Choisir un outil de RPA, un REX S01 EP01
Par Alain Wetie, Chef de Projet Génération Conseil
Il y a quelques semaines, j’étais en réunion avec la responsable comptable de la société ferroviaire auprès de laquelle je suis en mission. A la fin de la réunion, elle me dit de but en blanc : « j’ai été invitée à un petit dej’ RPA et je veux tel outil ».
La RPA est un sujet à la mode et nos clients ont été très sollicités par des commerciaux très efficaces qui leur ont vanté la qualité de leurs outils. Or, le choix d’un outil est un processus qui comporte un certain nombre de pièges. En tant que consultant AMOA qui fait l’interface entre la DSI et le business, je sais que ces pièges peuvent être déjoués par une démarche rigoureuse dans la compréhension des besoins. Nous avons donc pris rendez-vous avec elle pour lui expliquer cette démarche, que nous avons voulu la plus pragmatique possible et sans vocabulaire globish facile en -ing.
En effet, cette société dispose déjà de bons nombres d’outils comptables, lui permettant de gérer le process jusqu’à remonter un état consolidé des comptes au niveau Groupe.
Le processus de clôture de comptes fait l’objet cependant d’une réflexion générale dans le but de le rationaliser et de l’optimiser. Ainsi nous avons été sollicités pour mettre en œuvre un outil de justification des comptes.
Or la méthode de choix comporte en elle-même les conditions nécessaires (mais pas suffisantes) du succès. Elle doit être menée avec rigueur sous peine de céder à des sirènes commerciales et de se retrouver avec un outil mal adapté, trop cher, trop lourd ou nécessitant trop de spécifiques. C’est cette démarche que nous allons présenter.
Faire émerger un projet, c’est commencer par en identifier les acteurs
Aujourd’hui la société parvient à produire des comptes consolidés dans les temps, avec un niveau de qualité accepté par les commissaires aux comptes. Cependant il est compliqué pour les responsables de répondre aux questions précises des commissaires aux comptes ou de la hiérarchie sur la situation d’un compte. En effet lorsque ce type de question se présente, les responsables financiers ont du mal à trouver le bon interlocuteur pour leur donner les éléments de réponses dont ils ont besoins.
Ces interlocuteurs sont de plusieurs ordres :
- Le comptable en charge du compte : sauf que cette responsabilité n’est pas clairement définie pour l’ensemble des comptes
- Le Pôle Synthèse Comptable qui centralise un certain nombre de justificatifs de comptes, mais ce process n’est pas systématique et beaucoup de justifications de comptes ne sont pas transmises à ce pôle
- Le Centre de Services Partagés Comptable, qui en général produit des justificatifs de comptes pour ses besoins propres et ne les transmettent qu’à la demande
De ces constats émerge le besoin de centraliser les informations sur les comptes pour qu’ils soient accessibles au bon moment par les personnes habilitées.
Au-delà de la centralisation des justifications de comptes, un processus clair doit être mis œuvre avec des responsabilités fonctionnelles distinctes et un périmètre de comptes bien défini pour chaque responsable et sur l’exhaustivité des comptes.
Nous avons donc reçu le mandat de trouver un outil du marché nous permettant de maîtriser ce process de justification de comptes.
Tout le monde est d’accord sur la méthode, alors maintenant on déroule
Mettre en œuvre une démarche de choix, c’est réaliser un travail à quatre mains permettant d’instaurer une relation de confiance entre la DSI et le métier.
La première étape pour nous a consisté en la rédaction d’une expression de besoin. Celle-ci a été rédigée de concert avec le métier.
En effet, le premier piège à éviter, c’est de partir des outils pour définir le besoin, pour « faciliter la tâche » au métier.
Lors d’une réunion de lancement avec l’ensemble des responsables de la comptabilité, nous avons :
- Validé le processus de justification de comptes
- Validé les règles de gestion et exigences communes à tous les cycles comptables
- Défini les périmètres de responsabilités
Partir du process métier avant toute mention de l’outil
L’outil devra être structuré autour d’un process de validation de comptes, qui déploiera un workflow adressé à des acteurs aux actions spécifiques dans l’outil.
