Category

Industrie

RGPD « 2.0 », l’histoire continue !

By | Banque/Assurance, Chimie, Conformité, Direction Exploitation, Direction Générale, Gestion de projets, Hospitalier, Industrie, Info Sec, IT, Logistique, Pharmaceutique, Production, Public/Institutions, Qualité, Sécurité de l'information, Transports Publics

RGPD / Comment une réglementation fondatrice s’est-elle muée en rupture culturelle ?

 

Pour beaucoup d’entre nous, 2018 restera comme une année charnière en matière de protection des données à caractère personnel.  Le battage médiatique fut tel qu’aujourd’hui nul n’ignore plus l’entrée en vigueur du désormais célèbre Règlement Général sur la Protection des Données (RGPD), un outil législatif européen qui a induit une double prise de conscience.

La double prise de conscience liée au RGPD

1. Les impacts organisationnels du RGPD : la prise de conscience par les organisations de l’ampleur insoupçonnée des contraintes et des sanctions liées au traitement des données de citoyens européens

La mise en application du RGPD, en mai 2018, constitua un événement majeur pour tous les acteurs du monde économique belge.  Mais pourquoi le RGPD, un règlement qui confirme en grande partie une législation déjà existante, a t’il eu un impact aussi important dans les organisations ?

La crainte des lourdes sanctions financières réservées aux contrevenants ne fut sans doute pas étrangère à la prise de conscience qui s’est rapidement installée autour du RGPD.  Le législateur avait bien fait les choses et les montants évoqués (jusqu’à 4% du chiffre d’affaires mondial) avaient de quoi capter l’attention des managers les plus distraits. Depuis de grands acteurs privés ont senti passer le souffle des premiers boulets (1) mais la perspective d’amendes exorbitantes a peu à peu cédé sa place dans l’inconscient collectif à un autre péril, bien plus dommageable….

(1) : C’est notamment le cas en France où la CNIL a sanctionné Google de plusieurs dizaines de millions d’euros, une somme importante mais qui en regard d’un CA annuel de 77 milliards de dollars reste bien dérisoire.

Quand la perte de réputation devient la véritable sanction…

Alors qu’entretemps les entreprises publiques (et leurs mandataires) se sont vues exonérées des sanctions administratives (…), les sociétés cotées en bourse ont compris l’impact potentiel gigantesque d’une utilisation abusive des données à caractère personnel sur le cours de leurs actions.  Ainsi, lors du scandale Cambridge Analytica, où Facebook fut accusé de revendre les données de ses utilisateurs, le réseau social fit le deuil de 60 milliards de dollars de capitalisation boursière et Mark Zuckerberg de 9 milliards de sa fortune personnelle.  Depuis lors, il ne se passe pas un mois sans qu’un sujet lié à un usage abusif de données personnelles ne se glisse à la une des journaux !

Mais les dommages collatéraux de ces mauvaises pratiques ne se limitent pas au seul cours de bourse.  Car si ces pratiques effraient les investisseurs, elles font également fuir clients, collaborateurs et partenaires en écornant durablement l’image de marque des délinquants.  Au final, entre les chutes boursières et les investissements dans des campagnes de reconquête de notoriété, l’addition est lourde pour les contrevenants !  Bon nombre d’organisations publiques ou privées, petites ou grandes, réalisent aujourd’hui que le risque d’atteinte à leur réputation est devenu réel et non-négligeable mais comprennent-elles toujours l’ampleur du mouvement qui s’est engagé ?

Quand la protection des données à caractère personnel devient un défi stratégique.

Ces scandales, procès et sanctions financières ne sont en effet que la partie émergée d’un iceberg qui s’enfonce plus profondément dans la conscience collective de notre société. La politique de protection des données personnelles mise en place par une organisation n’est plus une obligation légale mais un critère d’appréciation de ses valeurs, de son éthique et de sa probité ! Bientôt, elle constituera pour chacun d’entre nous un moyen d’estimer une entreprise avec laquelle nous établissons des relations et de poser des choix relatifs à notre consommation, tout comme nous le faisons aujourd’hui avec les critères environnementaux et sociétaux.

Menace ou opportunité stratégique ?

