Transformation digitale et protection des applications métier

05 mai 2019

Comment protéger nos applications métier ? Les PME et ETI sont en plein dans l’ère de la transformation digitale : la virtualisation, le cloud et la conteneurisation se démocratisent. Les acteurs traditionnels de la finance ou de la santé voient l’émergence de jeunes concurrents plus agiles. Ces derniers offrent des nouvelles technologies qui leur permettent d’obtenir un avantage sérieux grâce à leur rapidité de mise sur le marché, leur flexibilité et leur résilience. Cette nouvelle donne oblige les entreprises établies à proposer elle aussi ces nouvelles technologies afin répondre à ce nouveau défi qui leur est lancé. Petit tour d’horizon…

Par Franck Boccara

Nous avons la chance de vivre un moment passionnant pour les technologies B2B mais qu’en est-il du moteur de l’entreprise, à savoir les applications métier critiques ? La valeur ajoutée d’applications cloud et SaaS n’est plus à prouver mais leur sécurité doit être réellement prise au sérieux sous peine de menacer la sécurité de l’organisation de façon plus générale.

Pour commencer, Il est primordial que le Directeur des Services Informatiques (DSI) puisse avoir l’oeil sur la totalité des informations qui circulent et sur les différentes applications installées sur les terminaux et machines des collaborateurs. De fait, en fonction du service et du secteur d’activité de la structure, chaque employé a sa propre liste d’applications critiques et de données associées qui sont susceptibles, en cas de compromission ou de perte, d’entrainer une interruption de l’activité plus ou moins longue. Cela peut être, par exemple, des applications de transaction financière contenant des données client sensibles, des ERP qui permettent de gérer les stocks d’entreprises ou d’hôpitaux ou même des transactions relatives à des dossiers de santé électroniques, qui renferment des informations personnelles de santé primordiales pour les prestataires de soins, les hôpitaux ou les compagnies d’assurance. Dans tous les cas, aucune application ne doit être utilisée à l’insu de l’entreprise ou de l’organisation.

Cependant, trop de responsables ne pensent pas à sécuriser leurs applications métier et continuent à prendre des risques. Ces imprudences peuvent nuire à leurs investissements financiers dans ces applications et à la pérennité de leur relation clients. En dépit de ces dangers, 70 % des entreprises interrogées ne pensent pas que la sécurité de ces applications soit une priorité. Il existe pourtant quelques actions simples qui renforceraient leur sécurité :

Cerner les applications les plus critiques : Le DSI doit avoir une visibilité totale sur les applications métiers utilisées et sur leur usage par les différents services pour définir précisément ce qui doit être sécurisé dans son réseau. Cela peut être des applications SaaS ou des applications personnalisées mises en place par le biais d’outils et de méthodologies DevOps.

Connaitre et sécuriser le cloud : Il faut absolument créer une stratégie cloud, un plan de migration et un planning avant toute opération de transfert des applications locales vers le cloud ou vers de nouvelles applications SaaS. De la sorte, une entreprise voulant effectuer ce basculement devra s’assurer de la collaboration avec les services concernés de façon transversale afin de garantir la sécurité des accès à privilèges.

Sécuriser l’accès des administrateurs qui gèrent les applications métier critiques : il faudra pour cela rassembler toutes les informations d’identification des administrateurs qui sont en charge des applications critiques identifiées et de définir un système de rotation des mots de passe. Ainsi, le DSI garanti leur renouvellement ainsi qu’une meilleure protection des compte. Il devra également isoler les sessions pour prévenir le vol de données d’identification. Cependant, bien souvent, les administrateurs de ces applications n’appartiennent pas à l’équipe informatique mais plutôt aux services des finances, du marketing ou des ressources humaines.

Pensez aux machines ! : En plus de la protection des comptes gérés par des membres de l’organisation, il ne faut pas oublier de sécuriser les informations d’identification et les comptes de service à privilèges que les machines et applications utilisent. Les informations d’identification codées en dur sont un facteur de risque conséquent pour les applications critiques et devront donc être éliminées.

La négligence des mesures de sécurité dans ce domaine peut avoir des conséquences amères : Effet négatif sur le chiffre d’affaires, dégradation de la relation client et risques commerciaux liés aux données compromises. Pour combler ces lacunes, les solutions de sécurité d’accès à privilèges permettent une vision globale de la protection de ces applications, elles aident le DSI à hiérarchiser et à protéger les applications et les données les plus importantes de son organisation et donc à en assurer le succès.

