Certes, les attaques évoluent, exploitant de plus en plus des vulnérabilités non dévoilées (type 0-days), ou faisant appel à des méthodes de phishing avancées contre lesquels les antivirus paraissent bien impuissants.

Même s’ils sont aujourd’hui loin d’être suffisants, leur utilité est pourtant toujours réelle.

 De l’antivirus au client unique de sécurité, les éditeurs ont fait évoluer leur offre

L’outil désigné par « antivirus » couvre en fait, dans la majorité des cas, plusieurs fonctions : antivirus (et de manière plus générale, antimalware), mais aussi pare-feu personnel, Host IPS (HIPS), outil de contrôle des ports USB…

C’est ce que l’on appelle le « client unique de sécurité » sur le poste de travail.

Il constitue aujourd’hui un rempart évident contre les infections, en particulier celles qui sont involontaires (clé USB infectée) ou récurrentes (virus anciens qui réapparaissent ponctuellement).

L’expérience des nombreux audits menés par Solucom montre qu’il protège parfois aussi contre des attaques plus complexes. Il peut par exemple détecter l’ exploitation d’une vulnérabilité pour laquelle le système n’aurait pas reçu le correctif, de type Conficker.

Il suffit d’ailleurs de se connecter à une console antivirus d’entreprise pour s’en convaincre : les détections/suppressions de virus sont encore nombreuses et régulières. En particulier, on constate souvent un pic lors des fameux scans hebdomadaires, souvent décriés par les utilisateurs pour les ralentissements qu’ils provoquent sur les postes (et leur manque d’efficacité supposé).

Plusieurs initiatives de grands comptes visant à diminuer leur fréquence ont d’ailleurs vu le jour.Elles n’ont jamais abouti, tant ces scans paraissent aujourd’hui encore  nécessaires – ne serait-ce que dans un rôle de « voiture-balai » afin de nettoyer le résidu récurrent de logiciels malveillants en tout genre. En revanche, une approche réaliste pour réduire le temps de scan est possible : réaliser un scan différentiel. Seuls les fichiers modifiés par rapport à la semaine précédente sont scannés.

 Le futur des antivirus est… dans le Cloud !

 Pour autant, les limites des antivirus ne font que s’affirmer depuis des années :

•  Les malwares sont de plus en plus complexes, leurs variantes innombrables, et même les éditeurs les plus réactifs ne sont plus capables de suivre la cadence.

• Dans les meilleurs cas, les définitions virales sont mises à jour quotidiennement sur les postes de travail : c’est déjà trop au vu des vitesses de propagation.

Un problème d’historique apparaît également : comment cumuler toutes les définitions de virus anciens et nouveaux, sans que la taille des fichiers contenant ces définitions n’explose, ralentissant encore le poste de travail, tout en nécessitant de plus en plus de temps à déployer ?

Les éditeurs d’antivirus commencent à proposer une réponse à ces problématiques, à travers le Cloud. Plutôt que de scanner un fichier sur le poste de travail, il s’agit d’en faire un hash (empreinte unique pour chaque fichier), qui est envoyé sur un serveur de l’éditeur, dans le Cloud. Il est alors comparé à une base de données mondiale, et peut même faire l’objet d’une note de « réputation » selon sa probabilité d’être ou non malveillant. L’information est alors renvoyée à l’antivirus sur le PC, qui prend les actions nécessaires le cas échéant.

Cette méthode prometteuse a toutefois ses contraintes : la nécessité d’une connexion internet, de qualité et le manque de maîtrise de la réaction de l’antivirus en cas de faux positif.

 Des changements de plateforme structurants

 Un dernier élément vient s’ajouter à la question de l’évolution des antivirus : il s’agit de l’évolution des systèmes d’exploitation eux-mêmes.

Les OS modernes intègrent en effet un certain nombre de mécanismes de sécurité natifs, qui rendent les attaques plus difficiles : isolement inter-applicatif, applications et drivers signés, mécanismes de cryptographie…

 Les deux principales plateformes mobiles en sont un bon exemple : tandis que l’efficacité des rares antivirus reste à démontrer sur Android, ils sont tout simplement interdits par Apple sur iOS. Pourtant, à part quelques vulnérabilités médiatisées, les cas d’infection dans le cadre d’une utilisation normale sont anecdotiques.

Ceci reste cependant à nuancer : les attaquants évaluent au final les coûts/bénéfices de chaque type d’attaque. Lorsque le développement de virus sur smartphone sera plus lucratif que l’exploitation d’une faille de navigateur Web, il deviendra sans doute à la mode…

Le cas de Windows 8 est encore différent : s’il dispose d’un environnement « nouvelle génération » avec les applications du Windows Store, il propose une rétrocompatibilité avec les programmes plus anciens… y compris malveillants.

N’enterrez donc pas tout de suite votre antivirus, il pourrait encore vous servir pendant des années !

Cet article Un antivirus sur votre PC entreprise en 2013 ? Pour quoi faire ? est apparu en premier sur SOLUCOMINSIGHT.

Le chiffrement « classique » : une réponse partielle aux inquiétudes

Dans ce cadre, l’envie de conserver une mainmise sur les données de l’entreprise émerge rapidement, et les technologies de chiffrement font leur retour sur le devant de la scène. L’idée serait de traiter au niveau du cloud des données chiffrées afin de limiter les risques d’écoute. Ceci est possible par exemple pour un service de stockage en ligne. Les données sont chiffrées dans l’entreprise puis envoyées sur le serveur, lors de l’accès elles sont déchiffrées localement par l’utilisateur. Cependant se pose rapidement la question de la capacité à traiter les données, en effet les attentes métiers vis-à-vis du cloud vont bien au-delà d’un simple espace de stockage !

Il est alors possible d’envisager un chiffrement uniquement au moment du stockage chez le fournisseur. Lors d’un traitement interne au service cloud (recherche de données, édition de bulletin de paye, calcul scientifique…) le fournisseur pourrait déchiffrer les données, réaliser le traitement puis chiffrer à nouveau. Cette méthode fonctionne techniquement mais elle ne répond pas aux multiples interrogations. En effet, pour que ce mécanisme fonctionne, le fournisseur doit disposer des clés de chiffrement. Mais qui nous assure alors qu’elles ne sont pas utilisées à mauvais escient ? Et ceci aussi bien par des employés du fournisseur, que des tiers (autorités ou pirates par exemple) qui auraient accès aux systèmes de gestion de clés.

Une solution à suivre : le chiffrement homomorphique

Depuis des années, une solution à ce problème mûrit dans la tête des chercheurs : le chiffrement homomorphique. Derrière ce terme complexe se cache une idée simple : pouvoir réaliser des traitements directement sur des données chiffrées, sans avoir besoin de les déchiffrer ! Depuis 2009, de nombreuses avancées ont été réalisées dans ce domaine en particulier au MIT. Récemment, une équipe d’IBM a même mis à disposition une implémentation concrète (code source à l’appui) de cette méthode. Aujourd’hui, il existe encore un grand nombre de limitations, en particulier par rapport à la vitesse de traitement ou les opérations réalisables. Il faudra également que cette méthode et son implémentation soient analysées par des experts en chiffrement pour en garantir la robustesse.  D’autre part, il faudra toujours que l’entreprise fasse l’effort de gérer correctement ses clés de chiffrement. Le quotidien nous montre qu’aujourd’hui c’est encore rarement le cas !

Une avancée à suivre de près !

Le chiffrement homomorphique représente une avancée importante dans l’industrialisation de l’informatique. Les annonces récentes ont été largement saluées dans les différentes communautés sécurité. Sa mise en œuvre pourrait lever les nombreux freins qui existent encore aujourd’hui par rapport à la localisation des données ou encore aux fournisseurs. Même s’il faudra encore attendre quelques années avant une possible démocratisation, il s’agit clairement d’un sujet à garder dans le radar de la veille !

Cet article Chiffrement : la clé d’un cloud computing sécurisé ? est apparu en premier sur SOLUCOMINSIGHT.

À l’heure où les métiers aspirent à de plus en plus d’autonomie dans la gestion de leur SI et se laissent séduire par des services clé en main fournis directement par des sociétés externes, les SSII internes peuvent-elles concurrencer les poids lourds du secteur de l’infogérance ?

La SSII externe, champion en titre

Les chiffres d’affaires des SSII externes peuvent atteindre plusieurs dizaine de milliards d’euros. En France, le secteur des sociétés de services en ingénierie informatique représente environ 400 milliards d’euros et compte 250 000 emplois. Les SSII externes ont le vent en poupe, et pour cause : le modèle de ces sociétés permet aux DSI des plus grandes entreprises d’accéder rapidement à des compétences et expertises dont ils ne disposent pas en interne.

Elles offrent aux DSI flexibilité et qualité à faible coût, particulièrement sur des activités dites « de commodités » où les niveaux d’industrialisation et de standardisation sont élevés.

La SSII interne, un challenger de taille et d’avenir

La SSII interne a néanmoins beaucoup d’atouts et représente, par son positionnement et son historique, un sérieux compétiteur face à la SSII externe.

Pour commencer, l’appartenance de la SSII interne à l’entreprise la positionne comme un partenaire naturel des Métiers. La SSII interne dispose d’une relation privilégiée avec les Métiers et d’une connaissance précise et approfondie du contexte et de leurs besoins acquis par un accompagnement dans la durée. Elle démontre également une capacité à aligner ses priorités sur les leurs. Cet alignement est garanti par des mécanismes de gouvernance mobilisant la DSI et les Directions métiers.

Par ailleurs, la SSII interne sait investir et assurer les activités stratégiques de la DSI lui permettant de devenir un acteur majeur du développement des Métiers. Elle sait apporter une expertise « contextuelle » pour maîtriser l’évolution du SI dans la durée au travers d’activités d’urbanisation, d’architecture et d’évaluation de la pertinence des solutions proposées. Elle sait également piloter la mise en œuvre de projets complexes nécessitant une excellente connaissance des acteurs, des besoins et du SI. Enfin, elle a développé un vrai savoir-faire de pilotage de la qualité et des coûts lui permettant d’ajuster les moyens aux besoins des métiers. La mise en place de dispositif de gestion de la relation fournisseur permet notamment de garantir la flexibilité de la DSI dans sa réponse à la hausse ou à la baisse des besoins des Métiers.

Enfin, la SSII saura investir et innover, dans l’intérêt général de l’entreprise, pour répondre à des besoins spécifiques des Métiers là où la logique de performance économique ou opérationnelle à court-terme n’est pas favorable.

En somme, si de prime abord il paraît compliqué de mettre en compétition directe la SSII interne avec le marché mature et fortement concurrentiel des SSII externes, c’est en mettant en avant sa différence de positionnement qu’elle démontrera sa valeur ajoutée. En complément, c’est également en tirant parti des points forts des SSII externes comme l’industrialisation, la standardisation que la SSII interne saura maximiser la valeur apportée aux Métiers.

Cet article SSII interne versus SSII externe : David contre Goliath ? est apparu en premier sur SOLUCOMINSIGHT.

 Un outil collaboratif améliorant la productivité et l’efficacité des équipes

L’utilisation de Lync répond en premier lieu à un besoin utilisateur : il leur permet en effet de retrouver les fonctionnalités dont ils disposent dans leur environnement privé. Au-delà de satisfaire ce besoin, l’outil permet une amélioration de la productivité au quotidien.

Cette solution collaborative, qui s’intègre nativement avec l’écosystème Microsoft (Active Directory, Exchange…),  offre des fonctionnalités de messagerie instantanée, de partage d’écran et d’applications, très simples à utiliser, et disponibles via un seul et même outil.

Le chat, au contraire du mail, est un outil synchrone permettant des échanges rapides et adaptés à des situations moins formelles, alors que le statut présentiel permet de visualiser si le contact recherché est disponible à cet instant. Les fonctionnalités de partage d’écran, d’application, ou de tableau blanc rendent plus efficaces les discussions téléphoniques, quand un simple clic permet d’afficher le contenu visualisé par le correspondant, et d’interagir avec lui. Il est également possible pour des collaborateurs à distance de suivre en direct le déroulement d’une présentation menée par l’animateur depuis son poste. Lync Web App permet  au présentateur de réaliser ce partage avec des collaborateurs externes à l’entreprise ou ne disposant de compte ou de client Lync. Avec la version 2013, et le module Office Web Apps, le partage est rendu disponible sur de nombreux appareils mobiles.

Si l’utilisation de ces fonctionnalités est très simple au quotidien, il ne faut toutefois pas négliger la communication et l’accompagnement du changement, qui est une clé essentielle pour obtenir l’adhésion des utilisateurs.

Une solution de communication génératrice d’économies ?

Une partie des entreprises se tournent vers Lync à des fins de réduction de coûts, notamment les frais de déplacements et de téléphonie. En effet, Lync, grâce à la VoIP, permet de réaliser des communications audio et vidéo, avec une ou plusieurs personnes, évitant par exemple à des collaborateurs d’une entreprise internationale de se déplacer.

Toutefois, pour assurer le bon fonctionnement de ce type de communications, le facteur clé est la bande passante qui leur est allouée. Le débit nécessaire est à calculer en fonction des besoins et usages auxquels on souhaite répondre à l’aide d’abaques officiels. Il sera éventuellement nécessaire de procéder à l’augmentation de cette capacité, pouvant donc générer des coûts récurrents supplémentaires. Pour limiter les débits engendrés, il existe une solution de bridage dans la console d’administration, la CAC (Call Admission Control). Il reste recommandé de préférer à son utilisation une augmentation des capacités réseau, sous peine de voir les appels utilisateurs fréquemment refusés, poussant ces derniers à délaisser Lync pour des appels téléphoniques.

Trois solutions d’implémentation de la solution existent : on premise, dans le Cloud, ou de manière hybride (combinaison des deux modes précédents). Certaines sociétés font le choix du Cloud avec Lync Online, afin  de réduire les coûts d’infrastructure. Cette alternative leur apporte une certaine souplesse d’administration, et facilite également les migrations vers des versions supérieures, qui permettent d’intégrer rapidement les innovations. Des calculs de ROI standards existent, mais restent à projeter sur des contextes techniques et contractuels propres à chaque entreprise. Nombre d’entre elles préfèrent néanmoins garder la maîtrise de leur infrastructure.

 La solution collaborative Lync offre donc un large éventail de fonctionnalités répondant à un  besoin utilisateur, et permettant une augmentation de la productivité qui ne se mesure que de manière qualitative, et qui ne garantit pas une réduction des coûts IT. Comparé à d’autres solutions plus traditionnelles de salles de conférence, Lync apporte souplesse d’utilisation et facilité d’intégration. Néanmoins, cette solution implique une conduite du changement et une intégration de ce nouveau service dans un environnement déjà existant, et donc des contraintes d’architecture à ne pas sous-estimer.

Cet article Lync : un levier de productivité et d’économie en entreprise ? est apparu en premier sur SOLUCOMINSIGHT.

 De trop nombreux cas de détournement des réseaux sociaux

Mais ces réseaux n’ont pas été conçus initialement comme des outils de communication officielle, maîtrisée et contrôlée. Il est très simple de publier et ­de commenter. L’information est également très rapidement relayée. C’est ce qui fait leur force – mais aussi leur faiblesse quand  leur usage est détourné…

C’est ce qui est arrivé récemment au compte Twitter de l’Associated Press. Agence de presse réputée aux Etats-Unis, l’AP a subi une attaque qui a entraîné la publication sur son fil d’un message annonçant un attentat à la Maison Blanche ! Cette fausse information a été rapidement démentie mais les effets en ont été réels et sérieux : Wall Street a décroché pendant plusieurs heures !

Ce cas n’est qu’un exemple parmi d’autres, nombreux. Nous pouvons citer récemment Burger King  ou encore Jeep  dont les comptes ont été détournés – certes  de manière humoristique – pour faire de la publicité à leur concurrent !

Une sécurité désuète basée sur de simples mots de passe

Mais pourquoi assiste-t-on à cette multiplication de cas ? En partie car il est très simple de prendre le contrôle d’un compte sur un réseau social. Bien souvent celui-ci n’est protégé que par un mot de passe, à la complexité toute relative et qui, surtout, est souvent largement partagé au sein des sociétés  !

En effet, les comptes Twitter et Facebook sont associés à un seul email et à un seul mot de passe. Ces informations doivent donc être partagées si plusieurs personnes sont amenées à faire vivre le compte d’une entreprise. Sans parler des départs ou des mobilités qui laissent des situations souvent désastreuses, il est facile aujourd’hui de piéger le poste de travail d’un employé d’un service communication pour s’emparer de ces identifiants !

 Quelles bonnes pratiques suivre ?

Afin de réduire ces risques, il est possible pour l’entreprise d’utiliser des plates-formes professionnelles d’interaction avec les réseaux sociaux. Ces outils, par exemple SproutSocial ou Hootsuit, permette de masquer le compte Twitter principal et de créer des comptes pour chacune des personnes pouvant intervenir sur les réseaux sociaux. Ces outils ajoutent également une notion de traçabilité et de suivi des actions qui peuvent être intéressantes. Assortis d’une charte de « community manager », ils réduisent les risques d’usages malencontreux ou malicieux.  Mais cela ne réduit pas le risque lié au vol des identifiants.

Pour répondre à cette menace, les fournisseurs de réseaux sociaux réfléchissent actuellement à augmenter le niveau de sécurité de leur service, en particulier en requérant une authentification à deux facteurs à la place du mot de passe. Il s’agira alors pour utiliser le service d’utiliser un mot de passe unique, par exemple délivré par SMS ou via une application dédiée, en complément du mot de passe habituel. Google et Dropbox ont déjà mis en  place ce système avec succès. Les entreprises devront donc faire évoluer leurs pratiques pour inclure ces nouveaux mécanismes.

Cet article Protéger son image sur les réseaux sociaux ou l’hérésie du mot de passe partagé… est apparu en premier sur SOLUCOMINSIGHT.

Bien définir le périmètre du dispositif

La définition du périmètre est l’une des actions clés à mener au départ, en regardant le dispositif sous tous les angles possibles.

• Axe organisationnel : se focalisera-t-on sur les projets d’un domaine particulier de l’entreprise, sensible par le nombre de ses projets, les objectifs stratégiques de l’entité, ou par ses ressources ? Étend-on le périmètre à un champ plus large de l’organisation (inter-domaines, l’entreprise, l’entreprise étendue…) ?

• Axe financier : les portefeuilles de projets intégreront-ils tout projet quel que soit son niveau de dépenses, se concentreront-il sur ceux allant au-delà d’un seuil minimum ? Intègrent-ils tous les investissements et leurs évolutions ?

• A quelle phase du cycle de vie des projets s’intéressera-t-on compte tenu des gains escomptables?

La phase d’instruction des projets candidats est probablement celle qui présente le plus fort potentiel : l’effort est alors concentré sur l’amélioration de la sélection des projets, sur l’optimisation des allocations de ressources, la régulation des demandes de projets. Mais suivre les engagements en cours de réalisation permet également de rechercher les optimisations envisageables entre les projets, de revoir les priorisations et les allocations selon leurs avancements, voire de décider des arrêts ou fusions de projets. La phase de retrait est également une source de gain non négligeable…

Il est possible, voire recommandé, de retenir un périmètre initial sur lequel la démarche sera expérimentée, pour progressivement l’étendre vers un périmètre cible.

Donner du sens à la démarche et mobiliser

Mettre en place de la GPP doit répondre à une stratégie, à une vision de la situation constatée et de l’objectif visé. Formaliser cette vision permettra de lancer une dynamique au sein de l’entité.

Elle favorisera la mobilisation indispensable des acteurs impliqués dans cette démarche. Des sponsors sont à identifier pour la promouvoir et suivre son déroulement.

Définir au préalable les résultats visés en fixant des objectifs quantifiables et pouvant être suivis à l’aide de quelques indicateurs pertinents et faciles à mesurer et à comprendre, donnera du sens à la démarche. C’est se donner les moyens de mesurer les progrès et d’identifier les besoins d’ajustement.

Arrêter les modalités de fonctionnement et de méthodes adaptés

Le fonctionnement de la GPP s’appuie sur des règles, des processus, des méthodes d’évaluation / de priorisation objective des projets, des outils de reporting qui doivent préalablement être définis, documentés et déployés.

Par contre, pour éviter tout risque de rejet de la part des chefs de projet, il faudra veiller à ce qu’un nombre limité d’informations soit à remonter de façon à ce qu’elles puissent être rapidement rassemblées par chacun d’eux, sinon le risque existe de ne pas disposer régulièrement de ces données ou de compromettre leur fiabilité. Par ailleurs, l’efficacité du dispositif tient au fait qu’aucun projet n’y échappe : en concevant le processus de GPP, veiller à ce que tout sponsor et chef de projet « gagne » à passer son projet dans la gestion de portefeuille (par exemple : meilleure prise en compte des alertes sur les moyens, simplification des reportings…).

Organiser les fonctions d’intégration et de support qui sont à assurer.

Compte tenu de l’organisation de l’entreprise, des pratiques existantes de GPP, de son mode de management, il sera nécessaire de décider du degré d’harmonisation et du rythme de convergence de ces éléments au sein de ses entités. Selon ces choix, il peut être intéressant de mutualiser certaines activités.

Dans le cas où la création d’une cellule spécifique PMO (Portfolio Management Office) est envisagée, celle-ci doit disposer des moyens et du soutien lui permettant d’assurer sa mission.

L’accompagnement au changement ne doit pas être négligé pour assurer la réussite de la démarche. Au-delà de la mise en œuvre d’un plan de formation des acteurs (chefs de projet, PMO, responsables de portefeuilles, membres des instances décisionnelles…) à ces processus et outils, il est indispensable de prendre en compte et d’accompagner les changements qu’induit la GPP dans la manière de gérer un projet. Ainsi, un projet n’est plus « autonome », la GPP appelle la mise en place d’une gestion partagée des ressources, elle exige peut-être davantage de transparence…

Ainsi, la mise en place une démarche de gestion de portefeuilles de projets, si elle offre aux directions un outil décisionnel indispensable pour optimiser leurs investissements et la mobilisation de leurs ressources, elle constitue néanmoins un projet d’ampleur non négligeable qu’il faut aborder en prenant la mesure de tous les aspects à traiter…dans le bon ordre…avant d’aborder la délicate question du choix de (s) outil(s)….

Mieux les objectifs, le périmètre de la GPP seront clairs, mieux ses processus et les critères de valorisation des projets seront définis, plus le choix pourra être adapté aux réels besoins de l’entreprise.

Définir le périmètre et les processus liés à votre gestion de portefeuilles de projets

Cet article La gestion de portefeuilles de projets : se donner toutes les chances de succès dans la mise en œuvre ! est apparu en premier sur SOLUCOMINSIGHT.

Anticiper, un prérequis de bon sens mais hélas trop souvent oublié

Par nature, une transformation RH est complexe et doit nécessairement s’inscrire dans la durée. L’exemple le plus évident concerne le temps nécessaire à l’appropriation d’une nouvelle politique de GPEC par les managers, puis par les collaborateurs. Un exercice fiscal complet au minimum est souvent nécessaire à cette appropriation.

D’autres exemples le confirment : une DSI vieillissante souhaitant compenser sa situation par le recrutement d’effectifs plus jeunes a vu sa 1^ère campagne échouer. L’écart de génération était trop important, et la DSI a dû recourir au recrutement préalable d’une génération intermédiaire pour ensuite réussir ses recrutements d’effectifs plus juniors.

5 leviers clés pour garantir l’agilité des collaborateurs

1 – Offrir aux collaborateurs une plus grande visibilité sur leurs perspectives de carrière car pour recruter, les DSI doivent afficher une politique RH et notamment un dispositif GPEC sans faille, associant un management de qualité avec une forte visibilité offerte sur les perspectives de carrière de chaque collaborateur. Ces perspectives doivent être repensées, en favorisant par exemple les possibilités d’évolution horizontales autant que les possibilités d’évolution verticales, et en valorisant autant les voies d’expertise que celles du management, qui doivent d’ailleurs être séparées.

2 – Définir des objectifs favorisant la progression des collaborateurs, en particulier sur des savoir-faire permettant leur adaptation à de nouveaux environnements. Il est recommandé de réaliser une évaluation annuelle de chaque collaborateur vis-à-vis des objectifs ainsi définis, en veillant à définir des objectifs spécifiques, atteignables, mesurables et dotés d’une échéance dans le temps.

3 – Former les collaborateurs à des savoir-faire transverses, et favoriser en particulier la progression sur des compétences relationnelles ou comportementales, qui démultiplieront le potentiel d’adaptation de ces collaborateurs aux nouveaux environnements de la DSI.

4 – Recruter sur potentiel et non sur poste. L’efficacité d’une démarche de Talent management repose en partie sur l’agilité de ses collaborateurs. Il est ainsi vivement conseillé de choisir un candidat pour son adaptabilité et sa capacité à évoluer dans différents postes, plutôt que pour son adéquation avec le premier poste qui lui sera proposé.

5 – Encourager la mobilité qui permet d’encourager le dynamisme des effectifs de la DSI. De premières mobilités réussies peuvent rapidement faire prendre conscience aux collaborateurs de l’apport d’une politique de GPEC bien construite au sein d’une DSI.

Une sensibilisation des DRH aux métiers de l’IT essentielle

La GPEC n’est pas nouvelle au sein des entreprises. Pourtant, nous constatons que les accords globaux, signés avec le comité d’entreprise, intègrent encore peu souvent les métiers de l’IT. Les DRH expriment souvent un manque de visibilité sur les métiers de l’IT, ce qui constitue un frein majeur à l’élargissement de la démarche au périmètre DSI. Certaines expériences à succès montrent qu’il peut être pertinent d’initier la démarche au sein de la DSI, pour l’intégrer par la suite à la politique de GPEC de l’entreprise, si elle existe.

La définition et la mise en œuvre d’un dispositif de GPEC au sein de la DSI doit être co-portée par les managers opérationnels et par la DRH. Les managers de proximité, en ayant pour mission de développer l’agilité de leurs collaborateurs tout en leur proposant une évolution alignée avec leurs attentes et avec la stratégie de leur entreprise, sont au cœur du processus. De son côté, la DRH détient un rôle clé dans le soutien des managers, en particulier à travers son implication forte dans la gestion des collaborateurs de la DSI. Elle est également une force de conseil du management opérationnel pour toute question liée à la gestion RH de l’entreprise.

