Si la profondeur et la complexité de ces exercices varient, les capacités testées sont très souvent les mêmes. Elles se limitent presque exclusivement à savoir s’approprier des rôles, assimiler un fort flux d’information (de stimuli), et comprendre une situation à fort enjeux et haute intensité. Si ces exercices permettent de s’entrainer à la coordination et à l’évaluation d’impact, force est de constater qu’ils ne peuvent être considérés comme une fin en soi. Résoudre une crise ne se limite pas au fameux : « on isole, on coupe, on communique, on est sorti d’affaire ». Nous appelons ici à une évolution de paradigme dans la préparation à la gestion de crise d’origine cyber. 

Déplacer le curseur de la gestion de l’information à la faisabilité  

La plupart des exercices de crise proposés actuellement testent la capacité de gestion et de synthèse du flux d’information des joueurs. Ce n’est pourtant pas là que ce se concentre la qualité du pilotage d’une crise. D’aucun pourrait même dire qu’une cellule décisionnelle ne doit justement pas se trouver dans une situation où elle est sollicitée de manière erratique et incessante par ses parties prenantes. Une cellule décisionnelle doit être mise en situation de décider et pour cela doit respecter un rythme de travail sain, généralement asynchrone, en coopération avec d’autres instances plus opérationnelles. 

Ces exercices poussent trop souvent les joueurs, aspirés par la chronophage gestion de l’information, à prendre des partis opérationnels trompeurs. Ils prennent des hypothèses sur leur capacité à faire et les délais requis – le fameux « on isole, on coupe, on communique, on est sorti d’affaire ». Ces exercices donnent l’impression aux équipes décisionnelles qu’elles sont prêtes à faire face alors qu’elles ont limité leur préparation à la capacité de compréhension et de coordination des évènements. C’est une étape nécessaire, mais insuffisante.  

Le maître mot d’une stratégie de préparation en 2023 ? La faisabilité. Mais la faisabilité de l’ensemble des étapes d’une gestion de crise repose sur un spectre plus large que la seule gestion de l’information. Cette faisabilité doit être mesurable, spécifique et rendue possible par la documentation, l’équipage et la simulation et le séquençage de ces capacités. 

Se préparer sur l’ensemble du spectre : de la détection des menaces à la reconstruction  

Interroger et a fortiori s’entrainer à gérer une situation de crise suppose d’abord de prendre en compte la chronologie complète de la gestion de crise. Nous pouvons synthétiser cette chronologie en huit étapes majeures : 

1. Détecter les menaces pertinentes et avoir la capacité de les investiguer  
2. Mobiliser expert.es, décideurs.euses pour réagir 
3. Survivre durant le premier pic en garantissant des capacités de continuité d’activité  
4. Evaluer l’impact, ses ramifications et ses évolutions anticipables  
5. Contenir la menace et comprendre l’impact d’une isolation  
6. Coordonner ses forces et celles de son écosystème  
7. Communiquer avec ses parties prenantes internes et externes  
8. Restaurer et reconstruire de manière priorisée et sécurisée 

Préparer également les outils : je conçois, j’utilise  

Une stratégie de préparation pertinente doit englober chacune de ces huit étapes avec ce maître mot de faisabilité. Cela nécessite donc de répondre à cette question : serons-nous véritablement capables de mener ces actions quand nous devrons le faire ?  

La réponse à ce questionnement capacitaire s’appuie sur trois axes :  

1. Assurer la formalisation de processus brefs, à jour et connus (ex : avoir une matrice des flux indiquant comment isoler, sous quels délais, les conséquences opérationnelles)  
2. Assurer l’équipement, la formation et la mise en responsabilité des équipes ayant la charge de ces actions (ex : avoir un débat sur le processus de validation d’isolation – ou licence to kill, et permettre techniquement un red button sur des périmètres pertinents)  
3. Entrainer spécifiquement les équipes concernées via des mises en situation, des simulations spécifiques de déploiement de ces capacités (ex : tester le processus de décision menant à l’utilisation de ce red button, puis tester techniquement le bon fonctionnement du red button)  

Ainsi, si certains se limitent exclusivement à ce dernier axe qu’est la simulation, il est essentiel de concevoir sa préparation avec plus de recul et de commencer par un véritable effort de mise en capacité. L’exercice doit être un jalon de vérification, d’ajustement et de promotion des capacités. Au pire, il peut être une date butoir pour préparer la capacité voire servir d’événement pour la construire en séance (ex : chronologie de reconstruction, identification des interdépendances techniques, …). 

Dépasser une logique opportuniste et entrainer le séquencement de ses capacités 

Actuellement, les principaux leviers de complexité sont l’augmentation de la durée, de l’intensité et du nombre d’acteurs mobilisés. Là aussi, nous appelons à un changement de paradigme.

D’abord, nous appelons à nourrir une culture de la préparation reposant sur les huit piliers détaillés plus haut. Autrement dit, d’outiller, de formaliser des capacités à faire et d’entrainer unitairement ces capacités tout au long de l’année – sans nécessairement les événementialiser dans un exercice en grande pompe (ex : atelier en ComEx sur les 10 premières actions à lancer en cas de cyber crash, tester l’isolation des sauvegardes ou la restauration de postes de travail).  

Par ailleurs, en cohérence et en conséquence d’une logique d’entrainement verticalisée (i.e. permettre puis simuler), il est important d’entrainer la capacité de séquencement rapide et efficace des différentes capacités, des différents piliers. Ainsi, il convient de proposer des exercices plus larges, communs aux équipes métiers, forensic, décisionnelles, pour orchestrer leurs différentes simulations dans un seul exercice. En entrainement, par exemple, tester la capacité de détection avec une Purple Team puis la capacité de mobilisation du dispositif de crise avec une mobilisation surprise via les outils alternatifs prévus. Un second exemple : travailler la capacité de coordination des nombreuses cellules de crise sur un temps long puis, celle d’ajuster un message de communication à l’ensemble de ses parties prenantes (interne et externe).  

S’inscrire dans la durée  

Pour être pertinente, cette approche doit être supportée par une réflexion stratégique, globale, pluriannuelle. Parce que plus ambitieuse, impliquant plus de parties prenantes (SOC, RPCA, Résilience, Infra, CISO, ComEx, Tiers, …), elle peut gagner sa légitimité par une évaluation empirique préalable des moyens : 

1. Evaluez l’état actuel de votre niveau de préparation en adoptant une approche centrée sur la faisabilité des huit piliers.  
2. Etablissez une cible de maturité à atteindre et une feuille de route dont vous saurez rendre compte dans le temps de manière empirique. 
3. Partagez enfin à vos équipes dirigeantes une vision plus robuste de votre maturité en gestion de crise.  

Une telle approche, plus empirique, plus personnalisée permettra non seulement d’identifier des manques capacitaires mais surtout de s’entrainer véritablement aux actions qui seront indispensables au moment du pire.  

Cet article Repenser sa stratégie de préparation à la gestion de crise d’origine cyber est apparu en premier sur RiskInsight.

Définir les ambitions et cadrer la gouvernance

Le bilan cybersécurité et son benchmark ont permis de positionner le niveau de sécurité actuel de l’organisation, reste maintenant à définir la cible à atteindre et les moyens nécessaires pour le faire. S’engage alors un travail avec les équipes cybersécurité, de la DSI et évidemment du sponsor de niveau comité exécutif ! La cible peut prendre de nombreuses formes mais elle doit dans tous les cas répondre à des enjeux métiers clairs et concrets. « Disposer globalement d’un niveau de sécurité au-dessus de la moyenne pour éviter les attaques les plus fréquentes », « Protéger les données des clients grand-publics », « Assurer la reprise de la production des usines en moins de 4 jours en cas de cyberattaques », pour des structures plus mûres « Rationaliser les investissements cyber en dégageant 20% d’économie à niveau de risque égal » voici quelques exemples d’ambitions rencontrées sur le terrain. C’est au moment de cette définition de la cible que l’on peut adopter une approche basée sur les risques, par exemple avec des cibles différentes entre les métiers ou les entités ; une approche réglementaire en ayant des niveaux différents en fonction des contraintes métiers ou une approche globale.

Chaque cible fera l’objet d’indicateurs de performances ou de risques (KPI/KRI) pour concrétiser la manière dont l’avancement sera mesuré. Ces ambitions sont ensuite traduites en un positionnement concret sur un référentiel de cybersécurité, par thématique et par périmètre. Le plus simple consiste évidemment à reprendre les résultats du benchmark précédent mais l’utilisation d’un autre référentiel est possible. Attention, cependant il va être utilisé pendant toute la durée du programme pour suivre le progrès et piloter les différentes équipes et entités, prévoyez donc une durée de vie d’au moins 2 ans ! La définition du référentiel et des indicateurs est une étape clé pour réussir son programme, prévoyez d’y consacrer du temps, il ne s’agit pas de lancer immédiatement plein de projets techniques sans y mettre la cohérence nécessaire.

Pour le pilotage de ce programme, le RSSI devra savoir s’entourer. Les filières SSI ont rarement l’expérience de porter de telle transformation et des enjeux budgétaires de ce niveau. Une bonne pratique consiste à identifier au sein de l’organisation un directeur de programme expérimenté, habitué aux rouages de l’organisation et à créer un binôme avec le RSSI. Les compétences des deux profils se compléteront naturellement, d’un coté avec l’expertise sécurité, de l’autre avec l’expertise de pilotage d’ampleur. Le choix du binôme est aussi un facteur clé de succès important, n’hésitez pas à y consacrer du temps !

Construire les budgets sur des axes clairs et savoir engager les dépenses

Après avoir reçu l’accord de principe, il faut maintenant structurer clairement l’engagement budgétaire à prévoir. A nouveau, l’enjeu majeur dans la relation avec le comité exécutif sera de faire une proposition claire et précise. Les acronymes, code projets et autres termes abscons sont à bannir. La structure d’une stratégie simple « Protéger l’environnement de travail numérique », « Chiffrer et éviter les fuites des données critiques », « Détecter les attaques sur nos actifs clés » sont quelques exemples de termes utilisés avec succès. La structuration d’un programme autour de 4 ou 5 axes, regroupant une trentaine de projets est un maximum à avoir en tête. Au-delà le reporting et le suivi deviendront trop complexes.

A noter qu’il faudra se rompre à l’exercice budgétaire évidemment sur les actions de construction (« build ») mais aussi sur les coûts additionnels de fonctionnement (« run ») sans cela, la belle remédiation ne tiendra pas longtemps… L’identification également des éléments RH (nombre de recrutements/mobilités, formations à prévoir, évolution salariale, évolution des relations hiérarchiques dans les entités ou les filiales…) sont des éléments clés à cranter dans le programme pour s’assurer de sa pérennité dans le temps. C’est clairement le bon moment pour créer une vrai filière cyber dans l’organisation et la faire piloter par un « Chief operating officer » comme toute filière majeure.

La préparation de ces différents éléments budgétaires devra également prendre en compte la difficulté observées depuis maintenant plusieurs années à pouvoir engager les budgets obtenus. Le marché est en manque criant d’expertise cyber et beaucoup de projets doivent être décalés dans le temps. Il est bon de prendre une marge de manœuvre dans le cadrage des plannings pour intégrer cette situation qui va perdurer. La temporalité d’un programme classique « année 1 cadrage, année 2 réalisation, année 3 contrôle » doit être revue pour plutôt fonctionner par vague de projets de plus petite taille et enclenchée au fil de l’eau. En résumé, il vaut mieux avoir 5 vagues de 5 projets qui aboutissent plutôt que de lancer 25 cadrages simultanément !

A noter également que ces budgets et les priorités vont devoir être revus annuellement, la menace cyber étant très dynamique, il est important de garder des lignes budgétaires souples pour s’adapter à une évolution de la menace inédite comme nous en avons connu ces dernières années.

Montrer le progrès au comité exécutif !

Une fois le programme lancé, l’enjeu sera de montrer au comité exécutif l’avancement et les effets sur les niveaux de risques. Un reporting clair, utilisant des termes simples et lié au référentiel utilisé, ajoutant une vision sur l’avancement des projets et la progression du niveau de risque, doit être prévu de manière trimestrielle voir semestrielle. Pour cranter directement le passage en mode régulier de ce reporting, il pourra être intéressant d’ajouter des indicateurs opérationnels liés au niveau de sécurité. L’enjeu étant à terme de garder un échange au moins semestriel avec le comité exécutif pour maintenir le niveau d’attention sur le sujet cyber. Ces échanges dans la durée peuvent s’articulier avec deux rendez-vous annuels, un autour des risques (évolution de la menace et des risques pesant sur l’organisation), l’autre sur les investissements (effets de projets, enjeux budgétaires et RH de l’année suivante).

Finalement, les structures les plus avancées et celles dont le cœur de métier reposent sur le numérique, peuvent envisager d’utiliser leurs investissements en cybersécurité comme des différenciateurs métiers ! Aujourd’hui les exigences cybersécurité des clients, grand public comme professionnels, augmentent rapidement et il est possible, voire souhaitable, de valoriser les investissements réalisés pour montrer que le sujet de la cybersécurité est une priorité de l’organisation ! Et pour certaines structures, la cybersécurité pourra même devenir un centre de profits, ce qui changera clairement les discussions avec le comité exécutif.

Cet article Créer une relation de confiance avec son comité exécutif : étape 3, concrétiser la transformation ! est apparu en premier sur RiskInsight.

S’il y a 10 ans, construire son SOC revenait à se demander quels scénarios superviser, quelles sources de logs collecter et quel SIEM choisir, les évolutions récentes du SI proposent de nouveaux défis : comment mettre en place la supervision dans un environnement partiellement on-premise et/ou multicloud ? En effet, en 2021, avoir un SI hébergé chez plusieurs fournisseurs IaaS est plus proche de la règle que de l’exception ; et si AWS reste l’acteur le plus rencontré, les offres d’Azure et de GCP intéressent de plus en plus d’équipes IT.

Comment construire sa stratégie de détection ? Où positionner le ou les SIEM ? Comment centraliser les logs, les alertes ? D’ailleurs, faut-il des logs ou des alertes ? Et comment tirer parti des solutions managées proposées par les fournisseurs cloud ?

Dans cet article, nous discuterons de bonnes pratiques : utilisation d’une stratégie de détection bottom-up, optimisation via le choix des services natifs cloud les plus pertinents, simplification de l’architecture de collecte ; toujours basées sur des retours d’expérience de construction de stratégies de supervision multicloud.

(Re)penser sa stratégie de détection pour le multicloud

La première question que devrait se poser l’équipe en charge du SOC est celle de la stratégie de détection. Autrement dit, quels scénarios va-t-on superviser ?

Un bon réflexe cyber consiste à utiliser une approche dite « top-down » : partir d’une analyse de risques pour identifier les alertes à prioriser, les formaliser puis les traduire techniquement dans le SIEM. En pratique, trois facteurs démontrent que cette approche est insuffisante :

• Peu d’équipes disposent d’analyses de risques qui soient suffisamment exhaustives, à jour et pragmatiques pour permettre une déclinaison des scénarios de menaces en scénarios supervisables, en particulier pour des périmètres complexes comme le cloud public,
• Rien ne garantit que les scénarios obtenus par cette méthode puissent concrètement être mis sous supervision, que les limites soient liées aux solutions déployées ou à la nécessité pour les équipes SOC de disposer de connaissances métier.
• Cette approche définit quelques chemins d’attaques selon la criticité des actifs, mais ne couvre pas tous les chemins d’attaques qu’un attaquant pourrait emprunter.

De ce fait, une stratégie de détection multicloud efficace sera obtenue en complétant l’approche par les risques par une approche « bottom-up » : en partant des capacités de journalisation des solutions dont on dispose pour identifier les alertes que le SIEM devra remonter, pour enfin prioriser en se basant sur leur intérêt en termes de couverture des risques. Partir de l’existant garantit le pragmatisme et l’efficacité de la démarche.

Chez Wavestone, nous sommes de plus en plus sollicités par des clients souhaitant être accompagnés sur cette nouvelle approche. Le périmètre concerne les principales solutions utilisées en multicloud : Microsoft 365 (SaaS) et les solutions managées des offres IaaS des 3 principaux acteurs du marché : Amazon Web Services, Microsoft Azure et Google Cloud Platform.

Mettre en place la supervision de l’infrastructure Microsoft 365

Sur le papier, l’équipe SOC a toutes les clés en main pour monitorer son infrastructure cloud :

• Des logs bruts pour les services d’Office 365 (Teams, SharePoint Online, Exchange Online, etc.)
• Des logs bruts, rapports de sécurité, alertes et Identity Secure Score pour Azure AD
• Des logs bruts, alertes, Microsoft Secure Score et recommandations Azure pour les outils de sécurité comme ATP, AAD Identity Protection, Intune, AIP, etc.

En pratique, naviguer entre les logs et tous les outils mis à disposition (et leurs consoles) peut vite devenir un casse-tête. Et si nous entendons régulièrement qu’il y a trop de logs ou d’interfaces d’administration à maîtriser, sur le terrain les difficultés sont accentuées :

• Par les faibles capacités de personnalisation des outils natifs proposés,
• Par le manque de scénarios disponibles avec la licence achetée,
• Par la durée de rétention de 90 jours des logs,
• Par le manque général de compétences Office 365 ou AzureAD dans les équipes SOC.

Pour éviter de se perdre, nous conseillons de simplifier le terrain de jeu autant que possible. Les bonnes pratiques consistent à penser alertes, et pas collecte de logs, puis à centraliser leur gestion dans le SIEM en utilisant des connecteurs comme ceux de Security Graph API. A titre d’exemple, il est possible d’arriver à un modèle comme celui donné ci-dessous :

Une fois l’architecture identifiée, configurer une durée de rétention de logs adaptée aux besoins (au sein d’Azure ou à l’extérieur) et entreprendre l’adaptation des processus SOC aux spécificités de M365 selon les choix réalisés lors de l’étape précédente.

Mettre en place la supervision des autres cloud en IaaS

Afin de dessiner l’architecture de collecte sur ces clouds, il convient de distinguer les différents types de logs mis à disposition par les CSP.

Logs système

Le cas des logs système générés par les VM et les flux réseau peut être traité en premier ; il est possible de les collecter de la même manière qu’on-premise, avec des agents syslog, par exemple. Les infrastructures des CSP mettent à disposition des briques comme Log Analytics chez Azure pour faciliter la remontée.

Logs d’administration de l’infrastructure

On peut aussi envisager la supervision des opérations d’administration des composants « sensibles » de l’infrastructure (VPN, FW, scanner de vulnérabilités, etc.) comme on le ferait on-premise. En effet, la plupart de ces solutions disposent de leur pendant IaaS chez les fournisseurs cloud : elles s’obtiennent via la Marketplace et disposent de console d’administration web ou s’interfacent directement à la console de management du CSP (c’est par exemple le cas de l’appliance du scanner Qualys).

Logs des appels d’API

Enfin, les appels d’API réalisés par les processus/comptes sur l’infrastructure cloud et par les opérations d’administration génèrent des logs qui sont facilement récupérables via les services managés suivants :

• CloudTrail chez AWS
• Activity Log & Monitor chez Azure
• Audit Logging chez GCP

Pour éviter de se perdre, retenons la leçon suivante : « Utilisons et abusons des services natifs du cloud ». En effet, qui de mieux placé que le fournisseur pour proposer des services adaptés et intégrés au mieux à l’environnement ? En pratique, nous constatons qu’implémenter la gestion des logs et des alertes cloud dans un SIEM on-premise coûte cher (même en cherchant à limiter les coûts de stockage dans la solution de supervision) et est chronophage.

L’utilisation du cloud implique de passer à la philosophie du cloud : adoptons ses codes et domptons ses services et outils. L’occasion de renforcer les synergies entre les équipes cloud et le SOC !

En synthèse, un exemple d’architecture de monitoring sur AWS est proposé ci-dessous. Il présente plusieurs façons de réaliser la supervision, en s’appuyant sur des services natifs pour les logs et pour les alertes (NB : tous les flux vers S3 et d’autres services n’ont pas été représentés pour des raisons de lisibilité).