Dans le monde économique moderne, il est devenu impensable de mettre en œuvre de nouveaux services en ligne, publics ou privés, sans prendre en compte ce changement de paradigme essentiel. Un service de qualité passe donc aussi par la prise en compte de ces paramètres de protection des données dès les premières étapes de la conception. Nous sommes à l’aube d’une lame de fond qui permettra aux audacieux qui l’auront anticipée d’en tirer profit en se positionnant avantageusement et qui plongera les négligents dans les abîmes de la perte de crédibilité.

« Le RGPD constitue donc une chance unique,
pour chaque acteur économique, de réaffirmer ses valeurs,
de se différencier et de revenir à ses fondamentaux »

2. Les impacts culturels du RGPD : la prise de conscience par les individus de la valeur (financière, morale, …) de leurs données à caractère personnel

Excité par les média qui ont mis en lumière le RGPD, le citoyen lambda n’est plus un oiseau pour le chat. Il comprend que la majorité des services offerts gratuitement en ligne ont fait de ses données un business très lucratif. Et comme le dit l’adage : « si c’est gratuit, c’est que c’est vous le produit ! ».

Un changement fondamental des réflexes et des comportements du grand public

Cette prise de conscience induit dans le grand public une hyper vigilance qui confine peu à peu à la méfiance.  En ligne ou en live, le citoyen n’est plus aussi enclin à divulguer ses informations personnelles.  Aujourd’hui on réfléchit avant de s’inscrire à la newsletter d’un portail internet ou de noter son adresse au dos de la carte de fidélité d’un fleuriste, de peur de voir partir nos informations dans les limbes opaques d’un traitement des données que nous ne maîtrisons pas.  Certains redoutent même l’intensification de la surveillance systématique et la génération de revenus à leur insu.

Les convoitises dont font l’objet les données à caractère personnel doivent être balancées par les droits légitimes des personnes concernées.  C’est pour cette raison que fleurissent aujourd’hui des solutions différentes (Qwant, DuckDuckGo, …), n’hésitant pas à mettre en avant leur caractère protecteur des données personnelles et à en faire un véritable « argument de vente ».

Protéger les données sans tuer le commerce

Le RGPD conscientise le client sur ses droits mais il limite également l’arsenal marketing/commercial des entreprises.  Si chacun se réjouira de la diminution sensible du nombre de spams dans sa boîte mail, les directeurs marketing se voient quant à eux contraints dans leur catalogue d’actions.  A ce titre, on soulignera, non sans sourire, la différence fondamentale de vision entre européens (protection de la vie privée) et américains (protection du commerce et de l’esprit d’entreprise).  De quel coté de l’Atlantique que l’on se place, le débat est loin d’être manichéen et le législateur devra réguler dans la durée pour protéger le citoyen mais aussi pour ne pas (trop) entraver le commerce légitime.

 « Entretemps le RGPD donnera aux entreprises l’occasion
de se recentrer sur « l’intérêt légitime » de leurs démarches
et de revalider les fondements de leur prospection ».

Comment réussir la mutation de son organisation et transformer le RGPD en avantage compétitif de protection des données ?

Mielabelo est impliqué dans une multitude de projets liés à la protection des données à caractère personnel, dans le secteur public ou privé.  Cette position centrale lui permet d’observer les évolutions du marché et d’anticiper les opportunités et les menaces.

Les choses bougent !

Du comité de direction à la machine à café, la protection des données à caractère personnel se fraye un chemin dans toutes les strates et toutes les conversations.  Les structures les plus agiles ont identifié cet enjeu stratégique et l’intègre déjà dans leur organisation interne et leurs processus pendant que les autres acteurs se conscientisent peu à peu à cette nouvelle réalité.  Mais à l’exception de grandes organisations privées qui disposaient déjà d’une culture de la conformité et pour lesquelles le RGPD n’était qu’une obligation supplémentaire, peu de structures ont assimilé les changements fondamentaux dont le RGPD n’est que le sommet émergé.

