Let s Talk. Le magazine BT dédié aux décideurs IT CYBER-RISQUE DÉVELOPPEMENT DURABLE

Transcription

1 Let s Talk Le magazine BT dédié aux décideurs IT CYBER-RISQUE Les résultats de l étude mondiale BT DÉVELOPPEMENT DURABLE En route vers la croissance verte? DONNÉES PERSONNELLES Toutes les clés pour garantir leur sécurisation #1 - Juin 2014

2 Sommaire juin 2014 Éditorial De Jérôme Boillot, PDG BT France. 3 Bienvenue! Précurseurs du développement durable : qui seront les gagnants de l Histoire? Niall Dunne s interroge sur la notion de croissance durable, véritable réservoir d innovation. 4 Reconsidérer le risque informatique Une étude mondiale menée par BT sur la perception du cyber-risque en entreprise met en lumière de fortes disparités régionales. 8 Cybersécurité : l affaire de tous Charles Fox, Enterprise Architect chez BT, revient sur le risque spécifique associé aux infrastructures cloud. 12 Sécurité des données personnelles : améliorer leur protection et limiter les risques en trois étapes Une feuille de route dédiée aux RSSI par Damien Leduc, responsable de l équipe audits de sécurité & tests d intrusion de BT en France. 16 De nouvelles capacités de Data Center pour BT L inauguration de son nouveau Data Center parisien offre à BT un socle fonctionnel de premier plan. 18 Nyrstar refond son SI à l international et dope son efficacité Le témoignage d Erwin von Dölling, responsable de l infrastructure informatique chez Nyrstar, l un des leaders mondiaux de l industrie minière. 20 Je suis ravi de vous présenter le premier numéro de notre magazine «Let s Talk». Ce nouveau titre a pour ambition de vous accompagner dans votre veille et votre réflexion stratégique et également de partager notre vision sur les transformations à l œuvre dans le paysage technologique. Le contexte est en effet on ne peut plus pro pice à une réflexion conjointe autour des grands enjeux de la conception et de l exploitation des environnements IT. La maturité croissante des offres cloud et la multiplication des services associés, l évolution de la menace informatique, la transformation continue des usages et des attentes des directions opérationnelles contribuent à former un paysage passionnant, mais aussi éminemment complexe, que les DSI se doivent de prendre en compte à sa juste mesure. Comment appréhender ces changements pour en faire des vecteurs de transformation pour l entreprise? Comment concevoir les services et les réseaux qui les soutiennent à même de porter la croissance de demain? Comment garantir la disponibilité et la sécurité des données critiques tout en garantissant leur conformité? Autant de questions qu il nous a paru pertinent d aborder dans ce nouveau magazine et que vous découvrirez au fil de ces pages. Vous retrouverez également une tribune de Niall Dunne, directeur du développement durable chez BT, et découvrirez dans le détail comment un acteur majeur de l industrie minière a refondu son SI afin d améliorer la performance de ses équipes à l échelle mondiale. Bonne lecture, Jérôme Boillot, Président Directeur Général, BT France 2 3

3 Niall Dunne, directeur des questions de développement durable chez BT Précurseurs du développement durable : qui seront les gagnants de l Histoire? Opposer entreprises et partisans du développement durable n a plus nécessairement de sens. Pour Niall Dunne, directeur des questions de développement durable chez BT, les grandes entreprises sont potentiellement un levier important pour changer le monde. Niall a consacré sa carrière à aider les entreprises à définir et à mettre en place leurs objectifs dans ce domaine, et il jouit d une influence mondiale sur ce sujet. Il siège en effet au Forum économique mondial en qualité de vice-président du Conseil sur la consommation durable. Nous l avons interrogé sur la place du développement durable dans cette ère de crise mondiale et de boom des prix de l énergie. Niall, pouvez-vous nous expliquer en quoi consiste votre rôle de directeur du développement durable? Chez BT, nous avons défini six priorités stratégiques pour la croissance, dont celle de devenir une entreprise pilote en matière de développement durable. J ai la responsabilité de m assurer que nous atteignons cet objectif. Pour cela, il est primordial de bien comprendre ce que signifie maîtriser la durabilité, puis de traduire ces connaissances en stratégies réellement applicables. Cela fait maintenant près de deux ans et demi que vous occupez ce poste ; vous étiez auparavant chez Saatchi & Saatchi. Rétrospectivement, qu avez-vous appris de cette double expérience? Le changement a été assez incroyable. Je suis passé d une simple agence à une grande multinationale qui partage la même idéologie que moi, qui m a permis de réfléchir profondément à ce que la maîtrise du développement durable représente et, avant tout, qui met à ma disposition les ressources nécessaires pour donner naissance à la vraie durabilité, non seulement au sein de la société mais aussi audelà. C est une opportunité fantastique et je pense que, pour l instant, BT ne fait qu effleurer son potentiel. Cela dit, lorsque j étais chez Saatchi & Saatchi, j ai pu constater comment certaines sociétés telles que Walmart et Toyota peuvent aller vers la durabilité, particulièrement en temps de crise. Néanmoins, la plupart des entreprises ont tendance à mettre du temps à évoluer et, même lorsqu elles sont en danger, échouent souvent dans leur transition. Il est difficile d imaginer la forme que ces entreprises auront prise dans vingt ans. Au niveau du conseil d administration et de la direction du groupe, ce que nous faisons est très apprécié mais nous devons faire en sorte que notre engagement se répercute efficacement dans toute l entreprise. Nous devons nous assurer que les directeurs généraux, les directeurs nationaux et les autres dirigeants soient réellement et sincèrement engagés dans cette direction, et ne la considèrent pas comme une option. On a souvent tendance à s atteler aux questions de développement durable lorsqu on en a le temps, ou lorsqu on a fini notre travail quotidien. J essaie au contraire de faire comprendre à tous que cela doit faire partie intégrante de notre journée de travail, pour tous les collaborateurs et à travers toutes nos technologies, et que c est ainsi que nous ferons la différence. Lorsque l on regarde au niveau mondial, on constate qu il existe encore 4,4 milliards de personnes qui ne sont pas connectées, en particulier sur les marchés émergents. La plupart de nos clients les plus importants cherchent à se développer sur ces marchés mais ils ne pourront y parvenir sans connectivité. On ne peut pas s attaquer à ces défis en suivant simplement une démarche de responsabilité sociale d entreprise (RSE), qui est une approche basée sur les centres de coûts : on dépense de l argent pour aider certaines personnes et c est terminé. Alors que si on considère cette approche comme une opportunité commerciale, un moyen de gagner des revenus, alors il est possible d aider tout le monde. Le développement durable semble prendre différentes formes : la méthode du «berceau au berceau», l économie circulaire, le capitalisme naturel, etc. Que pensez-vous de tous ces concepts? Que doit-on en faire? En réalité, il existe un grand nombre de très bons concepts et ceux «du berceau au berceau», de l économie circulaire, de l économie du partage et du capitalisme responsable en font partie. Une grande partie de ces concepts séduisent les entreprises et les gouvernements mais la plupart d entre eux n ont pas encore réussi à attirer le grand public et en particulier les jeunes. Je pense que ces concepts se sont développés depuis l espace B2B mais sans penser au consommateur, ce qui limite leur portée. Celui qui se démarquera et qui recevra le plus de reconnaissance dans l Histoire sera celui qui parviendra à impliquer le grand public avec succès partout dans le monde. Et ce sont les jeunes qui représenteront le test ultime. Nous devons trouver un langage et un récit qui fonctionnent pour les jeunes car ce sont eux qui porteront le changement. Et comment BT relève-t-il ce défi? Premièrement, nous partons du principe que les Technologies de l information et de la communication (TIC) peuvent faire plus de bien que de mal. Dans un rapport appelé Smart2020, sur lequel nous avons travaillé ces deux dernières années, nous avons montré que, si les TIC étaient déployées de façon plus efficace et plus largement partout dans le monde, les émissions mondiales de carbone pourraient être réduites de 16 %. Malgré ce fait stupéfiant, aucun acteur du secteur n a encore clairement exposé la façon dont il comptait atteindre cet objectif, sa méthodologie, ses mesures et la façon dont il compte lier tout cela à sa stratégie de croissance. C est pourquoi, sous la direction de notre président précédent, Ian Livingston, nous avons lancé le programme NetGood, qui consiste à développer notre entreprise en réduisant ses émissions de carbone plutôt qu en les augmentant. Il s agit simplement d appliquer les principes du rapport Notre engagement est d aider nos clients à réduire de 300 % la quantité de carbone rejetée par leur entreprise Smart2020 à tous nos lancements de produits ou de services. La clé de cette stratégie est notre engagement à aider nos clients à réduire de trois fois la quantité de carbone que leur entreprise rejette au final. En d autres termes, nous prenons nos responsabilités sur toute notre chaîne de valeur, en englobant nos fournisseurs, nos propres opérations, ainsi que nos clients. Nous avons calculé que dans notre portefeuille actuel, qui pèse environ 2,8 milliards d euros, notre technologie permet de retirer du carbone de l atmosphère. Le simple fait que BT existe réduit donc le volume de carbone dans l air. Mais ce n est pas suffisant. Nous souhaitons nous développer et quasiment tripler l impact de ce portefeuille afin de nous hisser jusqu à ce rapport de trois pour un. Nous devons également nous concentrer très fortement sur l innovation, tout particulièrement dans les domaines du cloud computing, des villes intelligentes, des réseaux électriques intelligents, de l internet des objets, etc. Nous devons nous assurer que notre technologie, alors que notre entreprise se développe, aide réellement le monde à faire plus avec moins. 4 5