Définir l’architecture de centralisation des alertes multicloud

C’est l’une des questions qui nous est la plus posée : quelle architecture SIEM faut-il envisager en multicloud ? Si chaque contexte est différent, parce que chaque infrastructure IT dispose de legacy et d’un historique qui lui est propre, la présence d’autant de ressources et d’outils doit amener une équipe SOC à considérer l’adoption d’un SIEM dans le cloud central (comme Azure Sentinel, Splunk SaaS, etc. ; AWS et Chronicle de Google ne proposant pas à date de solution équivalente).

Pour aider les équipes SOC à choisir le scénario adapté, nos recommandations sont les suivantes :

• Privilégier le scénario à un seul SIEM central
• Limiter autant que possible le nombre de consoles de supervision cloud
• Remonter au maximum des alertes déjà préanalysées par les services natifs mis à disposition étudiés précédemment
• Tirer profit des synergies éventuelles entre produits du même fournisseur : Azure Sentinel pour monitorer l’infrastructure Microsoft 365 par exemple
• Tirer profit des nombreux connecteurs mis à disposition par les fournisseurs de SIEM cloud
• Etudier les impacts de chaque scénario sur l’organisation du SOC (taille des équipes, compétences technologiques, etc.) et les coûts associés (développements nécessaires, volumétrie et coûts d’ingestion, etc.)

Un exemple d’architecture reprenant l’ensemble des recommandations de cet article est proposé ci-dessous, il utilise Azure Sentinel comme SIEM cloud central.

Synthèse : les principes clés à adopter pour garder la tête au-dessus des nuages

En résumé, l’équipe SOC souhaitant adapter sa stratégie de détection au multicloud devrait :

• Compléter son approche classique top-down par l’approche bottom-up, particulièrement adaptée au contexte complexe du multicloud,
• Utiliser dès que c’est possible les services natifs mis à disposition par les fournisseurs afin de tirer pleinement parti des avantages du cloud,
• Simplifier l’architecture de collecte et centraliser au maximum des alertes préanalysées par les services natifs cloud,

Une fois la tête sortie du nuage, la stratégie formalisée et l’architecture de collecte déployée, le SOC retrouve bien sa place de tour de contrôle du SI : la prolifération des services dans le cloud ne lui fait plus peur !

Les prochaines étapes peuvent consister à étudier les possibilités d’automatisation, avec la mise en place d’un SOAR, par exemple. Nous ne manquerons pas de discuter du sujet dans un prochain article.

Cet article Adapter sa stratégie de détection au multicloud sans se perdre dans les nuages est apparu en premier sur RiskInsight.

L’IAM est un concept ayant des impacts multiples. Cela doit être pris en compte lors de l’exécution d’un tel programme, afin d’éviter de tomber rapidement dans les problématiques courantes. Voyons cela de plus près.

Les défis d’un programme IAM : quelques exemples typiques

Les trois principaux facteurs qui imposent des exigences en matière d’IAM sont l’évolution des activités métier, la cybersécurité et l’expérience des utilisateurs. Cependant, les organisations entreprennent souvent des programmes IAM motivés, exclusivement ou principalement, par le désir de migrer vers une nouvelle solution. Avec la dette technique ou l’outillage comme seule véritable préoccupation, les programmes IAM peuvent être très rapidement confrontés à des problèmes.

1/ Impacts de la migration vers une nouvelle solution

Souvent, le désir est de simplement migrer vers un nouvel outil ou d’effectuer une mise à niveau majeure de la solution technique existante, tout en laissant tous les autres éléments du service IAM inchangés. Cela peut avoir des effets indésirables sur ces autres aspects. Par exemple, un nouvel outil entraînera probablement de nouveaux processus d’approbation, qui nécessiteront la formation du personnel à une nouvelle interface utilisateur. Il pourrait même nécessiter des processus de départ et d’arrivée entièrement nouveaux pour les RH. Ce point sensible se résume finalement à un manque d’évaluation de l’impact du changement technologique, dans le contexte d’un écosystème IAM plus large.

2/ Une liste d’exigences toujours plus longue

Lorsqu’une organisation réalise que le changement IAM ne se limite pas à l’outillage, cela peut souvent ouvrir les vannes à un nombre irréaliste de nouveaux objectifs. Les parties prenantes finissent par exiger davantage du programme (comme une meilleure expérience utilisateur et une intégration ITSM accrue), alors que ces nouveaux objectifs n’avaient pas été identifiés et pris en compte à l’origine. Le programme peut devenir un moyen d’exprimer le mécontentement à l’égard du service IAM existant, ce qui entraîne un glissement de périmètre. Cette dynamique peut rapidement mettre à mal le programme au niveau de la gestion du changement, du budget et de l’architecture de la solution.

3/ Forcer une mise en œuvre similaire

Une fois que les interactions entre la nouvelle solution IAM et ses services périmétriques sont pleinement opérationnelles, vous devez encore tenir compte des différences de philosophie de conception entre le nouvel outil et l’ancien. Les principales différences de conception des produits doivent être prises en compte. Si ce n’est pas le cas, les organisations peuvent finir par exiger un code personnalisé et des configurations complexes sur la nouvelle solution, simplement pour correspondre à l’ancienne configuration. Cela peut avoir un impact sur l’assistance du fournisseur, la maintenance, les performances globales – sans parler de la nécessité de conserver un énorme corpus de connaissances sur la personnalisation complexe. En empruntant cette voie, vous risquez de causer plus de problèmes que ceux que vous essayez de résoudre. Un véritable effet papillon peut donc se produire lorsqu’on essaie de forcer l’utilisation d’outils différents à des fins similaires.

La clé pour éviter ces problèmes courants est de reconnaître que l’IAM doit être considérée comme un sujet transversal, qui a un impact sur la technologie, les personnes et les processus.

Quelle est donc l’approche recommandée ?

La clé du succès est la reconnaissance du fait que l’amélioration de l’IAM est un programme de grande envergure. La mise en œuvre de nouvelles solutions n’est que la partie émergée de l’iceberg, et les impacts clés ne doivent pas être sous-estimés. Les points clés à considérer lors de la transformation sont :

• Le renouvellement de la solution IAM : le déploiement (ou la mise à niveau) de la nouvelle solution IAM. Cela comprend l’architecture de la solution, l’ingénierie et la migration technique.
• La modélisation des droits : les droits d’accès existants doivent être traduits dans le nouvel écosystème IAM, tels que les rôles métier et les profils d’application.
• Le nettoyage des données IAM : l’examination, le nettoyage et la validation de la fiabilité et de l’exactitude des données utilisateurs existants. Par exemple, la recertification du rôle d’un utilisateur et la validation de son supérieur hiérarchique pour s’assurer que la bonne personne approuve les demandes d’accès.
• Les nouveaux processus et la gestion du changement : cela inclut de nouvelles façons de demander et d’examiner l’accès aux applications, de nouveaux processus pour gérer les départs et les arrivées, et la formation du personnel.
• L’interopérabilité avec les autres services et actifs du SI : par exemple, l’intégration du nouvel outillage IAM avec le SOC peut nécessiter une réingénierie de l’ingestion des journaux dans le SIEM et des appels API. Un autre travail typique consiste à coordonner la migration avec celles liées à l’AD.

Nous recommandons donc de structurer le programme IAM de telle sorte que chacun de ces sujets soit couvert par un projet individuel. Le département en charge de la rédaction des politiques IAM doit opérer au niveau du programme, afin de fournir des inputs clairs permettant de guider les différents projets.

Un sponsorship fort et une vision publiquement partagée des objectifs sont également essentiels à la réussite. Les programmes IAM touchant de nombreux domaines organisationnels, il est essentiel que le gestionnaire de programme et la fonction PMO soient soutenus au niveau de la direction.

Enfin, la flexibilité est essentielle pour gérer l’évolution des circonstances et des contraintes. Voici d’autres conseils pour que le programme puisse rester sur la bonne voie et atteindre les objectifs prévus :

• Trouver un bon compromis entre les actifs hérités, la cible idéale et les capacités de la nouvelle solution : la cible doit être basée sur ce qui aide le mieux à fournir le service IAM de bout en bout à l’entreprise.
• Évaluez la possibilité d’intégrer des nouvelles solutions aux services existants, même s’ils ne sont pas envisagés à l’origine dans l’état cible idéal. Simplifiez et rationalisez dans la mesure du possible. Cela sera utile à la fois à court et à long terme.
• N’excluez pas la possibilité de conserver des outils existants qui devaient initialement être déclassés, si cela soutient les objectifs de l’IAM : il est parfois préférable de conserver certains actifs existants, plutôt que de déclasser et de migrer au nom de la modernisation technique.

Dans cet article, nous avons vu comment la définition des objectifs clés est essentielle pour la réussite du programme. Il est important de comprendre l’ampleur du changement IAM, à la fois pour structurer le programme et pour respecter les délais et le budget. Cette approche permettra également aux responsables du programme et à chaque responsable de stream de mettre en œuvre des mesures flexibles pour migrer d’un écosystème et d’applications legacy vers la nouvelle solution. Le tout sans perdre de vue les principes directeurs de la gestion des identités et des accès.

Cet article Gestion des identités et des accès : les clés d’un programme de transformation réussi est apparu en premier sur RiskInsight.

Transformation de l’IAM : quels sont les principaux moteurs ?

Les entreprises évoluent à un rythme effréné et la rapidité de mise sur le marché dépend fortement de systèmes informatiques reposant sur des services d’identité robustes et évolutifs. Qu’il s’agisse d’un nouveau service web disponible pour les clients, d’une expansion importante ou d’une fusion de back-office, la nécessité de faire évoluer les services IAM rapidement et efficacement est omniprésente.

Chez Wavestone, nous observons trois facteurs, souvent combinés, qui exigent davantage de la gestion des identités et des accès :

1. Les risques de cybersécurité
2. L’évolution des besoins métiers
3. L’expérience de l’utilisateur final

Examinons chacun de ces points plus en détail.

1/ Évolution des modèles de cybersécurité et de systèmes d’information

Les systèmes d’information sont de plus en plus ouverts et fragmentés. L’adoption du cloud et les architectures distribuées contribuent à ce changement fondamental. La sécurité adapte ses principes et la notion de zero trust est désormais bien établie. La gestion des identités et des accès est un élément clé du zero trust.

Les systèmes d’information sont consommés par des tiers, des clients et des employés. L’identité est essentielle pour l’échange de données critiques et la confidentialité entre diverses entités. Il est donc nécessaire de disposer d’une identité unique pour chaque entité dans l’ensemble du système d’information. Si les architectures évoluent, l’objectif ultime de l’IAM ne change pas : la bonne personne ou entité, avec le niveau de droits approprié, pour accéder à la bonne ressource, dans le bon contexte. Il est essentiel que ce principe soit respecté en permanence.

L’identité unique de chaque machine et de chaque utilisateur est également essentielle pour la traçabilité. Une organisation doit être en mesure d’identifier, d’authentifier et d’autoriser tout utilisateur, de toute autre entité, lorsqu’il accède à une ressource. Il est essentiel de pouvoir centraliser l’enregistrement, l’audit et le suivi de ces événements à travers le système d’information.

2/ L’identité au service de l’entreprise

Les entreprises subissent des transformations fondamentales qui exigent une plus grande agilité et des délais de mise sur le marché plus courts. Par exemple, de nombreux commerçants cherchent de nouvelles voies numériques pour accéder au marché en raison de l’évolution du paysage du commerce électronique et des défis opérationnels posés par la pandémie de COVID-19. Les services d’identité doivent être en mesure de soutenir des initiatives commerciales de grande envergure et d’assurer l’innovation à grande échelle.

L’évolution complexe de l’entreprise ne peut être ralentie par des délais de sécurité ou de livraison d’infrastructure prolongés. L’identité doit être un catalyseur, et non un synonyme de retard. Tout projet doit pouvoir s’appuyer sur des services d’identité qui sont fournis comme un produit de base à l’entreprise, et non pas nouvellement conçus et déployés pour chaque initiative.

La consolidation et la normalisation des solutions et processus IAM sont essentielles à la mise en œuvre de ce modèle. Il s’agit notamment d’une gestion cohérente et solide, qui dépend de méthodes et de protocoles agnostiques sur le plan technologique, basés sur les normes industrielles les plus récentes et les plus sûres (telles que SAML, OIDC et OAuth).

La fourniture de services d’identité doit être intégrée dans le modèle opérationnel de l’organisation et dans des pratiques telles que Agile, DevOps @ scale et innovation @ scale : l’IAM doit être fourni comme un service à l’entreprise.

3/ Les exigences en matière d’expérience utilisateur sont désormais au centre des préoccupations

Le troisième moteur, crucial, de la transformation de l’IAM est l’expérience utilisateur. Il s’agit pour les organisations de fournir aux employés la même qualité de services d’authentification et d’autorisation que celle dont les clients externes ont souvent bénéficié par le passé. L’objectif est de permettre aux utilisateurs finaux de prouver leur identité facilement et sans effort, et d’accéder aux services requis, en tout lieu et à partir de tout appareil. Cela constitue la base d’une véritable expérience continue qui soutient les nouveaux modes de collaboration, également accélérés par le travail à distance.

Des processus d’enregistrement faciles et fluides, ainsi qu’une authentification cohérente dans les différentes applications, doivent être proposés aux clients pour simplifier leur expérience et les fidéliser à la marque. Ce même principe vaut pour les employés et les tiers.

Les technologies sans mot de passe et les identifiants uniques pour les applications sont des exemples de solutions en plein essor ; des approches innovantes fondées sur le risque et le contexte peuvent rationaliser les accès, ce qui peut avoir un impact positif important sur l’expérience des utilisateurs en réduisant les demandes d’authentification.

Quelles sont les étapes de la transformation de l’IAM ?

La compréhension de votre maturité actuelle est une étape clé pour atteindre les objectifs ci-dessus. Au fil des années de soutien aux initiatives IAM de nos clients, nous avons construit notre parcours d’amélioration de la maturité IAM, qui comprend 4 étapes de maturité.

• Fragmenté : l’organisation n’a pas d’approche consolidée de l’IAM à travers les solutions, la gouvernance et les normes.
• Rationalisé : le paysage technologique soutenant l’IAM est simplifié et géré de manière centralisée afin de faciliter l’expérience utilisateur pour toutes les applications et tous les utilisateurs. La consolidation fournit des capacités de supervision satisfaisantes.
• Étendu : les capacités organisationnelles d’IAM sont adaptées à un système d’information en évolution : tout utilisateur, tout appareil, tout service.De nombreuses organisations disposent actuellement d’éléments de ces capacités, mais rarement déployés à l’échelle mondiale.
• Maîtrisé : l’organisation a adopté des solutions de nouvelle génération, qui offrent de solides avantages en matière de sécurité et une expérience utilisateur fluide, tout en réduisant la charge de travail des opérations informatiques grâce à une automatisation intelligente.A ce jour, ces solutions sont adoptées au cas par cas ou servent d’objectif dans les feuilles de route IAM.

Chacune des étapes ci-dessus nécessite une transformation profonde de l’environnement : changement de gouvernance, changement de processus, et déploiement ou migration des technologies de soutien. Pour réussir, nous pensons qu’elles doivent être abordées dans le cadre d’un programme de transformation IAM dédié.

Restez à l’écoute de notre prochaine publication, où nous partagerons avec vous ce qui est bon pour un programme de transformation IAM…

Cet article La gestion des identités et des accès de retour sur le devant de la scène est apparu en premier sur RiskInsight.

Pour transformer, il faut savoir d’où l’on part…

Avant toute transformation, il est important de définir le point de départ et de partager les constats avec le comité exécutif. L’utilisation de standards internationaux pour s’évaluer est évidemment la base, l’ISO 27001/2 et le NIST CSF sont les deux références internationales : l’une plutôt européenne, l’autre plus anglo-saxonne.

Mais ce qui comptera le plus aux yeux des dirigeants, c’est un benchmark basé sur la posture de leurs concurrents et du marché dans lequel il se situe. A ce titre, nous avons développé chez Wavestone, un outillage spécifique et construit une base de comparaison qui regroupe actuellement plus de 50 grandes organisations, majoritairement internationales et basées en Europe. La qualité de cette base est essentielle pour convaincre les dirigeants, qui lors des debriefings demanderont, avec précision et souvent beaucoup de prise de recul, ce qui est fait ailleurs.

Premier élément clé d’une évaluation : poser les bonnes questions et obtenir des réponses utiles ! Dans une grande organisation, il est complexe d’évaluer finement le niveau de conformité aux règles de sécurité. L’utilisation d’une simple notation, sur une échelle classique de maturité – de 1 à 4 par exemple – atteint rapidement sa limite. Ce que nous avons choisi de faire et qui a fait ses preuves sur le terrain, c’est de répondre aux questions en exprimant un pourcentage de périmètre couvert. Par exemple,  il est possible d’avoir 80% des postes de travail avec un anti-virus simple et 20% avec un outillage moderne type EDR. La même approche est réplicable sur les questions plus organisationnelles, 50% des utilisateurs sensibilisés par l’envoi d’emails, 30% par le suivi d’un webinar et 20% par des séances en présentiel.

Dans l’inconscient collectif, cette phase d’interrogations paraît souvent longue et très consommatrice d’énergie. Elle peut en effet l’être si l’on souhaite un fort niveau de détail, la collecte de preuves ou des vérifications techniques : cela peut être utile lorsque l’organisation a déjà un fort niveau de maturité. Mais au début d’une démarche, une approche plus simple et efficace, typiquement sur une période courte d’un mois avec une charge d’une vingtaine de jours peut être suffisante pour se donner une vision concrète de la situation et suffisamment d’arguments pour obtenir des décisions et lancer le changement.

Durant la phase de préparation, il sera également important d’identifier en amont les attentes du comité exécutif. Echanger avec les membres les plus concernés autour de leurs attentes, recueillir leur avis sur la bonne manière d’aborder le sujet et les priorités de l’organisation sera essentiel pour garantir la pertinence des phases de questionnement et de restitution. Rien de pire que de faire un hors sujet le jour de la restitution !

… Et partager la réalité de la situation

Après la phase de collecte, viendra ensuite l’heure de l’analyse des résultats. Notre retour d’expérience montre qu’il est efficace de combiner plusieurs vues pour donner du sens et obtenir de l’engagement. Les classiques rosaces de conformité à l’ISO ou au NIST sont évidemment des incontournables mais s’avèrent souvent peu efficaces : trop d’axes, trop d’éléments mélangés qui donnent finalement toujours des notes moyennes.

Comme évoqué dans le billet précédent, deux indicateurs feront mouche au début de l’échange : le budget dédié à la cybersécurité et les effectifs mobilisés sur la cybersécurité. L’indicateur de budget est toujours délicat à manipuler (forte variation annuelle et méthode de comptabilisation non homogène), nous préférons souvent utiliser celui des effectifs plus stables et plus fiables). Ensuite, il est selon nous efficace de dérouler l’analyse sur 3 axes :

• Le 1^er, c’est la résistance de l’organisation aux dernières attaques connues. Elément clairement le plus efficace en debriefing avec le comité exécutif, il permet aussi d’attirer l’attention au début de la restitution. Pour réaliser cette vue, nous utilisons les retours opérationnels du CERT-W pour savoir quelles sont les dernières méthodes d’attaques des cybercriminels et nous réalisons une analyse des mesures qui sont concernées.
• Le 2^ème, c’est la posture face au marché, en croisant le niveau de conformité par rapport aux référentiels internationaux (type : « je vise 75% de conformité à l’ISO ») avec l’écart à la moyenne du marché pour l’organisation concernée (« sur la sécurité du poste de travail, je suis 3 points en dessous du marché. Sur la sécurité physique, je suis 2 points au-dessus »). Croiser ces deux axes permet d’identifier les zones prioritaires (celles où vous êtes en dessous des standards internationaux mais aussi en dessous du marché) de celles où il ne faut pas s’acharner (tout le marché est en dessous des référentiels internationaux, mais vous êtes au-dessus de la moyenne du marché).
• Le 3^ème, c’est une vue orientée « acteurs » de la transformation, organisée par les grandes entités qui seront en charge de la transformation (par exemple : au sein de la DSI, le réseau, les postes de travail, les serveurs, au sein de la direction des risques…). Cette vue est très utile pour conclure l’échange car elle met dans l’action et permet de montrer qui va devoir le plus s’investir.