4 types de comportements se distinguent au sein des organisations :

  1. LES « VICTIMES »
    Des acteurs en manque de compréhension de l’étendue et de la portée du RGPD, qui perçoivent la mise en conformité comme un fardeau.
  2. LES « PASSIFS »
    Des acteurs sans plan de marche clair et structuré qui n’entameront des démarches qu’en réaction à une éventuelle contravention.
  3. LES « PRAGMATIQUES »
    Des acteurs qui ont entamé un projet de mise en conformité, qui sont confrontés à des problèmes d’interprétation des lois et qui réalisent que le RGPD n’est pas qu’un problème réglementaire, mais aussi informatique, process, organisationnel, …
  4. LES « VISIONNAIRES »
    Des acteurs qui ont compris que la mise en conformité n’était pas qu’un projet mais bien un processus continu, qui nécessite des ressources à long-terme, un engagement concret du management et une profonde mutation de la culture interne. Ces visionnaires font « vivre » la protection des données à caractère personnel bien au-delà de la simple application de la réglementation.  En faisant du respect des données une valeur et une culture d’entreprise,  ils ont compris que ce défi stratégique consiste avant tout en une modification des comportements humains et à la mise en œuvre de réflexes simples, efficaces et transverses.

Devenir un « visionnaire »

Quand les « victimes » se focaliseront sur le ‘QUOI’ (registre d’activités de traitement et l’identification des bases légales, la nomination d’un Délégué à la Protection des Données, la formalisation des politiques et procédures nécessaires, les mesures de sécurité et de protection des données, …), les « visionnaires » s’attacheront au ‘COMMENT’:

Visionnaire dans la gestion des personnes

  • Choisir son DPO (Délégué à la Protection des Données) en fonction de quatre critères objectifs : son indépendance, sa formation, sa certification et sa motivation.
  • Impliquer le management : créer un Comité de Sécurité et de Protection des Données doté d’un véritable pouvoir de décision et rassemblant du personnel d’un niveau hiérarchique suffisant.

Visionnaire dans les procédures et processus

  • Favoriser l’amélioration continue en débutant par établir un véritable état des lieux et un référentiel permettant la mesure de la progression de l’organisation dans le temps.
  • Privilégier une approche collaborative et engageante : utiliser des taskforces multidisciplinaires qui impliquent tous les acteurs et créent le changement culturel.
  • Travailler en amont : intégrer la protection des données au sein des processus clé de l’organisation et notamment avant de procéder à la mise en œuvre des nouvelles activités de traitement.
  • Aligner les mesures de protection sur les risques réels en matière de sécurité de l’information (éviter la surprotection/le surinvestissement ou à l’inverse la sous-protection/le sous-investissement).
  • Documenter les choix posés pour justifier les interprétations du texte légal en cas de contrôle

Visionnaire dans les outils

  • Instaurer un programme pluriannuel structuré permettant à tous les acteurs impliqués de disposer des outils pour appliquer concrètement les bonnes pratiques dans leur travail quotidien.
  • Créer une démarche continue : disposer des outils nécessaires pour maintenir et mettre à jour la base documentaire de conformité sur la durée.

Pour ces raisons, bon nombre d’organisations envisagent aujourd’hui la mise en place d’un système de gestion ISO27001 comme soutien pérenne et durable de ce processus de mise en conformité.


Conclusions

Comme pour tout texte légal, bien des articles du RGPD doivent être correctement interprétés et chaque organisation peut, en documentant ses décisions, justifier les choix qu’elle fait en fonction de ses spécificités propres. Il n’y a donc pas une seule façon de mettre en œuvre la protection des données à caractère personnel, mais bien autant de solutions que d’organisations !

Pour réussir la mutation de son organisation et transformer le RGPD en avantage compétitif de protection des données, il est fondamental de prendre du recul et d’appréhender les choses sous l’angle le plus large possible. 

