Foresight devient de plus en plus important pour la politique suisse de formation et d'innovation. La nouvelle étude de la SATW "Le paysage de la recherche en Suisse - Un panorama technologique" examine 49 développements technologiques dans neuf domaines de recherche et couvre ainsi un très large spectre. Chaque chapitre est consacré à une technologie et décrit son état d'avancement ainsi que les chances et les risques qui y sont liés. Les auteurs identifient en outre les principaux points chauds de la recherche en Suisse et dans le contexte international.

Un paysage de la recherche avec un soutien suffisant

L'étude s'appuie sur des entretiens oraux et écrits menés avec une soixantaine de scientifiques et de représentants de l'industrie dans toute la Suisse. Ceux-ci se montrent pour l'essentiel satisfaits de l'encouragement de la recherche dans le domaine des sciences techniques en Suisse. Pour la plupart d'entre eux, les difficultés d'accès au programme Horizon Europe sont en revanche très problématiques.

Plusieurs personnes interrogées ont suggéré que l'encouragement devrait à l'avenir inclure l'infrastructure mise à la disposition des entreprises et des hautes écoles. La raison en est que, dans certains cas, ces infrastructures sont si coûteuses à mettre en place qu'elles dépassent le budget des petites entreprises et des start-ups.

Construire l'avenir avec les technologies

Les technologies étudiées supposent une réflexion interdisciplinaire, car elles concernent souvent plusieurs domaines de la vie. De plus, l'échange régulier entre la place de réflexion et la place industrielle suisses est fondamental pour le lien entre la recherche et l'industrie. Il est vrai que les thèmes de recherche appliquée jouent un rôle important dans le succès des nouvelles technologies. L'État dispose également de nombreuses possibilités pour aider les nouvelles technologies à percer : Il pourrait ainsi réduire les obstacles réglementaires et encourager la mise en réseau (internationale) des chercheurs et des représentants de l'économie. Les applications high-tech et de niche, qui peuvent être développées aussi bien par des entreprises établies que par des start-ups, offrent un grand potentiel pour la place économique suisse. Les emplois et la valeur ajoutée ainsi générés apporteraient une contribution économique riche à la société.

Source et informations complémentaires : SATW

Après des éditions couronnées de succès à Aix-la-Chapelle, Hambourg et Londres et, plus récemment, deux éditions virtuelles, la 3D Metrology Conference revient à son lieu de fondation, le campus de Melaten.

3D Metrology Conference avec exposition industrielle

Lors de la 3DMC, jusqu'à 200 utilisateurs industriels et experts universitaires de renom échangent leurs idées et marquent le caractère innovant et ouvert de la manifestation. Il se reflète également dans la conception du programme : un programme de conférences de haut niveau est associé à une exposition industrielle ouverte, à des sessions d'intérêt spécial et à des formats de réseau dédiés. Les professeurs Ben Hughes et Robert Schmitt seront les modérateurs et les hôtes de la manifestation.

Présentation de cas d'utilisation et de résultats de recherche

Le thème de la conférence est la métrologie en tant que moteur d'innovation dans l'automatisation et l'assurance qualité. D'une part, des utilisateurs finaux industriels présenteront des cas d'utilisation réussis dans différents secteurs, par exemple dans la construction automobile, l'aéronautique ou l'énergie. D'autre part, des scientifiques de renommée internationale présenteront les progrès réalisés dans le domaine de la métrologie, qui permettent de nouvelles applications. Les données 3D et la vision artificielle constituent l'ADN de la conférence et sont complétées par d'autres technologies, par exemple dans les domaines de la numérisation et de l'intelligence artificielle.

Diverses nouveautés

En 2022, la 3DMC introduira deux nouveautés : L'exposition industrielle aura lieu pour la première fois dans le nouveau hall des machines du WZL, ce qui permettra aux exposants de présenter en direct des cas d'utilisation innovants et d'en discuter avec la communauté. Les avantages d'un salon, d'un laboratoire de technique de production et d'un forum d'experts seront ainsi réunis en un seul lieu. Une autre nouveauté est que les présentations sélectionnées seront complétées par un article à comité de lecture dans le journal Open Access Metrology, ce qui renforce encore l'excellence scientifique durable de la conférence.

Site web de l'événement : https://www.3dmc.events

Le livre blanc commun "Seizing the Potentials of Ecosystems", rédigé par des chercheurs* de l'Université d'économie et de droit EBS, du FIR à la RWTH d'Aix-la-Chapelle et de l'Université de Saint-Gall, présente les caractéristiques clés des écosystèmes ("Business Ecosystems") sur la base des résultats de recherche les plus récents et des meilleures pratiques. L'équipe en déduit des recommandations pour des avantages concurrentiels durables.

Les écosystèmes comme formes de création de valeur

Les écosystèmes représentent de nouvelles formes de création de valeur qui dépassent les frontières des entreprises et des industries. Ils se développent dans toutes les industries et constituent la base des entreprises les plus précieuses. Entre 2015 et 2021, par exemple, 23% de toutes les start-ups considérées comme "unicorn" (c'est-à-dire d'une valeur supérieure à 1 milliard $) ont orienté leur modèle d'entreprise de manière significative vers la création de valeur dans les écosystèmes. Dans le même temps, 22 des 100 premières entreprises du S&P (Standard & Poor's.) opéraient principalement dans des écosystèmes, ce qui représentait 40% de la capitalisation boursière du S&P Top 100.^*)

Un livre blanc explique neuf caractéristiques clés

Les entreprises qui réussissent prouvent que tant les clients que les entreprises profitent des écosystèmes. L'énorme potentiel de création de valeur suscite un intérêt massif pour cette nouvelle forme d'économie, mais il manque souvent une compréhension commune de ce que sont et peuvent réellement apporter les écosystèmes. Une équipe interdisciplinaire de chercheurs* a donc caractérisé la nature des écosystèmes à l'aide de trois niveaux et de neuf propriétés clés au total :

Noyau de l'écosystème

1. Un objectif et une vision partagés
2. Co-création entre les acteurs impliqués
3. Des solutions modulaires et complémentaires

Relations avec les écosystèmes

4. Relations multilatérales
5. Acteurs autonomes
6. Création de valeur basée sur l'information

Milieu écosystémique

7. Valeurs partagées
8. Infrastructure technologique commune
9. Effets de réseau

Sur la base de cette classification, l'équipe de chercheurs* donne dans le livre blanc des recommandations concrètes pour obtenir dans les écosystèmes des avantages concurrentiels durables dans l'environnement technologique, social et économique. Les meilleures pratiques de managers expérimentés issus d'entreprises industrielles établies et de startups numériques illustrent comment les caractéristiques clés des écosystèmes sont mises en pratique. Le livre blanc en anglais est disponible sous seizing-ecosystems.fir.de/white-paper/ peuvent être téléchargés gratuitement.

Le travail à domicile fait désormais partie du quotidien de nombreuses entreprises. Étant donné que le terme "bureau à domicile" est utilisé de manière assez inflationniste, il convient toutefois d'établir une distinction claire, car rares sont les travailleurs qui disposent réellement d'un bureau à domicile classique : à savoir un poste de travail chez eux ou sur un site externe, qui est non seulement équipé des logiciels et du matériel nécessaires par l'employeur, mais qui dispose également de restrictions d'accès conformes à la protection des données (par exemple, local fermant à clé, utilisation unique et exclusive des composants de l'employeur, etc. Ce à quoi de nombreux travailleurs ont eu recours au cours des années de crise 2020 et 2021 doit plutôt être compris comme du travail mobile, ce qui implique de nombreux nouveaux défis. La situation est devenue dangereuse surtout lorsque des solutions ont été introduites rapidement et sans le soin nécessaire, uniquement pour maintenir l'activité, même si cela se fait au détriment de la sécurité et de la protection des données. Combler ces failles de sécurité continuera d'occuper de nombreuses entreprises en 2022.