Bien sûr, ces différentes vues peuvent être segmentées en fonction des pays ou des grandes unités organisationnelles pour refléter d’éventuelles disparités ou attentes de la direction.

Dans cette phase de restitution, notre retour d’expérience montre que les comités exécutifs sont de plus en plus sensibles aux sujets liés à la cybersécurité et vont poser des questions très précises et concrètes. Il faut donc s’armer de preuves et d’éléments factuels concernant l’organisation. Avoir à disposition des résultats d’audits récents, de chiffres concrets sur la durée requise pour réussir une intrusion voire même des vidéos de démonstration d’attaques peut faire basculer un comité exécutif qui prendra conscience du risque.

Entamer dès maintenant l’étape 3: la transformation de l’organisation

Décrire la situation, les difficultés et les axes de progression ne doit pas être une fin en soi. Il faut préparer des premiers arguments sur la conduite du changement. Qui doit porter la transformation ? Quelles sont les volumes financiers à prévoir ? Quel planning envisager ? Quel reporting effectuer ? Et surtout quel sponsor dans le comité exécutif pour suivre ce sujet ! Sans être une partie formelle de la restitution, amener ces éléments à la fin de l’échange permet de préparer l’étape suivante et de collecter des premières orientations.

Ces questions sont évidemment très dépendantes de l’organisation mais nous voyons des tendances se dessiner. Aujourd’hui, c’est majoritairement le RSSI au sein de la DSI qui porte la transformation, souvent épaulé par un directeur de programme expérimenté connaissant bien la structure. Concernant les budgets, pour des programmes de remédiation majeurs, les sommes oscillent dans le secteur financier entre 200 et 800 millions d’euros, et dans l’industrie entre 50 et 100 millions. Ces sommes sont engagées usuellement sur des programmes de 2 ou 3 ans et sont suivies par le comité exécutif à l’échelle trimestrielle au lancement puis un rythme semestriel peut être pérenniser.

Pour conclure la session, le plus important reste de définir la prochaine étape. Même si toutes ces restitutions n’amènent pas le lancement de programme d’investissement immédiatement, il peut être utile d’évoquer que la revue des risques prend en compte ces résultats ou proposer la réalisation d’un benchmark à nouveau l’année suivante.

Cet article Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions est apparu en premier sur RiskInsight.

L’atelier EUS & Security Stories : Qui, quand, où ?

Tout d’abord, nous ne pouvons que vous conseiller d’impliquer dans cet atelier les habituels acteurs des cérémonies agiles :

• Le Product Owner (PO) en sa qualité de représentant des besoins métiers
• Le Coach Agile en sa qualité de garant du respect de la méthode
• Les référents techniques du projet (architecte, développeurs, testeurs…)

Pour apporter un œil cybersécurité, il est important de compter sur la présence du Security Champion de l’équipe projet. Si aucun n’est disponible, un membre de l’équipe du RSSI peut le remplacer et aura « l’état d’esprit » Cybersécurité pour vous aiguiller et mener l’atelier à bien.

Ensuite, on se demande souvent à quel moment ces ateliers doivent être conduits… Pour tout vous avouer, il n’y a pas de règle à ce sujet, car cela dépendra des exigences sécurité de chaque release ! Toutefois, notre premier conseil à ce sujet est de synchroniser leur fréquence avec celle de revue du backlog produit. Ainsi, il vous suffit de prolonger les ateliers où vous travaillez sur les User Stories d’environ 50% pour vous consacrer à cette étude sécurité avec déjà tous les bons acteurs présents et mobilisés.

Enfin, où réaliser l’atelier ? Idéalement dans la continuité de votre atelier précédent, dans une salle avec un tableau ou un projecteur permettant de partager un écran et la possibilité d’annoter les schémas assez facilement (post-its, feutres pour tableau blanc…). Néanmoins, il est également tout à fait envisageable de le faire en ligne ! Chez Wavestone, nous utilisons régulièrement des solutions comme Mural ou Stormboard à cet usage. Faites-vous la main sur une solution de ce genre et vous verrez si c’est jouable !

Déroulement de l’atelier

Tout d’abord, il est souvent nécessaire que le Security Champion mène la barque dans les premiers ateliers. Mais l’idée est de se coordonner avec le Coach Agile et travailler de concert pour que les référents techniques puissent petit à petit prendre en main la méthodologie et se l’approprier.

Quand nous formons nos clients sur le sujet, nous prenons souvent un cas d’usage, fictif mais concret et réaliste ! WaveCare est une application médicale avec de nombreuses fonctionnalités innovantes telles que :

• Consultation des disponibilités de praticiens près de chez vous
• Transmission en temps réel de vos données de santé grâce à votre montre connectée
• Réalisation de consultations à distance en Visio (conférence Skype)
• Réception de l’ordonnance après le RDV en format dématérialisé

Pour cette démonstration, intéressons-nous à deux composants en particulier : le schéma descriptif de la fonctionnalité permettant à un patient de rechercher et réserver un créneau dans l’agenda de son médecin et le schéma d’architecture générale.

–

Etape 1 : Construire les scénarios de risque

Les premières questions à se poser sont « Où-suis-je vulnérable ? », « Comment et par où peut-on m’attaquer ? ». Le référent sécurité (Security Champion) et les développeurs vont devoir essayer de répondre à ces questions ! Ici, c’est donc un mélange de connaissances en sécurité applicative et en développement qui va permettre d’identifier les vulnérabilités exploitables. Nous pouvons déjà noter un aspect intéressant de l’approche : elle fonctionne aussi bien sur l’aspect infrastructure qu’applicatif !

Un conseil que nous pouvons déjà vous donner : encouragez les développeurs à s’approprier l’approche et à être force de proposition, c’est un excellent levier pour les sensibiliser à la sécurité ! Pour le référent sécurité, son rôle doit majoritairement être de modérer l’échange et challenger les propositions des développeurs. Cette posture peut en plus vous permettre d’identifier des potentiels Security Champions, ne lésinez pas à la conserver !

Appliquons donc ce que nous venons de nous dire à notre exemple, dans les figures ci-dessous.

–

Et voilà, on peut finalement identifier assez rapidement quelques points d’attention ! Si nous voulons détailler le scénario « Injection de code » du schéma d’architecture globale, nous pouvons par exemple le reformuler comme cela : « En tant qu’attaquant, je veux injecter du code malveillant dans les champs de saisie non sécurisés de l’application ». Vous voyez, cette terminaison est très proche de celle d’une User Story classique, mais l’angle est bien celui de l’attaquant !

Etape 2 : Evaluer les impacts métiers des scénarios

La seconde phase va être clef pour s’assurer d’utiliser l’énergie de l’équipe au bon endroit. C’est à ce moment que le Product Owner entre en jeu ! Avec le Security Champion, il va mener les débats pour qualifier l’impact que peut avoir chaque vulnérabilité.

Pourquoi le PO est-il décisif sur cette étape ? Toute simplement car c’est lui qui connaît le mieux à la fois la réalité métier du projet et l’importance de chaque fonctionnalité. Il s’agira de bien l’orienter, avec des questions comme « Est-ce grave si les données envoyées à ce moment par le patient sont volées ? », « Quelle est la gravité du vol du compte de l’utilisateur ? », etc.

Ensuite, il vous faudra donner une note pour prioriser chaque scénario. Deux choix s’offrent alors à vous. Le premier est d’utiliser une vue risque cyber classique, avec un niveau de probabilité et d’impact. Personnellement, je vous recommande plutôt d’utiliser un système de point ou la suite de Fibonacci, comme pour une US classique, c’est franchement plus simple et instinctif !

Etape 3 : Définir et prioriser les Security Stories

La prochaine étape consistera à construire des Security Stories basées sur chacun des scénarios.

Au tour du Security Champion et des développeurs de remonter sur scène ! Pour continuer sur l’exemple précédent, voici une Security Story que nous pouvons rédiger : « En tant que développeur, je veux m’assurer que les attaques par injection de code sont évitées ». Concrètement, elle nous fera ajouter au backlog du produit des actions comme l’échappement des caractères spéciaux, le filtrage des entrées utilisateurs ou encore l’usage de l’attribut HttpOnly pour éviter le vol des cookies de session.

Evidemment, pour chacune des Security Stories, il peut s’avérer que les mesures de sécurité à mettre en œuvre le sont déjà. Dans le cas contraire, le Security Champion se charge de prioriser les mesures de sécurité techniques, au regard de la couverture des risques induits, à l’échelle de l’entreprise et pas uniquement du métier. Pour les mesures de sécurité n’étant pas uniquement techniques, c’est au Product Owner de les prioriser, au regard des risques business et des moyens de l’équipe.

Et voilà, vous pouvez maintenant démarrer votre sprint plus sereinement !

Et pour vous aider, préparez et adaptez le matériel à votre contexte !

Pour rendre les ateliers plus simples et ludiques, nous avons conçus un jeu de cartes génériques, constitué de cartes ayant chacune deux faces :

• Recto : les Evil User Stories, elles décrivent de façon très pédagogique ce qui peut mal se passer, en utilisant quelles vulnérabilités (ex : élévation de privilèges sur un serveur Web, attaque par force brute, XSS, …)
• Verso : les Security Stories décrivent les mesures de sécurité à implémenter pour s’assurer que l’Evil User Story ne se produit pas (ex : utilisation d’un algorithme de chiffrement robuste AES 256/512, …).

Ces cartes sont vraiment utiles pour vous lancer ! Pour de meilleurs résultats, vous pouvez même choisir de les adapter à votre contexte d’entreprise. Utilisez vos politiques de sécurité et intégrez vos exigences sur le chiffrement, la complexité des mots de passe, etc. Suivant les besoins de sécurité du projet, vous pouvez aussi calquer de exigences liées à des certifications (HDS) ou des directives (LPM, NIS).

Retrouvez le jeu de carte disponible gratuitement ici (et en anglais ici)et n’hésitez pas nous faire vos retours pour que nous continuions à l’améliorer !

Également, un atelier qui se déroule avec fluidité est toujours plus productif ! N’oubliez pas de préparer les supports en amont : schémas d’architecture du projet (flux et classification des données), listing et détail des prochaines User Stories à développer…

Cet article Comment conduire un atelier Cybersécurité agile ? est apparu en premier sur RiskInsight.

À l’heure de la 3^ème révolution industrielle, les entreprises doivent se transformer pour s’adapter au monde actuel. Pour y arriver, cette génération Z est un véritable catalyseur, un accélérateur de cette transformation mais cela suppose de bien connaitre ses codes et de se préparer à les accueillir dans les entreprises pour tirer le meilleur parti de cette nouvelle collaboration.

La génération Z et ses codes

L’entreprise de demain sera digitale, ouverte sur son écosystème et adaptable aux cycles d’innovation qui s’accélèrent. Dans notre univers ultra connecté, les digital natives de la génération Z seraient les mieux armés. Totalement rompus au numérique et à ses pratiques collaboratives, ils en seront même le principal catalyseur.

Quelles sont les caractéristiques de cette communauté sur laquelle les dirigeants doivent s’appuyer pour innover et construire l’entreprise de demain ?

La connaissance de ces caractéristiques doit nous aider à mieux intégrer ces jeunes générations dans nos organisations. Si elles ne cherchent plus un ‘métier à vie’, elles ont le sens de la communauté. Un grand groupe qui propose plusieurs métiers pourra coupler ces 2 caractéristiques et pour y arriver, la DRH a un rôle important à jouer.

Comment intégrer les codes des jeunes générations dans votre organisation ?

Pour Emmanuelle Duez, il est extrêmement important pour les dirigeants de réfléchir aux grandes tendances qui vont affecter leur entreprise et d’anticiper la transformation car « L’agile mange l’inerte ! ». « Le monde hiérarchique et pyramidal est en train de disparaître, aujourd’hui l’homo numericus n’a jamais été aussi puissant, et c’est probablement ce qui impacte de plein fouet les entreprises quand, à la force d’un clavier et d’un blog on peut faire tomber un gouvernement ! », explique-t-elle. La démarche de changement est donc radicale et les entreprises qui ne sauront pas se transformer à temps sont amenées à disparaître.

Quelle organisation mettre en place pour s’adapter aux nouvelles générations ? Selon Emmanuelle Duez, « l’entreprise doit devenir d’avantage flat, c’est-à-dire des structures qui ont moins de niveaux hiérarchiques », et elle doit « devenir ouverte, poreuse, agile, transversale ». Les trajectoires verticales d’évolution dans les entreprises, linéaires, seront de plus en plus rares, les jeunes talents souhaitent être des ‘intrapreneurs’ dans l’entreprise. Cela signifie de « créer des poches de liberté en dehors des silos, en dehors des processus, pour permettre aux jeunes collaborateurs de développer depuis une idée, un pilote, un véritable business parce que c’est porteur de sens et parce que c’est en phase avec les sujets d’interconnexion, de transversalité, de réactivité ».En témoigne la multitude de start-ups créées par des digital natives et régies par des règles et des philosophies assez inédites : leadership tournant, organisation à trois niveaux hiérarchiques maximum, collaboration avec la concurrence. Les grandes entreprises feraient bien de s’en inspirer si elles ne veulent pas voir les talents fuir vers ces nouveaux champions plus agiles. Aux DRH également de se préparer et de préparer ses managers à un changement de leadership. Autant de clés qui feront l’objet d’un prochain article.

Cet article Comment la « génération Z » va aider à transformer l’organisation du travail est apparu en premier sur RiskInsight.

Tout nouveau prestataire, même de bonne foi, risque de ne pas tirer tout le potentiel que lui offre une phase de réversibilité. Pire, les équipes entrantes peuvent perdre progressivement la motivation des débuts en essuyant les plâtres d’une situation transitoire pesant généralement sur la qualité de service et la satisfaction client. Comme nous l’avons vu, il est essentiel que DSI et fournisseurs partagent un cap clair et un plan de transformation maîtrisé et suivi.

Voici quelques recommandations pour suivre et piloter avec rigueur les différentes phases de réversibilité et ainsi s’assurer de la bonne exploitation par chacune des parties de cette opportunité.

Considérez la réversibilité comme un projet : gouvernance, indicateurs et objectifs clairs

Les prestataires s’entendent généralement sur un point pour limiter leurs coûts respectifs : la réversibilité doit se jouer rapidement. Aussi les deux entités auront tendance à naturellement minimiser les risques qu’ils perçoivent. Pour le reste il est parfois périlleux de réussir à faire travailler les deux potentiels concurrents ensemble.

Face à ce phénomène, il est indispensable de cadrer une gouvernance précise :

• des comités de suivi et de pilotage tripartites tenus à fréquence régulière ;
• un chef de projet client et des référents de transition pour chaque partie prenante
  ceux-ci-devront être assistés, pour chaque domaine ou service d’un coordinateur expressément nommé et responsable de transmettre les informations et suivre le bon avancement ;
• des indicateurs de mesure de la réversibilité basés sur des éléments concrets – ne vous reposez pas uniquement sur les retours des parties prenantes pour juger du bon déroulement de la transition ;
• une méthodologie et des outils de transition partagés avec les parties prenantes pour régler l’ensemble des cas de figure et assurer les transferts de responsabilité en minimisant l’impact sur les services ;
• ainsi que des objectifs mesurables à atteindre par paliers (critères de bascule).

Il est important ici de noter qu’un chef de projet externe pourra plus facilement endosser un rôle d’arbitre ou de facilitateur entre les parties, piloter la bonne livraison des différents documents et en contrôler la qualité avec un regard extérieur.

Autre clé de réussite : le management devra se montrer assidu dans le suivi de la transition afin de souligner l’importance et le risque d’un tel projet. Un reporting régulier et complet doit être fait par les parties prenantes afin d’assurer l’engagement et la responsabilisation de chacun.

Exigez des garanties et plus de transparence aux prestataires

Les acteurs sont encore peu enclins à accorder un impact financier au respect des objectifs de la réversibilité. La tolérance est généralement de rigueur vis-à-vis du repreneur et appliquer des pénalités dès l’initialisation n’est pas de bon augure pour le maintien de bonnes relations. Il est donc primordial d’obtenir a minima la plus grande transparence sur les coûts de la transition.

Obtenir un niveau de granularité des coûts par livrable ou par activité permet plus facilement de les comprendre et les discuter voire de les revoir à la baisse si les résultats ne sont pas probants. Échelonner le versement d’un pourcentage du montant de la réversibilité dans le temps et ne l’activer que si les objectifs sont atteints peut-être un levier de performance très efficace.

Le prestataire sortant doit également avoir intérêt à rester investi pendant la durée de la réversibilité. En mettant en place un plan B en cas de prolongation de la phase du fait du repreneur, vous laisserez la possibilité au prestataire sortant de jouer les prolongations. Il tirera donc avantage à être franc en cas de risque sur la qualité de service.

Préparez vos équipes et vos donneurs d’ordres

La transparence est l’affaire de tous. Qu’il s’agisse d’un « simple » changement de prestataire ou d’une plus importante transformation, une réversibilité doit être accompagnée d’une communication claire auprès du Métier : quels sont les objectifs de la démarche ? Quels sont les gains de niveaux de services espérés ? Autant de points qui doivent être partagés lors des préparations d’appels d’offres afin de valider avec les clients les potentiels impacts directs ou indirects (plages horaires, langue de travail, méthodologies, etc.).

De la même manière, cette étude d’impact anticipée, doit permettre de préparer les ressources internes au changement : séparation des activités, sensibilisation au pilotage de fournisseurs, apprentissage de méthodologies et référentiels de bonnes pratiques, impacts d’externalisations et de délocalisations hors site, formations interculturelles en cas de délocalisation en offshore.

La préparation de tous les acteurs, la fixation d’objectifs mesurables et leur pilotage à l’aide d’une gouvernance adaptée sont donc essentiels pour ne pas avoir à subir la réversibilité, mais bien tirer profit de ce service souvent coûteux. De surcroît, exigences de transparence et efficacité des indicateurs sont également à anticiper pour un meilleur pilotage des services en mode nominal.

Cet article Tirer profit d’une phase de réversibilité et d’initialisation : une question d’engagement et de transparence est apparu en premier sur RiskInsight.

Les clients ont alors à faire face à une nécessaire réflexion sur l’ordonnancement des travaux à mener. Même si souvent la réversibilité, transfert de flambeau entre le prestataire sortant et le fournisseur entrant, est à conjuguer avec l’étape d’initialisation du nouveau service et les transformations qui s’en suivent, il est clairement nécessaire de distinguer les deux projets qui ont des objectifs bien différents.

Le changement de prestataire est généralement une bonne occasion de remettre à plat les pratiques afin d’optimiser les processus, les outils ou encore l’organisation des équipes. Bien que louable, cette ambition doit être couplée d’une vraie réflexion sur les objectifs et la cible. En effet, le repreneur pourra difficilement gérer à la fois sa montée en compétence et la transformation des pratiques à mener. Deux options se présentent naturellement.

Profiter du changement d’acteur pour transformer les pratiques ?

Il peut s’avérer pratique d’opter pour la première option afin de cumuler les bénéfices et gagner du temps. Mais cette voie crée de la complexité pour le repreneur qui ne peut pas prendre le fournisseur sortant et ses processus comme référentiel. Parmi la foultitude de données à retenir lors de la réversibilité, le repreneur devra réussir à distinguer la cible de la situation actuelle, mais aussi les contraintes fortes des simples habitudes. Il déduira plus difficilement sa marge d’adaptation et d’optimisation et son « nouveau regard » sera difficilement mis à contribution dans l’élaboration de la cible.

En tout état de cause, une réflexion sur la cible, menée avant tout processus d’appel d’offres, permet d’éviter les incompréhensions du prestataire. L’entrant ne doit pas se contenter de répliquer le scope du sortant et son fonctionnement alors que le contrat permettrait de couvrir un spectre plus large.

Cette approche nécessite donc d’avoir une idée précise de la situation existante ainsi que de l’organisation et des processus en cible. Ceux-ci doivent être décrits précisément dans l’appel d’offres pour permettre au prestataire d’identifier les objectifs et les enjeux mais aussi la marche à franchir. Cette approche implique donc que la DSI entreprenne une réflexion en amont sur les objectifs de la transformation.

