Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

Cette réflexion doit permettre de couvrir les risques principaux que sont la fuite de données et l’accès aux données par des administrateurs, Microsoft et des personnes ou des applications tierces.

Un nouveau modèle de gouvernance imposé par Microsoft

Office 365 est une solution de communication et de collaboration SaaS. En tant que telle, la plateforme est en constante évolution, contrairement aux solutions historiques dites « on-premise » : de nouvelles fonctionnalités ou paramétrages apparaissent, sont modifiés tandis que d’autres disparaissent ; on peut citer la disparition annoncée de Skype en 2021 ou la fin du support de l’authentification legacy pour Exchange Online en 2020. Le rythme de cette livraison continue, « continuous delivery » en anglais, est imposée par Microsoft sans contrôle possible, ce qui nécessite un tout nouveau modèle de gouvernance.

L’intégration des changements ne peut plus se faire en mode projet, mais doit suivre un processus établi. Dans ce modèle, les équipes workplace et sécurité doivent travailler main dans la main et être représentées dans l’ensemble des comités projets et d’architecture, et ce dès la conception des cas d’usages de la plateforme. Ces équipes également auront pour responsabilité commune de veiller à la bonne santé et à la conformité réglementaire de la plateforme.

L’équipe sécurité ainsi voit son périmètre évoluer : elle n’a plus la main sur les outils de sécurité et peut, voire doit, avoir un rôle de business enabler afin d’accompagner la migration vers le Cloud en proposant de nouveaux usages (ex : ouverture d’un service maîtrisé d’échange de fichiers à l’externe). Une organisation adéquate doit être mise en place ; on pourrait même envisager d’avoir un Security officer dédiée à la plateforme au plus près des métiers, ayant pour rôle de conseiller les projets, de suivre la configuration de la plateforme, d’assurer le suivi des alertes de sécurité, etc.

Un autre sujet à traiter concerne la délégation de l’administration. Il n’est pas envisageable d’avoir près de 20 Administrateurs Généraux pour un tenant O365, même si cela n’est pas une situation si rare. La mise en place d’une solution de délégation d’administration des comptes utilisateurs et des objets doit être envisagée, via la mise en place d’une interface ou d’un connecteur basé sur PowerShell ou Graph API. Ce traitement devra permettre de gérer l’ensemble de objets tout en tenant compte des logiques métiers. Autour de cette nouvelle gouvernance, doivent s’articuler les piliers de la sécurité ci-dessous :

• La gestion des identités ;
• La maîtrise des services et des usages ;
• Le contrôle du bon respect des politiques de l’entreprise.

La gestion des identités au cœur du sujet

Dans une solution conçue pour permettre une collaboration interne ou externe, avec une utilisation ATAWAD (Any Time, Any Where, Any Device), la gestion de l’identité et donc des authentifications est le cœur de la gestion plateforme.  Comme pour tout projet, la phase de définition de qui peut accéder à quoi, quand et où est fondamentale.

Sur Office 365, on retrouve trois types d’utilisateurs ayant chacun des niveaux de privilèges différents : les administrateurs, les utilisateurs internes et les invités (externes invités à collaborer sur un fichier ou au sein d’un Groupe O365 ou d’un site SharePoint).

Pour chacun de ces types de comptes, l’implémentation des mesures de sécurité définies va être pleine de défis. Outre l’incontournable authentification multi-facteur, mise en valeur par la fuite de données ayant touché Deloitte en 2017 se posent notamment les problématiques essentielles de la maîtrise des accès des administrateurs (rôles personnalisés ou prédéfinis, accès permanent ou ponctuel etc.) et du cycle de vie des utilisateurs invités (rien n’étant clairement défini par défaut). La question du coût des licences Azure AD Premium ou d’un outil tiers va être élément majeur de la discussion.

À noter également, Office 365 permet à des applications externes, de communiquer avec ses APIs. L’application externe peut alors agir au nom d’un utilisateur avec ses droits propres ou d’un administrateur avec des privilèges plus élevés. Ces applications peuvent provenir de différents magasins d’applications (comme AppSource ou AAD) ou être développées localement. La gestion des permissions accordées à ces applications doit faire preuve d’un point d’attention pour les entreprises. En effet, à travers les APIs, il est très facile d’imaginer une fuite de données massives en cas de dupe d’un utilisateur (ex : cas d’une application requérant des permissions non nécessaires, comme celui de l’accès aux mails).

Une maîtrise des services et des usages indispensable mais délaissée

Une fois les accès à Office 365 sous contrôle, le sujet suivant est de maîtriser l’usage qui en est fait. Il n’est pas rare d’observer que des services, non priorisés lors de la migration vers le Cloud (Power BI, Teams, Flow, accès aux API etc.) sont laissés accessibles avec leur configuration par défaut. Les deux raisons avancées sont généralement de favoriser l’adoption et le manque de temps à consacrer à ces services non prioritaires. En plus du paramétrage du service, il est également indispensable de définir des règles précises autour des usages afin de clarifier qui peut faire quoi et quand (ex : gestion des habilitations SharePoint, création des Groupes). L’idéal étant bien sûr de mettre en place des mesures techniques (paramétrages généraux ou configuration via PowerShell) cohérentes avec la politique définie.

L’absence de sécurisation de ces services laisse toutefois là porte ouverte à de potentielle fuites de données : transfert automatique vers l’extérieur, exposition sur Internet ou encore perte de contrôle la donnée. Comme écrit plus haut, la gouvernance doit prendre en compte la sécurité dès la conception des futurs usages. Les services doivent être analysés et testés sur des populations réduites. En effet, il sera toujours plus facile d’ouvrir une fonctionnalité, que de restreindre un usage déjà bien répandu. Dans le deuxième cas, il sera nécessaire de faire une analyse d’impact, de bricoler une solution de contournement et de sensibiliser largement les utilisateurs. Des actions qui peuvent nécessiter un investissement important et qui pourraient être évitées.

Le suivi des services ne doit pas s’arrêter à la fin de l’adoption des utilisateurs. Les équipes sécurité et workplace auront ainsi la charge de faire un suivi des évolutions d’Office 365 (programme Evergreen, mise en place d’une veille, suivi des blogs Microsoft, …) afin d’évaluer les nouvelles opportunités et menaces.

Le contrôle du bon respect des politiques de l’entreprise

Le dernier pilier, et pas le moindre, consiste en l’implémentation des politiques de sécurité de l’entreprise. Cela passe notamment par la mise en place d’outils de sécurité : protection de l’information, anti-malware, supervision et alerting.

Concernant la sécurité d’Office 365, on peut différencier 3 niveaux de maturité aujourd’hui. Les moyens mis en place vont être conditionnés par les expertises disponibles (les ressources étant limitées sur le marché) et le budget (dépendant notamment de la stratégie de l’entreprise de gestion des licences Microsoft) :

• Niveau 1 – Maîtrise des identités, des services et utilisation du Centre de Sécurité et de Conformité : l’entreprise met en place les solutions de sécurité natives du Security Center et du Compliance Center (incluant notamment Office DLP, Exchange Online Protection, eDiscovery) accessibles avec des licences basiques ;
• Niveau 2 – Développement d’ « outils maisons »: l’entreprise crée un ensemble de scripts simples ou tableaux de bords, en s’appuyant sur Graph API, Security Graph API et PowerShell, pour mettre en place des contrôles et des mesures de sécurité adaptés à son contexte (ex : gestion du cycle de vie des utilisateurs invités) ;
• Niveau 3 –Utilisation d’outils de sécurité avancée : l’entreprise met en place des solutions additionnelles pour renforcer le niveau de sécurité : outils permettant de lutter contre les fuites de données, d’analyser les malwares sur les mails, de revoir les droits, de détecter comportements anormaux ou encore de durcir l’utilisation de la plateforme en fonction du contexte.

La maîtrise des services Office 365, de leurs usages et des fonctionnalités natives de sécurité est indispensable, et doit précéder toute réflexion concernant l’ajout d’un outil de sécurité supplémentaire, qui ne couvrirait pas les failles existantes et ne ferait qu’ajouter de la complexité.

Exemple de contrôles de notre méthodologie d’Audit Office 365

Office 365 est un cas intéressant de l’ouverture des applications métiers sur Internet via le Cloud. Cette évolution requière d’adapter le modèle de sécurité historique de l’entreprise, en tendant vers le modèle de la compagnie aérienne avec l’adoption du Cloud.

La sécurisation d’Office 365 ne doit toutefois pas omettre celle des briques on-premise nécessaires au fonctionnement de la plateforme le cas échéant, comme c’est le cas généralement pour l’authentification qui est portée par l’ADFS.

Cet article Un Office 365 sécurisé, une perle rare ? est apparu en premier sur RiskInsight.

Les résultats de notre benchmark sur la protection de la vie privée dans les entreprises

Le benchmark effectué auprès de 24 entreprises françaises et internationales révèle que :

Des efforts importants ont été fournis sur la protection de la vie privée !

Les organisations ont mené des actions concrètes : nommer un DPO, compléter un registre des traitements, dérouler les DPIA, mettre à jour les formulaires de collecte de données, instaurer des processus de gestion des demandes d’exercice de droits, lancer des campagnes de sensibilisation, mettre à jour les contrats, identification des transferts, etc. La question peut alors se poser : la crise de confiance repose-t-elle sur la mauvaise perception des efforts fournis ?