4 Niall Dunne, directeur des questions de développement durable chez BT Vous avez mentionné le cloud computing ; comment peut-il aider à atteindre les objectifs de développement durable? Les Nations Unies et de nombreux gouvernements du monde entier se sont concentrés sur le développement durable suivant les «Objectifs du Millénaire» définis par les Nations Unies, qui nous mèneront jusqu en La suite est en cours de préparation et je pense que des éléments tels que le cloud computing, le big data et les méthodes analytiques joueront un rôle primordial dans notre capacité à atteindre ces objectifs. Par exemple, notre plateforme cloud, BT for LifeSciences, nous permettra de générer et de traiter des données tangibles autour des défis mondiaux de la santé et ainsi de contribuer concrètement au développement durable. De la même façon, d autres services basés sur le cloud comme BT Trace, qui fournit aux entreprises une grande visibilité sur leur chaîne d appro visionnement, aideront les entreprises à prendre de meilleures décisions à propos de leur utilisation énergétique et à économiser de l argent tout en réduisant leurs émissions de carbone. Je suis persuadé que nous n avons fait qu effleurer la puissance et le potentiel du cloud en la matière. Lors d une conférence récente, vous avez expliqué que les enfants comprennent mieux le fonctionnement du monde et qu ils «agissent localement mais pensent globalement». Que voulez-vous dire par là? Les enfants sont depuis toujours les principaux bénéficiaires de notre monde connecté. Si l on ne considère que la Chine, il existe 500 millions de personnes connectées issues de la génération Y et qui utilisent des réseaux sociaux tels que Weibo et QQ. Les jeunes s approprient ces différentes plates-formes pour partager des expériences et leurs opinions sur les marques qui sont durables ou non. Ils veulent voir des entreprises avec des valeurs et n hésitent pas à utiliser leurs réseaux dans ce but. Par exemple, aux États-Unis, des jeunes ont lancé une campagne appelée #FitchtheHomeless afin de dénoncer le fonctionnement non-éthique de la marque Abercrombie & Fitch. Ils ont réussi à mobiliser les consommateurs grâce à une campagne numérique convaincante. Cela a eu un effet direct sur les revenus bruts de l entreprise mais a également provoqué une révolte parmi les actionnaires. Les jeunes du monde entier ne sont pas seulement connectés, ils sont aussi pleinement conscients des questions éthiques et environnementales. Ils recherchent des marques qui font face aux problèmes, et récompensent ensuite celles qui intègrent cet état d esprit dans leur proposition commerciale. Tout cela est-il lié à la difficulté des entreprises à séduire les jeunes? Comment les marques peuvent-elles attirer des jeunes et les impliquer dans les questions de durabilité? Aux États-Unis, il existe de nombreuses marques, telles que Chevrolet, Cadillac et Marriott, qui parlent aux baby-boomers mais qui ont perdu tout intérêt auprès de cette jeune génération. Parallèlement, de nouvelles marques alternatives sont en train d émerger, telles que ZipCar et Airbnb, et perturbent l ordre établi. Pourquoi acheter une voiture ou aller dans un hôtel quand l économie de partage offre tel- lement d alternatives alléchantes? Internet permet la naissance de nouveaux modèles transgressifs de plus en plus nombreux et ce sont eux qui nous montrent la voie à suivre. Si les marques traditionnelles veulent renouer avec la jeune génération, elles ont intérêt à s éloigner du marketing pour élaborer leur stratégie en collaboration avec leurs nouveaux acheteurs. Les marques doivent s appuyer davantage sur les canaux numériques afin de créer de nouvelles expériences et, dans de nombreux cas, cela leur permettra d apprendre de ces nouveaux modèles. L une des principales enseignes de bricolage du Royaume-Uni, Kingfisher, embrasse ouvertement l économie de partage en la décrivant comme la clé de l avenir de l entreprise. Cette société voit une réelle opportunité dans un modèle selon lequel les consommateurs échangent en tant que communauté : ils partagent le matériel de bricolage, comme les perceuses ou autres outils utilisés très occasionnellement, et s entraident pour utiliser ce matériel de façon plus efficace. Si vous avez envie d innover et de changer vos stratégies marketing, je pense qu il existe de fantastiques opportunités pour les marques traditionnelles d impliquer les jeunes. Avez-vous d autres exemples de marques traditionnelles qui sont sur le bon chemin? Pour moi, les pionniers en la matière sont les sociétés comme Unilever, Nike, Kingfisher, Marks & Spencer et BT. Par ailleurs, Coca-Cola et SAB Miller mettent en place beaucoup de choses en ce qui concerne la gestion de l eau. Nike se démarque en innovation de produit grâce à son application de l économie circulaire à sa propre échelle. M&S a fait ses preuves en appliquant des initiatives telles que le Schwopping, selon laquelle les consommateurs donnent un vêtement à une œuvre de charité à chaque fois qu ils achètent quelque chose de neuf. Notre propre projet NetGood a été très bien accueilli et nous avons fait énormément de progrès depuis son lancement. 4,4 milliards de personnes ne sont toujours pas connectées, en particulier sur les marchés émergents. La plupart de nos clients les plus importants cherchent à se développer sur ces marchés mais ils ne pourront y parvenir sans connectivité Niall Dunne, directeur des questions de développement durable chez BT Cette année, au forum de Davos, Coca-Cola, Unilever, M&S et BT ont lancé une stratégie collaborative qui nous permettra d impliquer les jeunes générations d une façon plus efficace que jamais. il s agit probablement de l initiative la plus médiatique parmi celles annoncées lors de la réunion de Davos et elle a suscité l intérêt de nombreuses sociétés internationales qui s efforcent de séduire les jeunes. Pouvez-vous nous parler un peu plus de ce projet? En nous appuyant sur une méthodologie totalement nouvelle, nous avons mis en lumière le fait que les jeunes souhaitent vraiment avoir un rôle à jouer et qu ils récompenseront les marques qui sauront les impliquer d une façon significative et réfléchie dans les questions de durabilité. Nous avons également découvert qu ils se reposent énormément sur des medias non-traditionnels comme Tumblr et Vice, et qu ils se détachent même, dans certains cas, de Facebook et Twitter. C est pourquoi nous allons nous concentrer sur les canaux non-traditionnels. Nous comptons mettre toutes nos ressources sur la table et faire en sorte qu il ne s agisse pas que d une campagne exceptionnelle mais bien d un réel mouvement. Vous semblez optimiste. En cette époque de crise continue et de boom des prix du pétrole et du gaz, le développement responsable n est-t-il pas remisé au second plan? Il semblerait que nous ayons atteint une période de stagnation. La dernière étude du Pacte Mondial des Nations Unies, menée auprès des présidents directeurs généraux et réalisée par Accenture, a montré des attitudes plus réservées concernant le développement durable. Les personnes concernées réalisent tout simplement que c est un pari très difficile. Il est facile d obtenir des résultats rapides dans des domaines tels que l efficacité énergétique, pour éliminer les gaspillages les plus évidents. Mais ensuite, il faut s engager sur des enjeux plus complexes, afin de décider de la manière d utiliser différemment le capital, avec une vision à long terme. Pour ce faire, les responsables en interne ont besoin d un soutien fort de leur hiérarchie, car ils doivent prendre des décisions ardues. Une nouvelle génération de dirigeants voit le jour, notamment chez BT. Ces derniers vouent un engagement sans faille à ces objectifs, car ces concepts font partie intégrante de leur vision du monde. Notre rôle est de leur apporter notre énergie et de faire en sorte qu ils disposent des ressources et du soutien dont ils ont besoin pour concrétiser ces objectifs. Vous lancez donc un appel à l action? Je voudrais entendre d autres points de vue de personnes de notre secteur ou d autres, qui souhaitent participer à ce mouvement, qui pensent qu ils ont une contribution significative à apporter mais n ont pas encore eu l opportunité de le faire. En restant connectés, nous pouvons nous aider et apprendre les uns des autres, nous pouvons devenir plus efficaces et répondre à ces défis. Si vous êtes un dirigeant déterminé, si vous pensez que vous pouvez changer le monde à travers l entreprise et surtout à travers la technologie, alors réfléchissons à ce que nous pouvons réaliser ensemble. Je suis joignable sur Facebook (facebook.com/nialldunne) et Twitter (@bluniall). 6 7