Connexion sécurisée des postes de travail à domicile

L'impact du passage au télétravail moderne sur les processus opérationnels des entreprises allemandes dépend de manière décisive du modèle commercial, des profils d'exigences individuels des collaborateurs et, enfin, de l'infrastructure informatique de l'entreprise. Quelles sont par exemple les exigences en matière de communication et d'échange de données ? Alors que pour l'un, un simple partage de documents suffit, un autre collaborateur a besoin d'un poste de travail à distance pour travailler sur un modèle 3D complexe. De nombreuses entreprises ont en outre dû envoyer plus de travailleurs en télétravail que de ressources opérationnelles disponibles. "Dans ce contexte, nous enregistrons à ce jour une nette augmentation des demandes, afin de rendre parfois plusieurs centaines de postes de travail aptes au travail à distance et de combler les lacunes de sécurité existantes. Le principe : l'utilisateur accède à un environnement de bureau virtuel (VDI : Virtual Desktop Infrastructure) de l'entreprise avec son outil de travail privé via une session de terminal authentifiée par matériel. L'environnement du système d'exploitation privé et l'interface d'application de l'entreprise sont à tout moment des mondes système totalement séparés physiquement les uns des autres. Aucune donnée d'entreprise ne peut être enregistrée sur le terminal privé, car il n'y a pas d'accès aux données entre l'environnement privé et l'environnement d'entreprise. C'est une solution simple et efficace pour connecter un grand nombre de postes de travail à domicile et pour garantir un niveau de protection suffisamment élevé de tous les clients, même du point de vue de la rentabilité", explique Holger Priebe, chef d'équipe Microsoft et Virtualisation chez Lien réseau. "Il n'est donc pas étonnant que la VDI, VMware Horizon et les applications de collaboration telles qu'Office-365 avec Teams et Sharepoint représentent actuellement les domaines de croissance les plus importants pour nous en tant qu'entreprise de systèmes informatiques et qu'ils mobilisent actuellement nos plus grandes ressources en personnel", ajoute-t-il.

Goulets d'étranglement des capacités physiques

La question conceptuelle de la connexion au réseau de l'entreprise s'accompagne de questions sur les capacités physiques du réseau existant : Est-ce que je dispose d'un pare-feu et d'une bande passante suffisants pour connecter simultanément tous mes collaborateurs mobiles à distance via VPN ? Les collaborateurs doivent-ils du tout travailler à distance sur des machines Microsoft ou suffit-il de les faire travailler via un client classique, par exemple en accédant localement au cloud Office 365, de sorte que la bande passante du propre réseau ne soit pas sollicitée ? Il convient de noter qu'il ne suffit pas d'établir l'accès une fois pour toutes. Il faut également procéder à des tests de charge en raison des adaptations dynamiques de l'infrastructure informatique, afin de garantir un fonctionnement en direct fluide et fiable sans interruption des processus de travail. 

Mais le collaborateur a également besoin d'une bande passante suffisante dans son réseau domestique pour pouvoir travailler à distance avec la qualité informatique habituelle. Le collaborateur n'est-il en ligne qu'avec un client, de sorte qu'il suffit d'établir un tunnel VPN, ou peut-être doit-il même être connecté via un point d'accès déporté ? Le WLAN privé est peut-être aussi déjà saturé par d'autres utilisateurs ou ne répond pas aux exigences de sécurité de l'entreprise. Dans ce cas, une carte LTE et un modem LTE de l'employeur permettent d'améliorer la performance et la sécurité de la connexion à moindre coût.

Sécurisation de l'accès

La sécurisation de l'accès est toujours un point névralgique à cet égard. "L'accès WLAN doit être doté d'un mot de passe fort, qui doit être changé à intervalles réguliers. L'idéal est d'utiliser un accès WLAN invité pour le travail à domicile, afin que les éventuelles données de l'entreprise ne soient pas transmises via le même réseau que celui utilisé par d'autres utilisateurs dans la maison. Selon le rôle et l'autorisation, la question se pose également de savoir si la connexion au réseau via le nom d'utilisateur et le mot de passe offre une protection suffisante ou si la sécurité d'accès doit être renforcée par une authentification à deux facteurs, par exemple avec un jeton ou un mot de passe à usage unique, par carte à puce ou à l'aide de caractéristiques biométriques", explique Niklas Lay, chef d'équipe réseau et sécurité informatique chez Netzlink. "Si l'on a besoin d'une protection supplémentaire pour certains appareils de travail, on peut aussi activer le cryptage du disque dur - Windows 10 fournit déjà dans le système d'exploitation ce que l'on appelle un Bitlocker, afin d'empêcher un accès non autorisé aux données, par exemple en cas de perte ou de vol". 

BYOD - Sensibiliser aux risques

Un danger latent pour les entreprises est de tolérer l'utilisation de terminaux privés sans lignes directrices existantes, par exemple pour maintenir une productivité prétendument élevée des collaborateurs. Même après deux ans en mode de crise, les terminaux privés représentent un risque sérieux pour la sécurité des données dans l'entreprise, car ils échappent en grande partie au contrôle de l'entreprise. "Beaucoup d'employés n'ont pas conscience que les smartphones sont de petits ordinateurs mobiles et très puissants, avec parfois un stockage de données considérable, qui doivent être protégés par des pare-feu et un antivirus à jour, tout comme leurs homologues de bureau. De nombreux utilisateurs ne sont pas en mesure d'évaluer les dangers et les risques pour eux-mêmes et pour l'entreprise en cas de changement soudain de leur situation de travail. Il est donc dans l'intérêt des entreprises de sensibiliser les collaborateurs à la sécurité de l'utilisation des smartphones privés au sein de l'entreprise à l'aide de guides appropriés, afin de protéger l'entreprise contre les attaques informatiques extérieures", avertit Lay.

Des outils pour la prochaine crise : un plan d'urgence dans la poche

Avec l'utilisation croissante du travail mobile, le fonctionnement des TIC devient encore plus important pour toutes les entreprises. Les applications et les données ne peuvent tout simplement plus tomber en panne. La meilleure préparation pour une gestion réussie de la continuité des activités est un manuel d'urgence. Celui-ci sert à maintenir et à poursuivre les processus critiques lorsque certains événements perturbent ou empêchent le fonctionnement de l'entreprise. Les structures (informatiques) complexes de nos réseaux de collaboration mondiaux nous rendent très dépendants de la continuité des activités entre tous les acteurs des processus - internes et externes. Avec la progression de la numérisation, cela devient encore plus important. Une gestion durable des risques doit faire partie intégrante de toute organisation afin de limiter l'impact négatif des perturbations sur les activités commerciales. Malheureusement, il faut souvent qu'un sinistre se produise avant que des mesures soient effectivement prises. Pour réagir de manière appropriée aux perturbations, il faut une approche planifiée à l'avance et rigoureusement méthodique, qui tienne compte de tous les processus critiques, établisse les responsabilités et définisse des processus de communication afin de revenir à une exploitation productive des TIC dans les plus brefs délais.