Cependant, les organisations sont confrontées à des difficultés pour assurer une conformité durable. Les processus mis en place sont pour la plupart manuels et la perception du volet protection de la vie privée par les collaborateurs comme une « contrainte » ne permettront pas de pérenniser la démarche au-delà des programmes de conformité. Un risque : voir les efforts fournis perdus dans le temps….

Ainsi, trois challenges s’offrent désormais aux organisations :

Repenser le système d’information autour de la donnée

Sur le terrain, dans les organisations « historiques », l’architecture du système d’information est orientée service ou calquée sur l’organisation interne et ne permet donc pas une approche globale centrée sur la donnée. Cela crée de nombreuses difficultés opérationnelles dans le cadre du RGPD : gestion des consentements, des exercices de droits, suppression des données…

• 55% des organisations du panel sont contraintes de gérer les consentements par silo ;
• 33% des organisations du panel parviennent à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli ;
• 19% des organisations du panel sont parvenues à entièrement automatiser la suppression des données à termes de leurs durées de conservation.

De ce fait, les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation. L’étude propose un focus sur un accélérateur dans la mise en place d’un tel dispositif : le Customer IAM avec l’interview d’un expert Wavestone.

Mettre en place une gouvernance de la donnée cohérente, transverse et intégrant le volet vie privée

La mise en place d’une gouvernance de la donnée est une priorité stratégique pour les organisations. Cependant, face à l’urgence de la mise en conformité au RGPD, les organisations n’ont pas nécessairement eu le temps de traiter de front cette valorisation et les impératifs liés à la protection des données personnelles. Il s’agit donc de repenser la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la règlementation pour adopter l’approche « smart data », qui reste peu appropriée à date.

Cela s’illustre par le fait que :

• 16% des organisations du panel ont lancé une campagne de renouvellement des consentements (11% sur certains consentements, 5% sur l’intégralité des consentements) ;
• 50% des organisations du panel ont mis en place des processus permettant de vérifier que la donnée collectée est limitée, appropriée et pertinente par rapport à son utilisation.

L’étude propose un focus sur les opportunités qu’offre la pseudonymisation aux organisations par rapport à une anonymisation des données ou une simple suppression à terme de leur durée de conservation.

Faire de la protection des données personnelles un réflexe au quotidien

96% des organisations du panel ont inséré une étape d’évaluation des risques pour la vie privée dans leurs méthodologies projet… Mais 33% d’entre elles n’estiment pas qu’elle soit suffisante pour assurer une conformité dans la durée. Autre constat, seulement 25% des organisations du panel considère avoir une équipe « privacy » adaptée au besoin réel.

Pour contrer cela, l’étude livre quelques bonnes pratiques pour promouvoir la valeur ajoutée de la démarche et embarquer les métiers dans la privacy : sensibilisation, responsabilisation, privacy agile, positionnement en accompagnateur de l’innovation…

Aller plus loin et se démarquer sur la protection de la vie privée

Les banques sont historiquement placées parmi les acteurs bénéficiant le plus de la confiance des citoyens. En 2016, 51% des interrogés plaçaient la banque en première position en termes de tiers de confiance… Mais, comme le démontre le schéma ci-contre, aujourd’hui, les banques ont chuté au 8ème rang des acteurs de confiance. 10% des sondés positionnent même les banques comme le type d’organisation envers lequel ils ont le moins confiance.

Preuve que la conformité à la règlementation n’est pas la condition nécessaire et suffisante pour gagner ou maintenir la confiance des citoyens. Il est temps pour les organisations de faire de cet enjeu majeur une opportunité pour innover.

Cette partie de l’étude livre quelques focus sur des pistes pour innover sur la protection de la vie privée : pour en faire un différentiateur commercial (renforcement de la relation client grâce à la mise en place d’un privacy center, opter pour une stratégie marketing orientée privacy), la monnayer ou en faire la base de nouveaux business models.

Cet article Conformité au RGPD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

2018 a évidemment vu s’élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (LPM, NIS) ou sectorielles (NYS DFS, HKMA, MAS…) ont également rythmé l’année.

Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :

• Le maintien des ransomware en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;
• La multiplication des incidents de plus faible intensité que les ransomware massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;
• Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques MageCart touchant le cœur du fonctionnement des sites Internet.

Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.

Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2…), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes :  l’agilité, le cloud et l’API-fication des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.

Les 3 axes de la révolution du SI en 2019

Agilité : plus réactif, plus rapide, plus simple

Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité.  Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.

Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les Feature Teams pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des Product Owners portant des services de sécurité apparaîtront pour délivrer de la cybersécurité as a service au sein de l’organisation.

Cloud : sécurisé par défaut, multiple, automatisé

Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le Cloud-first, voire pour nos clients les plus avancés le Cloud-Only. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’Active Directory.

Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.

Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.

Le cloud, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, MFA, Identity Governance, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le cloud. Le multicloud basé sur 2 fournisseurs deviendra une priorité pour permettre la continuité des services.

API-fication : de multiples nouvelles portes d’entrée pour le SI

Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation DSP2, l’API-fication touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.

Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si l’API-fication pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme Google ou Facebook parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.

Si le RSSI veut reprendre en main le terrain de jeu de l’API-fication, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.

Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences

Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :

• Refondre la PSSI et la gouvernance. Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le cybersecurity framework du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;
• Revoir en profondeur les processus d’intégration de la sécurité dans les projets. Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS Risk Manager» par une approche combinant conformité et scénarios d’attaque ;
• Anticiper et s’adapter à une pénurie de talent récurrente. Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le cloud, l’instauration d’un cadre fort instaurant les principes de security by design permettront des limiter les efforts. De même, la création d’offres de services sécurité, le near voire offshoring pour des services standardisés peuvent être des solutions.

Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’empowerment (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.

Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI

• La cyber-résilience bâtie sur le cloud : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;
• Le SOC est mort, vivent les Fusion Centers regroupant des savoir-faire techniques et métiers, permettant d’appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de machine learning, le SOC pourra détecter les attaques plus finement et plus rapidement ;
• Le début de la fin pour les mots de passe : des initiatives comme le 0-password, le déploiement de FIDO2, la biométrie dans le cadre du 2FA ou encore la généralisation des coffres-forts permettent de l’envisager ;
• L’IA et le machine learning représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement…) dans les projets métier incluant de l’IA ;
• Les tiers et les fournisseurs sous microscope : de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme CyberVadis ou Risk Ledger abordent ce problème sous un angle neuf.

Faire de la sécurité un différenciateur vis-à-vis des clients de l’entreprise

Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.

En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le core-business.

Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :

• L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;
• Les opérateurs télécom, dont certains promeuvent leur nouvelle box avec des services de cybersécurité comme la détection de vulnérabilités ;
• Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.

Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.

Alors pourquoi pas vous ?

Cet article 2019 : Le RSSI au cœur de la révolution du SI est apparu en premier sur RiskInsight.

Décryptage dans le domaine des ressources humaines, avec le témoignage de Jean-Christophe Procot et Hervé Commerly, expert Ressources Humaines chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Comment est perçue la notion de vie privée entre les collaborateurs et leur employeur ?

C’est une notion qui a très fortement évolué ces dernières années. Pour l’employeur, la vie privée de son collaborateur est le plus souvent le temps qu’il ne consacre pas à son travail. Pour l’employé,la notion de vie privée se conjugue également avec la souplesse dans les conditions de travail (fluctuation des horaires, diminution du contrôle, télétravail) et une limite dans les informations dont l’employeur dispose sur lui. Sur la base de sa conception de la vie privée, et pour améliorer celle de ses collaborateurs, l’employeur a de plus en plus cherché à assister ses collaborateurs dans leur vie quotidienne grâce à la mise en place de divers services : services de pressing, crèche et restaurant d’entreprise,assurances complémentaires, etc. Mais cette assistance nécessite que l’employeur connaisse de plus en plus d’éléments sur la vie privée du collaborateur : composition familiale, habitudes alimentaires en période de fête religieuse, etc.

Qu’est-ce qui explique cette réticence ?

Il faut comprendre que l’employeur souhaite de plus en plus collecter des données pour améliorer la connaissance de ses collaborateurs. Il souhaite les conserver plus longtemps, catégoriser les collaborateurs,automatiser ou faciliter des prises de décisions et mieux piloter la performance. L’employeur recherche d’ailleurs de plus en plus de données non communiquées directement par le collaborateur mais collectées auprès de tiers : réseaux sociaux,précédents employeurs, managers, don-nées issues des outils de travail, etc. L’employé, comme le client, s’inquiète de cette évolution car, je dirais presque par définition, l’employé suspecte son employeur de vouloir le surveiller. Le collaborateur se demande alors comment il peut conserver la maîtrise sur sa vie privée si son employeur collecte toutes ces informations, si celles-ci ne proviennent pas nécessairement de lui et de son choix assumé de les communiquer et si son employeur les corrèle entre elles pour prendre des décisions dont il n’a pas conscience.

Un projet récent fait-il directement échos à ces inquiétudes ?