5 Reconsidérer le risque informatique - les résultats de l étude BT Reconsidérer le risque informatique BT vient de publier les résultats d une étude mondiale sur la cybersécurité en entreprise. Ce travail de fond, mené auprès de plus de 500 entreprises dans le monde entier, offre de nombreux enseignements sur la place stratégique acquise par les questions de sécurité IT, et met en lumière de fortes disparités en termes d appréhension et de perception du risque. Dans un paysage IT plus consumérisé que jamais, le périmètre couvert par les solutions technologiques ne cesse de s étendre. Des environnements potentiellement privés ou stratégiques se trouvent ainsi intégrés de fait dans le système d information de l entreprise. Dans ce contexte, et alors que bon nombre d utilisateurs de ces solutions ne mesurent pas nécessairement les implications de leurs pratiques en matière de sécurité informatique, c est aux responsables IT de prendre, en amont, les mesures nécessaires afin de limiter les risques. Problème, ces dispositifs, qu ils soient d ordre technologiques ou organisationnels, nécessitent une forte implication des équipes opérationnelles et un sponsoring important de la part des directions métier. Les enjeux financiers et logistiques sont en effet souvent lourds et peuvent paraître disproportionnés aux yeux d une population peu au fait du cyber-risque. C est pour mesurer la maturité des entreprises en matière d appréhension du risque, et donc leur capacité à y faire face, que BT a interrogé plus de 500 décideurs IT dans le monde. Les résultats de cette vaste étude sont édifiants et mettent en évidence un retard encore important bien que variable en fonction des pays en terme de prise de conscience du risque IT. Le cyber-risque est une préoccupation majeure pour le CEO de mon entreprise. L étude met en lumière de très fortes disparités dans la façon dont les DSI perçoivent l appréhension du risque par les dirigeants de leurs organisations. Europe Amériques Asie/ Pacifique 20 % 28 % 44 % 18% d un des utilisateurs prennent en compte la question de la sécurité IT lors de la conception projet d entreprise Premier enseignement, et non des moindres, de cette étude : les dirigeants d entreprises sont encore une stricte minorité à considérer la cybersécurité comme une priorité majeure. Un chiffre qui peut surprendre au lendemain du scandale Prism et qui cache de fortes disparités régionales : 44 % des CIO américains estiment que la sécurité figure parmi les priorités de leur hiérarchie alors qu ils ne sont que 20 % à partager ce point de vue en Europe. Là encore, difficile de ne pas voir dans cette différence la marque du contexte tendu à l époque entre les deux continents. Une nette majorité (58 %) des répondants s accordent toutefois à estimer que leur entreprise sous-estime l importance de la sécurité IT. Une responsabilité trop peu partagée Du côté des métiers, premiers utilisateurs des solutions mises en œuvre et pilotées par la DSI, on semble considérer que l intégrité des données et des terminaux est une évidence et qu à défaut, leur sécurisation est du ressort du service informatique. Seuls 23 % des répondants estiment que leurs collègues non informaticiens considèrent la sécurité comme un véritable enjeu, et ils ne sont que 18 % à considérer que les équipes opérationnelles prennent en compte la question de la sécurité IT lors de la mise en œuvre d un projet d entreprise. Qui assume, en dernier ressort, la responsabilité en terme de cyber-risque dans votre entreprise? La responsabilité n est pas équitablement répartie en cas de crise. Malgré une présence non négligeable des métiers, les CIO restent globalement les garants de la cybersécurité dans leur entreprise 15 % 9 % 1 % 75 % CIO/directeurs IT Responsables métier CEO Autres En cas de difficulté ou de crise majeure, ils sont 75 % à se tourner vers la DSI, contre seulement 9 % à considérer que celle-ci est du ressort de la direction générale. Les 16 % restants se répartissent entre différents responsables de service. Heureusement, la prise de conscience semble engagée, et de nombreuses entreprises ont entamé une véritable démarche de sensibilisation de leurs collaborateurs aux questions de sécurité. Il faut dire que la majorité des organisations considèrent que la principale menace qui pèse sur leur patrimoine 8 9

6 Reconsidérer le risque informatique - les résultats de l étude BT Résultats globaux Pensez-vous que vos dirigeants sousestiment l importance de la cybersécurité? informationnel provient de l intérieur (qu elle soit intentionnelle ou non), et que la sensibilisation régulière des utilisateurs aux enjeux de sécurité constitue la meilleure défense contre la perte ou le vol de données. La majorité (58 %) des entreprises interrogées organisent régulièrement des campagnes d information et de sensibilisation à destination de leurs salariés, et seules 11 % n ont pas l intention de mettre en place ce type de programme. On peut donc raisonnablement s attendre à ce que l appropriation de la notion de risque conduise à terme à une meilleure répartition de la responsabilité en cas de crise. On note pourtant encore un important décalage entre la perception du risque et les mesures effectivement mises en œuvre pour prévenir ou limiter ses effets. De nouveau, de fortes disparités régionales se font jour : 59 % des entreprises américaines considèrent la sécurité IT comme un enjeu majeur tandis qu elles ne sont que 28 % en Europe. Toutes s accordent toutefois pour admettre la réalité du risque, à des niveaux divers. Elles ne sont cependant que 43 % à prendre des mesures actives et engagées pour garantir leur protection. En cause principalement, la grande volatilité des risques. Bon nombre de RSSI estiment ainsi que face à la multiplication et au renouvellement permanent des formes d attaque, la réponse au risque doit davantage être traduite par des mesures organisationnelles que par des investissements technologiques. Les cadres et le top management sont-ils sensibilisés à la question du cyber-risque? La mécanique est enclenchée. Une large majorité des cadres dirigeants sont actuellement formés au risque IT, et de nombreux programmes sont en cours ou prévus. Dans l idéal, quels chantiers mettriez-vous en œuvre pour protéger votre entreprise des cyberattaques? Les responsables IT ne sont pas démunis face au cyber-risque. Interrogés sur les mesures préventives à mettre en œuvre, ils focalisent leur attention sur une réponse mêlant technologie et sensibilisation des utilisateurs. Refonte des infrastructures Formation des collaborateurs Sous-traitance spécialisée Listes blanches Virtualisation Autres 31 % 11 % 58 % Oui Non, mais ils le seront prochainement Non, rien n est prévu 1 % 54 % 49 % 47 % 75 % 74 % 58% oui 42% non Second point relevé par les répondants, la grande variété des menaces. Le risque accidentel, lié à une erreur interne, figure en première position des dangers perçus, et ce à l échelle mondiale (65 %), mais il est talonné par l hacktivisme (63 %), les malveillances (63 %) et le crime organisé (53 %). Les natures très diverses de ces menaces, qui appellent chacune une réponse spécifique, illustrent bien la difficulté de mettre en place une réponse adaptée. Et ce d autant plus que la perception de ces risques varie encore une fois très fortement en fonction des régions du globe. Aux États-Unis par exemple, le risque terroriste est pris très au sérieux par les décideurs IT (72 %), mais nettement moins en Europe, et particulièrement au Royaume- Uni, où ils ne sont que 12 % à l évoquer. En termes de perspectives, cette fois, on constate une belle unanimité : plus de la moitié des répondants considèrent que les risques les plus susceptibles de s aggraver au cours des douze prochains mois sont l hacktivisme et les malveillances internes à l entreprise. Des réponses variées Il est intéressant de noter que, contrairement à des tendances observées précédemment, le coût initial n est plus un frein à l adoption de solutions de sécurité. Le