Les données à caractère personnel interviennent dans pratiquement tous les processus de l’organisation.  S’interroger sur la protection de ces données permet de remonter toute une série d’opportunités d’amélioration au niveau structurel.  Plus complexe qu’une simple ‘checklist’ dont les cases sont à cocher, cette mise en conformité ‘2.0’ s’avère :

  • Un chemin plus long car il s’agit d’un processus continu, gérant la problématique de conformité sur la durée et non un projet avec un début et une fin.
  • Un chemin plus large car les implications du RGPD touchent TOUS les services (IT, RH, …), impliquent de nombreux acteurs (juristes, informaticiens, sécurité de l’information, gestion des risques, ressources humaines, achats, …) et ne s’arrêtent pas aux frontières de l’Europe.
  • Un chemin plus profond car les réflexes attendus doivent s’intégrer dans une mutation forte de la culture interne.
  • Un chemin plus radieux car bien au-delà de son image coercitive, le RGPD constitue pour chaque acteur économique une occasion unique de se poser les bonnes questions, de revenir à ses fondamentaux et d’induire les changements qui lui permettront de mieux (ré)affirmer sa différence compétitive.
Mathieu Briol
Practice Manager InfoSec

CAMPUS MIELABELO unique partenaire PECB Platinium en Belgique

By | Banque/Assurance, Chimie, Conformité, Direction commerciale, Direction Exploitation, Direction Générale, Gestion de projets, Hospitalier, Industrie, Info Sec, IT, Logistique, Pharmaceutique, Production, Public/Institutions, Qualité, Quartiers Opératoires, Sécurité de l'information, Transports Publics

De plus en plus d’experts du secteur connaissent aujourd’hui PECB (Professional Evaluation and Certification Board – www.pecb.com).

En une dizaine d’années, cet organisme mondial est en effet devenu quasi- incontournable en matière de formation et de certification des personnes pour un large éventail de normes internationales (ex. ISO 9001, ISO 14001, ISO/IEC 20000, ISO 22301,ISO/IEC 27001, ISO/IEC 27005, OHSAS 18001, ISO 22000, ISO 26000 et ISO 28000).  Internationalement reconnu, PECB a gagné une solide réputation d’intégrité, de respect des valeurs et des meilleures pratiques en fournissant cette assurance sur base d’exigences de compétences rigoureuses et internationalement reconnues.

PECB offre une expertise et des certifications dans les domaines comme la sécurité de l’information ou l’IT mais aussi en Business Continuity, Service Management, Quality Management Systems, Risk & Management, Health, Safety et Environnement.

 

Campus Mielabelo, UNIQUE PARTENAIRE PECB PLATINIUM EN BELGIQUE ! 

Depuis sa création, Campus Mielabelo est un partenaire actif de PECB, dispensant de nombreuses formations certifiantes du groupe d’origine canadienne à travers le pays. Aujourd’hui il voit ses efforts récompensés et reçoit la distinction suprême en devenant le seul partenaire Platinium du PECB en Belgique.

 

« Depuis de nombreuses années, nous sentions une demande et un besoin grandissants en termes de formation, c’est pourquoi nous avons créé Campus Mielabelo début 2013.  Aujourd’hui les évolutions culturelles, technologiques ou réglementaires des marchés accélèrent ces besoins.  Je n’en voudrais pour preuve que le boom des certifications autour du RGPD (Règlement général de protection des données) auxquelles nous avons à faire face depuis près d’un an.  Que ce soit en IT ou dans d’autres domaines, la plupart de nos clients et de nos experts internes profitent de formations régulières pour maintenir leur qualité de travail dans un monde économique en constante mutation. Avec PECB nous disposons d’une large palette de formations mais surtout de certifications internationalement reconnues ». Mathieu BRIOL, directeur de Campus Mielabelo.

 

De nouvelles solutions « tout-en-un » en RGPD ou ISO27001

Les feedbacks des formations dispensées entre les deux partenaires permettent une amélioration continue des cours PECB et un contenu sans cesse plus adapté aux besoins nationaux, comme par exemple le RGPD.

L’extension du partenariat avec PECB permet en effet aujourd’hui à Mielabelo d’offrir des packages mêlant Conseil/Accompagnement/Formations dans le cadre de projets de mise en conformité RGPD ou ISO27001 et de répondre ainsi à la demande croissante du marché avec un produit simple et circonscrit.

Cinq raisons de lancer un projet de certification ISO27001

By | Alignement, Banque/Assurance, Chimie, Conformité, Direction Générale, Hospitalier, Industrie, Info Sec, IT, Pharmaceutique, Public/Institutions, Sécurité de l'information, Transports Publics | No Comments

Contexte.