Le projet du gouvernement français d’introduction d’un impôt prélevé à la source (c’est-à-dire sur le salaire du collaborateur par l’employeur) est un bon exemple. Cette évolution vise à simplifier la vie des citoyens en évitant les paiements différés qui peuvent produire des situations difficiles (par exemple, une baisse de revenus ne permettant plus de payer l’impôt de l’année précédente) et améliorer le recouvrement des impôts pour l’État (l’employeur étant perçu comme plus fiable pour collecter l’impôt). Pour autant, des citoyens ont rapidement exprimé des inquiétudes vis-à-vis des informations que leur employeur pouvait apprendre sur eux. Une déclaration d’impôts peut comporter de nombreuses informations sur la vie privée : situation maritale, enfants, revenus annexes, assistance de personnes en difficultés, dons, etc. L’objectif est donc de s’assurer que la finalité des données communiquées sera limitée au prélèvement des impôts et que l’accès à ces données sera bien encadré. L’employé souhaite s’assurer que ses données ne seront pas utilisées à d’autres fins, par exemple faire varier ses augmentations par rapport à un collègue au regard de ses autres revenus.

Et quelles évolutions émergentes en matière de gestion des ressources humaines vont-elles avoir un impact sur la protection des données personnelles ?

Plusieurs tendances majeures se dégagent :

• L’arrivée du big data ans les activités de recrutement, en particulier de sourcing, qu’il convient d’encadrer en s’assurant de notre légitimité à collecter ces données ;
• La multiplication du décisionnel pour la gestion des carrières (constitution d’arbres de succession ou identification des key people par exemple)avec des prises de décisions automatisées, sujet sur lequel le régulateur est assez sensible ;
• La mobilité avec l’introduction de plus en plus fréquente de nouveaux terminaux mobiles professionnels,ne facilitant pas la séparation entre la donnée produite dans un cadre privé et celle produite dans un cadre professionnel. La question du « droit à la déconnexion » est également régulièrement posée.

Cet article Evolution de la gestion des ressources humaines : quels impacts sur la protection des données personnelles ? est apparu en premier sur RiskInsight.

Décryptage d’un projet concret dans le domaine de la distribution, avec le témoignage d’Armand de Vallois, expert Biens de consommation et distribution chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Quels changements ont eu lieu ces dernières années dans le monde de la distribution ?

Nous sommes passés depuis une dizaine d’années d’un modèle qui privilégiait les coûts et les volumes à un modèle qui souhaite davantage connaître ses clients. On abandonne ainsi un métier de distribution de masse, où l’on ne se souciait plus de la proximité client (la caisse automatique ayant illustré cette tendance à son paroxysme), pour entrer toujours plus dans un modèle où la connaissance client, la proximité et la fidélisation doivent concourir à améliorer la fréquence et le nombre d’achats.

Comment faut-il alors appréhender ces évolutions ?

Les  acteurs  du  commerce  ont  pris conscience ces dernières années que la donnée est une ressource dotée d’un très grand potentiel. Mais cette ressource doit avant tout être bien utilisée, c’est-à-dire valorisée comme il se doit pour répondre aux enjeux de proximité client. Les données doivent ainsi être collectées, manipulées, rapprochées dans un cadre en ligne avec les attentes du consommateur et les exigences du régulateur. On pense par exemple à la notion « d’opt-in », ou comment s’assurer que le client est informé et qu’il accepte la collecte de ses données et ce qu’il en sera fait. De plus en plus souvent, la gratification (ou reward) est utilisée pour encourager le client à accepter de communiquer ses données. Mais ce modèle a ses limites. Il convient alors de s’assurer que les services envisagés auront du sens pour les clients, qu’ils contribuent à leur simplifier la vie, et que le client aura alors le souhait de fournir ses données.

Avez-vous un exemple d’un projet ayant provoqué des inquiétudes ?

L’introduction des puces RFID (technologie intégrée permettant notamment l’identification et le suivi d’objets ou de personnes) pour l’étiquetage électronique me semble un bon exemple. Dans le textile, au regard des coûts de production du produits, de la facilité d’introduction de la puce dans les étiquettes, et des gains importants concernant l’automatisation des inventaires en rayons ou en entrepôts, de nombreux projets ont été lancés. Dans un contexte d’omnicanalité où l’achat sur internet précède le retrait en rayon, connaître son stock en temps réel et disposer d’une information fiable est un élément essentiel de la promesse client. Les puces RFID peuvent également contribuer à produire des données sur les parcours clients en traçant les mouvements d’un produit dans un magasin afin de, par exemple, produire des ratios sur le nombre de produits essayés en cabine au regard du nombre réellement vendus. Dans un contexte de fast fashion du textile, où il est essentiel de savoir très vite ce qui marche ou non et pourquoi, ces informations deviennent cruciales. Mais cette puce introduit également une inquiétude sur le fait que, « potentiellement », le vendeur pourrait lier une personne à un produit (la puce RFID ayant un identifiant unique) et le suivre dans le temps dans ses magasins (la puce restantactive). Pour plusieurs projets que nous avons suivis, des citoyens se sont mobilisés afin que les technologies envisagées n’empiètent pas sur la vie privée.

Comment avez-vous répondu à ces inquiétudes ?

Nous avons mis en place ce que l’on appelle du Privacy By Design. Au-delà de principes stricts sur l’utilisation des puces (identifier et suivre un produit et non un client), plusieurs autres principes ont été établis :

• Un marquage visible informant que le vêtement contient une puce RFID ;
• Une formation des vendeurs du magasin afin qu’ils sachent répondre aux questions  des  clients,  par exemple sur le fait qu’il est possible d’enlever la puce en coupant l’étiquette (service proposé par le magasin) ou que l’entreprise ne fait jamais de lien entre la puce et le client ;
• La mise en œuvre d’un site internet spécifique afin de communiquer l’ensemble des informations nécessaires à la compréhension des puces et des données manipulées.

Il faut certainement retenir de ces projets une bonne pratique applicable à tout projet où des données sensibles sont manipulées : nous nous devons d’être exemplaires concernant ce qui est fait des données et la manière dont nous en informons les individus. Il convient de rassurer afin de lever les craintes et répondre, en les anticipant, aux interrogations.

Cet article Vie privée et transformation numérique : le retail mise sur une stratégie de confiance est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

La donnée personnelle, vecteur incontournable de la transformation des processus métiers et de la relation client

Plusieurs exemples issus des retours d’expériences de consultants Wavestone, illustrent le rôle de la donnée dans la transformation des processus traditionnels. Un postier, un releveur de compteurs, ou un technicien de maintenance travaille historiquement avec du papier (pour les bases d’adresses, la documentation de maintenance ou les parcours de relève). Il organise son travail en fonction des tâches à réaliser et intervient généralement seul et de façon autonome pendant la journée avant de consolider les informations produites en fin de journée.

La dématérialisation de ces processus papiers a vocation à aider l’organisation ou l’agent dans ses activités en collectant certaines données, par exemple en lui permettant de mieux organiser son travail et l’enchaînement des tâches (données de localisation et parcours d’intervention géolocalisé). Cette vague de digitalisation se produit dans différents secteurs d’activités pour des besoins spécifiques : dans l’énergie, l’avènement des compteurs communicants voulu par le régulateur ouvre de nombreuses opportunités d’innovations dans la gestion de la fraude et l’économie d’énergie grâce à la collecte des données de consommation ; dans l’assurance, l’accumulation de données concernant les préférences client permet la personnalisation des services et la proposition d’offres complémentaires ; ou encore dans la distribution et les ressources humaines, comme le montrent les entretiens des pages suivantes.

L’ensemble de ces évolutions nécessite de collecter et de manipuler de nombreuses données personnelles.

La cybersécurité ne suffit pas à protéger la vie privée numérique

Pour protéger ces données personnelles essentielles aux nouveaux usages digitaux, les entreprises ont souvent recours à la cybersécurité, au travers de mesures telles que l’utilisation de protocoles de transfert sécurisés ou le chiffrement des données. Mais est-ce suffisant, alors que les craintes liées à l’utilisation abusive des données, au profilage ou à l’automatisation des décisions ne font que s’amplifier ?

Certainement pas. Une approche uniquement technique ne portera pas ses fruits. Pour répondre aux craintes engendrées par le respect de la vie privée, il est essentiel de rassurer les individus en leur donnant l’assurance de ne pas croiser, exploiter ou échanger leurs données à leur insu et contre leur volonté.

Quatre grands principes de respect de la vie privée

Les principes suivants sont à appliquer dans la collecte et l’utilisation des données personnelles.

1 – Communiquer de manière transparente et explicite

en informant sur les données collectées, même si elles n’ont pas été obtenues directement auprès des personnes concernées. Notre enquête l’illustre, c’est aujourd’hui le sens de la privacy pour les citoyens : quelles sont les informations accessibles, et à qui. Cela passe aussi par le partage des motivations de la collecte des données et des usages envisagés avec celles-ci. En aucun cas il ne faut considérer qu’une donnée puisse être collectée pour une finalité non avouable auprès de la personne concernée. Les récentes sanctions des régulateurs nous ont montré que cette information finit toujours par ressortir dans les médias, et que l’impact en termes de confiance et de durabilité de la relation client est fort. Construire une relation de confiance nécessite des années, la perdre quelques minutes.

2 – Minimiser et désensibiliser les données personnelles collectées et stockées.