Mises en visibilité par les textes de loi et notamment par la loi de « mobilisation pour l’emploi » (janvier 2005), les politiques de GPEC sont devenues un point de discussion important des entreprises avec leurs partenaires sociaux. Pour autant, ne limitons pas cette démarche à une obligation légale : elle constitue sans aucun doute un levier de performance majeur pour nos DSI, à saisir de manière opportuniste et sans plus tarder.

Cet article GPEC : et si les DSI tiraient enfin parti de leur capital RH ? est apparu en premier sur SOLUCOMINSIGHT.

Dans ce contexte, les options restent ouvertes et l’histoire montre que le mix peut être transformé sur une dizaine d’années. La France a déjà conduit des mutations énergétiques par le passé avec l’hydroélectrique et l’électronucléaire. Plus récemment, l’Allemagne a annoncé son ambition de transition vers les énergies renouvelables (ENR).

Les technologies, les politiques et l’environnement économique évoluent. A l’heure où les engagements présidentiels visent une diminution du nucléaire de 75% à 50% grâce au développement des ENR, quel sera le mix le plus adapté à la situation française ? Quelles sont les ENR ayant le plus de potentiel dans l’Hexagone ?

Comment définir le potentiel des énergies renouvelables ?

Si le débat fait l’objet de nombreuses controverses, essayons de clarifier le problème en le reprenant à la source. De quel(s) potentiel(s) s’agit-il ?

• Les énergies privilégiées doivent répondre aux attentes de la France pour accompagner son développement économique. Cela nécessite de pouvoir assurer une production d’énergie croissante, de manière durable, économique et sûre.
• Pour tenir compte des objectifs de réduction de gaz à effet de serre d’un facteur 5 à horizon 2050, les ENR privilégiées doivent également contribuer à la décarbonisation de la production énergétique.
• La technologie doit pouvoir se développer dans la société existante. Cela requiert à la fois une  faisabilité technique à horizon court / moyen terme et une acceptabilité sociale de la technologie, face à des attentes fortes de la population concernant la sécurité des riverains, l’impact sur l’économie locale et l’intégration dans le paysage.

À horizon 2020, quelles énergies tireront leurs épingles du jeu ?

Le mix énergétique ne saurait être la combinaison de deux ou trois grandes ENR. Pour des raisons de complémentarité, le mix restera la synthèse d’une diversité de sources thermiques et électriques, chacune contribuant dans une proportion variable. Néanmoins, les énergies peuvent être analysées selon leur croissance et leur poids attendu dans le futur mix énergétique :

• Géothermie Profonde et Solaire Thermique : une forte dynamique prévue

Avec une consommation finale passant de 48 Ktep en 2011 à 409 Ktep prévue pour 2020, la géothermie à usage électrique (température supérieure à 150°) est l’une des ENR les plus dynamiques. Encore marginale aujourd’hui, le gouvernement souhaite soutenir la filière avec l’appel à manifestation d’intérêt (AMI) Géothermie du Programme des Investissements d’avenir.

Dans le registre thermique, le solaire vise une croissance de 96 Ktep à 927 Ktep. Très prometteuse grâce à une acceptabilité sociale élevée et à un impact environnemental minime, cette technologie souffre néanmoins d’une faible rentabilité économique, la contraignant à rester pour l’instant une énergie de « niche ».

• Éolien et Biomasse, les plus structurantes dans le Mix Énergétique :

Avec 15 900Ktep en consommation finale prévue à l’horizon 2020, la biomasse à usage thermique sera le « poids lourd » du mix énergétique des ENR. Complétement maitrisée sur le plan technologique et perçue comme positive, seul le coût futur d’approvisionnement du bois, ressource principale de la biomasse, reste une inconnue. Néanmoins, avec une forêt française au 3^ème rang Européen en termes de volume, le potentiel de développement reste considérable. Sur le plan social et économique, la filière reste un vecteur d’emplois locaux et non délocalisables. Les difficultés à lever restent avant tout logistiques, pour acheminer le bois jusqu’aux lieux de production sans surcout prohibitif.

L’Éolien sera la 3^ème source d’électricité renouvelable en 2020 d’après les objectifs nationaux cibles, avec 15% du mix. Après une croissance extrêmement dynamique depuis 2004 (passage de 500 à plus 12 000MW raccordés), la consommation finale devrait encore être multipliée par 3 d’ici 2020 ! Sûre, rentable et maitrisée, cette énergie présente néanmoins des points de vigilance :

• L’intermittence de sa production requiert le développement de capacités de stockage ad-hoc.
• Si la législation encadrant la construction des éoliennes a été extrêmement durcie depuis 2005 pour limiter les nuisances aux riverains, les turbines conservent une image négative. En conséquence, les délais pour la construction de nouveaux parcs s’allongent, freinant la dynamique et rendant incertain l’atteinte des objectifs 2020.
• Plus de 10 000 emplois en France dépendent directement de la filière éolienne, essentiellement liés au développement, à l’installation, à l’exploitation et à la maintenance des parcs. Cependant, 50% du parc éolien français (en puissance raccordée) est issu de constructeurs allemands (Enercon, Repower, Nordex), et les français ne représentent que 5% du parc avec Alstom et Vergnet.

Une politique énergétique française devant transcender le court terme

Si les objectifs de la France se concentrent sur 2020, il ne faut pas perdre de vue les innovations de rupture actuellement en développement dans l’écosystème des ENR. Parmi celles-ci, nous semble particulièrement importantes :

• Les avancées en termes de stockage des énergies intermittentes, nécessaires à la libération du plein potentiel de ces dernières et catalyseurs de leurs développements,
• Le changement de paradigme associé à la production d’énergie décentralisée ou latérale,
• L’impact de la généralisation des bâtiments à énergie positive,
• Le développement des énergies marines (Hydrolien, Houlomoteur, Éolien flottant), la France possédant l’un des potentiels les plus importants en termes de ressources disponibles.

Sources : ADEME.fr, http://www.statistiques.developpement-durable.gouv.fr/

Cet article Quelles sont les ENR ayant le plus de potentiel en France ? est apparu en premier sur SOLUCOMINSIGHT.

Vers un nouveau positionnement de la DSI au sein de l’entreprise

Le positionnement de la DSI fait l’objet d’une profonde mutation. D’un côté, la DSI doit devenir un véritable business partner des Directions métiers : comprendre leurs enjeux business et mieux anticiper leurs attentes, et ainsi leur offrir une meilleure réactivité. De l’autre, la DSI doit se professionnaliser pour répondre de manière flexible et compétitive aux demandes : elle se transforme ainsi en « usine agile », et cherche à optimiser le rapport coût / performance de ses services.

Selon une étude OPIIEC¹ analysant les principales préoccupations des DSI à l’horizon 2016, de nouveaux enjeux s’imposent à la DSI de par ce changement de positionnement : maîtrise des coûts, pilotage de la relation avec les fournisseurs ou encore conseil aux Métiers dans leur utilisation du SI. Alors comment faire ?

De nouvelles compétences à acquérir

La DSI doit s’interroger sur les compétences qui lui sont nécessaires pour répondre à ces nouveaux enjeux. Devenir un business partner des Métiers nécessite de disposer d’un nombre croissant de profils dotés de la fameuse « double compétence » : une sensibilité aux métiers de l’IT associée à des savoir-faire orientés business. Cela se voit notamment à travers l’évolution du positionnement de certains chefs de projets qui se rapprochent d’avantage des Métiers de l’entreprise, mais aussi à travers l’apparition de nouvelles fonctions au sein des DSI  comme par exemple « responsable de la stratégie digitale », « pilote de la relation client », ou encore « urbaniste d’entreprise ». La mondialisation s’impose comme le dernier grand facteur d’évolution des compétences business de la DSI : celle-ci devant s’adapter à des enjeux aussi bien locaux que lointains, les profils capables d’évoluer dans des environnements multiculturels se trouveront probablement de plus en plus sollicités, et d’autres devront naturellement se doter de cette compétence.

Les compétences business ne sont pas les seules recherchées. L’émergence de nouvelles technologies et de nouveaux usages (Cloud, BYOD ou Green IT) vient également transformer certains métiers de la DSI. L’évolution des métiers face aux ruptures technologiques n’est pas nouvelle. Par exemple, la complexification et l’intégration croissante des solutions SI a déjà bouleversé le monde de l’exploitation et de l’administration. Traditionnellement confiées à des profils moins qualifiés que dans les départements « études » et « architecture » de la DSI, l’exploitation de ces solutions devenues complexes nécessite désormais une vision large des différents composants du SI de l’entreprise, et implique un niveau de qualification plus exigeant.

Un talent management au service de la stratégie de sourcing

Toute DSI doit savoir dessiner une stratégie de sourcing de la DSI lui permettant de disposer d’une forte maîtrise de ses activités stratégiques, tout en garantissant une flexibilité maximale sur le reste de ses tâches. La GPEC que l’on aime aussi appeler le « talent management » constitue pour cela un levier essentiel. Il répond à la question clé « Comment faire évoluer les compétences internes pour rendre possibles les orientations de la stratégie de sourcing ? ». On remarque hélas dans de nombreux cas une concentration importante des effectifs sur des compétences techniques devenues obsolètes ou banalisées et une désaffection pour certaines activités stratégiques à fort potentiel pour l’avenir (responsables de projets), confiées de fait majoritairement à des profils externes.

Autre facteur de risque pour la DSI : la perte de compétences liée à des départs massifs à la retraite. Des restrictions courantes en matière de recrutement et un manque d’anticipation des filières RH ont en effet contribué parfois à un vieillissement important des effectifs de certaines DSI (la moyenne d’âge pouvant atteindre 46 ans chez certains de nos clients). Aussi, pour garantir la stabilité de leurs activités et éviter le recours massif à l’externalisation, ce qui serait  éventuellement contraire à leur stratégie de sourcing, ces DSI devront s’efforcer de maintenir une adéquation pérenne entre leurs pools de compétences internes et leurs besoins. Les dispositifs de GPEC de ces DSI devront notamment s’adapter pour régénérer rapidement les compétences emportées par les départs à venir.

Ne pas négliger le pilier de performance économique que constitue la GPEC

L’optimisation des ressources est une des clés de la performance économique. Les RH de la DSI ne font pas exception : pour garantir un niveau de performance optimal, les DSI doivent réduire les temps d’inactivité de leurs collaborateurs.

Les DSI peuvent en effet faire face à des fluctuations importantes de leur activité. En particulier lorsque celle-ci est orientée à la baisse, la DSI doit pouvoir disposer d’un levier d’adaptation rapide de son volume de main d’œuvre, et éviter les coûts des ressources devenues inactives. Les prestations externalisées sont la principale variable d’ajustement : encore faut-il que leur positionnement corresponde aux activités en baisse ! Pour cela, les internes doivent être positionnés de préférence sur les activités permanentes de la DSI, les activités stratégiques, et les externes sur les activités plus éphémères ou qui nécessitent par exemple une expertise de pointe sur un temps limité.

Par ailleurs, à niveau d’activité constant, la DSI doit chercher à optimiser le taux d’occupation de ses ressources internes. Le temps de disponibilité d’un chef de projet entre deux projets doit ainsi être réduit à un minimum : pour le moment, il reste assez fréquent de rencontrer dans les DSI des chefs de projets trop spécialisés, et qui restent parfois inoccupés dans l’attente d’un nouveau projet correspondant plus à leur spectre d’intervention, parfois très réduit. C’est ici qu’intervient un deuxième rôle joué par la GPEC : développer la capacité d’adaptation et la polyvalence des collaborateurs, et accroître leur employabilité.

Autant de bons conseils qui s’avèrent faciles à préconiser mais pas toujours évidents à mettre en application. Alors, comment transformer l’essai ? Lire notre article sur le sujet.

Cet article GPEC : accompagner le nouveau visage de la DSI aujourd’hui ? est apparu en premier sur SOLUCOMINSIGHT.

Les budgets sont « resserrés », les ressources « ajustées », l’efficacité devient une nécessité et non plus un objectif pieux…Tout investissement doit être réfléchi, optimisé afin d’apporter une réponse au juste prix à un besoin stratégique ou vital pour l’entité. Il doit présenter un retour sur investissement certain.

Un enjeu auquel répond la GPP (gestion de portefeuille de projets).  

Ne pas uniquement « bien faire les projets », mais « faire les bons projets » !

L’optimisation des investissements demande analyse et arbitrage sur l’ensemble des projets et non pas unitairement projet par projet. Pour les aider dans ces choix stratégiques, les directions entendent disposer de systèmes d’aide à la gouvernance efficients, leur apportant une vision globale, pertinente et actualisée des apports potentiels, des coûts et contraintes de mise en œuvre et des risques pour l’ensemble des projets, « candidats » et « actifs ».

D’abord mise en œuvre au milieu des années 90s par les directions « Métiers » pour la gestion de projets de produits, les DSI se sont intéressées à la Gestion de Portefeuille de Projets (GPP) dès que la nécessité de réduire leurs coûts et d’améliorer le respect de leurs engagements a exigé une plus grande rationalisation de l’allocation de leurs ressources.

Les résultats attendus d’une GPP consistent à répondre à tout ou partie des enjeux suivants :

• lancer les bons projets au bon moment, accroître leur alignement aux stratégies métiers et à celle de l’entreprise ;
• favoriser la transparence et une meilleure communication ;
• améliorer la prise de décision et la qualité des arbitrages par la mise en place de critères objectifs, préalablement définis par rapport aux enjeux et objectifs de l’entité ;
• faciliter le pilotage des budgets et des ressources par la consolidation et une meilleure cohérence des informations et enfin, améliorer la synergie entre projets, augmentant de fait le retour sur investissement général.

Ces résultats nécessitent toutefois la mise en place d’un système de gestion de portefeuille de projets fiable, suffisamment réactif et robuste permettant d’évaluer, sélectionner et prioriser les projets en toute adéquation avec la stratégie de l’entité.

Des pré-requis indispensables

Bien que la GPP ne soit pas le simple résultat d’une consolidation des informations de gestion des projets, elle doit tout de même pouvoir s’appuyer sur la mise en œuvre rigoureuse, sur chaque projet, d’une gestion de projet, apte à remonter régulièrement des données (charge, coûts, délais, risques, gains…) fiables nécessaires à l’élaboration des outils de la GPP. Ce pré-requis en appelle d’autres tout aussi indispensables, à savoir : disposer d’une bonne culture projet au sein de l’entreprise, mettre en place des organisations « projet » pour chaque projet, définir les processus de management de l’entreprise (budgétaire, pilotage et arbitrage) assurant l’homogénéité des pratiques, l’existence d’instances et de processus de gouvernance exploitant les produits de la gestion de portefeuille de projets et la légitimant.

Et même si cela peut surprendre… il peut même être nécessaire de définir ce qu’est un projet, tant la notion parait floue au sein de certaines entités.

Une fois les conditions réunies, reste à se donner toute les chances de succès dans la mise en place de la démarche. Une mise en œuvre que nous détaillerons dans un prochain épisode.

Cet article La gestion de portefeuilles de projets : un outil de gouvernance indispensable en ces temps de crise ? est apparu en premier sur SOLUCOMINSIGHT.

L’efficience de cette transformation, et donc par extension la sobriété énergétique des datacenters est, depuis quelques années déjà, un enjeu majeur, plaçant le  green datacenter sur la plus haute marche de maturité du green IT aujourd’hui.

Green datacenter : le règne sans partage du PUE serait-il arrivé à échéance ?

Le PUE ou Power Usage Effectiveness est le principal indicateur utilisé pour mesurer le rendement énergétique d’un datacenter en effectuant le rapport entre la consommation électrique totale et la consommation des équipements informatiques.

Son utilisation s’est largement répandue, amplifiée par des objectifs de marketing et de communication, ce qui a permis de mettre l’industrie du datacenter sur la voie de l’efficacité énergétique. Cependant, il présente encore plusieurs limites :

• Il se concentre sur l’efficacité énergétique mais néglige d’autres aspects qui entrent dans l’évaluation d’un green datacenter comme les émissions de gaz à effet de serre ;
• Il reste souvent théorique, son calcul se basant sur la charge maximale de l’installation, ce qui est rarement le cas au lancement ou pendant les premières années d’exploitation de celle-ci ;
• Enfin, lorsqu’il est mesuré, il ne l’est pas toujours de manière homogène (pas de distinctions en termes de disponibilité ou d’emplacement géographique). Par conséquent, un site offrant une très haute disponibilité verra son PUE pénalisé par la redondance de ses équipements techniques.

Le PUE n’est donc aujourd’hui plus suffisant pour évaluer l’impact environnemental d’un datacenter et l’est encore moins pour comparer des datacenters sur ce critère.

Sur quels nouveaux indicateurs évaluer le Green Datacenter ?

Pour mesurer la durabilité d’un datacenter, tout son impact environnemental doit être pris en compte. Le consortium « The Green Grid » à l’origine du PUE, a ainsi validé la définition de trois nouveaux indicateurs pour mieux évaluer cet impact :

• Le Carbon Usage Effectiveness (CUE) mesure les rejets de CO₂ associés à un datacenter, permettant de prendre en compte son impact environnemental et pas seulement énergétique (ex : les rejets liés aux tests de groupes électrogènes diesel) ;
• Le Green Energy Coefficient (GEC) définit le pourcentage d’énergie renouvelable utilisée par le datacenter. Il complète le PUE, en apportant des informations sur la façon dont l’électricité consommée est produite.
• Le Energy Reuse Factor (ERF), permet de mesurer la quantité d’énergie réutilisée à la sortie d’un datacenter, qui peut prendre plusieurs formes, comme la réutilisation de la chaleur dégagée par exemple. Cette énergie était parfois abusivement intégrée dans la mesure du PUE, donnant des résultats incohérents (PUE<1).

L’ambition derrière l’adhésion de la communauté autour de ces indicateurs est d’encourager leur adoption pour faire de l’efficacité environnementale un composant central de la définition du datacenter de demain.

Et si le futur des datacenters était le green cloud ?

L’énergie IT produite par les datacenters est de plus en plus consommée en mode cloud pour s’adapter aux demandes des utilisateurs de services disponibles 24h sur 24, partout dans le monde.

Cela représente aussi un avantage d’un point de vue écologique. En effet, les indicateurs décrits permettent de mesurer et donc d’améliorer unitairement l’efficacité d’un datacenter.

Avec les opérateurs cloud globaux, les datacenters sont mutualisés. En utilisant des équipements et des logiciels adaptés, il est donc possible de rationaliser et répartir plus efficacement les ressources à une nouvelle échelle pour produire ces services au meilleur coût, y compris environnemental. À titre d’exemple, Google estime qu’une entreprise utilisant leurs solutions Cloud Google Apps réaliserait une économie de l’ordre de 65% à 85% d’énergie par rapport à la fourniture en propre de services équivalents.

Dans une situation économique qui reste difficile, le Cloud computing peut représenter une réponse crédible à la fois aux enjeux de développement et aux enjeux de responsabilité environnementale des entreprises, à condition de réussir son intégration dans leurs écosystèmes IT.

Pour en savoir plus sur le cloud computing.

Cet article Le cloud computing : avenir du green IT ? est apparu en premier sur SOLUCOMINSIGHT.

Concurrence ou complémentarité ?

Peut-être à l’horizon 2100 en Europe selon l’IFPEN, mais vraisemblablement pas avant. La plupart des analyses tablent à l’horizon 2050 sur une part des énergies non fossiles dans le mix européen ne dépassant pas 30 à 40 %. D’abord parce que les capacités de production d’énergie renouvelable sont très loin d’égaler la demande aujourd’hui. Augmenter la production d’ENR et diminuer la consommation prendront de longues années.

Ensuite parce que la capacité de production d’électricité à partir de sources renouvelables varie sur l’année (hydraulique) ou dans l’heure (photovoltaïque et éolien) et impose soit :

• Des capacités complémentaires à même de prendre le relais en cas de baisse de production des EnR (essentiellement à partir des énergies fossiles), comme c’est le cas aujourd’hui
• Des avancées significatives en termes de stockage (station de transfert d’énergie par pompage, stockage de masse à partir de batteries, hydrogène…) qui permettraient de répondre autrement à ces aléas

Les progrès significatifs en matière de stockage demanderont du temps  et confirment à moyen terme la complémentarité EnR – énergies fossiles.

Et le gaz naturel dans tout ça ? quel avenir a-t-il ?

A court terme, les chiffres montrent que le gaz naturel, pour certains usages, remplace peu à peu le pétrole et le charbon. Le gaz naturel étant l’énergie fossile la moins carbonée, ces substitutions servent les objectifs de réduction d’émission de CO₂.

Par ailleurs, le gaz naturel permet de couvrir les aléas de disponibilités des ENR, d’assurer le back up en termes de production d’électricité notamment à travers les CCCG (centrales à cycle combiné gaz) avec un meilleur rendement environnemental.

A moyen terme, les ENR pourront s’appuyer sur les infrastructures existantes (utilisées aujourd’hui par les énergies fossiles) pour se développer. Les grands acteurs de l’énergie l’ont bien compris. Par exemple, GRTgaz  a ouvert son réseau aux injections de biogaz et se présente comme un « vecteur de la transition énergétique ».

Le gaz naturel semble donc avoir une place durable dans le bouquet énergétique français.

Pourquoi le captage de CO₂ ne décolle-t-il pas ?

Un autre indice de la volonté de pérennisation des énergies fossiles sont les efforts faits par les acteurs en termes de recherche et développement pour réduire les impacts environnementaux de leur activité. Le recours à des technologies de captage et de stockage de CO₂ (CSC) en est l’illustration, comme le reconnaissent de nombreux experts et organismes internationaux. Malgré cela, les projets de CSC rencontrent de nombreuses difficultés dans plusieurs régions européennes, pour deux principales raisons : le financement et l’acceptabilité des stockages souterrains.

Quelle réponse au gaz et pétrole de Schiste ?

On ne peut pas parler de l’avenir des énergies fossiles sans parler du pétrole et du gaz de schiste qui ont renversé la donne énergétique aux USA en leur permettant de devenir exportateur et de faire baisser drastiquement les prix de l’énergie. La question en France est à ce jour à la fois mal maîtrisée et très controversée. Mal maîtrisée car les réserves sont encore inconnues à ce jour. Selon Michel Rocard, « Pour l’Europe, [la France] serait au gaz de schiste ce que le Qatar est au pétrole. » On trouverait des milliards de mètres cubes de gaz de schiste dans le Sud Est et des milliards de barils de pétrole de schiste sous le bassin parisien. Cependant, même si les estimations vont bon train, seuls des puits d’exploration permettraient de confirmer s’il y a de telles réserves dans le sous-sol français, en quelles quantités, et s’il est exploitable.

Controversée ensuite car l’empreinte environnementale du gaz de schiste est encore incertaine et beaucoup l’accusent d’être néfaste pour nos sous-sols.

La France ne pourra pas durablement éluder cette question à la fois économique, environnementale et sociétale.

De nombreuses pistes existent pour l’avenir. Les acteurs devront faire des choix car les capacités de financement ne sont pas illimitées. Faut-il concentrer les investissements sur les EnR ou au contraire les répartir de façon ciblée entre les différentes énergies ?

La transition énergétique ne se fera pas en un jour. Les énergies renouvelables sont encore en phase d’apprentissage et ne peuvent pas à ce jour répondre à la demande en énergie de manière pérenne. Comme nous le montrent les difficultés économiques de l’éolien et du solaire, il faudra du temps pour qu’elles se forgent des modèles d’affaire stables et durables. Il faut donc continuer à investir intelligemment sur les énergies fossiles afin de porter la transition et de préparer l’avenir, tout en encourageant l’innovation et la R&D pour réduire leur impact environnemental.

Cet article Energies fossiles : énergies de transition ou énergies durables ? est apparu en premier sur SOLUCOMINSIGHT.

Depuis les années 80, la téléphonie mobile évolue au rythme d’un changement majeur tous les 10 ans. La 2G des années 90 a apporté digitalisation, SMS et Data. La 3G des années 2000 a amélioré les débits Data et ainsi permis le développement de l’internet mobile et de la vidéo.

Avec l’arrivée de la « 4G », les opérateurs nous promettent une nouvelle révolution.

S’agira-t-il d’une révolution technologique ou d’une révolution des usages ? Peut-elle bouleverser les rapports de force entre les quatre opérateurs?

Une explosion annoncée des débits

Les 4 principaux apports de la 4G, basée sur la norme LTE (Long Term Evolution), se concentrent sur la Data :

Avec de telles avancées, on peut s’attendre à un confort comparable voire supérieur à une connexion ADSL grand public – sur un mobile !

Des investissements conséquents encore nécessaires au déploiement de la 4G

Ces avancées restent encore théoriques au vu des investissements nécessaires au déploiement de cette nouvelle technologie

En France, l’ARCEP a attribué fin 2011 les licences 4G aux opérateurs. Les enchères ont rapporté à l’État plus de 3,5 milliards d’euros.

Mais l’utilisation des nouvelles fréquences 4G (800 MHz et 2600 MHz) impose le déploiement d’un nouveau réseau d’antennes sur le territoire français, ce qui représente un coût particulièrement important (génie civil, main d’œuvre…).

Récemment,  l’ARCEP a répondu favorablement à la demande de Bouygues Telecom de réutiliser la fréquence 2G (1800 MHz) pour proposer à ses clients de la 4G. Les opérateurs concurrents contestent cette décision objectant une distorsion de concurrence.

En effet, cette décision va  permettra à Bouygues Telecom d’améliorer sa couverture 4G dès Octobre 2013 et de proposer une offre 4G compatible avec l’iPhone 5 (terminal ne fonctionnant pas en 4G sur les fréquences 800 MHz et 2600 MHz) sans pour autant déployer de nouvelles antennes

Une couverture limitée à ce jour

Le déploiement de la 4G a été assez timide en 2012, chacun des 3 opérateurs « historiques » couvrant une à quelques villes. Une fois n’est pas coutume, en raison de la difficulté à y déployer de nouvelles antennes, les premiers îlots de couverture à Paris n’ont été mis en service qu’au début 2013 – soit après la couverture des premières villes  en province

Orange a commercialisé une offre entreprise dès novembre 2012 ; SFR a quant à lui été le premier à commercialiser des offres grand public, suivi récemment par Bouygues Telecom et Orange.

