Alors que la directive NIS (Network and Information Security), votée en 2016 et transposée en 2018, ne s’appliquait qu’à un nombre restreint d’acteurs stratégiques, NIS2, qui lui succède, étend son périmètre et devrait concerner des milliers de grands groupes, ETI et PME dans une vingtaine de secteurs d’activité. Les détails de son application ne seront toutefois connus qu’au terme du processus de transposition actuellement mené avec l’ANSSI, avant une entrée en vigueur prévue au plus tard en octobre 2024.

Comme NIS, NIS2 énonce un certain nombre de mesures obligatoires – correspondant plus ou moins aux exigences de la norme ISO 27001 – que doivent mettre en œuvre les entreprises pour réduire fortement l’exposition de leurs systèmes aux risques cyber.

Également votée en 2022, DORA (Digital Operational Resilience Act) est un règlement européen, qui s’appliquera donc tel quel, sans transposition. Il entrera en vigueur début 2025. Son objectif est de renforcer la résilience opérationnelle des entreprises du secteur financier (banques, assureurs, gestionnaires d’actifs…) face au risque numérique (cyber, panne, erreur…). Il établit pour cela des règles contraignantes concernant la gestion de ces risques, la notification des incidents, les tests de résilience et la gestion des risques liés à la supply chain et ses parties prenantes.

Un point commun : la gouvernance

Même s’ils ont des portées et des champs d’application différents, ces deux textes partagent un point commun majeur : l’un et l’autre prévoient l’instauration de sanctions, notamment réputationnelles (name and shame), et établissent, en cas de manquement, la responsabilité pénale des dirigeants de l’entreprise.

Dans le cas de DORA, ceux-ci ont d’ailleurs l’obligation d’être formés aux risques cyber et à leurs impacts sur la continuité des opérations. Outre l’aiguillon que représente le risque juridique et financier, ceci bouleverse la gestion traditionnelle de la cybersécurité dans l’entreprise et, en particulier, sa gouvernance.

Avec des responsabilités remontées au niveau de la direction, la cybersécurité devient de fait un enjeu d’entreprise, qui sera intégré à la stratégie globale et abordé de façon systématique et transverse, au même titre que d’autres types de risques. Ceci favorisera l’homogénéisation des dispositifs et des pratiques, l’optimisation de l’allocation des ressources, l’intégration de la sécurité dans les processus opérationnels et sa prise en compte by design dans les projets, et enfin le développement d’une culture interne de la cybersécurité.

Comme le demande d’ailleurs explicitement DORA, cette transversalité nécessitera une gouvernance renforcée, impliquant régulièrement les acteurs métiers. Étant donné la technicité du sujet, le CISO/RSSI en restera l’acteur clé, mais il gagnera en visibilité et en poids politique, bénéficiant de réponses plus rapides et de moyens accrus.

Deux volets pour la mise en œuvre

Les mises en œuvre de NIS2 comme de DORA auront donc deux volets. Le premier concernera les mesures de sécurité proprement dites, conformément à ce que réclament les textes.

Très précises et détaillées pour DORA, ces exigences restent à être précisées par chaque Etat-membre pour NIS2. En l’état de sa transposition menée avec l’ANSSI, il s’agit plutôt d’une liste d’objectifs à atteindre, les entreprises bénéficiant d’une grande latitude sur les moyens d’y parvenir et sur le choix des priorités. Le point de départ consistera donc à déterminer à quel régime d’obligations exactement est soumise l’entreprise, puis à mesurer l’écart entre ces exigences et l’existant, et enfin à établir une feuille de route (désormais sous l’œil de la direction générale !).

Le second volet de la mise en œuvre concernera justement le dispositif organisationnel et de gouvernance transverse et à haut niveau qui permettra de suivre, piloter et coordonner cette mise en conformité, puis le respect dans la durée des exigences réglementaires en fonction de l’évolution des technologies et des risques.

Bien plus que des nouvelles contraintes réglementaires, NIS2 et DORA visent ainsi à faire prendre conscience aux entreprises et à leurs dirigeants de l’importance cruciale de la cybersécurité dans l’environnement actuel. Elles aident à passer d’un traitement siloté et à haut niveau des risques et de la sécurité, à un traitement transverse et stratégique, inscrit comme tel dans la gouvernance de l’entreprise.