Plus le nombre de données collectées sera limité, plus les risques d’usages détournés et de non-conformité seront faibles. Pour les données existantes, il est possible de les exploiter en minimisant les risques par l’utilisation de techniques de désensibilisation telles que l’anonymisation, la pseudonymisation (remplacer des identifiants directs par des « codes »), la randomisation (mélange aléatoire de données qui conservent leurs valeurs statistiques mais font perdre le lien avec les personnes) ou de généralisation des jeux de données.

En ce qui concerne le partage et l’échange de données, des méthodes mathématiques permettent d’échanger des données entre deux organisations tout en garantissant leur caractère anonyme. Il est important au moment du choix de ces méthodes d’évaluer aussi leurs limites, une désensibilisation mal faite pouvant quand même permettre d’identifier des personnes (suppression du nom mais conservation de la date de naissance, du lieu de naissance et de l’adresse par exemple).

Ces méthodes permettent une double optimisation de la relation client pour l’entreprise (en fournissant une meilleure connaissance du profil digital de la clientèle) et du respect de la vie privée des clients. C’est une approche qu’Apple met en avant via le concept de differential privacy pour se différencier de Google ou encore de Microsoft.

3 – Garantir aux individus le contrôle sur leurs données personnelles

en ne se basant plus sur l’accès aux données afin de générer de la valeur, mais en laissant aux individus le contrôle de leurs données pour leur permettre de générer un service adapté à leur besoin.

Cette approche qualifiée de self-data est, par exemple, appliquée dans le cadre d’un projet d’optimisation de consommation énergétique, où un cas d’usage vise à permettre au consommateur de renseigner la température de son habitat pour lui indiquer les économies qu’il pourrait réaliser en réduisant le chauffage. Il obtient l’estimation du montant économisé en utilisant lui-même une plate-forme cloud de self-data, géré par le particulier, qui se connecte à ses équipements personnels pour croiser de manière intelligente les données de son thermomètre connecté, de ses factures d’énergie…

Le self-data est également à l’étude dans le secteur de l’assurance, où certains acteurs envisagent de supprimer complètement leurs espaces clients pour les installer sur une plate-forme cloud de self-data : l’assureur a accès aux données de son client mais n’en est plus propriétaire. Au-delà du self-data, cette tendance peut même aller jusqu’à la logique du « Green Button » où l’individu valide l’accès à ses données à chaque fois de manière explicite. Ce principe, complexe à mettre en œuvre, peut être réservé à des données particulièrement sensibles (santé, etc.).

4 – Mettre en place un modèle Win-Win

affichant clairement les bénéfices engendrés par la collecte et l’utilisation des données, non seulement pour l’organisation, mais aussi pour les individus. Ces bénéfices pouvant être partagés avec les clients sous diverses formes (services additionnels, réduction, rémunération…).

Cette approche peut même être un levier d’adoption des nouveaux usages dans un contexte où la prise de part de marché est cruciale.

En définitive, plusieurs leviers majeurs sont à l’œuvre dans l’établissement d’un cercle vertueux permettant d’utiliser respectueusement les données des individus et d’augmenter le niveau de confiance

Cet article Respect de la vie privée dans la transformation numérique : les 4 grands principes est apparu en premier sur RiskInsight.

 AU COEUR DE LA TRANSFORMATION NUMÉRIQUE

Aucune industrie ne peut aujourd’hui ignorer cette tendance et les entreprises voient un intérêt grandissant à s’emparer de ce qu’elles perçoivent comme une véritable opportunité.

Alors que des start-ups conçoivent chaque jour des dispositifs intelligents, des partenariats se mettent en place entre les vendeurs et les industries traditionnelles – tels les secteurs de l’assurance, automobile, administratif, bancaire – afin d’offrir de nouveaux services aux consommateurs grâce à divers éléments connectés.

UNE SURFACE D’ATTAQUE DE PLUS EN PLUS EN PLUS VASTE POUR LES CYBERCRIMINELS

L’essor de cet Internet des Objets n’est pas sans danger, d’autant plus que les risques, qui étaient surtout virtuels, s’étendent au domaine du physique.

Une étude frappante a été menée par HP Fortify en 2014, mettant en avant un constat sans appel : en testant la sécurité des 10 des objets connectés les plus en vogue du moment, une moyenne de 25 vulnérabilités par objet a été trouvée. La plupart d’entre elles sont liées à des problèmes de sécurité basiques, tels que la mauvaise gestion de la confidentialité des données et des droits d’accès, l’absence de chiffrement des flux, une interface d’adminis­tration Web non sécurisée, ou encore une protection générale inadaptée. La suite de cette étude en 2015 a également montré que les 10 smartwatchs et les 10 systèmes de sécurité pour les particuliers les plus vendus présentaient tous des vulnérabilités majeures concernant la confidentialité des données de l’utilisateur.

Ce manque de durcissement augmente le risque de vulnérabilités pouvant affecter toute sorte d’objets : des réfrigérateurs aux toilettes connectées, en passant par les voi­tures et les serrures. L’actualité des derniers mois en est la preuve avec par exemple l’attaque DDoS sur le DNS Dyn avec le botnet Mirai en octobre 2016 ou la prise de contrôle à distance d’une Tesla par une équipe de hackers chinois en septembre 2016.

DANS QUELLE CATÉGORIE DE RISQUES VOUS SITUEZ-VOUS ?

En ce qui concernent les entreprises, les risques dépendent de la posture adoptée. Dans le cas des objets connectés, quatre cas sont possibles. Les différentes postures ont été réunies sous l’acronyme « CARA » (pour Concevoir, Acquérir, Recommander, Accueillir) comme le montre le tableau ci-dessous. Une fois la posture identifiée, il convient de spécifier les risques génériques et les recommandations associées.

Afin d’évaluer le risque, le cabinet Wavestone a développé un outil spécifique, la matrice « heat map ». Elle prend en compte deux dimensions : le niveau de risque et la posture.

UN OUTIL D’ÉVALUATION EFFICACE : LA MATRICE « HEAT MAP »

Le schéma ci-dessous présente l’exemple concret de l’utilisation d’objets connectés pour le secteur bancaire et ses divers ser­vices. Ce contexte présente des contraintes particulières. D’un côté la réalisation d’une transaction financière est plus risquée que la consultation du solde bancaire. Mais d’un autre côté, la personnalisation des fonctions de sécurité sur un appareil appartenant à un employé ou à un client est bien plus compliqué que le durcissement d’un produit choisi par l’entreprise et qui a été acquis à un fournisseur, ou même développé en interne.

Cette matrice permet de réaliser une cartographie des risques qui requièrent la plus grande attention.

DES DISPOSITIFS DE SÉCURITÉ HABITUELS : DE NOUVEAUX MODES D’IMPLÉMENTATION

Une fois la cartographie des risques établie, il faut s’intéresser aux réponses que l’on peut y apporter. Une référence intéressante à ce propos est celle de l’initiative « IoT Project » de l’OWASP (Open Web Application Security Project – organisation à but non lucratif) qui propose notamment une liste de recommandations de sécurité intéressantes et compréhensibles.

La première chose à noter à propos de ce guide est qu’il est divisé en 3 catégories selon les cibles d’audience visées : fabri­cants, développeurs, consommateurs. Cette structure a du sens dans la mesure où la sécurité est partagée entre ceux qui conçoivent les composants (matériel ou logiciel), et ceux qui les utilisent.

Par ailleurs, les dispositifs de sécurité doivent être complets – renforçant non pas les seuls objets connectés, mais aussi toute la sur­face d’une attaque (physique, matériel, logiciel, base de données, local ou à distance, etc.). À cet égard, les mesures de sécurité proposées sont surtout construites sur les bonnes pratiques de l’industrie de la sécurité.

L’Internet des Objets apporte un réel changement dans la mise en œuvre des dispositifs de sécurité.

En effet, plusieurs contraintes liées aux objets connectés sont à prendre en compte :

• Ergonomie : la taille et le design influenceront les mesures de sécurité acceptables par les utilisateurs – par exemple, la taille de l’écran pour taper un mot de passe.
• Puissance : les petits objets embarqués actuels ont une puissance de calcul limitée. Plusieurs opérations ne peuvent être réalisées en même temps dans un laps de temps raisonnable. Par exemple, Apple a conseillé aux développeurs de ne pas implémenter des fonctionnalités nécessitant de long temps d’exécution sur l’Apple Watch.
• Connectivité : l’Internet des Objets utilise généralement du Bluetooth ou des protocoles NFC, deux technologies ayant une portée et un débit limité, ce qui ne permet pas toujours d’embarquer un niveau de sécurité suffisant.
• Durée de vie de la batterie : les algo­rithmes cryptographiques (comme du chiffrement / déchiffrement asymé­trique en temps réel) peuvent affecter durement la consommation énergé­tique, même s’ils permettent de pro­curer un meilleur niveau de protection.
• Gestion des mises à jour : il est indis­pensable de mettre à jour le système, sans interférer avec l’utilisation de l’objet. Cela est particulièrement frap­pant dans le cas des voitures connec­tées que l’on ne peut pas conduire lorsque le logiciel est en train de se mettre à jour. Cela peut prendre plus de 45 minutes.