marché comme les dirigeants ont atteint un niveau de maturité suffisant pour envisager ces déploiements comme des investissements nécessaires, et la plupart des entreprises sont désormais capables de mesurer le ROI de leurs infrastructures. Une telle finesse dans l analyse financière reste cependant l apanage des États-Unis et de l Allemagne (respectivement 90 et 88 % des entreprises mesurent le ROI de leurs solutions de sécurité), loin devant la France (64%) ou le Royaume-Uni (21 %), par exemple. À la question «dans un monde idéal, quels chantiers mettriez-vous en œuvre pour protéger votre entreprise des cyberattaques», 75 % des décideurs interrogés citent la remise à niveau de leurs infrastructures de sécurité, juste devant la formation de l ensemble des collaborateurs aux meilleures pratiques (74 %). La moitié des répondants envisagent de confier à une entreprise tierce le management de leur sécurité en l engageant sur des SLA. Parmi les réponses les plus données, citons également le recours plus régulier à des listes blanches ou encore le développement des environnements virtualisés, pour accroître l étanchéité des systèmes. On mesure bien, à la lecture des résultats de cette étude, l importance de l environnement géographique, économique, réglementaire mais également politique des entreprises dans leur appréhension du cyber-risque. La réponse à ces préoccupations doit donc nécessairement passer par une remise en perspective de la réalité de la menace, et par l adoption de solutions parfaitement adaptées au périmètre de chaque organisation. Les entreprises, quelle que soit leur taille, ont tout intérêt à s appuyer sur des compétences dédiées, à même de déployer une méthodologie complète et éprouvée, pour faire face à un risque plus mouvant que jamais. Sécurité : l exception culturelle française? Si l étude menée par BT se distingue par un aspect, au-delà de l exhaustivité des données analysées, c est bien par les fortes disparités qu elle met en lumière. D un pays à l autre, et parfois au sein d une même zone géographique, le rapport au cyber-risque et les réponses mises en œuvre varient considérablement. Ces différences d approche peuvent surprendre, tant la menace apparaît globale et relativement cohérente, mais elles s expliquent par le rapport spécifique de chaque région à la menace sécuritaire. Du fait de leur passé récent, les États-Unis sont ainsi logiquement plus sensibles à la question du terrorisme que le Brésil, de même que les questions de confidentialité des données sont généralement envisagées de façon plus aiguë en Europe qu en Asie, par exemple. Dans ce panorama global, la France est rarement en pointe, que ce soit en termes d appréhension du risque par les non informaticiens ou de déploiement de solutions de sécurité. Moins des deux tiers (64 %) des entreprises françaises sont ainsi capables d évaluer le retour sur investissement (ROI) de leurs mesures de cybersécurité, contre près de neuf sur dix (88 %) en Allemagne. Moins de la moitié (48 %) des dirigeants en France suivent des formations en sécurité informatique, contre 86 % aux États-Unis. Quels sont les principaux risques IT qui pèsent sur votre organisation? Les risques perçus ont beau être de nature variée, des tendances marquées émergent cependant. Ainsi, si le risque accidentel figure en tête des préoccupations de la plupart des DSI français, il serait devancé à moyen terme par les malveillances internes, comme la fuite intentionnelle d informations. Risque accidentel Hacktivisme Malveillance interne Crime organisé Contexte international Terrorisme 24 % 21 % 35 % 45 % 41 % 35 % 47 % 43 % 36 % 59 % 59 % 49 % Actuellement À un horizon d un an Résultats français Pensez-vous que vos dirigeants sous-estiment l importance de la cybersécurité? 64% oui 36% non La différence dans les niveaux de préparation est corrélée à l attitude face aux menaces de cybersécurité. Les menaces non malveillantes au sein de l entreprise (comme la perte accidentelle de données) sont les craintes les plus fréquemment citées au niveau mondial. Elles sont considérées comme une menace sérieuse par 65 % des décideurs IT. En France, ce chiffre descend à 59 %, ex-æquo avec les menaces malveillantes au sein de l entreprise. De la menace interne à la menace cyber Il est d ailleurs intéressant de noter que, vu de France, les principales sources de menace, aujourd hui comme demain, proviennent de l entreprise elle-même. Les risques de malveillance ou de perte accidentelle de données figurent en effet en tête des préoccupations des DSI de l Hexagone, loin devant le crime organisé ou le terrorisme (menace d ailleurs perçue comme de moins en moins présente). Dans le même temps, les dirigeants français figurent parmi les moins sensibles à la question du cyber-risque. Le travail de sensibilisation des utilisateurs va sans doute devoir être envisagé au plus haut niveau de la pyramide Téléchargez l intégralité de l étude BT sur le cyber-risque : Étude menée par BT auprès de 550 décideurs IT dans 7 pays durant les mois de septembre et octobre Les entreprises sélectionnées comptent plus de 500 salariés et évoluent majoritairement dans les secteurs de la finance, de la pharmacie, de la distribution et de la fonction publique

7 Charles Fox, Enterprise Architect chargé de la cybercriminalité chez BT Cybersécurité : l affaire de tous Près de 4 clients sur 10 ont perdu des données au sein de leur infrastructure cloud à cause d une erreur de manipulation Charles Fox, Enterprise Architect chargé de la cybercriminalité chez BT, analyse l évolution du cyber-risque dans le contexte de la généralisation du cloud computing. Malgré leurs avantages indéniables, ces infrastructures portent en effet des enjeux nouveaux en termes de sécurité. Les utilisateurs de services cloud doivent donc être pleinement conscients de leurs responsabilités. D après vous, quels sont les risques principaux associés au cloud computing? Cela dépendra du modèle que vous utilisez, à savoir un cloud public ou un cloud privé. Les services de cloud public sont populaires car ils sont souples et permettent un traitement à la demande quasiment instantané, mais ils comportent aussi des risques de sécurité significatifs. Gardez à l esprit que la plupart des risques classiques des infrastructures sur site existent toujours dans le cloud. Ils viennent donc s ajouter aux risques supplémentaires liés à cette configuration, vos données étant partiellement contrôlées par un tiers. Lorsque vous adoptez un service de cloud, vous perdez la maîtrise intégrale de votre architecture informatique, du stockage des données et du contrôle de l accès. De plus, les responsabilités respectives du client et du fournisseur de service de cloud portent souvent à confusion. Dans une configuration en cloud privé, vous avez beaucoup plus de contrôle sur ces différents éléments et c est pour cela que de nombreuses entreprises optent pour un modèle de cloud hybride, où elles tentent d exploiter le meilleur des deux univers : le cloud privé pour les informations critiques et les données personnelles d une part, le cloud public pour les données moins sensibles et les applications non critiques d autre part. Surestimons-nous les risques de sécurité ou, au contraire, ne les prenons-nous pas assez au sérieux? Je ne pense pas que nous surévaluions les problèmes de sécurité, pour au moins deux raisons : premièrement, le cloud computing n est qu un élément d une tendance plus importante, incluant la mobilité, les médias sociaux et le BYOD. Ces tendances sont interconnectées et forment un risque de sécurité global. Même si vous bâtissez un cloud privé au sein de votre entreprise, vos salariés utiliseront certainement leurs appareils personnels ou des services de cloud grand public et pourraient involontairement occasionner des fuites de données sensibles. Par exemple, l année dernière, l université de la santé et des 12 13