La 4G est une opportunité pour les trois opérateurs historiques d’apporter de la valeur à leurs clients et d’améliorer des marges malmenées depuis l’arrivée de Free sur le marché du mobile.

D’abord le confort des utilisateurs, en attendant de nouveaux usages

Pour le grand public, outre un confort nettement amélioré, l’essor des applications temps réel est prévisible : appel vidéo, streaming vidéo, jeux en ligne…

Côté entreprises, la 4G est une opportunité pour les DSI d’étoffer leur catalogue de services :

• L’environnement de travail des utilisateurs en situation de mobilité sera enrichi ; on pourrait même aller jusqu’à envisager la mise à disposition d’un bureau virtuel complet (applications, visioconférence, communications unifiées).
• Les offres de Cloud se voient offertes de nouvelles perspectives. Elles seront accessibles avec des performances comparables via l’ensemble des terminaux utilisateurs.
• Enfin, la 4G sera une solution alternative performante aux connexions filaires, en particulier pour des raccordements transitoires de site ou en solution de secours.
  

En conclusion… une avancée technologique dont les entreprises doivent tirer parti

Malgré quelques freins (notamment le rythme de déploiement par les opérateurs), la 4G apparaît comme une très belle avancée technologique.

La 4G va dans un premier temps améliorer le confort et l’expérience utilisateur et déclencher à terme de nouveaux usages.

Comment les entreprises peuvent-elles tirer parti de la 4G ? En incluant dès à présent à leurs contrats mobiles des forfaits et des terminaux compatibles, pour tester la 4G et identifier les opportunités technologiques, mais surtout en imaginant les usages de demain pour leurs Métiers.

Cet article La 4G, promesse marketing ou révolution technologique ? est apparu en premier sur SOLUCOMINSIGHT.

Afin de mieux comprendre ces mutations, il est intéressant de revenir sur les récents mouvements.  2011 a ainsi été marquée par une importante croissance des MVNO (Mobile Virtual Network Operator) (croissance à 2 chiffres jusqu’à début 2012) stoppée par l’arrivée de Free, ces acteurs ne pouvant plus se battre sur le prix seul (-5 à -15% d’ARPU – Average Revenue Per User – et baisse pour la première fois depuis des années de leur part de marché).

Cette même période a vu les trois opérateurs historiques lancer leurs offres low-cost, stratégie définie pour endiguer la potentielle fuite de clients vers Free sans toucher à la marge des offres classiques. Ils n’avaient cependant pas suffisamment anticipé l’agressivité tarifaire du nouvel arrivant, avec les conséquences que l’on connait : baisse du CA et baisse du nombre d’abonnés.

Quelques chiffres restent positifs en ce début d’année : taux de pénétration toujours plus élevé (112%), nombre de nouvelles cartes SIM explosant à 4,5 millions vendues sur l’année sans toutefois occulter les tensions grandissantes entre acteurs qui ne veulent pas perdre leur part du gâteau. Quelle(s) stratégie(s) les opérateurs historiques comme les MVNO vont-ils mettre en place ?

La data, nouvelle clé des offres mobiles

Suite au développement du « tout illimité » et des offres low cost, la seule promesse d’un service plus performant ne suffit plus à faire payer plus cher. Le nouvel eldorado semble désormais se trouver dans la data et les réseaux de nouvelles générations (4G). Pour différencier leurs offres premium, les opérateurs mettent en avant le volume de data mais aussi de plus en plus la vitesse de connexion 4G, proposant ainsi des forfaits plus haut de gamme – et plus chers.

D’autres atouts permettent de soutenir les offres premiums :

• bien qu’ayant souffert de la généralisation du sans mobile dans le low cost, le subventionnement du mobile reste intéressant pour attirer des clients avec engagement pour garantir un revenu régulier ;
• le service client et les boutiques permettent aux clients d’être accompagnés par l’opérateur, malgré les économies nécessaires de ce côté.

MVNO, le salut par la segmentation ?

Les MVNO, malgré l’effet Free, gardent des atouts intéressants, aidés par leur agilité et leur faible coût fixe.

A l’inverse des opérateurs principaux, une des clés de leur succès reste la segmentation en niches toujours plus spécifiques, avec un marketing taillé sur mesure. Le principe de communautés que l’on retrouve à l’étranger, avec des offres ciblant uniquement les vétérans de guerre, les hispanophones, les gays ou les sportifs, les démarque fortement de la concurrence. En France, on peut citer Prixtel et ses offres modulaires spécialement dédiées aux pros, mais les exemples sont plus rares.

Les données clients récoltées au sein de ces niches sont également très intéressantes, exploitant des infos très précises sur les comportements utilisateurs. Si à terme on ajoute le paiement NFC, le MVNO aura également des données sur les habitudes d’achat que tous les opérateurs et plus largement tous les acteurs vont lui envier !

Quel avenir pour les 3 opérateurs mobiles historiques ?

L’arrivée de Free a rendu les analyses à long terme difficiles mais de grandes lignes tendent cependant à émerger.

La première hypothèse est optimiste : le marché tendrait progressivement à l’équilibre, avec évidemment des acteurs inégaux, acceptant des marges plus faibles mais restant suffisamment rentables, avec un positionnement clair. Nos voisins ont souvent des marchés structurés autour de 4 grands opérateurs (Angleterre, Allemagne, Espagne…).

D’autres envisagent à l’inverse une concentration du marché et des mouvements importants pour les acteurs historiques, déstabilisés par Free. Tous ne sont pourtant pas égaux :

• Orange peut s’appuyer sur un réseau de boutiques pour rester proche de ses clients, continuer de rassurer sur son SAV et mettre en avant la qualité de son réseau, maintenant ainsi sa base utilisateurs. La société profite aussi de son accord d’itinérance avec Free.
• Le cas SFR est moins lisible, avec un attentisme étonnant après l’annonce de Free, une offre RED timide, sa marque low cost (Joe) sans vrai succès, et actuellement une communication offensive autour de la 4G. L’opérateur serait-il à vendre ? Pourtant, la baisse de sa capitalisation devrait inciter les actionnaires à attendre des jours meilleurs.
• Enfin, Bouygues Telecom a fait preuve d’un certain réalisme, calquant rapidement son offre B&YOU sur Free pour garder un maximum de clients sur son réseau. La société se recentre sur le web et sa stratégie prudente d’achat de licences 4G semble payer (elle pourrait être récompensée en récupérant ses bandes 2G et les convertir).

Enfin la concentration pourrait prendre un visage moins classique. Les trois opérateurs historiques semblent en effet discuter activement sur le partage des investissements en France : serait-ce les prémices d’un modèle de partage des coûts ? Cela pourrait se faire sur le mobile dans les zones moins denses, permettant de couvrir toute la population à moindre coût. Ou par des synergies entre fixe et mobile : Numéricable et Bouygues sont partenaires pour le réseau physique, iront-ils plus loin ? Le temps presse (le gouvernement aussi) et la fenêtre de tir pour le partage des investissements n’est pas énorme….

2013 reste une année incertaine et de nombreux ajustements sont à attendre sur le marché du mobile. Free a rebattu les cartes et les acteurs en place doivent commencer à montrer leur jeu. Une belle partie en perspective !

Pour lire plus d’articles sur le secteur des télécoms et des média, consultez Telcospinner, le blog télécoms et media des consultants Solucom.

Cet article Marché mobile français : quelles évolutions en 2013 ? est apparu en premier sur SOLUCOMINSIGHT.

Mettre en œuvre une architecture spécifique pour assurer la « libération » des données

À  l’heure d’ouvrir ses données internes au grand public, l’administration ou l’entreprise se doit de mener une réflexion sur les données qu’elle souhaite ou non « libérer », sur les impacts juridiques de cette libération ou encore sur les conditions d’utilisation de ces données (mode de publication, licence d’utilisation éventuelle).

Mais elle doit également mesurer l’impact de cette libération de données sur son système d’information et réfléchir à l’architecture qu’il faut  mettre en œuvre afin de permettre :

• L’identification et l’extraction des données depuis les différents back-offices des domaines applicatifs ;
• La consolidation et le stockage en central de ces données ;
• Le traitement et le formatage de ces données pour assurer le niveau de qualité attendu ;
• La diffusion et la publication de ces données une fois traitées et remises dans un format exploitable et non propriétaire.

Réutiliser des  outils existants pour extraire et traiter les données

Après identification et sélection par chaque domaine applicatif des données utiles sur son périmètre, il convient au domaine de mettre en œuvre l’ensemble des règles de gestion permettant le filtrage et l’extraction de ses données avec le niveau de qualité attendu. Ces données sont alors transportées jusqu’à un « entrepôt » de stockage centralisé où elles sont consolidées, homogénéisées, (re)nettoyées et/ou formatées avant leur publication.

Pour l’ensemble de ces actions de filtrage, d’extraction, de transformation et de chargement des données, des outils déjà présents dans le SI peuvent être utilisés :

• Mutualisation des activités de sélection et d’extraction des données avec les outils de l’architecture décisionnelle ;
• Transformation et chargement des données via les ETL de l’entreprise ;
• Utilisation des outils de MDM (Master Data Management) pour les étapes de nettoyage et de formatage des données.

Maîtriser l’historisation pour rationaliser les volumétries traitées

Dès l’étape de stockage en central des données, il est tentant de mettre en œuvre des mécanismes d’historisation des données afin de garder une trace des différents états de l’entrepôt de données. Cependant cette option, dont le besoin n’est pas toujours justifié, a un impact réel sur la volumétrie et sur les traitements.

Aussi, une seconde stratégie très répandue consiste à remplacer les données par la dernière version dans l’entrepôt et à ne conserver un historique qu’au niveau de la publication, une fois toutes les étapes de transformation terminées.

Choisir le mode de publication en fonction du niveau de fraîcheur de données

Pour la plupart des données ouvertes publiées (horaires des transports par exemple), un haut niveau de fraîcheur n’est pas nécessaire. Aussi, la méthode de publication par fichiers est privilégiée car elle n’impose que peu de contraintes bien que certaines bonnes pratiques soient fortement conseillées :

• La limitation de la taille maximale des fichiers à quelques Mo afin de faciliter leur consommation par les utilisateurs ;
• L’utilisation de formats comme xHTML, XML ou JSON plutôt que CSV car ces formats peuvent être enrichis d’attributs sans conséquence sur les consommateurs.

Cependant, dans certains cas, où le niveau de fraîcheur des données attendu est trop important, le fonctionnement par fichiers se révèle insuffisant. D’autres méthodes plus complexes et onéreuses doivent alors être considérées. Ce sera notamment le cas pour les données « temps réel » (retards de trains…) pour lesquelles on privilégie l’exposition de services de consultation des données stockées dans l’entrepôt (Web services SOAP, services REST…)  ou encore pour les données nécessitant la mise en œuvre de service de visualisation avancée (géolocalisation…).

Sélectionner le mode d’hébergement de la plate-forme de publication en fonction des enjeux d’isolation et de scalabilité

La plate-forme de publication des données ouvertes étant accessible au public, elle doit être isolée du reste du SI pour des raisons de sécurité. Une nouvelle infrastructure est donc généralement à construire soit en interne, soit auprès d’un hébergeur externe.

De plus, comme il est compliqué d’anticiper le taux de consommation des données ouvertes publiées et donc le degré d’utilisation de la plate-forme, faire appel aux offreurs Cloud pour un tel hébergement est fréquent et favorise une plus grande scalabilité des plates-formes de publication.

Si l’Open data a pour vocation d’être l’un des principaux facilitateurs du développement de l’économie numérique, elle n’est pour autant pas sans conséquence sur l’architecture ou la sécurité du SI des producteurs de données. Alors, libérer les données ? Oui… mais à quel prix : l’entreprise dispose-t-elle des outils et offres nécessaires ? A-t-on bien mesuré la complexité de l’ouverture des données du SI ? Autant de questions à se poser pour considérer avec efficacité cette problématique.

Cet article L’Open data : quels enjeux pour le SI des producteurs de données ? est apparu en premier sur SOLUCOMINSIGHT.

HTTPS ou le règne de “la confiance aveugle”

Lorsqu’un utilisateur se connecte à un site internet via le protocole chiffré HTTPS, c’est le protocole SSL (Secure Socket Layer) qui se charge du chiffrement. Pour ce faire, des mécanismes de cryptographie asymétrique sont employés.

Le navigateur web de l’utilisateur va tenter de vérifier l’identité du serveur auquel il se connecte. Pour cela, le serveur présente au navigateur un certificat X.509, contenant notamment sa clé publique et une signature. Le navigateur va alors vérifier la validité de la signature, puis utiliser la clé publique afin d’échanger une clé de session qui sera utilisée pour chiffrer l’ensemble des communications de manière symétrique.

Le navigateur vérifie ensuite la validité de la signature en s’assurant de l’existence d’une chaîne de confiance (chain of trust) entre le certificat et l’une des autorités de certification de confiance. Qui sont ces autorités de confiance ? C’est en tentant de répondre à cette question que l’on réalise la fragilité du système actuel.

Pour que le navigateur accepte la connexion, il va remonter la chaîne de confiance jusqu’à l’autorité de confiance racine et s’assurer que celle-ci est présente dans le magasin de certificats.

Dans le cas de l’accès au moteur de recherche Google en HTTPS, l’autorité racine est Equifax.

Le navigateur Firefox, par exemple, dispose de son propre magasin de certificats auxquels il fait confiance. D’autres, comme Internet Explorer ou Chrome, se basent sur le magasin de certificats du système d’exploitation.

Et par défaut, ces magasins regorgent d’autorités de certification, de tous pays ! Le navigateur Firefox en compte plus d’une centaine.

Extrait des autorités de certifications racines auxquelles Firefox fait confiance par défaut

Il suffit donc qu’une seule de ces autorités de certification délivre, par erreur ou plus vraisemblablement suite à une attaque, un certificat valide pour “*.google.com” pour que des attaquants puissent mener une attaque de type Man-in-the-Middle. En se faisant passer pour un serveur légitime de Google, ils pourront intercepter et déchiffrer les échanges entre le navigateur et le serveur… Cette menace ne relève malheureusement pas du domaine de la science-fiction, comme le prouve l’exemple de Diginotar en 2010.

De plus, dans le cas d’échanges d’informations stratégiques, la menace étatique doit être prise en compte. Que se passerait-il si le gouvernement d’un pays demandait à l’une des autorités de certification de ce pays, faisant partie de la liste des autorités de confiance racine de Firefox, de signer un certificat valide pour mail.google.com ? Cette société serait-elle en position de refuser, ou de communiquer à ce sujet ? La réponse est, sans doute, non ; dans ce cas, le navigateur accepterait le vrai-faux certificat et n’afficherait aucune alerte à l’utilisateur.

Limiter la confiance dans les autorités de certification

Afin de se prémunir des deux scénarios envisagés, il est possible d’utiliser le protocole SSL d’une autre façon, en créant une association entre le nom de domaine d’un site (www.google.com) et le certificat ou l’autorité de certification attendus. Ainsi, seul le certificat attendu ou un certificat signé par l’une des autorités de certification attendues sera accepté et une alerte sera levée si un autre est présenté.

Il est alors nécessaire de disposer d’un référentiel de ces associations (site internet / certificat) valides, ou de le construire au fur et à mesure de la navigation sur les sites. Malheureusement, ce type de mécanisme n’est pas réellement pris en compte par les navigateurs. Il peut cependant se faire au moyen de modules additionnels, comme Certificate Patrol pour Firefox.

Google Chrome réalise déjà une validation de ce type, pour un nombre limité de sites. Le fichier qui contient la liste blanche des sites pour lesquels HSTS est activé par défaut contient également la liste des sites pour lesquels le pinning est activé :

{
   "pinsets": [
 […]
     {
       "name": "google",
       "static_spki_hashes": [
         "VeriSignClass3",
         "VeriSignClass3_G3",
         "Google1024",
         "Google2048",
         "GoogleBackup1024",
         "GoogleBackup2048",
         "EquifaxSecureCA",
         "GeoTrustGlobal"
       ],
       "bad_static_spki_hashes": [
         "Aetna",
         "Intel",
         "TCTrustCenter",
         "Vodafone"
       ]
     },

[…]

"entries": [
     // Dummy entry to test certificate pinning.
     { "name": "pinningtest.appspot.com", "include_subdomains": true, "pins": "test" },

     // (*.)google.com, if using SSL, must use an acceptable certificate.
     { "name": "google.com", "include_subdomains": true, "pins": "google" },

Extrait du fichier transport_security_state_static.json

Google Chrome va donc vérifier, lors de la connexion à un site du type “google.com”, que le certificat est valide et qu’il est signé par une des autorités de certification autorisées. Il semblerait de plus que cette information soit remontée aux serveurs de Google : c’est ainsi qu’a pu être découvert et rendu publique le cas du certificat intermédiaire distribué par Turktrust.

L’utilisation du pinning est la plupart du temps observée dans le cas d’applications mobiles, puisqu’il est alors facile pour le développeur d’inclure le certificat attendu dans le paquet de l’application. Pour les navigateurs internet, seul le recours aux modules additionnels est possible, à moins de modifier le fichier source en extrait ci-dessus et de recompiler, ce qui n’est sans doute pas la solution la plus simple.

L’OWASP a récemment publié une cheatsheet, ainsi qu’un article plus détaillé, sur la mise en œuvre technique du pinning, notamment dans le contexte du développement d’applications mobiles.

Bien que difficile à généraliser, l’utilisation du pinning semble une évolution logique pour répondre aux risques liés aux hiérarchies de confiance. Cette initiative est à conseiller pour les systèmes bien maîtrisés, comme les applications mobiles et les VPN.

Pour le déploiement dans les navigateurs internet, il faudra malheureusement attendre que les principaux acteurs intègrent cette fonctionnalité. On pourrait imaginer, dans un contexte professionnel, pouvoir indiquer au navigateur de n’accepter que les certificats issus de la PKI interne pour les sites d’entreprise.

Cet article Épinglez vos certificats ! est apparu en premier sur SOLUCOMINSIGHT.

Commencer par comprendre l’écosystème assuranciel local

Avant toute démarche, une phase d’acquisition de compétences sur la législation et l’écosystème assuranciel local s’impose, sans oublier le corpus réglementaire commun qui existe parfois entre les 2 pays (Pays de l’espace Schengen, certains pays du Maghreb,…).

Être indépendant de tout intermédiaire pour ne pas perdre de temps : tel est le rêve de beaucoup d’entreprises à la conquête de nouveaux marchés à l’international. Cependant, faire ce choix prend une autre dimension dans les cas où  l’intermédiaire est le seul moyen d’accéder à la connaissance du marché local et des pratiques tarifaires des prestataires (optique, clinique, …).

Sauf cas particulier, le montant de la prime sera  le critère principal pour choisir de passer ou pas par un intermédiaire. Ce même critère obligera aussi à ne retenir que des packages et non des solutions « sur mesure », entraînant ainsi à l’acquisition de garanties non désirées mais aussi parfois à des recouvrements de couverture entre contrats (exemples : entre une sur-complémentaire santé et un contrat d’assistance, entre une responsabilité civile et un contrat d’assistance, …)

Modèle maison ou couverture locale ?

Bien connaître le positionnement de la couverture sociale dans la politique RH globale est un incontournable. Cherche-t-on à offrir une couverture alignée sur les standards locaux, sur les employeurs les plus « socialement avancés », sur celle offerte auprès des cadres dirigeants des multinationales (compter plus de 50% de surcoût) ou bien un modèle « maison » qui ferait fi des différences de niveau économique entre les pays.

La couverture sociale peut parfois être un levier pour inciter certains salariés du siège à faire le grand saut, allant même jusqu’à être individualisée pour certains « salariés clés ». Cette option peut cependant,  si elle est connue par tous, générer des tensions catégorielles.Pour éviter la complexité de la refacturation et les pièges de la fiscalité entre siège et filiale, privilégier l’achat de couverture d’assurance en local est souvent une bonne affaire sur le plan économique mais sous 2 conditions préalables :

• La couverture et les services proposés sont à la hauteur des attentes ;
• Le mix  « niveau de vie – fiscalité –prélèvement sociaux » sur les polices est attractif par rapport au pays d’origine. Pour information : ceci est le cas pour les pays du Maghreb mais pas pour les États-Unis ou le Japon.

Quelle que soit la solution privilégiée, les  ressources humaines devront être intégrées à la définition de la nouvelle couverture. À leur charge ensuite de réaliser le déploiement. Il est à noter que la communication auprès des collaborateurs  est souvent délicate car elle oblige les RH à être en capacité d’expliquer la couverture retenue, sans chercher nécessairement à la comparer avec celle des salariés de droit français.

Quand le sinistre survient

Lors d’une déclaration de sinistre, quelques chausses trappes liées à l’expatriation peuvent survenir.

Arbitrer entre « soigner sur place » ou « rapatrier » reste une question délicate, un assisteur mondialement connu a d’ailleurs récemment été mis sur la sellette sur cette question.

Par ailleurs, la couverture ne prévoit que rarement le cas de l’expatrié adepte, sur son temps libre, de compétition de surf ou d’un sport extrême pratiqué dans le pays d’accueil , encore moins le cas de celui qui s’aventure dans une zone classée « zone à risque » par le quai d’Orsay. Sans aller jusque-là, les garanties sont toujours limitées à un territoire et ne prévoient que rarement de couvrir des cas de conduite délictueuse.

En conclusion

Soyons modestes, tant qu’une année d’exploitation n’est pas passée, on ne peut affirmer avoir décelé tous les « trous dans la raquette » de la couverture. Une revue annuelle des contrats s’impose, d’autant plus si la taille ou la nature de l’activité a évolué. L’idéal est de tendre vers des contrats collectifs spécifiques au contexte.

A l’instar de l’esprit d’aventure qui habite souvent les salariés qui choisissent de faire l’expérience de travailler à l’étranger, concevoir, choisir et mettre en place une couverture sociale à l’international recèle des surprises. Mondialisation oblige, les acteurs en assurance de surface mondiale ont souvent des réponses, reste à démontrer leur pertinence à répondre à chaque cas particulier.

Cet article Développement international : quelle protection sociale pour les salariés de nouvelles filiales? est apparu en premier sur SOLUCOMINSIGHT.

Un usage reposant sur les infrastructures d’accès aux SI déjà en place…

Cet article Télétravail : pourquoi venir au bureau quand on peut rester chez soi ? est apparu en premier sur SOLUCOMINSIGHT.

Un apport des DLP complémentaire à la lutte contre l’intrusion et au contrôle d’accès

Une fuite d’information peut provenir de trois sources différentes. L’attaquant externe est souvent celui qui vient à l’esprit en premier. Cependant, l’expérience montre que ce sont les utilisateurs internes, autorisés ou non, qui font fuir le plus d’information.

Suivant la position de celui qui fait fuir l’information, trois grandes étapes peuvent être enchaînées : intrusion, accès à l’information, diffusion de l’information – dont la nécessité dépend des accès initiaux de l’acteur à l’origine de la fuite d’information. À chacune de ces étapes, des solutions de sécurité permettant de réduire le risque existent.

Il convient d’agir à toutes les étapes d’une fuite d’information en s’appuyant sur des mesures allant de la sécurité physique aux solutions de Digital Right Management (DRM), en passant par le chiffrement de flux, le cloisonnement, ou encore la gestion des accès et des habilitations…

Si de telles mesures sont déjà mises en œuvre, les outils de DLP permettent alors essentiellement de se prémunir contre des erreurs ou malveillances d’utilisateurs ayant un accès légitime à l’information. En ce sens, ils permettent d’apporter une protection au plus proche de la donnée.

Des solutions fonctionnellement matures

Les mécanismes de contrôle des DLP sont mis en œuvre à travers des règles ou politiques centralisées permettant d’analyser les traitements faits sur la donnée quelle que soit sa nature ou son support.

Grâce à des agents déployés sur le réseau et/ou sur les postes de travail, le DLP va pouvoir empêcher la copie d’un fichier sur un périphérique externe, l’envoi d’un document sensible par email, l’impression d’un document ou encore la publication d’une information confidentielle sur les réseaux sociaux.

Après analyse et filtrage des données par la solution DLP, différentes mesures de prévention peuvent être prises, avec un impact plus ou moins élevé pour l’utilisateur : alertes, demande de justification, blocage…

Enfin, il convient de noter que les acteurs du marché mettent de plus en plus l’accent sur le contexte d’utilisation de la donnée. Certains éditeurs proposent ainsi des fonctionnalités de gouvernance au sein de leur solution de DLP permettant par exemple de savoir exactement où se trouvent les données sensibles et qui y a accès.

Le marché des DLP est donc de plus en plus mature : la couverture fonctionnelle proposée est élevée et évolutive, la gestion de l’impact sur les collaborateurs de plus en plus souple. Néanmoins, les retours d’expérience restent limités par rapport à ce que l’on pourrait attendre.

La raison de ce paradoxe vient du fait que les métiers sont trop souvent insuffisamment impliqués dans les projets de DLP, alors même que ces projets n’ont que peu de chance d’aboutir sans eux, en particulier vu le volet RH nécessairement associé.

Adopter une approche par les résultats pour mobiliser les métiers

Il est illusoire de vouloir protéger toutes ses données dans tous les cas d’usage imaginables. Une approche purement technique visant un périmètre exhaustif n’a que peu de chance de convaincre, particulièrement dans la conjoncture économique actuelle.

Une approche par les résultats mêlant ciblage précis, démarche outillée, accompagnement et visibilité est donc à favoriser dès la sélection de la solution. Une fois les objectifs atteints sur un périmètre prioritaire, on peut envisager de l’élargir.

La première étape, primordiale, est donc la définition du périmètre prioritaire de données à protéger et des cas d’usage fonctionnels à traiter. Identifier les dix données les plus critiques, s’appuyer sur des situations fonctionnelles avérées, commencer par un nombre limités de supports pour réduire les aléas techniques sont autant de facteurs clés de succès.