Choisir de transformer les pratiques en même temps que de fournisseur nécessite une phase de probation plus longue pour assurer plus longtemps la présence des ressources sortantes. Il faut en effet à la fois valider pendant cette phase les acquis du repreneur et le nouveau modèle de delivery, le nouveau processus ou encore le nouvel outil. Les équipes risquent de subir la coexistence de l’ancien mode de fonctionnement avec la cible encore en rodage afin de permettre des « retours arrières » pour assurer le service.

Attendre que le repreneur s’installe pour se lancer dans un chantier d’optimisation ?

La seconde option semble plus sécurisante car elle permet de chercher en priorité à maintenir le niveau de service actuel en ne bouleversant pas les pratiques. Elle permet également de laisser au fournisseur entrant un temps de réflexion et d’analyse pour apporter des améliorations tout au long de la durée du contrat.

Le client aura cependant l’impression de moins maîtriser son destin en laissant le soin au repreneur d’être force de proposition. Le risque d’inertie existe également si prestataires « sortants » et « entrants » sont des entreprises ayant un ADN similaire au même mode de fonctionnement. Cette alternative implique également une phase d’initialisation plus importante pour le fournisseur et donc des coûts supplémentaires à prévoir.

Ces obstacles potentiels sont néanmoins surmontables dès lors que la transformation fait partie des engagements contractuels des deux parties :

• La mise en place d’une évolution progressive du delivery model, le conditionnement de gains de productivité à l’optimisation de certaines pratiques, ou la mise en place d’indicateurs de suivi de la proactivité des centres de services permettent de faire progresser la relation dans le temps.
• Le conditionnement de l’activation des jalons de transformation à la production de certaines garanties de bon fonctionnement (plans de délocalisation, atteinte de niveaux de services, etc.)
• Une relation de partenariat fondée sur le partage des investissements et des gains obtenus de la démarche d’amélioration continue peut être très incitative.

Libérez la créativité des prestataires

Quelle que soit l’approche choisie, il est souhaitable de ne pas imposer un cadre trop rigide pour laisser aux fournisseurs la possibilité de proposer des modes de fonctionnement au regard de leurs expériences avec d’autres clients. Certains acteurs seront d’ailleurs bien plus à l’aise avec la possibilité d’utiliser leurs propres outils, d’implémenter leur processus ou de mettre en place une organisation leur permettant de mutualiser des compétences et gagner en efficacité. Imposer un mode de fonctionnement à un prestataire peut être en réalité contre-productif.

Il est par conséquent essentiel de considérer le  changement de fournisseur comme une bonne fenêtre de tir pour revoir ses pratiques et se transformer. Le challenge est donc de mesurer le bon niveau de contrainte, décrire uniquement les contours des services attendus ainsi que les obligations immuables afin d’initier d’emblée une relation équilibrée. Il faut également anticiper et doser le changement interne pour maximiser la performance des centres de services. Qu’elles soient simultanées ou concomitantes, les clés de la réussite d’un couple transition / transformation sont l’anticipation des objectifs et la maîtrise du planning. Leviers clés qui feront l’objet de notre 3^ème et dernier article.

Cet article La réversibilité, une fenêtre de tir idéale pour réaliser des transformations ? est apparu en premier sur RiskInsight.

À quoi servent alors les phases de réversibilité ? Formations du repreneur, vérification de son aptitude à réaliser les services, transferts de connaissances, transformations des pratiques, initialisation des nouveaux services ? Bien souvent elles se résument à un passage de relais ou une simple transmission d’actifs.

Il est aujourd’hui clair que les réversibilités ne sont utiles que lorsque l’on se donne les moyens d’exploiter leur potentiel et donc de bien les préparer. Pour gagner en efficacité il semble judicieux de prévoir d’appliquer certaines bonnes pratiques et de demander de vraies garanties aux fournisseurs de services. Voici en une série de 3 articles quelques conseils pratiques pour mener à bien votre réversibilité.

Définir une stratégie de sortie avant même de s’engager

La réversibilité désigne les engagements pris par un prestataire pour assurer la transmission des informations nécessaires à la reprise des services ou à leur transmission à un tiers ainsi que le transfert des actifs qui ont été confiés au prestataire ou qui ont été produits pour le compte du client.

Préparer une réversibilité c’est aussi assurer le caractère réversible de la position du fournisseur tout au long du contrat. Celui-ci doit garantir la transférabilité des prestations qu’il propose en mettant en place, autant que faire se peut, des solutions aux standards du marché et en garantissant l’interopérabilité des données traités. Ces points doivent donc être discutés et contractualisés avant toute prise d’engagement.

Moins fréquemment abordés en phase de contractualisation, les modalités pratiques de la phase de réversibilité ne sont pas moins importantes : Qui est responsable de la formation du repreneur ? Qui est responsable du bon déroulement du projet ? Quels sont les critères de bascule en phase nominale ? Quels sont les critères justifiant d’une sortie anticipée du contrat ou impliquant le passage à la table des négociations ?

Réversibilité : des  premiers mois décisifs

En conséquence, même si les conditions générales de réversibilité ont été impérativement posées dans l’appel d’offres et le contrat, une première version du plan de réversibilité doit impérativement être entérinée au début de phase nominale.

Ce principe s’explique principalement par la nécessité d’assurer la qualité du plan et les modalités de transfert avant que le prestataire ne soit certain de sa non-reconduction. Bien que d’un point de vue juridique il sera tenu d’assurer le transfert de flambeau, un fournisseur « sortant » sera moins enclin à accepter les désidératas du repreneur ou du client concernant l’organisation détaillée de la phase de réversibilité.

Outre ces considérations commerciales, valider une première version d’un plan de réversibilité dès la transition permet d’initier une dynamique d’amélioration continue du document et un plan d’actions concret à dérouler dans le temps.

Une préparation dans la durée nécessaire pour une transition sans risques

Les efforts fournis par les prestataires entrants en phase d’initialisation et la motivation des premiers travaux sont l’occasion d’établir :

• une liste des sujets à adresser dans le temps pour améliorer les conditions de réversibilité des prestations ;
• un état des lieux précis des inventaires d’actifs matériels et immatériels ;
• une étude sur la complétude et la mise à jour des référentiels documentaires.

Cependant, cette démarche n’est possible que si le prestataire s’engage à mobiliser ses acteurs dans la durée pour réaliser des mises à jour biannuelles du plan d’assurance qualité et plan de réversibilité.

Se fixer pour objectif de sécuriser la réversibilité dès les premiers jours de la prestation ne remet pas en question la relation de partenariat naissante entre deux acteurs économiques. C’est au contraire un moyen de sécuriser la relation dans la durée en adressant certains principes essentiels au quotidien comme la formation continue des équipes et le maintien des compétences.

Pour les mêmes raisons il est conseillé de maintenir la pression sur les activités gestion de configuration tout au long du contrat : maintien d’une documentation et de bases de données à jour, mise au clair de la gestion des licences si nécessaire, élaboration au fil de l’eau de supports de formations et d’un plan d’assurance qualité décrivant les processus applicables, etc. Les efforts fournis par les prestataires entrants et les clients permettent d’améliorer la prestation rendue, sa documentation et, par ricochet, ils facilitent le transfert de responsabilité.

En tout état de cause, les conditions de réversibilité des prestataires sortants doivent être maîtrisées et les contraintes connues avant la décision de lancer un nouvel appel d’offres, le choix de lancer un nouveau prestataire ou de mettre en place une nouvelle technologie. Pour cela il est vivement conseillé de faire jouer les clauses d’audit pour vérifier les bonnes conditions de réversibilité avant de lancer un appel d’offres. La mise en place d’un plan d’actions suite à un audit sera l’occasion pour le prestataire de se mettre à niveau et de prouver sa motivation pour voir son contrat renouvelé de gré à gré.

Cet article Plan de réversibilité : comment se préparer à changer de fournisseur ? est apparu en premier sur RiskInsight.

Le coeur de la réflexion doit porter sur la redéfinition de la valeur ajoutée du point de vente et des vendeurs par rapport au digital. Les questions suivantes doivent être abordées : quelle offre de services additionnels ? Quelle décision par rapport à une posture once and done ? Quelle complémentarité des valeurs ajoutées physique / digital ? Quel niveau d’expertise attendu par les vendeurs ? La valorisation positive de l’évolution du métier et des postures des collaborateurs n’est pas une conséquence mais bien un élément central de la trajectoire.

2 – Une trajectoire claire présentant une symétrie d’attention et des victoires rapides

Il est fondamental de construire une trajectoire de transformation avec des paliers rythmés et concrets. À chaque étape de la trajectoire, que verra le client ? Comment son expérience sera-t-elle impactée ? Et pour le vendeur-conseiller, quels en seront les bénéfices ? Cette trajectoire doit être un outil de communication et de planification. La constitution de la trajectoire et la programmation des chantiers doivent démontrer que la même attention est donnée aux travaux orientés clients et à ceux qui visent les collaborateurs. Cette trajectoire doit également faire apparaître des réalisations très concrètes (même limitées) dès les premiers mois du programme. Il faut éviter l’effet tunnel où les premières réalisations tangibles arrivent seulement après des mois de développement. Ces victoires peuvent être de toute nature : nouveau process, évolution d’un service, signalétique…

3 – Une attention particulière portée au management de proximité

Toutes les transformations de réseaux de distribution que nous avons analysées démontrent que le management de proximité est le maillon le plus lourdement impacté dans la transformation : il doit, en plus d’intégrer les nouvelles postures de vente, accompagner ses équipes dans leur montée en compétences et leur assimilation d’une nouvelle évaluation de la performance. Ces populations manquent souvent de repères sur ce dernier point. Une attention très particulière doit leur être apportée. La formation n’est pas suffisante ; il faut multiplier les dispositifs alternatifs : tutorat, coaching, échanges de bonnes pratiques…

4 – La mise en scène du phygital

La conception des points de vente doit mettre en scène la complémentarité physique / digital et organiser les rebonds et interactions entre les deux mondes. Cette fluidité des échanges entre les deux mondes peut prendre des formes très différentes : outils du vendeur permettant d’accéder aux mêmes interfaces que voit le client sur le web, bornes en libre-service permettant de finaliser sur internet un achat commencé dans le point de vente…

5 – L’expérimentation ou les vertus du test and learn

Le digital est l’univers du test and learn. En matière d’impact du digital dans les points de vente, cet impératif est décuplé par la nécessité de trouver les bonnes postures vis-à-vis des clients. Les programmes de transformation réussis intègrent donc de multiples dispositifs agiles et « apprenants » : co-construction des nouvelles postures avec des conseillers pilotes, enquête client sur site, point de vente pilote, corner expérimental…

6 – Une urbanisation multicanal en prérequis

L’évolution des outils de vente dans le cadre d’un programme de transformation nécessitera une architecture du SI urbanisée pour gérer de manière fluide et performante le multicanal. C’est un prérequis aux évolutions d’outils pour accueillir les nouveaux process ou services.

7 – Des investissements significatifs sur le CRM

La planification des travaux et des budgets sur les outils doit impérativement inclure une montée en puissance forte des chantiers liés au CRM : captation de l’activité du client dans le point de vente, personnalisation des actions marketing dans et en dehors du point de vente pour maximiser les rebonds entre canaux…

Cet article Réseaux physiques de vente à l’ère du digital : 7 règles d’or pour une transformation réussie est apparu en premier sur RiskInsight.

Ecouter les forces de vente et expliquer la démarche

Conduire le changement (plus que l’accompagner) nécessite davantage qu’un plan de communication et de formation. Avec la transformation des réseaux de vente, les impacts sur les métiers de la vente sont nombreux : nouveaux espaces bien sûr, mais aussi nouveaux équipements donc nouveaux gestes métiers, nouvelles missions, nouvelles postures…

Dans le cadre de la transformation de la vente Voyages SNCF, on pense d’abord aux impacts métiers des vendeurs et managers de boutiques mais les acteurs de la relation client à distance sont également impactés. Ils passent de deux métiers différents (ligne directe pour le téléphone en front office et service clientèle pour les réclamations par courrier ou email) à un métier unifié de relation client à distance multimédia, front et back.

Cette attention portée aux populations se concrétise dans des dispositifs qui vont au-delà d’une communication classique sur un projet, trop souvent descendante et monocanal :

Des dispositifs d’écoute remontante qui permettent de faire remonter les signaux faibles, les peurs, les freins, les « on-dit » (en prenant bien soin de ne pas les mettre en concurrence vis-à-vis de la relation avec les organisations et les instances représentatives du personnel).

Des dispositifs d’échange et de partage qui favorisent les questions / réponses : c’est par le questionnement que les populations passent de la connaissance du projet à sa compréhension puis à l’adhésion. Il peut s’agir de réunions de présentation en petits comités, de réseaux sociaux d’entreprise, etc.

Des temps de prise de recul et de réflexion : par exemple par la présentation de benchmarks, mais aussi par des témoignages d’autres entreprises confrontées à des enjeux similaires.

Cet investissement en temps et en ressources est nécessaire pour partager la nécessité de changer avec les populations impactées et donner la vision de la cible à atteindre et de la trajectoires employée (c’est ce qui donne du sens au changement).

Définir et annoncer rapidement la tactique de mise en place contribue à donner confiance dans le succès avec des points de repère concrets et visibles.

Ces points de repère peuvent se traduire par une trajectoire des bénéfices, démontrant la symétrie des attentions pour l’externe (les clients) bien sûr, mais également pour l’interne (les agents). Il s’agit de communiquer la vision mais également de véhiculer une logique « gagnant-gagnant » en interne, qui permet de mobiliser toute l’entreprise.

En ce qui concerne la digitalisation du point de vente, on mettra l’accent sur l’optimisation du flux en magasin, l’autonomisation du client, l’enrichissement de l’expérience client et la valorisation du rôle du vendeur.

S’appuyer sur les managers et les accompagner

Pour une performance durable, définir une organisation cible ne suffit pas. Il est également nécessaire d’agir sur les capacités managériales :

• Focaliser le management sur les priorités stratégiques : objectifs, cibles clients, offres clés…
• Définir les points clés du pilotage de la performance à la cible : alignement des objectifs et des indicateurs de performance aux options de stratégie prises ; alignement des dispositifs de pilotage et d’amélioration continue…
• Réinterroger les principes et pratiques de management : les responsabilités majeures, les instances de management, la prise de décision, la coordination transverse.
• In fine, développer l’agilité managériale pour s’ajuster en permanence aux évolutions de l’environnement.

Les équipes managériales sont les premiers ambassadeurs du projet et les relais indispensables auprès des équipes : leurs discours et leurs actes sont déterminants pour engager les équipes à changer. Et la ligne managériale n’est pas toujours la dernière à freiner !

Concrètement, il faut donner aux managers les moyens adéquats, en tenant compte de leur manque de temps global :

• Donner systématiquement une longueur d’avance au management afin qu’il puisse anticiper les étapes clés.
• Outiller les managers pour en faire de véritables chefs de projets sur le terrain.
• Offrir des marges de manoeuvre : donner de la latitude dans l’application, autour d’invariants bien définis. Faire réaliser les actions de communication, de mobilisation et de formation dans le cadre des occasions déjà prévues par le management : réunions d’équipes, séminaires, visites.

Le changement débute… avec le projet !

La composition des groupes de réflexion ou de décision (chef de projet, comité projet, comité de pilotage), les instances de gouvernance du projet sont déjà l’occasion d’impliquer, mobiliser, co-construire la démarche.

Les mots ont un impact direct sur le changement des mentalités : renommer une direction, par exemple, est un signe important.

Le lancement des premières expérimentations est une autre étape clé. Ainsi les sites pilotes doivent-il être pilotes sur l’ensemble des dimensions d’un projet (nouveaux services, nouvelles postures, nouveaux modes de pilotage), pas uniquement sur les nouveaux aménagements de l’espace de vente ! Pour montrer la faisabilité des évolutions et garantir les réussites, ils devront être représentatifs, mais maîtrisables. Ces sites pilotes peuvent également devenir des sites ambassadeurs qui vont démultiplier la formation dans chaque région.

Il faut être en mesure de montrer rapidement des réussites pour alimenter la dynamique de changement. Ainsi, fixer des objectifs et penser aux dispositifs de mesure dès le début du projet est très important (visites mystères, études client qualitatives et quantitatives en sortie de magasin, mesures du temps d’attente). Le groupe La Poste a par exemple mis en place des standards de services sur les principaux points du parcours client (rapidité de service, propreté des espaces, information client, disponibilité des automates). Ceux-ci permettent de piloter la qualité de la relation client et d’homogénéiser les prestations de service.

Le rythme de la transformation compte dans la conduite du changement : aller vite dans la conception, mais soigner les temps de test et d’appropriation.

Retrouvez ici l’intégralité de notre Synthèse dédiée à la transformation des réseaux physiques de vente à l’ère du digital…

Cet article Conduite du changement : comment mener la transformation de la vente est apparu en premier sur RiskInsight.

Transformer nos réseaux de vente et de service

Ce programme répond à une nécessité forte liée à la montée en puissance de la relation client digitale avec voyages-sncf.com, qui est devenu le premier site marchand de France, et à une augmentation de la concurrence en termes de modes de transport et de modes de distribution. Le développement de ce que l’on appelle le « porte-à porte* » en particulier, constitue un enjeu fort en termes de maîtrise de la relation client avant, pendant et après le voyage.

Lancé en 2011, il s’inscrit à partir de septembre 2013 dans un cadre stratégique plus fort (et également un nouveau niveau d’exigence) : le projet d’entreprise Excellence 2020, présenté par Guillaume Pépy.

Personnalisation industrielle : 10 millions de fois « mon voyage à moi » !

Les vendeurs « Voyages » réalisent 40 millions de contacts clients par an. Le challenge principal est de concilier personnalisation et industrialisation de la relation ! Les enjeux économiques font bien-sûr partie de l’équation compte tenu de la baisse continue de fréquentation du réseau de vente physique, mais notre volonté a été de valoriser ce dernier et de construire avec les vendeurs d’aujourd’hui le réseau de demain.

Le véritable enjeu de cette transformation est donc de tirer parti de la valeur du réseau humain et de lui donner une nouvelle dimension au service de la préférence client. Nous avons donc défini pas à pas une véritable stratégie réseau pour mieux le valoriser, repenser son rôle, son dimensionnement et ses implantations. Nous avons réalisé une segmentation de ce dernier en différenciant les niveaux de service en fonction des volumes et des enjeux clients. Cette nouvelle stratégie réseau constitue une véritable rupture : dans sa conception, car le principe de différenciation des services peut heurter la culture du service public très ancrée dans l’entreprise ; dans les termes utilisés, car quand on parle de réseau à la SNCF, on parle en premier lieu de réseau de transports. Elle fait également apparaître des fonctions nouvelles pour la société, comme celles de marketing du réseau de distribution ou de marketing de la relation client.

Les 4 piliers du programme

• Un enrichissement de l’expérience client qui réaffirme le multicanal comme un véritable atout commercial et qui se traduit d’abord en promesse, puis en engagement.
• Une ambition métier qui élargit les missions de la vente à la relation client et recentre les vendeurs sur le conseil et les ventes à valeur ajoutée avec pour objectif d’associer performance commerciale et satisfaction client.
• Le dimensionnement et la modernisation du réseau avec des points de vente rénovés, accueillants, simples, efficaces, qui portent l’image de marque SNCF de façon cohérente ; c’est bien sûr une transformation des espaces, mais aussi une transformation des métiers et des postures.
• Repenser et moderniser les outils de vente utilisant le meilleur des nouvelles technologies et poussant au multicanal ; avec à terme une nouvelle borne qui ne se limite plus à la délivrance des billets et des outils vendeurs mobile. Notre objectif : avoir des outils vendeurs aussi performants que ceux du client ; nous avons par exemple homogénéisé la navigation sur le web et sur l’outil vendeur.

Une double trajectoire de bénéfices pour les clients et pour les collaborateurs

La trajectoire du projet est rythmée par des paliers. Ces derniers en représentent la feuille de route et visent à rendre concrets à la fois les bénéfices pour les clients mais aussi pour les collaborateurs. Elle matérialise la « symétrie d’attention » clients / collaborateurs affirmée et recherchée. Les managers sont pleinement acteurs du changement, au travers de séminaires de partage et de mobilisation. Ainsi, chaque équipe opérationnelle a co-construit son propre projet, avec des marges de manœuvre pour l’adapter au point de vente et à ses caractéristiques. La mise en œuvre a été très rapide, avec des sites pilotes, pour tester les évolutions, mais aussi à conduire le changement de façon progressive. Nous avons dans un premier temps mené beaucoup d’expérimentations sans toucher aux espaces, pour mettre en place les fonctions d’accueil et d’orientation ou tester des solutions de gestion de l’attente par exemple.
Nous avons aussi des sites pilotes complets dans lesquels les espaces, parcours clients, métiers et outils des agents sont totalement transformés. Les deux premiers sont la boutique de Paris-Magenta et l’espace de vente de la gare de Montpellier.