8 Charles Fox, Enterprise Architect chargé de la cybercriminalité chez BT sciences de l Oregon a dû alerter plus de patients car certaines de leurs informations médicales étaient stockées sur un service de cloud public non-conforme à la législation HIPAA. Plusieurs étudiants en médecine avaient décidé d utiliser Google Drive pour partager des données relatives à ces patients, probablement par manque de souplesse du système de la faculté. Bien que cette initiative soit partie d une bonne intention, elle a constitué une infraction à la législation HIPAA (pouvant donner lieu à des sanctions civiles et pénales) et a entaché la réputation de l université. Ce cas illustre l importance d une bonne gouvernance et démontre à quel point il est essentiel que vos salariés comprennent vos politiques de sécurité. Deuxièmement, la demande pour des solutions de cloud public et communautaire entraîne une consolidation très importante de la propriété intellectuelle et l inclusion de très nombreuses données personnelles dans des infrastructures partagées. Ces configurations concentrées attirent de plus en plus les criminels qui consacrent des sommes et des efforts considérables pour pouvoir y accéder. Adobe a récemment signalé une attaque cybernétique au cours de laquelle le code source de plusieurs de ses produits logiciels et les données personnelles (dont les mots de passe) de près de 3 millions de clients ont été volés. Ce chiffre a ensuite dû être réévalué à 38 millions. Ainsi, en réponse à votre question, non, je ne pense pas que nous sous-estimions les risques de sécurité. Comment pensez-vous que les risques de sécurité évolueront à l avenir? La cybermenace va-t-elle aller croissant ou diminuer peu à peu? Il est évidemment toujours difficile de prédire le futur, mais il semble évident que la nature de la menace et les acteurs impliqués évoluent. Le risque principal associé au cloud computing est la perte ou le vol de données. Et il n est pas seulement du fait de criminels, car de plus en plus d acteurs gouvernementaux sont impliqués, comme le démontrent un certain nombre de rapports. En termes de types d attaques, je m attends à une augmentation du détournement de session, de l hameçonnage, d API vulnérables et d attaques par déni de service. La perte involontaire de données devrait également augmenter. Près de 4 clients sur 10 ont perdu des données au sein de leur infrastructure cloud en raison d une fausse manœuvre. Le cloud constitue également un terrain de choix pour des organisations criminelles, qui dopent la puissance de leurs attaques grâce aux performances de ces infrastructures. La plaisanterie du moment dans le secteur est qu en parallèle des SaaS, Iaas et PaaS, il y a une énorme demande d AaaS, pour Attack as a Service. Dans un environnement partagé, on peut également craindre que les criminels accèdent aux partitions, en faisant porter la responsabilité de leurs actes aux clients légitimes. Vous avez décrit deux types de menaces : celles provenant d entités avec des intentions criminelles ou malveillantes et les erreurs accidentelles émanant généralement des employés. Comment se pondèrent-elles? On parle plus fréquemment des menaces malveillantes, tout au moins après leur survenance, mais je souhaiterais souligner que les erreurs internes causent généralement plus de dégâts que les attaques provenant de l extérieur! Sachez que la menace interne ne La principale menace liée au cloud computing est la perte ou le vol de données. Et celle-ci n est pas seulement du fait de criminels, car de plus en plus d acteurs gouvernementaux sont impliqués se limite pas à vos salariés, mais peut aussi provenir du personnel de votre fournisseur de service cloud ou d autres prestataires ou fournisseurs de TIC. Alors, comment se protéger contre ces menaces et que puis-je attendre de mon fournisseur de service cloud à cet égard? Lorsque vous choisissez un fournisseur de service cloud, assurezvous que celui-ci s est bâti une réputation solide en matière de bonnes pratiques opérationnelles et respecte les normes internationales, telles qu ISO À tout moment, un fournisseur de service cloud doit respecter les meilleures pratiques ; notamment l habilitation du personnel, le contrôle des sous-traitants et des fournisseurs, la mise en place de mesures de sécurité physiques dans les centres de données, la gestion des identités et des accès et la gouvernance en matière de sécurité. Ce dernier point couvre également les potentiels conflits d intérêt, par exemple aucune personne ne peut à la fois être chargée de saisir et de contrôler les données. Enfin, vous restez responsable de vos données. C est probablement le message le plus important que je puisse transmettre. En tant que client, vous êtes le propriétaire et le contrôleur de vos données. Vous êtes donc responsable de celles-ci et vous devez respecter les réglementations en vigueur. Si vos données sont déplacées d un point à un autre et qu elles enfreignent alors une loi, vous êtes tenus pour responsable. Il est donc de votre responsabilité de mettre en place un système de gouvernance solide, qui ne couvre pas seulement vos mesures de sécurité personnelles mais aussi les SLA de votre fournisseur de service cloud. Ne vous fiez pas aux contrats type, car ils ne couvrent souvent pas suffisamment les risques de sécurité et de conformité. La plupart des plans de continuité d activité des entreprises ont été conçus pour couvrir leur infrastructure classique sur site. Or, quand ces dernières évoluent vers un modèle de cloud, elles négligent souvent d étendre la portée de leurs plans de continuité d activité pour inclure ces fournisseurs tiers. Elles considèrent que ce fournisseur de service cloud prendra la responsabilité de sauvegarder les données et autres éléments de ce type, mais ce n est pas toujours le cas. Les fournisseurs sont responsables de l infrastructure physique et du réseau, mais c est le client qui est responsable de la configuration du serveur et surtout des données. Le conseil le plus important que je puisse donner est de mobiliser entièrement votre équipe de sécurité autour de votre stratégie de cloud globale et de définir clairement la localisation et l accès à vos données. Gardez toujours le contrôle sur vos données, car vous serez toujours le responsable en dernier ressort. Charles Fox, Enterprise Architect chargé de la cybercriminalité chez BT 14 15

9 Par Damien Leduc, responsable de l équipe audits de sécurité & tests d intrusion de BT en France Sécurité des données personnelles : améliorer leur protection et limiter les risques en trois étapes Des risques de toute nature se combinent à un cadre légal de plus en plus contraignant pour dessiner un paysage particulièrement complexe en matière de sécurité des données personnelles. Pour maîtriser ce risque et tendre vers une protection optimale, les RSSI doivent adopter une stratégie progressive, visant à étendre leur pouvoir de contrôle sur la donnée au sein, mais également à la périphérie de l entreprise. Dans un environnement où l informatique est devenue quasi omniprésente, la sécurité des données à caractère personnel soulève de nombreuses interrogations. La loi Informatique et Libertés impose d ailleurs aux organisations une obligation de sécurité et de confidentialité, assortie de sanctions pénales. Dans certains pays tels que les États-Unis, les banques sont tenues d avertir les clients concernés par un vol de données personnelles sur leurs systèmes d information. Nous pouvons citer l exemple de JP Morgan qui, en décembre dernier, a du notifier individuellement détenteurs de cartes bancaires que leurs données personnelles avaient pu être récupérées par des hackers, suite à une cyberattaque menée contre la banque quelques mois auparavant [source : Reuters]. Les réglementations européennes et australiennes semblent se diriger vers des obligations similaires. Des mesures peuvent et doivent donc être prises pour améliorer la protection des données à caractère personnel et se prémunir des risques. Première étape : identifier et recenser ses biens Les données à caractère personnel qui ne se limitent pas aux nom et prénom, mais concernent également la date de naissance, le lieu de résidence, le numéro de téléphone, etc. peuvent être présentes à plusieurs emplacements, parfois très inattendus. De telles données sont par exemple générées dans des logs de connexion listant les adresses IP des visiteurs d un site web et l heure de leur visite. Un fichier contenant des données à caractère personnel doit faire l objet d une déclaration à la Cnil ou d une communication au Correspondant Informatique et Libertés (CIL) de l entreprise. Le CIL a notamment pour mission «d assurer que toutes les précautions utiles ont été prises pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des personnes non autorisées y aient accès» [source : site web de la Cnil]. Dans certains cas comme la biométrie ou la vidéosurveillance, une demande d autorisation spécifique auprès de la Cnil est nécessaire. Seconde étape : identifier les vulnérabilités Les failles dans son propre système et les données diffusées par erreur humaine ou technique Ces failles dites «classiques» ont peu évolué ces dix dernières années. Elles sont souvent liées à de mauvaises pratiques dans le développement des applications, au niveau de leur conception ou de leur implémentation. La liste des dix failles les plus critiques est publiée par l OWASP (Open Web Application Security Project) afin de sensibiliser les organisations et les utilisateurs à la sécurité sur le web. On retrouve également dans cette catégorie les failles dues à une erreur humaine. Le choix d un mot de passe facile à trouver ou à deviner, par exemple, présente un risque, tout comme l envoi d un fichier à un mauvais destinataire ou mis à disposition par erreur. La loi Informatique et Libertés punissant le défaut de protection des données personnelles, il est nécessaire de prendre des mesures techniques et organisationnelles appropriées. Une recommandation : une donnée identifiée comme confidentielle ne devrait pas pouvoir être diffusée à