Bases de données interconnectées, entrepôts de données, «smart data» ou «smart analytics» font partie du quotidien de bon nombre d’industries. Dans le retail ou la banque, par exemple, les données issues du monstre big data, une fois triées, nettoyées, agrégées et optimisées, facilitent la connaissance et la segmentation d’une clientèle. Préférences, profil de consommateur, langue maternelle, pouvoir d’achat ou encore méthodes de paiement privilégiées permettent de se rapprocher du client et de personnaliser son approche. «Le besoin de profiler l’utilisateur et de connaître ses clients touche à présent tous les secteurs», introduit Radu State, responsable de l’unité de recherche Sedan au SNT.
Le corollaire de cette masse de données sans cesse plus volumineuse, c’est la sécurité, un enjeu devenu transversal et multidépartement. Quatre experts rencontrés en table ronde s’accordent sur l’importance d’en imprégner sa culture d’entreprise, en particulier dans les PME, souvent démunies sur ce créneau.
Personnaliser l’expérience
Pour les «marketeurs», analystes et commerciaux, le big data, sans cesse plus volumineux, est un terrain de recherche inégalé. Donnant de la matière aux outils de la famille business intelligence, il requiert patience et attention soutenue dans la saisie des données. «Tout l’enjeu est de disposer de l’information la plus pertinente, qu’on utilise son smartphone ou son ordinateur. Sans qualité des données, il n’y a pas de BI», contextualise Guy Kerger, associé et fondateur de Mindforest, une entreprise active sur le créneau de la gestion du changement.
Sans qualité des données, il n’y a pas de BI.
Guy Kerger, Associé et fondateur (Mindforest)
Pour Olivier Debehogne, head of retail & digital banking à la Bil depuis février 2016, on ne fait qu’effleurer tout le potentiel de l’«analytics». «Le marketing se mesure et s’analyse. C’est une science qui repose sur une analyse précise et particulièrement fine des informations relatives aux clients. Il faut que les outils BI soient au centre de l’architecture IT. Et non en marge comme c’est souvent le cas. On a encore énormément de choses à apprendre dans ce domaine», cadre-t-il. «Beaucoup d’entreprises ont des difficultés à exploiter leurs données et à y trouver la valeur ajoutée. En tant que banque, optimiser cette intelligence nous permet de proposer de nouveaux services, de personnaliser l’expérience en online et offline, et de simplifier la vie de nos clients.»
Beaucoup d’entreprises ont des difficultés à exploiter leurs données et à y trouver la valeur ajoutée.
Olivier Debehogne, Head of retail & digital banking (Bil)
Dans une logique de personnalisation, les systèmes de notifications préventives, par exemple quand le seuil limite d’un compte est atteint, ainsi que les propositions en ligne de services annexes sur base des préférences de l’internaute à la manière du retail sont la prochaine étape pour les banques. Olivier Debehogne partage: «Il nous faut retrouver une proximité et une intimité avec le client. La BI peut nous y aider.»
Formations pointues
Corollaire de ces avancées technologiques, dans la sécurité comme dans l’usage de la BI, la protection des données fait naître de nouveaux métiers, des data scientists aux statisticiens. Les doubles parcours business/IT sont particulièrement convoités et donc rares sur le marché. Le master II en management de la sécurité des systèmes d’information, conçu et porté par le professeur Yves Le Traon à l’Université du Luxembourg, tente d’y répondre à son échelle.
L’investissement en sécurité est celui qui augmente le plus.
«L’idée est de diffuser une même vision de la sécurité», souligne Radu State, intervenant lors du programme.
Cette expertise doit aussi se développer en interne. «L’investissement en sécurité est celui qui augmente le plus», poursuit encore Olivier Debehogne. «S’armer des bonnes compétences est décisif. Certains profils sont très rares sur le marché local. Il y a une vraie guerre des talents. Avant, la sécurité, c’était une vitre pare-balles. Aujourd’hui, le risque est avant tout digital, cela impose de former le personnel des agences autrement. Tout le monde peut avoir un impact sur les procédures de l’entreprise. Le faire comprendre fait partie de la conscientisation.»
Base sécuritaire
Face à une multitude d’outils et applicatifs différents, aucune entreprise n’échappe aujourd’hui à une réflexion de fond sur la sécurité de ses systèmes, devenue un enjeu tout aussi business qu’IT, en particulier à l’aube de nouvelles obligations européennes.
Dans le secteur bancaire, l’approche sécuritaire est bien ancrée.
«Le paquet sur la protection des données finalisé à la fin 2016 et effectif à l’horizon 2018 vient modifier le cadre en place. Il introduit un respect des données dès la conception d’un produit, outil ou service», introduit Radu State, responsable de l’unité de recherche Sedan au SNT, dont les thèmes de recherche prioritaires sont les fintech, le big data et la sécurité informatique. Influencée par la conception de ce qu’est la vie privée et ce qui entre dans la définition des données à caractère personnel, la sécurité est aussi éminemment culturelle.