Les acteurs :
- Le contributeur : c’est un comptable qui impute le compte concerné et donc est en charge de justifier son solde en fin de période
- Le valideur : c’est un responsable de département comptable, qui approuve la justification de compte fait par un contributeur
- Le réviseur : c’est un responsable du Pôle Synthèse Comptable qui a un rôle de monitoring, il centralise les justificatifs de compte et vérifie l’exhaustivité des justificatifs et le cas échéant fait des relances aux contributeurs ou aux valideurs
Le process :
Avoir en visu les règles de gestion et les exigences
Le métier a défini quelques exigences et règles de gestion qui présideront au choix de l’outil :
- Seuls les comptes de bilans feront l’objet de justification dans l’outil à mettre en place
- Les méthodes de justification de comptes ne seront pas remises en question par l’implémentation de l’outil
- Tous les comptes présentant un solde non nul ainsi que les comptes ayant un solde à 0 mais qui ont été mouvementés pendant l’exercice comptable, devront être affectés à un responsable
- Un responsable référent devra être désigné pour les « comptes partagés »
- Des droits d’accès seront paramétrés suivant le périmètre de chaque responsable
- La solution devra contenir des règles de rapprochement configurables pour le lettrage automatique des postes
- La certification devra être automatique pour certains comptes, dont le solde est nul en fin de période
A ce stade du projet il est important de laisser le métier construire son besoin indépendamment des possibilités offertes par les outils sur le marché. L’expression du besoin doit précéder les choix des outils.
Définir les responsabilités pour une gouvernance optimale
Les périmètres de responsabilités s’articuleront autour des différents cycles comptables :
- Capitaux propres
- Immobilisations
- Clients
- Fournisseurs
- Personnel
- Impôts et taxes
- Stocks
- Trésorerie
L’organisation matricielle de la société nous impose cependant une définition beaucoup plus fine du périmètre.
En ajoutant les dimensions organisationnelles fines et les SI amonts comme facteur de délimitation des responsabilités, on obtient le triptyque (Compte général / Division / SI amont). La combinaison de ces trois paramètres, permet d’obtenir un responsable unique sur le périmètre de responsabilité.
Tout le monde sait ce qu’il a à faire, nous pouvons chercher à optimiser…
A la suite de la définition des périmètres de responsabilité, des ateliers sont organisés avec les responsables des différents cycles comptables, qui s’engagent sur une liste de comptes dont leur incombe la justification. A l’issue d’une première série d’ateliers, trois types de comptes sont identifiés :
- Les comptes affectés : comptes sur lesquels un responsable s’est engagé
- Les comptes partagés : comptes sur lesquels plusieurs responsables se sont engagés
- Les comptes orphelins : comptes sur lesquels aucun responsable ne s’est engagé
Cet engagement formel des responsables sur leur périmètre de compte est important pour la suite du projet. Il permet de mesurer l’engagement du métier et favorise son implication dans le projet. Des éléments déterminants dans l’acceptation de l’outil qui sera mis en place.
Cependant l’affectation des comptes orphelins doit faire l’objet d’une décision du management quant à leurs affections. Car tous les comptes doivent impérativement être affectés dans l’outil.
Dans ces ateliers les responsables de cycles, décrivent la méthode de justification de comptes, les différentes tâches menées, les formats de fichiers utilisés, les Si amonts concernés. Ils font des propositions sur les possibilités d’optimisation ou d’automatisation de certaines tâches.
Et c’est seulement là qu’on peut parler des outils…
Un besoin clair et délimité mais une solution évolutive
En parallèle des ateliers avec le métier, nous avons pris contact avec des éditeurs de solutions comptables en générale de façon plus ou moins formelle, pour avoir une idée des solutions proposées sur le marché.