La sécurisation du cloud commence par une distinction entre la sécurité du cloud, c’est-à-dire des infrastructures elles-mêmes, et la sécurité dans le cloud, c’est-à-dire des données et des applications qui s’y trouvent. La première incombe au fournisseur de cloud, la seconde à son client. Le fournisseur s’engage à protéger sa plateforme de toute vulnérabilité qui puisse causer une détérioration de la qualité de service, entraîner une perte accidentelle de données, ou servir, même indirectement, de porte d’entrée vers les données de ses clients. Le client, pour sa part, doit mettre en œuvre tous les dispositifs de protection nécessaires pour limiter l’accès à ses actifs hébergés dans le cloud aux seules personnes autorisées. Il est fondamental que ces rôles soient bien clarifiés d’emblée, contractuellement et opérationnellement, pour ne pas laisser subsister des zones grises, mal couvertes, dans lesquelles ne manqueraient pas de se glisser des acteurs malveillants.

Une sécurité supérieure à n’importe quel data center privé

Instauré depuis l’origine du cloud, ce modèle de responsabilités partagées est aujourd’hui bien connu des acteurs, même s’il arrive, sur certains services, que les frontières demeurent floues. Les hyperscalers, en particulier, ont pris conscience que leurs plateformes sont des cibles privilégiées, que tout incident de sécurité leur est extrêmement préjudiciable, et ils mettent donc tout en œuvre pour s’en prémunir. Depuis de nombreuses années, ils investissent massivement dans la sécurisation de leurs plateformes et dans les solutions de sécurité qu’ils proposent à leurs clients. Étant donné les moyens considérables dont ils disposent, les plateformes cloud sont désormais beaucoup plus sûres que n’importe quel data center d’entreprise et les incidents, bien que très médiatisés, demeurent rares.

Ceci ne veut pas dire que le client puisse pour autant s’en remettre aveuglément à son fournisseur de cloud. Il doit obtenir de sa part des précisions sur la façon dont seront traitées ses données depuis leur création jusqu’à leur suppression. Il faut s’intéresser, en particulier, à leur localisation, à leurs transferts éventuels, à leur étanchéité vis-à-vis des autres clients, à la façon dont elles seront protégées et restaurées en cas d’incident logique ou physique, ou encore à leur restitution et leur destruction lors de la résiliation du contrat. Le cloud provider doit pouvoir détailler les divers mécanismes et contrôles prévus, et prouver qu’ils ont été exécutés correctement. Les acteurs du cloud ont pris note de ces exigences et s’attachent désormais à les satisfaire. Avec le développement actuel d’offres de cloud souverain, ils répondent par exemple à la préoccupation légitime de certains secteurs sensibles de pouvoir se prémunir de possibles interférences étrangères.

IAM, chiffrement, visibilité : les trois priorités des clients

Pour ce qui concerne le client, responsable de la sécurité dans le cloud, trois aspects nécessitent tout particulièrement son attention. Premièrement, la gestion des identités et des accès, de loin l’élément le plus important de toute politique de sécurité. Deuxièmement, le chiffrement, indispensable et pour lequel il peut s’appuyer sur les solutions fournies par son provider. Troisièmement, enfin, la visibilité, car pour garantir la sécurité de ses systèmes dans le cloud – ou, bien souvent, les clouds –, il est essentiel de savoir ce qu’il s’y passe à chaque instant et de pouvoir s’assurer que les règles sont bien respectées.

Ce besoin de supervision d’environnements toujours plus vastes, hétérogènes et dynamiques est l’un des moteurs de l’évolution constante des solutions de cybersécurité pour s’adapter au contexte du cloud. C’est ainsi que l’on voit émerger toute une famille de solutions innovantes, spécifiquement conçues pour répondre aux défis posés par le cloud, telles les CNAPP (Cloud-Native Applications Protection Platform), les CASB (Cloud Access Security Broker) et et les SSPM (SaaS Security Posture Management). D’un autre côté, les solutions qui adressent des enjeux plus traditionnels évoluent pour quitter le data center et migrer à leur tour dans le cloud, en mode SaaS. C’est par exemple le cas de la gestion des accès distants où l’on passe du VPN, dont l’explosion du télétravail durant la crise sanitaire a montré les limites, aux Zero Trust Network Access.