L’amélioration continue au cœur du déploiement

Le déploiement du nouveau concept est progressif, selon les projets de site ou les opportunités de libération d’un espace de vente.
Le nouveau service de prise de rendez-vous en gare et en boutique, lancé depuis mi-2012, a vraiment été une victoire rapide permettant de concrétiser le changement de posture des agents et de satisfaire les clients, à coût constant en personnel. Il a déjà été déployé dans plus de 200 points de vente.
Aujourd’hui, nos chantiers clés portent sur nos systèmes d’information et nos outils : pour améliorer notre connaissance client, pour moderniser les outils des vendeurs et nos bornes libre-service.
En termes de retours d’expérience, quatre points sont particulièrement importants :

• La priorité mise sur l’évolution des postures et des pratiques indépendamment des programmes de rénovation.
• L’importance d’accompagner les managers, pour qu’eux-mêmes soient « à l’aise » pour accompagner leurs équipes.
• La façon de penser le développement des compétences : la formation est nécessaire mais pas suffisante dès lors que l’on parle de postures, de pratiques relationnelles et d’esprit de service. Nous mettons en place le monitorat qui vise le transfert de compétences entre pairs.
• La nécessité d’aligner l’ensemble des systèmes d’animation, de stimulation et de reconnaissance sur les nouveaux objectifs. Nous avons pour cela revu nos méthodes d’animation commerciale pour concrétiser les évolutions de la vente au service.

Nous avons aussi mené un important chantier de refonte de la rémunération variable des vendeurs, pour y introduire à la fois plus de qualitatif et plus de collectif.

Enfin, la transformation, s’est aussi portée sur la « tête de réseau ». La Direction des ventes a ainsi changé de nom, devenant la Direction du réseau commercial. Au-delà de ce changement de nom, c’est une véritable évolution de nos missions, de la façon dont nous pilotons l’activité et la performance, de nos modes de travail avec le marketing et avec la DSI. Bref, une nécessaire évolution de posture et de compétences pour nous aussi.

* Dans le domaine du transport, le « porte à porte » correspond à des offres de parcours complets, depuis le lieu de départ du voyageur jusqu’à son lieu d’arrivée, incluant souvent différents moyens de transport, voire d’hébergement.

Cet article Interview SNCF : s’adapter aux nouveaux modes de consommation est apparu en premier sur RiskInsight.

Des centres de service efficaces mais pas toujours sur le long terme

Les DSI sont aujourd’hui à la recherche d’agilité, de performance opérationnelle et économique pour accompagner les métiers dans leur transformation, répondre à leur exigences de qualité de service tout en optimisant/maîtrisant les coûts.

Une part significative des activités des DSI étant confiée à des fournisseurs externes, le sourcing ou l’optimisation du mix interne / externe est un levier clé.

De nombreuses DSI se sont d’ailleurs lancées dans des transformations de leur mode d’achat en privilégiant les dispositifs type centre de services au profit des régies ou des assistances techniques.

Les centres de services apportent en effet des bénéfices pour répondre aux enjeux de transformation des DSI : le renforcement de l’agilité par une capacité à adapter leur plan de charge pour accompagner les projets d’évolutions du SI, l’amélioration de la qualité de service par le renforcement des engagements sans oublier l’optimisation des coûts par une meilleure mutualisation des ressources et par une plus forte industrialisation des activités (productivité).

Pour autant, cette transformation en centre de services n’est pas simple et ne génère pas toujours les gains escomptés dans la durée.

Le triptyque de la réussite de vos centres de services

1 – Obtenir des contrats alignés en s’appuyant sur des éléments communs de méthodologie dans la phase de choix du fournisseur.

Dans la phase de choix du fournisseur, l’enjeu n’est pas tant de sélectionner celui qui répond aux besoins exprimés que de mettre en place les éléments contractuels qui permettront un pilotage efficace de la performance du fournisseur dans la durée.

Ces éléments constituent les outils de pilotage du fournisseur. Élément clé parmi eux, le corps du contrat où des clauses d’audit, de réversibilité s’avèrent indispensables sans oublier les annexes techniques et financières (description du périmètre des prestations, conditions financières, engagements de services, transition/réversibilité).

Au-delà du périmètre considéré, l’utilisation d’outils cohérents avec ceux déployés dans le reste de la DSI renforce la capacité de la DSI à agir avec efficacité face aux différentes difficultés qu’elle peut rencontrer à chaque étape de la vie des contrats.

Pour réussir, il convient donc de disposer d’un cadre contractuel au niveau de la DSI adapté à la nature d’activité et aux types de dispositifs recherchés (assistance technique, centres de services…). Un cadre contractuel spécifique aux centres de service sera notamment nécessaire et devra intégrer des indicateurs de performance propres.

2 – Anticiper et doser le changement interne pour maximiser la performance des centres de service

L’évolution vers les centres de services permet d’améliorer le niveau d’industrialisation des activités confiées aux fournisseurs. Comme elle entraîne des modifications profondes des modes de fonctionnement de la DSI, la conduite du changement en interne est un élément clé de la réussite de cette transformation. Très souvent en effet, les collaborateurs, satisfaits du fonctionnement en régie, ne comprennent pas l’intérêt d’évoluer vers des centres de services. Sans compter que la mise en place de centres de service amène de nouvelles activités perçues comme administratives : formalisation de demandes avec des unités d’œuvre, recette de travaux, suivi des demandes ou de la facturation.

Face à ces réticences, il est nécessaire de s’appuyer sur la ligne managériale pour donner du sens au projet, de communiquer sur les bénéfices comme sur les difficultés. Il faut également préparer les internes à la modification des processus opérationnels. L’évolution vers des activités plus industrielles coté fournisseur impose aux collaborateurs un niveau d’exigence et de réactivité plus important. Ces évolutions influent sur les rôles, les compétences voire les métiers.

De même, les processus de pilotage fournisseurs deviennent plus structurés.  Aussi, il est important d’automatiser et de simplifier au maximum ces activités, notamment par la mise en place d’outils communs à la gestion de la relation fournisseur (outil de gestion des devis, des demandes d’unités d’œuvre…).

Enfin, les phases douloureuses telles que la transition ou l’appel d’offre doivent être traitées en mode projet. Elles sont souvent sous-estimées et se traduisent par la suractivité des collaborateurs voire par une perte de points de repère. La mise en place d’un dispositif projet permet de cadrer ces phases et d’éviter les efforts inutiles.

3 – Créer une cellule de Vendor Management pour sécuriser dans la durée la valeur apportée par les centres de services

La création d’une cellule de Vendor Management permet de piloter la performance des centres de services. Cette cellule mesure la performance fournisseur, au travers d’un tableau de bord dédié. L’enjeu est de disposer d’une mesure « factuelle » et « partagée » par l’ensemble des acteurs de la gouvernance fournisseur.

Cette mesure permet également de piloter la performance de l’ensemble des centres de services d’un fournisseur ou d’un domaine d’activité. Il est alors possible de comparer des niveaux de performance par domaine d’activité ou d’apporter une plus grande prise de recul sur les points forts/faibles. Elle s’assure également de la pertinence et de l’exhaustivité des mesures de performance des centres de service en place. Il s’agit d’éviter l’effet « pastèque » (des indicateurs fournisseurs au « vert » face à une perception des utilisateurs / clients au « rouge »). Elle veille enfin à la pertinence des indicateurs et à la capacité à challenger les fournisseurs.

Enfin, la cellule Vendor Management aide les pilotes internes des centres de services à utiliser au mieux ces mesures de performance pour déclencher auprès des fournisseurs des actions d’amélioration. Cette aide prend la forme de formation, de coaching auprès des pilotes contractuels et opérationnels, ces derniers étant de véritables relais locaux du sourcing dans chaque direction. La cellule met également en place des principes et des bonnes pratiques de pilotage (condition d’application des pénalités…) et elle accompagne leur mise en œuvre de façon opérationnelle, la clé étant d’apporter des réponses concrètes aux difficultés rencontrées par les collaborateurs.

Cet article Réussir la transformation vers les centres de services est apparu en premier sur RiskInsight.

Piloter le transfert d’activité

Que le transfert d’activité relève d’une réorganisation entre deux entités d’une même entreprise ou d’un projet d’externalisation, ce dernier se pilote. Il doit être considéré comme un projet à part entière, avec toutes ses composantes habituelles : une cible (clairement définie et déclinée opérationnellement), une trajectoire de mise en œuvre (avec des paliers distincts à franchir, pour donner le rythme) sans oublier des indicateurs restreints, préalablement définis et choisis avec attention (ces derniers doivent être pertinents et fédérateurs, couvrir aussi bien l’avancement de la mise en œuvre que l’impact sur les résultats opérationnels). Il sera enfin clé de déterminer un nom au projet… et d’y associer un chef de projet opérationnel officiellement nommé et clairement objectivé.

Rendre le management acteur du transfert d’activité

Sans attendre, les dirigeants doivent embarquer la ligne managériale. Partager la nécessité de ce changement, leur dire ce qu’on attend d’eux concrètement, co-construire la cible et la trajectoire, et prendre en compte les points d’attention opérationnels : tout ceci constitue le point de départ. Leur assurer une communication régulière et « en exclusivité » est également clé. Mais cela ne suffira pas.

Pour être pleinement actrice du changement, la ligne managériale va devoir prendre une nouvelle posture, affirmée et volontaire. Plus encore, elle doit être pleinement responsabilisée : avoir des objectifs clairs à atteindre, les marges de manœuvre nécessaires à l’atteinte de ces objectifs, des outils pour piloter l’activité mais également pour démultiplier les informations et décisions. Dernier ingrédient crucial de cette recette de la réussite : elle doit avoir la garantie d’être écoutée par la hiérarchie.

Outiller le processus de mise en œuvre

Au-delà de l’incontournable process de transfert, quatre outils permettent de bien accompagner les équipes opérationnelles pour sécuriser la mise en œuvre :

–       Des grilles d’activité, recensant les activités et listant celles à transférer ;

–       Un plan de transfert  type : pour chaque activité transférée, des modalités, des acteurs et des échéances clairement formalisés ;

–       Une checklist de bascule pour go / no go : un transfert d’activité peut impliquer des changements de droits et d’habilitations, une communication spécifique à d’éventuels utilisateurs ou clients… tous ces impacts devront être anticipés et les actions de préparation associées inscrites dans le cadre d’un retroplanning partagé ;

–       Des fiches de rôles, aussi bien pour les entités cédantes que prenantes ! En période de changement, chacun a besoin de voir clarifier son domaine de responsabilité, ses activités et la posture qu’il doit adopter.

Ancrer le changement

Communication et conduite du changement sont des axes à part entière de pilotage d’un projet de transfert d’activité. Des plans doivent donc être définis en amont et ajustés au fil des événements, en lien avec chaque direction concernée et avec l’appui des RH.

Tout l’enjeu est d’ancrer le changement sur le terrain. Pouvoir connaître et traiter les points de blocage opérationnels et les tentations de « faire comme avant » est donc clé. Il faut donc se contraindre à réunir régulièrement les acteurs opérationnels sur un créneau court pour partager les difficultés et les bonnes pratiques (physiquement ou en audioconférence). Par ailleurs, il est nécessaire de permettre à chacun de poser ses questions en ouvrant des lieux dédiés (rencontre physique sur des horaires spécifiques, FAQ en ligne sur l’intranet ou le réseau social d’entreprise…)… et d’accéder aux réponses apportées aux autres.

Une chose est sûre, cette conduite de changement devra continuer dans le temps, après la fin même du projet. Ce serait une erreur de s’attendre à ce que le changement, piloté et animé pendant la période projet, soit derrière vous à sa fin. Étape souvent négligée, les modalités de suivi en conditions opérationnelles doivent être définies, validées et communiquées avant la fin de projet.

Un transfert d’activité est un projet de transformation à part entière

Bouleversement des équipes et temps nécessaire au changement ne doivent pas être sous-estimés. Un transfert d’activité peut nécessiter 6 à 18 mois de travaux selon les contraintes opérationnelles, les moyens accordés et le niveau de résistance rencontré. Des temps significatifs seront nécessaires pour permettre aux managers et à leurs équipes de relever ce défi.  Autant d’éléments à évaluer en amont du projet, et qui devront être officialisés et pilotés. Il est ainsi nécessaire de savoir actionner les bons leviers et d’être à l’écoute de tous, de bout en bout du projet.

Cet article Comment réussir un transfert d’activité dans votre entreprise ? est apparu en premier sur RiskInsight.

L’entreprise, plateforme ouverte à l’externe

Ses frontières s’ouvrent et intègrent des parties prenantes (clients, fournisseurs, prestataires de services, institutions…) faisant des entreprises des « architectes » de leur écosystème. La forme même de l’entreprise change ; elle se reconfigure en plateforme ouverte aux start-ups, comme Coca-Cola et ses neufs accélérateurs de start-up.

Lors du développement de produits ou services, de découverte de nouveaux marchés, d’accompagnement de clients spécifiques, l’entreprise  se rend compte qu’elle ne peut plus faire seule, elle se tourne alors vers l’externe. L’open data, le crowdsourcing et plus largement l’open innovation ouvrent les processus d’innovation à la participation d’acteurs externes. En France, les acteurs du transport (SNCF, RATP, KEOLIS…), les collectivités territoriales (ETAPAP), sont particulièrement actives dans la mise à disposition des données publiques, permettant aux développeurs de créer des applications à valeur ajoutée. Les réseaux d’énergie devenant Smart, gageons que les grands énergéticiens verront bientôt fleurir les start-ups utilisant leurs données.

L’open innovation se fait également par la valorisation d’actifs dormants, ou non « cœur de métier » (brevets, compétences…), en les faisant sortir des contours de l’organisation par la création de filiales, de joint-ventures ou de licences. C’est ainsi que le Wall Street Journal a évalué à 3 milliards de dollars le revenu de Procter&Gamble issu de ses technologies sous licence. Nombreuses sont les entreprises, qui ouvrent toujours plus de canaux d’expression aux clients, rendant les échanges individuels ouverts à tous et permettant de capter les signaux externes.

L’entreprise, réseau de coopération ouvert en interne

L’innovation collaborative, le travail « en mode projet », favorisent le décloisonnement et ouvrent  l’entreprise en  interne. L’organisation en réseaux vient challenger les organisations traditionnelles et matricielles. Les réseaux sociaux d’entreprise viennent casser les silos et compléter l’information top-down. Les communautés de pratique créent plus de coopération. L’intégration des applications métiers de l’entreprise permet plus de coordination. Les usages privés (BYOD, utilisation professionnelle des outils Twitter, Linkedin, Facebook) pénètrent la sphère de l’entreprise, effaçant encore un peu plus ses frontières.

Dépassant les seules valeurs de performance individuelle, l’entreprise « ouverte » valorise les capacités de transversalité, de collaboration, de partage. Au niveau managérial, ces nouveaux modes de fonctionnement favorisent un leadership d’influence et non plus uniquement hiérarchique. Les managers jouent un rôle crucial dans cette transformation, source de résistance ou d’accélération. Les nouvelles compétences qu’ils devront incarner sont celles d’un animateur capable de favoriser la coopération, de mobiliser l’intelligence collective, de gérer le temps collectif et de valoriser les contributions de tous.

L’ouverture, un projet de transformation

De nombreuses entreprises sont aujourd’hui dans cette étape d’ouverture, les projets se multiplient. Ces projets se heurtent néanmoins à des écueils tels que la difficile valorisation des bénéfices indirects de ces projets (l’agilité est difficilement quantifiable), aux problématiques de confidentialité, de sécurité, de propriété intellectuelle, de maîtrise de la réputation, à la remise en cause de schémas managériaux établis.

Cette mutation n’est pas naturelle pour tous, les projets de transformation des grandes entreprises pour se reconfigurer en entreprise « ouverte » doivent être structurés pour réussir. Ils  touchent à la fois la culture, les flux d’information, la structure, les systèmes d’information et de management de l’entreprise. La cohérence passe d’abord par des objectifs et une trajectoire clairs et partagés. Les modes de pilotage doivent s’adapter aux spécificités de l’entreprise en réseau et supposent une grande fluidité de l’information.

Si la forme de l’entreprise de demain est bien une plateforme, elle reste le socle stable sur lequel tout peut être construit.

Cet article L’entreprise ouverte, une mutation naturelle ? est apparu en premier sur RiskInsight.

Comment construire une nécessaire vision client 360° ?

La principale source de données reste bien évidemment le CRM¹ de l’entreprise. Mais dans une optique de personnalisation cross-canal et temps réel, ces données doivent être croisées avec d’autres sources d’information.

Tout d’abord, il y a les données liées aux achats passés ou aux services déjà détenus : ces dernières sont des informations factuelles rattachées à un client clairement identifié. On s’intéressera entre autres au cycle de vie du client, à sa situation de paiement ou encore à ses préférences de contact. Ces données vont notamment permettre de réaliser une segmentation basée sur la valeur client, et permettre de construire des règles de cross-selling basées sur les services complémentaires aux offres détenues. Elles permettent également d’analyser la fréquence d’achat et détecter la possibilité de churn².

À côté de cela, il y a également les données issues des campagnes sortantes (e-mailing notamment). Elles permettent de mesurer le degré d’engagement vis-à-vis de la marque et la fidélité. Ces indicateurs peuvent inclure le taux de clics, de désabonnement ou de parrainage.

Le webanalytics est aussi source d’information : les données recueillies permettent d’analyser finement le comportement des internautes sur internet (centres d’intérêt, requêtes dans le moteur de recherche interne…). Et même si ces données restent anonymes tant que  l’internaute ne s’est pas authentifié, elles constituent néanmoins une solide base pour prédire les intentions d’achat en rapprochant les comportements similaires.

Last but not least, les réseaux sociaux : l’analyse des données rattachées à un client via une délégation d’authentification de type Facebook Connect (ou même anonyme) permet de mesurer à la fois l’engagement vis-à-vis d’une marque, mais aussi de détecter les tendances ou l’appétence pour un produit en particulier.

Certes, l’analyse de toutes ces données peut être onéreuse, mais les directions marketing y voient leur intérêt : le Big data est un formidable tremplin pour la relation client.

Mettre en œuvre une stratégie de personnalisation efficace

La clé d’une stratégie efficace et personnalisée des parcours client réside dans la capacité à se démarquer de la concurrence en plaçant le client au centre de l’expérience. Pour cela, les équipes webmarketing peuvent s’appuyer sur différents leviers.

Tout d’abord, il faut anticiper le comportement des clients à partir d’un modèle prédictif. La personnalisation permet d’utiliser les données client pour influencer et encourager les prospects à passer à l’action. L’analyse des données comportementales doit permettre d’établir les schémas types qui amènent à une interaction, par exemple un achat ou l’inscription à une newsletter.

Il est également clé d’automatiser la personnalisation en s’appuyant sur un moteur de recommandation en temps réel. Ce moteur peut être une solution dédiée, tel qu’Interact d’IBM ou Aprimo de Teradata, ou directement intégrées au CRM. Il est par exemple possible de déterminer en temps réel le montant d’un code promo en fonction du profil du prospect et de sa maturité. Cependant, il convient de s’assurer des performances de ce type de solution : un délai de plus de 500 millisecondes pour afficher une recommandation sur un canal temps réel est rédhibitoire.

Il ne faut pas négliger par ailleurs le concept de personnalisation sur l’ensemble des canaux de contact. Une campagne marketing sera d’autant plus efficace si elle est cohérente. Une entreprise qui souhaite dématérialiser ses factures pourra par exemple encourager les clients qui ne l’ont pas encore fait à souscrire à la facture en ligne via son espace client et depuis l’interface du conseiller de clientèle. Néanmoins, il convient de tenir compte du contexte (canal entrant ou sortant, préférence de contact…) pour optimiser le message et le délivrer le plus efficacement possible.