La norme ISO27001 s’est imposée depuis plusieurs années comme LA référence en matière de sécurité de l’information. Cette norme, ainsi que les différents documents qui l’accompagnent (ISO27002, ISO27005, etc.), permet de structurer les efforts en matière de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion liée à la sélection de mesures de sécurité.

Quels sont les avantages concrets de la mise en œuvre d’un système de management de la sécurité de l’information (SMSI) ‘estampillé’ 27001 ?

  1. Se différencier et créer un avantage compétitif
    Dans le contexte d’un marché où peu de concurrents ont fait l’effort d’investir dans ce type de certification, le précieux sésame peut rapidement se transformer en une arme commerciale redoutable. Bien utilisé, l’argument aidera à marquer la différence avec les concurrents.
  2. Gérer ses risques de manière systématique et inspirer la confiance chez ses partenaires
    L’obtention d’une certification peut constituer un signal d’engagement vers les différentes parties prenantes. La certification ISO 27001 d’une organisation délivre un message fort en direction de ses partenaires, qu’ils soient clients, employés, citoyens ou fournisseurs et contribue ainsi à créer une relation de confiance. Elle démontre :

    • que l’organisation a mis en place des processus efficaces de gestion de la sécurité de l’information
    • que la direction considère la sécurité de l’information comme une thématique importante à laquelle des moyens humains et financiers sont alloués.
  1. Répondre à un besoin ou une exigence de vos clients
    De nos jours, la sécurité de l’information et la protection des données à caractère personnel est devenue un sujet d’actualité. Clients et partenaires peuvent dès lors raisonnablement s’inquiéter du traitement réservé aux informations confiées à leurs prestataires et même, les obliger à adapter leurs procédures. La certification ISO27001 pourrait ainsi se généraliser dans le panel des exigences des acheteurs publics ou privés.
  1. Réduire les coûts de gestion de la sécurité
    La norme ISO27001 instaure le rôle central de la gestion des risques dans l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est tout d’abord les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporter et sélectionner des mesures de sécurité en adéquation avec l’ampleur des risques identifiés. De par sa structure et les réflexes qu’elle promeut, la norme ISO27001 aide à sécuriser de manière raisonnable et raisonnée les informations et à ne pas surinvestir inutilement dans la protection des données.
  1. Assurer la conformité
    Règlement Général de Protection des Données, normes d’industrie telles que PCI-DSS ou SOX, lois et règlementations (inter)nationales en vigueur… autant d’éléments à prendre en compte pour lesquels une mise en œuvre ciblée d’un SMSI 27001 pourrait permettre d’obtenir une conformité et d’éviter toute amende ou sanction éventuelle.

 

Solutions

Sur le terrain, les consultants de Mielabelo ont notamment la charge de :

  • Implémentation et maintien d’un système de management de la sécurité de l’information ISO 27001
  • Analyse de risque (ISO 27005), analyse d’impact sur la vie privée
  • Plan de traitement des risques et mise en œuvre de mesures de sécurité (ISO 27002)
  • Protection des données à caractère personnel et gestion de la conformité
  • Sensibilisation, formation et sensibilisation vers les différents acteurs impliqués

Que faire face à l’augmentation des cyberattaques ?

By | Banque/Assurance, Chimie, Conformité, Hospitalier, Industrie, Info Sec, IT, Performance, Pharmaceutique, Public/Institutions, Sécurité de l'information, Transports Publics | No Comments

Contexte.

« De nos jours, les médias renseignent régulièrement des attaques, piratages ou fuites de données dont sont victimes de nombreux organismes, tant publics que privés et ce tous secteurs confondus.  Pourtant, ces nombreux événements ne reflètent que la partie visible de l’iceberg du hacking.  Aujourd’hui les grandes organisations comme les petites et moyennes entreprises sont sous la menace de l’exploitation des vulnérabilités techniques inhérentes à tout système d’information.

Le traitement de ces problématiques impose une gestion des vulnérabilités efficace, adaptée au contexte de l’organisation et mise en oeuvre de façon transverse autour des trois piliers que sont le processus, la technologie et les individus :

  • Processus
    Le processus générique de gestion des vulnérabilités s’appuie notamment sur le modèle ITIL et s’intègre avec les autres processus IT existants.
  • L’aspect technologique implique :
    • la mise en place d’un outil de scan permettant d’automatiser les activités de recherche et d’évaluation des vulnérabilités.
    • une veille technologique afin d’être informé rapidement de l’existence de nouvelles vulnérabilités et des correctifs de sécurité associés.
  • Individus
    Souvent négligée, l’implication de tous les acteurs n’en est pas moins indispensable à une approche efficace des vulnérabilités.