Au-delà de la sécurité, la confidentialité est également indispensable pour les consommateurs ainsi qu’une exigence pour les autorités. L’implémentation pourrait être complexe, mais plusieurs initiatives pour la confidentialité des objets connectés ont émergé ces dernières années.

Parmi ces initiatives, le projet PRESERVE est un exemple intéressant. Il offre à l’industrie automobile un nouveau moyen d’utiliser les PKI et les certificats numériques pour les voitures et les routes connectées. Le projet utilise des « pseudonymes » modifiés régulièrement afin de garantir que le conducteur reste anonyme tout en assurant que les communications entre les véhicules et l’infrastructure routière sont authentiques et sécurisées.

Nous sommes entrés dans une ère où sécurité et confidentialité des données sont devenues des critères essentiels dans le choix des consommateurs. Cette évolution ne peut plus être ignorée par les acteurs concernés, qu’ils conçoivent, acquièrent, recommandent ou accueillent des objets connectés.

Cet article Objets connectés : les 4 dimensions de la sécurité est apparu en premier sur RiskInsight.

Un modèle de sécurité en château fort qui a atteint ses limites

Historiquement, le système d’information a été construit de manière à être isolé de l’extérieur via une muraille constituée des équipements de sécurité (pare-feu, reverse-proxy, DMZ etc.). Il repose  sur un espace de confiance quasiment unique, à l’intérieur du périmètre, avec un accès facile aux ressources de l’entreprise.

Par analogie, ce modèle historique est associé à un château-fort : entouré de murs renforcés, il dispose d’un seul point d’entrée surveillé mais ensuite le circulation est libre dans la la cité.

Ce modèle ne peut plus accompagner l’évolution des cyberattaques, plus précises et pointues. Elles savent viser directement le cœur du SI en pénétrant directement les ordinateurs des collaborateurs sans être arrêtées par la muraille, tel le cheval de Troie de la Grèce antique.

Ce modèle ne permet pas non plus de tirer tous les fruits de la transformation numérique. Celle-ci a amené les entreprises à changer fondamentalement leur conception du Système d’Information : elles sont passées d’un modèle fermé  vers l’extérieur à ouvert. D’un point de vue client et partenaires, certaines informations sont directement accessibles via Internet et les applications mobiles.  D’un point de vue du SI, l’externalisation est une réalité du quotidien, poussé encore plus aujourd’hui par le mouvement vers le cloud. D’un point de vue utilisateur, les collaborateurs utilisent de plus en plus d’outils personnels : BYOD, webmails personnels et applications personnelles sur les smartphones s’invitent dans l’environnement de travail. Toutes ces évolutions inéluctables rendent caduque la notion de périmètre.

Place à un nouveau modèle : l’aéroport

L’évolution du modèle de sécurité est donc nécessaire. Pour répondre à ces nouveaux enjeux, le modèle qui est aujourd’hui le plus adapté est celui de l’aéroport. Un aéroport est composé de zones d’accueil ouvertes au public permettant d’informer les clients ou encore de réaliser des ventes avec un niveau de contrôle minimum et adapté au contexte du pays. L’aéroport contient aussi des zones beaucoup plus sécurisées et en accès limité comme le tarmac ou les avions. Les contrôles sont de plus en plus poussés au fur et à mesure que l’on accède à des zones plus sensibles.

En sécurité de l’information, cela se traduit par des mesures de sécurité telles que des contrôles d’authentification plus ou moins élaborées (authentification forte, usage de la biométrie…), des contrôles d’intégrité et de bons usages (IDS/IPS, DLP…) afin de maitriser les accès aux zones contenant les informations sensibles de l’entreprise, et maîtriser leur manipulation.

Dans le modèle de l’aéroport, en plus des mesures de protection, il est essentiel de pouvoir détecter les éventuelles anomalies ou incidents et d’être en capacité de réagir rapidement et efficacement. C’est le rôle de la tour de contrôle, qui a pour mission de regarder au plus près (ce qui se passe dans le périmètre de l’aéroport) mais aussi au loin (les avions en approche). La tour de contrôle est capable réagir rapidement en cas de problème et d’apporter une réponse adaptée, voire d’appeler des renforts si besoin. Dans l’entreprise, ce rôle de surveillance doit être tenu par le SOC (Security Operation Center), avec si besoin le d’équipes dédiées  à la gestion de crise cyber.

Pour que ce modèle reste viable dans le temps et afin d’être efficace face à l’évolution de la menace, la revue régulière de ces mesures de sécurité est essentielle. Les avions avant de décoller subissent un contrôle de leur niveau de sécurité et les pannes sont anticipées avec la maintenance préventive, il doit en être de même pour les mesures de sécurité : habilitations, contrôles, mise à jour doivent être en continuelle évolution.

Un projet de transformation à part entière

L’enjeu majeur de cette évolution ne sera par l’acquisition de nouvelles solutions de sécurité, bien souvent les pierres du château-fort pourront être utilisées pour bâtir l’aéroport. L’enjeu sera avant tout de structurer un vrai programme de transformation pour la sécurité du SI.

Programme mêlant des évolutions technologiques (souvent principalement autour de la détection des attaques), organisationnelles (responsabilisation des équipes en particulier de maitrise d’ouvrage et de développement, intégration des nouveaux processus de contrôle…) mais aussi qui devra diffuser dans tous les projets SI les principes d’évaluation des risques et d’architectures associés. La tentation est parfois grande de mettre des systèmes sensibles mais non sécurisés directement dans le hall de l’aéroport accessibles à tous…

Le pilotage irréprochable de ce programme et la démonstration de son efficacité par la réduction des risques seront les facteur clé de la réussite de cette transformation !

Cet article L’évolution du modèle de sécurité : du château-fort à l’aéroport est apparu en premier sur RiskInsight.

Une volatilité qui prend de l’ampleur

Selon l’enquête, moins d’un quart des clients d’enseignes traditionnelles se disent prêt à recommander leur banque à leur entourage. Un chiffre « effet glaçon » vérifié par le NPS (Net Promoter Score[1]) : les banques comptent plus de détracteurs que de promoteurs. Des clients peu enthousiastes et donc susceptibles de céder à la tentation de la volatilité : au cours des 12 derniers mois, 1 Français sur 4 a envisagé de quitter sa banque. À l’heure où banques en lignes et nouveaux entrants se bousculent pour investir le paysage bancaire, nombreux sont ceux qui ne considèrent plus leur banque comme le partenaire d’une vie. Les causes de ce désaveu ? Le coût des frais bancaires arrive en tête de liste (cité à 35%), suivi par la faible qualité de service (29%) et par l’attrait d’une offre concurrente (14%).

Alors que les banques s’engagent vers des stratégies de diversification de leurs activités parfois mal comprises (2/3 des Français ne sont pas favorables), les clients tirent la sonnette d’alarme sur le cœur même de l’activité des banques. Plus exigeant sur la personnalisation des services proposés ; plus affûté sur le fonctionnement des frais bancaires, globalement mieux informé grâce à Internet, le désormais « consom’acteur » entend imposer à la banque une nouvel équilibre des forces. Valoriser la fidélité, adopter une posture résolument tournée vers un conseil personnalisé plutôt que vers la vente d’offres ou de produits, jouer la carte de la transparence : les attentes du client exigent un retour aux fondamentaux du métier de la banque.

Des digital natives qui bousculent les codes de la banque traditionnelle

En quête d’immédiateté et de nouveauté, la génération « tout, tout de suite » pointe notamment du doigt la lenteur des processus : 62% voudraient davantage de rapidité dans le traitement des opérations contre 57% des plus de 35 ans. Ils sont ainsi plus nombreux que leurs aînés à réclamer une amélioration des heures d’ouverture des agences (60% contre 50% pour les plus de 35 ans). Pour ces adeptes du multicanal, la digitalisation des banques apparaît comme une condition sine qua none de leur adhésion et suscitent des attentes…en perpétuelle croissance. Alors que 70% des seniors jugent les banques à  la pointe de la technologie, seulement 63% des moins de 35 ans partagent cet avis.

Perturbateurs d’une typologie des clients longtemps segmentés selon l’âge ou les revenus, les clients de banque en ligne, bien qu’encore marginaux, partagent des demandes spécifiques. La compétitivité des frais bancaires séduit puis reste ensuite de loin leur 1^er levier de satisfaction (46% contre 19% pour les banques classiques). Fortement multi-bancarisés (à 77% versus 45% en moyenne pour les Français), ils sont paradoxalement aussi les meilleurs ambassadeurs de leur banque en ligne, affichant un taux de promotion de 36% contre 23% pour l’ensemble des Français.

Ces clients sont portés par un « effet nouveauté  » : consommateurs avertis, ils sont satisfaits de l’autonomie procurée par leurs banques et n’hésitent pas à en faire la promotion auprès de leur entourage. Mais ils n’en restent pas moins exigeants sur certains points. Les banques 2.0 ont peut-être remporté la bataille des prix, mais un nouveau défi s’offre à elles : améliorer leur capacité de conseil pour ne plus être la deuxième banque ou une simple banque de passage.