Afin de donner aux entreprises un aperçu rapide des bases techniques (en matière d'équipement) et des conditions personnelles qui rendent l'entreprise et les collaborateurs aptes au travail mobile, le site offre Netzlink propose aux lecteurs intéressés un livret électronique à télécharger gratuitement. à. 

Pour les capteurs de position, la capacité de communication est au centre des préoccupations dans la perspective de l'industrie 4.0 et IO-Link, la première technologie IO certifiée au monde à cet effet (CEI 61131-9), est un thème central. Grâce à elle, l'intelligence des capteurs est pleinement utilisable pour le réseau d'automatisation, ce qui représente un avantage considérable sans coûts supplémentaires. C'est pourquoi Novotechnik propose toute une série de capteurs de déplacement et de capteurs angulaires avec interface IO-Link. Parmi eux, on trouve par exemple les capteurs monotour robustes de la série RFC-4800. Ils ont déjà fait leurs preuves dans de nombreuses applications industrielles et mobiles, sont compacts, faciles à installer et détectent l'angle de rotation sur 360 degrés complets avec une résolution pouvant atteindre 14 bits. D'autres capteurs avec IO-Link sont par exemple le capteur de déplacement absolu magnétostrictif TH1 en forme de barre pour une intégration directe dans les vérins hydrauliques ainsi que les capteurs de déplacement TP1 (magnétostrictif) et TF1 (inductif) en forme de profil. Ce dernier est adapté aux applications de positionnement extrêmement rapides grâce à un taux de mise à jour de 10 kHz. Comme tous ces capteurs fonctionnent sans contact, leur durée de vie mécanique est pratiquement illimitée.

Les techniques d'automatisation et la construction mécanique peuvent profiter de la même manière des capteurs de position avec interface IO-Link (image 2) : Lors de la mise en service, l'utilisateur peut facilement modifier des paramètres tels que le point zéro ou le sens de déplacement, ce qui réduit le nombre de variantes. Outre les informations de position pures, il est également possible d'échanger d'autres informations telles que des messages d'état ou de diagnostic et des données statistiques sur le temps de fonctionnement ou les conditions environnementales (par ex. la température). Les erreurs dans la boucle de régulation peuvent être localisées rapidement, car les paramètres de réglage sont enregistrés de manière centralisée. Un capteur peut donc également être remplacé en peu de temps et être reparamétré facilement. L'installation est pratique et les capteurs s'intègrent facilement dans des réseaux de communication basés sur Ethernet ou sur des bus de terrain. Les concepts de surveillance des conditions et de maintenance prédictive deviennent ainsi réalisables.

Informations complémentaires

Babtec est l'un des principaux fournisseurs de solutions logicielles pour la gestion de la qualité. Depuis plus de 25 ans, des entreprises de toutes tailles et de tous secteurs assurent la qualité de leurs processus et de leurs produits grâce aux produits de ce fabricant. Aujourd'hui, l'entreprise de Wuppertal emploie plus de 180 personnes sur six sites.

Après avoir ouvert plusieurs bureaux en Allemagne et des filiales en Autriche et en Espagne, l'éditeur de logiciels crée maintenant une filiale en Suisse. L'inscription au registre du commerce a été effectuée le 1er juin 2022. Selon Peter Hönle, responsable du département Customer & Solutions chez Babtec, cette nouvelle fondation est la conséquence du succès croissant du logiciel de gestion de la qualité de Wuppertal auprès des Confédérés : "Nous avons pu gagner notre premier client suisse en 2001 déjà. Entre-temps, plus de 100 entreprises en Suisse et au Liechtenstein - la future zone de prise en charge de Babtec Schweiz AG - gèrent leur qualité avec nos solutions logicielles. Cela montre l'exigence de qualité élevée des entreprises suisses et le besoin croissant du marché local en matière de numérisation efficace dans le travail de qualité. C'est pourquoi nous avons décidé d'être représentés à l'avenir par un site Babtec en Suisse également".

Sur ce nouveau site, Babtec prévoit, selon ses propres dires, de s'occuper principalement de projets de clients existants et de développer ses activités commerciales.

Source et informations complémentaires

Une analyse de Atlas VPN montre que le montant total des amendes RGPD au premier semestre 2022 s'élève à 97,29 millions d'euros, soit une augmentation de 92 % par rapport au premier semestre 2021. Les données utilisées pour l'analyse proviennent de EnforcementtrackerLe site web de l'UE est une plateforme qui fournit un aperçu des amendes et des sanctions infligées par les autorités de protection des données de l'UE dans le cadre du règlement général sur la protection des données (RGPD).

Il ressort de l'aperçu et de l'analyse d'Atlas VPN que les entreprises et les particuliers se sont vu infliger un total de 50,6 millions d'euros d'amendes RGPD au cours du premier semestre 2021. D'autre part, le nombre de procédures judiciaires a légèrement diminué, passant de 215 en 2021 à 205 en 2022. En d'autres termes, même si le nombre de violations du RGPD a légèrement diminué en 2022, la gravité de ces violations a considérablement augmenté - et donc le montant des amendes RGPD. La différence la plus frappante entre 2021 et 2022 s'observe en février, où le montant total des amendes infligées varie de près de 28 millions d'euros. La tendance suivante est également frappante : environ 70 % des amendes RGPD sont infligées au premier trimestre.

Quelques cas particulièrement flagrants

Atlas VPN fait également référence à quelques cas importants d'amendes RGPD prononcées au cours des premiers semestres 2021 et 2022. Ainsi, en juin 2021, le commissaire à la protection des données du Land de Basse-Saxe a infligé une amende de 10,4 millions d'euros à notebooksbilliger.de AG. L'entreprise allemande avait surveillé ses employés par vidéo pendant au moins deux ans sans base légale. Les caméras non autorisées enregistraient entre autres les postes de travail, les salles de vente, les entrepôts et les espaces communs. L'entreprise a rétorqué que la surveillance avait pour but de prévenir et d'élucider des délits et de suivre les marchandises dans les entrepôts. La vidéosurveillance n'est toutefois légale que s'il existe des soupçons fondés à l'encontre de certaines personnes. Si tel est le cas, il est permis de les surveiller à l'aide de caméras pendant une période déterminée. Dans ce cas, la surveillance n'était toutefois pas limitée à certains employés ou à une période donnée.

En mai 2022, l'Information Commissioner's Office (ICO) a à son tour infligé une amende de 7 552 800 livres sterling à Clearview AI Inc. pour avoir utilisé des images de personnes au Royaume-Uni et ailleurs, collectées sur Internet et dans les médias sociaux, afin de créer une base de données mondiale en ligne pouvant être utilisée pour la reconnaissance faciale. Clearview AI Inc. a collecté plus de 20 milliards d'images de visages humains et de données provenant d'informations accessibles au public. L'entreprise n'a informé personne que ses images avaient été collectées ou utilisées de cette manière. En outre, l'entreprise surveille effectivement le comportement de ces personnes et propose cela comme un service commercial.

