la problématique client, conception d’un dispositif jugé le plus adapté, optimisation de la phase de questions-réponses (permettant de valider ou d’infirmer certaines hypothèses). La répartition du ratio financier/technique sera également prise en considération. Enfin, l’équipe commerciale s’attachera à se forger et à présenter ses propres « convictions », parti-pris de la problématique cliente, véritable facteur de différentiation, et qui portent un « risque » dans l’interprétation et dans le choix de la solution présentée, et à partir desquels découleront la proposition ainsi que la mise en avant des facteurs clés de succès de la mission.

Dans un contexte de réduction de la dépense publique, ce marché est devenu extrêmement concurrentiel au même titre que beaucoup d’autres. D’où l’importance d’une stratégie d’approche bien pensée…

Cet article Marchés publics, quelle stratégie d’approche commerciale ? est apparu en premier sur RiskInsight.

Se baser sur une analyse exhaustive hors budget

Ne jamais faire référence au budget précédent. S’engager à construire le suivant autour des conclusions tirées de l’analyse. S’assurer de couvrir l’ensemble du périmètre et des fonctions adressées. Voici les partis pris de la méthodologie ZBB.

A l’inverse des processus traditionnels de construction d’un budget incrémental, les entreprises menant un programme ZBB s’attachent à l’analyse exhaustive de leurs coûts et besoins. Cette analyse de l’existant leur permet d’identifier les leviers qu’elles pourront mettre en place pour réduire leurs coûts.

Par la suite, la méthode consiste en l’élaboration de plans d’actions qui permettront d’implémenter ces leviers et de déterminer le ROI associé ainsi que leur date d’atterrissage.

Au sein de la DSI, le projet peut être mené auprès des études ainsi que des infrastructures. Alors que les infrastructures permettent d’optimiser les coûts de matériel et technologies (télécom, logiciels, data services…), côté études, on s’intéressera plus particulièrement aux activités, au parc applicatif et aux projets menés afin d’optimiser l’utilisation des ressources.

Anticiper les obstacles et difficultés liés à la méthode…

Le succès de la méthode ZBB reposant sur l’exhaustivité des données collectées, il en résulte une charge de travail importante à l’initialisation du programme, tant pour les équipes internes que pour l’équipe projet. Cette charge est fonction de la maturité des outils de remontée des informations utilisés mais aussi de la multiplicité des sources d’information. Cette phase comporte également un risque sur la validité des données fournies par les acteurs ainsi que sur la résistance au changement que peuvent opposer les opérationnels.

La phase d’identification et quantification des leviers induit deux contraintes majeures. L’investissement nécessaire pour implémenter les leviers doit être pris en compte ainsi que les adhérences et impacts de ces derniers sur les autres services.

Enfin, la phase d’élaboration des plans d’actions doit prendre en compte la complexité d’une mise en place simultanée de plusieurs leviers. Il s’agit aussi de s’assurer que les gains associés seront perçus dans un délai raisonnable aux vues des objectifs du programme d’optimisation.

…et savoir les déjouer…

Un tel projet nécessite un sponsorship important de la part du management pour donner la légitimité indispensable aux équipes qui collectent les données. Il est également important de réaliser ce type de projet en dehors de toute période de construction budgétaire et ainsi éviter la tendance naturelle des opérationnels de vouloir se raccrocher à l’existant.

Par ailleurs, une délimitation précise du périmètre et du niveau de détail souhaité permettra de cibler avec exactitude les informations recherchées et les outils à utiliser pour les collecter. Il est aussi important de déterminer le niveau de granularité souhaité afin de définir la charge des équipes mobilisées.

Enfin, la co-construction est essentielle pour impliquer les équipes ; l’expertise méthodologique combinée à la connaissance du contexte sont nécessaires pour mener à bien le projet. La co-construction permet, par ailleurs, d’éviter la résistance au changement et de faire des équipes internes les porteurs de leurs leviers et plans d’actions sur leur périmètre.

La promesse faite par la méthode ZBB : atteindre entre 10 et 30 % de gains récurrents. Elle assure la rationalisation des activités en identifiant et éliminant les éléments obsolètes et sources de pertes. Optimiser l’allocation des ressources en répondant aux besoins des métiers, une méthode qui fait sens.