Toujours avoir une approche fondée sur le risque

Si ces solutions cloudifiées apportent des avantages indéniables, c’est aussi un peu le serpent qui se mord la queue car, étant elles-mêmes dans le cloud, elles peuvent aussi, dans certains cas, s’accompagner de nouvelles menaces. La règle d’or est donc d’avoir toujours une approche fondée sur le risque et une attitude vigilante mais dénuée de préjugés (sur le cloud en général, sur la nationalité des acteurs…). De cette façon, on optera toujours pour la meilleure approche en fonction de la sensibilité des actifs à protéger et de la maturité des solutions disponibles, ce qui évitera aussi bien les surprotections coûteuses que les sous-protections dangereuses. La gestion des clés de chiffrement en constitue un bon exemple puisqu’on pourra, selon les cas, la confier au cloud provider, à un tiers de confiance ou en conserver le contrôle.

Le cloud comme la cybersécurité continuent d’évoluer de concert, constamment, et très vite, tant du point de vue des menaces que des parades disponibles. Ainsi, l’intelligence artificielle (IA), en créant de nouveaux usages, engendre de nouveaux risques, mais elle est aussi mise à profit pour créer de nouvelles capacités de détection et de remédiation. Alors que les compétences se font rares, le défi, pour les entreprises, est de rester à la pointe de la sécurité pour pouvoir tirer pleinement parti des innovations cloud.

Pour Arnaud Bacquet, Directeur de programmes de transformation Supply Chain et Manufacturing chez Capgemini Invent : « la supply chain est un domaine central de la performance et de la résilience industrielle ». Sa digitalisation, associée à la connectivité, a permis de mettre en place des cycles vertueux d’optimisation tant au niveau des coûts, de la qualité ou encore des délais.

« Avec l’intégration toujours plus forte du développement durable et des réglementations environnementales associées qui viennent remettre en question certaines pratiques, c’est une nouvelle complexité qu’il convient d’appréhender ».

Au-delà de la prise de conscience écologique, des tendances de fond apparaissent chez les industriels pour revoir la répartition de la valeur entre les grands donneurs d’ordre et un écosystème élargi qu’il convient plus que jamais d’orchestrer au mieux.

Trois tendances de fond ‘business’ qui changent le modèle industriel

De la santé à l’aéronautique, de l’automobile aux produits de consommations, tous les secteurs industriels modifient leur positionnement pour intégrer ou renforcer trois évolutions majeures de leurs business models qui visent à capter une part grandissante de la valeur.

1 – Le passage du produit à la solution intégrée

Les industriels, y compris BtoB, ne se concentrent plus uniquement sur le produit manufacturé. Ils sont de plus en plus nombreux à proposer des solutions intégrées comprenant le hardware, le software, la connectivité et les services associés. L’objectif est de remplacer une partie des flux d’équipement par des prestations de service garantissant un niveau de disponibilité voire d’efficience en échange de revenus récurrents. Pour Arnaud Bacquet :

« En se réservant un accès le plus complet possible au client, l’industriel renforce également son positionnement d’orchestrateur de sa chaîne valeur, parfois en désintermédiant certains distributeurs et le plus souvent en devenant la porte d’entrée des prestations annexes à son produit ».

Il reste alors à décider de la part internalisée, en fonction de sa cohérence par rapport aux savoir-faire industriels, de la criticité technique des prestations, du pays, du niveau de marge générée, etc. En maîtrisant des étapes complémentaires au produit, l’industriel va pouvoir optimiser la gestion des retours, des flux de consommables et bénéficier d’informations d’usage plus précises qui permettront d’améliorer l’efficacité opérationnelle de son produit.