Éditeurs Contactés et Solutions
|
EDITEUR |
SOLUTION |
DESCRIPTION |
| TRINTECH | CADENCY | Solution d'automatisation comptable et financière à englober toutes les activités de Record to Report en un seul processus unifié |
| CALIXYS | XREC | Solution qui permet d’effectuer des contrôles, des lettrages et des rapprochements instantanés sur les données et les comptes de l’entreprise. |
| ACA | ISIE | Solution de traduction de données inter-applicative dont l’application principale est l’interprétation et la traduction comptable et financière. Son champ d’action permet de répondre à tout type d’échanges inter-applicatifs tant sur les données applicatives de gestion que sur les éléments de référentiels |
| BLACKLINE | BLACKLINE | Solution qui aide les entreprises à moderniser leurs processus et à y intégrer du contrôle tout en leur offrant une visibilité sans précédent sur leurs processus comptables et financiers grâce à la centralisation des différentes fonctions clés sur une seule et même plateforme |
| INFOR | BIRST | Solution qui aide les entreprises à comprendre et à optimiser des processus complexes plus vite qu'avec des solutions traditionnelles |
Les ateliers avec le métier et les entretiens de pré-consultation avec les éditeurs nous ont permis d’affiner notre expression de besoin pour produire des livrables :
- Un cahier de charge : qui décrit les contextes du projet, expose les exigences fonctionnelles et les exigences techniques sur la base desquelles les éditeurs devront faire des propositions de solution
- Une matrice des exigences : une grille d’évaluation des différentes solutions proposées par les éditeurs. Cette grille liste le détail des exigences, et attribue à chacune d’elle une pondération suivant les degrés d’importance pour le métier
Et si nous parlions des autres besoins. Un peu de prospective avec nos métiers
Au fil des entretiens avec le métier d’autres besoins liés à l’objectif global d’optimisation du processus de clôture comptable ont émergé, tels que :
- La planification des tâches de clôture
- L’automatisation de la réconciliation intercos
- Centralisation des écritures manuelles
- Automatisation du lettrage des comptes non soldés
Dans le cadre de la consultation, il est prévu de privilégier des outils sur lesquels nous pourrons intégrer d’autres solutions liées à ces besoins connexes.
To be continued…
Pilotage de la performance : les pièges de prise la décision
Les systèmes décisionnels ont pour vocation d’aider à prendre de meilleures décisions. Qu’il s’agisse de logiciels de Business Intelligence, EPM ou FP&A, ils permettent de représenter des indicateurs de performance dans des tableaux de bord, des rapports web ou Excel, navigables ou non. Ils décrivent la situation, les perspectives chiffrées et sont supposés enrichir notre connaissance pour conduire à des décisions pertinentes.
La construction d’un rapport clair et explicite est le savoir-faire du contrôleur de gestion, qui connaît les règles de mise en forme et de présentation (échelle, titre, unités, couleurs, etc). La question ici est de savoir comment la décision est prise, sur quelle base, et comment la rendre pertinente. Un simple graphique conduit-il forcément à une décision rationnelle ? Sur quoi porter l’attention quand il s’agit de prendre des décisions ? Comment savoir si la décision est éclairée ou s’il s’agit d’un coup de dés ou d’un a priori qui prend la forme d’un choix rationnel ?
Dans ce document, nous identifions les causes qui peuvent conduire à de mauvaises décisions, malgré l'existence de puissants systèmes d'information. En premier lieu, nous abordons la notion de pertinence de l'information restituée, suivi par l'importance de la mise en contexte des indicateurs au moyen de références explicites. Ensuite, nous évoquons la construction d'une perspective future permettant de se positionner par rapport à plusieurs décisions possibles. Le chapitre suivant est consacré aux biais cognitifs, qui provoquent une décision erronée malgré une information fiable et disponible. Enfin, nous posons la question du rôle de la direction financière dans la prise de décision en entreprise.
Cliquez ici pour télécharger "Pilotage des performances - les pièges de la décision"
Génération Conseil fait l’acquisition d’Alsight et devient le premier partenaire d’Adaptive Insights en France
Génération Conseil fait l’acquisition d’Alsight et devient le premier partenaire d’Adaptive Insights en France, leader de l’élaboration budgétaire et du reporting en cloud.
Génération Conseil, spécialiste de l’optimisation des processus financiers, entend accélérer son développement autour du leader mondial des outils de prévisions et d’analyses financières (FP&A) en s’appuyant sur l’expertise d’Alsight, partenaire historique d’Adaptive Insights en France.
Paris, le 8 janvier 2019 – Génération Conseil, société française de conseil et d’intégration pour l’optimisation des processus financiers, annonce l’acquisition de la société Alsight, le spécialiste Adaptive Insights en France depuis 2012. Alsight représentera l’offre autour d’Adaptive Insights.