    1. Le management doit être informé de la valeur et de l’intérêt du programme afin d’allouer les ressources nécessaires à sa mise en oeuvre.
    2. Les directions métier et le département informatique doivent clairement identifier les impacts opérationnels, budgétaires et logistiques du programme (gestion des priorités, détection des coûts cachés, …).

 

Solutions

Les consultants de Mielabelo mettent en oeuvre ces solutions transverses impliquant processus, technologie et personnes.

Au quotidien, ils assurent :

  • La formalisation de processus de gestion des vulnérabilités, adapté au contexte et aux besoins de l’organisation
  • La sélection d’outils informatiques adaptés au contexte et aux réalités de l’organisation
  • La mise en place de la gestion des vulnérabilités au sein des équipes et la gestion du changement inhérente à ce type de projet
  • La mise en oeuvre d’initiatives transversales et complémentaires telles que la sensibilisation des personnes impliquées et l’intégration de la sécurité dans les projets informatiques

La gestion temps réel des projets d’amélioration par l’Obeya (Lean Management)

By | Banque/Assurance, Chimie, Direction commerciale, Direction Exploitation, Direction Générale, Gestion de projets, Gouvernance, Hospitalier, Industrie, IT, Logistique, Opex, Performance, Pharmaceutique, Production, Public/Institutions, Qualité, Transports Publics | No Comments

Contexte.

Le pilotage des projets, quels qu’ils soient, donne souvent lieu à une structure assez statique se limitant à des réunions de revue d’avancement où les participants ne sont pas toujours tous pleinement concernés et impliqués.  Généralement tenues a posteriori, ces réunions ne disposent que de peu de possibilités de réaction rapide.

 

Solution

Pour suivre efficacement un projet en temps réel, il convient de rassembler les informations du projet et les intervenants dans un même lieu afin de pouvoir prendre rapidement et régulièrement des actions de remédiation. Baptisée « salle Obeya », cet endroit s’inscrit comme un outil classique des approches Lean.   Cette salle de pilotage est une déclinaison intégrée du « visual management » qui a pour objectif d’assurer l’alignement des activités de projet avec les attentes et les besoins des Clients.

Quels sont les rôles d’une salle Obeya ?

  • Créer un espace partagé (avec les acteurs du terrain) où différents indicateurs pertinents sont rassemblés. Elle doit disposer les éléments matériels comme des tableaux fixes ou amovibles, des tableaux papier, …
  • Intégrer le plus clairement possible ce que le Client veut, pas ce qu’on peut lui fournir mais aussi ce dont le Client se plaint et ce qu’il craint.
  • Donner un état de l’attente des objectifs (on y arrivera ou pas?) en quelques indicateurs et tableaux.
  • Permettre, en plus d’un affichage des résultats, une analyse en temps réel des problèmes.

Truffée d’indicateurs du déploiement de la solution en cours et des problèmes rencontrés, la salle Obeya sera donc également un espace de recherche de solutions et de résolutions immédiates.

Ces éléments sont agencés selon trois grandes zones :

  • La zone donnant la cible : on y retrouve les objectifs du projet (stratégiques, financiers, commerciaux, organisationnels, …) qui sont souvent décrits dans un PID ou un «project charter ». On y retrouve aussi la Voix du Client (VoC) càd les attentes spécifiques, quantifiées et précises (ex : Nous devons pouvoir créer un contrat d’assurance en moins de 40 minutes).  De la même manière, on y rassemble des dessins ou des écrans de la solution à implémenter, de manière à garder en tête ce que le Client a demandé de recevoir ;
  • La zone « santé du projet » : on va y présenter des plannings macro (un gantt chart) mais aussi le planning des équipes (qui fait quoi dans les prochains jours). On y place aussi les indicateurs du projet.  Ces derniers doivent être très spécifiques et donner une vision univoque sur la progression du projet ;
  • La zone des problèmes : les projets connaissent généralement des soucis. La puissance de la salle Obeya est justement d’adresser les problèmes en temps réel par les outils du Lean management (analyse des causes, 5 Pourquois, …) et de proposer des remèdes rapides et pragmatiques (kaizen) avant que les écueils ne s’accumulent.