La définition des processus de surveillance (politiques d’interaction avec les utilisateurs, processus en cas d’alerte…) ne doit également pas être négligée. Sur ce volet, et dès le début du projet, il est important de mobiliser les fonctions RH de l’entreprise pour valider le mode de mise en œuvre de la démarche DLP (alerte, blocage, journalisation…), construire les processus de gouvernance associés et au final envisager un passage devant les instances représentatives du personnel.

Lorsque le cadrage global du périmètre fonctionnel est effectivement achevé, la phase de sélection de la solution peut être entamée. Une démarche outillée impliquant la réalisation d’une maquette est indispensable pour s’assurer de l’adéquation de la solution aux cas d’usages fonctionnels identifiés et évaluer les résultats envisageables.

En cas de résultats satisfaisants, un déploiement progressif est à envisager avec un leitmotiv : la sensibilisation des utilisateurs.

Enfin, en mode récurrent, l’intégration à un SOC (Security Operation Center) peut permettre de bénéficier de la maturité de la gestion opérationnelle de la sécurité pour optimiser la surveillance d’une part et l’accompagnement et la visibilité fournis aux métiers d’autre part.

Cet article Le paradoxe des projets de Data Leak Prevention (DLP) : une problématique clé, des solutions matures… mais une mise en œuvre qui fait encore peur est apparu en premier sur SOLUCOMINSIGHT.

Microsoft, géant de l’industrie logicielle, a lancé début 2010 l’outil Service Manager SCSM en s’appuyant sur sa suite System Center. Après une nouvelle version sortie début 2012 (SCSM 2012) et un Service Pack 1 disponible depuis janvier 2013, Microsoft confirme sa volonté de consolider sa position sur toute la chaîne de gestion des services IT. Pour autant, il n’apparaît pas encore dans le radar Gartner. Quel est donc le potentiel de cette solution ?

Quel sont les enjeux des outils ITSM ?

Les outils ITSM permettent à la DSI de se professionnaliser et d’améliorer sa qualité  de service, sa réactivité vis-à-vis des utilisateurs et de mieux piloter la production informatique.

Le choix et le déploiement d’un outil ITSM est impactant en termes de délai, les décisions doivent être prises avec un horizon à moyen terme (5 ans). De plus, c’est un outil visible, utilisé par de nombreux acteurs de la DSI et servant l’ensemble des utilisateurs. Dans un environnement d’entreprise de plus en plus changeant, l’enjeu d’adaptabilité de l’outil est donc primordial. Il doit apporter la souplesse permettant d’intégrer et de se séparer facilement de nouveaux périmètres, groupes supports et prendre en compte de nouveaux paramètres.

Le besoin de plus en plus prégnant de maîtriser les coûts informatiques et l’utilisation de plus en plus  large de services externalisés imposent également aux outils de répondre aux besoins de reporting et de mesure des SLA et OLA souvent complexes.

Le cloud en tant que tendance de fond se décline également sur les outils ITSM. Les solutions SaaS peuvent séduire des clients adeptes de solutions « clé en main ».

Enfin, les utilisateurs sont de plus en plus habitués à des interfaces user friendly pour leurs usages personnels. Ils deviennent de plus en plus exigeants sur l’ergonomie des outils professionnels. Les interfaces doivent donc être simples, intuitives et proposer des temps de réponse courts.

Le choix d’un outil sera donc guidé par les spécificités de chaque DSI, comme sa taille, son mode d’organisation (dispersion géographique, périmètres externalisés), ses engagements contractuels (catalogue et niveaux de service, impacts financiers liés à la mesure des engagements de services). L’enjeu pour les éditeurs sera de répondre à ces attentes diverses.

Qu’apporte la solution Microsoft ?

Tout comme ses principaux concurrents, System Center Service Manager 2012 permet d’outiller de façon intégrée les principaux processus :

• Front-office : gestion des incidents et gestion des demandes basée sur un module de gestion du catalogue de services.
• Back-office : gestion des problèmes, des changements, des mises en production et des configurations.

Du point de vue définition et design, les processus pris en charge sont basés sur MOF (Microsoft Operations Framework), largement appuyé sur le référentiel internationalement reconnu ITIL V3.

La spécificité de l’outil tient principalement à son appartenance à la famille Microsoft :

• Il est accessible à travers deux canaux dont l’interface est facilement prise en main car conçue dans « l’esprit » Microsoft : un client riche, ou console, à destination des équipes IT, et un portail web aux fonctionnalités plus limitées à l’usage des utilisateurs finaux.
• Il permet des interconnections natives avec les autres produits de la firme : l’Active Directory pour le peuplement de la solution, SCCM pour la gestion de configuration ou encore le portail Sharepoint pour le partage de la base de connaissance et la publication des reporting.
• La solution de reporting embarquée est l’un des atouts de cet outil. Basée sur les services de business intelligence issus de la technologie Microsoft SQL et elle permet d’automatiser la production des tableaux de bord publiables directement sur SharePoint.

Quelles entreprises peuvent en tirer le meilleur bénéfice ?

Le déploiement de cet outil met en avant la question du subtil équilibre à trouver entre l’adaptation de l’outil aux processus et l’adaptation des modes de fonctionnement de l’entreprise aux contraintes des éditeurs.

• Les possibilités d’adaptation de l’outil aux processus de l’entreprise éloignés des standards ITIL ou dotée d’une organisation avec de nombreux sites ou périmètres infogérés restent plus compliquées. Une personnalisation à l’aide du module « Authoring Tool » et de programmation XML devient nécessaire mais n’est supportée que lorsqu’elle est réalisée par Microsoft.
• L’ergonomie du portail web reste un point à améliorer au regard des capacités de Microsoft : le nombre de clic gagnerait à être réduit et une fois encore la personnalisation est difficile du fait d’une structure en Silverlight totalement verrouillée.
• D’un point de vue technique, l’interface web pour les utilisateurs n’est prise en charge que sur les plate-formes Windows Vista et ultérieures.

Compte tenu de ces caractéristiques, Microsoft répond plus particulièrement aux besoins d’entreprises souhaitant s’appuyer avant tout sur la console back-office ou aux entreprises de taille moyenne qui n’auront besoin que d’un faible niveau de personnalisation et qui pourront s’appuyer sur une solution clé en main et un cadre de référence standard.

Cet article Microsoft, challenger sur le marché des outils IT Service Management (ITSM) ? est apparu en premier sur SOLUCOMINSIGHT.

Quelles sont caractéristiques du Big data ?

Comme son nom l’indique, le Big data définit une catégorie de données. Elle est souvent résumée par les 3 « V » :

• Volume : une quantité de données importante liée à la multiplication des données du client. Les données à manipuler sont de l’ordre de la dizaine de tera octets ;
• Variété : différents types de données  provenant de diverses sources (internes SI, externes comme les réseaux sociaux… Ces données vont du plus structuré (relationnel) au non structuré (fichiers, vidéo…) ;
• Vélocité : une fréquence rapide à laquelle les données doivent être traitées et partagées, liée à la volonté de tendre vers un SI « temps réel ».

 Comment savoir si l’on manipule des données Big data ?

C’est simple, c’est souvent lorsque l’une des couches du SI devient un facteur limitant lors du traitement de gros volume de données, que l’on comprend qu’il s’agit de Big data.

La couche stockage est l’un des premiers facteurs limitant et les problématiques associées sont les suivantes :

• Performance : l’augmentation du volume à traiter entraîne une diminution des performances ;
• Linéarité : l’outillage n’étant pas adapté aux gros volumes de données, le modèle de scalabilité n’est pas linéaire, l’ajout de stockage ne permettant pas d’améliorer les performances ;
• Dynamisme : l’allocation d’espace est fixe avec une faible réactivité pour en ajouter ou en retirer.

Les solutions du marché reposent sur des implémentations propriétaires.

Les solutions Big data reposent sur un stockage basé sur le modèle de fichier distribué : des nœuds de stockage sont répartis physiquement sur le réseau mais vus par les applications comme un seul volume de stockage logique.

Ce modèle répond justement aux enjeux suivants, auparavant problématiques :

• Performance : les données sont réparties sur plusieurs nœuds de stockage (stripping HADOOP HDFS) et ceux-ci se distribuent intelligemment la donnée afin de diminuer le trafic réseau (les données semblables sur un même nœud) et faciliter des traitements distribués (HADOOP map reduce)
• Linéarité : le modèle distribué permet d’ajouter des nœuds de stockage sans limite et permet de retrouver une scalabilité linéaire ;
• Dynamisme : l’ajout et la suppression de nœud de calcul peuvent se faire simplement et apportent une résilience (via la réplication automatique des données). Si un nœud de stockage tombe, le service est assuré sans arrêt et sans perte de données. On s’approche d’une perte de données « RPO » et d’un temps de reprise « RTO » nulle.

Les solutions du marché (IBM, EMC, etc.) répondent aux 3 « v » du Big data mais chacune suit son propre modèle d’implémentation du stockage distribué : Cluster File System, Parallel File System…. Chaque solution n’a donc pas les mêmes performances ou, capacité d’évolutivité suivant le besoin.

 La qualification des données est la clé du stockage

C’est pour cela que lors de la mise en œuvre de ces types de solutions, une étude sur le stockage est nécessaire.  Quelles sont mes données ? Quelle est la volumétrie (max, écart-type, moyenne) ? Quelle est leur croissance ? Quels types de traitements sont effectués ? Doivent-elles être centralisées ? Quel est le ratio de lecture / écriture ? …

Toutes ces réponses permettront de catégoriser les données, un entrant primordial à la qualification de la solution cible et à son optimisation. Ainsi l’optimisation des  services de stockage Big data permettent à l’entreprise de maîtriser la variabilité et les performances. L’indexation devient plus facile, la taille des caches est optimisée et le stripping (fait de couper le fichier en plusieurs morceaux) est facilité afin de garantir un accès plus rapide à la donnée.

La mise en place d’une technologie stockage distribué est idéale dans les configurations de type grille de calcul : les nœuds de calcul échangent un grand nombre de données entre eux. À  la place d’une configuration en étoile où tous les nœuds s’échangent directement des fichiers, chaque nœud utilise un même volume logique hébergé sur une infrastructure Big data. Les gains sont doubles : directement sur les temps de lecture / écriture des données partagées et la charge réseau (bien que plus concentrée sur un segment) et indirectement sur les temps de calculs de la grille. Les nœuds de la grille de calcul étant déchargés de leur fonction de distribution de fichiers vers les autres nœuds, les ressources sont exploitées au maximum par le calcul applicatif. L’applicatif est donc plus performant pour le business.

Les solutions de stockage Big data commencent à être adoptées par les entreprises, qui les utilisent sur leurs périmètres stratégiques pour en tirer des gains de performance là où les solutions standards étaient limitantes. L’intégration de ces solutions reste l’étape clé : l’étude des données est nécessaire pour choisir la bonne implémentation Big data, faciliter sa configuration et ainsi profiter pleinement des  bénéfices annoncés.

Cet article Big data : comment intégrer les technologies de stockage ? est apparu en premier sur SOLUCOMINSIGHT.

La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes : 75% des attaques ciblent directement les applications (source : Gartner). Souvent centrées sur la protection des infrastructures, les équipes sécurité sont souvent trop éloignées des problématiques applicatives.

Les initiatives de sécurisation se multiplient mais montrent rapidement leurs limites du fait de cette distance et des incompréhensions qui en découlent.

Quelle structure organisationnelle permettrait de répondre à ces besoins ? Quels seront ses enjeux et objectifs ? Comment la mettre en place ?

Des menaces clairement applicatives

Ces dernières années ont vu une recrudescence des attaques sur les applications, avec des impacts importants. C’est par exemple une injection SQL qui a eu raison des défenses de Sony et entraîné le vol des données de 100 millions de joueurs. Chez Citibank, ce sont 360 000 données clients qui ont été volées par une simple modification d’URL, entraînant une perte de 2,7 millions d’euros.

Le constat semble sans appel : les entreprises ont besoin de sécurité applicative. Elles ne sont cependant manifestement pas encore mures sur le sujet. À titre d’illustration, 100% des applications auditées par Solucom sur l’année 2011/12 présentent au moins une faille de sécurité : 82% sont vulnérables au cross-site scripting (XSS), 72% au cross-site request forgery (CSRF) et 31% à l’injection SQL. Ces attaques applicatives sont pourtant bien connues…

Des efforts encore peu concluants

Une majorité des grandes entreprises réalise déjà des actions liées à la sécurité applicative.

Depuis des années déjà, le RSSI tente de capter les projets applicatifs et définir leurs besoins de sécurité. Cependant, il se trouve constamment confronté à une multitude d’acteurs, chefs de projet ou développeurs sans cesse renouvelés. Par ailleurs, le manque d’expérience et la multiplicité des besoins et des environnements techniques obligent souvent à redéfinir les mécanismes de sécurité pour chaque projet. De ce fait, les coûts liés à la sécurité sont élevés et difficiles à garantir lors des cadrages de projets.

La complexité de mise en œuvre des solutions de sécurité s’avère difficilement compatible avec un time-to-market qui contraint les développeurs à la considérer en dernier lieu – s’il reste du temps.

Sur le chemin menant à la sécurisation complète du SI, la première moitié du parcours s’est faite lors des dix dernières années. Les RSSI ont créé des relais de sécurité opérationnelle et établi une relation de proximité et de confiance avec la Production. En outre, les connaissances sur la sécurité des infrastructures ont été capitalisées. Tous ces efforts et cette maîtrise du sujet ont permis d’être en mesure d’anticiper et de réagir rapidement aux différents problèmes de sécurité sur l’infrastructure.

Pour rééquilibrer la sécurité de l’information, pourquoi ne pas s’inspirer de ce modèle et créer un relai « sécurité applicative » ?

Structurer les actions de sécurité applicative autour de la SecApp

La SecApp est une cellule transverse regroupant différents spécialistes du domaine. Cette cellule, garante de la sécurité applicative, doit s’approprier et structurer toutes les activités de sécurité applicative aujourd’hui dispersées dans l’entreprise.

La SecApp doit s’interfacer avec toutes les entités (MOA, RSSI, Production…). Ses objectifs sont de les guider dans la sécurisation des applications à chaque étape du projet ainsi que dans le maintien et l’amélioration de la sécurité de l’application dans le temps. À plus long terme, la SecApp a aussi pour but de simplifier la sécurité applicative et de rendre autonomes les différents acteurs.

Ces nouveaux liens que partagera la SecApp avec les différents acteurs devront être étroits. Alors qu’elle travaillera main dans la main avec le RSSI pour les questions de politique de sécurité applicative et de réglementation spécifique, elle sensibilisera les équipes études et MOA pour capter l’ensemble des projets applicatifs. De la même manière, la cellule se rapprochera de la sécurité opérationnelle pour coordonner, voire piloter, les différents tests de vulnérabilité et mises en production des applications.

Sa constitution requiert de rassembler des profils diversifiés mais en premier lieu issus du monde applicatif. Actuellement en effet, la non familiarité des équipes avec le développement et la vie des projets constitue le principal obstacle rencontré par la sécurité applicative.

Le rattachement de cette SecApp différera selon le contexte et l’organisation interne de chaque entreprise. Idéalement, nous recommandons un positionnement au sein d’une structure d’architectes transverses pilotant les architectes applicatifs, les urbanistes et les architectes techniques, qui assurent la mise en œuvre des applications sur l’infrastructure.

Des fonctions différentes selon la maturité de la SecApp

Dans un premier temps, la SecApp réalise. Dans cette phase, la cellule doit intervenir en support des différents chefs de projet, dans le but de constater et comprendre les problématiques en jeu.

Ensuite, la SecApp capitalise. Forte de ses expériences, elle va commencer à formaliser et à mettre à profit ses acquis pour améliorer l’efficacité de la sécurité applicative. Le but sera de commencer à former les opérationnels et d’éviter d’avoir à redéfinir tous les aspects sécurité à chaque projet.

Enfin, la SecApp offre des services. Une fois ce degré de maturité atteint, elle devient capable d’utiliser intelligemment l’expertise et les bonnes pratiques capitalisées durant les étapes précédentes. La conception et le contrôle, jusqu’alors thèmes de capitalisation de savoir, sont désormais déclinés en catalogues de services.

L’enjeu de la SecApp est la simplification de la sécurisation d’une application dans le temps. Au fil de son évolution, elle apprendra à faire, puis savoir faire, et enfin savoir faire faire. En particulier, les équipes MOA et Études ne seront plus isolées, et entretiendront des liens forts avec le RSSI et la Production. De ce fait, les différentes équipes en jeu seront autonomes, et la sécurité applicative fera partie intégrante de la culture de l’entreprise.

Pour en savoir plus sur le sujet, consultez notre Focus sur la sécurité applicative.

Cet article SecApp : la sécurité de votre SI passera par la sécurité applicative ! est apparu en premier sur SOLUCOMINSIGHT.

Différentes contraintes à prendre en compte pour assurer le succès d’un projet

Tout au long de la vie du projet, la prise en compte des contraintes du run doit tendre à s’affiner au fur et à mesure que se précise la vision de la cible attendue. De cette analyse doit alors découler un plan d’actions permettant d’anticiper la future arrivée en production du projet et d’y préparer les équipes de run.

Cette attention déterminante dans le succès d’un projet informatique et surtout dans la pérennité de son exploitation car c’est un prérequis indispensable :

• Dans l’identification des sujets centraux du transfert de connaissance vers les équipes de run ;
• A l’acquisition de toutes les compétences requises pour la bonne exploitation du futur système par ces mêmes équipes ;
• A la définition de modalités de « service management » claires et partagées.

Impliquer les équipes de run : clé de réussite du passage du build au run

Bien sûr, le passage du build au run se prépare à travers une bonne documentation du projet – et de préférence une documentation validée par les équipes d’exploitation –, par la définition et/ou la contractualisation de services auprès de l’exploitant, par l’implémentation d’une matrice de rôles et responsabilités claire et complète et enfin par la mise en œuvre progressive de processus de gestion des incidents, des demandes et des changements.

Cependant, le véritable succès de ce transfert des équipes de build vers les équipes de run réside aussi – et surtout – dans l’implication des équipes de run dès la phase de design du projet afin d’influer sur l’architecture du système, d’améliorer le coût de son cycle de vie et de prévenir les risques liés à son exploitation.

Mais comment impliquer les interlocuteurs du run dans le projet ? Sachant que les équipes de build et celles de run sont généralement issues de direction différentes. Qui est supposé diriger qui ? Qui est force de décision sur le projet ? À quel moment se fait la bascule du pouvoir de décision ?

Quelques bonnes pratiques de DSI pour mobiliser les équipes de run

Autrefois, la réponse d’une DSI à l’implication du run dans le projet passait par la désignation d’un ou plusieurs interlocuteurs privilégiés au sein de ces équipes de run. Ces « référents » avaient en charge d’assurer la coordination avec les équipes de build et d’acquérir dans le même temps toute la connaissance projet. Mais très vite, ces collaborateurs devenaient des points de contention, leur implication créant un problème de gouvernance récurrent : qui les pilote ?

Aujourd’hui, d’autres réponses émergent. Parmi les plus judicieuses, résident notamment :

• La création d’équipes projet « mixtes », composées autant de personnes venues du build que de personnes venues du run  et détachées sous une direction unique ;
• La création d’instances de gouvernance autour de l’architecture impliquant à la fois les responsables de run et du build pour assurer la prise en compte des contraintes d’exploitation dès la phase de design du système ;
• La réalisation de Proof of concept (POC) pour éprouver les modalités de service management : l’ensemble de mon processus est-il clairement maîtrisé et connu de tous ? Les différentes parties prenantes sont-elles bien définies et en capacité de réaliser leurs actions ?. Ce POC permet également de faciliter la montée en compétences des interlocuteurs de run sur la prise de décision : quoi faire et dans quel cas ?
• La mise en œuvre de périodes probatoires à l’issue de la mise en production pendant lesquelles les équipes de run prennent progressivement la responsabilité du système tout en conservant un support des équipes de build ;
• La mise à disposition de socles normalisés portés par des offres de services standardisées permettant d’inverser le problème : il n’appartient plus au run de répondre aux exigences du build. Au contraire, il devient de la responsabilité du projet de s’inscrire dans les standards d’exploitation définis.

Quelles que soient les approches adoptées, celles-ci visent toutes le même eldorado : trouver le parfait équilibre entre objectifs du build et contraintes du run… et ainsi assurer la réussite totale du projet !

Cet article Le passage du build au run : un sujet trop souvent négligé ? est apparu en premier sur SOLUCOMINSIGHT.

Cependant, cette opportunité entraîne un changement de grande ampleur. Il est donc important de s’assurer au préalable de la pertinence et de la faisabilité d’une telle action. Nous avons ainsi identifié différents critères qui, une fois validés par la direction de votre entreprise, sauront maximiser vos chances de réussir cette transformation en profondeur !

Un changement culturel et organisationnel réalisable

Les DSI sont traditionnellement positionnées comme des fonctions « support ». En commercialisant leurs services sur le marché, elles vont bouleverser leur positionnement stratégique. Les obligations de marketing, de rentabilité ou encore de service après-vente auxquelles elles sont soumises vont être renforcées par ce nouveau positionnement.

Au-delà du changement des modes de fonctionnement (processus, gouvernance, rôles…), il faut s’assurer que le gap culturel entre l’ancien positionnement et le nouveau est franchissable. Les équipes des DSI doivent être motivées et prêtes à voir leur métier évoluer et leurs clients changer. Par exemple, il faut s’assurer qu’il est culturellement envisageable de vendre des services aux concurrents de la maison-mère !

Par ailleurs, une analyse de la capacité à filialiser la DSI doit être anticipée pour permettre des évolutions tant organisationnelles (ex : allocation de ressources dédiées) que juridiques (ex : évolution de la convention collective).

Des produits non stratégiques, à valeur ajoutée différenciante

Il est important de s’assurer que les services qui seront commercialisés sur le marché se différencieront de ceux des concurrents. Les leviers sont ici multiples : valeur ajoutée, prix, business model… Cependant, il est surtout primordial de s’assurer que ces produits ne sont pas pour autant des actifs « stratégiques ».

En effet, un produit de la DSI doit être considéré comme « stratégique » s’il représente un avantage concurrentiel clé pour l’entreprise-mère, comme par exemple un logiciel de gestion du risque dans le domaine des assurances.

Enfin, la veille concurrentielle s’impose comme une activité indispensable pour garantir un rapport valeur ajoutée / prix du produit qui reste cohérent avec le marché dans la durée.

Une offre en phase avec les attentes du marché

Tout d’abord, il est essentiel d’asseoir un « prix », relativement à la qualité des offres, qui soit cohérent par rapport au positionnement des concurrents et à la stratégie de pénétration du marché. Par exemple, si une DSI souhaite vendre un produit significativement plus cher qu’une SSII, elle doit le justifier !

N’oublions pas que la présence sur le marché ne pourra perdurer que si les clients sont satisfaits des produits achetés. Un client externe peut s’avérer plus exigeant qu’un client interne. La DSI doit par conséquent se mettre en capacité d’assurer le niveau de qualité et de productivité nécessaire. Anticiper les enjeux de service après-vente et de relation client et garantir la capacité de production sont essentiels.

Une offre en lien avec l’activité de la maison-mère

Les services commercialisés par la DSI seront d’autant mieux accueillis par le marché qu’ils ont un lien avec l’activité de la maison-mère. Dans le cadre de la commercialisation et de la promotion des produits, il s’agira de faire valoir la fiabilité des produits et de bénéficier de l’image de marque de la maison-mère.

Par exemple, Thales Services, en raison de son expertise dans le domaine de la défense, aura plus de crédibilité pour répondre à des exigences avancées de sécurité qu’une SSII non spécialiste.

Somme toute, la commercialisation des services d’une DSI sur le marché est une opération complexe, mais porteuse de multiples opportunités. Les critères présentés ci-dessus sont autant de facteurs clés de réussite. Avant de se lancer, il s’agira alors d’identifier les enjeux stratégiques, économiques et IT pour mener au mieux la transformation qui, selon le contexte, peut prendre plusieurs années. Pour en maîtriser le rythme, obtenir et maintenir l’adhésion, le pilotage et la gouvernance sont de vrais incontournables. Alors, êtes-vous prêts à vous lancer ?

Cet article Êtes-vous prêts à commercialiser les services de votre DSI ? est apparu en premier sur SOLUCOMINSIGHT.

La sécurité, une question négligée après la phase de contractualisation

Les limites posées par le SaaS sont aujourd’hui bien connues : difficultés d’adaptation du service aux besoins de l’entreprise, absence de possibilités d’audit, questions réglementaires, etc.

Pourtant, de plus en plus de services cloud sont adoptés, sans que la sécurité ne soit nécessairement un frein. Pour cela, une démarche classique d’analyse de risque est menée en évaluant les contraintes légales / réglementaires,  les mécanismes de protection des données, la gestion de la sécurité par le fournisseur, ou encore les conditions de réversibilité de la donnée.

Cette démarche est de plus en plus maîtrisée : de nombreux retours d’expérience et un outillage qui se professionnalise* amènent à faire des choix éclairés, en toute connaissance de cause des risques encourus, et donc parfois acceptés.

Malheureusement, la démarche sécurité s’arrête souvent là : à partir du moment où le sujet a été traité lors de la contractualisation, on considère qu’un bon niveau est assuré, puisque l’on a exigé du prestataire de s’en occuper !

Le maintien de la sécurité dans le temps est un enjeu régulièrement oublié, alors même qu’il est en partie du ressort de l’entreprise, et pas seulement à la charge du fournisseur.

Des sujets à inscrire dans la durée

Pour s’assurer que la solution cloud est déployée avec le bon niveau de sécurité, et maintenir celui-ci dans le temps, quatre grands thèmes sont à aborder en priorité. S’il s’agit de bonnes pratiques habituelles sur un SI d’entreprise, il faut aujourd’hui les adapter, voire les renforcer pour le SaaS.

Les responsabilités de l’entreprise pour le maintien de la sécurité du SaaS dans le temps

•  La gouvernance : les services SaaS doivent être intégrés aux procédures de sécurité et des processus liés au service fourni. Il peut par ailleurs être utile de mener des actions de sensibilisation dans certaines situations.