La société Adaptive Insights est classée parmi les leaders de l’élaboration budgétaire et du reporting en cloud par le cabinet Gartner. Recommandée en particulier pour sa facilité de mise en œuvre et d’administration, cette solution est devenue incontournable pour optimiser le pilotage des performances. La commercialisation, la mise en œuvre et le support en France ont été assurés par Alsight depuis 2012, puis renforcés en 2018 avec la présence de l’éditeur.
« Avec l’acquisition d’Alsight, Génération Conseil dispose désormais d’une expertise unique et des références qui vont lui permettre d’accélérer le développement de son activité. Nous entendons également accompagner Workday, qui a acheté Adaptive en 2018, dans la mise en œuvre de la solution chez ses clients, commente Cyrille Granjard, Président-Fondateur de Génération Conseil. Nous sommes présents auprès des directions financières de nos clients depuis plus de 15 ans, et nous avons rapidement compris la valeur ajoutée de la solution et l’absence de contraintes techniques pour sa mise en œuvre. Nous sommes donc heureux d’accueillir Alsight pour répondre à une demande de plus en plus forte sur ce sujet. »
« Alsight a été créée en 2012 pour proposer aux directions financières une solution innovante et encore inédite en France permettant de construire un budget et de piloter les performances », ajoute Laurent Allais, Fondateur d’Alsight. En quelques années, Adaptive Insights est devenue leader unanimement reconnue par les analystes et les clients. Avec l’augmentation des demandes en France, nous avons considéré que le moment était venu de rejoindre Génération Conseil, expert non seulement sur les métiers de la direction financière mais également sur la conduite des projets de mise en œuvre de solutions EPM et FP&A. Partageant les mêmes valeurs, nous sommes convaincus que nos clients sauront apprécier la conjugaison de nos expertises. »
A propos
Génération Conseil accompagne depuis 2001 les entreprises dans l’optimisation de leurs processus et outils de gestion tels que les ERP, les outils décisionnels et de pilotage de la performance. Les consultants disposent à la fois de compétences métiers et en systèmes d’information pour mieux comprendre les enjeux de ses clients et concevoir les solutions en parfaite adéquation avec leurs besoins. Génération Conseil est un cabinet qui préconise et qui réalise.
Alsight est depuis 2012 le spécialiste français d’Adaptive Insights, leader mondial du pilotage des performances en cloud, qui couvre tous les besoins de prévision et de reporting sans infrastructure technique. Alsight met son expertise du contrôle de gestion au service de ses clients afin de les aider à mettre en place une organisation budgétaire efficace et flexible, tout en optimisant le pilotage de leurs performances globales avec Adaptive Insights.
Adaptive Insights est au cœur d’une nouvelle génération d’outils de planification d’entreprise. Optimisant l’agilité des organisations dans un monde en rapide mutation, la plateforme Business Planning Cloud d’Adaptive Insights permet aux utilisateurs de collaborer, d’accéder à des informations pertinentes et de prendre plus rapidement des décisions appropriées. Dans les entreprises de toutes tailles, les utilisateurs amenés à planifier leurs activités bénéficient d’une puissance de modélisation
élevée doublée d’une grande facilité d’utilisation. Le siège d’Adaptive Insights est situé à Palo Alto, en Californie. Adaptive Insights est depuis 2018 filiale du groupe Workday.
Dans notre entreprise, on a testé le Reverse Mentoring !
Moi : Cyrille, peux-tu nous donner ton point de vue sur le reverse mentoring ?
Cyrille : Oui, même si, comme monsieur Jourdain, j'en ai fait sans le savoir. En fait, je ne dirais pas que j'ai fait du reverse mentoring, avec mes mots, je dirais que j'étais simplement à l'écoute de mon entreprise. Comme elle est constituée de gens jeunes et très en pointe sur les sujets de la performance.
Moi : Des collaborateurs de la génération Y...