[Article rédigé en collaboration avec Chloé Viseux, consultante]

Cet article Optimisation des coûts de la DSI : et si on reprenait tout à zéro ? est apparu en premier sur RiskInsight.

Les DSI ont toujours eu à gérer des relations avec des fournisseurs, que ce soit pour l’achat de matériel informatique ou de prestations intellectuelles du type assistance technique de moyen terme. Elles cherchent cependant aujourd’hui de plus en plus à piloter et à maîtriser ces relations. Pour cela, elles créent depuis quelques années des cellules dédiées à la gestion des contrats avec les fournisseurs, nommées Vendor Management Office (VMO). Pourquoi les DSI ont-elles eu besoin de créer un VMO ? Quelles sont les bonnes pratiques à mettre en œuvre ? Quels gains peuvent-elle attendre et comment en piloter l’attente ?

Le VMO, conséquence de l’externalisation des services

Les évolutions des pratiques d’externalisation transforment les relations entre les DSI et leurs fournisseurs. En effet, l’Outsourcing, l’Offshoring ou encore les centres de service désorganisent le pilotage classique des fournisseurs. Par exemple, la transformation d’un contrat d’assistance technique en centre de service casse le modèle habituel de la relation client/fournisseur et introduit une distance entre les collaborateurs de la DSI et ceux du prestataire. La DSI se structure alors en équipes, chacune fournissant un service particulier. La cohésion entre la DSI et ces fournisseurs est plus difficile à installer ; ce qui introduit une distance dont le facteur impactant est plus le relationnel et l’humain que l’éloignement géographique. Une synergie entre DSI et fournisseur est toutefois possible si les bons mécanismes et les bons outils sont mis en place.

Instaurer le règne de la confiance au sein du VMO

Pour que la synergie s’installe, il est nécessaire qu’une équipe chapeaute la relation au niveau opérationnel. C’est cette même équipe qui pilotera globalement les interactions DSI/fournisseur. En effet, l’enjeu d’un VMO est de construire une relation de confiance entre la DSI et ses fournisseurs et de contrôler les services réalisés par ceux-ci. Dans un premier temps, il est essentiel de référencer les fournisseurs par catégorie. Idéalement, tous les fournisseurs sont pilotés au sein du VMO – bien que ceux considérés comme stratégiques dans le fonctionnement de la DSI aient une place plus importante. La rationalisation des fournisseurs est une étape primordiale pour améliorer le suivi. La catégorisation et la rationalisation facilitent :

• La mise en place d’une gouvernance partagée,
• La mesure de la performance de chaque fournisseur dans sa globalité,
• La refonte des contrats pour synthétiser et clarifier les engagements de chaque partie,
• La gestion des flux financiers, des risques et des relations.

Une réduction de coûts suivie d’une amélioration de la qualité de service

Le VMO est la tour de contrôle des interactions de la DSI avec ses fournisseurs. Cela engage des ressources internes et/ou externes qui ne sont pas négligeables et ne doivent pas être négligées pour en tirer le maximum de gain. Bien que le VMO représente un investissement conséquent, des leviers permettent de réduire les coûts. L’économie d’échelle et la mutualisation des ressources garantissent des gains à court terme. Par la suite, le pilotage de la performance (cf. mindmap d’indicateurs ci-dessous) permet d’assurer une amélioration constante des relations et une optimisation des services. Ainsi, deux paliers successifs se distinguent durant la création d’un VMO : le premier apporte une réduction de coûts, le deuxième améliore la qualité de service.

Le Vendor Management Office permet ainsi d’assurer une relation pérenne avec les fournisseurs en particulier stratégiques. Maximiser la valeur de ces fournisseurs permet une optimisation des coûts suivie d’une amélioration de la qualité de service. Ces nouveaux modèles d’organisation nécessitent une transformation des DSI, notamment le passage du « faire » au « faire-faire ». Cette transition requiert la sélection de profils et de compétences particuliers qui ne sont a priori pas classiques au sein des DSI.