Comme le note Pascal Steichen, vice-président du Clusil, une association qui défend la sécurité informatique depuis 20 ans, le niveau de maturité est très variable selon le secteur et le type d’entreprise: «Dans le secteur bancaire, l’approche sécuritaire est bien ancrée. Dans l’industrie, par exemple, c’est plus récent. Certains collaborateurs travaillent à présent avec des machines connectées et des systèmes beaucoup plus ouverts que par le passé. La sensibilisation et la formation ne suivent pas toujours. La digitalisation et l’IoT ouvrent de nouvelles voies d’accès aux attaques et créent de nouvelles vulnérabilités.»
En moyenne, le Circl, amené à jouer les pompiers en cas d’attaque, reçoit entre 1.500 et 3.000 demandes par an. La moitié de celles-ci ont un but financier et environ 40% sont liées à des motifs d’espionnage.
Portes ouvertes
Les systèmes actuels, connectés et plus ouverts sur l’extérieur que par le passé, créent de nouvelles brèches. Comme le rappelle Guy Kerger, la faille vient souvent de l’utilisateur. «Ce que je constate lors de missions en entreprise, c’est que dans la plupart des cas, l’homme est la source d’une fuite de données, en particulier quand chacun est libre d’amener ses outils. Beaucoup de collaborateurs ne sont pas du tout conscients des conséquences de leurs actions. Les menaces ne proviennent pas toujours du voisin ni du bureau d’en bas. Cela commence parfois par un mot de passe sur un post-it.»
C’est essentiel de garder en mémoire les catastrophes évitées.
Comme le rappelle Pascal Steichen, les attaques, de nature changeante, sont aussi de plus en plus organisées et internationales. «Les attaques qui visent les personnes, de type social engineering, sont en pleine augmentation. Je pense notamment à l’arnaque au président, par exemple, un cybercriminel se faisant passer pour un CEO, faisant pression sur un collaborateur d’un département Comptabilité pour débloquer des fonds. Dans ce cas-ci, cela n’implique rien de technique. Dans certains cas, les attaquants sont extrêmement bien préparés.» Pour sensibiliser à ces nouveaux risques, il faut partager les attaques ou tentatives d’attaques et ne pas hésiter à communiquer sur ce qui aurait pu se passer. «Très souvent, on ne sait pas ce qui s’est passé il y a un an», constate le fondateur de Mindforest. «C’est pourtant essentiel de garder en mémoire les catastrophes évitées.»
Vigilance humaine et digitale
Dans trop d’entreprises, la sécurité est d’abord perçue comme un centre de coûts. «On ne crée pas quelque chose, on investit pour éviter le pire. Il faut donc revenir souvent sur l’intérêt de l’approche», pointe Pascal Steichen. Pour qu’une politique prenne, il s’agit de l’expliquer en détail aux principaux concernés: les utilisateurs. Et Radu State d’appuyer: «Mon conseil tient en une phrase: ‘Keep it simple and stupid.’ Si c’est trop compliqué, cela ne marchera pas.»
Mon conseil tient en une phrase: ‘Keep it simple and stupid.’
Radu State, Responsable de l’unité de recherche Sedan (SNT)
«Souvent en entreprise, on veut aller trop vite. Or, le changement prend du temps. Les employés doivent comprendre le ‘pourquoi’ des procédures», note encore Guy Kerger. Si les travailleurs ne comprennent pas les règles, qu’il s’agisse de clean desk ou d’envoi de fichiers, ils ne les appliqueront pas et ne se sentiront pas concernés. Ils ont besoin de contexte et doivent, comme dans tout projet d’entreprise, pouvoir poser des questions.»
Il n’y aura jamais de risque zéro.
Reposant sur des perceptions, pour nos quatre orateurs, toute culture de sécurité doit être maintenue en vie et alimentée en permanence. «Le recours à la technologie ne peut pas être la seule réponse. La question est toujours de savoir jusqu’où on accepte le risque et combien on est prêt à payer. Il n’y aura jamais de risque zéro. La sécurité ne peut pas être uniquement vue sous le prisme de la culpabilité ou de la faute. Souvent la source de brèches, c’est purement de la méconnaissance», soutient Radu State.
Complexe, la notion de sécurité mélange vulnérabilité technique, croyances, sentiment de honte...
Pascal Steichen, Vice-président (Clusil)
Et Pascal Steichen de le rejoindre: «La technologie ne peut pas toujours aider contre la technologie. Complexe, la notion de sécurité mélange vulnérabilité technique, croyances, sentiment de honte... La cybercriminalité, c’est beaucoup de bruit et de petites attaques. La plupart restent sous le radar. Une politique de sécurité repose sur des réflexes et des bonnes pratiques qui doivent être travaillés de manière constante. La vigilance passe par de petits détails à détecter: une adresse e-mail étrange, un document à ne pas ouvrir, etc. Il faut combiner les approches et ne pas baisser les bras. C’est aussi une maturité à travailler.» «Il faut vivre ces efforts et rappeler les messages importants. Ces enjeux dépassent de loin l’IT et ses équipes. Ils sont stratégiques», embraie Guy Kerger.