• L’administration fonctionnelle du service est bien du ressort de l’entreprise : le fournisseur n’est pas en mesure de faire les choix fonctionnels à votre place (et ce n’est souvent pas ce qu’on lui demande) ! Pour l’aspect sécurité plus encore, c’est à l’entreprise de définir  et mettre en œuvre les fonctionnalités avancées disponibles, de restreindre les services au minimum requis par l’utilisateur, de former ses administrateurs… Ces aspects sont souvent les plus négligés, comme nous le constatons lors des audits que nous réalisons.
• Des contrôles réguliers peuvent et doivent aussi être mis en œuvre sur les parties auditables des services. Il s’agit en particulier de vérifier que les paramètres de sécurité sont inchangés, d’exploiter les logs sécurité, et de revoir les habilitations. S’il le permet, enfin, ne pas hésiter à auditer son fournisseur (visites de site, voire tests d’intrusion).
• Il reste enfin à traiter le sujet de l’IAM, enjeu transverse du Cloud, souvent peu ou mal maîtrisé de par sa complexité. Même si cette voie est souvent suivie, il faut pourtant éviter de recréer un compte dans le Cloud pour chaque utilisateur. Pour « synchroniser » les identités de l’entreprise dans le Cloud, il faut également éviter la multiplication des connecteurs  (et notamment ne pas en redévelopper un par fournisseur), sous peine de créer une situation ingérable. Deux approches sont aujourd’hui à prioriser : soit l’utilisation d’un outil de fédération d’identités interne (qui réalise la connexion avec la majorité des fournisseurs de SaaS), soit l’externalisation de l’IAM… dans le Cloud (!) en « Identity as a Service »

Le RSSI, garant de la cohérence des projets

Dans le cas du SaaS, le rôle des responsables sécurité de l’information est double.

D’une part, il s’agit d’accompagner les projets, en leur apportant des solutions transverses : un certain nombre de points peuvent être mutualisés en amont. C’est tout particulièrement le cas des sujets tels que l’IAM, qui doivent faire l’objet d’une approche unifiée et cohérente -  et surtout pas projet par projet.  C’est également le cas des questions légales qui doivent faire l’objet d’une réflexion globale amont.

D’autre part, la SSI demeure la garante du niveau de sécurité dans le temps : la Gestion Opérationnelle de la sécurité devra faire l’effort de partir à la conquête des nuages !

* On peut citer notamment le guide publié par l’ANSSI et la « Cloud Control Matrix » maintenue par la Cloud Security Alliance

Cet article SaaS et sécurité : entreprises, ne mettez pas vos responsabilités dans les nuages ! est apparu en premier sur SOLUCOMINSIGHT.

Les actuels débats sur la transition énergétique, que ce soit dans le cadre des instances impulsées par le gouvernement ou très largement dans les médias, sont l’écho des luttes d’influence entre acteurs qui s’estiment chacun les plus légitimes pour conduire la transition énergétique « sur le terrain » et espèrent s’attribuer les moyens correspondant à leurs ambitions.

L’offensive  des collectivités territoriales : pour une gestion de proximité de l’énergie

Au travers de leurs associations nationales, les collectivités territoriales (régions, départements, communes et intercommunalités) s’expriment fortement, afin de promouvoir une gestion décentralisée, à l’échelle de chaque territoire. Pour elles, décentralisation est synonyme de proximité et d’efficacité. Pourquoi ?

Parce que, d’une part, les services techniques et les élus pensent connaître leur territoire mieux que quiconque : ils savent où on consomme l’énergie et où on peut en produire suivant l’implantation de l’habitat, des zones agricoles et forestières, des zones industrielles. Les plans locaux d’urbanisme en tiennent de mieux en mieux compte, en cohérence avec les Plans Climat-Énergie Territoriaux. Ils connaissent aussi leurs habitants : aux premières loges pour définir et porter une politique locale de solidarité, ils peuvent agir de plusieurs manières pour résorber la précarité énergétique des ménages.

D’autre part, les collectivités territoriales se disent aguerries dans les exercices de démocratie participative. Leur proximité avec les habitants, les acteurs du tissu économique, les acteurs de la recherche et de l’enseignement, leur permettent d’identifier des initiatives innovantes et de les multiplier, par exemple dans le champ de la maîtrise de l’énergie (covoiturage, mise en commun d’équipements de proximité…) ou de l’efficacité énergétique.

Les collectivités demandent donc à l’État, sur le modèle de certaines démocraties Nord-Européennes, plus de marges de manœuvres. Par exemple, elles veulent pouvoir adopter des règlements allant au-delà des normes nationales (règlementation thermique, obligation de rénovation…). En conséquence, la question du partage des différentes recettes fiscales issues de la chaîne de valeur de l’énergie est au centre des discussions entre l’État et les collectivités.

Vers des opérateurs locaux de l’énergie ?

Les collectivités s’attaquent également aux opérateurs nationaux de l’énergie, par l’intermédiaire d’ONG. On a vu apparaître ces derniers mois des propositions pour permettre aux communes de créer leur propre entreprise locale de distribution de gaz ou d’électricité en lieu et place des deux distributeurs historiques. Leurs arguments ? La diversité des situations locales implique de moduler les stratégies. La gestion directe de ces opérateurs leur  donnerait un pouvoir d’action plus grand, par exemple pour injecter plus facilement gaz ou’électricité renouvelables produits localement. Les distributeurs historiques défendent quant à eux leur saine gestion et mettent dans la balance leur capacité à absorber les variations des productions énergétiques locales dans le temps.

Gérer l’énergie à l’échelle locale, pour mieux la produire et la consommer conduit certaines collectivités à parler d’une possible indépendance énergétique. Mais elles ne s’accordent pas forcément entre elles pour identifier la bonne échelle d’action :intercommunale, départementale ou régionale. Une certaine forme de concurrence est même perceptible à l’heure de proposer des initiatives. Deux collectivités se distinguent en ce moment : d’abord les régions, qui ont réfléchi et structuré leur action lors de la définition de leurs Schémas Régionaux Climat-Air-Énergie en 2012. Ce n’est probablement pas un hasard si le gouvernement leur a donné un rôle central d’animation des débats de ce printemps. Elles peuvent se prévaloir d’une taille pertinente pour stimuler la production d’ENR  et le développement d’un tissu économique viable autour d’elles. Ensuite, les intercommunalités, qui se sont emparé de longue date des questions de maîtrise de l’énergie. Elles ont pour elles de concentrer sur leurs territoires la majorité des consommations énergétiques non industrielles (bâtiments, transports) et de disposer d’outils de décision efficaces pour les réduire. Ceci étant dit, le nouveau projet de loi « Lebranchu » modifie encore les équilibres.

Les prochaines semaines permettront de définir quels sont  les acteurs les mieux placés pour assumer le leadership de la transition énergétique.

Cet article Les territoires dans la transition énergétique : qui sera en tête d’affiche ? est apparu en premier sur SOLUCOMINSIGHT.

La cyber-assurance : pour quoi faire ?

Traditionnellement, l’assurance est vue comme une manière de transférer un risque, en permettant de recouvrer une perte en cas d’occurrence de ce risque. Cela implique d’être en mesure de correctement évaluer le risque et la perte associée. S’il est relativement aisé de le faire sur des risques « matures » en matière d’assurance, comme l’incendie par exemple, cela devient beaucoup plus complexe lorsque l’on parle de cybercriminalité. L’interconnexion des SI et leur globalisation rendent difficile l’évaluation des risques et des pertes : quelle valeur pour les informations que l’on m’a dérobées ? Quels impacts pour mes partenaires et mes clients ? Quels coûts pour réparer la faille ?

Ainsi, le souscripteur doit aujourd’hui percevoir la cyber-assurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.

Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise. C’est cet apport immédiat d’expertise packagée qui peut intéresser le souscripteur à une offre « cyber-assurance », en complément du recouvrement d’une partie souvent limitée de ses pertes.

La cyber-assurance : pour quels risques ?

Les cyber-assurances permettent de faire face aux risques liés à trois grands enjeux actuels en matière de systèmes d’information.

• L’évolution de la règlementation concernant la protection des données personnelles et la notification en cas de fuite.

Ces deux sujets très liés feront probablement l’objet dans un avenir proche de renforcements législatifs visant à protéger davantage les consommateurs. La notification des fuites peut s’avérer extrêmement coûteuse pour les entreprises. L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles  en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a fait exploser le marché de la cyber-assurance aux États-Unis.

• L’entreprise étendue, génératrice de nouveaux risques

Les mouvements incessants des entreprises (fusions, cession de certaines activités, …), les interconnexions SI avec des clients et partenaires ou encore le développement du cloud computing sont autant de facteurs qui exposent le SI de l’entreprise à des attaques. Par ailleurs, en cas d’incident avéré, l’entreprise peut être considérée comme responsable de perturbations chez ses clients et partenaires. Attention cependant sur ce point : si un volet responsabilité civile est souvent inclus dans les offres de cyber-assurances, il fait parfois doublon avec les contrats responsabilité civile traditionnellement souscrits, qui couvrent souvent (en France) les dommages immatériels.

• Le développement du e-commerce

De plus en plus d’entreprises vendent aujourd’hui leurs produits sur Internet. L’indisponibilité du portail web de vente peut ainsi générer des pertes importantes de chiffre d’affaires, qu’il peut être relativement facile de chiffrer. Dans ce cas, une cyber-assurance peut jouer pleinement son rôle traditionnel de solution permettant de recouvrer une perte.

En conclusion : dans quels cas prendre une cyber-assurance ?

En conclusion, il est sans doute bon de s’intéresser au sujet de la cyber-assurance si l’entreprise est dans un ou plusieurs des cas suivants :

• Elle est susceptible de faire face à une attaque dont certaines conséquences sont facilement mesurables (sites de e-commerce par exemple). Dans ce cas, l’entreprise cherchera à jouer sur l’aspect « traditionnel » de l’assurance pour recouvrer une perte d’exploitation.
• Elle dispose d’un SI fortement interconnecté avec l’extérieur. Il sera alors utile dans un premier temps de vérifier quelle couverture lui offre son contrat en responsabilité civile (RC) actuel pour indemniser les tiers à qui elle porterait atteinte en cas d’attaque. Au besoin, elle pourra compléter cette couverture par le volet RC d’une cyber-assurance.
• Elle gère de nombreuses données personnelles. Elle sera alors attentive aux évolutions législatives en matière de notification et prendra si possible les devants sur le sujet en commençant à étudier la solution cyber-assurance.
• Elle dispose d’un manque d’expertises sur le sujet de la cybercriminalité et souhaite pouvoir disposer d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cyber-assureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, gestion de crise, forensics, …)

Cet article Cyber-assurance : souscrire ou ne pas souscrire telle est la question ! est apparu en premier sur SOLUCOMINSIGHT.

Un appui pour le management…

L’activité principale d’une cellule PMO est de consolider des données afin de réaliser le reporting du programme. Le suivi des 6 axes de pilotage (qualité, délai, coûts, risques, ressources et changements) apporte au management les éléments nécessaires d’aide à la décision. Mais limiter le rôle de la cellule à cette seule activité de coordination créé une distance avec les équipes opérationnelles. Cette distance limite la remontée d’informations fiables de la part des équipes et rend impossible toute conduite du changement efficace.

…mais également pour les acteurs opérationnels

La constitution d’une cellule composée d’équipes de pilotage et d’équipes de réalisation assure un pilotage efficace, sans perturbation de l’activité récurrente. De plus, l’autonomie de cette cellule permet de réaliser rapidement les arbitrages nécessaires et d’accélérer la prise de décision. Cette autonomie et cette indépendance dans la prise de décision augmentent le risque d’effet tunnel. Il devient alors indispensable de réaliser une conduite du changement forte auprès des équipes en fin de programme.

Le dialogue en réponse à la résistance au changement

La cellule PMO est souvent confrontée à la réticence des chefs de projet qui la perçoive comme un acteur interférant dans leur relation avec le management. L’ajout de ressources techniques à la cellule minimise ces résistances. Cette structure permet d’apporter le support nécessaire en termes de communication et de gestion du changement. Les équipes opérationnelles restent autonomes sur leur périmètre et disposent d’un relai opérationnel garantissant la cohérence technique. Ce relai restant toutefois éloigné des équipes, il ne peut pas garantir la fiabilité de l’avancement qui lui est remonté.

Imposer la légitimité de la fonction et assurer la perception de sa valeur ajoutée

Il est courant pour une cellule PMO d’être perçue comme une couche additionnelle « superflue » de la gestion de projet. Si la légitimité des PMO dépend en partie de son positionnement hiérarchique et de sa proximité avec le management, il est nécessaire d’assoir son existence auprès des opérationnels. L’implication de relais dédiés dans les équipes opérationnelles permet de créer un lien fort avec la direction de programme. Il convient dès lors d’en faire un vecteur privilégié de communication pour l’ensemble des acteurs. Partager avec l’ensemble des contributeurs les synthèses réalisées permet de leur fournir la visibilité sur l’importance des informations qu’ils transmettent. Ces contacts réguliers permettront d’inclure les contributeurs lors de la construction des outils de pilotage, de prendre en compte leurs remarques et ainsi de s’inscrire dans une dynamique d’amélioration continue. En effet, au travers de ces contacts réguliers, la cellule PMO récupérera des clés de compréhension parfois absentes des reportings et autres échanges de mails. Cette proximité avec l’ensemble des acteurs permet à la cellule PMO d’être perçue comme un acteur du programme à part entière.

Pour assurer la pérennité de la fonction de PMO, il faut aller au-delà des fonctions « classiques » de coordination. Des alternatives existent telles que les « métarègles » décrites par F. Jolivet*. L’implication d’acteurs dédiés aux côtés des équipes opérationnelles permet d’imposer cette cellule comme un acteur nécessaire et reconnu de tous.

* « Manager l’entreprise par projets : Les Métarègles du management par projet », François Jolivet

Cet article Quelle place pour la cellule PMO dans les programmes de transformation ? est apparu en premier sur SOLUCOMINSIGHT.

La téléphonie en salle des marchés se démarque de la téléphonie classique dite « administrative » par ses obligations techniques, fonctionnelles et réglementaires spécifiques au métier du trading. Depuis presque 10 ans, la ToIP s’impose pour la téléphonie administrative dans les grandes entreprises. Mais qu’en est-il de la téléphonie de marché ? Cette téléphonie souvent « à part » suit-elle la même tendance technologique ?

La téléphonie des salles des marchés, un métier à part

La salle des marchés : une organisation tripartite au service du trader

Plus qu’un lieu physique, le terme de « salle des marchés » désigne l’ensemble des services et des personnes qui permettent aux établissements financiers d’intervenir sur les marchés. Son organisation se découpe en trois domaines distincts : le Front Office (négociations et décisions), le Middle Office (suivi des risques et résultats) et le Back Office (administration et contrôles).

C’est au sein du Front Office, centre décisionnel qui se doit d’être à la pointe du progrès technique en termes de communications et de gestion des flux d’information, qu’évoluent les opérateurs marchés : traders, brokers (intermédiaires entre les clients et l’établissement) et analystes financiers.

Les outils de communication mis à disposition des opérateurs doivent leur permettre de traiter une quantité importante d’informations critiques de façon rapide et simultanée avec plusieurs intervenants distants. Parmi les nombreux services offerts (Bloomberg, Reuters…), le téléphone reste le canal de communication privilégié pour 5% des opérations entre salles des marchés. Le poste téléphonique, appelé « platine », joue un rôle clé dans l’environnement de travail des opérateurs. Selon BT Trading « les traders perdraient 100 000 euros par heure s’ils n’avaient pas leur téléphone ». Bien que difficile à vérifier, cette assertion illustre l’importance pour les DSI d’offrir un service de téléphonie fiable et de qualité à ses utilisateurs en salles.

Seuls quelques acteurs sont aujourd’hui capables de répondre aux exigences de cette téléphonie métier spécifique.

Un marché de spécialistes

Cisco, Alcatel-Lucent, Aastra, Avaya… aucun des acteurs de la téléphonie administrative n’est présent sur le marché de la téléphonie Trading. C’est bien un univers de spécialistes, où les leaders se nomment  Orange Trading Solutions (ex Etrali) et BT ou IPC (issu du monde du système).

Les solutions proposées par ces trois constructeurs s’articulent autour de trois briques de services indissociables : l’infrastructure de téléphonie, l’enregistrement vocal et les lignes louées. Le cœur du système, majoritairement TDM (Time Division Multiplexing) aujourd’hui, se compose d’un commutateur en charge du contrôle des communications et de la gestion des ressources téléphoniques. Ce cœur est systématiquement complété par un service d’enregistrement des conversations vocales obligatoire, à but réglementaire et contrôlé par les autorités des marchés financiers. Les lignes louées TDM sont également très largement déployées sur les platines en salles et offrent des connexions permanentes sans numérotation et en point-à-point entre un opérateur et ses contreparties (clients, brokers, partenaires…).

Les solutions de téléphonie de marché Full IP apparues depuis 2010 sont encore très largement en retrait par rapport à un existant TDM omniprésent. Cependant, cette balance risque de fortement s’inverser dans les 3 à 5 prochaines années, la fin de vie des solutions TDM, les nouvelles réglementations financières et les besoins d’intégration de la téléphonie dans le SI poussant vers le monde IP.

Migration vers le modèle IP : une transition hésitante mais inévitable

Des facteurs de pressions externes et internes

L’obsolescence des solutions de téléphonie de marché TDM est l’un des premiers facteurs clés poussant vers une évolution IP. D’ici fin 2016, la majorité des systèmes TDM ne seront plus supportés par les constructeurs qui se concentrent sur le développement de solutions de nouvelle génération en « tout IP ».

Les nouvelles réglementations financières imposées par les autorités de régulation des marchés jouent également en faveur d’une migration vers le tout IP. Les établissements financiers sont soumis à de plus en plus d’obligations en termes de traçabilité et transparence des transactions. Les systèmes d’enregistrements vocaux se doivent d’évoluer pour répondre à la législation en offrant de nouvelles fonctionnalités. Ces nouveaux besoins vont au-delà des possibilités techniques et fonctionnelles des équipements TDM, l’IP étant un prérequis pour y répondre.

Enfin, de nouveaux besoins en termes de convergence des services sont apparus. Les platines IP de nouvelle génération se voient équipées de nouveaux services embarqués permettant une meilleure interaction avec le poste informatique du Trader et son environnement applicatif (CRM, annuaires, vidéoconférence, instant messaging, etc.).

Une évolution inéluctable

Malgré la réticence des DSI à migrer leurs systèmes de téléphonie de marché TDM, réputés pour leur robustesse et leur fiabilité, l’évolution technologique vers l’IP emprunte une trajectoire analogue à celle de la téléphonie administrative démarrée dans les années 2000.

Si dans un premier temps une migration totale vers l’IP présente des coûts supplémentaires par rapport aux systèmes existants généralement amortis, la performance économique peut être réelle à moyen terme par la rationalisation et la virtualisation des infrastructures.

L’adoption du modèle tout IP en environnement salle des marchés semble ainsi se confirmer, et il est fort à parier que les solutions de téléphonie de marché sur IP s’imposeront comme un véritable standard dans les 5 prochaines années.

Cet article La téléphonie en salle des marchés : sur la voie du tout IP ? est apparu en premier sur SOLUCOMINSIGHT.

Encore peu connue du grand public, la notion de mix énergétique s’impose peu à peu dans le débat sur la transition énergétique : plus qu’un sujet de discussion, le mix énergétique devient en effet un véritable enjeu pour les différentes parties prenantes, et constitue  un objectif à part entière – on parle alors de « mix cible »… Zoom sur cette notion.

Qu’est-ce que le mix énergétique ?

Toute l’énergie que l’on consomme (consommation énergétique totale) sur un territoire est issue d’une énergie primaire. Le « mix » (ou « bouquet énergétique ») désigne de fait la répartition, au sein d’une zone géographique donnée, des différentes sources d’énergies primaires consommées (pétrole brut, gaz naturel, charbon, énergie d’origine nucléaire, énergies renouvelables). Toutes les sources d’énergies primaires sont comptabilisées, ainsi que l’ensemble des usages (pour les transports, le chauffage des bâtiments, etc).

Comment se compose le mix énergétique en France ?

Les choix d’un pays ou d’une zone géographique en matière de mix énergétique prennent en compte trois facteurs essentiels : la disponibilité des ressources, l’ampleur et la nature des besoins en énergie, le contexte socio-économique et environnemental. Ces facteurs nous expliquent pourquoi l’Allemagne et la France ont fait des choix politiques radicalement différents pour leur mix énergétique :

Composition des mix énergétiques de la France et de l’Allemagne

L’évolution du mix français dans le temps reflète les efforts de la France, depuis le choc pétrolier de 1973, pour diminuer sa dépendance énergétique avec deux leviers principaux : l’augmentation de  la production locale et le rééquilibrage des différentes énergies au sein du mix de façon à diminuer la part des énergies fossiles, très largement importées. Concrètement, cela s’est traduit par une politique de développement de la production d’énergie nucléaire. L’Allemagne quant à elle, a basé son économie sur une industrie lourde et polluante très consommatrice d’énergies fossiles mais les changements sont en cours. Arrêt du nucléaire et développement des énergies renouvelables sont désormais les choix des nos voisins outre-Rhin.

Pourquoi parle-t-on aujourd’hui de mix cible ? Quels sont les enjeux ?

Notre mix français dispose  de sérieux atouts : la France produit beaucoup d’électricité, grâce au nucléaire, une électricité « décarbonée » et relativement bon marché, ce qui nous place parmi les pays d’Europe émettant le moins de CO₂/ personne, et parmi ceux où l’électricité est la moins chère.

Il n’est pour autant pas complètement satisfaisant au regard des enjeux économiques et environnementaux. En effet la consommation énergétique globale va continuer à croître, celle de la France sans doute également. Or, 75% des émissions de CO₂ proviennent de la combustion des énergies fossiles – dont il va falloir continuer à diminuer la part dans le mix. Par ailleurs, les sources d’hydrocarbures conventionnelles ne sont pas inépuisables, il est donc important d’anticiper leur raréfaction et la probable hausse de leur prix, d’autant plus probable que l’on atteint peu à peu les pics de production pour chacune de ces énergies.

C’est ainsi que la  France s’est désormais engagée sur 3 objectifs d’ici à 2020, qui constituent de véritables choix de société :

• réduire de 20 % ses émissions de gaz à effet de serre ;
• réaliser 20 % d’économies d’énergie et porter la part des énergies renouvelables à 20 % de la consommation d’énergie ;
• diminuer la part du nucléaire de 75 % à 50 % d’ici à 2025.

Dans ce scénario, les consommateurs recourraient moins au pétrole et au charbon, au profit des énergies nucléaire et renouvelables, moins émettrices de GES : on parle d’une décarbonisation du mix énergétique.

Faire évoluer le mix en France, c’est d’une part se poser la question de la place du nucléaire et d’autre part celle des changements comportementaux à adopter pour s’adapter à une nouvelle donne énergétique. C’est aussi faire des choix économiques : en tout premier lieu celui de la création de véritables filières : celles des énergies renouvelables  (photovoltaïque, éolien, …) mais également celle de l’efficacité énergétique…

Cet article Mix énergétique : quelques clés pour comprendre est apparu en premier sur SOLUCOMINSIGHT.

La Carte de Professionnel de Santé (CPS) est une carte d’identité électronique, personnelle et unique, garantissant l’identification nationale des professionnels de santé. Dorénavant distribuée gratuitement et systématiquement par l’ASIP Santé à tout professionnel de santé (libéral et hospitalier) inscrit au RPPS, et sur demande aux autres professions (plus de 835 000 cartes de la famille CPS en circulation, dont 160 000 en établissements de santé), elle permet notamment de répondre aux besoins du personnel médical, soignant et médico technique d’accéder de manière discontinue et fréquente au Système d’Information Hospitalier (SIH) depuis des postes généralement partagés. Comment mettre en œuvre cette carte au sein d’un établissement de santé ? Quels sont les particularités et les acteurs d’un tel projet ?

Mettre en œuvre la carte CPS au travers d’un projet de gestion des identités et des accès

Le SI, tout en connaissant de profondes transformations, devient un enjeu majeur dans les hôpitaux : informatisation continue des services de soins, ouverture du SIH, dématérialisation des échanges et interopérabilité, renforcement des exigences réglementaires, etc. Ces évolutions facilitent le partage de l’information médicale mais rendent sa protection plus difficile.

La mise en œuvre d’un espace de confiance numérique pour le partage des données de santé devient alors une nécessité. Cette nécessité devient un prérequis dans le cadre du programme Hôpital Numérique et de la certification HAS (Haute Autorité de Santé).

La mise en place d’une gestion des identités et des accès, qui associe l’utilisation d’un dispositif d’authentification forte comme la Carte de Professionnel de Santé, permet de créer un espace de confiance numérique qui répond aux problématiques suivantes :

• Respecter les nouvelles règlementations ;
• Simplifier et sécuriser l’accès au SIH ;
• Accélérer les processus de gestion des droits ;
• Diminuer la charge d’administration et réduire les coûts de support.

Mener un projet de gestion des identités et des accès adapté au monde hospitalier

La gestion des identités et des accès associe des processus, des technologies et une stratégie de gestion des identités numériques et de spécification de leur usage pour accéder aux ressources informatiques de l’entreprise.

Mener un tel projet s’avère généralement plus complexe que la plupart des autres projets informatiques en raison du nombre et de la diversité des référentiels d’identités numériques, des solutions techniques mises en œuvre et des besoins des entités gouvernantes amenées à collaborer.

Notamment, les acteurs concernés par un tel projet dans le monde hospitalier sont nombreux : la Direction Générale, la Commission Médicale d’Établissement (CME), le Département d’Information Médicale (DIM), les directions gérant le personnel salarié et non salarié de l’établissement (Direction des Affaires Médicales, Direction des Ressources Humaines), le corps médical et soignant, la Direction des systèmes d’information (ou le service informatique), etc.