Bien entendu, affiner les campagnes personnalisées grâce aux outils d’A/B ou multivariate testing est clé. Ces outils vont permettre de déterminer quel est le meilleur visuel, le meilleur message ou encore le meilleur produit à recommander en cross-selling par exemple. Le canal internet se prête particulièrement bien à cet exercice qui permet d’obtenir des gains significatifs en termes de conversion.

Enfin, il faut réussir à prioriser le contenu à personnaliser (bannière, cross-sell, campagne d’e-mailing…) en fonction de l’objectif fixé (rétention, augmentation du taux de transformation, captation de lead…) et du résultat des campagnes d’A/B testing, afin d’éviter de se disperser et de réduire l’efficacité de la personnalisation.

Quels bénéfices attendre de la personnalisation ?

La personnalisation des parcours apporte au client la reconnaissance et l’intimité qu’il cherche de plus en plus lorsqu’il interagit avec une marque. La navigation devient plus fluide, rapide et intuitive. De son côté, le conseiller peut plus facilement adapter son discours pour prendre en compte les interactions passées (appétence pour un produit particulier, réclamations…).

Les offres se veulent plus attractives pour favoriser la loyauté des consommateurs envers la marque. En s’appuyant sur IBM Interact, SFR a ainsi pu multiplier par 6 le taux de clics sur les bannières proposant du cross-selling personnalisé pour les clients connectés et générer 5000 ventes de plus par mois en agence.

La personnalisation permet, ne le négligeons pas, d’augmenter la rétention client et ainsi de réduire le risque d’attrition. Les programmes de fidélité, de couponing ou la distribution d’échantillons peuvent ainsi être optimisés à partir des actions du client combinées aux tendances identifiées sur les réseaux sociaux pour ce segment.

Une bonne stratégie de personnalisation peut ainsi créer une situation de win-win : vecteur de fidélisation et d’optimisation du ROI³ des campagnes cross canal, elle permet également de répondre aux attentes des clients. Big data et webmarketing est bel et bien le couple gagnant 2014 de la relation client !

¹ CRM : customer relation management

Cet article Quand Big data et e-commerce font bon ménage… est apparu en premier sur RiskInsight.

Un schéma directeur IT au service de la transformation de votre entreprise !

Démarche stratégique, un schéma directeur  vise à mettre en cohérence une large palette de problématiques opérationnelles, thématiques et économiques afin de définir la vision cible à long terme (généralement 5 ans) du SI. Il existe différents types de schémas directeurs mais tous se doivent de traiter des sujets tels que les orientations stratégiques, l’évolution du budget informatique, l’organisation, la gouvernance du SI et bien entendu les différents aspects techniques liés au SI.

Or, tout projet de transformation, y compris ceux répondant à des problématiques métiers pures, a des impacts sur les infrastructures et les socles logiciels du SI. L’automatisation d’un processus métier ou l’évolution d’une application métier implique ainsi des mises à jour plus ou moins profondes des infrastructures ou des socles sous-jacents (mise à jour du système d’exploitation par exemple). Poussées par une logique émergente de centre de profits, certaines DSI prennent même les devants. Elles repensent leur existant à l’occasion d’un schéma directeur infrastructures pour redéfinir leur  fonctionnement, leurs infrastructures et leurs socles logiciels tout cela dans une cible cohérente en vue d’améliorer le service rendu, leurs coûts et préparer l’avenir.

Un schéma directeur IT aux gains multiples

La définition d’une cible pour les infrastructures et de sa trajectoire associée dans le cadre d’un schéma directeur infrastructures est porteuse de différents types de gains.

Tout d’abord, il y a les gains techniques et opérationnels : la rationalisation des briques de base du SI et l’adoption de standards apportent un meilleur service avec une moindre variété de solutions ; un catalogue de solutions mieux défini permet de concevoir plus simplement les architectures avec une meilleure garantie de services. C’est là aussi par conséquent l’occasion de proposer des solutions techniques innovantes aux projets et aux Métiers.

Bien entendu, autres gains non négligeables, la problématique des coûts ! Pourquoi ? Ne serait-ce que parce que les coûts liés à l’obsolescence peuvent dépasser les coûts d’investissement annuels de remplacement des infrastructures : traiter cela, c’est déjà dégager de nouvelles marges de financement. Sans compter que le schéma directeur apporte une meilleure visibilité et une meilleure anticipation des investissements. Enfin, en rationalisant les infrastructures, on réduit la variété des solutions et ainsi le nombre de fournisseurs avec à la clé une possible massification des commandes.

Les gains humains ne sont pas non plus en reste. Mettre en place une trajectoire d’évolution des infrastructures peut être l’opportunité d’une nouvelle organisation mettant en valeur les compétences des différents acteurs. Elle est aussi l’occasion de communiquer auprès des équipes et d’insuffler une nouvelle dynamique autour d’un projet fédérateur, porteur de perspectives.

Quelques clés pour réussir son schéma directeur IT

 La crédibilité d’un schéma directeur dépend en grande partie de sa pertinence et celle-ci ne peut être garantie sans avoir pris en compte les réalités de l’entreprise. Différentes approches sont possibles et une méthodologie telle que SOI (Service Oriented Infrastructure) offre un cadre d’analyse et de formalisation permettant une approche structurée et exhaustive des composants du SI.

Si la participation des différents acteurs (du SI comme des métiers) est fondamentale, deux travers sont à éviter : aborder cette démarche comme un audit ce qui fausserait la collecte d’informations ou l’effet « lettre au Père Noël » où chacun liste ses souhaits et s’attend à les voir exaucés.

La définition d’une cible d’évolution du SI est finalement  toujours un compromis entre différents facteurs tels que l’existant, les besoins et les souhaits recueillis, la stratégie de l’entreprise dans sa globalité, l’état de l’art et les bonnes pratiques sans oublier la capacité à réaliser les changements notamment sur les plans budgétaires, techniques et humains.

La dernière étape d’un schéma directeur consiste à formaliser cette trajectoire de transformation à travers différents chantiers, à les coordonner dans une perspective temporelle en y intégrant les aspects budgétaires, humains ainsi que les contraintes métiers et projet. La validation du plan de transformation doit se faire à haut niveau (DG, DSI…). Parmi les différents chantiers, il en est un stratégique qui doit ouvrir et fermer la marche : la gouvernance de l’implémentation du schéma directeur. En effet, elle en assure le pilotage, la cohérence, permet d’en assurer le rythme et gère l’adaptation de l’ordonnancement des chantiers et de leurs projets.

Le changement, c’est maintenant !

Avez-vous le choix aujourd’hui de ne plus toucher aux infrastructures de votre SI pendant les 5 ans à venir ? Le carrousel des technologies combiné avec l’évolution de l’entreprise ne le permettront pas. Un schéma directeur infrastructures est l’occasion de reprendre le contrôle de l’évolution des éléments fondamentaux du SI, de ses niveaux de service et de ses coûts mais c’est aussi une formidable opportunité de dynamiser et de fédérer des équipes souvent plongées dans l’opérationnel au quotidien. Il est nécessaire de s’inscrire dans une nouvelle hygiène de gestion proactive des infrastructures du SI afin de garantir l’adaptation permanente du SI aux besoins et à l’évolution de l’entreprise.

Cet article Pour mettre sous contrôle durablement les fondations de votre SI, pensez schéma directeur IT ! est apparu en premier sur RiskInsight.

Internet : à chaque usage son avatar

Des réseaux sociaux à votre banque en ligne, en passant par votre messagerie électronique, tous ces comptes, ou « avatars », vous représentent dans la sphère numérique. Mais le développement libre et tous azimuts d’internet pose d’évidents problèmes de confiance. Se pose notamment la question du lien entre une personne physique, ses avatars numériques, et le sujet de droit qui la représente dans le cadre juridique. L’ère numérique se caractérise par la constante augmentation de la dématérialisation des usages : achats, déclaration d’impôts, signature de contrats, etc. Autant d’activités qui nécessitent de fournir des informations d’identification fiables.

Cet article L’identité numérique, vecteur de confiance est apparu en premier sur RiskInsight.

Un SI de plus en plus stratégique… mais menacé

Le SI prend une part de plus en plus importante au sein des entreprises car il est devenu clé pour leur fonctionnement, contrôlant les processus métiers, la production et devenant un canal d’interaction majeur avec les clients.

Toutefois, un SI est soumis à de nombreuses modifications, nécessaires à son fonctionnement et à son évolution : le souci est que ces transformations récurrentes lui font souvent perdre de son agilité, ce qui devient vite un frein pour le développement de l’entreprise.

On compare d’ailleurs généralement le SI aux strates géologiques, les nouvelles technologies se superposant sur les existantes. Les entreprises ne voient pas l’intérêt de changer quelque chose qui rend, visiblement, le service attendu… C’est bien là le danger car l’obsolescence technologique se développe alors, occasionnant de nombreux coûts (expertise spécifique ou composants rares par exemple) et risques (par exemple un bug bloquant sans correctif quand l’éditeur n’existe plus) pour les SI.

De l’intérêt d’un schéma directeur infrastructures

Dans le contexte économique actuel, l’heure est souvent à des projets plus petits, défensifs ou portés par des obligations de conformité telles que « Solvabilité II » pour le secteur de l’assurance.

Pourtant, les entreprises ont toujours besoin d’innover, d’adapter leurs produits pour leurs clients et d’étendre leur part de marché. Certaines préparent d’ailleurs déjà la reprise en mettant à jour leur SI car il devra leur permettre de saisir les opportunités qui se présenteront. Et elles ont raison.

C’est justement là où le Schéma directeur infrastructures entre en jeu. Car il vise à établir une perspective d’évolution sur 5 ans avec les objectifs suivants :

• Aligner les socles logiciels et d’infrastructure avec la stratégie d’évolution de l’entreprise
• Garantir leur disponibilité, leur fiabilité, leur cohérence et leur évolutivité
• Mettre sous contrôle l’évolution, la performance et les coûts et les optimiser
• Anticiper et tirer profit des innovations technologiques

Pour cela, une analyse approfondie de l’existant, des besoins et de la stratégie de l’entreprise sont nécessaires afin d’établir une cible d’évolution pertinente. Cette cible sera atteinte à travers la réalisation de différents chantiers touchant à des aspects clés tels les budgets, l’organisation, la gouvernance et bien entendu les problématiques techniques liées aux infrastructures, socles et applications.

Un Schéma directeur infrastructures est d’ailleurs souvent générateur de gains :

• Gains opérationnels : meilleurs niveaux de service, standardisation et rationalisation permettant de simplifier la conception des architectures, et une plus grande efficacité opérationnelle
• Gains économiques : maîtrise de l’inflation des frais de maintenance, meilleure visibilité et  anticipation dans la planification des investissements, massification des commandes occasionnant de meilleures remises
• Gains humains : projet fédérateur et porteur de nouvelles perspectives, mise en valeur et  développement des compétences

Faut-il se lancer ou pas ?

Avez-vous le choix aujourd’hui de ne pas toucher aux infrastructures de votre SI pendant les 5 ans à venir ? Pour le savoir, posez-vous les bonnes questions :

• Votre SI permet-il de répondre avec un niveau de service adapté aux demandes de mes Métiers ?
• Votre SI n’est-il pas devenu une sorte de « CeBIT » avec trop de technologies redondantes ?
•  Les coûts de fonctionnement de votre SI ne représentent-ils pas une part trop importante du budget de la DSI ?

Tout comme un bateau doit passer en carène pour garantir sa flottabilité, les infrastructures du SI doivent être régulièrement remises à niveau et repensées afin de s’assurer qu’elles délivrent bien le service attendu, au « bon » niveau de coût et sont suffisamment évolutives pour accompagner le développement permanent de l’entreprise.

Alors… convaincus ?

Cet article Schéma directeur infrastructures : peut-on faire l’impasse ? est apparu en premier sur RiskInsight.

Le Cloud impose-t-il une évolution forcée ?

Le Cloud simplifie l’accès à l’outil informatique en focalisant l’énergie de l’utilisateur sur le choix du service plutôt que sur la démarche de mise en œuvre. Cette facilité d’accès à des services « clé en main » peut inciter les Métiers de l’entreprise à traiter directement avec les offreurs Cloud sans impliquer la DSI. Pour contrôler l’adoption des services Cloud, la DSI doit devenir un acteur incontournable de ses Métiers : non pas en s’imposant mais bien devenant un partenaire légitime du Métier, apporteur de valeur ajoutée aux services Cloud.

Une priorisation des chantiers nécessaire

Le Cloud n’est pas qu’un outil technique à destination de la DSI seule. Il est essentiel de mettre en place sa stratégie Cloud en impliquant la Direction de l’entreprise pour prendre en compte l’existant et les besoins à venir, en déduire le périmètre éligible et enfin choisir ses modèles de sourcing (Public et/ou privé) et le type de Cloud (IAAS, PAAS et/ou SAAS) adapté aux cas d’usage. Deuxième étape pour la DSI : promouvoir cette stratégie auprès des Métiers avec ses sponsors en valorisant les apports de la démarche et en éclairant les contraintes liées à son utilisation.

A ce stade la DSI devra choisir entre 2 positionnements :

1) Un accès direct des métiers aux fournisseurs Cloud

La DSI ne porte pas la responsabilité du choix des fournisseurs mais apporte son expertise sur les dimensions :
•    Contractuelles, en mettant à profit l’expérience de la DSI pour définir les engagements en matière de niveau de service, de traçabilité, de pilotage des coûts…
•    Techniques, en accompagnant les projets sur l’intégration des services Cloud dans le SI de l’entreprise tout en respectant les contraintes internes de sécurité et d’échanges de données
•    Légales, en apportant sa connaissance des contraintes liées à l’hébergement des données (données personnelles, données sensibles d’entreprise, législation française, contraintes sectorielles…)
•    De réversibilité technique et opérationnelle, pour préparer en amont le désengagement d’un fournisseur.

2) Une DSI « broker de Cloud »

La DSI se positionne comme l’interlocuteur unique à la fois du Métier et des fournisseurs Cloud.  Le rôle d’expertise reste d’actualité et voit son périmètre étendu par une fonction de gestion des  relations clients et fournisseurs. La DSI est alors en responsabilité :
•    D’intégrer des services Cloud technique ou métier au catalogue de la DSI
•    De piloter et de garantir la qualité des services exposés par la DSI
•    De définir et de mettre en place les outils permettant une intégration au SI des services Cloud (IAM, échanges, service management…)
•    De faire évoluer ses processus internes pour fournir un service utilisateur unifié indépendamment des modes de sourcing
•    Et bien sûr, de fournir ces services Cloud au meilleur coût du marché à ses utilisateurs !

Bien que la stratégie de positionnement soit à définir suivant le contexte particulier de chaque entreprise, une majorité aura intérêt à adopter un positionnement « broker de Cloud ». Ce positionnement permettra de définir une stratégie IT globale cohérente entre les besoins internes et les possibilités offertes par les fournisseurs. Elle permettra ainsi de tirer toute la valeur économique et qualitative d’une approche Cloud par le biais d’achats massifiés et intégrables de manière standardisée au SI.

Les « temps métiers » et les « temps IT traditionnels» n’ont plus la même échelle, le Cloud est un des vecteurs de transformation qui permet de contribuer à la performance globale de l’entreprise. Néanmoins, pour combler ce décalage, la DSI doit être en perpétuelle transformation pour fournir les moyens nécessaires aux ambitions de l’entreprise.

Cet article Le Cloud computing : vers une DSI orientée service ? est apparu en premier sur RiskInsight.

Cependant, cette opportunité entraîne un changement de grande ampleur. Il est donc important de s’assurer au préalable de la pertinence et de la faisabilité d’une telle action. Nous avons ainsi identifié différents critères qui, une fois validés par la direction de votre entreprise, sauront maximiser vos chances de réussir cette transformation en profondeur !

Un changement culturel et organisationnel réalisable

Les DSI sont traditionnellement positionnées comme des fonctions « support ». En commercialisant leurs services sur le marché, elles vont bouleverser leur positionnement stratégique. Les obligations de marketing, de rentabilité ou encore de service après-vente auxquelles elles sont soumises vont être renforcées par ce nouveau positionnement.

Au-delà du changement des modes de fonctionnement (processus, gouvernance, rôles…), il faut s’assurer que le gap culturel entre l’ancien positionnement et le nouveau est franchissable. Les équipes des DSI doivent être motivées et prêtes à voir leur métier évoluer et leurs clients changer. Par exemple, il faut s’assurer qu’il est culturellement envisageable de vendre des services aux concurrents de la maison-mère !

Par ailleurs, une analyse de la capacité à filialiser la DSI doit être anticipée pour permettre des évolutions tant organisationnelles (ex : allocation de ressources dédiées) que juridiques (ex : évolution de la convention collective).

Des produits non stratégiques, à valeur ajoutée différenciante

Il est important de s’assurer que les services qui seront commercialisés sur le marché se différencieront de ceux des concurrents. Les leviers sont ici multiples : valeur ajoutée, prix, business model… Cependant, il est surtout primordial de s’assurer que ces produits ne sont pas pour autant des actifs « stratégiques ».

En effet, un produit de la DSI doit être considéré comme « stratégique » s’il représente un avantage concurrentiel clé pour l’entreprise-mère, comme par exemple un logiciel de gestion du risque dans le domaine des assurances.

Enfin, la veille concurrentielle s’impose comme une activité indispensable pour garantir un rapport valeur ajoutée / prix du produit qui reste cohérent avec le marché dans la durée.

Une offre en phase avec les attentes du marché

Tout d’abord, il est essentiel d’asseoir un « prix », relativement à la qualité des offres, qui soit cohérent par rapport au positionnement des concurrents et à la stratégie de pénétration du marché. Par exemple, si une DSI souhaite vendre un produit significativement plus cher qu’une SSII, elle doit le justifier !

N’oublions pas que la présence sur le marché ne pourra perdurer que si les clients sont satisfaits des produits achetés. Un client externe peut s’avérer plus exigeant qu’un client interne. La DSI doit par conséquent se mettre en capacité d’assurer le niveau de qualité et de productivité nécessaire. Anticiper les enjeux de service après-vente et de relation client et garantir la capacité de production sont essentiels.

Une offre en lien avec l’activité de la maison-mère

Les services commercialisés par la DSI seront d’autant mieux accueillis par le marché qu’ils ont un lien avec l’activité de la maison-mère. Dans le cadre de la commercialisation et de la promotion des produits, il s’agira de faire valoir la fiabilité des produits et de bénéficier de l’image de marque de la maison-mère.

Par exemple, Thales Services, en raison de son expertise dans le domaine de la défense, aura plus de crédibilité pour répondre à des exigences avancées de sécurité qu’une SSII non spécialiste.

Somme toute, la commercialisation des services d’une DSI sur le marché est une opération complexe, mais porteuse de multiples opportunités. Les critères présentés ci-dessus sont autant de facteurs clés de réussite. Avant de se lancer, il s’agira alors d’identifier les enjeux stratégiques, économiques et IT pour mener au mieux la transformation qui, selon le contexte, peut prendre plusieurs années. Pour en maîtriser le rythme, obtenir et maintenir l’adhésion, le pilotage et la gouvernance sont de vrais incontournables. Alors, êtes-vous prêts à vous lancer ?

Cet article Êtes-vous prêts à commercialiser les services de votre DSI ? est apparu en premier sur RiskInsight.

Dans ce cadre, nombreuses sont les DSI à transformer leur sous-traitance en mettant en œuvre des Centres de Services (CdS) en lieu et places de leurs régies.

Cela leur permet de dégager des gains économiques (mutualisation, industrialisation, massification…) et opérationnels (qualité, flexibilité…).

Nos retours d’expériences montrent que l’atteinte de ces gains n’est cependant pas automatique et doit être mise sous contrôle.

Mais comment optimiser la performance de mes centres de services ? Nommez un pilote et donnez-lui les moyens d’agir.

Le pilote garant de la performance de son centre de services

Le pilote est d’abord un facteur clé du succès de la mise en place d’un centre de services. Il s’assure que tout est mis en œuvre aussi bien chez le fournisseur qu’en interne pour garantir la qualité et la fluidité de la fourniture du service en régime stabilisé. Il s’assure également  de l’acquisition par le fournisseur des compétences nécessaires à la fourniture du service et  supervise la mise en place d’une gouvernance, de processus et de modes de fonctionnements adaptés. Enfin, activité trop souvent encore négligée, il s’assure de l’accompagnement du changement en interne vers les nouveaux modes de fonctionnements induits par les centres de services.