La réalisation pratique ne nécessite pas toujours un local dédié ; des agencements de panneaux peuvent également être prévus.

L’Obeya peut également être supportée de manière numérique par des applications mobiles gratuites, permettant une modification simple et dynamique du statut des activités de projet ou autres.

L’intérêt de l’approche repose sur :

  • Une mobilisation et une participation des intervenants impliqués directement dans la problématique discutée,
  • Un moment court (15 minutes) de réunion, à fréquence rapide (quotidienne), pour adresser les problèmes du moment,
  • Une discipline d’équipe qui crée un rituel de concertation et d’échange, facilitant la transformation.

Transformation digitale de la Supply Chain

By | Banque/Assurance, Chimie, Gouvernance, Hospitalier, Industrie, Logistique, Opex, Performance, Pharmaceutique, Transports Publics | No Comments

Contexte.

Des chaussures livrées « next business day », cela n’étonne aujourd’hui plus personne ! Notre mode de vie s’accélère et le monde de la logistique et de l’approvisionnement doit pouvoir suivre ce rythme.

De réelles opportunités logistiques existent aujourd’hui, rendues possibles par la technologie et notamment par l’apparition des objets connectés.  Si quelques initiatives voient le jour (cf. lien youtube sur UPS et chronodrive), les retours sont mitigés : 5% des entreprises ayant mis en œuvre ces technologies, seulement, se déclarent « Très satisfaites » (enquête Infor / GT Nexus 2016).

Pourquoi un tel constat ?  Bien souvent, ces déploiements d’objets connectés ne se font que sous un angle technologique, une perspective trop étroite pour créer une valeur ajoutée réelle pour l’entreprise.

 

Solutions

Mielabelo a bâti un cadre d’analyse et de réflexion permettant aux décideurs de choisir les projets les plus attractifs pour améliorer la performance de leur organisation :

  • Quel est le domaine d’application ? Pour quels segments de clients, dans quelles régions, pour quels canaux, pour quels produits, etc. ?
  • Quels sont les bénéfices visés ? Gérer en temps réel, renforcer la transversalité entre les acteurs, améliorer la performance et la compétitivité, accroître la traçabilité et la visibilité, renforcer la relation Client, permettre aux objets connectés de prendre des décisions, etc. ?
  • D’où partons-nous ? la culture de notre organisation, nos compétences, notre maturité technologique et organisationnelle, notre capacité à gérer de gros volumes d’informations variées changeant rapidement, etc. ;
  • Comment mettre en œuvre cette transformation ? Changer le business model, proposer une nouvelle valeur ajoutée au Client, créer des partenariats, transformer notre fonctionnement et nos équipes, etc. ;
  • Quelle est notre feuille de route ? Les quick-wins potentiels, le degré de « customisation » nécessaire, le programme de transformation (organisation, processus, compétences), etc.

En pratique, Mielabelo intervient avec une démarche Top-Down permettant à la Direction de :

  • Revisiter le business model pour identifier la valeur réelle à créer,
  • Aligner l’écosystème digital pour répondre aux besoins et aux objectifs,
  • Adapter/Créer le modèle de fonctionnement cible,
  • Définir le modèle de gouvernance de la transformation digitale (données, sécurité, compétences, etc.),
  • Décliner le modèle en initiatives pilotes, par petits pas, sur le terrain et avec les équipes,
  • Accompagner le changement et former le personnel.

Cette approche a d’ailleurs été présentée au salon « Transport & Logistique » de Liège en mai 2017 avec la collaboration de l’ABCAL (www.abcal.org) et de Logistic in Wallonia (www.logisticsinwallonia.be).