Des bus RGPD pour "réveiller" les gens

Le RGPD était nécessaire parce que les anciennes lois ont été rédigées avant l'émergence de nouvelles technologies telles que les smartphones et les tablettes, ce qui signifiait que les utilisateurs n'étaient pas protégés contre les entreprises qui abusaient de leurs données personnelles. Le RGPD permet aux citoyens de l'UE de savoir plus clairement comment et pourquoi les entreprises utilisent leurs données. En outre, le RGPD a considérablement limité les données que les entreprises peuvent collecter, ce qui permet aux citoyens de naviguer sur Internet et d'utiliser les services avec beaucoup plus de confidentialité. En Suisse, la nouvelle loi sur la protection des données (NDSG) ira dans le même sens. Elle devrait entrer en vigueur le 1er septembre 2023 ; Les entreprises ont tout intérêt à s'y préparer dès aujourd'hui.

La cybersécurité a un coût. Tant que les systèmes informatiques et l'infrastructure fonctionnent, il est souvent difficile d'investir les moyens nécessaires pour réduire les risques et garantir le bon fonctionnement à l'avenir, c'est-à-dire : établir une cyber-résilience. Si les entreprises sous-estiment systématiquement leur cyber-risque, c'est en raison de plusieurs hypothèses erronées. Voici six des erreurs les plus courantes.

Hypothèse 1 : de toute façon, ça ne touche que les autres

"Notre entreprise n'est tout de même pas assez intéressante pour une cyberattaque". Cette appréciation est loin d'être rare. La réalité est malheureusement tout autre. Les statistiques indiquent que 99 % de tous les cyberdommages sont dus à des attaques qui n'étaient pas du tout ciblées. En d'autres termes, la plupart des attaques sont de type "spray and spray". Les cybercriminels lancent une tentative d'attaque générale, sans objectif concret, selon le principe de l'arrosoir. Ils se contentent ensuite d'attendre de voir auprès de quelles entreprises ou organisations le mail avec le lien d'hameçonnage, par exemple, aboutira. Malheureusement, pour de nombreuses entreprises, l'obstacle à la compromission initiale de leur informatique n'est pas assez élevé pour résister à ces attaques à long terme. Cela joue en faveur des attaquants. D'autant plus si leurs intérêts sont avant tout financiers et qu'ils veulent faire chanter l'entreprise, par exemple en la chiffrant avec un crypto-trojan ou un ransomware. Dans ce cas, l'approche spray-and-pray est généralement la plus rentable pour les cybercriminels. Cela signifie que chaque entreprise est une victime potentielle.

Les attaques à motivation politique s'en distinguent clairement : dans ce cas, le succès n'est finalement qu'une question de main-d'œuvre disponible, car dans le cas d'une attaque à motivation idéologique, les considérations monétaires de coût et d'utilité jouent un rôle tout à fait secondaire. Dans de tels cas, les attaques zero-day, qui exploitent des failles de sécurité non encore connues publiquement dans un logiciel, sont également plus fréquentes. Avec un exploit zero-day, l'attaquant joue en quelque sorte un joker. En effet, si la nouvelle méthode d'attaque est rendue publique par son utilisation, ce vecteur d'attaque est finalement grillé, car les fabricants de logiciels déploient alors les mises à jour de sécurité correspondantes.

Hypothèse 2 : les attaques provenant de la chaîne d'approvisionnement ne jouent pas un rôle important

En effet, le nombre d'attaques de la chaîne d'approvisionnement est en augmentation. Dans cette catégorie de cyberattaques, les solutions logicielles, les appareils ou les machines fournis à une entreprise et qu'elle utilise dans le cadre de ses activités servent de vecteurs d'attaque. Par exemple, la faille de sécurité Log4j, révélée en décembre 2021, était une vulnérabilité du jour zéro dans une bibliothèque de journalisation Java. Log4j sert à créer et à stocker des informations de journalisation à partir de logiciels, d'applications et d'appliances matérielles. Mais comme Log4j est parfois très profondément ancré dans de nombreuses solutions différentes, dans des milliers d'instances, une simple analyse de vulnérabilité ne suffit guère pour identifier ici toutes les instances vulnérables.

En général, les logiciels open source ne sont pas à l'abri de failles de sécurité. Ainsi, un professeur de l'université du Minnesota a réussi à introduire des failles dans le noyau Linux dans le cadre d'une étude. Pour ce faire, il a prétendu, avec l'un de ses étudiants, mettre à disposition de la communauté Linux des corrections de bugs. L'objectif de cette action controversée était de démontrer à quel point les projets open source peuvent également être vulnérables. Une faille de sécurité dans le noyau Linux est potentiellement si grave, car Linux est très répandu. On le trouve aujourd'hui dans les serveurs et les smartphones, mais aussi dans les dispositifs embarqués les plus divers - des voitures aux machines en passant par les maisons intelligentes.

Avec la numérisation croissante de notre économie et de notre vie, les appareils connectés peuvent également devenir une porte d'entrée pour les cybercriminels. Par exemple, une chaîne de supermarchés a été piratée en choisissant les rayons réfrigérés intelligents des magasins comme vecteur d'attaque. Les appareils connectés dans le domaine de la maison intelligente présentent le même risque. Ils représentent également des points d'attaque potentiels - un risque de réputation grave pour le fabricant ou le distributeur de l'appareil. Dans l'espace privé comme dans l'espace commercial, il est donc nécessaire d'être beaucoup plus conscient des logiciels installés et des appareils achetés. Dans le secteur de la production, par exemple, où une machine peut avoir un cycle de vie de plusieurs décennies, seules des mesures d'atténuation sont disponibles tôt ou tard pour réduire les risques de sécurité. En effet, les fabricants n'existent plus ou ne fournissent plus de correctifs de sécurité après quelques années. Il ne reste donc parfois plus qu'à isoler à grands frais la machine du reste du réseau et à accepter le risque résiduel. En principe, une entreprise serait négligente si elle voulait se décharger entièrement de la responsabilité de sa cybersécurité sur ses fournisseurs. Les menaces provenant de la chaîne d'approvisionnement sont réelles et font aujourd'hui partie du quotidien. Les entreprises ont donc besoin non seulement d'une conscience des risques, mais aussi d'experts qui les aident à mettre en place une cyber-résilience efficace.

Hypothèse 3 : nos collaborateurs sont déjà suffisamment sensibilisés à la sécurité

Trop souvent encore, un comportement irréfléchi des collaborateurs et collaboratrices constitue une porte d'entrée commode pour les cybercriminels dans l'entreprise. Créer et maintenir une conscience des risques est un élément de la cybersécurité dont l'entreprise ne devrait jamais sous-estimer l'importance. Ce n'est que lorsqu'ils sont conscients du danger que les employés évitent systématiquement de communiquer des mots de passe par téléphone ou de cliquer sans réfléchir sur un lien douteux dans un e-mail. Parfois, le danger potentiel est aussi une conséquence directe du travail quotidien. Les employés du service des ressources humaines, par exemple, ouvrent presque tous les jours des candidatures sans savoir si le CV numérique contient ou non des codes malveillants. Il en va de même pour les PDF de factures dans la boîte de réception du service comptable. C'est pourquoi l'entreprise doit naturellement prendre des mesures techniques contre de telles attaques.

Mais il est tout aussi important de réduire la probabilité de réussite des tentatives de phishing en sensibilisant aux dangers des attaques d'ingénierie sociale en général. L'ingénierie sociale signifie que les attaquants utilisent la tromperie pour obtenir des données ou un accès non autorisé. Il s'agit d'abuser des méthodes de la psychologie humaine pour manipuler les collaborateurs ou les collaboratrices et les inciter à transmettre des informations ou à effectuer certaines actions - comme le clic fatal sur le lien dans l'e-mail d'hameçonnage ou l'indication du mot de passe à de prétendus collaborateurs du support technique au téléphone.