Cyrille : Oui, si tu veux... Enfin, je ne veux pas dire que je fais partie des vieux dépassés mais il est vrai que la génération Y (j'aime bien quand il y a le mot génération dans le concept, finalement), ou les millenials pour parler comme les communicants, ont une aisance avec le numérique qui parfois me dépasse un peu. Moi, par exemple, les réseaux sociaux... J'ai même pas de Facebook... Alors c'est sûr quand vous m'avez proposé de monter un réseau social d'entreprise...
Moi : C'est pas ta culture.
Cyrille : On peut dire ça… Mais je m'y suis mis et je constate que ça marche, ça marche super bien. Avant, on avait une newsletter tous les trimestres et maintenant, dès que j'ai une nouvelle à communiquer, c'est fait en quelques secondes et tout le monde est au courant. En fait ça m'a permis de comprendre des choses fondamentales sur le rôle du chef d'entreprise. Quand j'ai créé Génération Conseil, je pensais que mon rôle était de savoir faire tout ce que faisaient mes salariés, mais mieux qu'eux. J'ai compris avec l'expérience que c'était une erreur.
Moi : Ça serait intéressant de développer ça dans une prochaine entrevue.
Cyrille : En effet... Toujours est-il que j'ai compris que mon rôle était plutôt de faire ressortir de chacun ce qu'il a de meilleur. Et de faire tenir tout ce meilleur ensemble. C'est un équilibre précaire, ça demande du temps, de la diplomatie, parfois de la fermeté, souvent du compromis mais quand on arrive au bon dosage, c'est génial. Et donc c'est en procédant comme ça que je me suis dit que le meilleur moyen de nous moderniser sur le plan technologique c'était d'être à l'écoute de ceux qui baignent dedans depuis toujours.
Moi : Et tu as un exemple de reverse mentoring efficace ?
Cyrille : Oui, le jour où un de mes jeunes collaborateurs est venu me voir avec un projet cloud CPM... On cherchait des axes de développement pour le cabinet et finalement, c'est venu d'un jeune consultant. Avec les collaborateurs du board stratégique, on s'interrogeait sur le pilotage de la performance. C'est un sujet qu'on connaît bien d'un point de vue fonctionnel mais on a tendance à penser ce sujet avec des outils de BI traditionnels, qui sont ceux qui nous sont familiers. Baptiste a demandé à faire une présentation sur le sujet et il nous a convaincus que les gros outils habituels n'étaient plus porteurs, qu'il fallait se diriger vers des outils innovants, des outils dans le cloud. C'est comme ça que nous avons signé un partenariat avec Adaptive Insights.
Moi : Tu n'aurais pas eu cette idée ?
Cyrille : Je ne pense pas… J'aurais plutôt orienté vers des outils Oracle ou SAP. Mais ce partenariat avec Adaptive Insights est beaucoup plus intéressant pour plusieurs raisons. La première, c'est qu'Adaptive est un leader au niveau mondial mais un outsider sur le marché français. Donc, nous nous sommes retrouvés sur ce positionnement d'outsider. Quand j'ai rencontré les partners américains, ils étaient bien conscients qu'avec nous ils allaient avoir accès à quelques grands comptes, quelques grandes références sur le marché français, mais que nous n'avons pas la force de frappe des gros cabinets de conseil. Leur stratégie et la nôtre, c'est d'agir en outsider et de compter sur la pertinence du produit et des consultants pour intégrer le marché. Nous sommes confiants dans nos forces : un produit ultra performant et des équipes super compétentes. Nous n'avons pas un grand nom connu qui nous permet de vendre sans effort. Nous ne pouvons nous reposer que sur notre efficacité. Et cette façon de voir les choses, je ne l'aurais pas perçue de cette façon sans les plus jeunes de notre cabinet, qui s’investissent à fond sur ce projet de partenariat.
Moi : C'est à dire ? Tu avais perdu ton esprit entrepreneurial ?
Cyrille : Non, mais après une mésaventure sur la conception de logiciel (mais c'est aussi une autre histoire), j'étais revenu sur les fondamentaux. Tout mon projet était de refaire la belle histoire de Génération Conseil sans refaire les erreurs... J'ai eu la chance que Génération Conseil, malgré la crise, survive à toutes les vicissitudes. J'avais à cœur de stabiliser la société. Du coup, se relancer sur un projet comme ça, sans savoir où on allait... C'était une bonne chose que ça soit un mouvement interne, profond. Mais toi tu as fait pareil finalement, quand tu as monté les ateliers autours de projets de communication.