Par ailleurs, certains thèmes à aborder sont spécifiques aux établissements de santé :

• Comment instruire ce projet dans le cadre d’une mise en réseau de l’établissement au sein d’une ou plusieurs communautés hospitalières ?
• Faut-il limiter l’utilisation de la carte à l’accès aux postes de travail ou bien ai-je intérêt à étendre son usage comme pour l’accès aux locaux ?
• À qui dois-je la fournir ?
• Comment m’assurer que la carte CPS facilitera l’accès aux postes de travail ?
• Quelles applications dois-je prendre en compte dans mon projet ?

Un projet d’établissement nécessitant un engagement de moyens ainsi qu’une implication de tous les acteurs pour le rendre maîtrisable

Mettre en œuvre la carte CPS au travers d’un projet de gestion des identités et des accès se révèle être un projet stratégique d’établissement, porteur d’enjeux à la fois techniques, organisationnels et de conduite du changement, et à ce titre requiert une phase préalable de cadrage qui permettra :

• De définir le périmètre et évaluer la dimension du projet : état des lieux, besoins et les attentes, axes d’amélioration, périmètre fonctionnel cible, macro-évaluation charges, coûts, délais ;
• D’inscrire le projet dans une démarche globale : acteurs à mobiliser, instances de pilotage, possibilités de mutualisation.

Et vous, où en êtes-vous de la mise en œuvre de la carte de Professionnel de Santé au sein de votre établissement ?

Cet article La carte CPS : un projet d’établissement ou un projet informatique ? est apparu en premier sur SOLUCOMINSIGHT.

Les DSI sont soumises à des objectifs d’excellence opérationnelle et économique accrus. Il leur est demandé d’actionner tous leurs leviers de performance, notamment en matière d’externalisation.

Dans ce cadre, nombreuses sont les DSI à transformer leur sous-traitance en mettant en œuvre des Centres de Services (CdS) en lieu et places de leurs régies.

Cela leur permet de dégager des gains économiques (mutualisation, industrialisation, massification…) et opérationnels (qualité, flexibilité…).

Nos retours d’expériences montrent que l’atteinte de ces gains n’est cependant pas automatique et doit être mise sous contrôle.

Mais comment optimiser la performance de mes centres de services ? Nommez un pilote et donnez-lui les moyens d’agir.

Le pilote garant de la performance de son centre de services

Le pilote est d’abord un facteur clé du succès de la mise en place d’un centre de services. Il s’assure que tout est mis en œuvre aussi bien chez le fournisseur qu’en interne pour garantir la qualité et la fluidité de la fourniture du service en régime stabilisé. Il s’assure également  de l’acquisition par le fournisseur des compétences nécessaires à la fourniture du service et  supervise la mise en place d’une gouvernance, de processus et de modes de fonctionnements adaptés. Enfin, activité trop souvent encore négligée, il s’assure de l’accompagnement du changement en interne vers les nouveaux modes de fonctionnements induits par les centres de services.

Le pilote est en quelque sorte le garant de la performance du centre de service dans la durée. Véritable relai entre les internes et le fournisseur, il donne de la visibilité au prestataire sur son plan de charge, lui permettant d’adapter son staffing pour une meilleure efficacité, partage mensuellement avec tous une vision globale de la performance du dispositif et conduit les plans d’amélioration de cette performance. Enfin, détaché des échanges opérationnels, il s’assure que tout est mis en œuvre pour qu’une relation de confiance durable se maintienne entre le fournisseur et les internes.

Donnez aux pilotes les moyens d’agir !

Pour tirer les bénéfices de ce nouveau rôle, la DSI doit professionnaliser ce dernier et l’inscrire pleinement dans son organisation.

Les pilotes s’appuient au quotidien sur des compétences avérées de pilotage d’engagements, sur des capacités relationnelles fortes mais également sur une somme de bonnes pratiques propres au fonctionnement des centres de services. La DSI doit ainsi faciliter l’acquisition de ces compétences et s’assurer de leur maintien sur la durée. Au-delà des nécessaires formations, il existe des dispositifs communautaires performants ; par ce biais, les pilotes se retrouvent pour bâtir une culture de pilotage commune.

Ensuite, le rôle et les missions du pilote de centre de service doivent être partagés par tous les acteurs de la DSI. Comme tout rôle transverse, il sera indispensable d’identifier et de partager avec tous les leviers d’actions du pilote, sans quoi il ne saura faire un travail efficace. La légitimité du pilote dans ses actions sera renforcée par la présence/formalisation de ce rôle dans l’organisation et dans les processus de la DSI.
En particulier, le partage des responsabilités entre la ligne managériale et les pilotes doit être clairement établi.

Enfin, le pilote doit pouvoir s’appuyer sur un outillage de qualité pour mesurer et partager la performance de son centre de services. L’automatisation du calcul des indicateurs et de la génération des tableaux de bord renforcent la qualité du pilotage et permettent au pilote de se consacrer à ses activités à plus forte valeur ajoutée.

Somme toute, créer un rôle de pilote, le professionnaliser et l’inscrire dans l’organisation d’une entreprise s’avèrent être de vrais leviers d’optimisation notamment en matière de  performance unitaire des centres de services. Mais, plus encore, ce pilote sera un relais précieux dans l’établissement d’une relation partenariale avec vos fournisseurs, garante d’une performance globale !

Cet article Pilote de centre de services : un rôle clé à professionnaliser est apparu en premier sur SOLUCOMINSIGHT.

L’efficience du SI est devenue le maillon indispensable au bon fonctionnement des grandes entreprises. Les DSI se tournent vers l’infogérance pour trouver un ou plusieurs partenaires susceptibles de les aider à optimiser la gestion de leurs infrastructures et applications informatiques.

Ils espèrent ainsi bénéficier d’un apport de connaissances voire d’expertise pour spécifier, installer  et exploiter des solutions répondant aux besoins actuels et futurs de leur entreprise, d’une facilité d’adaptation aux évolutions du volume d’activité de leurs métiers et d’une flexibilité sur les modes d’intervention (activités 24/24, astreintes…), et aussi d’avantages économiques dus notamment à l’utilisation de processus industrialisés et d’équipes mutualisées.

Mais quels sont les écueils à éviter pour garantir au maximum la réussite d’une opération d’infogérance ?

Définir clairement ses besoins et son périmètre

Il est important, à la fois pour le client et le prestataire, de bien définir les besoins auxquels doit répondre la prestation d’infogérance : gains économiques, augmentation de la qualité de service rendue, flexibilité insuffisante des équipes internes, remplacement d’une infogérance existante qui ne donne pas satisfaction et sur quels points portent cette insatisfaction…

Le périmètre d’infogérance doit être particulièrement clair et déjà maîtrisé côté client. Il est très difficile d’infogérer une activité non encore industrialisée. Les ajustements réalisés en cours du projet de transition doivent rester non structurants. Ce périmètre doit être correctement documenté  (exhaustivité, complétude, pertinence) afin d’éviter la perte de connaissances critiques ou la nécessité d’un travail important durant la transition.

Ne pas sous-estimer la charge interne

Un projet de transition est un projet à part entière qui nécessite une équipe dédiée côté client.

Le dimensionnement de cette équipe est conditionné par le périmètre infogéré. L’intégration de certaines ressources clés est indispensable.

L’organisation de l’équipe doit parfois prendre en compte le mode de fonctionnement de l’infogérant, notamment lors de délocalisation à l’étranger.

Ne pas cumuler transition et transformation

Par ailleurs, le projet de transition ne doit être qu’un projet de transition. Ce n’est pas seulement une tautologie, mais un principe incontournable : il est crucial de ne pas cumuler transition et transformation.

Durant le projet de transition, un plan d’amélioration éventuellement associé à un plan d’actions peut être défini dans une optique de déploiement ultérieur.

Contrôler sans s’ingérer

Malgré une envie légitime, le client ne doit pas s’ingérer dans la constitution de l’équipe de l’infogérant. Dans la majorité des cas, l’infogérant a un engagement de résultat et non de moyen.

Le client doit travailler de façon rapprochée avec les ressources de l’infogérant qui sont en contact direct, c’est-à-dire le management et les équipes sur site.

Le client devra s’investir dans la préparation de la VABF (Vérification d’Aptitude au Bon Fonctionnement). Une attention sera d’ailleurs portée sur les moyens permettant de valider l’acquisition des compétences et la prise en compte des spécificités de l’environnement client. Une gouvernance rapprochée doit être mise en place durant la phase de VSR (Vérification de Service Récurrent). Toutes les réserves éventuelles doivent être notées et suivies d’un plan d’actions pour y remédier.

Infogérer une partie de la gestion de son SI reste une opération délicate. Mais suivre ces quelques bonnes pratiques vous évitera déjà de tomber dans certains écueils malheureux, notamment pendant la phase délicate de transition.

Cet article Comment réussir la mise en place d’un infogérant ? est apparu en premier sur SOLUCOMINSIGHT.

Malgré tout le buzz autour de la technologie FCoE (Fibre Channel Over Ethernet), les mises en œuvre peinent à décoller. La convergence LAN/SAN via FCoE ne prend pas encore, y compris à l’accès, et la communauté semble s’accorder sur le fait que seule la prolifération de châssis Blade fera peut-être évoluer les choses. En effet, son seul véritable atout réside dans l’économie de cartes et de câblage… élément qui n’entre en ligne de compte qu’en cas de mise en œuvre nouvelle, sans existant préalable.

Mais si le transport du FCoE n’était pas le principal enjeu de la Fabric Ethernet, ce nouveau « super LAN » pour les Datacenters d’aujourd’hui ? En effet quels sont les drivers du marché actuellement ? Certainement pas FCoE mais plutôt le Cloud Computing et notamment dans ses déclinaisons « privées » !

Des infrastructures datacenter mises à mal par la tendance Cloud

C’est la démarche Cloud computing privé qui tire actuellement l’évolution des infrastructures datacenters en bouleversant les modèles établis et poussant à la fois  la mise en place de VLANs (Virtual LAN) étendus au travers du datacenter et des débits plus élevés entre chaque point du réseau. La matrice de flux et les débits au sein du datacenter ont changé radicalement, d’une part du fait de la consolidation serveurs engendrée par la virtualisation et, d’autre part, à cause de la mobilité des machines virtuelles au sein du datacenter.

Les constructeurs de solutions Cloud ont donc dû innover : contraints par des infrastructures LAN historiques très statiques et hiérarchiques, ils ont intégré des solutions permettant de s’affranchir des limites des LAN existants actuellement, tel le Distributed Virtual Switch de VMWare qui ajoute une couche d’abstraction au-dessus des LAN physiques.

Le Cloud a dû innover pour contourner les limites des LAN traditionnels et séduit par sa démarche basée sur l’automatisation et la souplesse.

Une évolution nécessaire pour répondre aux enjeux…

Le LAN du Datacenter ne doit donc plus rester statique et être un frein à la mise en œuvre d’infrastructures de Cloud.

L’enjeu de la Fabric Ethernet est ainsi double : non seulement le LAN doit être étendu sans contrainte de débit ou de localisation géographique des ressources dans le datacenter,  mais il doit également permettre d’apporter une exploitabilité bien supérieure.

Cette amélioration de l’exploitabilité passe par plusieurs éléments : une augmentation de capacité simplifiée (plug & play) et une automatisation de certaines opérations (application d’un profil de configuration sur le port LAN sur déplacement de machine virtuelle par exemple).

Surtout, on ne doit plus administrer un LAN datacenter boîte par boîte, ce qui est consommateur de temps et source d’erreurs.

Certains constructeurs LAN ont d’ores et déjà intégré cette nouvelle donne directement  au sein de l’infrastructure LAN, comme Brocade dans une certaine mesure mais surtout Juniper avec sa QFabric ou encore l’initiative autour de d’OpenFlow et plus généralement, des « SDN » (Software Defined Networking).

D’autres constructeurs privilégient l’ajout d’une couche d’orchestration globale (Network Services Manager chez Cisco).

…avec un impact organisationnel

Cette approche vers un unique point d’administration amplifie toutefois l’impact d’une erreur humaine ou d’un bug. Les processus d’exploitation ainsi que le niveau des exploitants devront être adaptés s’ils ne le sont pas déjà, voire s’appuyer sur des outils de workflow de plus en plus souvent proposés par les équipementiers ou éditeurs, pour intégrer des étapes de validation des changements.

Une montée en compétence nécessaire des exploitants du LAN DC mais des changements allégés : un shift de la quantité vers la qualité des exploitants

En conclusion… vers une révolution de velours ?

C’est bel et bien une révolution, certes lente, qui est en marche au sein des LAN Datacenter… dans un silence assourdissant car complètement masqué par d’autres sujets qui font le buzz…

Mais le LAN Datacenter est encore loin d’avoir fini sa mutation, démarrée sous l’impulsion de la vague Cloud… et ce nouveau LAN, cette « Fabric Ethernet », n’est bien sûr pas indispensable dans  tous les contextes -   les « anciennes » architectures ont encore de beaux jours devant elles – mais c’est le seul à même de répondre de manière pertinente aux nouvelles évolutions du SI et à la souplesse et la réactivité qu’elles imposent.

Cet article Et si la « Fabric Ethernet » ne se limitait pas au FCoE ? est apparu en premier sur SOLUCOMINSIGHT.

Et pourquoi ne pas commercialiser les services de votre DSI sur le marché externe ? L’idée est simple, et pourtant trop souvent ignorée. Levier certain pour développer le business, cette décision stratégique semble attirer de plus en plus d’entreprises. Le facteur clé est de capitaliser sur les acquis de la DSI et de sa maison-mère pour commercialiser de manière rentable les services « IT » à des clients externes.

La montée en maturité des DSI crée l’opportunité de franchir le pas, comme l’ont déjà fait plusieurs leaders comme Areva, Amazon ou encore Dassault.

Augmenter et diversifier l’activité de la maison-mère et de sa DSI

Areva, leader mondial de l’énergie nucléaire, a fait le choix de capitaliser sur les actifs de sa DSI pour en commercialiser les services sur le marché. Preuve du succès de la transformation, cette DSI, maintenant filialisée sous le nom d’Euriware, a généré près de 294 millions d’euros de chiffre d’affaires en 2011 ! [1]

Ainsi, la commercialisation des offres de services des DSI sur le marché est une occasion pour les entreprises d’accroître leur chiffre d’affaires. Grâce à la pénétration de nouveaux marchés, il est alors possible de diversifier le portefeuille de clients ainsi que les activités : Euriware propose des prestations d’infogérance ou encore d’intégration de systèmes pour des clients de l’énergie, mais aussi de l’industrie et de la défense.

Faire de la DSI une entité génératrice de profit

Cette transformation est l’occasion pour la DSI de se positionner comme réel actif stratégique (en devenant un centre de profit). Pour garantir la rentabilité, il faut commercialiser les services permettant de capitaliser sur les investissements de la DSI, tout en mutualisant les compétences et expériences de la maison mère. Les produits ou services commercialisés peuvent tout autant être des savoirs-faire spécifiques qu’une surcapacité de production (sur un datacenter par exemple). Cette commercialisation est une opportunité pour l’entreprise de générer du cash… sans trop avoir à en débourser !

Ainsi, Dassault Systèmes génère du profit en commercialisant le logiciel Catia, qui avait été initialement conçu pour les besoins propres de Dassault.

La formalisation d’un catalogue de services tarifé ainsi que la définition d’une stratégie de pénétration du marché sont des enjeux clés pour assurer le succès de la transformation. Une fois les premiers produits commercialisés, la DSI génère du chiffre d’affaires et doit rentabiliser son activité. Elle le fera en ajustant sa politique commerciale et en optimisant sa présence sur le marché tout en pilotant ses investissements.

Développer et fiabiliser l’expertise de la DSI

Amazon, qui est originellement un site d’achat et de vente en ligne, a pourtant été parmi les premiers à lancer des offres cloud, via leur entité Amazon Web Services. Amazon a profité de son expertise de l’infrastructure SI et de sa maîtrise des besoins des acteurs du web pour commercialiser son Infrastructure as a Service (IaaS) sur le marché.

L’augmentation de l’activité SI permet d’investir et de fiabiliser les services utilisés par la maison-mère. Confrontée à de nouvelles demandes et de nouvelles exigences, la DSI est incitée à monter en compétence et à développer son expertise. L’industrialisation de l’activité et la croissance du portefeuille de clients permettent aussi d’asseoir la crédibilité et la légitimité de la DSI en interne.

La commercialisation des services d’une DSI sur le marché représente une transformation de grande ampleur, se déroulant sur plusieurs années. Du positionnement prix à la structure de coût en passant par l’infrastructure SI ; les enjeux stratégiques, financiers ainsi que ceux liés au système d’information doivent être maîtrisés ! Il faut également se poser la question de l’évolution de l’organisation avec, bien souvent, celle de la filialisation de la DSI. Des problématiques clés doivent alors être pilotées, comme l’évolution culturelle ou la mutation des activités. En résumé, la commercialisation des services IT est une opportunité aux enjeux forts. Mais comment s’assurer que le profil de votre entreprise présente les caractéristiques nécessaires ? Réponse dans un prochain article !

Cet article Et pourquoi ne pas commercialiser les services de ma DSI ? est apparu en premier sur SOLUCOMINSIGHT.

Face à l’enjeu de l’efficacité énergétique des bâtiments, les particuliers pourraient facilement être réduits à un rôle passif. Ce serait faire erreur ; car même s’ils « subissent » pour partie leur logement, un certain nombre d’actions sont à leur portée.

5 leviers d’action pour les consommateurs particuliers

D’emblée, on est frappés par le caractère systémique et complexe de l’efficacité énergétique des logements des particuliers. Les usages sont nombreux, température (chauffage et climatisation), eau chaude, éclairage, électroménager, sans parler des véhicules électriques. Et chaque usage a ses propres caractéristiques. Nous distinguons cinq grands leviers d’action :

• L’efficacité énergétique passive. C’est la performance intrinsèque de l’enveloppe du bâtiment : isolation, fenêtres, circulation passive de l’air. Elle concerne deux usages, la température bien sûr, mais aussi l’éclairage, par la valorisation de la lumière naturelle. Ce levier, fortement mis en avant ces dernières années,  est cependant extrêmement gourmant en investissement.
• La consommation et le rendement énergétique des équipements techniques. Tous les usages sont concernés avec les chaudières, les ampoules, les équipements électroménagers…  Les innovations technologiques permettent de faire des sauts de performance à l’occasion du remplacement de ces équipements.
• L’efficacité énergétique active. Elle correspond à la mise en place de solutions, combinant des équipements de mesure et des logiciels d’analyse et de pilotage (ex. variateurs d’éclairage, détecteurs de présence, smart plug, box énergie). Ce levier concerne tous les usages et demande peu d’investissement. Il a été récemment mis en avant à l’occasion de la visite du Hive (siège de Schneider Electric) par Delphine Batho.
• Le comportement des consommateurs. Même si l’automatisation des solutions de gestion énergétique facilite la vie des consommateurs, il n’en est pas moins vrai qu’à niveau de performance énergétique identique sur les trois leviers précédents, le comportement des consommateurs est essentiel pour maximiser les économies. Il s’agit ici de développer le comportement « consom’acteurs ».
• Les incitations réglementaires et économiques. Ce levier est transversal aux précédents. Il se traduit principalement par les prix et par les mesures fiscales (éco-prêt à taux zéro, crédit d’impôt développement durable, chèque travaux … et demain le (bonus)/malus). Il peut aussi correspondre, plus radicalement à des normes (RT 2012) ou des interdictions (ampoules à incandescence).

Simplification et accompagnement, clés de l’action des consommateurs

Face à ce panorama foisonnant, la plupart des particuliers sont perdus. Comme le sujet est impliquant ils souhaitent agir … mais bien souvent faute de pistes concrètes, ils se retrouvent dans une situation que les sociologues appellent l’inhibition de l’action.

Pour répondre à cet enjeu, il faut simplifier et accompagner les consommateurs, notamment pour les deux moments clés que sont le diagnostic et la conduite de l’action. Pour le diagnostic, qui est indispensable pour prioriser les actions, l’enjeu consiste à intégrer la totalité des leviers présentés ci-dessous et à aboutir à des propositions chiffrées avec une identification des entreprises pouvant intervenir. Une fois le diagnostic fait, le plus compliqué démarre : obtenir les financements, contractualiser et faire réaliser les travaux ou installations. Le pouvoir de négociation des particuliers étant faible, la mise en place de dispositifs permettant de massifier la demande est à explorer, à l’instar de ce qui apparaît pour les bâtiments publics (cf. l’initiative de la région Rhône-Alpes avec la création de la Société Publique Locale « Energie Climat »).

En parallèle nous proposons de développer un raisonnement segmenté de type « business case ». Trois critères sont à prendre en compte : les caractéristiques du logement, la capacité de financement du particulier et son comportement. La définition de scénarios d’efficacité énergétique aboutissant chacun à un modèle économique et environnemental précis devrait permettre de mieux cibler l’action.

En conclusion, nous partageons l’importance, pour la transition énergétique, du développement de l’efficacité énergétique des logements des particuliers. Constatant que le consommateur est souvent perdu face à la complexité du sujet, nous proposons une approche segmentée permettant de proposer, à chacun, un scénario d’efficacité énergétique correspondant à sa situation. Enfin ce domaine nous semble d’autant plus prioritaire qu’il est générateur d’emploi qualifiés, aussi bien dans les grandes entreprises françaises fortement positionnées sur ces sujets, qu’en proximité, sur nos territoires, au plus proche des consommateurs.

Cet article Développer l’efficacité énergétique des logements des particuliers : illusion ou vrai levier ? est apparu en premier sur SOLUCOMINSIGHT.

En internaute averti, vous avez pris l’habitude de vous connecter en HTTPS aux sites sensibles, et de vérifier la présence du petit cadenas à côté de la barre d’adresse, mais cela est-il vraiment suffisant ? Certaines implémentations imparfaites de HTTPS peuvent exposer les données échangées, c’est pourquoi un mécanisme de sécurité supplémentaire a été normalisé en fin d’année dernière, HTTP Strict Transport Security.

Pourquoi a-t-on besoin de HSTS ?

Malheureusement, l’utilisation de HTTPS n’est souvent pas exclusive, ouvrant la voie à trois types de menaces :

• Attaques réseau passives sur des flux non-chiffrés

Il arrive fréquemment que seule une partie des requêtes au serveur web soient chiffrées, par exemple l’authentification. Une fois authentifié, les requêtes suivantes sont en clair. Un attaquant capable d’intercepter les flux réseau (sur un Wifi ouvert, au Starbucks, par exemple), pourra alors analyser les requêtes non-chiffrées, qui contiennent les cookies de session de l’utilisateur. Il pourra ainsi usurper son identité.

• Attaques réseau actives pour détourner le trafic et l’intercepter

Il n’est pas rare de rencontrer des sites proposant une connexion sécurisée mais également une connexion HTTP traditionnelle. Il est alors possible, pour un attaquant capable d’intercepter les flux réseau, de modifier à la volée les données envoyées par le site et de remplacer les liens « https://www.site.com » par des liens vers la version en clair « http://www.site.com ». Des outils permettent d’automatiser cette tâche, comme sslstrip : à nouveau l’attaquant pourra intercepter les cookies et usurper l’identité de la victime. L’attaquant pourrait aussi bien tenter de faire accepter à l’utilisateur un certificat invalide, afin de pouvoir déchiffrer les échanges SSL à la volée.

• Erreurs de développement

Il est également possible que, volontairement ou non, certaines requêtes soient effectuées en clair, par exemple pour charger des images ou un contenu vidéo. Si les images sont hébergées sur le même serveur, les cookies seront envoyés avec la requête et là encore, l’attaquant pourra dérober les cookies et usurper l’identité de la victime.

La solution proposée par HSTS : forcer l’utilisation de HTTPS

HSTS se propose de parer à ce type d’attaques en permettant aux sites web d’indiquer au navigateur qu’il ne doit accepter d’ouvrir que des liens HTTPS vers ce site.

Pour cela, un en-tête HTTP spécifique doit être envoyé au navigateur, qui n’acceptera alors que des liens https:// pour le site en question, et ce pour un temps donné.

De plus, si une erreur de validation de certificat survenait, le navigateur refuserait d’ouvrir la page en question ; en cas d’utilisation de HSTS, l’utilisateur n’a plus la possibilité de passer outre un message d’erreur de validation du certificat : voilà une avancée judicieuse ! HSTS permet donc un premier niveau de protection contre les attaques de type Man-in-the-middle (homme du milieu).

Implémenter HSTS en ajoutant les bons en-têtes

La syntaxe de l’en-tête HTTP est la suivante :

Strict-Transport-Security: max-age=XXX; includeSubDomains

Où :

• Strict-Transport-Security : indique l’utilisation de HSTS
• max-age= : définit la période durant laquelle le navigateur doit forcer l’utilisation de HTTPS, en secondes
• includeSubdomains : permet d’indiquer que la politique s’applique également à l’ensemble des sous-domaines ; cette directive est optionnelle

Dans le cas d’un serveur web Apache, il convient d’insérer les commandes suivantes dans la configuration du site :

Header set Strict-Transport-Security "max-age=XXX"

Header append Strict-Transport-Security includeSubDomains

Il est également conseillé de paramétrer la directive « max-age » de manière dynamique, de façon à la faire coïncider avec la date d’expiration du certificat

HSTS recommande également l’utilisation d’une liste prédéfinie de domaine HSTS par les navigateurs (comme Gmail, Facebook, etc …). Ainsi, on couvre le risque de la première connexion non-chiffrée.

Il est important de noter que les en-têtes HSTS ne sont pris en compte par les navigateurs que si le certificat présenté par le site est signé par une autorité de certification racine présente dans le magasin de certificats, excluant de fait le cas des certificats auto-signés.

Tous les navigateurs sont-ils compatibles HSTS ?

Les mécanismes HSTS sont supportés depuis plusieurs années par Chrome, Firefox et Opéra, qui intègrent désormais une liste par défaut de sites HSTS.

En revanche, les navigateurs Internet Explorer de Microsoft et Safari d’Apple sont à la traîne et n’implémentent pas encore ces protections.