Hypothèse 4 : la portée de ce contrôle de sécurité sera déjà suffisante

La mise à l'épreuve de la cybersécurité dans l'entreprise par des tests d'intrusion est un élément important dans la construction de la cyberrésilience. Toutefois, si l'on choisit un champ d'application trop restreint pour le pentest, on n'y gagne pas grand-chose. Car il en résulte un prétendu sentiment de sécurité. Un exemple typique est l'exclusion de certains systèmes, par exemple ceux qui sont en fin de cycle de vie, car - dit-on - ils seront de toute façon bientôt arrêtés ou remplacés. Or, tant qu'ils ne sont pas désactivés, ces anciens systèmes constituent souvent le vecteur d'attaque le plus séduisant. Autre exemple : sur le serveur qui exploite une application web à contrôler, un service FTP fonctionne également, ce qui permet de compromettre complètement le serveur - mais tous les services, à l'exception de l'application web, sont exclus du contrôle. De même, il arrive qu'une institution financière, par exemple, choisisse de limiter l'étendue de son contrôle à ce qui est prescrit par la réglementation et requis officiellement. Dans ce cas également, le résultat serait une sécurité illusoire et trompeuse.

Si l'on veut que les pentests soient réellement significatifs, ils ne doivent pas se concentrer uniquement sur une partie de l'informatique de l'entreprise. Ils doivent au contraire être conçus de manière holistique. En effet, l'objectif d'un test d'intrusion n'est pas seulement de donner à la direction un sentiment positif en matière de cybersécurité - il doit identifier les véritables failles de sécurité et les vecteurs d'attaque potentiels afin de pouvoir les corriger avant qu'ils ne soient exploités par des attaquants criminels.

Hypothèse 5 : les tests d'intrusion peuvent être pris en charge par le service informatique à titre accessoire

Dans la plupart des entreprises, les pentests ne peuvent pas être une tâche interne. En effet, les administrateurs informatiques ont avant tout une chose à faire : ils doivent veiller à ce que les systèmes de l'entreprise fonctionnent de manière fiable. En règle générale, l'équipe d'administration est déjà occupée à 100 %, voire à 120 %, par ses tâches opérationnelles. De plus, les tests d'intrusion exigent des connaissances techniques très spécialisées et très actuellesIl s'agit d'une ressource dont le département informatique ne dispose généralement pas. Il est important que la direction comprenne qu'un pentest n'est pas quelque chose que l'on peut faire en passant. En même temps, les collaborateurs et collaboratrices de l'informatique interne doivent comprendre que l'objectif d'un audit de sécurité n'est jamais de discréditer leur propre travail en matière de cybersécurité, mais de le renforcer. Un test d'intrusion pertinent ne serait même pas réalisable avec des ressources internes, car le savoir-faire et le temps manquent. Il n'en va autrement que si l'entreprise est suffisamment grande pour s'offrir sa propre équipe rouge dédiée - les attaquants - pour des pentests plus ou moins continus. Cette équipe Red est alors confrontée à une équipe Blue dédiée avec les défenseurs. Mais même une équipe Red dédiée peut parfois bénéficier grandement du soutien externe d'Ethical Hacker.

Hypothèse 6 : Nos sauvegardes nous sauvent en cas d'urgence

Il y a un peu plus de cinq ans, cette affirmation était peut-être encore vraie. Aujourd'hui, elle ne l'est plus, pas dans tous les cas. Il faut se rendre compte que la qualité des logiciels malveillants a considérablement augmenté. Les crypto-trojans qui chiffrent les données des entreprises à des fins d'extorsion ne le font plus immédiatement. Il existe désormais des ransomwares qui s'installent d'abord dans les sauvegardes d'une entreprise et les détruisent peu à peu. Ce n'est que des mois plus tard, lorsque la sauvegarde est devenue inutilisable, que le crypto-trojan se met à chiffrer les données de l'entreprise - et le chantage proprement dit commence.

C'est pourquoi il est important aujourd'hui, Sauvegardes d'abord de les protéger contre les logiciels malveillants à l'aide de concepts de protection appropriés et ensuite de les contrôler régulièrement. En cas d'urgence, on ne peut compter que sur une sauvegarde qui peut effectivement être mise en place. Les entreprises devraient donc tester, pratiquer et expérimenter régulièrement leur reprise après sinistre. Et si une entreprise crypte sa sauvegarde pour des raisons de sécurité : La clé de sauvegarde elle-même est un point d'attaque potentiel, car les cybercriminels peuvent bien sûr aussi chiffrer la clé de sauvegarde de l'entreprise. La sauvegarde serait alors à son tour inutilisable et la tentative d'extorsion par le chiffrement des données de l'entreprise pourrait commencer. C'est pourquoi il est important que les entreprises conservent hors ligne leurs clés de cryptographie pour la sauvegarde et qu'elles documentent également hors ligne leur formation d'urgence en matière de reprise après sinistre.

Conclusion : de la cybersécurité à la cyberrésilience

Le risque de cyberattaque n'a pas diminué, bien au contraire. Si une entreprise voulait déduire d'un passé sans problème qu'elle sera toujours à l'abri de la cybercriminalité à l'avenir, ce serait peut-être l'erreur la plus grave de toutes. La fiabilité opérationnelle de l'informatique n'est possible que si l'entreprise établit, maintient et développe sa cyber-résilience avec des concepts et des mesures holistiques appropriés. Cela vaut la peine de se pencher sur la question, car en cas d'urgence, les dommages financiers pèsent bien plus lourd que l'investissement prévoyant dans la cybersécurité. Comme en médecine, il vaut mieux prévenir que guérir en matière de cybersécurité.

Auteurs :
Michael Niewöhner et Daniel Querzola sont tous deux managers et testeurs d'intrusion chez Ventum Consulting, Munich  

"Best Managed Companies", le concours organisé dans 48 pays par Deloitte Private, compare dans le cadre d'une évaluation complète les entreprises avec le benchmark mondialement reconnu du cabinet de conseil et d'audit. Celui-ci a été continuellement développé au cours des 25 années qui ont suivi le lancement du Best Managed Companies Award. Les entreprises qui se soumettent à l'analyse détaillée reçoivent une appréciation indépendante et substantielle sur la manière dont leur entreprise se situe dans quatre domaines clés de l'entreprise par rapport à une communauté mondiale de plus de 1'000 entreprises gérées de manière exemplaire.

Processus d'évaluation intensif

Toutes les entreprises participantes sont soumises à un processus de coaching et d'évaluation intensif en plusieurs étapes. Leurs performances dans les domaines de la stratégie, de la productivité et de l'innovation, de la culture et de l'engagement ainsi que de la gouvernance et des finances sont évaluées de manière approfondie. Seules les entreprises convaincantes dans les quatre catégories ont une chance de remporter le prix.
"Les entreprises récompensées cette année réunissent plusieurs éléments particulièrement décisifs pour le succès de nos jours : elles sont toutes extrêmement agiles, organisées de manière flexible et ont un objectif de croissance clair. Elles parviennent également à ne pas s'en tenir à des traditions dépassées tout en cultivant leurs valeurs centrales. La distinction de 'Best Managed Companies' est une incitation pour tous les décideurs de l'économie suisse à façonner l'avenir de leurs entreprises avec clairvoyance, force d'innovation et culture de gestion durable", a déclaré Andreas Bodenmann, responsable du programme et directeur de Deloitte Private lors de la cérémonie de gala du 7 juillet 2022 au SIX ConventionPoint à Zurich.

