Transformation digitale et protection des applications métier

PARTAGER

Facebook
Email
WhatsApp

Comment protéger nos applications métier ? Les PME et ETI sont en plein dans l’ère de la transformation digitale : la virtualisation, le cloud et la conteneurisation se démocratisent. Les acteurs traditionnels de la finance ou de la santé voient l’émergence de jeunes concurrents plus agiles. Ces derniers offrent des nouvelles technologies qui leur permettent d’obtenir un avantage sérieux grâce à leur rapidité de mise sur le marché, leur flexibilité et leur résilience. Cette nouvelle donne oblige les entreprises établies à proposer elle aussi ces nouvelles technologies afin répondre à ce nouveau défi qui leur est lancé. Petit tour d’horizon…

Par Franck Boccara

Nous avons la chance de vivre un moment passionnant pour les technologies B2B mais qu’en est-il du moteur de l’entreprise, à savoir les applications métier critiques ? La valeur ajoutée d’applications cloud et SaaS n’est plus à prouver mais leur sécurité doit être réellement prise au sérieux sous peine de menacer la sécurité de l’organisation de façon plus générale.

Pour commencer, Il est primordial que le Directeur des Services Informatiques (DSI) puisse avoir l’oeil sur la totalité des informations qui circulent et sur les différentes applications installées sur les terminaux et machines des collaborateurs. De fait, en fonction du service et du secteur d’activité de la structure, chaque employé a sa propre liste d’applications critiques et de données associées qui sont susceptibles, en cas de compromission ou de perte, d’entrainer une interruption de l’activité plus ou moins longue. Cela peut être, par exemple, des applications de transaction financière contenant des données client sensibles, des ERP qui permettent de gérer les stocks d’entreprises ou d’hôpitaux ou même des transactions relatives à des dossiers de santé électroniques, qui renferment des informations personnelles de santé primordiales pour les prestataires de soins, les hôpitaux ou les compagnies d’assurance. Dans tous les cas, aucune application ne doit être utilisée à l’insu de l’entreprise ou de l’organisation.

Cependant, trop de responsables ne pensent pas à sécuriser leurs applications métier et continuent à prendre des risques. Ces imprudences peuvent nuire à leurs investissements financiers dans ces applications et à la pérennité de leur relation clients. En dépit de ces dangers, 70 % des entreprises interrogées ne pensent pas que la sécurité de ces applications soit une priorité. Il existe pourtant quelques actions simples qui renforceraient leur sécurité :

  • Cerner les applications les plus critiques : Le DSI doit avoir une visibilité totale sur les applications métiers utilisées et sur leur usage par les différents services pour définir précisément ce qui doit être sécurisé dans son réseau. Cela peut être des applications SaaS ou des applications personnalisées mises en place par le biais d’outils et de méthodologies DevOps.
  • Connaitre et sécuriser le cloud : Il faut absolument créer une stratégie cloud, un plan de migration et un planning avant toute opération de transfert des applications locales vers le cloud ou vers de nouvelles applications SaaS. De la sorte, une entreprise voulant effectuer ce basculement devra s’assurer de la collaboration avec les services concernés de façon transversale afin de garantir la sécurité des accès à privilèges.
  • Sécuriser l’accès des administrateurs qui gèrent les applications métier critiques : il faudra pour cela rassembler toutes les informations d’identification des administrateurs qui sont en charge des applications critiques identifiées et de définir un système de rotation des mots de passe. Ainsi, le DSI garanti leur renouvellement ainsi qu’une meilleure protection des compte. Il devra également isoler les sessions pour prévenir le vol de données d’identification. Cependant, bien souvent, les administrateurs de ces applications n’appartiennent pas à l’équipe informatique mais plutôt aux services des finances, du marketing ou des ressources humaines.
  • Pensez aux machines ! : En plus de la protection des comptes gérés par des membres de l’organisation, il ne faut pas oublier de sécuriser les informations d’identification et les comptes de service à privilèges que les machines et applications utilisent. Les informations d’identification codées en dur sont un facteur de risque conséquent pour les applications critiques et devront donc être éliminées.

La négligence des mesures de sécurité dans ce domaine peut avoir des conséquences amères : Effet négatif sur le chiffre d’affaires, dégradation de la relation client et risques commerciaux liés aux données compromises. Pour combler ces lacunes, les solutions de sécurité d’accès à privilèges permettent une vision globale de la protection de ces applications, elles aident le DSI à hiérarchiser et à protéger les applications et les données les plus importantes de son organisation et donc à en assurer le succès.