2 – Intégrer de nouveaux métiers pour mieux capter la valeur

Au-delà de cette approche servicielle, c’est bien un renversement de certains modèles de distribution qui se joue. « Une partie du monde de l’automobile a choisi de transformer ses réseaux de concessionnaires en agents commerciaux en conservant à son niveau la maitrise d’un pricing devenu multi-canal et, plus généralement, la maîtrise du contact et des données client, le réseau recevant en échange des leads pré-qualifiés », nous explique Clément Portier, Group Client Partner Stellantis chez Capgemini :

« La gestion du stock de produits finis et de pièces détachées est également pilotée en central ainsi que la priorisation de livraisons multipoints pour en garantir l’optimisation. »

La concentration ou le suivi de la donnée tout au long du parcours client permet de renforcer la valeur de cette dernière avec une utilisation accrue de la Business Intelligence (informatique décisionnelle), des analyses affinées et une réactivité renforcée jusqu’à la production (priorisation industrielle de certains modèles, soutien plus ciblé aux ventes, etc.).

Cette transformation s’étend à l’après-vente. La connectivité des véhicules (ou des avions) permet d’établir des pré-diagnostics plus poussés, de résoudre des incidents à distance via des update software et in fine de mieux prévoir et gérer les rendez-vous de maintenance préventive et corrective.  Le lien entre le constructeur et le client final en sort consolidé. La gestion de la fin de vie, de la réparation, du reconditionnement et de la recyclabilité devient aussi un enjeu clé dans tous les secteurs.

Dans l’aéronautique, la plateforme Lifecycle optimization for Aerospace, conçue par Capgemini et AWS, réunit plusieurs acteurs majeurs du secteur pour augmenter notamment la part de pièces reconditionnées et garanties directement par le fabricant. Au-delà du bénéfice financier direct, le reconditionnement permet de renforcer l’agilité du process industriel en évitant de cannibaliser des flux séries pour des réparations et, pour les compagnies aériennes, d’accélérer la disponibilité des pièces pour permettre des réparations plus rapides et limiter l’immobilisation des avions au sol.

Le secteur des biens informatiques et d’électroménager a vu émerger un écosystème (réparateurs, marketplace, broker, etc) conduisant à une compétition acharnée entre fabricants et distributeurs sur le marché de la seconde vie.

Ces modifications majeures de l’aval transforment en retour toute l’organisation de la Supply chain.

3 – Répondre aux nouveaux enjeux du développement durable

La prise en compte de la circularité par les industriels, de l’éco-conception à l’amélioration de la durée de vie et la gestion de la fin de vie est une des concrétisations de la prégnance des enjeux environnementaux, sous la forme de nouveaux business autour de la seconde main. Mais le développement durable vient aussi impacter le monde industriel dans sa capacité à maîtriser sa chaine logistique au sens large : reportings ESG croisés (critères environnementaux, sociaux et de gouvernance), émissions de gaz à effets de serre sur le Scope 3 (lié notamment à l’emballage et au transport), devoir de vigilance sur les pratiques éthiques, sourcing de matériaux plus durables, etc.

Le seul sujet carbone et l’ambition européenne de réduire les émissions de GES de 55% d’ici à 2030 par rapport à 1990 ne peut se régler par des ajustements à la marge. Pour Aurélien Boutet, Client Director & Market Segment Head – Automotive & Mobility chez Capgemini :

« C’est un nouveau prisme d’analyse qui impose de revoir et valider l’ensemble de son process industriel et logistique ». Le développement durable doit être une opportunité de repenser sa supply chain et sa manière de l’opérer, un levier permettant d’accélérer les transformations engagées, un moyen de promouvoir des nouvelles opportunités de ventes et d’achats. »

Quels impacts sur la supply chain ?

Ces tendances ont des conséquences directes sur la Supply chain en renforçant considérablement sa complexité.

Vers une décentralisation renforcée des flux logistiques

Pour Clément Portier, la Supply chain change de modèle :

« D’un modèle relativement simple de flux mondialisés convergeant vers des points limités, la supply chain s’oriente aujourd’hui vers un fonctionnement beaucoup plus hétérogène, avec des flux décentralisés toujours plus nombreux, couvrant aussi bien les produits finis que les pièces détachées et fonctionnant dans les deux sens vers un réseau multicouche très éclaté »

Cela concerne à la fois l’amont (multiplication des fournisseurs pour limiter les risques) et surtout l’aval (livraisons multipoints jusqu’au dernier kilomètre puis reverse logistic couvrant la collecte, la centralisation, le traitement et la réexpédition de produits réparés, de pièces détachées reconditionnées ou de matière première à upcycler).