Best Managed Companies : les phares de l'économie suisse

Quatre entreprises familiales riches en traditions ont été récompensées en tant que "Best Managed Companies" :

• Le groupe Wipf est une entreprise familiale suisse dont l'histoire remonte à plus d'un siècle. Elle allie de manière unique une tradition entrepreneuriale à des solutions innovantes et prometteuses et s'est ainsi établie avec succès dans toute l'Europe comme l'un des principaux fournisseurs de solutions d'emballage.
• Le Groupe Acrotec SA rassemble des entreprises indépendantes du secteur de la micromécanique autour d'une philosophie commune "a passion for precision" et crée efficacement des synergies mutuelles. Il exploite ainsi intelligemment les avantages de gouvernance résultant de la combinaison de la structure de groupe et du partenariat.
• Le groupe SUHNER a impressionné par le renouvellement de la direction initié par Jürg Suhner et par la réussite de sa réorientation. L'entreprise séduit par une orientation stratégique claire sur sa compétence globale en matière d'outils, de processus et de savoir-faire des matériaux pour le métal et se concentre sans compromis sur des solutions pour la création de composants métalliques critiques pour le succès de sa clientèle.
• Precipart, fondée en 1950, a su convaincre en tant qu'entreprise familiale grâce à son succès et à son orientation claire : l'entreprise propose des solutions high-tech à sa clientèle mondiale dans les marchés de la technologie médicale, de l'aérospatiale et de l'espace ainsi que de l'industrie grâce à des innovations et à une approche "engineer possible".

Ensuite, deux autres entreprises gérées de manière exemplaire ont obtenu la distinction de "Best Managed Companies" :

• Avec MindMaze, active dans le domaine de la thérapie numérique, c'est la première fois qu'une start-up mature, dite scale-up, est récompensée. Elle poursuit sa forte croissance au moyen d'une gouvernance habilement structurée et assure ainsi l'agilité de l'entreprise à long terme - une forte culture d'entreprise y contribue de manière déterminante.
• Le concours ne s'arrête pas non plus au bout d'un an, car toutes les entreprises peuvent se soumettre régulièrement à l'examen et participer aux ateliers. Le fabricant de boissons Capri Sun, qui connaît un grand succès dans plus de 100 pays, a été la première entreprise suisse à le faire et a convaincu durablement le jury qu'il s'agissait d'une entreprise remarquablement bien gérée, grâce à sa stratégie de croissance axée sur la durabilité.

Renforcer encore la place économique suisse

"Les entreprises en mains privées sont et restent un important moteur d'innovation d'une place économique suisse diversifiée et forte. Deloitte s'occupe activement des questions de localisation depuis de nombreuses années. La Suisse doit tout mettre en œuvre pour que la réglementation dans des domaines politiques et techniques centraux soit telle que les entreprises disposent de la liberté entrepreneuriale nécessaire pour se développer durablement", explique Reto Savoia, CEO de Deloitte Suisse. "Cette liberté est malheureusement régulièrement restreinte. Cela se manifeste désormais presque tous les trimestres par de nouvelles initiatives populaires, parfois radicales, ou encore par des référendums contre des lois tout à fait judicieuses".

Cette année, le jury était composé de Nadia Lang, CEO de la coopérative ZFV-Unternehmungen, Jens Breu, CEO de SFS Group, Gilles Stuck, responsable du marché suisse chez Julius Bär, et du professeur Thomas Straub, professeur associé à l'Université de Genève en management stratégique et stratégie d'entreprise, qui ont conseillé et évalué les entreprises participantes.

Source : Deloitte

Le groupe Lindenhof est l'un des principaux hôpitaux privés du pays. Ses trois hôpitaux accueillent chaque année plus de 140'000 patients, dont environ 27'000 en hospitalisation. Outre des soins de base interdisciplinaires complets, le groupe hospitalier propose un éventail de médecine spécialisée et hautement spécialisée. Les points forts de l'offre de prestations sont l'orthopédie, la médecine interne, la chirurgie viscérale, la gynécologie, l'urologie, la neurochirurgie, la cardiologie, l'angiologie/la chirurgie vasculaire, l'oncologie, l'ORL, la radiologie, la radiothérapie, la néphrologie et la médecine d'urgence. Le groupe emploie environ 2 500 personnes. "Dans le canton de Berne, nous sommes le leader en matière de qualité de la médecine et des soins", explique Guido Speck, CEO du groupe Lindenhof. "Une position qui implique des responsabilités - également vis-à-vis des collaborateurs".

La charge de travail du personnel soignant a également augmenté au sein du groupe Lindenhof. "Malgré la situation générale exigeante, nous avons donc décidé d'apporter une nouvelle contribution substantielle à l'amélioration des conditions de travail dans le secteur des soins", explique Guido Speck. Un vaste ensemble de mesures doit maintenant souligner la prétention du groupe Lindenhof à la direction en tant qu'employeur progressiste et attrayant. Il doit en outre confirmer l'importance accordée à la santé et au bien-être des collaborateurs au sein du groupe Lindenhof.

Concrètement, cela signifie qu'en plus de l'augmentation de salaire accordée à tous les collaborateurs le 1er avril 2022, les collaborateurs du secteur des soins reçoivent des indemnités dont le total correspond à une réduction du temps de travail hebdomadaire à moins de 40 heures - pour le même salaire. Outre l'augmentation du crédit-temps pour les services de nuit, qui passe de 20 % à 30 %, les infirmiers travaillant en 3x8 24 heures sur 24 bénéficient de 7 jours de vacances supplémentaires. Les collaborateurs peuvent en outre décider eux-mêmes s'ils souhaitent des jours de congé, prendre des vacances ou travailler moins d'heures par semaine. Une énorme amélioration qui apporte plus de flexibilité et une meilleure qualité de vie.

Afin de continuer à décharger le personnel existant, le groupe Lindenhof lance une campagne ciblée pour recruter de nouveaux professionnels qualifiés. Elle vise à enthousiasmer les jeunes pour le métier de soignant et à continuer à décharger les collaborateurs existants. "Votre santé est notre vocation - votre bien-être notre devoir. Telle est la devise de notre travail quotidien. Une devise qui englobe également nos collaborateurs", ajoute Raul Gutierrez, responsable HRM. "Nous nous engageons en permanence à être et à rester le premier choix de nos collaborateurs. Par gratitude et en signe d'appréciation de leurs prestations".

Source et informations complémentaires

115 personnes ont participé à l'enquête Heartbeat de Swiss Infosec sur la protection des données. La plupart d'entre elles (40%) travaillent dans le département informatique de leur entreprise. Mais de nombreuses réponses sont également venues des départements juridique et RH ainsi que du conseil d'administration/de la direction. Le fait que la protection des données soit perçue comme un sujet important et prise au sérieux au niveau du conseil d'administration et de la direction rend les auteurs de cette enquête sur la protection des données confiants et plaide en faveur d'une plus grande importance accordée à la protection des données. 