une liste de destinataires multiples. L ingénierie sociale (social engineering), enfin, est une menace qui se caractérise par des failles humaines exploitées par des attaquants. Elle repose sur la théorie MICE décrivant les quatre piliers de motivation sur lesquels les attaquants s appuient pour exercer leur manipu- Damien Leduc, responsable de l équipe audits de sécurité & tests d intrusion de BT en France Il est indispensable de mettre à la disposition des responsables de la protection des données de l entreprise des moyens de plus en plus importants pour leur permettre de mener à bien leur mission lation : Money, Ideology, Coercion, Ego. Un exemple d ingénierie sociale sur l angle d attaque Coercion : une personne vous contacte par téléphone et se fait passer pour un membre de l équipe informatique de votre organisation, vous demande de taper votre mot de passe sur un site web qu il vous fournit, dans le but de récupérer les données auxquelles vous avez accès. Pour vous pousser à agir, il peut vous faire croire que votre responsable a expressément demandé que l action soit effectuée rapidement. Les failles dans le système d un tiers (fournisseur, partenaire) Faire appel à une société tierce pour sous-traiter un besoin peut entraîner un risque. Un exemple courant est la mise en place d un mini site internet pour une campagne marketing. Pour ce type de projet, il est nécessaire de vérifier plusieurs éléments en amont : - définir et valider les modalités du contrat par le Responsable de la Sécurité du Système d Information (RSSI) et le CIL de votre entreprise avant la mise en production du mini site ; - identifier l ensemble des sociétés en rapport avec le contrat (l agence de communication peut faire appel à une agence web qui peut elle-même faire appel à un hébergeur). Pour chacune d entre elles, les règles de sécurité interne sont différentes et peuvent en conséquence ajouter des failles potentielles ; - identifier les données à caractère personnel ; - tester le mini site et éprouver sa sécurité. Le transit ou le stockage d informations dans le cloud présente aussi des enjeux de sécurité. Il est nécessaire de connaître les pays où circulent des données à caractère personnel et de prendre des mesures particulières lorsqu elles quittent le pays d origine. Troisième étape : identifier les menaces Dans un paysage relativement statique, les attaquants se sont organisés. Des experts ont créé des outils «clé en main» qu ils revendent au marché noir ou mettent à disposition librement sur internet. Ainsi, les attaquants n ont plus besoin de connaissances particulières pour s en prendre aux données personnelles et le rapport bénéfice/risque de l attaque penche largement en leur faveur. Quelle que soit sa motivation, les moyens nécessaires à l attaquant pour arriver à ses fins sont, somme toute, assez faibles. De plus, celui-ci prend peu de risques. Il est encore aujourd hui très compliqué de déterminer avec certitude l origine d une attaque, quand bien même celle-ci aurait été détectée, ce qui n est pas toujours le cas. Il est donc indispensable de mettre à la disposition des responsables de la protection des données de l entreprise des moyens de plus en plus importants pour leur permettre de mener à bien leur mission. Ces moyens doivent être financiers et techniques, mais le RSSI et le CIL doivent également disposer de soutiens en interne pour être écoutés. Par exemple, leur rôle lors de l établissement de contrats d hébergement ou d infogérance ne doit pas être minimisé. Ils n ont pas vocation à bloquer les initiatives, mais bien à les accompagner afin d apporter leur soutien dans la sécurisation, en particulier concernant les données à caractère personnel. En conclusion, le RSSI doit bien être vu comme responsable de la sécurité de l information qu elle soit hébergée dans l organisation ou ailleurs au sein de l entreprise et non comme responsable de la sécurité informatique

10 Par Philippe Lebriez, Directeur Business Unit BT Compute De nouvelles capacités de Data Center pour BT Résilience, connectivité, sécurité : grâce aux performances de ses nouvelles capacités installées dans le site de Pantin d Equinix, BT se dote d un socle à la mesure de son nouveau portefeuille de services. L enjeu : marier des infrastructures cloud et physiques fortement industrialisées et des solutions entreprises sur mesure pour relever les défis métier de ses clients. Cette installation est par ailleurs directement connectée au réseau de fibre parisien City Fibre Network lancé par BT en octobre dernier. BT vient de se doter de nouvelles capacités de Data Center en région parisienne. Pourquoi cette ouverture et comment caractériser cette nouvelle infrastructure? Cette ouverture marque en fait l achèvement d un chantier débuté il y a un peu plus d un an. Pour accompagner nos clients dans leurs défis opérationnels, il nous fallait nous appuyer sur une infrastructure hautement disponible et offrant les meilleurs gages de souplesse, de performance et de sécurité. Nous avons donc développé de nouvelles plates-formes capables d accompagner cette montée en gamme, et cette infrastructure matérialise parfaitement cet objectif. Elle vient soutenir nos propres solutions, dans un Data Center qui représente aujourd hui la référence du marché. Le partenariat que nous avons noué avec Equinix nous permet en effet de disposer d un équipement à la mesure de nos ambitions qui offre des conditions de sécurité et d efficacité énergétique répondant aux plus hauts standards actuels. Le centre PA4 de Pantin est l un des plus grands et le plus sécurisé de son genre en France. Il est certifié niveau Tier3+ et a été récompensé pour ses certifications de sécurité : ISO 9001, ISO et ISO Il vient compléter notre autre site français du Château des Rentiers, entièrement restauré l année dernière et nos 45 Data Centers BT dans le monde. Quelles applications concrètes vont être déployées à partir de ce Data Centers? Cette nouvelle infrastructure a été pensée, dès sa conception, dans une optique résolument orientée business. Nos clients ne recherchent pas une technologie, ils attendent des réponses concrètes à des besoins métier. Le tout dans des temps de déploiement extrêmement courts, et idéalement dans un modèle «as a service». C est donc à nous, acteurs de ce marché, de traduire ces attentes opérationnelles en solutions technologiques, et d absorber la complexité pour le compte de nos utilisateurs. C est dans cette optique que nous avons conçu ce Data Center, qui sera à même de porter un nombre considérable de services jusqu à nos clients dans des conditions d industrialisation, de coûts, de sécurité et de débit optimales. Ce n est d ailleurs pas un hasard si ce centre est construit à Pantin : il est en effet raccordé à notre réseau de fibre urbain (CFN : City Fiber Network), qui interconnecte les grands pôles d activité de la région parisienne. Ces performances nous permettent de proposer l ensemble des services BT à nos clients, qu ils soient hébergés dans nos infrastructures ou non : services de communications unifiées et de collaboration interentreprises, solutions de stockage et sauvegarde en mode cloud, des PRA ou de PCA avec des SLA extrêmement élevés. technologies déployées. C est sur ce socle que nous concevons et opérons nos solutions, en positionnant nos forces créatives là où elles créent le plus de valeur, de façon à accompagner les DSI dans l alignement de leurs services sur les processus business. Nous avons donc adopté une démarche t rès flexible et adaptée aux spécificités de nos clients : sur une infrastructure industrialisée, provisionnée à la demande, et facturée à l utilisation, nous bâtissons des solutions et des services sur mesure, afin d épouser les attentes précises de nos clients. Nous posons en quelque sorte une couche métier au sein même de l infrastructure de delivery. Le cahier des charges du Data Center a d ailleurs été conçu après le catalogue d offres, pour garantir leur adéquation. Quand on ambitionne d accompagner un client sur l ensemble de ses problématiques IT avec des engagements de bout en bout, on se doit de maîtriser toute la chaîne, de l infrastructure jusqu aux applications. Comment mettez-vous en œuvre cette expertise métier dans vos offres? Nous capitalisons en fait sur l une des grandes forces historiques de BT, qui est la qualité de son capital humain. En France, nous disposons par exemple de plus de 1200 personnes dédiées au monde du service. Nos équipes d ingénierie sont là pour concevoir et déployer des solutions qui créent de la valeur chez nos clients. Nous avons toujours énormément investi dans cette capacité à comprendre les problématiques exactes des nos utilisateurs pour leur proposer des solutions réellement adaptées. Grâce à la nouvelle infrastructure que nous venons de déployer, nos équipes techniques disposent d une véritable «autoroute», qui va leur permettre de proposer des réponses encore plus pertinentes à nos clients, quel que soit leur taille ou