Le pilote est en quelque sorte le garant de la performance du centre de service dans la durée. Véritable relai entre les internes et le fournisseur, il donne de la visibilité au prestataire sur son plan de charge, lui permettant d’adapter son staffing pour une meilleure efficacité, partage mensuellement avec tous une vision globale de la performance du dispositif et conduit les plans d’amélioration de cette performance. Enfin, détaché des échanges opérationnels, il s’assure que tout est mis en œuvre pour qu’une relation de confiance durable se maintienne entre le fournisseur et les internes.

Donnez aux pilotes les moyens d’agir !

Pour tirer les bénéfices de ce nouveau rôle, la DSI doit professionnaliser ce dernier et l’inscrire pleinement dans son organisation.

Les pilotes s’appuient au quotidien sur des compétences avérées de pilotage d’engagements, sur des capacités relationnelles fortes mais également sur une somme de bonnes pratiques propres au fonctionnement des centres de services. La DSI doit ainsi faciliter l’acquisition de ces compétences et s’assurer de leur maintien sur la durée. Au-delà des nécessaires formations, il existe des dispositifs communautaires performants ; par ce biais, les pilotes se retrouvent pour bâtir une culture de pilotage commune.

Ensuite, le rôle et les missions du pilote de centre de service doivent être partagés par tous les acteurs de la DSI. Comme tout rôle transverse, il sera indispensable d’identifier et de partager avec tous les leviers d’actions du pilote, sans quoi il ne saura faire un travail efficace. La légitimité du pilote dans ses actions sera renforcée par la présence/formalisation de ce rôle dans l’organisation et dans les processus de la DSI.
En particulier, le partage des responsabilités entre la ligne managériale et les pilotes doit être clairement établi.

Enfin, le pilote doit pouvoir s’appuyer sur un outillage de qualité pour mesurer et partager la performance de son centre de services. L’automatisation du calcul des indicateurs et de la génération des tableaux de bord renforcent la qualité du pilotage et permettent au pilote de se consacrer à ses activités à plus forte valeur ajoutée.

Somme toute, créer un rôle de pilote, le professionnaliser et l’inscrire dans l’organisation d’une entreprise s’avèrent être de vrais leviers d’optimisation notamment en matière de  performance unitaire des centres de services. Mais, plus encore, ce pilote sera un relais précieux dans l’établissement d’une relation partenariale avec vos fournisseurs, garante d’une performance globale !

Cet article Pilote de centre de services : un rôle clé à professionnaliser est apparu en premier sur RiskInsight.

La montée en maturité des DSI crée l’opportunité de franchir le pas, comme l’ont déjà fait plusieurs leaders comme Areva, Amazon ou encore Dassault.

Augmenter et diversifier l’activité de la maison-mère et de sa DSI

Areva, leader mondial de l’énergie nucléaire, a fait le choix de capitaliser sur les actifs de sa DSI pour en commercialiser les services sur le marché. Preuve du succès de la transformation, cette DSI, maintenant filialisée sous le nom d’Euriware, a généré près de 294 millions d’euros de chiffre d’affaires en 2011 ! [1]

Ainsi, la commercialisation des offres de services des DSI sur le marché est une occasion pour les entreprises d’accroître leur chiffre d’affaires. Grâce à la pénétration de nouveaux marchés, il est alors possible de diversifier le portefeuille de clients ainsi que les activités : Euriware propose des prestations d’infogérance ou encore d’intégration de systèmes pour des clients de l’énergie, mais aussi de l’industrie et de la défense.

Faire de la DSI une entité génératrice de profit

Cette transformation est l’occasion pour la DSI de se positionner comme réel actif stratégique (en devenant un centre de profit). Pour garantir la rentabilité, il faut commercialiser les services permettant de capitaliser sur les investissements de la DSI, tout en mutualisant les compétences et expériences de la maison mère. Les produits ou services commercialisés peuvent tout autant être des savoir-faire spécifiques qu’une surcapacité de production (sur un datacenter par exemple). Cette commercialisation est une opportunité pour l’entreprise de générer du cash… sans trop avoir à en débourser !

Ainsi, Dassault Systèmes génère du profit en commercialisant le logiciel Catia, qui avait été initialement conçu pour les besoins propres de Dassault.

La formalisation d’un catalogue de services tarifé ainsi que la définition d’une stratégie de pénétration du marché sont des enjeux clés pour assurer le succès de la transformation. Une fois les premiers produits commercialisés, la DSI génère du chiffre d’affaires et doit rentabiliser son activité. Elle le fera en ajustant sa politique commerciale et en optimisant sa présence sur le marché tout en pilotant ses investissements.

Développer et fiabiliser l’expertise de la DSI

Amazon, qui est originellement un site d’achat et de vente en ligne, a pourtant été parmi les premiers à lancer des offres cloud, via leur entité Amazon Web Services. Amazon a profité de son expertise de l’infrastructure SI et de sa maîtrise des besoins des acteurs du web pour commercialiser son Infrastructure as a Service (IaaS) sur le marché.

L’augmentation de l’activité SI permet d’investir et de fiabiliser les services utilisés par la maison-mère. Confrontée à de nouvelles demandes et de nouvelles exigences, la DSI est incitée à monter en compétence et à développer son expertise. L’industrialisation de l’activité et la croissance du portefeuille de clients permettent aussi d’asseoir la crédibilité et la légitimité de la DSI en interne.

La commercialisation des services d’une DSI sur le marché représente une transformation de grande ampleur, se déroulant sur plusieurs années. Du positionnement prix à la structure de coût en passant par l’infrastructure SI ; les enjeux stratégiques, financiers ainsi que ceux liés au système d’information doivent être maîtrisés ! Il faut également se poser la question de l’évolution de l’organisation avec, bien souvent, celle de la filialisation de la DSI. Des problématiques clés doivent alors être pilotées, comme l’évolution culturelle ou la mutation des activités. En résumé, la commercialisation des services IT est une opportunité aux enjeux forts. Mais comment s’assurer que le profil de votre entreprise présente les caractéristiques nécessaires ? Réponse dans un prochain article !

Cet article Et pourquoi ne pas commercialiser les services de ma DSI ? est apparu en premier sur RiskInsight.

Oscillant entre 1 à plus de 10% du CA en fonction du secteur d’activité, la dépense IT des grandes entreprises connait depuis plusieurs années  une croissance quasi-continue. Pourtant, en dépit d’une  augmentation continue des besoins, 80%^([1]) de nos clients ont lancé ou prévoient de lancer un plan de réduction des coûts dans l’année. La maîtrise des dépenses IT devient alors la priorité numéro 1 des DSI amenées à démontrer la valeur apportée par cette dépense aux métiers. Face à leurs nouveaux défis, quels sont les leviers de maîtrise des coûts que les DSI peuvent activer et quelle démarche peuvent-ils adopter afin de réaliser des gains pérennes ?

Maîtriser l’assiette des dépenses, un premier pas vers la maturité économique

La réduction des coûts IT commence par la maîtrise de l’assiette et de la répartition des dépenses. Il s’agit de mettre la répartition du budget IT en regard de points de repères permettant de s’assurer de sa bonne distribution. La comparaison aux ratios du marché permet de détecter les postes de dépenses à optimiser. Exemple : la composante matériels et licences représente, généralement, entre 30% et 40% des coûts DSI contre 60% à 70% pour les composantes « prestations intellectuelles ».

Identifier les leviers d’économie à court terme, générateurs de gains stables

Les leviers d’économie couvrent les quatre grands domaines d’activités d’une DSI : gestion de la demande, Sourcing / RH, gestion du patrimoine applicatif (AMS) et gestion des infrastructures (IMS). Chaque levier doit être analysé au regard de son assiette (montant des dépenses considérées) et du potentiel de gain. L’objectif étant de sélectionner en priorité des domaines à fort enjeu et à fort volume. L’optimisation du processus de gestion de la demande métier peut générer 4 à 8% d’économie sur l’ensemble des dépenses IT là où l’optimisation des contrats voix (fixe et mobile) et data peut générer 5 à 25% d’économies mais sur un périmètre restreint aux dépenses « télécom et réseau ».

Par ailleurs, la priorité doit être donnée aux leviers dont les fondamentaux sont déjà posés. Ce niveau de maturité permettra de maximiser les gains dans un temps réduit. La généralisation de la virtualisation de serveurs permettra par exemple de dégager plus rapidement des gains que l’introduction d’une nouvelle technologie de rationalisation d’infrastructure non maîtrisée par la DSI.

Enfin, ce plan doit inscrire dans la durée et les leviers sélectionnés doivent permettre de dégager des gains année après année. Il faut donc veiller à éviter l’activation de levier court-terme du type « tour de vis budgétaire » offrant des gains rapides mais non pérennes.

Mettre sous contrôle les gains réalisés

Afin d’assurer les gains escomptés et d’éviter les écueils des gains virtuels, la réduction des coûts IT doit être menée dans le cadre d’un programme avec une gouvernance dédiée. Ce programme se doit d’être sponsorisé à haut niveau par le Directeur financier, piloté stratégiquement par le DSI et mené opérationnellement par une équipe dédiée ayant des interlocuteurs disposant de moyens et de légitimité d’action. Un reporting doit permettre de tracer les gains, les actions et les acteurs associés.

Afin d’être en mesure d’intégrer des évolutions de périmètre, des règles claires de comptabilisation des économies doivent être définies et partagées. Les engagements de gains de chaque périmètre sont à traduire dans la notification budgétaire. Le non-respect des engagements de gains, souvent compensé par des arbitrages d’activité pour rester dans le budget, constitue un risque majeur à tracer.

Aujourd’hui, le plan de réduction des coûts est la première étape qui permet de maîtriser le pilotage économique de la DSI. Les DSI s’engagent en effet massivement dans des initiatives de réduction / maîtrise des couts IT. Ces initiatives constituent une vraie opportunité pour démontrer les vertus du pilotage économique de la DSI. Une  bonne pratique à ancrer dans les processus et la culture de la DSI !

Cet article Le secret pour réussir son plan d’économie IT est apparu en premier sur RiskInsight.

Une mise en œuvre à gérer comme un  grand programme de transformation

Comme évoqué précédemment, Solva 2 implique des transformations majeures pour l’entreprise et les chantiers sont très lourds : implémentation de nouvelles normes et méthodes dans la définition des calculs techniques, comptables et financiers avec des impacts majeurs sur les systèmes d’information «  SI de gestion, SI financier, SI Comptable et SI décisionnel », intégration de nouveaux processus et  missions Solvabilité 2 dans l’organisation, mise en place de nouveaux reporting, sensibilisation de tous les acteurs impactés par la réforme.

 Solva 2, principaux défis pour les assureurs (source Eveho Conseil)

Bien entendu les assureurs sont déjà en train d’y travailler puisque la date initiale d’entrée vigueur était fixée au 1^er novembre 2009. À titre d’exemple, plus de 140 personnes sont actuellement mobilisées sur ce sujet chez un grand assureur français chez lequel nous intervenons.

Vu sa complexité la  mise en œuvre de Solva 2 doit se gérer comme tout grand programme de transformation. Au regard de récents retours d’expérience auprès du Groupe Humanis, MGP, April, AG2R La Mondiale (…), il y a 3 facteurs clés de succès :

Premièrement, intégrer les trois piliers dans le cadre d’un même pilotage global de programme. Cela permet notamment de mieux coordonner les chantiers avec de nombreux impacts croisés sur les différents piliers et d’embarquer tous les acteurs concernés dans une même dynamique projet.

Organisation du projet Solvabilité II (Source Eveho Conseil)

Second facteur clé de succès, organiser les chantiers en fonction des principaux défis à relever : organisation et processus, SI/Outils, Conduite du changement (…). Cela permet de conserver une cohérence d’ensemble et de traiter l’ensemble des exigences des 3 piliers à la fois.

Enfin, comme dans tout projet de transformation la conduite du changement est cruciale. Il faut non seulement communiquer largement auprès des acteurs impliqués dans la mise en place du Projet S2, mais aussi  faire monter en compétences les collaborateurs sur les nouveaux processus S2. A ce titre, nous animons des formations plénières S2 et développons actuellement un module de E-learning « Solva 2 pour tous » traitant les impacts de Solvabilité au sein de chaque direction.

Par ailleurs, la réforme  peut constituer un puissant levier pour diffuser la culture du risque au sein des entreprises. C’est également, adopter un nouvel outil permettant de mieux appréhender son environnement et améliorer la connaissance de son organisme permettant ainsi de faciliter les prises de décisions stratégiques et les investissements.

Une réforme qui fait encore débat mais à laquelle il faut se préparer

Certains points de la  réforme continuent de faire débat, ce qui explique les reports successifs de la date de mise en application (notamment le calibrage de la formule de calcul, les états de reporting,..).

L’ambition initiale de l’Union Européenne en mettant en place Solvency 2 était d’homogénéiser le marché de l’assurance et éviter des distorsions de concurrence induites par des écarts législatifs et mais aussi, et surtout, de mieux garantir la solvabilité des assureurs pour apporter plus de sécurité aux assurés.

C’est l’approche « hyper-prudentielle » des mesures d’application qui fait débat. Les mesures d’application vont déterminer l’impact réel de la réforme. Pour se faire une idée, la Commission conduit des QIS (études quantitatives d’impact) qui testent les exigences quantitatives auprès des assureurs qui entrent dans le Pilier 1 de la réforme. Le QIS 5 a été lancé en août 2010, et sur le marché français nous constatons un taux de couverture de 175%.

Les assureurs européens au premier rang desquels les français soulignent l’impact négatif que pourra avoir la Directive sur le financement des entreprises et l’économie en général. Avec d’un côté une hausse des prix annoncée, selon la FFSA (fédération française des sociétés d’assurances), de 5 à 20%  pour l’assurance dommage et une baisse de 30 à 50% du rendement de l’épargne retraite avec des conséquences sur le pouvoir d’achat des retraités. À cela s’ajoutent moins d’investissements de long terme en actions et obligations, et donc moins de soutien aux entreprises, notamment les PME.

Dans un entretien accordé début juillet 2012, le PDG d’ALLIANZ France indiquait ainsi « Si l’on considère que l’assurance vie est fondamentale pour répondre aux besoins de revenus futurs face aux questions d’allongement de la vie humaine, et qu’elle a un rôle à jouer dans le financement de long terme comme dans des investissements qui soutiennent la croissance, il faut adapter Solvabilité 2 ».

Des pays comme l’Allemagne avancent que la crise financière que nous traversons n’est pas le moment idéal et font pression pour repousser la date jusqu’en 2018.

En d’autres termes, l’histoire n’est pas finie… mais les assureurs doivent néanmoins être prêts.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Solvabilité 2, se préparer pour le 1er janvier 2014 (Deuxième partie) est apparu en premier sur RiskInsight.

Une maîtrise du pilotage sur la durée

Les centres de services sont vecteurs de performance économique : ils permettent une massification combinée à des gains de productivité. L’évolution vers des mécanismes d’engagement de résultats et de facturation en fonction du volume d’activité permet en outre une meilleure maîtrise de la qualité de service et des coûts. Mais cela requiert un effort sur la durée.

Prenons par exemple les indicateurs « pastèques » (« vert » du côté fournisseur mais « rouge » côté client). Pour s’en prémunir et maîtriser le pilotage dans le temps, des indicateurs doivent être fixés et conduire à une amélioration. Ils doivent impliquer une contrainte raisonnable sur le prestataire, et être en ligne avec les attentes de qualité de service du client… La mise en place de ce pilotage vertueux et incitatif conduit naturellement à une performance et amélioration continues.

Une optimisation du quotidien qui passe par de nouveaux process et outils

La mise en place de centres de services s’accompagne aussi de difficultés dans la gestion de la relation au quotidien avec le fournisseur. Le passage du « faire » au « faire-faire » dans une logique d’unité d’œuvre est souvent perçu comme un accroissement de « paperasserie » souvent incontournable : formalisation des demandes, contrôle des résultats. Une bonne pratique : mettre en place un outil de gestion de la demande pour simplifier et homogénéiser le traitement opérationnel des demandes, automatiser la facturation (via une interface avec le workflow achat) et faciliter le pilotage (en calculant automatiquement certains indicateurs contractuels).

Au-delà des process, il faut également penser aux outils à mettre à disposition des collaborateurs pour répondre aux problématiques récurrentes relatives aux moyens logistiques et techniques : quelles solutions techniques pour permettre au centre de services de travailler depuis son site ? Quels outils pour partager la documentation ? Quelles conditions de fourniture de postes de travail, de logiciels ?

Rassurer, accompagner et former les collaborateurs : le triptyque de la réussite

Les collaborateurs internes sont au cœur de cette transformation de la sous-traitance. Il est nécessaire de ne pas négliger la conduite de changement :

1 – En les rassurant

L’émergence des centres de service concentrés sur des périmètres d’activités (développement, administration, architecture…) suscite chez eux des interrogations sur leur positionnement et leur évolution qui peuvent vite devenir anxiogènes. L’étape préalable au déploiement des centres de services consiste ainsi à clarifier la position du centre de service dans la stratégie de sourcing et vis-à-vis des collaborateurs. Ensuite, ce nouveau modèle doit démontrer sa pertinence, notamment par rapport à des modèles type « régie » où la performance est peu factualisée. La mise en place d’un tableau de performance et sa communication à tout niveau dans l’organisation permet rapidement de montrer la valeur ajoutée apportée et de rassurer l’ensemble des acteurs.

2 – En les accompagnant

Le passage en centre de service implique une évolution voire une révolution des modes de fonctionnement (travail à distance, pilotage par les indicateurs…) qui doit être appropriée par les collaborateurs. Par ailleurs, il est important de bien les accompagner sur les nouveaux process et outils : mise à disposition complète d’une offre de services, d’un document pédagogique sur l’intranet…).

3 – En les formant

De nouvelles opportunités s’offrent aux collaborateurs travaillant avec un centre de services. C’est l’occasion pour eux de gagner en responsabilité et en proactivité au travers d’activités de pilotage nécessitant rigueur et prise de hauteur. Autant de qualités nécessaires et sur lesquelles se former pour cadrer, challenger et valider les prestations des centres de services : pilotage de projet, animation de contributeurs multiples, formalisation synthétique… Ainsi, pour accompagner ses collaborateurs, la DSI a un devoir de formation et de valorisation des compétences acquises ou à développer.

Mobiliser l’ensemble du management : l’étape incontournable

La mobilisation du management est la clé de la transformation. Le top management doit, et ceci est souvent sous-estimé, donner la vision et sponsoriser la mise en œuvre. La mobilisation du management opérationnel est souvent autant négligée qu’elle est primordiale. Primordiale car ces acteurs seront les relais de proximité de la transformation. Ils devront accompagner leurs collaborateurs dans l’évolution de leur métier. Par ailleurs, ces managers opérationnels seront certainement également en plein questionnement sur l’impact de la mise en œuvre des centres de services sur leur activité.

Ainsi, pour réussir la mise en place d’un centre de services, voilà autant de challenges à relever pour la DSI. Un travail endurant mais qui fait ses preuves.

Cet article Les centres de services : une transformation impactante pour vos collaborateurs ! est apparu en premier sur RiskInsight.

Savoir se transformer pour perdurer

Aujourd’hui  nul ne contestera que l’évolution est inhérente à la vie des entreprises. Pour perdurer elles doivent savoir se transformer, repenser leur structure, se doter d’outils performants et innovants. Des transformations qui peuvent être choisies (fusions-acquisitions, développement de nouveaux marchés, optimisation interne) mais également subies (crise, baisse d’activité, émergence de nouveaux usages web…). Des transformations qui, compte-tenu du contexte économique, ont de fortes chances de se multiplier l’année prochaine.

Pour autant, ces transformations sont encore mal maîtrisées et les résultats pas toujours au rendez-vous. Plus de 40% des dirigeants n’en sont pas satisfaits. Un constat troublant alors même que ces transformations sont de plus en plus fréquentes et les résultats attendus de plus en plus rapidement. D’autant plus troublant que la première cause d’échec des projets de transformation, loin devant les autres, est la perception de changements trop précipités.