Bonne note en ce qui concerne les directives internes de protection des données

83% des organisations qui ont participé à l'enquête sur la protection des données disposent d'un document interne avec des directives sur la protection des données. 12% ne disposent pas d'un tel document et les 5% restantes ne savent pas s'il existe des directives internes sur la protection des données. L'existence de directives internes en matière de protection des données montre que les organisations se préoccupent du thème de la protection des données/de la loi sur la protection des données et que l'approche de la protection des données n'est pas arbitraire, mais clairement définie par rapport à l'entreprise. Cela crée de la sécurité et de la continuité. 66% des organisations ont par ailleurs recours à des propriétaires de données (data owners), qui sont responsables d'une partie déterminée des données au sein de l'organisation.

Peu d'entreprises n'ont pas encore de déclaration de protection des données

104 des 115 personnes participantes, soit 90%, confirment que leur organisation dispose d'une déclaration de confidentialité (DSE). Ce chiffre élevé est réjouissant. Toutefois, les experts en protection des données de Swiss Infosec SA se demandent - sans le demander explicitement dans l'enquête - si ces DSE couvrent également les traitements de données au-delà du site web. L'expérience montre que ce n'est pas toujours le cas. En vue de la nouvelle loi sur la protection des données, ces traitements de données devraient toutefois être couverts par les déclarations de protection des données.

Une enquête sur la protection des données révèle une marge de progression en matière d'effacement régulier et transversal des données

Sans surprise, c'est dans le domaine de la suppression des données que le potentiel d'optimisation est le plus important. Certes, 39% des participants à l'enquête indiquent que les données sont régulièrement effacées dans leur organisation, et ce dans tous les domaines. Mais dans 43% des entreprises, un tel effacement des données n'a pas lieu et les 8% restants des répondants n'en ont pas connaissance. Eugen Roesle, Head of Legal and Data Privacy chez Swiss Infosec SA, parle dans ce contexte du "dernier kilomètre de la protection des données" que de nombreuses entreprises devraient encore parcourir, même si la NDSG ne change rien sur le plan purement juridique en ce qui concerne la suppression des données. En effet, les données personnelles qui ne sont plus nécessaires parce qu'elles ont atteint leur but doivent déjà être effacées selon la loi actuellement en vigueur.

Prendre en compte la gouvernance de la protection des données

L'une des principales exigences de la gouvernance en matière de protection des données est la mise en place d'un processus permettant de vérifier le respect de la protection des données lors de nouveaux projets impliquant des données personnelles. 57% des organisations participantes répondent à cette exigence, 43% ne le font pas ou plutôt pas. Il est nécessaire d'agir dans le domaine de la gouvernance de la protection des données, d'autant plus que la vérification en temps utile et, dans le meilleur des cas, automatique du respect de la protection des données lors de nouveaux projets permet de gagner du temps et d'éliminer les incertitudes et les mauvaises surprises.

Soutien par des outils/logiciels spécifiques ?

Les organisations qui misent sur des outils/solutions logicielles spécifiques dans le domaine de la protection des données sont sous-représentées selon l'enquête. Tout de même 40% des entreprises ont recours à un tel soutien, 60% n'y ont pas (encore) recours. La question de savoir si la taille de l'entreprise ou sa complexité influencent la décision d'utiliser des outils ou si les offres correspondantes et leurs solutions sur mesure sont trop peu connues reste ouverte.

Source : Swiss Infosec

Avant de s'appuyer entièrement ou partiellement sur des analyses pour la prise de décisions stratégiques, il faut d'abord mettre en place des processus appropriés. Cela garantit que les données circulent sans problème dans tous les départements de l'entreprise et que leur qualité, leur accessibilité, leur utilisabilité et leur sécurité sont préservées.

Vous trouverez ici neuf conseils pour mettre en place une stratégie de gouvernance des données efficace.

1. vérifier les stocks de données dans l'entreprise

Pour tirer le meilleur parti des données, les parties prenantes doivent savoir comment les sélectionner, les collecter, les stocker et les utiliser efficacement. Faites l'inventaire de toutes les données disponibles dans l'entreprise et identifiez leurs différentes sources, telles que les systèmes de gestion, les sites web, les réseaux sociaux et les campagnes de marketing et de publicité. Ensuite, définissez les points de friction où la mauvaise qualité des données entraîne une perte de valeur.

Soyez particulièrement attentif aux points suivants :

• Volume: La quantité de données a explosé ces dernières années. Déterminez le nombre d'informations stockées dans vos bases de données afin de définir votre méthode de gestion des données.
• DiversitéLes données peuvent être complexes et variées, structurées ou non, et provenir d'un large éventail de systèmes d'information. Saisissez-les à différents endroits, centralisez-les et rapprochez-les afin d'obtenir une représentation complète de toutes les informations.
• RapiditéMisez sur des logiciels puissants et flexibles qui intègrent l'apprentissage automatique. Examinez votre infrastructure pour choisir les outils les plus efficaces qui répondent à vos besoins et établissez une base technique solide.
• Vérité: Les erreurs d'explication dans les formulaires, la multiplicité des points de saisie, les actions de bots, les actes de malveillance, les erreurs humaines et bien d'autres choses encore mettent en péril les fondements des données. Des distorsions peuvent également survenir lors de l'analyse. Réalisez donc un diagnostic de la qualité et de la précision de vos données.
• ValeurLes données que vous utilisez doivent être parfaitement alignées avec les objectifs commerciaux et marketing de votre entreprise et créer de la valeur à la fois pour la marque et pour vos clients. Unifiez les données et réagissez rapidement pour être du côté des gagnants.

2. mettre en place une stratégie de gouvernance des données unifiée

Tous les services de l'entreprise doivent être impliqués dans l'utilisation des données, de la direction aux chefs d'équipe, en passant par les équipes d'exploitation et les équipes de terrain. L'ensemble du personnel doit comprendre les enjeux et les avantages de données partagées et de qualité. Prenez en compte les points suivants pour impliquer l'ensemble de l'entreprise dans cette transition :

• des entretiens individuels ou de groupe avec les différents services afin de mieux comprendre la situation actuelle en matière de données, d'identifier les exigences organisationnelles et de prendre en compte toutes les attentes en matière de gouvernance des données.
• Ateliers visant à développer ensemble un cadre méthodologique global pour l'introduction de la gouvernance des données.
• Cas d'utilisation réels dans lesquels, avec l'aide d'un certain nombre de collaborateurs, un problème commercial lié à un domaine de données spécifique est analysé. Dans le secteur du commerce électronique, il pourrait s'agir par exemple d'erreurs dans les dimensions des emballages de produits, qui entraînent des difficultés logistiques et l'abandon de l'achat parce que le client constate des frais de livraison trop élevés.

Définissez ensuite des objectifs stratégiques qui s'appliquent à l'ensemble de l'entreprise ou à certains secteurs d'activité. Définissez ensuite tous les indicateurs de performance de l'organisation afin que chacun comprenne son rôle dans le modèle de gouvernance.

3. choisir un modèle de gouvernance des données approprié

Lorsque vous lancez un projet de gouvernance des données, ne tombez pas dans le piège de vouloir répondre simultanément à toutes les questions techniques, organisationnelles et réglementaires. Vous avez besoin de temps pour obtenir les premiers résultats tangibles. Établissez une feuille de route précise, validée par les parties prenantes, avec des objectifs intermédiaires pour évaluer les efforts et les progrès réalisés jusqu'à présent.