leur segment de marché. Comment avez-vous segmenté votre offre de services? L offre BT Compute a été conçue de façon totalement modulaire, du réseau jusqu aux services managés. Elle se compose de 4 briques distinctes : House Compute, qui rassemble les services d hébergement sur site ou au sein de nos Data Centers, Cloud Compute, qui offre la couche «as a service» grâce à nos infrastructures cloud, Data Compute, qui regroupe la dimension «données» de notre offre, à travers des solutions de stockage et de Business Intelligence, et enfin Managed Compute, qui nous permet d offrir à nos clients des services d administration de leurs infrastructures les plus critiques. L un des grands atouts de cette conception est qu elle est à la fois progressive de l infrastructure jusqu aux services mais également modulaire. Chacune de ces briques est accessible de façon indépendante et peut être activée en fonction des besoins réels de nos clients. BT est-il en train de se positionner comme une société de services? BT est beaucoup plus qu une société de services. Nous sommes opérateur de services télécoms et IT. 70% de nos collaborateurs sont dédiés aux activités de services. Nous avons constaté qu il existait sur le marché des besoins majeurs qui ne trouvaient pas de réponse adaptée. Le segment «Enterprises», qui regroupe un nombre très important d entreprises, est en quelque sorte écartelé entre des offres de type IaaS, qui restent au niveau de l infrastructure, sans réelle expertise métier, et de l autre côté des solutions surdimensionnées et peu souples, portées par des acteurs mondiaux. Nous avons donc choisi de concevoir des offres capables d apporter de la valeur à nos clients en tirant le meilleur des deux mondes. BT Compute repose donc sur un socle industrialisé, sur lequel sont bâties des solutions adaptées, avec un modèle de service souple et très évolutif. Le tout opéré entièrement depuis la France avec la capacité de garantir que les données de nos clients ne quittent jamais l Hexagone. Nos clients ne recherchent pas une technologie, ils attendent des réponses concrètes à des besoins métier. Le tout dans des temps de déploiement extrêmement courts, et offrant idéalement un modèle as a service Philippe Lebriez, Directeur Business Unit BT Compute Quels bénéfices vos utilisateurs peuvent-ils attendre de telles performances? La philosophie de BT Compute est fondée sur un constat simple : il est de plus en plus nécessaire d aborder les chantiers IT sous un angle métier, et on a d autant plus de facilité à le faire que l on maîtrise les 18 19

11 Erwin von Dölling, responsable de l infrastructure, des opérations et de la planification informatique chez Nyrstar Nyrstar refond son SI à l international et dope son efficacité Nous sommes une direction particulièrement efficiente, puisque nos coûts de fonctionnement n excèdent pas 0,8 % du chiffre d affaires global de Nyrstar. Une performance à comparer à la norme de l industrie qui se situe entre 1,2 et 1,5 % Transformer l infrastructure informatique globale de Nyrstar, grand nom de l industrie minière, n est pas chose aisée. Comment desservir plus de utilisateurs, dont la plupart travaillent dans des zones difficiles et reculées? Comment concevoir un SI capable d accompagner durablement une croissance rapide? Éléments de réponse avec Erwin von Dölling, Responsable de l infrastructure, des opérations et de la planification informatique chez Nyrstar. Comment le département informatique est-il organisé chez Nyrstar? Je suis responsable de l infrastructure et des opérations informatiques internationales, qui couvrent nos centres de données, notre infrastructure réseau et les opérations de tous ces services. Je travaille en étroite collaboration avec le directeur des applications de l entreprise et nous rendons tous les deux comptes au DSI groupe. Mais chez Nyrstar, l informatique n est qu un élément d un ensemble plus large de systèmes de gestion de l entreprise, qui vise à permettre le fonctionnement de celle-ci, à travers des solutions intégrant des processus, des applications et une infrastructure. Quelles sont les demandes particulières du secteur minier en termes de TIC et comment se traduisent-elles dans vos principaux défis actuels? Les prix des matières premières fluctuent continuellement et il est donc impératif que nous soyons extrêmement souples quant à nos structures de coûts et nos dépenses opérationnelles. Par conséquent, nous exigeons une transparence totale et un très grand contrôle de nos systèmes de gestion. Notre objectif premier est d uniformiser les systèmes en place à travers un outil intégré. L entreprise a en effet connu une croissance externe considérable au cours des huit dernières années, et plus de quinze structures IT distinctes nous ont rejointes depuis Chacune a sa propre structure de coûts, son propre plan comptable et sa manière de travailler. Une telle fragmentation induit nécessairement des problèmes de fonctionnement et un manque de transparence sur nos actifs. Notre objectif a donc été de construire un modèle intégré unique, au moyen duquel nous pourrions fournir des services informatiques sur la base de niveaux de service convenus en interne. Il y a deux ans que nous avons entamé ce processus de transformation et nous avons fait des progrès significatifs. La phase de planification est achevée et nous opérons désormais comme une seule entité, qui offre une lisibilité financière bien supérieure. Cependant, nous avons encore du travail avant d atteindre une transparence totale sur l ensemble de notre infrastructure et sur les différents sites Nyrstar. La plupart de ces projets prennent du temps. Par exemple, nous avons récemment réalisé une migration globale de notre réseau avec BT Global Services, en remplaçant nos anciens réseaux fragmentés par un seul réseau, basé sur une même architecture de référence. Désormais, nous pourrons mieux prédire l impact des nouveaux projets et des nouvelles applications sur le réseau et optimiser son utilisation. Les projets de cette envergure sont stimulants. L entreprise offre-t-elle des opportunités spécifiques pouvant vous permettre d atteindre ces objectifs? Nous avons eu la chance de pouvoir réaliser cette transformation informatique en parallèle de la transformation d entreprise globale de Nyrstar, qui est en passe de devenir une entreprise globale intégrée constituée de trois segments verticaux : le minier, le traitement et la commercialisation des métaux, l approvisionnement et la vente. La transformation de la société a parfaitement concrétisé notre vision d une organisation unifiée des systèmes de gestion. De plus, les projets associés à la transformation nous ont permis de créer des solutions et de la valeur en appréhendant et en définissant les processus d entreprise et en les automatisant par le biais d applications lorsque cela était nécessaire

12 Erwin von Dölling, responsable de l infrastructure, des opérations et de la planification informatique chez Nyrstar Cette démarche a aussi permis de mettre en évidence des gisements de performance inexploités. À mesure que notre infrastructure informatique gagne en transparence, nous découvrons de nombreuses opportunités de réduction des coûts ou d amélioration de notre service. Par exemple, dans le cadre d un accord cadre avec Microsoft, nous possédons une licence d utilisation pour Lync, alors que jusqu ici nous utilisions une autre solution pour les réunions en ligne. Nous avons donc déployé Lync sur l ensemble de l entreprise et avons alloué le budget initialement prévu à un service de partage de bureau qui a été mis en place à la fin du 1 er trimestre Nous avons également l opportunité d améliorer la configuration de notre infrastructure de vidéoconférence, afin que les utilisateurs puissent initier des sessions plus facilement et que l ensemble de l environnement soit entretenu et géré par une équipe centralisée. Jusqu à récemment, ce type de fonctionnement était problématique car les appareils étaient configurés différemment selon les sites et n étaient pas accessibles à distance. Notre but est de devenir une référence mondiale en matière de gestion des ressources et des activités informatiques, opérées de façon globale par une équipe internationale. Par la suite, il y aura de nombreuses opportunités à explorer afin de mieux exploiter notre nouveau réseau BT, comme l utilisation de solutions de voix sur IP, la généralisation de la vidéoconférence ou encore l optimisation de l utilisation de nos centres de données, afin qu ils prennent en charge encore davantage de services. Actuellement, en raison de difficultés liées à notre ancien réseau, un certain nombre de solutions étaient en effet hébergées localement. La mutualisation des ressources va nous offrir une grande agilité. Nous accordons beaucoup d importance au rapport coût/efficacité. Nous sommes d ailleurs une direction extrêmement efficiente, puisque nos coûts de fonctionnement n excèdent pas 0,8 % du chiffre d affaires global de