Cette décentralisation participe au mouvement vers une hyperpersonnalisation du service rendu et la fidélisation client. Elle représente cependant un chantier majeur de transformation, les industriels devant mettre en place une Supply chain beaucoup plus proche de celle d’un distributeur / retailer. Cet éclatement de la Supply chain représente aussi un enjeu majeur en matière d’optimisation environnementale et de garantie de conformité, la multiplication des acteurs pouvant faciliter les intrusions de pièces non conformes par exemple.

Vers une data plus pertinente et intelligente

Avec ce modèle « many to many », la complexité de la Supply chain se manifeste également dans son pilotage numérique à cause de la multiplication et l’interconnexion des acteurs, des références, l’optimisation attendue des itinéraires et de la consommation de carburant, etc. Autant de caractéristiques qui obligent à penser l’accès à la donnée, via des chantiers ciblés de continuité numérique, non seulement à l’intérieur de l’organisation et davantage avec ses partenaires et une large part des acteurs amont et aval.

La mise en place de parcours complets pour la gestion de la donnée client, la création de marketplaces dédiées adressant aussi bien ses distributeurs, ses partenaires que le client final, couvrant les produits finis et l’ensemble des pièces neuves comme reconditionnées, l’interconnexion de l’ensemble des acteurs de la logistique aval jusqu’au dernier kilomètre, l’intégration de l’IA pour optimiser les flux constituent autant de chantiers qu’il faut anticiper, planifier et accompagner.

Avec en leur cœur, une vision et une culture data qui permettront à chaque entreprise de mieux comprendre les attentes de ses clients et les signaux faibles de son marché, de mieux anticiper les besoins de production et de piloter plus efficacement sa Supply chain de bout en bout.

Une technologie attractive

Si le risque principal de la macro-segmentation est celui de la contamination entre serveurs, par déplacement latéral, la micro-segmentation est assurément une technologie attractive pour les responsables réseau et sécurité des entreprises.

Elle permet d’une part une protection contre le déplacement latéral en cas de compromission d’une machine. Ainsi, un cryptolocker ayant touché un serveur ne pourra pas se propager à tous les serveurs du même Virtual Local Area Network (vlan).

D’autre part elle implique une décorrélation entre la segmentation et l’architecture logique ou physique du datacenter. Des règles de filtrage peuvent en effet être mises en place indépendamment de l’architecture réseau et peuvent évoluer sans impact sur les infrastructures.

Une adoption timide

Malgré tout, nombre d’entreprises n’ont toujours pas adopté cette technologie pour leurs datacenters. Cette adoption timide s’explique par de multiples raisons, au premier lieu desquels le coût associé aux solutions de micro-segmentation. Ceux-ci sont élevés, et viennent s’ajouter aux coûts projets, dans un contexte où la plupart des entreprises ne maitrisent pas assez finement les flux de chaque application, ni les coûts d’exploitation, les incidents et les demandes concernant ces derniers.

Cette adoption s’avère également trop complexe pour nombre d’organisations. D’une part les solutions du marché n’offrent pas toute la même couverture en termes de charge de travail et la plupart sont plus adaptées à un type de charge de travail, serveur physique, VM ou conteneur, ce qui rend le choix d’autant plus difficile.  

D’autre part appliquer de la micro-segmentation à un environnement existant implique une analyse approfondie des flux de chaque application et l’analyse des dépendances entre toutes les applications. Or il est souvent compliqué, voire impossible, lorsqu’une application fonctionne depuis un certain temps, de retrouver la connaissance permettant de décider si un flux est normal ou non.

Enfin, les solutions de micro-segmentation introduisent de nouveaux outils, de nouvelles façons de faire et un surcroit de travail alors que le gain n’est pas toujours perçu par les équipes d’exploitation, ce qui peut donner lieu à une certaine résistance au changement.