Moi : Oui, c'est vrai, quand on a fait le premier groupe de travail pour repenser la communication du cabinet, j'ai invité tout le monde à participer. Moi, j'ai une culture classique, une culture de l'écrit mais au cours du brainstorming, les plus jeunes du cabinet ont tout de suite proposé de faire des vidéos. Ça ne me serait jamais venu. Pour moi, faire une vidéo, c'est compliqué, ça veut dire faire appel à une boîte qui va venir filmer, on va préparer un discours institutionnel hyper convenu, etc... Pour eux, c'est un Iphone et une perche à selfie et hop... Du coup, on a lancé ça. Esprit startup !
Cyrille : Exactement. Moi, j'ai pris sur moi et je me suis dit que si on ne prenait pas de risque, ça ne valait pas la peine. Et j'ai eu raison. Il faut écouter les idées de tous les collaborateurs qui veulent s'investir dans un projet. Après, le reverse mentoring, c’est encore mieux s’il n'est pas que reverse. L'équipe qui a travaillé au final sur le partenariat Adaptive a moins de 30 ans de moyenne d'âge. Mais j'ai pu aussi leur apporter mon expérience de créateur d'entreprise. Leur indiquer les pièges, là où les investissements sont inutiles et là où ils sont rapidement rentables. Bref, plus que du reverse mentoring, que pense que ça a été du "complementary learning"... Nous ne sommes pas des business angels et on ne peut pas se permettre d'investir à perte. Il faut que ces projets innovants soient du gagnant-gagnant, pour nous, pour le partenaire et pour le client qui doit s'y retrouver, sans quoi toute cette stratégie sera un échec.
C'est une belle conclusion, chacun apporte son expérience pour la réussite d'un projet. Quel que soit le statut qu'on a dans l'entreprise, finalement, on a tous des choses à apporter à la croissance et au développement des projets. Il suffit de savoir s'écouter. Les millenials doivent avoir voix au chapitre car en tant que natives digital ils sont dans un situation idéale pour "sentir" ce qui sera l'innovation clé pour les entreprises mais l'expérience de 15 années à la tête d'une société de conseil donne un recul et une "vista" qui permettent d'éviter les pièges de l'"investissement à l’enthousiasme". Merci Cyrille pour cet entretien et à bientôt pour continuer à nous faire partager ton expérience de chef d'entreprise.
Caroline Combe
La DGSI nous donne une leçon de sécurité
Compte rendu de la conférence CINOV-IT du 8 juin 2017 – La sécurité des données de l’entreprise à l’ère du Cloud Computing et des objets connectés
Par T.Benoit, G.M. Kamche, C.Combe Génération Conseil
Quand l'intervenant de la DGSI a pris la parole en nous demandant de ne pas filmer ou photographier son intervention, ça faisait un peu James Bond mais on a écouté tout de même attentivement...
Chacun d’entre nous pense qu’il est prudent avec ses données mais en quelques secondes, il en savait plus sur nous que nous l’aurions cru. Il avait tout simplement mis son téléphone en point d’accès partagé et nombre d’entre nous s’y étaient connectés. A partir de là, il avait nos IP mais également pour certains, tout l’historique de géolocalisation plus d’autres infos tout aussi personnelles. Ainsi un participant a vu exposer qu’il avait été dans un hôtel au Luxembourg, qu’il avait sans doute de la famille à Orléans, l’adresse de sa société etc… Puis l'intervenant a décrit les différentes méthodes pour craquer et voler des données à partir des habitudes de vie de chacun et ce que peut en faire une personne malveillante. Ça donne froid dans le dos.
En clair, si la partie technique est importante, les processus internes à l’entreprise et les bonnes pratiques en matière de sécurité des données le sont tout autant.
C’est bien d’avoir des données cryptées, anti-virus, VPN, mais si on ne verrouille pas sa session en allant aux toilettes tout ceci ne sert à rien et l’erreur humaine est la première cause de fuite d’informations dans une entreprise.