Rapprocher rythme d’entreprise et rythme « humain »

Ce paradoxe met en évidence l’apparente incompatibilité du rythme de l’entreprise (vite, vite, vite) et du rythme « humain » pour l’appropriation, la remise en question, l’adaptation, l’apprentissage.

Comment rapprocher ces deux visions ? La clé tient en la maîtrise du rythme, des changements de rythme ou de variation des dynamiques. Il faut être en capacité d’accélérer lorsque c’est opportun, de ralentir au bon moment, anticiper lorsque les circonstances sont favorables, savoir où et quand investir énergies et ressources.

Pour rendre possible la maîtrise du rythme, certaines conditions favorables sont à réunir. J’en vois au moins deux. Première condition, le développement d’un désir partagé de transformation. Ce désir naît de la prise de conscience du besoin vital de changement pour l’entreprise. Pour conduire cette épreuve de vérité, la communication du sens de la transformation est nécessaire, mais elle ne suffit pas. Il faut provoquer un véritable électrochoc pour passer outre le déni de réalité. Seconde condition de succès, une trajectoire réactive. Revoir les orientations, accélérer, faire une pause…supposent la création d’une coalition puissante pour guider la transformation (équipe projet, sponsors) et des outils de pilotage de la performance et de l’engagement des parties prenantes.

La transformation est une aventure passionnante et de longue haleine. Bien la piloter, c’est être flexible et pragmatique, c’est aussi être engagé et faire ensemble…Des défis que beaucoup auront sans doute à relever en 2012 !

Cet article TRANSFORMATION – « Sans émotions, il est impossible de transformer les ténèbres en lumière et l’apathie en mouvement » Carl Gustav Jung est apparu en premier sur RiskInsight.

• Des marchés qui continuent à exiger de fortes rentabilités ;
• Des sources de financement qui se tarissent, réduisant ainsi les capacités de financement pour conduire des grands chantiers (métier ou SI) ;
• Des clients de plus en plus soucieux qui limitent voire reportent leurs achats.

Cette nouvelle période de crise, comme les précédentes, va modifier l’écosystème, le positionnement des entreprises et les modes de consommation.

Les entreprises sont donc amenées à financer les investissements qui leur assureront de traverser la crise en minimisant les impacts tout en réalisant de profondes transformations.

Si l’obtention des fonds est primordiale en ces temps de crise, elle ne garantit pas pour autant l’atteinte des résultats. Seules les entreprises qui ont la capacité à faire travailler ensemble métier et SI pourront prétendre mener sereinement leurs transformations.

Synergie dans l’émergence des nouveaux services

De plus en plus, les services tiennent compte des usages (situations de consommation) et donc des médias pouvant les supporter (moyens pour consommer ou accéder aux services). S’il est de la responsabilité du métier de définir les cas d’usage, la DSI a toute sa légitimité pour porter l’innovation au cœur des métiers en travaillant sur les médias. Avec l’internet mobile, les réseaux sociaux ou demain les tablettes, le SI et le métier deviennent des prescripteurs complémentaires. La DSI propose ainsi au métier des moyens pour supporter de nouveaux usages et participe alors au développement de nouveaux services.

Synergie dans la mise en œuvre des projets

De nombreux programmes pluriannuels nécessitent des ajustements de trajectoire afin de tirer parti des enseignements des chantiers déjà réalisés. Ainsi, dans les programmes multicanaux, le niveau d’automatisation d’un processus de vente vu de l’entreprise cède souvent le pas au besoin de « proximité » vu du client. La DSI est alors porteuse de valeur lorsqu’elle met en œuvre des solutions autorisant un tel changement de paradigme. Parallèlement, en demandant des cycles de livraison plus courts pour ses programmes de distribution, le métier oblige la DSI à rendre son cœur de SI plus facilement accessible et à mettre en œuvre des moyens de découplage (producteur, distributeur) pour l’ensemble du SI.

Synergie dans la définition et la conduite des grands chantiers de transformation

Aujourd’hui, les évolutions majeures du métier ont un impact sur le SI et réciproquement. Toutefois, l‘historique de l’entreprise combiné à l’évolution rapide des technologies a contribué à l’émergence de SI souvent peu alignés sur le métier. Cet état de fait diminue la capacité des entreprises à conduire des programmes dans des délais courts. Les DSI doivent profiter de chaque chantier comme élément de synergie afin de compléter cet alignement et se mettre en situation de transformer « à la demande » le SI.

Les DSI se professionnalisent dans une vision « client / fournisseur » avec notamment le développement d’offres de services. Toutefois, le SI ne doit pas considérer le métier comme un simple client mais bien comme un partenaire. En effet, pour enclencher les actions côté SI, seule la vue métier permet de définir et prioriser les chantiers. De cette capacité à réconcilier les vues (métier et SI) et développer des synergies naîtront les leviers de la performance de demain.

Cet article SYNERGIE – Entre Métier et SI : une stratégie gagnante est apparu en premier sur RiskInsight.

Notre environnement connecté devient alors entièrement mobile, comme nous le sommes par nature. L’information, le contenu et la connectivité sont les mêmes partout et à tout moment. À ce titre, l’année 2012 s’impose plus encore que la précédente comme « l’année du tout mobile » avec un double enjeu pour l’entreprise.

S’adapter à une clientèle mobile

L’entreprise va d’abord devoir s’adapter à la mobilité de sa clientèle et lui proposer une relation client multicanal à la hauteur de ses attentes de nomade. À ce titre, le canal mobile (sur smartphone ou tablette) doit être considéré comme un canal de relation client à part entière lors de l’élaboration d’une stratégie de relation client. La cohérence et la continuité des parcours clients entre les canaux doivent notamment être maintenues.

En parallèle, et au-delà d’un objectif de fidélisation client, la mobilité apporte son lot d’opportunités de croissance en permettant aux clients de l’entreprise de s’informer sur l’offre de service de cette dernière, d’échanger avec elle et d’acheter ses produits lors de leurs déplacements. L’entreprise, pour bénéficier de ces opportunités, doit alors développer une stratégie internet mobile ambitieuse au risque de se voir distancer par ses concurrents.

Enfin, ces nouveaux canaux de relation client mobiles représentent une nouvelle opportunité, après le web, de dématérialiser certains pans de la relation client (les actes de gestion à plus faible valeur ajoutée prioritairement ; citons par exemple les modifications de données personnelles), avec des économies substantielles à la clé.

Intégrer la mobilité des collaborateurs dans l’organisation

L’entreprise doit par ailleurs préparer et intégrer la mobilité de ses collaborateurs dans son activité, son organisation et ses processus d’affaires. La frontière entre les usages numériques de la sphère privée et publique s’affine jour après jour et l’expérience de la mobilité des employés dans leur quotidien s’impose nécessairement dans leur environnement professionnel. Cette tendance concerne de surcroît tous les collaborateurs : cols bleus, cols blancs, VIP.

L’entreprise doit fournir à ses employés des solutions professionnelles adaptées dans une logique pro/perso ou accepter les outils de la sphère privée dans l’environnement professionnel (le Bring Your Own Device ou BYOD).

Une fois les obstacles sécuritaires, RH et juridiques passés, l’entreprise bénéficiera d’un ensemble de solutions permettant à ses collaborateurs d’accéder à ses ressources et de participer à son activité en tout lieu et à tout moment. Dans une double optique de simplification et d’optimisation, l’entreprise peut aussi ouvrir ces solutions à ses partenaires et fournisseurs en mettant en place un SI mobile étendu lui permettant de jouir d’une productivité et d’une performance d’ensemble significativement améliorées.

Un accompagnement nécessaire sur le front de la mobilité

Les nouveaux usages mobiles représentent donc un grand nombre d’opportunités de développement et de croissance.

Pour en tirer l’intégralité des bénéfices, l’entreprise doit être capable d’anticiper les nouveaux usages mobiles et piloter l’innovation pour conserver une longueur d’avance. Il s’agit, en amont de toute démarche à teneur mobile (déploiement d’un canal de relation client internet mobile, lancement d’une plate-forme de m-commerce, intégration d’une flotte de tablettes en entreprise), d’en bien comprendre les usages et de piloter en interne l’innovation depuis l’émergence de l’idée jusqu’à sa mise en œuvre sur le marché ou auprès des collaborateurs.

L’entreprise doit aussi repenser sa stratégie de relation client multicanal en l’adaptant aux canaux mobiles pour tirer pleinement partie de ces-derniers en termes de fidélisation client, de développement d’activité et d’optimisation des coûts.

Enfin, il est essentiel qu’elle aborde la mobilité de ses collaborateurs comme un chantier à part entière de ses principaux projets de transformation, en prenant la mesure de ce qu’elle peut apporter en termes de productivité et de performance.

Cet article MOBILITE – 2012, l’année du tout mobile ? est apparu en premier sur RiskInsight.

Ce type de méthode, très participative, répond surtout à un enjeu majeur pour les entreprises : renforcer l’engagement des collaborateurs dans la conduite des stratégies d’ajustement à des environnements en constante transformation.

De la difficulté de mobiliser dans des contextes de transformation

Les entreprises savent combien il est difficile de mobiliser efficacement les collaborateurs pour les engager collectivement dans les dynamiques de transformation stratégique, notamment quand les résultats obtenus impliquent que les changements générés par une transformation soient complètement « intégrés » dans le fonctionnement au quotidien de l’entreprise.

Une enquête récente de Solucom sur les grands projets transformation dans le domaine des systèmes d’information, fait ressortir la communication comme l’un des principaux facteurs clés de succès pour 46% des directeurs des systèmes d’information interrogés.

Et dans ce contexte, les managers sont aujourd’hui de plus en plus conscients du rôle primordial que peuvent y jouer les méthodes de travail participatives.

Quand le jeu met l’intelligence collective en mouvement

Par leur caractère innovant et leur efficacité opérationnelle, les jeux constituent un excellent moyen de mettre en mouvement l’intelligence collective au sein de l’entreprise.

Le jeu place le participant dans un contexte nouveau, en rupture avec ses activités habituelles et le déroulement classique des réunions. La personne est plus détendue, réceptive, motivée. Et donc les résultats meilleurs.

Par nature, le jeu est une méthode active, assise sur un subtil équilibre entre production et émotion, entre contenu et relation…comme dans la vie réelle.

Les jeux professionnels diffèrent des jeux purement ludiques par leur finalité. Ils sont conçus pour répondre à un objectif bien précis qui peut être de partager un message (communication), trouver des idées et des solutions (co-construction), analyser une situation (diagnostic partagé), former (appropriation, mémorisation).

Le choix du jeu (la forme, la règle) et son contenu dépendent de l’objectif visé et du contexte d’application (nombre de participants, temps disponible).

Des bénéfices certains dans des contextes dynamiques

Dans le contexte plus courant de partage d’un message, l’utilisation de méthodes ludiques répond à un enjeu de mémorisation, qui, pour être maximisée, doit impliquer le participant dans une action d’intégration.

En impliquant les participants les jeux permettent d’éviter une déperdition d’informations trop importantes et en agissant à la fois sur le contenu/la production et le ressenti/l’émotion/les représentations, ils permettent au collectif de travailler sur une matière beaucoup plus riche et plus en rapport avec les facteurs de motivations et d’engagement.

Dans un environnement complexe et en transformation, où, comme on l’a vu, la mobilisation est un facteur clé de réussite, le jeu permet de se connaître, se comprendre, co-construire,  s’ajuster pour être finalement plus efficace, plus innovant et gagner du temps. Les jeux peuvent être utilisés dans toutes les phases d’un projet ou d’une dynamique : diagnostic, conception, planification, mise en œuvre, bilan.

Un acteur de l’assurance s’est ainsi appuyé sur le « jeu de l’enveloppe »  pour faire travailler, en mode co-construction, cinquante personnes issues du top management de ses fonctions clés (vente, marketing, RH, finance…) sur son nouveau plan stratégique. Le jeu a permis d’aboutir à une bonne compréhension des exigences du projet d’entreprise pour sa fonction et les autres fonctions de l’entreprise.

Le succès n’est cependant jamais assuré. C’est autant par les caractéristiques techniques du jeu et donc le choix du jeu le plus pertinent par rapport à l’objectif visé que par la mise en œuvre et donc par l’animation que le succès sera au rendez-vous. Une mise en œuvre et des conditions de succès que nous aborderons dans le cadre d’un second volet.

Pour en savoir plus consulter :

Focus intelligence collective

Enquête grands projets

Cet article Intelligence collective : jouer pour mieux travailler 1/2 – Comment renforcer l’engagement des collaborateurs dans un contexte de profonde mutation? est apparu en premier sur RiskInsight.

Selon cette enquête, quels objectifs les entreprises poursuivent-elles à travers la transformation de leur système d’information ?

Sans surprise, la réduction des coûts apparaît comme un objectif des transformations dans 62% des cas ! Il est même l’objectif principal dans 35% des cas. Cette réduction des coûts traduit soit une volonté de diminuer les coûts de fonctionnement du SI, soit, comme l’enquête le révèle pour une majorité d’acteurs, l’ambition d’utiliser le SI comme un vecteur pour optimiser les coûts des processus métiers, qu’ils soient transverses (RH, finance, achats…) ou relatifs aux activités opérationnelles.

Pour répondre à ce besoin de réduction des coûts, les grandes entreprises font appel à trois principaux leviers techniques et organisationnels. Premier d’entre eux,  la rationalisation des infrastructures pour 62% des répondants, car elle est source d’économies substantielles grâce au double effet de la centralisation/mutualisation (datacenters, réseaux…) et  de l’usage de technologies de virtualisation désormais disponibles.

Second levier, la transformation du sourcing. Utilisée dans plus d’une transformation sur deux, elle permet de gagner en flexibilité et répond à la nécessité d’organisations plus rationnelles et maîtrisées faisant appel à une sous-traitance plus ciblée. Il est à noter que la majorité des grandes entreprises françaises, à la différence de leurs homologues anglo-saxonnes, donnent la préférence à des choix multiples de grands fournisseurs selon leurs domaines d’excellence.

La convergence des applications qui permet une réduction du poids de la maintenance  et une meilleure adéquation aux processus arrive juste derrière, à hauteur de 46%.

Les entreprises sont donc majoritairement à la recherche de réduction de coûts. N’est-ce pas contradictoire avec la place stratégique que revêt aujourd’hui le SI dans l’entreprise ?

En effet, souvent étroitement lié à la réduction des coûts, l’alignement du SI avec la stratégie business s’impose comme le deuxième objectif majeur des transformations SI, dans 54% des cas recueillis. Les éléments de la transformation sont ici liés à l’agilité du SI et à la richesse fonctionnelle… Dans les faits, une part significative de ces straté­gies d’alignement concerne la filière front office (commercial / relation clients). Elles sont privi­légiées dans les secteurs finance et B2C.

Concrètement, comment se traduit cet alignement ?

Il se traduit par notamment par une optimisation de la gouvernance, qui évolue dans 73% des entreprises interviewées. Il s’agit là d’un rééquilibrage des modes de pilotage entre une DSI qui doit innover et les directions métiers qui doivent dégager des moyens et arbitrer. Cette évolution implique également un management global de la filière SI par la direction générale.  Ensuite, la rénovation (notamment la création de nouveaux services 2.0) et l’urbanisation du SI, principalement  dans le secteur tertiaire et B2C sont les leviers les plus utilisés.

Télécharger l’enquête complète au format PDF.

Pour en savoir plus, participer au webminar organisé le 18 octobre par PAC et Solucom.

Cet article La réduction des coûts, premier objectif des transformations du SI est apparu en premier sur RiskInsight.

Ces dernières décennies ont connu de profonds bouleversements d’origines économique, sociale, géopolitique et technologique : mondialisation et compétition internationale, ouverture à la concurrence des marchés régulés, crises financières successives. Dans ce contexte les entreprises ont dû apprendre à évoluer plus rapidement et quelques buzz words sont apparus dans leurs priorités stratégiques : flexibilité, agilité, time-to-market. C’est un contexte qui a contraint les grandes entreprises à évoluer et à multiplier les chantiers de transformation. On estime ainsi que leur nombre aurait triplé entre les années 1990 et 2000 !

Ainsi, parmi les quatre facteurs déclencheurs de transformation soulignés par les DSI que nous avons interrogés – menaces concurrentielles, globalisation/internationalisation, environnement économique et financier, règlementation/dérèglementation – le premier ressort  comme majeur (46%). Cela s’explique notamment par la montée en puissance des pays émergents mais aussi par l’explosion des usages de l’internet qui a introduit une véritable rupture dans le monde B2C.

Quelles formes revêtent ces transformations ?

Les transformations stratégiques comme les fusions et concentrations (par exemple Gaz de France / SUEZ), les restructurations et les changements de business models (comme la création d’une activité bancaire à La Poste) sont présents dans 70% des cas rencontrés dans le cadre de notre enquête. Les transformations directes de processus métiers – back-office des banques, dossier « patient » dans la santé…-  sont présents de leur côté dans 20% DES CAS et concernent essentiellement les métiers tertiaires. Enfin, les refontes et les modernisations du système d’information, sous l’influence de nouvelles technologies (ERP, cloud…), sont présentes dans  40% des cas étudiés.

Quel est l’impact de ces transformations sur le système d’information ?

L’impact est systématique ! Le système d’information est devenu la colonne vertébrale des entreprises depuis qu’il a envahi tous les processus de l’entreprise, y compris jusque dans leurs métiers. Quelle entreprise grande entreprise peut aujourd’hui survivre et évoluer sans un système d’information performant ?

A titre d’illustration, 80 milliards d’euros sont dépensés chaque année par la entreprises françaises pour la fonction SI …dont 50 milliards par les grandes entreprises (CAC 40, SBF 120). Dans cette dépense, le poids des SI « cœur de métier » ( production industrielle, bureaux d’études, plate-formes de relation client…) s’accroît au détriment des SI « support » (finance, RH…)

L’enquête Solucom/PAC confirme bien le lien de plus en plus direct entre les facteurs déclencheurs de transformation évoqués ci-dessus et les transformations menées par les entreprises et administrations qui se répercutent systématiquement sur les systèmes d’information.

Interview réalisée dans le cadre de la parution de l’enquête Solucom/PAC  « Réussir les grands projets de transformation : enquête auprès de 30 grandes entreprises et administrations françaises. »

Jean-François Perret est Vice-président du conseil de surveillance de Pierre Audoin Consultants, société internationale de conseil et d’études marketing  et stratégiques.

Cet article Le SI au cœur des transformations stratégiques des entreprises est apparu en premier sur RiskInsight.

Ces transformations du SI associent de multiples aspects. Elles répondent toujours à un enjeu d’entreprise important sur lequel le DSI est fortement engagé. Elles englobent une multiplicité de projets à conduire en parallèle avec une grande complexité de pilotage. Elles induisent une rupture dans les « habitudes » et les modes de fonctionnement des équipes SI, avec la transformation des organisations, des processus et des modes de sourcing. Elles bouleversent les pratiques et les compétences du fait du fort impact des évolutions techniques. Elles s’accompagnent de changements de posture dans la gouvernance du SI, c’est-à-dire dans la relation de la DSI avec la direction générale et avec les métiers.

Même si le rythme de ces transformations s’accélère, ce n’est pas encore un exercice familier et maîtrisé. Elles exigent des dispositifs de pilotage adaptés, une grande attention à la gestion du changement et un lien étroit et permanent avec la direction générale, autant de sujets sur lesquels la marge de progression est encore importante.

Jusqu’à présent, les travaux relatifs aux bonnes pratiques de pilotage de ces grandes transformations SI ont été peu nombreux et le plus souvent confidentiels. Solucom et Pierre Audoin Consultants ont donc décidé d’associer leurs efforts pour lancer une première enquête sur les bonnes pratiques en la matière. Nous avons ainsi rencontré une trentaine de DSI de grandes organisations privées ou publiques. Ils nous ont fait part de leurs expériences, que nous avons pu confronter avec notre propre retour terrain.

Pour en savoir plus

Pour lire plus d’articles sur le secteur de l’énergie, cliquez ici.

Cet article Réussir les grands projets de transformation, une enquête Solucom/PAC est apparu en premier sur RiskInsight.