SHARE

Facebook
Twitter
LinkedIn
Email
LinkedIn
WhatsApp
PLUS D'ARTICLES

Votre client vous envoie un questionnaire d’intégrité à compléter ? Votre banque vous demande de déclarer vos possibles interactions avec des pays sous embargo ? Vous avez dû constituer un registre de vos traitements de données ? Toutes ses obligations relèvent de la compliance. Mais qu’est-ce que c’est que la compliance ? Cet anglicisme, parfois traduit par le mot « conformité », peut être défini comme : le « mode d’emploi de la loi ».

Par Cécilia Fellouse

En effet, la compliance est une méthodologie qui vient donner les moyens aux sociétés et aux individus de respecter en pratique leurs obligations juridiques.

Si l’on devait faire un parallèle avec la circulation routière, le Code de la Route (la loi) vient poser les principes juridiques alors que la signalisation, les feux, les marquages au sol (la compliance) assistent l’usager dans le respect de la règle.

En France, la loi Sapin 2 du 9 décembre 2016 est bien connue pour avoir imposé aux dirigeants de sociétés de plus de 500 salariés et plus de 100 millions d’euros de chiffre d’affaires l’obligation de déployer un programme de lutte contre la corruption.

Elle constitue un parfait exemple de ce qu’est la compliance. En effet, la corruption, en elle-même, est prohibée et sanctionnée par le Code Pénal depuis 1810. La loi Sapin 2, elle, vient lister les outils qui doivent être concrètement mis en place afin de prévenir, détecter, et enfin remédier à la corruption.

Ces outils, tous typiques des programmes de conformité, sont : une cartographie des risques, un code de conduite anticorruption, un système d’alerte, des formations pour les personnes exposées, un système d’évaluation des tiers, des contrôles spécifiques…

Classiquement, les domaines du droit qui font l’objet de règles de compliance sont les suivants :

  • la lutte contre la corruption,
  • la protection de la libre concurrence,
  • la lutte contre le blanchiment de capitaux et le financement du terrorisme,
  • le respect des programmes de sanctions internationales et embargo,
  • la protection des données,
  • la protection des droits humains.

Que faire alors face à toutes ses règles et face aux demandes de plus en plus fréquentes, précises et techniques venant de votre écosystème ?

Il convient, évidemment, tout d’abord de faire le tri entre les obligations qui sont les vôtres d’un point de vue légal (par exemple certaines dispositions de la loi Sapin 2 s’appliquent à toutes sociétés privées et collectivités publiques de plus de 50 salariés) et celles qui viennent de vos partenaires d’affaires (ex. vous n’entrez pas dans les seuils de la loi Sapin 2 mais recevez de plus en plus de questionnaires avec demande de documentation de la part de vos donneurs d’ordres).

En toute hypothèses, les grands principes sont les mêmes. Nous pouvons en identifier deux ici :

1. La compliance est une approche pragmatique et opérationnelle.

Première conséquence de ce premier principe.

Les outils et mesures instaurés en interne doivent être adaptés à la société, ses activités et ses risques. C’est cette approche par les risques qui gouverne la stratégie compliance de toute société, quelle que soit sa taille.

Deuxième conséquence de ce premier principe.

Les règles de compliance doivent être, le plus possible, intégrées à l’existant. Il y a le plus souvent dans les entreprises beaucoup de très bonnes pratiques déjà en place ; utilisons-les ! Par exemple, vous faites déjà une vérification de solvabilité de vos partenaires d’affaires ? Certains prestataires de solution offrent également des vérifications sur l’intégrité de ces derniers.

Le fait d’intégrer des éléments de sécurisation compliance dans les systèmes existants est plus efficace et plus facile à mettre en œuvre.

Troisième conséquence de ce premier principe.

Les règles que l’on pose en interne doivent être appliquées en pratique. La situation à éviter est celle où l’on impose des règles, on clame des valeurs et des principes et que ces derniers n’aient pas de réalité. Ce type de situation comporte des dangers pour les entreprises vis-à-vis de leurs salariés, actionnaires, clients et de la société civile.

2. La compliance est au service de votre stratégie

Certes, l’existence de programmes de conformité va venir rassurer vos donneurs d’ordre, donner le ton vis-à-vis de vos fournisseurs, vous permettre de remporter des appels d’offres et répondre aux attentes de vos actionnaires ou acquéreurs potentiels.

Au-delà des chartes éthiques, des codes de conduite, des questionnaires et des modules de formation, l’intégrité dans la conduite des affaires doit s’intégrer à votre stratégie d’entreprise. Par exemple, une analyse des pays dans lesquels vous êtes implantés peut révéler que les pays qui représentent pour votre société les plus grands risques de corruption sont également ceux où les délais de paiement voire la solvabilité de vos partenaires sont les plus mauvais.