N'oubliez pas non plus qu'il existe différents modèles de gouvernance des données. Choisissez celui qui convient le mieux à votre environnement, à vos besoins, à vos ressources humaines et financières et à la maturité de vos données.

4. identification et sélection de tous les acteurs des données

Commencez par nommer un Chief Data Officer (CDO) qui sera responsable de la gouvernance des données dans toute l'entreprise. Il approuve les projets et les classe par ordre de priorité, gère les budgets, recrute le personnel pour le programme et assure une documentation complète. Idéalement, le CDO devrait être directement subordonné au CEO. Si votre entreprise est plus petite, vous pouvez attribuer ce rôle à un autre cadre supérieur d'un niveau comparable.

Élargissez ensuite l'équipe de projet en créant un groupe multidisciplinaire avec les profils suivants :

• Propriétaire des donnéesIls supervisent les données dans un domaine spécifique et contrôlent les processus pour garantir la collecte, la sécurité et la qualité des données. Ils déterminent la manière dont les données sont utilisées pour résoudre un problème particulier. Ainsi, le directeur du marketing peut être le propriétaire des données relatives aux clients ou le directeur des ressources humaines peut être le propriétaire des données relatives aux informations internes sur les employés.
• Responsable des donnéesIls sont les coordinateurs de données et les administrateurs de l'entrepôt central de données. Ils sont responsables de l'organisation et de la gestion de toutes les données ou d'une unité de données spécifique et veillent au respect des directives et des règles. Ils saisissent et corrigent les éléments de données, évitent les doublons et vérifient la qualité des bases de données.
• Gestionnaire de donnéesCelui-ci veille au bon cycle de vie des données en autorisant et en contrôlant l'accès aux données, en définissant des processus techniques pour garantir l'intégrité des données et en effectuant des contrôles pour la sauvegarde et l'archivage des données et des modifications qui leur ont été apportées.

5. éliminer les silos de données

Une fois que vous avez constitué votre équipe de projet de gouvernance des données, vous pouvez la réunir au sein d'un comité qui prend des décisions stratégiques sur la mise en œuvre dans les différents domaines d'activité. Ce comité approuve les politiques de données et traite de toutes les questions relatives à la gestion, à la sécurité et à la qualité des données. Organisez également des réunions régulières avec la possibilité de donner un feedback.

Idéalement, vous devriez opter pour une gouvernance horizontale, en plaçant les données au centre de vos activités et de vos affaires. Sur la base de ce principe, vous pouvez par exemple accélérer l'élimination des silos entre le marketing direct, la publicité et le service à la clientèle et réunir l'expertise et les technologies CRM et médias au sein des entreprises, des marques et de leurs agences. Informez vos collaborateurs des avantages de la collaboration et de l'échange de données au quotidien.

Assurez-vous ensuite que toutes les données utiles à la réalisation des projets sont consolidées sur une plateforme de gestion des données qui garantit la fiabilité et la mise en relation des données. Il est important de faire prendre conscience à toutes les équipes de l'existence d'une base de données centralisée. Cela permet de créer une vision commune.

6. documenter le projet et les ressources

Pour réussir la mise en œuvre d'un projet de gouvernance des données, vous devez mettre en place des processus standard et trouver un langage commun au sein de l'organisation. Pour cela, mettez à disposition de vos équipes une "cartographie des données" : elle permet d'identifier les stocks de données, leurs flux, leur stockage et leurs méthodes de traitement. Vous rendrez ainsi les données accessibles et compréhensibles pour tous les collaborateurs.

Le dossier de données se compose d'un glossaire commercial avec des définitions précises de toutes les terminologies liées aux données en circulation. S'y ajoute un modèle qui montre la structure des données de l'entreprise et donne des informations sur leur stockage. Un diagramme de flux de données est également indispensable. Le dossier de données contient également une section sur le format des différents types de données et informe sur leurs conditions d'accès et d'utilisation.

7. assurer la qualité des données

Les données orientent la plupart de vos décisions, par exemple le type et le moment des mesures publicitaires ou des campagnes de communication, la segmentation des groupes cibles, la correction ou l'ajout de fonctionnalités sur un site web ou une application mobile. Dans ce contexte, vous devez pouvoir compter sur la qualité des données. En effet, des données de mauvaise qualité peuvent avoir de graves conséquences pour votre entreprise, comme une baisse des revenus, du trafic bloqué par des adblockers ou des conversions surestimées en raison d'une mauvaise attribution des sources.

Pour réduire ces risques, il convient d'être vigilant à toutes les étapes du cycle de vie des données, en commençant par le moment critique de la collecte des données. Toute modification ou mise à jour du site web ou du suivi représente un risque pour la qualité de la collecte. Mettez en place des méthodes et des outils efficaces pour gérer et documenter ce processus.

Veillez tout d'abord à ce que les balises soient correctement mises en œuvre dans vos plans de balisage. Vérifiez-les régulièrement et intégralement, idéalement à l'aide de tests d'acceptation automatisés, car l'exécution manuelle prend non seulement beaucoup de temps, mais augmente également le risque d'erreur.

8. garantir la conformité des données

Depuis la mise en œuvre du règlement général sur la protection des données (RGPD), les entreprises savent à quel point il est important de respecter la protection des données personnelles des utilisateurs sur leurs différentes plateformes numériques. En cas de violation, non seulement des sanctions sont encourues, mais cela peut également nuire à l'image de marque et entraîner une perte de confiance de la part des clients.

C'est pourquoi vous devez vous assurer, sur vos sites web et vos applications mobiles, que le consentement de vos visiteurs est recueilli correctement, librement et en connaissance de cause. À cette fin, vous devez choisir un fournisseur qui dispose d'une gestion rigoureuse des données et qui respecte pleinement les dispositions légales.

9) Démocratiser l'utilisation interne des données

La démocratisation des données au sein d'une entreprise est l'une des composantes élémentaires d'une approche de gouvernance des données. Il s'agit de mettre à la disposition des collaborateurs toutes les informations et ressources nécessaires à l'accomplissement de leurs tâches et à la création de valeur. Certaines mesures peuvent y contribuer, comme la définition des cas d'utilisation de ces données ainsi que l'indication de l'endroit où elles se trouvent et de la manière dont on peut y accéder. La nomination de référents pour les données, qui aident les utilisateurs au quotidien, s'avère également être une bonne idée dans la pratique.

Ensuite, vous devez mettre en place un programme de soutien spécifique. Vous pouvez par exemple organiser des formations et des ateliers internes pour guider les utilisateurs dans l'utilisation opérationnelle des outils et dans l'utilisation des données sur des sujets spécifiques. Pour inciter les collaborateurs à utiliser les données, l'équipe chargée des données peut également concevoir des tableaux de bord pour la gestion des différentes activités.

Auteur :
Adrien Guenther est directeur de l'analyse chez Piano sur le site de Munich, où il fournit depuis une dizaine d'années des conseils stratégiques aux entreprises de la région DACH en matière de planification et de mise en œuvre d'analyses numériques. Avant de rejoindre AT Internet (rachetée par Piano en 2021), Guenther était responsable du département Business Intelligence dans une agence de publicité. Il a également de l'expérience dans l'optimisation et le développement des moteurs de recherche, ainsi que dans le développement d'actifs numériques, de sites web et d'applications en ligne.