PLUS D'ARTICLES

Recrutement

Base de données candidats : une mine d’or pour vos recrutements

À l’ère de l’expérience client et de l’IA, les entreprises ont besoin d’améliorer leur stratégie de communication auprès de leurs candidats. Et si tout commençait par une base de données candidats de qualité pour créer la différence avec vos concurrents ? Découvrez dans cet article les points essentiels à connaître sur ce précieux outil qui vous permettra de mettre en place une stratégie de recrutement efficace. Par Céline Cherqui – Fondatrice de OneWay

Une base de données candidats, c’est quoi exactement ?

Par définition, la base de données est un outil comportant un ensemble d’informations organisé de manière à être facilement accessible, géré et mis à jour. Cet outil est utilisé comme méthode de stockage, de gestion et de récupération des informations. Une base de données candidats rassemble donc toutes les informations recueillies lors des différents échanges effectués entre les candidats et l’entreprise.

Ok, mais pour quoi faire ?

L’objectif de la base de données candidats est de faciliter votre relation avec eux et de vous aider à adapter vos messages ou les opportunités de postes à leur proposer en fonction de leurs envies. L’idée est de retracer tous vos échanges pour être sûr qu’au moment où votre candidat sera prêt à vous rejoindre, vous pourrez lui offrir ce dont il a besoin. En effet, en sachant exactement ce que recherche vos candidats, vous serez en mesure de proposer le bon poste, au bon moment et à la bonne personne. Cet outil permet donc une personnalisation et bien évidemment une meilleure satisfaction candidat.

Quelles données sont à recueillir ?

La collecte de vos données doit être organisée et structurée pour une efficacité optimale. Les renseignements que vous allez recueillir doivent être uniquement ceux dont vous avez réellement besoin pour comprendre et connaitre vos candidats afin de bâtir votre stratégie de recrutement et de communication. Cela signifie que les informations demandées à vos candidats ne doivent avoir pour finalité que l’évaluation de ses savoir-faire et de ses savoir-être. Il est en revanche interdit de demander à un candidat des informations relevant de sa vie privée qui n’ont pas de lien direct et nécessaire avec l’évaluation de ses aptitudes professionnelles. Pour être exploitable, votre base de données doit être conforme à la législation. A défaut, elle sera inutilisable et donc dépourvue de toute valeur. Les informations ainsi recueillies et collectées dans votre base de données ne peuvent être consultées que par les personnes intervenant dans le processus de recrutement. Les piles de CV sur les bureaux, accessibles à tous, sont donc à proscrire. Offrir à vos candidats la maîtrise de leurs données personnelles constitue un gage de qualité et de confiance, notamment s’ils comprennent que vous respectez leurs choix, que vous comprenez leurs besoins et ne les sollicitez que lorsqu’ils le désirent.

Et les candidats dans tout ça, quels sont leurs droits ?

Lorsqu’un candidat est retenu et devient un collaborateur, ses données sont conservées le temps de sa présence dans l’entreprise. A son départ, certaines informations peuvent être conservées à titre d’archivage. Lorsqu’un candidat n’est pas retenu, le recruteur doit l’informer que son dossier sera conservé pendant 2 ans, sauf s’il en demande expressément la destruction. Si le candidat ne demande pas la destruction de son dossier, les données sont automatiquement détruites 2 ans après le dernier contact. Une conservation plus longue est possible, mais uniquement avec l’accord exprès du candidat. Bon à savoir : Tout candidat au recrutement peut, sur simple demande non motivée, accéder à ses données et être informé de la manière dont celles-ci sont traitées, au titre de son droit à l’information. Il bénéficie également :

d’un droit de rectification : il peut demander au recruteur de mettre à jour ses données,
d’un droit à l’oubli : il peut demander au recruteur de supprimer ses données,
et d’un droit à la limitation du traitement : il peut demander au recruteur de suspendre le traitement de ses données.