HSTS apporte donc une avancée significative dans la sécurisation des échanges sur Internet, et ce de manière transparente pour le grand public. En imposant la sécurité (en ne leur proposant pas d’accepter un certificat invalide), on se prémunit d’un maillon faible, l’utilisateur, qui peut permettre la réalisation d’attaques de type man-in-the-middle comme ce fut récemment le cas pour le site Github en Chine.

Cependant, d’autres menaces subsistent : on pense notamment aux fréquentes faiblesses dans le choix des protocoles et algorithmes de chiffrement. De plus, la problématique des autorités de certification, qui sont garantes des identités sur internet, reste ouverte, comme le rappellent les cas de Diginotar ou plus récemment de Turktrust.

La sécurisation des échanges sur internet reste une problématique qui requiert de l’expertise dans son implémentation, ainsi que des contrôles réguliers pour assurer la confidentialité et l’intégrité des données échangées vis-à-vis des nouvelles menaces.

Cet article HTTP Strict Transport Policy, une avancée dans la sécurisation des échanges sur Internet ? est apparu en premier sur SOLUCOMINSIGHT.

Les réseaux industriels sont de plus en plus visés par des attaques ciblées. Souvent déployés depuis de nombreuses années, ils souffrent d’un manque criant de sécurité par défaut. Une question agite actuellement la communauté sécurité : quelle stratégie adopter face à cette situation ? Faut-il investir dans des équipements additionnels de protection ou alors envisager le renouvellement des équipements pour tirer partie des avancées des constructeurs en matière de sécurité ?

Une situation souvent désastreuse sur le plan de la sécurité de l’information

Les réseaux industriels et leurs composants les plus emblématiques, systèmes SCADA et automate (PLC/API) sont souvent dans des postures de sécurité très faible. Ils ont été construits par des équipes d’automaticiens alors peu confrontés aux problématiques des technologies telles qu’IP ou encore Windows qui ont pourtant depuis envahi les chaînes de production. Nos audits le montrent clairement : en termes d’architecture comme en termes de sécurisation unitaire des composants, beaucoup reste à faire. Avec un problème majeur : des équipements et des protocoles vulnérables « par construction » !

Des solutions d’attentes ont vu le jour

Dans ce contexte, de nombreuses solutions de sécurité ont vu le jour. Elles permettent de compenser une partie des vulnérabilités des systèmes. Nous pouvons en particulier citer les pare-feux industriels, tels ceux conçus par la société Tofino ou encore Industrial Defender. Des solutions plus classiques de sécurité (pare-feu, détection d’intrusion…) peuvent également être utilisées et dans une certaine mesure adaptées aux technologies des réseaux industriels.

Un réveil tardif des constructeurs

Il aura fallu un cas d’attaque de l’ampleur de Stuxnet pour que les constructeurs comprennent les enjeux autour de la sécurité des systèmes industriels. Ce réveil, certes tardif – mais mieux vaut tard que jamais- entraîne aujourd’hui des avancées significatives chez les constructeurs informatiques. On voit ainsi peu à peu apparaître le chiffrement des échanges, la capacité à mettre à jour plus simplement les équipements, des designs types intégrant les exigences sécurité, le durcissement des configurations par défaut…  Il est même question de signatures de code déployé sur les automates !

Quelle stratégie adopter à long terme : protéger ou reconstruire ?

Il s’agit d’un débat qui fait rage actuellement et oppose deux camps aux stratégies différentes. Les partisans de la reconstruction prônent un remplacement volontariste, sur un délai de deux ou trois ans des anciens équipements par des nouveaux, mieux sécurisés. Bien que cela soit possible, la question de l’investissement nécessaire se pose particulièrement en ces temps de crise. En effet, les lignes de production sont souvent conçues pour une durée de vie de 10 à 15 ans ; changer l’ensemble des équipements a un coût non négligeable, à la fois financier mais aussi en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.

D’autres préconisent l’ajout de couches de sécurité additionnelles. Cela n’a cependant jamais été une solution idéale et nécessite également des investissements importants, complexifie les architectures et fait courir de nouveaux risques en particulier sur la disponibilité.

Je reste persuadé que la bonne approche est à trouver dans un compromis entre ces deux solutions. Et en particulier, qu’elle dépend de l’analyse de risques à réaliser sur chacun des systèmes de production concernés. Dans certains cas, un changement pourra être salutaire et permettra une sécurisation au plus près de la production, de manière fiable et pérenne. Dans d’autres cas, l’ajout de mécanismes complémentaires sera suffisant en attendant le renouvellement des systèmes.

Il s’agit donc de prendre le recul nécessaire pour choisir la ou les bonnes solutions  sans oublier que les solutions techniques seules ne font pas tout. Bien souvent dans ces projets, une meilleure gestion des accès, une refonte de l’architecture sur la base des équipements déjà en place, une revue des filtrages en place et surtout une sensibilisation / formation des équipes d’automaticiens apportent beaucoup plus que l’ajout de fonctions de sécurité pure !

Cet article Réseaux industriels : protéger ou reconstruire ? est apparu en premier sur SOLUCOMINSIGHT.

Le débat sur la Transition Énergétique agite la scène politique, économique et médiatique depuis plusieurs semaines et devrait encore monter en puissance dans les prochains mois…L’ampleur du sujet, sa technicité, mais aussi la portée des décisions rendent ce débat complexe. Il n’est pas facile pour les citoyens et consommateurs d’énergie que nous sommes tous de se forger des convictions.

Concrètement, qu’est-ce que le débat sur la transition énergétique ?

Il s’agit d’évaluer et de définir les conditions pour passer d’une société consommant abondamment des énergies fossiles à une société plus sobre et plus vertueuse pour l’environnement.

Au-delà des impératifs guidés par les différents protocoles mondiaux et autres engagements européens, la plupart des acteurs sont d’accord pour dire que ce débat pourrait initier  une vraie transformation énergétique mais également économique et sociale. Les consommateurs seront incités à adopter de nouvelles habitudes et une nouvelle approche à l’énergie, le paysage énergétique global pourrait évoluer vers une plus grande indépendance et voir apparaître de nouvelles filières créatrices d’emploi et d’innovation.

Les grands thèmes constitutifs de ce débat illustrent d’ailleurs le large spectre des enjeux et des impacts potentiels de cette démarche :

1. Comment aller vers l’efficacité et la sobriété énergétique?
2. Quelle trajectoire pour atteindre le mix énergétique en 2025 ? Quels types de scénarios peut-on imaginer aux horizons 2030 et 2050, dans le respect des engagements climatiques de la France ?
3. Quels choix en matière d’énergies renouvelables  et de nouvelles technologies de l’énergie et quelle stratégie de développement industriel et territorial ?
4. Quels coûts, quels bénéfices et quel financement de la transition énergétique ?

Après quelques aléas au lancement, la gouvernance et les instances du débat sont aujourd’hui définies. Elles combinent dimensions nationale et territoriales d’une part, acteurs institutionnels et grand public d’autre part.

Les échéances du débat ont quant à elles été fixées et publiées.

Si certains objectifs visés par le projet de loi final sont clairs et fixés par différents caps et réglementations (-20% de Gaz à effet de serre, -20% de consommation, +20% d’EnR d’ici 2020, réduction de la part du nucléaire dans le mix énergétique à 50% en 2025…), les cibles plus long terme et les façons d’y parvenir peuvent et doivent diviser pour parvenir à un réel consensus à l’automne 2013.

Le parti pris de Solucom : contribuer à remettre le débat « à l’endroit »

Depuis plusieurs mois, les principaux acteurs prennent la parole mais les positions partagées restent souvent et assez logiquement partisanes.

Chacun semble déjà sûr des conclusions idéales sans réellement s’ouvrir à une analyse factuelle et « dépassionnée » des faits et des chiffres. Pour chaque acteur, ces positions sont de bonne foi et basées sur des analyses rationnelles mais leur aspect partisan tend à rendre la compréhension du débat et la contribution du grand public difficiles.  Comment bien saisir les enjeux tant ceux-ci sont nombreux et diffus ? Comment se faire une conviction quand les enjeux, apparemment lointains, entrent en conflit avec des problèmes concrets et actuels, agités comme des épouvantails ? De quoi parle-t-on vraiment ?

Face à ce constat, le parti pris du dossier « transition énergétique 2013 » de Solucom est de vous guider – sans a priori – en illustrant les principales thématiques d’éléments factuels, de constats avérés, de chiffres concrets au travers d’une dizaine d’articles et d’analyses qui viendront rythmer le débat jusqu’à juin 2013.

En parallèle de l’actualité du débat, suivie sur Energystream, nous vous proposons d’apporter notre éclairage sur les thèmes suivants : Mix énergétique, efficacité énergétique, les acteurs du marché face à la transition, la gouvernance locale de l’énergie, la réalité et les perspectives des différentes énergies en France,  et des thèmes plus transverses comme le rôle de fiscalité verte, l’emploi ou le coût de la transition énergétique.

En espérant que ce dossier jouera son rôle et vous apportera des éléments concrets, simples et riches pour vous faire vos propres convictions, nous vous souhaitons une bonne lecture et un bon débat citoyen sur la Transition énergétique.

Cet article Transition énergétique : mode d’emploi ! est apparu en premier sur SOLUCOMINSIGHT.

Sous les effets de la crise, les DSI doivent engager des efforts conséquents et rapides de réduction de la dépense IT. Dans ce contexte, l’externalisation des services IT dans des pays à bas coûts de production peut sembler, a priori, l’une des meilleures armes à leur disposition pour dégager des économies substantielles. Pourtant, si l’on y regarde de plus près, on constate que la crise ne profite pas forcément très directement à l’offshore. Les raisons à cela sont multiples.

L’offshore implique un engagement pluriannuel qui refroidit les DSI en temps de crise

Un tout premier élément de réponse réside simplement dans le fait que, contrairement à une idée reçue, les DSI ont plutôt tendance à ralentir ou retarder leurs opérations d’outsourcing en période de crise. La taille et le nombre d’opérations a ainsi significativement baissé sur l’année 2012 par rapport à 2011 (la baisse serait de l’ordre de 19 % au niveau mondial selon le cabinet Everest Group). Et ce ralentissement est d’autant plus significatif que le marché avait déjà marqué un sérieux coup de frein en 2011.

La raison de cette tension sur le marché de l’externalisation est assez simple : en période de crise, les entreprises sont beaucoup plus frileuses à signer des contrats pluriannuels. En effet, la mise en œuvre de ces contrats nécessite généralement des investissements importants. Investissements que les DSI ne sont pas en mesure de prendre (ou de justifier) en période de crise, et qui vont venir « dégrader » le ROI de l’opération, les gains économiques n’intervenant qu’à moyen terme, et donc pas sur le budget de l’année suivante. Il est clair que ce ralentissement a un impact sur la progression de l’offshore. Les grandes SSII « indiennes » tablent ainsi sur une croissance beaucoup plus faible de leur chiffre d’affaires en 2012 par rapport aux exercices précédents.

On peut pourtant se demander si ce ralentissement global du marché de l’outsourcing ne porte pas en lui le germe d’une augmentation de la part d’offshore dans les services IT. Ne serait-ce que sous l’impulsion des grandes SSII américaines et européennes qui, déjà très largement implantées dans les destinations offshores, pourraient accélérer le mouvement pour préserver leurs marges.

Des chiffres qui sous-estiment la réalité du marché

Il est cependant extrêmement difficile de savoir précisément quelle est la part de l’offshore dans les services IT. Le SYNTEC n’a d’ailleurs publié aucun chiffre sur le sujet depuis 2008 ! Selon les cabinets d’étude, cette part varie de 5 à 10% sur le marché français en 2012, et certains annoncent que l’offshore représentera 15% des services IT en 2014. Il semble assez clair que cette part est aujourd’hui sous-estimée. Un grand nombre d’études ne prend en compte que les prestations externalisées directement en offshore, faisant ainsi abstraction de la réalité opérationnelle. Les grands prestataires de services IT ont ainsi tous mis en place des modèles de production mondialisés dans lesquelles des « usines » onshore, nearshore et offshore interagissent entre-elles pour délivrer les services. Nombreuses sont également les SSII occidentales qui sous-traitent certaines activités auprès d’acteurs offshores locaux. Par ailleurs, les effectifs offshores des plus grandes SSII occidentales représentent déjà souvent plus de 30% de leurs effectifs totaux. Enfin, l’apparition de toutes les offres de type cloud, où par essence, les services sont délivrés par une main d’œuvre dont la localisation est complètement transparente pour les clients vient encore perturber la donne.

L’offshore : une solution à anticiper !

Finalement, en cette période de crise, le véritable frein à la progression de l’offshore dans la part des services IT se situe chez les donneurs d’ordre. D’abord parce que les impacts sociaux et la montée des tendances protectionnistes (on l’a vu récemment aux États-Unis) peuvent ralentir (voire ajourner) la mise en œuvre de ce qui est vécu comme une délocalisation dans l’opinion publique. Mais surtout parce que faire le choix de l’offshore ne peut pas être un choix purement opportuniste. Ce choix nécessite en effet de faire évoluer l’organisation de la DSI ainsi que sa stratégie de sourcing pour s’adapter aux spécificités de ce marché (différences culturelles, services standardisés, gouvernance et pilotage renforcé…). La courbe d’apprentissage n’est pas simple et les échecs restent assez nombreux tant d’un point de vue opérationnel, que d’un point de vue économique (notamment si on n’a pas anticipé sur le coût complet des services).

L’offshore ne peut donc être un choix de crise que si la DSI si est préparée en amont.

Cet article La crise profite-t-elle à l’offshore ? est apparu en premier sur SOLUCOMINSIGHT.

Les récentes annonces ne laissent pas de place au doute : la sécurité se dirige vers le Big Data. Que doit-on en retenir ?

 Quelle est la nature des annonces récentes dans le domaine du Big Data et de la sécurité ?

 Le buzzword « big data » a fait son entrée en force cette semaine dans le monde de la sécurité de l’information. Deux acteurs majeurs ont pris position sur le marché. D’un côté, RSA a annoncé son outil « Analytics ». Son objectif : détecter les fameux « signaux faibles » dans le volume des journaux de sécurité générés dans le système d’information. De l’autre, Cisco annonce le rachat de la société « Cognitive Security », une start-up tchèque spécialisée dans l’analyse analytique des mêmes journaux. Cisco envisage un rapprochement effectif au 3^ème trimestre de cette année et l’inclusion des technologies dans ces services cloud de sécurité.

Est-ce que cela représente une avancée significative pour la sécurité ? 

Dans un sens oui, l’adoption de ces technologies par de grands acteurs valide l’intérêt des méthodes statistiques afin de détecter des attaques ciblées. Nous savons qu’il y a une attente forte sur ce point. Les statistiques le montrent clairement, aujourd’hui il faut en moyenne 412 jours pour détecter une attaque ciblée. Plus frappant encore,cette détection provient dans 94% des cas  de tiers externes à l’entreprise (Rapport Mandiant 2012) tandis que les premières exfiltrations de données ont lieu 24h après le début de l’attaque ! Il y a donc clairement un problème à résoudre. D’ailleurs nous disposons de retours d’expérience positifs avec des outils existants déjà sur le marché. Je pense en particulier à la solution de la société française PicViz. Elle est déjà en place dans plusieurs sociétés où elle a permis des avancées significatives.

Comment une entreprise peut-elle tirer parti de ces innovations ?

Ces outils n’ont rien de magique, les acheter et les déployer ne résoudra pas tout. Ils vont requérir d’une part d’être alimentés par des données – les journaux de sécurité – et d’autre part de disposer de compétences pour analyser les résultats. Et ces deux points sont aujourd’hui des points faibles dans beaucoup d’entreprises ! En premier lieu, il faut augmenter le volume de journaux générés à tous les niveaux du SI pour pouvoir « nourrir » correctement l’outil. L’avantage, c’est que ces solutions, contrairement au SIEM (Security Information and Event Management) historique, font de l’analyse sans chercher des scénarios particuliers qu’il faut définir au préalable. Ils sont donc plus efficaces pour détecter les attaques ciblées.

Parallèlement, les équipes dédiées à l’analyse de ces journaux doivent être renforcées (en effectifs et en formations) afin d’être en mesure de comprendre les analyses et d’y réagir de manière appropriée. Notre expérience le montre, nous n’échappons pas aux faux positifs… L’externalisation d’une partie de l’équipe en charge  de  surveiller les SI est  une solution possible. De récents appels d’offres que nous avons conduits ont montré que les acteurs du marché se sont multipliés et qu’ils proposent de nouvelles solutions aux problèmes rencontrés au quotidien par les entreprises dans le domaine de la sécurité.

Cet article Outillage sécurité : la ruée vers le Big Data est en cours est apparu en premier sur SOLUCOMINSIGHT.

La méthode ABC (Activity Based Costing) née aux Etats-Unis à la fin des années 80 est régulièrement utilisée par les DSI notamment depuis qu’elles ont vu le poids de leurs charges indirectes augmenter et qu’elles ont engagé des démarches de tarification des services. À l’épreuve de la réalité, la méthode reste complexe à mettre en œuvre.

 Une méthode à la mode notamment pour la mise en place de tarification de services

L’attrait des DSI pour la méthode ABC s’explique en partie par leur structure de coûts qui comporte une part importante de charges indirectes notamment depuis ces dernières années avec les efforts d’industrialisation et de mutualisation, comme par exemple la mise en place de centres de services partagés.

En parallèle les DSI passant d’une logique de centre de coûts à centre de profits sont encouragées à refacturer l’intégralité des services qu’elles délivrent. La méthode ABC est généralement utilisée en étape préalable à cette tarification des services. Elle permet de déterminer précisément ses coûts de revient par service et donc de calculer un tarif assurant la rentabilité dudit service. La méthode promet ainsi la mise en œuvre d’un modèle de pilotage de la rentabilité de chaque service et donc de l’ensemble de l’activité de la DSI.

À  l’épreuve de la réalité, de nombreuses limites…

La réalité s’avère souvent plus complexe, nombreux projets à base d’ABC n’ayant jamais réellement abouti, du fait sans doute du manque de compétences économiques des équipes informatiques, mais aussi, et surtout par la complexité et les limites de la méthode ABC dans son application au monde du SI.

 1 – Des années d’effort pour obtenir des résultats probants

La construction d’un modèle économique à l’aide de la méthode ABC se fait de façon itérative et empirique. De nos différentes expériences, nous estimons qu’un modèle économique à base d’ABC donne des résultats concluants après trois ans de mise en service : un an de mise en place, puis deux ans pour corriger et affiner les hypothèses de construction.

 2 – Un modèle qui s’adapte lentement et difficilement aux évolutions de service

La lenteur de mise en œuvre de la démarche ABC peut également s’avérer contradictoire avec l’évolution rapide des technologies et du sourcing dans les DSI. Ces évolutions peuvent en effet remettre en cause les hypothèses et les inducteurs de construction du modèle, et leur mise à jour s’avère au fil de l’eau complexe et chronophage.

3 – Une variabilité des prix difficilement acceptable par les métiers

Par construction, la méthode ABC implique une interdépendance entre l’ensemble des éléments puisqu’il s’agit de répartir 100% des coûts sur une liste d’activité donnée. Par conséquent, la modification d’une activité ou d’un inducteur se répercute sur l’ensemble du modèle entrainant une forte variabilité des coûts par service et donc des prix affichés aux Métiers.

4 –Des résultats difficilement benchmarkables

Bien que certains organismes aient proposé des modèles ABC de référence, il n’existe pas de standard reconnu par le marché concernant les ressources, activités et services (ainsi que les ventilations de coûts) du modèle ABC appliqué à une DSI. Cette absence s’explique notamment par les grandes disparités entre les différentes DSI qui nécessitent une individualisation du modèle, des listes d’activités et d’inducteurs de couts. À ce titre, les benchmarks externes restent toujours en partie contestables.

5 – Une charge de travail non négligeable

La méthode ABC requiert une connaissance approfondie de la DSI, de ses activités et de l’utilisation de ses ressources. Sa mise en œuvre devra donc associer évidemment le management de la DSI et le contrôle de gestion mais également les opérationnels seuls à même de définir finement les activités et les inducteurs.

Cette mobilisation de l’ensemble des collaborateurs génère une charge de travail non négligeable et a un impact sur l’outillage (à adapter voire à complexifier pour supporter le modèle), coût indirect qu’il faudra d’ailleurs réintégrer dans le modèle via un inducteur adapté…

 …in fine, un modèle sous-exploité

Dans le cas où la méthode ABC est adoptée pour identifier les tarifs dans une logique de facturation, les prix calculés sont souvent discutés et remis en cause au regard des tarifs pratiqués sur le marché. Une mécanique de gestion complexe est alors mise en œuvre pour corriger les écarts, ce qui finalement revient à « tordre » le modèle. Trop d’efforts pour construire des tarifs précis finalement réajustés sont donc demandés par la méthode. Autant s’en passer et revenir aux fondamentaux en simplifiant drastiquement le modèle de pilotage économique à travers la réalisation d’arbitrages et l’abandon de certains axes de suivi comme l’analysé de la rentabilité par service et par activité.

Pour en lire plus sur le pilotage économique, consultez la Synthèse Solucom : « Pilotage économique du SI –  de la réduction des coûts au pilotage de la performance : les clés de l’IT fitness » .

Cet article Pilotage économique du SI : les limites de la méthode ABC est apparu en premier sur SOLUCOMINSIGHT.

La gestion de risques englobe l’ensemble des actions mises en œuvre pour répondre à deux questions fondamentales :

• Quels sont mes risques et parmi eux quels sont mes risques les plus critiques ?
• Sont-ils maîtrisés et dans le cas contraire quelle(s) décision(s) prendre ?

Au sein de l’entreprise, les acteurs à même d’apporter des réponses à ces questions sont nombreux (Risk Manager, Responsable des Risques Opérationnels, auditeurs…). S’agissant des risques de sécurité, au cœur de notre sujet, retenons, entre autres, la Direction des risques, le contrôle interne, l’audit interne et bien sûr le RSSI et ses équipes.

Si leur implication dans la gestion des risques SSI est évidente, les liens qui les unissent le sont moins. Apporter des réponses pertinentes aux deux questions ci-dessus passe donc nécessairement par la clarification des relations qui les lient – ou qui devraient les lier.

Quelles relations mettre en œuvre entre les différents acteurs de la gestion des risques SSI ?

À défaut d’organisation commune à toutes les entreprises, nous pouvons schématiser ainsi les principaux rôles de chacun de ces acteurs, ainsi que leurs interactions.

Pour gérer les risques de manière efficace et efficiente, il est nécessaire que les acteurs concernés partagent leurs informations.

Cette exigence de partage de l’information n’est pas toujours effective

Les différentes contributions à la gestion des risques SSI sont malheureusement peu souvent coordonnées voire parfois ignorées. Trois situations, trois questions reviennent en permanence, illustrant ce manque de communication :

• Quels contrôles relatifs à la sécurité des SI sont réalisés par le contrôle interne ? La fonction contrôle interne dispose-t-elle de l’expertise pour mener des contrôles de sécurité ?
• La politique de sécurité fait-elle partie du référentiel de contrôle ? Les contrôles réalisés permettent-ils d’en mesurer la mise en œuvre ?
• Les démarches, méthodes, référentiels, échelles…utilisés pour  gérer les risques sont-ils partagés

Mettre en œuvre des actions concrètes de rapprochement

Quelles solutions permettront un rapprochement ? À cette question il n’y a évidemment pas de réponse toute faite, pas d’organisation unique adaptable partout. Il existe néanmoins quelques bonnes pratiques qui vont faciliter l’atteinte de cet objectif.

1.    Évaluer les risques à couvrir ainsi que les contrôles à réaliser en s’appuyant sur  la même échelle de classification

Facteur de rapprochement essentiel, une échelle commune permet notamment de prioriser les contrôles à réaliser en se focalisant sur ceux liés aux situations les plus à risques.

Sans ce partage, il est très difficile d’obtenir une vision consolidée des risques. Une fois cette échelle commune établie, il est alors possible de mettre en œuvre les points suivants.

 2.    Travailler sur un catalogue de risque partagé

Tous les acteurs doivent pouvoir s’appuyer sur un catalogue commun de risques. Le contrôle interne pourra y ajouter les résultats des contrôles réalisés afin de mettre à jour le niveau de maîtrise des risques correspondants. Le RSSI pourra y contribuer en renseignant les risques dont il est le porteur et en intégrant notamment les vulnérabilités pesant sur les actifs SI.

 3.    Gérer conjointement la relation avec l’ensemble des acteurs métier et SI

Les Directions métiers comme les experts du SI sont aujourd’hui sur-sollicités par l’ensemble des acteurs de la gestion des risques. Aboutir à une gestion des risques plus efficiente passe donc nécessairement par l’harmonisation des différentes démarches. Harmoniser, ce n’est pas fusionner (chacun garde ses spécificités) mais se doter d’un discours, d’un calendrier, d’un outillage le plus homogène possible afin de présenter aux acteurs métier une démarche cohérente et optimisée.

 4.    Clarifier les périmètres de chacun et acter la délégation de responsabilité les cas échéant

Le domaine de la sécurité des SI est un bon exemple de périmètre au sein duquel la clarification des responsabilités de chacun est souvent nécessaire. Prenons l’exemple des contrôles de niveau 2 touchant la SSI. Ceux-ci peuvent être gérés par la fonction contrôle interne si elle dispose de l’expertise ad-hoc mais ils sont régulièrement suivis par le RSSI. Dès lors l’enjeu est de bien définir les actions de contrôle portées par le RSSI en délégation du contrôle interne pour la spécificité du domaine SSI.

 Améliorer l’efficacité de sa gestion des risques est d’abord un enjeu de Gouvernance

Nous l’avons vu, au-delà des questions de méthodologie et d’outillage, faciliter et améliorer sa gestion des risques passe essentiellement par une plus grande communication entre les différents acteurs. Cet objectif ne vise pas à gommer leurs spécificités mais à faire en sorte que les résultats des travaux des uns puissent servir à mieux cibler et prioriser les travaux des autres.

La Direction des risques a dans ce schéma un rôle essentiel dans la mesure où elle est la mieux placée pour orchestrer les actions des uns et des autres. Son positionnement global (vision de l’ensemble des risques de l’entreprise) doit lui permettre d’être le facilitateur

Cet article Les relations risquées entre les acteurs de la gestion de risques est apparu en premier sur SOLUCOMINSIGHT.