Implémentation des normes SOX chez Industeel

By | Alignement, Conformité, Gouvernance, Industrie, Info Sec, IT | No Comments

Contexte

La loi Sarbanes-Oxley Act (SOX) réglemente les activités de reporting et d’audit financier des sociétés cotées en bourse.  Elle impose des exigences strictes de reporting et tient les cadres dirigeants pour responsables de l’exactitude des données financières, divulgation et contrôles internes, et prévoit des amendes en cas de non-conformité.

Du point de vue de la sécurité informatique, la loi SOX exige par ailleurs des preuves montrant que les applications financières et les systèmes et services sur lesquels elles reposent sont sécurisés de manière adéquate. Il faut notamment fournir un rapport annuel contenant les contrôles et procédures internes mis en œuvre pour le reporting financier, ainsi qu’une évaluation de l’efficacité de ces contrôles et procédures confirmée par un auditeur externe.  Cela engendre généralement une importante charge d’amélioration de la documentation et des processus sur la sécurité IT et les activités IT en général.

Solution

L’intervention de Mielabelo par rapport à ces problématiques s’est déclinée en trois moments :

  • Un état des lieux de type pré-audit
  • Une rédaction des principaux processus et procédures de sécurité
  • La mise en place d’une solution de gestion ITSM pour prendre en charge les incidents informatiques

1. Etat des lieux

Tout d’abord, le client Industeel était sur le point d’accueillir des auditeurs SOX et souhaitait préparer au mieux cet audit en obtenant un état des lieux externes de sa conformité, principalement au niveau des IT General Controls. La première partie de la mission visait donc la réalisation d’un audit vis-à-vis de la conformité IT face aux réglementations SOX. L’intérêt principal de ce type d’audit est, d’une part, de fournir un état des lieux en termes de conformité et de mettre en évidence les points d’amélioration possibles (tant en termes d’organisation, de processus ou de gestion opérationnelle).  D’autre part, ce type d’audit permet également de proposer un ensemble de recommandations de mise en œuvre, assortis d’un plan d’actions permettant d’atteindre, à minima, les objectifs de conformité.

Mielabelo a :

  • réalisé l’audit sur base d’interviews et d’analyse des documents disponibles
  • rédigé le rapport d’audit reprenant les différents constats d’audit, un état des lieux en termes de conformité SOX, un ensemble de recommandations d’amélioration et un plan d’action permettant la mise en œuvre de celles-ci
  • réalisé une présentation couvrant les différents points repris dans le rapport d’audit aux différentes parties prenantes.

 

2. Accompagnement du client

A la suite de ce premier état des lieux, la mission s’est poursuivie par un accompagnement du client dans la mise en œuvre des recommandations et du plan d’action formulés lors de l’audit. Ces recommandations ont été déclinées au sein d’une approche méthodologique plus globale en termes de gestion de la gouvernance, des risques et de la conformité, concernant la mise en œuvre, le suivi et l’amélioration continue des éléments factuels définis au sein de la base documentaire.  Il a été réalisé dans ce contexte un découpage des activités d’accompagnement en différents domaines (Gestion ces accès, gestion des incidents, gestion des changements, gestion des sauvegardes et de la continuité, etc.) tel que proposé dans le plan d’actions initial.

Ce découpage a été implémenté au sens d’une approche commune pour chacun de ces domaines : la formalisation de la base documentaire, incluant notamment la documentation des politiques et des processus de référence, la conduite d’ateliers permettant, de façon collaborative, de clarifier certains points et d’apporter des améliorations aux documents initiaux et la mise à jour de ceux-ci, la formalisation et la mise à jour de l’ensemble de la base documentaire.

 

3. Mise en oeuvre ITSM

Enfin, de manière plus spécifique et suite aux recommandations, Industeel a demandé à Mielabelo de l’accompagner sur la mise en œuvre d’un outil ITSM.  Face à des contraintes de temps et la nécessité d’une mise à conformité rapide et facile, Mielabelo a recommandé de mettre en œuvre la solution Easy Vista.

Les principales réalisations ont été les suivantes :

  • Configuration du socle commun et du module d’administration
  • Mise en place des processus gestion des incidents, des demandes, des problèmes et des changements.
  • Mise en œuvre du module reporting, définition et réalisation des tableaux de bord
  • Données de base
  • Mise en œuvre des processus
  • Transfert des compétences
  • Reprise de la base des données existantes