Vous l’aurez compris, une base de données bien construite est indispensable pour communiquer avec vos candidats, créer une relation de confiance et les accompagner vers un épanouissement professionnel. 📞 Si cet article vous a donné des idées pour construire ou optimiser votre base de données candidats mais que tout reste encore un peu flou, … Pas de panique, je vous accompagne pas à pas sur toutes les problématiques recrutement que vous pourrez rencontrer. Céline Cherqui – Directrice Recrutement – OneWay

FINANCE

La Rentrée Carmignac 2023 : Conférence digitale

La Rentrée Carmignac 2023 a eu lieu le jeudi 21 septembre et nous souhaitons vous partager la présentation de l’évènement, ainsi que les messages clés à retenir. Nous vous invitons également à visionner le replay de la conférence pour (re)découvrir nos vues macroéconomiques, nos stratégies d’investissement et nos convictions.

Bilan et stratégie

Maxime Carmignac, Directeur Général Carmignac UK
Kevin Thozet, Portfolio Advisor & Membre du Comité d’Investissement

Notre scénario macroéconomique

Raphael Gallardo, Chef Économiste
Frédéric Leroux, Responsable Équipe Cross Asset, Gérant

Notre stratégie d’investissement

Jacques Hirsch, Gérant
Guillaume Rigeade, Co-Responsable Équipe Obligataire, Gérant
David Older, Responsable Équipe Actions, Gérant

Table ronde « Investir au-delà du mur des inquiétudes »

Marie-Anne Allier, Gérante
Pierre Verlé, Responsable Équipe Crédit, co-Responsable Équipe Obligataire, Gérant
Mark Denham, Responsable Actions Européennes, Gérant

Échanges avec Édouard Carmignac

Édouard Carmignac, Président, CIO

Intervenant(s)

Communication publicitaire. Veuillez vous référer au KID/prospectus avant de prendre toute décision finale d’investissement. Ce document est destiné à des clients professionnels.

Le présent document ne peut être reproduit en tout ou partie, sans autorisation préalable de la Société de gestion. Il ne constitue ni une offre de souscription ni un conseil en investissement. Ce document n’est pas destiné à fournir, et ne devrait pas être utilisé pour des conseils comptables, juridiques ou fiscaux. Il vous est fourni uniquement à titre d’information et ne peut être utilisé par vous comme base pour évaluer les avantages d’un investissement dans des titres ou participations décrits dans ce document ni à aucune autre fin. Les informations contenues dans ce document peuvent être partielles et sont susceptibles d’être modifiées sans préavis. Elles se rapportent à la situation à la date de rédaction et proviennent de sources internes et externes considérées comme fiables par Carmignac, ne sont pas nécessairement exhaustives et ne sont pas garanties quant à leur exactitude. À ce titre, aucune garantie d’exactitude ou de fiabilité n’est donnée et aucune responsabilité découlant de quelque autre façon pour des erreurs et omissions (y compris la responsabilité envers toute personne pour cause de négligence) n’est acceptée par Carmignac, ses dirigeants, employés ou agents.

Les performances passées ne préjugent pas des performances futures. Elles sont nettes de frais (hors éventuels frais d’entrée appliqués par le distributeur).Le rendement peut évoluer à la hausse comme à la baisse en raison des fluctuations des devises, pour les actions qui ne sont pas couvertes contre le risque de change.

La référence à certaines valeurs ou instruments financiers est donnée à titre d’illustration pour mettre en avant certaines valeurs présentes ou qui ont été présentes dans les portefeuilles des Fonds de la gamme Carmignac. Elle n’a pas pour objectif de promouvoir l’investissement en direct dans ces instruments, et ne constitue pas un conseil en investissement. La Société de Gestion n’est pas soumise à l’interdiction d’effectuer des transactions sur ces instruments avant la diffusion de la communication. Les portefeuilles des Fonds Carmignac sont susceptibles de modification à tout moment.

La référence à un classement ou à un prix ne préjuge pas des classements ou des prix futurs de ces OPC ou de la société de gestion.La durée minimum de placement recommandée équivaut à une durée minimale et ne constitue pas une recommandation de vente à la fin de ladite période.

Morningstar Rating™ : © Morningstar, Inc. Tous droits réservés. Les informations du présent document : -appartiennent à Morningstar et / ou ses fournisseurs de contenu ; ne peuvent être reproduites ou diffusées ; ne sont assorties d’aucune garantie de fiabilité, d’exhaustivité ou de pertinence. Ni Morningstar ni ses fournisseurs de contenu ne sont responsables des préjudices ou des pertes découlant de l’utilisation desdites informations.