Une compliance sans culture de l’intégrité s’essouffle. A l’heure de la recherche de la preuve de l’efficacité des programmes de conformité, il importe que tout effort de compliance qu’il soit petit ou grand, soit soutenu par cette culture d’entreprise.

Les grandes écoles françaises intensifient leur développement en Afrique pour bénéficier de ce marché en pleine expansion. A l’image de l’ESSEC, HEC ou Centrale, ces écoles s’implantent dans les pays francophones au fort potentiel économique tels que La Côte d’ivoire, le Maroc ou le Sénégal et créent de la sorte un partenariat gagnant-gagnant puisqu’elles représentent une alternative pour les étudiants africains qui n’ont pas les moyens de faire leurs études en France.

Par Franck Boccara

Les grandes écoles françaises ont pour coutume d’accueillir les étudiants africains dans l’Hexagone mais à présent elles vont à leur rencontre en s’implantant directement sur le sol africain pour profiter de ce marché exponentiel et rayonner à l’international. en effet, Le nombre d’étudiants devrait passer de 8 à 30 millions en Afrique d’ici à 2030 alors que de nombreux pays de ce continent souffrent d’un déficit de formations supérieures.Il ne se passe pas un mois sans qu’une école publique française ou privée (l’Ecole supérieure de gestion ou l’Ecole supérieure de génie informatique) n’annonce l’ouverture d’un campus ou d’un bureau de représentation en Afrique.

Le Maroc en tête

Il faut compter une bonne dizaine de grandes écoles françaises qui ont ouvert leurs portes au Maroc en douze ans, parmis lesquelles l’Ecole des Mines, Centrale, l’Insa, l’Essec, l’université Paris-Dauphine ou encore l’école de management Toulouse Business School qui a inauguré son nouveau campus à Casablanca en mai 2017.La capacité d’accueil des universités marocaines arrivant à saturation, le pays compte sur ces prestigieuses grandes écoles françaises pour former les très nombreux ingénieurs et entrepreneurs dont il a besoin. De plus, Le Maroc joue intelligement la fonction de trait d’union entre l’Europe et l’Afrique, et attire de nombreux étudiants subsahariens dans ses universités.Avec l’arrivée de ces grands établissements français, le royaume chérifien va chercher à se positionner comme le hub de la formation universitaire en Afrique en s’appuyant sur sa proximité et son accessibilité pour les étudiants africains et représenter ainsi un parfait compromis puisque le diplôme français reste un titre prestigieux et monnayable pour ces derniers.La formation des futurs cadres africains s’inscrit dans la stratégie marocaine d’influence en Afrique. L’Agence marocaine de coopération internationale (AMCI) vient justement d’annoncer une augmentation du nombre de bourses destinées aux étudiants subsahariens. A l’Ecole Centrale de Casablanca, plus de 30% des étudiants viennent d’Afrique subsaharienne.

Sénégal et Côte d’Ivoire

Le Sénégal et la Côte d’Ivoire ne sont pas en reste. Ils accueillent également  les grandes écoles françaises ainsi que de nombreux d’étudiants venant des pays d’Afrique de L’Ouest.
HEC, par exemple, qui forme depuis des années des cadres africains (en formation continue) en Afrique du Sud, au Kenya à Madagascar et au Maroc, vient d’ouvrir un bureau à Abidjan.

Autre exemple: une école de cybersécurité à vocation régionale a été inaugurée le 6 novembre 2018 à Dakar avec, pour vocation, d’accompagner la montée en puissance de l’internet africain. Cet établissement a pour projet également de lutter contre le piratage informatiquequi très actif en Afrique.

Bien que La francophonie permette de créer un lien fort, les pays anglophones comme l’Afrique du Sud, le Ghana, ou le Kenya, ne sont pas oubliés. En effet, Sciences-Po a annoncé l’inauguration de son premier bureau de représentation à Nairobi, au Kenya tandis que L’ESIEE, école d’ingénieurs française, possède deux campus en Afrique du Sud, au Cap et à Pretoria.

Erasmus+

Devancée de très loin par New York, Londres ou Hong Kong, l’Afrique arrive cependant à attirer les étudiants français par le biais du programme européen Erasmus +.
De plus en plus d’étudiants européens décident d’effectuer leurs stages internationaux sur le continent africain qui émerge et où convergent tous enjeux contemporains.
Bien sur, la concurrence n’est pas en reste puisque les universités américaines ou chinoises renforcent elles aussi leur présence pour former la nouvelle jeunesse africaine, et repérer les meilleurs talents.