Fin du monopole des services bancaires : la grande bataille de la banque digitale est engagée

Indispensable pour les plus jeunes, la transformation numérique s’impose également comme un fil rouge, destiné à guider les banques dans cette période de transition. En proie à des menaces internes, comme la volatilité de la clientèle, mais également externes, avec l’arrivée des nouveaux entrants, les banques voient leur écosystème concurrentiel bouleversé. La création des banques sans guichet, dont une large majorité appartient pour l’instant à des banques traditionnelles, suscite l’enthousiasme pour plus de 60% des Français.  Et la tentation représentée par les acteurs venus de la grande distribution ou du e-commerce (1 Français sur 2 leur porte un regard positif) signe bien la fin d’un monopole : celui des banques traditionnelles sur le marché des services bancaires.

Néanmoins, les banques peuvent compter sur un capital-confiance qui demeure solide : 89% des clients d’enseignes traditionnelles se déclarent encore satisfaits de leur banque et 84% considèrent que la sécurité est la première de ses qualités. Un soutien indispensable sur lequel la banque devra s’appuyer afin de relever les défis entraînés dans le sillage de la transformation numérique.

L’heure est au changement de rythme : après avoir longtemps intégré une digitalisation subie, en mimétisme vis-à-vis des autres secteurs, il est temps pour la banque d’exploiter l’opportunité numérique. Replacer le client au cœur du système en palliant le manque d’écoute et proposer un parcours client sans coutures s’imposent comme des incontournables, rendus possibles par le big data et une exploitation intelligente des données. Tirer parti du mix-canal en intégrant les agences de proximité, développer un écosystème de supports permettant la co-construction avec le client : pour conserver un pouvoir de séduction, la banque de demain doit viser l’excellence dans l’expérience digitale.

Demain, il ne s’agira plus d’offrir une interaction digitale plus intéressante et plus adaptée que celle d’une autre banque, mais bien d’être en mesure de rivaliser avec les propositions de Google, Amazon et consorts, qui dictent les codes de l’expérience utilisateur depuis près de dix ans. Face à des clients ultra- sollicités et à une volatilité exacerbée, il devient crucial d’éviter les fausses notes et de maîtriser tous les événements qui peuvent à chaque instant faire basculer le client, le faire changer de banque.

>> Retrouvez l’enquête Solucom au complet sur le site dédié : http://www.bankobserver-solucom.fr/

Cet article Transformation numérique : la banque traditionnelle en péril ? est apparu en premier sur RiskInsight.

Mais dans quelle mesure les entreprises en ont-elles conscience ? Quel impact du digital sur les organisations, sur l’évolution de la fonction RH, sur les attentes des collaborateurs ? Quel rôle pour les ressources humaines dans la transformation numérique des entreprises ? Quels sont les axes à emprunter pour que la DRH ne se retrouve pas marginalisée par cette révolution ? Pour répondre à ces questions, Solucom a mené sa propre enquête auprès de centaines de responsables RH issus de tous secteurs d’activités.

Cet article Infographie : la DRH face au défi du numérique est apparu en premier sur RiskInsight.

Les DRH en retard dans la transformation numérique ?

C’est ce que nous avons ressenti à la lecture des résultats de notre enquête : une nouveauté de plus… qui ne tiendra pas l’hiver ! La DRH semble en effet vouloir accompagner les transformations en attendant d’en voir la réalité effective, plutôt que de l’anticiper. Elle garde ainsi ses axiomes et principes de gestion actuels pour nourrir sa réflexion prospective plutôt que de bousculer ses paradigmes.

Et pourtant, nous sommes convaincus que l’originalité de la situation réside dans la simultanéité et le rythme des éléments suivants : crise durable, disponibilité des technologies, attendus sociétaux en mutation. Et ceci a beaucoup d’implications complexes : changement de nature du contrat social, relation à l’espace de travail transformée, normes habituelles bousculées, employabilité individuelle exacerbée, temps de travail flouté, transversalisation du rôle managérial. Juste l’ensemble des ingrédients pour faire de cette période une superbe opportunité sociale… ou un fiasco retentissant.

Le rôle futur de la DRH se dessine clairement : maîtriser la fracture digitale afin d’assurer une cohésion sociale, tout en concentrant ses champs d’action sur ce qui est attendu d’elle en tant que partenaire social et économique.

Plus le temps d’hésiter : il est temps de définir une stratégie digitale RH, avec un vrai pilote RH. Pas seulement un G.O. au sein de chacun des sous-projets de transformation digitale, pilotés par d’autres. L’enjeu paraît clair : adapter sa propre gouvernance RH pour accompagner le management à faire face aux mutations du marché et de son corps social.

Une prise de conscience qui peine à se traduire sur le terrain

L’entreprise et le numérique : une prise de conscience bien engagée

Premier chiffre marquant de notre enquête : 90% des répondants déclarent  que le digital est un sujet important pour leur organisation. 46% considèrent même qu’il s’agit du challenge majeur, quand 44% jugent qu’il s’agit d’un challenge important au même titre que les autres transformations auxquelles ils sont soumis. Toutefois, si 29% ont déjà conçu et réalisent un programme de transformation lié au digital, seul un tiers d’entre eux le destine aux collaborateurs, ce qui représente 7% à 8% seulement des répondants.

Le digital fait fortement évoluer les attentes des salariés

Si l’on s’intéresse plus spécifiquement aux collaborateurs, nos répondants sont 78% à penser que leurs attentes changent. Ces dernières s’accélèrent notamment sur les pratiques managériales (transversalisation, systèmes hiérarchiques, etc.), et les modalités de travail (espace digital de travail, équilibre professionnel/personnel, etc.). Les projets qui semblent les plus importants aux yeux de nos sondés sont donc logiquement le programme managérial pour accompagner le changement des pratiques et les porter (46%) ainsi que le télétravail (24%). On peut également noter que la relation employeur/collaborateur semble se transformer. L’attractivité dans ce domaine reposera de plus en plus, dans les mois et les années qui viennent, sur l’intégration de l’individualisation dans les politiques RH : organisation du travail, reconnaissance, etc. (25%). Mais aussi sur les politiques d’emploi et les modalités de travail (24%).

Quel rôle pour la fonction RH dans la transition numérique ?

Pour 88% de nos sondés, la fonction RH a un rôle à jouer dans un programme de transformation numérique. Oui, mais lequel ? Les réponses sont positives puisqu’elles soulignent un rôle d’accompagnement dans la mise en oeuvre du programme (51%), voire même un rôle dès sa conception (37%). Des chiffres qui traduisent une réelle prise de conscience des enjeux du numérique pour la fonction RH.

Cependant, d’autres chiffres laissent penser que de la prise de conscience à l’action, il reste encore du chemin à parcourir. En effet, à la question de savoir si une stratégie digitale RH a été définie à ce jour, seuls 17% affirment qu’une stratégie claire propre aux incidences RH du digital découle de la stratégie de l’entreprise. Pour 50%, la stratégie digitale n’a pas de spécificité RH clairement établie. Et pour 33% ce n’est tout simplement pas le cas… Si 17% estiment donc qu’il existe un pilote digital au sein de la DRH, seuls 4% considèrent avoir une vision claire des nouveaux métiers liés au numérique. 54% commencent à acquérir cette vision mais 44% estiment ne pas avoir les idées claires sur le sujet. Parmi les concepts qui parlent le plus à nos sondés : réseaux sociaux, e-réputation, Big data, personal branding, MOOC, bureau virtuel ou encore co-working… À l’inverse, les concepts les moins connus sont : BYOD, digital workplace, ATAWAD, etc.

Concernant les différentes activités RH, 59% des répondants considèrent que le recrutement, les activités de paie et gestion administrative, la formation ainsi que l’image employeur sont les fonctions qui seront le plus impactées par le digital. Mais quid des autres aspects : gestion des temps et planification opérationnelle, GPEC, évaluation, mobilité, parcours professionnels ? Enfin, aux yeux de nos sondés, les challenges les plus importants sont l’agilité du système d’information, l’accompagnement du management face à la transformation digitale et l’individualisation de la relation avec le collaborateur. Mais certains sujets décisifs ne semblent pas au cœur de leurs préoccupations : refondre l’approche formation de l’entreprise, optimiser la planification opérationnelle des ressources, organiser le nomadisme, etc.

Forts des résultats de cette enquête, nous avons cherché à déterminer les axes de réforme indispensables de la fonction RH pour les années qui viennent. Dix commandements de la DRH numérique, qui lui permettront de devenir un partenaire stratégique et opérationnel au sein de l’entreprise.

Cet article Enquête Solucom 2014 : la DRH face aux défis du numérique est apparu en premier sur RiskInsight.

Tel était le thème de l’enquête Solucom  2014, menée auprès de 200 responsables RH. Les enseignements qui en découlent nous permettent aujourd’hui de dresser l’état des lieux de la situation et de faire l’inventaire des impératifs de cette transformation.

La DRH en retard dans la transformation digitale de l’entreprise ?

Les résultats de l’enquête sont clairs : les DRH ne sont pas suffisamment impliquées dans la transformation digitale de leur entreprise, bien que la prise de conscience soit engagée. Ainsi, 90% des répondants considèrent que le digital est un sujet important pour leur organisation, mais seulement 17% déclarent avoir  une stratégie digitale RH précise… Et si 88% des répondants pensent que la fonction RH a un rôle à jouer dans un programme de transformation numérique, moins d’un sur deux estime qu’elle doit intervenir dès la conception de ce programme. Par ailleurs, les DRH ont une vision partielle des impacts du numérique sur la fonction RH : seuls 4% estiment avoir une vision tout à fait claire des nouveaux métiers liés au numérique !