Un autre speaker nous a montré des photos qu’il avait prises dans les transports en commun de personnes lisant des documents barrés d’un beau CONFIDENTIEL mais parfaitement lisibles…
Les autres intervenants n’ont fait que confirmer ce constat. La donnée est importante et la sécurité de la donnée est primordiale.
Qu’en retenir
- Vecteurs principaux de fuite de données
- Les personnes qui ont un rôle « Admin ». Lorsqu’un hacker souhaite voler de l’information ou atteindre une entreprise par tous les moyens, il va avant tout vérifier quelles sont les personnes qui ont un rôle « Admin » et diriger ses attaques vers cette personne.
- Les processus qui ont de la valeur pour une entreprise. Ce sont les processus clés d’une entreprise qu’un Hacker va viser en premier.
2. Méthode d’approche pour vérifier l’efficacité d’une entreprise pour sécuriser ses données :
- Vérifier si des normes/règles métiers existent au sein de l’entreprise
- Définir les processus critiques qui ont de la valeur pour l’entreprise
- Analyser si le recoupement de données est possible dans une entreprise (2 données non critiques séparément peuvent le devenir en les recoupant)
- Lister si des moyens techniques de défense ont été mis en place par l’entreprise
3. Les aspects juridiques sont primordiaux dans la sécurité des données :
Actuellement, l’Union Européenne met en place un cadre juridique concernant la sécurité des données au sein des entreprises pour responsabiliser les acteurs et pouvoir pénaliser les entreprises n’ayant pas mis tout en œuvre pour éviter la fuite d’informations critiques.
En mai 2018, la France mettra en application le Règlement Général sur la Protection des Données (RGPD) pour « renforcer les exigences sur la sécurité et les activités de traitement des données personnelles ».
La RGPD est issue de la directive Network and Information Security (NIS) adoptée en mai 2016 par l’Union Européenne qui vise à :
- Renforcer les capacités nationales de cybersécurité
- Etablir un cadre de coopération volontaire entre Etats membres de l’UE
- Renforcer par chaque Etat la cybersécurité « d’opérateurs de services essentiels »
- Instaurer des règles européennes communes en matière de cybersécurité des prestataires de services numériques
Pour compléter la RGPD, la directive E-privacy adoptée en 2017 couvre le périmètre des communications entre entreprises et celles ne contenant pas de données personnelles notamment sur la gestion des métadonnées qui doivent désormais être « anonymisées » systématiquement. La CNIL surveille tout particulièrement cette obligation d’anonymisation des données chez certaines entreprises comme les prestataires informatiques.
Quand on va vers le cloud, quelles sont les questions à (se) poser ?
- Quelles questions poser à son fournisseur concernant la sécurité des données ?
- Des serveurs dédiés sont-ils consacrés au stockage des données ? Y-a-t-il une segmentation entre les données de nos clients et les autres données ?
- Qui aura la capacité de consulter ces données ?
- Comment nous assurez-vous l’identification des données dans le cas où un client souhaiterait sortir du Cloud ?
- Pouvez-vous géolocaliser les serveurs où sont stockées les données de nos clients ? (L’Union Européenne tend à obliger les prestataires informatiques à donner la géolocalisation des serveurs)
2. Quels documents/clauses doit-on faire signer à ses clients/fournisseurs pour disposer de garanties juridiques ?
Des « plans d’assurance sécurité » existent pour se couvrir mutuellement et s’assurer que tout est mis en œuvre pour renforcer la sécurité des données. Par ailleurs, il est conseillé de faire appel à un juriste spécialisé dans le cas d’un hébergement des données hors Union Européenne.
Il est également recommandé de vérifier si le client dispose d’une charte de protection des données pour limiter les risques en interne et garantir que le client lui-même met tout en œuvre pour protéger ses données.
Génération Conseil est partenaire d’Adaptive Insights, le leader mondial du pilotage de la performance dans le cloud (cloud CPM)
Notre approche sur ces questions de sécurité est :
- L’identification des processus critiques et des acteurs clés pour favoriser la mise en œuvre des moyens pour sécuriser les données échangées avec Adaptive Insights
- La conformité (via un Plan d’Assurance Sécurité) avec les meilleures pratiques en vigueur
- Une vigilance et une veille active sur les normes de sécurité en vigueur et les nouvelles normes à paraître dans un contexte en constante évolution