L’éclatement de la bulle spéculative des subprimes a déstabilisé toutes les places financières mondiales. Le risque de contagion a pris tout son sens expliquant la volatilité des marchés où les cours ne reflétaient plus la valeur intrinsèque des actifs. Le risque lié aux titrisations subprimes a longtemps été considéré uniquement pour son volet « risque de marchés », c’est à dire son risque de hausse ou de baisse de la valeur du titre. Un des enseignements tiré de la crise réside dans la nature transverse et la propagation des risques.

Le recensement de ces risques nous conduit à nous pencher sur les exigences réglementaires de Bâle II & III.

Les 3 types de risques du système financier : risques de marché, risques de crédit, risques opérationnels

Il existe trois types de risques liés aux marchés financiers. La mesure et la gestion de ces risques sont devenues un des objectifs majeurs des grandes institutions bancaires. Les réglementations prudentielles, les techniques de contrôle et les prérogatives des autorités de surveillance visent à s’appliquer à l’ensemble des banques en vue de garantir un contrôle bancaire efficace.

Le premier type de risque est le risque de marché, il est fonction de la variation de facteurs tels que : taux d’intérêt, cours de change, prix des matières premières, cours des actions…le tout dans un contexte mondial. Ces différents facteurs peuvent donner lieu à des pertes financières substantielles et par effet-dominos à un effondrement du marché financier mondial.

Le second est le risque de crédit, il est quant à lui lié à la défaillance du paiement des créances, il est fonction du montant de celle-ci, de la probabilité de défaut et de la proportion de la créance non recouvrée en cas de défaut.

Enfin, les risques opérationnels relèvent des pertes potentielles liées aux défaillances des procédures, des systèmes informatiques, à la fraude interne ou à des évènements extérieurs (fraudes externes, sinistres, réglementations ou actes de terrorisme).

Au-delà des principes fixés par le comité de Bâle en vue de la gestion de ces trois types de risques, un des trois piliers de Bâle II vise le renforcement de la discipline des marchés. L’exigence et la surveillance des fonds propres constituent les deux autres piliers adoptés par le Comité de Bâle. Pour respecter ces piliers, les établissements financiers doivent fournir aux parties prenantes et selon leur degré d’implications, des informations financières en toute transparence portant sur la structure des fonds propres, leur adéquation et les expositions aux risques.

Si Bâle II a été un projet de mise en conformité rapprochant la vision réglementaire de la vision économique, son impact n’a concerné que les métiers liés au crédit et aux activités de marchés. En revanche, Bâle III a un périmètre beaucoup plus large et des impacts plus significatifs susceptibles de changer certaines activités en profondeur, et d’inciter à des changements de stratégie. Un renforcement des systèmes de gestion des risques et des équipes d’audit viendra accompagner ces changements de stratégie.

Un moyen d’action pour contrer la crise financière : Bâle III

Avec les nouvelles exigences de Bâle III sur les ratios de liquidité LCR (Liquidity Coverage Ratio) et NSFR (Net Stable Funding Ratio), le liquidity risk management est devenu un sujet de préoccupation majeur des banques. Celles-ci doivent également s’impliquer plus fortement dans l’implémentation des règles bâloises en assurant un contrôle permanent des processus, de la gestion de l’information et de l’optimisation des profits sous des contraintes de financement en quête de stabilité.

La gestion des risques de marchés est finalement fonction de l’information financière. Quant aux banques, de nouveaux défis seront lancés en vue d’identifier et d’appliquer la bonne gestion des besoins bancaires et de leurs systèmes d’informations.  La mise en place de nouveaux modèles quantitatifs de gestion de risques ou le renforcement d’audits internes vont accroître la sensibilisation des établissements bancaires à ces risques financiers.

Cet article L’intérêt des réglementations bâloises face aux risques financiers est apparu en premier sur SOLUCOMINSIGHT.

Aujourd’hui, les DSI sont pressés de toute part pour optimiser leur budget, tout en maintenant un niveau de service à l’état de l’art et en augmentant la valeur apportée aux Métiers. Pour répondre à l’enjeu majeur que constitue la maîtrise des coûts IT, les DSI doivent a minima se mettre en capacité de piloter efficacement leurs plans de réduction des coûts. Voilà 10 règles d’or à suivre pour mener à bien cette ambition.

1 – L’objectif initial de gains doit être connu

L’objectif de gains d’un plan de réduction des coûts IT est souvent défini dans le cadre d’un plan d’économies plus global au niveau de la Direction générale, ou bien issu d’une étude stratégique amont au niveau de la DSI.

2 – Les hypothèses initiales doivent être claires

Afin d’être bien piloté, l’objectif de gains doit être bien compris. Pour cela, il est utile de se poser quelques questions clés :

• Sur quelle période de temps l’objectif doit-il être atteint ?

Un objectif de gains en 2015 doit-il être constaté sur l’exercice budgétaire 2015, ou bien atteint fin 2015 et donc constaté dans le budget 2016 ?

• Sur quelle assiette budgétaire de départ porte la recherche des gains ?

Coûts récurrents (OPEX) ? Budget cash-out (CAPEX + OPEX) ? Les projets exceptionnels entrent-ils dans la trajectoire ?

• Quelles hypothèses ont été retenues dans le calcul initial ?

Prise en compte de l’inflation, évolution des taux de change en cas de périmètre international, hypothèses d’évolution de la masse salariale, etc.

• Les coûts évités sont-ils considérés comme des gains ?

3 – Les règles de comptabilisation des gains doivent être claires et partagées

Les modalités de comptabilisation des gains doivent être définies et connues de toutes les parties prenantes. En particulier : le processus d’enregistrement formel des gains (par exemple à chaque phase de constaté budgétaire) ; les modalités d’affectation des gains touchant plusieurs entités (exemple : attribution du gain à la direction portant le budget, répartition « à la clé » des gains transverses, etc.).

4 – Tout levier de gains doit être quantifié et associé à une action planifiée avec un responsable identifié

La construction du plan de réduction des coûts nécessite un travail important de co-construction avec les opérationnels pour identifier les leviers de gains pertinents et formaliser des plans d’actions de mise en œuvre sur leur périmètre de responsabilité. Les actions associées à chaque levier doivent être détaillées et planifiées dans le temps. Le gain escompté doit être qualifié – si nécessaire avec les réserves et hypothèses appropriées – afin de pouvoir au maximum projeter l’évolution de la base de coûts.

5 – Le coût de mise en œuvre d’un levier doit être pris en compte dans le calcul des gains

Malheureusement, les leviers de performance ne s’actionnent pas tout seuls ! Les coûts associés à la mise en œuvre d’un levier doivent être valorisés et retirés du gain « brut ». Le calcul d’un retour sur investissement (ROI) sur chaque levier constitue ainsi un moyen d’arbitrer les leviers les moins avantageux.

6 – Tout gain doit être documenté et auditable

Les leviers de gains sont généralement analysés lors de multiples itérations, et sollicitent de nombreux acteurs au sein de l’entreprise. Les leviers et les actions de mise en œuvre associées doivent être décrits de manière détaillée, et les gains comptabilisés doivent être scrupuleusement tracés afin notamment de limiter le risque de « double comptabilisation ».

Dans certains cas, des actions d’audit peuvent être diligentées sur le dispositif de pilotage des gains, afin d’en vérifier la clarté et la complétude.

7 – Les engagements de gains doivent être traduits dans la notification budgétaire de chaque direction

Les travaux de planification (ou replanification) budgétaire doivent autant que possible intégrer les prévisions de gains de chaque direction. Cette corrélation entre prévision de gains et notification budgétaire permet d’augmenter les points de contrôle et de profiter de l’outillage généralement plus développé de pilotage budgétaire. Il convient malgré tout de rester vigilant face au risque de non-respect des engagements de gains compensé par des arbitrages d’activité pour rester dans le budget !

8 – Le management doit être objectivé sur l’atteinte des gains

Le respect de la trajectoire de réduction des coûts IT doit constituer un objectif sur lequel le management de la DSI est évalué. Chaque responsable peut par exemple se voir notifier :

• un objectif individuel sur la réalisation des gains prévus sur son périmètre, ou la conduite dans les temps des projets majeurs contributifs aux gains ;
• un objectif collectif sur l’atteinte des gains de l’ensemble de la DSI ou de la filière SI, pour favoriser l’esprit d’équipe et éviter les risques de « vases communiquants » entre entités.

9 – Les évolutions de périmètre doivent être identifiées

Un plan de réduction des coûts projette un objectif de gains, permettant de tracer une trajectoire budgétaire « théorique » sur plusieurs années. Beaucoup d’évolutions peuvent avoir lieu durant cette période : intégration d’un nouveau périmètre (exemple lors d’une acquisition), développement d’une nouvelle offre, investissement majeur, etc.

La trajectoire budgétaire de la DSI peut ainsi se voir modifiée, rendant complexe le suivi des gains par rapport à la trajectoire initiale. Il est important de comptabiliser les gains accumulés indépendamment de la trajectoire budgétaire constatée, tout en étant en mesure de justifier les évolutions de périmètre.

10 – Une vision consolidée des gains doit régulièrement être construite et analysée

Un suivi mensuel des leviers de performance, des gains et plans d’actions associés doit être réalisé avec les opérationnels.

Une vision consolidée doit être produite a minima de manière trimestrielle. Le cas échéant, la trajectoire de gains doit être revue en conséquence.

Vaste programme à amorcer dès 2013 !

Cet article 10 règles d’or pour suivre ses gains IT est apparu en premier sur SOLUCOMINSIGHT.

Avec une croissance de 33% en 2012, le PaaS (Platform as a Service) reste, malgré des indicateurs satisfaisants, le segment le moins développé sur le marché du cloud. À titre de comparaison, il génère 10 fois moins de chiffre d’affaires que le segment du SaaS.

D’après Fabrizzio Biscotti, Directeur de recherche chez Gartner « Le PaaS est l’endroit où la bataille entre les fournisseurs et les produits s’intensifie le plus ». Le marché du PaaS privé n’est pas exclu de cette bataille. Il fait face à une concurrence de plus en plus rude et une  évolution de plus en plus vite.

Pour mieux comprendre cette évolution, voyons quelle est la proposition des offreurs dans ce marché.

Un positionnement en surcouche des modèles traditionnels

Traditionnellement, un modèle PaaS offre un environnement complet de développement et d’exécution. Du côté du PaaS privé, les acteurs se positionnent sur le marché des « Fabric PaaS ». Il s’agit d’un outil de provisionnement d’environnements, constitués de composants logiciels et applicatifs packagés au préalable. Cet outil s’appuie ensuite sur les infrastructures existantes de l’entreprise, qu’elles soient physiques, virtuelles ou déjà dans le cloud. Les acteurs de ce marché sont très dynamiques, avec une offre qui évolue rapidement. On y retrouve aujourd’hui les acteurs de l’édition logicielle traditionnelle avec Tibco Silver et VMware vFabric, des acteurs de niche comme ActiveState Stackato et une offre open source avec Cloud Foundry, souche de plusieurs solutions commerciales.

Agilité, Scalabilité et Consolidation comme crédos

Les fonctionnalités de packaging intégrées à ces solutions permettent de définir des environnements « clés en main ». Ces environnements contiennent  un ensemble de composants applicatifs, conçus à partir d’une palette d’exécutables tels que Jboss, Websphere, Tomcat, Tibco… ainsi que d’autres logiciels non standards. Les déploiements sont ainsi standardisés, dans une optique d’optimisation des temps de création des environnements.

Ces outils gèrent également les performances des applications déployées. Ils adaptent ainsi la capacité mise à disposition aux pics et baisses de charge en rajoutant ou supprimant des ressources sur la base d’un jeu de règles prédéfini. Ils offrent également la possibilité de s’étendre vers un cloud public.

Le troisième apport est l’optimisation de l’usage des ressources. Les mêmes ressources pouvant être affectées à des applications de natures différentes, évitant ainsi les modes de fonctionnement en silo.

Une mise à disposition en 3 étapes

La mise à disposition des environnements passe généralement par trois étapes clés :

• Le packaging qui permet de concevoir la stack* applicative de l’environnement en définissant les différents composants logiciels nécessaires à l’exécution ;

• Le provisioning pour déployer une stack applicative sur une infrastructure à l’aide d’une interface graphique ;

• Le management pouradministrer les stacks déployées, récupérer des statistiques et  définir des règles de scalabilité automatique.

La Fabric PaaS : un outil adapté à vos besoins ?

Avant toute chose, il est nécessaire de mesurer l’adéquation de l’outil avec le besoin attendu. Comment ? Voici quelques critères qui sauront vous aider à prendre la bonne décision :

• L’évolutivité des environnements

Si vous êtes dans un contexte soumis à de fortes évolutions d’environnement, une Fabric PaaS permet de réduire le temps de déploiement et de limiter les interventions humaines.

• Le niveau de demande de création de nouveaux environnements

Une trop faible demande ne permettra pas d’amortir le coût de mise en œuvre par les gains dégagés

• Le niveau de standardisation des demandes

Plus les demandes sont normalisées / standardisées, plus il sera possible d’aller loin dans le packaging et donc réduire au maximum les interventions humaines

• La variation dans le temps du niveau d’exigence en performance et haute disponibilité 

Une Fabric Paas permettra de gérer les capacités de performance au fil de l’eau : assurer le service lorsque le niveau d’exigence est au plus haut tout comme libérer les ressources lorsque le niveau est bas. Plus ce genre de variation sera fréquent, plus l’outil fera preuve d’utilité.

Les promesses des fabric PaaS sont alléchantes. Pour autant il s’agit de produits très récents et demandant des investissements compliqués en période de pressions budgétaires ainsi que des évolutions organisationnelles. Leur avènement nous semble toutefois inéluctable mais à un rythme d’adoption bien plus lent que celui espéré par les fournisseurs.

*Stack : Ensemble de composants logiciels permettant de mettre en œuvre un environnement (exemple : un serveur web + un schéma de base de données)

[Article écrit en collaboration avec Alaa Jamal-Bennis]

Cet article La Fabric PaaS : cœur de la proposition de valeur du PaaS Privé est apparu en premier sur SOLUCOMINSIGHT.

« Ne s’améliore que ce qui se mesure » : la montée en charge des problématiques de Responsabilité Sociétale des Entreprises (RSE) a abouti à la diffusion et à l’adoption d’outils et standards pour piloter la triple performance de l’entreprise (économique, sociale et environnementale).

Aujourd’hui, mesurer ses émissions de gaz à effet de serre ou sa consommation d’énergie, rendre compte de la qualité sociale de sa chaîne d’approvisionnement ou des efforts menés en matière de lutte contre l’exclusion n’est plus un problème : des standards existent et sont reconnus par tous.

Mais si l’on sait aujourd’hui mesurer la performance sociétale d’une entreprise, d’un produit, d’un site, il est une maille d’analyse qui demeure le parent pauvre de l’évaluation environnementale et sociale : la maille projet.

En matière d’évaluation de la performance sociétale d’un projet, très peu de choses ont été formalisées

Ainsi, quand l’entreprise a, par exemple, pour projet d’installer un nouveau site de production au Maghreb, de mettre en place un centre de services partagé pour ses fonctions de back-office, ou encore de restructurer sa chaîne logistique et centraliser ses opérations de distribution…, la direction de projet ne dispose d’aucun référentiel pour appréhender et piloter les questions de RSE induites par le projet.

Pourtant, ces projets peuvent interpeller et engager la responsabilité sociétale de l’entreprise : en modifiant la relation entreprise-employé, en impliquant de nouveaux sous-traitants ou modes de sous-traitance, en générant une plus (ou moins) forte intensité énergétique, ou encore, en réduisant ou en augmentant les consommations de ressources…, ces projets sont porteurs de transformations sociétales.

Comment appréhender la RSE à la maille projet ?

La question s’est posée dans le cadre d’un projet chez l’un de nos clients. L’objectif du projet ? Mettre en place un centre de services partagé (CSP) pour gérer certaines fonctions RH au niveau européen. Il s’agissait d’établir un diagnostic et de proposer un plan d’actions :

• Quels sont les apports du projet au prisme du développement durable, et comment les développer, les valoriser ?
• Quelles sont ses faiblesses et comment les dépasser ?

L’approche que nous avons proposée s’est inspirée de nos méthodologies de risk management, en les transposant sur un référentiel spécifique de la RSE. En nous appuyant sur la perception des acteurs du projet, nous avons pu ainsi bâtir un diagnostic partagé et opposable, auquel il a été aisé, dans un second temps, de répondre au travers d’un plan d’actions.

Le diagnostic a rapidement permis d’identifier, de cartographier et de pondérer les « objections » en matière de RSE, mais aussi les apports du projet et ses développements potentiels.

Au final, quels bénéfices pour l’entreprise ?

Si les bénéfices d’une telle approche sont évidents en matière de maîtrise de la RSE, d’autres bénéfices significatifs sont apparus en réalisant l’exercice :

Tout d’abord, en fédérant les acteurs autour de valeurs partagées et de principes mobilisateurs, en adressant des non-dits qui constituaient autant de freins au changement et en s’ancrant dans la stratégie de responsabilité de l’entreprise, le projet a gagné en adhésion et en visibilité.

Ensuite, en enrichissant le prisme d’observation, le diagnostic RSE a permis de mieux maîtriser les attendus du projet, de déceler les postures d’attente ou de défiance, et d’étendre ainsi le périmètre de maîtrise des risques.

Enfin, en élargissant le champ d’analyse, l’étude a permis de développer le potentiel stratégique du projet et de mettre en place des synergies vertueuses au sein de l’entreprise.

Ainsi, et comme souvent, entreprendre une démarche de RSE a des bénéfices collatéraux : engagement des collaborateurs, meilleure maîtrise des risques, capacité à développer des synergies… sont autant de leviers de ROI sur lesquels l’entreprise peut motiver sa stratégie de RSE et développer des pratiques managériales qui, en ciblant une meilleure performance sociétale, renforcent son efficacité économique.

Cet article Mesurer la performance sociale et environnementale d’un projet … Bonne idée ! Mais pour quoi faire ?… est apparu en premier sur SOLUCOMINSIGHT.

Dans un précédent article, nous avions vu qu’un réseau social interne ne peut fonctionner que s’il obtient l’adhésion des utilisateurs. Mais cela implique que  le RSE doit s’inscrive dans une culture d’entreprise propice à l’engagement des collaborateurs.

Comment déterminer si un contexte donné est favorable à la mise en place d’un RSE ? Voici  cinq critères qui vous permettront  d’évaluer la maturité de votre entreprise et de favoriser la mise en place d’une culture adaptée.

Définition d’objectifs spécifiques et mesurables, en ligne avec la stratégie de l’entreprise

Afin de s’imposer, le réseau social interne doit être le support d’une stratégie d’entreprise matérialisée par des objectifs business précis. Pour être pertinents, ces objectifs doivent être tangiblement reliés au métier de l’entreprise. Or il est souvent tentant de les réduire à quelques buzzwords devenus passe-partout  comme « devenir un social business » ou « passer à l’entreprise 2.0 ». C’est pourquoi il est conseillé de s’attacher à formuler les enjeux stratégiques du projet n’ayant recours qu’à des termes concrets et précis. Ainsi on préférera citer comme objectifs la réduction du turnover ou la diminution du temps de traitement d’une information. Cet effort permettra ensuite d’évaluer avec plus de précision la pertinence de la mise en place d’un RSE.

Propension des collaborateurs à l’échange : un terreau fertile à l’adoption d’un RSE

Le lien social entre les collaborateurs d’une entreprise constitue le moteur d’un RSE. Un tel outil ne pourra en effet fonctionner que si ses utilisateurs ont une réelle volonté d’échanger et de communiquer entre eux. Si l’entreprise possède déjà une culture collective, et des habitudes d’échange, le RSE viendra les renforcer. Si au contraire ces habitudes ne sont pas déjà ancrées dans la culture d’entreprise, le RSE ne pourra pas les créer. Il vaudra mieux alors se concentrer en amont sur le renforcement du lien social en instaurant par exemple des espaces d’échanges physiques.

Volonté de partage : valorisation du transfert de savoir entre collaborateurs

Au-delà d’un désir de communiquer, les utilisateurs potentiels d’un RSE doivent faire preuve d’une volonté d’entraide et d’échange de savoir. Ainsi les experts devront partager sur le RSE leurs connaissances, sans les considérer comme un capital personnel. La mise en place de cette culture du partage doit passer par une valorisation du transfert des savoirs avant le projet RSE. Les salariés et les managers devront être sensibilisés à l’importance et à la valeur de l’entraide et encouragés à la pratiquer.

Souplesse de la hiérarchie, encourageant les échanges informels

Un réseau social interne nécessite le passage d’une culture de la hiérarchie à la culture du partage. En effet, l’utilisation d’un RSE, bien que cadrée, est toujours relativement informelle. Les contenus qui y sont publiés ne sont pas forcément soumis à une validation préalable et sont ensuite ouverts aux commentaires et donc aux critiques. Par conséquent, le management doit être prêt à adoucir la traditionnelle rigidité hiérarchique afin de favoriser l’utilisation du RSE.

Climat de confiance, permettant le contrôle et non le jugement

Du point de vue des utilisateurs, participer à un réseau social interne les expose à un jugement. Cette crainte concerne d’abord la peur d’être jugés par des collègues susceptibles de dénigrer une publication ou une idée. Mais les utilisateurs appréhendent également d’être évalués par le management sur la base de leur participation au RSE. Afin de rassurer les collaborateurs, il est donc nécessaire d’établir un climat de confiance. Pour y contribuer l’entreprise doit être prête à faire preuve de transparence sur les objectifs du RSE et le contrôle qui sera exercé dessus. Il faudra notamment expliquer clairement qu’il s’agit d’un outil de collaboration visant à faire travailler ensemble les utilisateurs et non pas à les surveiller.

En somme, les habitudes des utilisateurs refléteront les valeurs de l’entreprise. Afin d’ancrer ces habitudes dans le quotidien de chaque collaborateur, l’entreprise devra faire évoluer sa culture jusqu’à la faire correspondre à ces valeurs.

Alors, prêts à vous lancer ?

[Article rédigé en collaboration avec Lucrèce Rolland]

Cet article Réseaux sociaux d’entreprise : êtes-vous prêts à vous lancer ? est apparu en premier sur SOLUCOMINSIGHT.

2012 a été marquée par de très nombreux cas d’attaques sur les systèmes d’information. Les exemples abondent : Saudi Amramco, Gauss ou encore Red October, pour ne citer que les plus relayés. Ces attaques ont mis en lumière les limites de la stratégie sécurité en vigueur dans la plupart des entreprises : un focus quasiment unique sur la protection.

Un modèle de sécurité qui atteint ses limites

La protection des informations avec les moyens conventionnels (pare-feu, antivirus, correctif, contrôle d’accès…) comporte de nombreuses limites  ;  les attaquants les connaissent et surtout, savent les contourner efficacement. Les attaques par ingénierie sociale permettent d’accéder aux informations d’utilisateurs légitimes et ce malgré de nombreuses sessions de sensibilisation en entreprise, les failles « zero-day » permettent d’attaquer des systèmes même maintenus à jour, l’encapsulation ou encore le chiffrement de trafic qui permettent de traverser les pare-feux sans être inquiétés.

Doit-on pour autant baisser les bras et reculer face aux menaces? Non, certainement pas ! Il s’agit de réorienter ses efforts différemment, accepter les risques,  et se doter des moyens permettant de limiter l’impact des attaques. La détection des attaques et l’identification de réactions appropriées sont donc à prioriser pour 2013.

 Détecter et réagir : les priorités de 2013

Ce changement d’orientation nécessite de nombreuses évolutions, tant en termes technique qu’organisationnel. Il faut réfléchir à la mise en place de nouveaux moyens, internes ou externes, afin de mieux observer le SI et d’en tirer des alertes pertinentes. Nous pensons bien évidemment aux solutions de surveillance de journaux classiques mais pas uniquement ! De nouvelles solutions, spécialisées dans les analyses statistiques permettent d’obtenir des vues pour détecter les fameux signaux fiables relatifs aux attaques. D’autres produits permettent de détecter dans les flux de données des comportements étranges, en simulant l’ouverture des pièces jointes ou des fichiers. Même si cela peut paraître démesuré, certaines organisations ont mis en place ces solutions sur 2012 et en tirent aujourd’hui des bénéfices concrets.

Et comme l’outil ne résout rien seul, certains processus seront aussi à revoir, en particulier sur la surveillance du SI et la gestion de crise. La création, ou le renfort, d’une cellule dédiée en charge de ces problématiques, le fameux CERT ou SOC, pourra être une solution. Cette cellule sera à même de piloter les crises, de prendre les bonnes décisions pour limiter les impacts et d’empêcher les propagations.

Différents scénarios de crise sont à envisager en fonction du métier et de l’exposition : attaque en déni de service, vol d’information, défacement de site, vols de données sensibles, mais aussi et peut être surtout compromission du SI… Ils devront être testés par les équipes opérationnelles mais également les métiers et la direction générale, acteurs essentiels en cas d’attaques cybercriminels.

Bien évidemment, il n’est pas question d’abandonner toutes les mesures de protection. Bien souvent, elles retarderont la réussite de l’attaque, voire même sur certains périmètres très protégés et face à des attaquants de niveau intermédiaire, elles les bloqueront. Mais aujourd’hui, se baser uniquement sur une protection est illusoire, il est indispensable de revoir sa stratégie sécurité et en 2013 d’orienter sa réflexion vers la détection et la réaction !

Cet article Une nouvelle année pour une nouvelle stratégie sécurité : priorité à la détection et la réaction est apparu en premier sur SOLUCOMINSIGHT.

Quel positionnement pour la sécurité de l’information dans un monde en pleine mutation ? Quelle stratégie et quelles réponses apporter aux évolutions des usages, des menaces et des réglementations ?

Découvrez en vidéo notre vision de ces enjeux auxquels sont confrontés les RSSI.

Retrouvez toutes nos vidéos sur YouTube, sur la chaîne Solucom.

Cet article Quels sont les enjeux des RSSI ? est apparu en premier sur SOLUCOMINSIGHT.