En définitive,  si les DRH souhaitent accompagner la transformation digitale de leur entreprise, elles n’y sont pas suffisamment préparées. Autrement dit, elles semblent encore loin de bousculer leurs modèles et conservent les schémas actuels pour appréhender la transformation numérique.

10 commandements pour faire de la DRH un moteur de la transformation numérique

Devant ces résultats, trois conviction : les DRH doivent d’abord anticiper le virage du numérique, et pas seulement l’accompagner. La maîtrise de la fracture digitale sera également indispensable aux DRH si elles veulent assurer à l’avenir la cohésion sociale au sein de leur entreprise. Enfin, pour accompagner le management face à ces mutations, les DRH vont devoir adapter leur gouvernance et se doter d’un vrai pilote RH de la transformation numérique.

Forts de ses convictions, nous avons défini les 10 commandements de la DRH numérique, c’est à dire 10 axes stratégiques qui feront de la DRH un partenaire stratégique et opérationnel dans la transformation numérique de l’entreprise :

S’assurer de la rationalisation de ses fondamentaux

Pour s’investir dans les projets de l’entre­prise et accompagner l’ensemble des trans­formations juridiques, sociales, légales ou administratives, la DRH doit être en maîtrise de ses fondamentaux : rationalisation des processus administratifs et maîtrise de ses expertises.

Développer son offre de services grâce au numérique

La DRH doit s’approprier ces nou­veaux outils et même anticiper leur possible usage. En assurant une constante « veille tech­nologique » et en adoptant l’agilité nécessaire, la fonction RH se positionne au coeur de la transformation : informations prédictives, circuits dématérialisés, planification des res­sources fluidifiée, mobilité des connexions.

Devenir maître du Small Data RH

La DRH détient de nombreuses informations sur les collaborateurs de son organisation. Afin de les rendre disponibles à tous, elle doit les repérer, les filtrer et les urbaniser. Elle devient ainsi détentrice des référentiels RH et garante de leur exploitabilité.

Piloter son « Cockpit Opérations »

Gérer ses projets, piloter sa performance, iden­tifier les risques, contrôler les coûts, transfor­mer son SI, professionnaliser ses acteurs… Autant d’opérations que la DRH doit avoir dans son champs de vision.

Promouvoir la marque employeur

Intranet, réseaux sociaux, université d’entre­prise, MOOC… La DRH a aujourd’hui à sa disposition une foule d’outils pour faire rayon­ner sa marque employeur. Cette marque employeur, elle doit l’incarner, ainsi que tous les collaborateurs, tous ambassadeurs poten­tiels de l’organisation à l’extérieur.

Développer la planification opérationnelle

Place à la gestion opérationnelle des emplois et compétences (GOEC) : désormais première création de valeur, aux côtés des Métiers ! Là où la GPEC consiste à prévoir l’emploi à 5 ans, une planification opérationnelle à plus court terme permet de gagner en efficacité, de connaître les moyens disponibles, de les mettre en corrélation avec l’activité de l’entreprise.

Devenir « catalyseur d’interfaces »

La DRH ne peut plus se permettre d’être le gardien du temple de l’information. De même, elle ne peut plus se contenter d’un intranet et d’un réseau social d’entreprise. Aujourd’hui, il s’agit de faire rayonner l’information, mais aussi de la capter en interne et en externe.

Mettre l’activité au cœur de l’évaluation

Les modes d’évaluation doivent évoluer afin de mieux prendre en compte la performance opérationnelle. Les notions de poste ou d’em­ploi s’effaceront de plus en plus devant ceux d’activité, ou de missions… Les entretiens de performance ou professionnels répondront de moins en moins aux attendus. La performance à la mission ou à l’activité sera cœur du contrat.

Accompagner le personal branding

La reconnaissance des capacités individuelles sera en centre de l’échange. Ce n’est pas parce qu’on accompagne le collaborateur sur le che­min du développement de sa propre marque personnelle qu’il partira. Au contraire, l’aider à progresser, à développer ses compétences et son employabilité contribue à fidéliser.

Piloter le temps de la transformation numérique

L’enjeu majeur pour l’ensemble des DRH sera de réussir à faire accepter la transformation numérique au sein de leur entreprise. Pour y parvenir sans heurt, repenser l’accompagne­ment des collaborateurs, anticiper les points de blocage et être capable de réformer de façon progressive est primordial. Le tempo culturel d’acceptabilité reste entre les mains du DRH !

10 commandements qui brossent le portrait-robot de la DRH de demain…

Cet article Les 10 commandements de la DRH numérique est apparu en premier sur RiskInsight.

Comme en témoigne le rachat de l’entreprise de thermostats intelligents Nest par Google début 2014, les géants du web s’intéressent toujours plus à la valorisation de la donnée dans l’énergie et se positionnent en préempteurs sur ce marché émergent et prometteur.

Face à ces nouveaux entrants, la position des acteurs de l’énergie doit être à la fois défensive et offensive. L’enjeu principal pour eux est de faire émerger puis développer les marchés de demain et d’en capter une part à moyen terme. Il s’agit également pour ces acteurs de développer et d’améliorer la gamme de services nécessaires à leur activité actuelle et future. De ce fait, la collaboration est la clé de la réussite des modèles de valorisation des données. Les acteurs de l’écosystème de l’énergie et du digital ont tout intérêt à être partenaires plutôt que concurrents.

3 modèles d’affaires pour dynamiser le Big data dans l’énergie

L’analogie avec les secteurs précurseurs dans la valorisation de la donnée – web, grande distribution, transport – permet d’identifier les grands modèles d’affaire qui dynamiseront la question du « big data » sur le marché de l’énergie. Des modèles qui doivent être choisis en fonction des enjeux, des capacités et du profil de l’entreprise.

1^er modèle : l’Open Data

L’Open Data consiste à mettre gratuitement les données à disposition du public. Ce modèle parie sur l’intelligence collective pour améliorer la valorisation des données et développer des services et des processus plus performants.

Dans le secteur de l’énergie, l’Open Data est particulièrement intéressant pour les entreprises réglementées comme les distributeurs ERDF et GRDF. D’une part, cela leur permet de développer une image positive  en termes responsabilité sociale, de transparence et d’ouverture dans le nouveau paradigme de la donnée partagée libre ou valorisée. Et d’autre part, les données sont un moyen de renforcer leur relation avec leurs partenaires clés, comme les territoires par exemple. Enfin, c’est un moyen de valoriser la richesse de leurs activités tout en défendant et développant leur position au sein de l’écosystème.

2^ème modèle : la création de nouveaux services

Les acteurs de l’énergie peuvent également être moteurs et inventer de nouveaux services. La fourniture « sèche » de l’énergie offre de faibles niveaux de marge pour les commercialisateurs. De plus, ce service fait partie du quotidien des personnes qui le consomment sans y penser : il est donc peu impliquant pour les consommateurs.

Une option pourrait être de s’émanciper des offres de fourniture pour imaginer des services couplés. Ces nouvelles offres peuvent s’appuyer sur d’autres leviers que la simple fourniture d’énergie, par exemple l’attrait pour l’ergonomie d’un équipement de pilotage énergétique.

Le développement de nouveaux services de données est un autre levier et doit permettre d’enrichir l’expérience consommateur, en améliorant son confort par exemple. À l’instar des packages proposés depuis une dizaine d’années dans la téléphonie mobile, les énergéticiens et leurs partenaires pourraient tirer parti de l’attente des consommateurs envers un objet désirable et concevoir une solution complète combinant un objet design, la fourniture énergétique et un service de données.

L’association à des partenaires d’autres secteurs est incontournable pour développer de telles offres. Des démonstrateurs doivent être déployés pour évaluer la génération de nouveaux revenus à court et moyen termes, et les gains en termes de fidélisation client.

3^ème modèle : l’optimisation des processus, y compris du back-office

Enfin, la valorisation de la donnée doit permettre aux acteurs d’être vertueux dans l’optimisation de leurs processus industriels et métier. Certaines parties prenantes pourraient notamment réaliser d’importantes économies sur la maintenance et les investissements dans les moyens de production et le réseau.  Dans le secteur du courrier, le traitement automatisé des enveloppes (TAE) aide par exemple La Poste dans le traçage de la vie du pli tout au long de son cheminement postal. Déployé depuis 2009, le TAE lui a déjà permis de réaliser d’importantes économies internes.

Ces trois grands modèles sont complémentaires et répondent à des objectifs différents. Ils sont conditionnés par la faculté des différents acteurs à développer leurs capacités industrielles SI et comptage, à acquérir des marges de manœuvre sur le marché français de l’énergie et à fonctionner en partenariats.

Le ROI est mort, vive le test and learn !

La prise d’initiatives est difficile pour les grands groupes lorsque le retour sur investissement (ROI) n’est pas certain. Or la mutation des marchés accélérée par les nouvelles technologies se situe aujourd’hui dans un environnement d’incertitude, en particulier sur le ROI. Plutôt que de se positionner en suiveurs sur des services dont la rentabilité est garantie, les acteurs de l’énergie doivent adopter une approche plus audacieuse d’expérimentations.