On a souvent entendu parler de produit structuré, que ce soit en bien ou en mal. Mais, au fond qu’est-ce que c’est ? Est-ce adapté à mon profil de risque ? Quelle est la bonne proportion à détenir ? Et surtout, vers quels produits s’orienter ?

Par Géraldine Métifeux, associée fondatrice d’ALTER EGALE

Un produit structuré est juridiquement une obligation. Ce qui implique donc que la première question à se poser est : qui l’émet ? Car si l’émetteur fait défaut, le produit ne vaudra pas grand-chose. C’est pourquoi, il est pertinent de vérifier quelle est la notation de l’émetteur. Plus il est solide, mieux vous serez protégé contre ce risque.

Puis, une autre question à se poser est quel type de produit est-ce ? Risqué ou bon père de famille. Ce qui est intéressant, lorsqu’on dispose d’un conseil en gestion de patrimoine et d’un certain capital disponible, est que le produit peut être fait sur mesure. C’est-à-dire qu’il est dédié à vos contraintes, vos espoirs de gain, votre acceptation du risque et votre horizon de placement. Le produit structuré peut être logé dans un compte-titres ou dans un contrat d’assurance (assurance-vie ou contrat de capitalisation).

Il existe presqu’autant de possibilités de produits structurés que d’investisseurs. Par choix et souhait de simplifier l’exercice, nous étudierions ici comment fonctionne un produit structuré de la famille des autocalls dits Phoenix. Nous nous situons plutôt dans la catégorie « bon père de famille » mais non sans risque.

Les produits Phoenix présentent l’avantage majeur de promettre un rendement sous certaines conditions même si les marchés actions baissent (le sous-jacent baisse) et de protéger le capital au terme du produit (mais pas en cours de vie). En décembre 2020, après une année très compliquée sur les marchés actions et notamment en Europe, on peut hésiter à acheter des actions ou des OPC actions par crainte que cela baisse à nouveau. Le produit Phoenix est alors idéal.

Nous traiterons principalement des produits à barrière européenne (c’est-à-dire non désactivante) en opposition aux barrières américaines. Ce type de produit structuré peut avoir en sous-jacent une action (single stock), un indice « classique », un indice synthétique ou propriétaire, etc.

Prenons un exemple. Si vous disposez de 8 à 10 années devant vous, vous pouvez faire construire un produit qui verserait, par exemple, un coupon annuel (rendement) de 3% dès lors que l’indice de référence, par pure hypothèse le CAC 40, ne baisse pas plus de 20%. Le produit disposerait d’une protection en capital à terme, par exemple de 40%. A date anniversaire, un an plus tard en décembre 2021, vous percevriez 3% dès lors que le CAC 40 n’a pas baissé de plus de 20%. Et ce sera le cas, chaque année à date anniversaire lorsque le CAC 40 est compris entre 100 et 80% de son niveau initial.

Et si le CAC 40 est supérieur à son niveau initial à cette même date anniversaire, vous percevrez toujours votre coupon et le produit s’arrête, on dit alors qu’il est rappelé. Libre à vous de réinvestir le capital et le coupon sur un nouveau produit structuré ou dans toute autre chose. Si pendant toute la vie du produit (8 à 10 ans dans notre exemple), le sous-jacent (le CAC 40 en l’espèce) ne revient jamais à son niveau initial à date anniversaire, le produit continue jusqu’à son terme.

A son terme, 3 possibilités existent :

  • Soit, le CAC 40 est supérieur à 80, le capital et le coupon sont payés.
  • Soit, le CAC 40 est compris entre 80 et 60, alors le capital est remboursé mais aucun coupon n’est versé.
  • Soit, enfin, le CAC 40 est à un niveau inférieur à 60, alors vous encourrez une perte en capital égale à la perte de l’indice.

En résumé, ces produits qui peuvent être très défensifs (forte barrière du coupon, indice classique, forte protection du capital à terme) sont une vraie classe d’actifs à part entière qui ont parfaitement leur place entre des produits garantis en capital tel le fonds Euro et des OPC actions ou flexibles, dès lors que vous avez un horizon d’investissement assez long. Vous pouvez raisonnablement détenir 10% à 15% de vos actifs sur différents produits structurés pour diversifier et diluer votre risque.

INSCRIVEZ-VOUS À NOTRE NEWSLETTER
AUX DERNIÈRES NOUVELLES

Le respect de votre vie privée est notre priorité

L’accès au site implique l’utilisation de cookies mais celle-ci est subordonnée à votre consentement.