L’accès au Fonds peut faire l’objet de restriction à l’égard de certaines personnes ou de certains pays. Le présent document ne s’adresse pas aux personnes relevant d’une quelconque juridiction où (en raison de la nationalité ou du domicile de la personne ou pour toute autre raison) ce document ou sa mise à disposition est interdit(e). Les personnes auxquelles s’appliquent de telles restrictions ne doivent pas accéder à ce document. La fiscalité dépend de la situation de chaque personne. Les fonds ne sont pas enregistrés à des fins de distribution en Asie, au Japon, en Amérique du Nord et ne sont pas non plus enregistrés en Amérique du Sud. Les Fonds Carmignac sont immatriculés à Singapour sous la forme d’un fonds de placement de droit étranger réservé aux seuls clients professionnels. Les Fonds ne font l’objet d’aucune immatriculation en vertu du US Securities Act de 1933. Le fonds ne peut être proposé ou vendu, directement ou indirectement, au bénéfice ou pour le compte d’une « US person » au sens de la réglementation S américaine et du FATCA.

La décision d’investir dans le(s) fonds promu(s) devrait tenir compte de toutes ses caractéristiques et de tous ses objectifs, tels que décrits dans son prospectus. Les risques et frais relatifs aux Fonds sont décrits dans le KID (Document d’informations clés). Le KID doit être tenu à disposition du souscripteur préalablement à la souscription. Le souscripteur doit prendre connaissance du KID. Les investisseurs peuvent perdre tout ou partie de leur capital, attendu que les Fonds n’offrent pas de garantie de capital. Tout investissement dans les Fonds comporte un risque de perte de capital.

Carmignac Portfolio désigne les compartiments de la SICAV Carmignac Portfolio, société d’investissement de droit luxembourgeois conforme à la directive OPCVM. Les Fonds sont des fonds communs de placement de droit français conformes à la directive OPCVM ou AIFM. La société de gestion peut décider à tout moment de cesser la commercialisation dans votre pays.

En Suisse : Le prospectus, KID, et les rapports annuels des Fonds sont disponibles sur le site www.carmignac.ch et auprès de notre représentant en Suisse (Switzerland) S.A., Route de Signy 35, P.O. Box 2259, CH-1260 Nyon. Le Service de Paiement est CACEIS Bank, Montrouge, succursale de Nyon / Suisse Route de Signy 35, 1260 Nyon. Les investisseurs peuvent avoir accès à un résumé de leurs droits en français sur le lien suivant à la section 6 intitulée « Résumé des droits des investisseurs ».
En France : Le prospectus, les KID, la VL et les rapports annuels des Fonds sont disponibles sur www.carmignac.fr, ou sur demande auprès de la Société de gestion. Les investisseurs peuvent avoir accès à un résumé de leurs droits en français sur le lien suivant à la section 6 intitulée « Résumé des droits des investisseurs »
Au Luxembourg : Le prospectus, les KID, la VL et les rapports annuels des Fonds sont disponibles sur www.carmignac.lu, ou sur demande auprès de la Société de gestion. Les investisseurs peuvent avoir accès à un résumé de leurs droits en français sur le lien suivant à la section 6 intitulée « Résumé des droits des investisseurs »

SERVICES

Club4RSE propose le Label HOSMONY pour certifier l’engagement RSE

Aujourd’hui, de plus en plus d’entreprises décident de s’engager dans une démarche RSE et souhaitent se faire labelliser. Pour cela, il est primordial de bien choisir parmi les nombreux labels RSE qui ont vu le jour avec l’augmentation de la demande. Club4RSE est un think tank qui oeuvre pour sensibiliser à la démarche RSE et accompagner des porteurs de projets à fort impact sociétal. C’est précisément dans cette optique qu’il a co-construit avec les parties prenantes le Label HOSMONY (Hosmose avec la nature, Harmonie entre les hommes). Gills Robert, Président du Club4RSE et initiateur de cette belle dynamique, nous présente le label HOSMONY et partage avec nous sa vision très claire sur le modèle à adopter pour s’orienter vers une performance durable. Pascal Castanet, Président de l’ordre des experts-comptables d’Occitanie, nous explique pourquoi il a choisi HOSMONY pour se labelliser et comment les experts-comptables peuvent en faire profiter leurs clients.