Cet article Le VMO, un acronyme tendance ou un incontournable ? est apparu en premier sur RiskInsight.

Le concept de virtualisation existe depuis plus de 40 ans (avec les mainframe et systèmes IBM), mais s’est véritablement démocratisé dans les années 2000 lorsqu’il est devenu possible d’exécuter simultanément plusieurs systèmes d’exploitation sur un même poste de travail. C’est essentiellement grâce à la virtualisation système (Microsoft, VMware) qu’il est aujourd’hui connu et son succès a atteint des sommets avec le développement du « cloud computing » (Amazon, Google Apps…).

La virtualisation consiste à faire fonctionner sur une machine physique unique plusieurs systèmes comme s’ils fonctionnaient sur des machines physiques distinctes. Ceci repose sur un concept simple : des instances virtuelles sont orchestrées par un hyperviseur, garant de l’accès, la répartition des ressources et l’isolation entre les instances.

La virtualisation doit avant tout son utilisation aux gains financiers qu’elle apporte en favorisant la consolidation des infrastructures et l’optimisation des ressources utilisées. Elle engendre en même temps des bénéfices opérationnels importants en permettant la mise en place rapide de solutions en haute disponibilité : le passage au « tout logique » apporte une facilité de déploiement et une souplesse de provisionning non offerts dans le monde physique.

En 40 ans, au vu de ces bénéfices, les technologies de virtualisation se sont orientées vers des utilisations diverses, s’étendant à d’autres composants du SI que les systèmes d’exploitation d’origine : postes de travail (sessions virtuelles, VDI…), réseaux (VDC, VRF…), équipements de sécurité (Firewalls, IDS-IPS…).

Des risques technologiques … à relativiser !

Les premières craintes des entreprises vis-à-vis de la virtualisation sont liées à la fiabilité des nouveautés technologiques impliquées : les nouveaux composants introduits, en particulier l’hyperviseur, me garantissent-ils l’étanchéité des systèmes supportés par une même machine physique ?

Il existe effectivement un certain nombre de vulnérabilités exploitables sur ces technologies… mais les risques associés sont finalement peu rencontrés : les technologies phares du marché sont des technologies éprouvées et ces risques peuvent être traités, comme pour tout système, par des mesures de gestion opérationnelles de la sécurité qui sont déjà en place dans les entreprises (patch management, durcissement…). Attention cependant ces processus doivent fonctionner avec efficacité vu l’impact en cas d’incident sur les infrastructures de virtualisation.

Des risques humains … à ne pas négliger !

Si les risques les plus courants de la virtualisation ne proviennent pas de la technique elle-même, ils se situent plutôt dans la gestion de ces nouvelles technologies. La virtualisation introduit dans le SI de nouveaux composants (hyperviseur, consoles…), de nouvelles notions d’infrastructure (réseau virtuel…) et les principaux risques de la virtualisation sont le plus souvent issus d’un défaut d’encadrement liés à ces nouveautés :

• Mauvais usage des consoles d’administration, avec des impacts immédiats « effet boule de neige » en cas de mauvaise configuration : arrêt multiple d’instances, activation de fonctions de décloisonnement…
• Mauvaises pratiques de gestion de la plate-forme de virtualisation, notamment sur les aspects de gestion des inventaires et de capacity planning qui doivent être redéfinis.
• Défaut de séparation des tâches entre les équipes système et réseau, avec tous les risques d’erreur, voire de malveillance, dus à la concentration de ces responsabilités.

Les risques « humains » (erreur, malveillance, absence de séparation des responsabilités) prédominent donc sur des risques « technologiques » relativement moins probables et pouvant être limités grâce à des recommandations classiques.

Un projet de sécurisation de la virtualisation, c’est donc bien entendu un projet d’intégration des nouvelles technologies dans la gouvernance opérationnelle de la sécurité pour traiter les risques techniques liés à son utilisation… Mais aussi et avant tout un projet de réflexion sur les rôles, les responsabilités et les compétences de ses administrateurs, afin de traiter les principaux risques de la virtualisation, à savoir les risques humains ! 

Cet article La virtualisation ne virtualise pas les risques humains ! est apparu en premier sur RiskInsight.