Nyrstar. L entreprise réalise ici un résultat remarquable, comparé à la norme de l industrie qui se situe entre 1,2 et 1,5 %. Et ce sans sacrifier la qualité des services informatiques fournis ni notre capacité à créer de la valeur pour l entreprise. Concernant les communications unifiées et les outils collaboratifs, quelles technologies avez-vous mises en œuvre jusqu à présent et que prévoyez-vous pour l avenir? Ont-elles un impact sur votre façon de travailler? Nous souhaitons vivement renforcer nos outils collaboratifs. La mise à niveau et l utilisation de plus en plus large de Microsoft SharePoint et de Lync font partie de cette stratégie. Toutefois, un certain nombre de nos sites sont très reculés et disposent d un accès mobile limité. Nous avons donc besoin de déployer des outils collaboratifs capables de fonctionner dans ces conditions particulières. C est un paramètre bien spécifique, et qui pose beaucoup plus de difficultés qu un environnement urbain, par exemple. Mais nous comptons sur BT pour nous accompagner dans ce défi et nous apporter des solutions performantes et novatrices pour nous permettre d améliorer la collaboration avec nos équipes évoluant dans des sites reculés. Avez-vous lancé des projets autour du Bring Your Own Device? Nous avons choisi d autoriser le BYOD, sans toutefois mettre en place de stratégie dédiée. À l heure actuelle, les salariés peuvent se connecter à leur compte mail professionnel en utilisant leurs appareils personnels, mais nous ne faisons pas la promotion de ce type d accès. Un sondage nous a indiqué que les collaborateurs étaient assez réservés concernant le BYOD, et la plupart préfèrent que l entreprise leur fournisse un appareil mobile. De plus, dans certaines de nos régions d implantation, le BYOD est inapproprié du fait de la faible couverture réseau. Comment considérez-vous les médias sociaux? Une opportunité, une menace? Les medias sociaux sont un moyen de communication que nous employons, sans toutefois être aussi actifs que bon nombre d entreprises. Nous reconnaissons les risques associés aux médias sociaux, mais aussi la valeur qu ils peuvent apporter pour promouvoir notre marque et informer nos principaux partenaires, en interne et en externe. À l heure actuelle, nous nous concentrons sur notre infrastructure existante et la valeur que nous pouvons en extraire. Je ne pense pas que les médias sociaux constituent une menace s ils sont bien appréhendés et que leurs implications sont comprises. Bien évidemment, si les gens commencent à parler de manière inappropriée de l entreprise sur Facebook et LinkedIn, cela pourrait nuire à notre réputation. Mais de tels problèmes sont couverts par les politiques de l entreprise et régulièrement abordés dans nos communications internes. D une manière générale, nos collaborateurs utilisent beaucoup ces outils pour promouvoir leurs idées au sein de l entreprise, ce que nous encourageons naturellement. Comment décririez-vous le rôle de l informatique dans votre organisation? Est-il reconnu comme un «facilitateur»? Et votre rôle a-t-il changé à cet égard? Le nom de notre département, systèmes d entreprise, indique bien que l ambition de notre société est de faire de l IT un vecteur de croissance. Aujourd hui, une DSI doit être alignée sur les priorités business de l entreprise. Il ne s agit pas d utiliser la technologie de manière gratuite. Nous échangeons constamment avec les métiers pour réfléchir à la manière d améliorer leur efficacité et leur productivité. Cela fait donc un certain temps que ma fonction est étroitement liée à la performance de l entreprise. Que pensez-vous du cloud computing? Je trouve qu il y a beaucoup de battage autour du cloud. Néanmoins, les développements de ce type d infrastructure ont atteint un tel niveau de maturité qu ils offrent indéniablement d énormes avantages, principalement en termes de souplesse. Le cloud permet de limiter les investissements tout en offrant des niveaux de service largement supérieurs à ce qu ils étaient il y a dix ans. Nous attendons donc avec impatience que BT offre un service de téléphonie en cloud. A contrario, le cloud peut introduire un certain flou sur la localisation des services, mais de tels défis sont gérables si vous êtes rigoureux dans votre organisation et dans la mise à jour de la documentation de configuration de votre environnement. Et en termes de sécurité? C est un sujet qui est fréquemment évoqué comme un obstacle à l adoption du cloud. La sécurité constitue un enjeu fondamental pour toutes les sociétés et doit être abordée comme tel. Nous avons des politiques de sécurité claires applicables à tous les services. Tous les nouveaux processus informatiques font l objet d un contrôle rigoureux. Nous avons déjà un certain nombre de services en production et nous contrôlons la sécurité de chaque processus en service, afin de nous assurer que tous sont conformes aux normes de sécurité et au référentiel pour la sécurité des informations que nous avons récemment publié. C est une entreprise conséquente et nous nous concentrons donc sur les processus d entreprise stratégiques en premier lieu. Notre ERP, nos plates-formes de gestion des risques, d s et de gestion de la mobilité sont nos priorités actuelles. La sécurité est un processus continu qui doit anticiper continuellement les nouveaux enjeux, mais cela ne nous empêchera pas d utiliser les services issus du cloud lorsqu ils seront adaptés, maîtrisés et alignés avec l architecture de notre entreprise. Vous avez mentionné votre collaboration avec BT. Comment se déroule-t-elle? Nyrstar a signé un contrat mondial avec BT pour notre réseau international, et nous avons bâti une relation très étroite et profitable. Nous avons notamment pu mesurer l engagement de BT au cours des six derniers mois, à l occasion de la migration globale de notre réseau, lorsque nous avons dû faire migrer de nombreux sites en très peu de temps. Le défi était de taille du fait de la variété et de l implantation particulière de nos sites, sans compter que cette migration intervenait juste après la bascule vers notre nouveau Data Center. Or, la migration s est faite sans la moindre rupture d activité, dans des conditions optimales. Ce succès tient beaucoup à la qualité de la préparation en amont, et aux nombreux échanges entre les chefs de projet. Aujourd hui, un an après le début de notre collaboration avec BT, nous ne pouvons que nous féliciter de cette relation, et nous continuons à travailler ensemble afin d améliorer la qualité du service de bout en bout. Maintenant que notre réseau global est pleinement maîtrisé, nous envisageons de déployer des services additionnels, notamment dans le domaine de la voix sur IP. Nous ne souhaitons pas renouveler notre infrastructure PBX et il nous semble intéressant de réfléchir à une solution de téléphonie qui nous permettrait de convertir notre budget télécom en Opex. La décision sera prise en fonction de la rentabilité globale de l opération. Quelles sont vos attentes vis-à-vis des fournisseurs TIC? J attends d eux qu ils soient plus que de simples exécutants. Un bon partenaire ne doit pas s enfermer dans une démarche purement réactive. Au contraire, j attends qu ils comprennent les enjeux et le métier de mon entreprise et qu ils m aident à identifier les technologies qui pourront l aider à évoluer. J attends de mes fournisseurs un véritable partenariat : qu ils m accompagnent en s assurant que l environnement est maîtrisé, en partageant leurs idées, en échangeant régulièrement sur les opportunités à saisir et en les concrétisant avec nous si nécessaire. C est le cadre que nous avons fixé à BT, qui est devenu notre principal fournisseur réseau, et ils sont résolument engagés dans la démarche proactive que nous attendons d eux. Enfin, la dernière qualité attendue chez un fournisseur est évidemment sa capacité à tenir ses engagements, en respectant les délais et le budget. Un prestataire doit se focaliser sur la valeur, bien sûr, mais en aucune manière ignorer les coûts, car ces derniers ont une importance capitale pour toute entreprise. Erwin von Dölling, responsable de l infrastructure, des opérations et de la planification informatique chez Nyrstar 22 23

13 Implantations mondiales Les services décrits dans cette publication sont subordonnés à la conclusion préalable d un contrat et peuvent être soumises à des restrictions légales ou réglementaires selon les pays. Les services, équipements et logiciels décrits peuvent être modifiés ou remplacés sans préavis. Cette publication ne constitue pas une offre et ne revêt pas de valeur contractuelle. Les conditions générales de vente de BT France S.A. priment sur toute autre condition. BT France S.A tous droits réservés. BT France, Société social : R.C.S Nanterre B Tour Ariane - 5 Place de la Pyramide - BP La Défense Cedex - France. BT France Siège Social Tour Ariane 5, place de la Pyramide BP Paris la Défense cedex Tel : conception & réalisation: pampa presse Restez connecté à BT grâce à notre blog : 24