L’analyse du comportement agile des start-ups est instructive : elles ne jettent jamais leur R&D mais s’efforcent au contraire de leur trouver des débouchés, quitte à réorienter leurs objectifs ou leurs business modèles. Au contraire, les grands groupes abandonnent souvent une partie de leurs efforts de R&D sans avoir été au bout du process de test and learn.

 En s’inspirant du comportement agile des start-ups, les grandes entreprises de l’énergie pourront ainsi être motrices pour développer l’activité actuelle et future et préempter les marchés de demain. Plus que le retour sur investissement, leur préoccupation doit porter sur une gouvernance efficace et une plus grande flexibilité du modèle d’affaire de leurs projets de valorisation de la donnée.

Pour autant, il ne s’agit pas de ne rien contrôler. Le motto est justement de tester et de mesurer les grandes opportunités, pour prendre les meilleures décisions (poursuivre le projet, le réorienter, le redimensionner, voire l’abandonner au bon moment).

Cet article Quels modèles d’affaires dynamiseront le Big data dans l’énergie ? est apparu en premier sur RiskInsight.

Capitaliser sur leurs forces et leur légitimité pour proposer des offres à forte valeur ajoutée

 Pour gagner leur place dans ce marché en construction et convaincre les consommateurs, les assureurs doivent proposer de nouveaux produits offrant une proposition de valeur forte et différenciante, fondés sur une tarification personnalisée, un univers de services proposant un accompagnement complet et une nouvelle expérience client. Ils y parviendront en capitalisant sur leur légitimité, en automobile et en MRH d’abord.

Dans le domaine plus complexe de la santé, ils doivent saisir l’opportunité offerte de jouer un rôle central dans la prévention, les parcours de soin et le maintien à domicile des personnes dépendantes. Leur légitimité sur le sujet reste cependant à construire. Elle s’imposera via de nouveaux partenariats (avec les pouvoirs publics, les professionnels de santé, des partenaires technologiques innovants) et, là encore, en capitalisant sur leurs offres existantes (programmes de prévention, téléassistance…).

Gagner la confiance des consommateurs

« Connecté, donc plus de vie privée… » : un exemple de réaction qui traduit le sentiment général vis à vis des objets connectés. Les inquiétudes suscitées auprès du grand public par l’usage des données personnelles collectées par les objets connectés constituent un des freins majeurs à leur développement. Comment convaincre les clients de passer outre cette méfiance, de s’équiper d’objets connectés et, surtout, de confier ces données à leur assureur ? En les rassurant sur leurs usages : les données sont utilisées dans leur intérêt (améliorer leur qualité de vie, leur proposer des tarifs plus avantageux…) et en toute sécurité (données anonymisées, chiffrées, supprimées rapidement…). Autrement dit, pour lever ces inquiétudes, les assureurs devront proposer à leurs clients un véritable contrat de confiance. Il définira clairement l’usage qui sera fait des données collectées, les modalités d’accès et le droit à leur effacement, tout en garantissant leur sécurité.

En définitive, quatre axes doivent être privilégiés par les assureurs dans ce domaine : construire une offre transparente, prendre en compte le respect de la vie privée dès l’élaboration de l’offre, se mettre en conformité avec la législation et notamment la loi Informatique et Libertés, et enfin sensibiliser les utilisateurs aux mesures de sécurité indispensables à la protection de leurs données.

Créer ou s’inscrire dans de nouveaux écosystèmes

Si l’assureur est légitime sur son marché et qu’il a une proposition de valeur forte, une intégration de la chaîne de valeur peut être légitime. Cette stratégie lui permettra de garder la maîtrise de son offre et des gains qu’elle génère. En revanche, si la légitimité de l’assureur reste à asseoir et si sa proposition de valeur repose essentiellement sur des services venant compléter ceux déjà portés par un objet connecté, alors l’assureur choisira la stratégie inverse : mettre en avant l’objet, capitaliser sur la marque de son fabriquant, quitte à moins maîtriser la chaîne de valeur.

Quoi qu’il en soit, sur ce marché encore en construction, les assureurs devront multiplier les initiatives et les partenariats avant que des standards technologiques et commerciaux n’émergent. Créer ou s’intégrer à de nouveaux écosystèmes, avec des acteurs différents des partenaires habituels des assureurs (start-ups innovantes, industriels, collectivités locales, spécialistes de la relation client…) et reposant sur de nouveaux types de partenariats, constituera une des clés du succès.

Adapter leurs méthodes de travail et leurs systèmes d’information

La révolution des objets connectés sera aussi une révolution interne aux organisations. Elle implique notamment de modifier les méthodes de création et de lancement d’offres, via des équipes plus agiles, associant experts marketing, juridiques, techniques et de la sécurité ; changer les techniques actuarielles pour prendre en compte de nouvelles données, plus nombreuses, moins structurées ; adapter les circuits de distribution pour pouvoir proposer des objets physiques et toucher de nouveaux publics ; adapter les systèmes d’information pour pouvoir collecter, stocker et traiter les données issues des objets connectés et en garantir la sécurité. Autant de challenges à relever pour ne pas se laisser distancer et prendre une place de choix sur ce marché.

Pour approfondir le sujet, découvrez notre synthèse Solucom : « Assurance : comment négocier le virage des objets connectés ? »

Cet article Assurance : 4 clés pour relever le défi des objets connectés est apparu en premier sur RiskInsight.

De réelles exigences de sécurité

Ce premier palier de maturité défini par le programme compte trois prérequis et cinq domaines fonctionnels (imagerie, dossier patient informatisé et interopérable, prescription électronique, programmation des ressources et agenda du patient, pilotage médico-économique) prioritaires en termes d’usage du SI. Les prérequis sont indispensables pour assurer une prise en charge du patient en toute sécurité. Ils fixent les priorités suivantes : identité / mouvement, fiabilité / disponibilité et confidentialité.

Le programme impose ainsi la mise en place d’un éventail complet de mesures de sécurité allant de la gestion des habilitations, la disponibilité des applications, en passant par la formalisation d’une politique de sécurité…

Afin de mesurer l’atteinte des prérequis et de justifier les possibles financements des hôpitaux auprès de la DGOS, des indicateurs ont été définis. La majorité (7 sur 12) concerne la sécurité du SI.

Dans ce cadre, la DGOS (Direction Générale de l’Offre de Soin) propose des fiches pratiques complètes afin d’accompagner les établissements dans leur mise en œuvre.

Des établissements de santé de plus en plus fortement incités à suivre le programme Hôpital numérique

Le programme Hôpital numérique fixe explicitement ses objectifs de sécurité : « les enjeux majeurs de la sécurité sont la qualité et la continuité des soins, le respect du cadre juridique sur l’usage des données personnelles de santé ».

Afin d’encourager les établissements à s’inscrire dans ce programme, la DGOS et la HAS (Haute Autorité de Santé) ont initié des travaux de rapprochement depuis 2013. En effet, les établissements de santé doivent passer et obtenir la certification HAS pour pouvoir exercer. Elle est obligatoire et intervient périodiquement tous les 4 ans. Ainsi, le volet « système d’information » de la certification des établissements de santé menée par la HAS a été modifié par étapes afin d’intégrer progressivement des indicateurs Hôpital numérique. La cible est que le prochain manuel de certification intègre complétement ces indicateurs.

Aujourd’hui, ces travaux ont abouti à l’intégration de 27 indicateurs du programme Hôpital Numérique dans 12 critères de la certification des établissements de santé. À noter que l’un des premiers critères pris en compte fut la « sécurité du système d’information ».

Une réelle opportunité pour les RSSI d’hôpitaux

Aujourd’hui, seuls 10% des hôpitaux ont atteint ce premier niveau de maturité et seul un quart des hôpitaux participe au programme Hôpital numérique. Pourtant, l’actualité fournit de plus en plus d’exemples de failles de sécurité du système d’information en milieu hospitalier.

Dans un contexte où les professionnels de la santé sont encore peu sensibilisés aux risques informatiques et aux enjeux de sécurisation du système d’information de santé, la mise en place des indicateurs Hôpital Numérique est un bon levier de sensibilisation et un moyen de faire collaborer les équipes informatiques et le personnel médical. De plus, ces indicateurs portent sur les chantiers prioritaires à mener dans des contextes peu matures : la gouvernance, la continuité d’activité et la gestion des identités et des accès.

Enfin, les possibilités de financement offertes par l’atteinte de ce premier niveau de maturité représentent pourtant une réelle opportunité pour les RSSI des hôpitaux de justifier ces investissements. En effet, le volet financement constitue l’un des quatre axes du programme Hôpital numérique. Il a pour objectif d’accompagner les établissements de santé dans les efforts déployés pour atteindre les objectifs liés aux « échanges et partages d’information dans le cadre des processus de soins ». Les montants attribués varient de 37 k€ et 3,4 M€. À noter toutefois, qu’il repose principalement sur un financement à l’usage par les crédits d’aide à la contractualisation, c’est-à-dire que les établissements ne percevront les financements qu’une fois les systèmes d’information mis en œuvre et effectivement utilisés sur l’ensemble de l’établissement.

Cet article Le programme Hôpital numérique : une opportunité pour les RSSI est apparu en premier sur RiskInsight.