Les leviers pour faciliter son adoption

Des leviers existent pourtant, permettant de répondre aux freins constatés. Il faut savoir par exemple que les solutions de micro-segmentation sont parfois intégrées à des solutions techniques déjà déployées par ailleurs pour d’autres besoins, ce qui n’implique donc pas d’investissements supplémentaires. Cette technologie est en effet intégrée de base dans toutes les offres cloud des Hyperscalers, et dans diverses solutions techniques de cloud privé et de conteneurs.

Les solutions du marché disposent par ailleurs d’Application Programming Interface (API) intégrables dans des outils d’orchestration et diminuant, par définition, la charge liée au déploiement.

Enfin, des outils de découverte de flux sont intégrés à la solution de micro-segmentation, permettant de simplifier la sécurisation d’applications en passant par une phase de découverte avant d’activer les règles identifiées automatiquement. Les avancées dans l’Intelligence Artificielle pourraient d’ailleurs grandement faciliter à l’avenir la mise en œuvre de la micro-segmentation, à commencer par la classification des flux découverts.

Les 5 clefs de la réussite d’un projet de micro-segmentation

Une fois les premières barrières écartées, toute organisation se lançant dans un projet de micro-segmentation de ses datacenters doit s’assurer de suivre les recommandations suivantes :

• Le projet doit faire l’objet d’un sponsorship à bon niveau, typiquement DSI ou RSSI, afin de faciliter l’accompagnement au changement
• Les acteurs de la sécurité, du réseau et les responsables d’applications doivent être impliqués dès le départ
• Dans une démarche Quick Win, les petits périmètres ayant des besoins de sécurité plus élevés que d’autres, et non encore traités de manière satisfaisante, doivent être adressés en priorité 
• Un processus accéléré d’ouverture des équipements de sécurité à de nouveaux flux doit être mis en place pendant la période de déploiement, pour éviter tout impact négatif sur le rythme de mise en place de la solution
• Les fonctions annexes et automatisées qui apportent un service immédiat, comme la découverte des flux et l’historique des communications, doivent être mises en œuvre pour accélérer le déploiement de la solution.

Le cloud, un modèle de responsabilités partagées 

Le cloud repose sur un modèle de responsabilités partagées entre le fournisseur et l’utilisateur. Le rapport de confiance mutuel qui en découle dépend cependant du type d’opérations ainsi que de la nature des services souscrits. Schématiquement, les opérations peuvent se ranger en trois familles : les données, les applications et les infrastructures. Quant aux services, trois grands types prédominent – IaaS, PaaS et SaaS – qui s’accompagnent d’un transfert de confiance croissant. En croisant ces deux dimensions, se dessine une matrice du partage graduel des responsabilités : elles incombent totalement au client pour tout ce qui a trait aux données alors qu’elles sont maximales pour le fournisseur dans le cas d’une offre SaaS. Plus le transfert de confiance du client au fournisseur est important, plus ce dernier doit apporter de garanties aux opérations concernées. Dans les faits, cela se traduit par une organisation, des procédures et des outils qu’il devra mettre en place pour sécuriser les gestes opérationnels. 

Concilier sécurité et ouverture   

L’introduction de la notion de cloud dit « de confiance » vise à certifier la présence d’un certain niveau de sécurité entre le fournisseur et son client. Dans les faits, il s’agit de pouvoir garantir à l’entreprise utilisatrice qu’en toutes circonstances, ses données ne seront accessibles qu’à elle seule. Jusque-là, un tel niveau de sécurité, de confidentialité et de contrôle n’était possible que dans les clouds dits « privés », c’est-à-dire confinés dans le propre data center de l’entreprise ou bien hébergés par un tiers en isolation totale de ses autres clients. Cependant, en raison de ces restrictions, le cloud privé n’apporte pas tous les avantages de flexibilité, d’élasticité, de mutualisation et d’innovation généralement recherchés dans le cloud. Le cloud de confiance vise à dépasser cette incompatibilité fondamentale entre sécurité maximale et bénéfices d’un modèle externalisé. Cela passe notamment par la mise en œuvre du principe Zero Trust, qui systématise les vérifications à tous les niveaux, minimise les droits et multiplie les segmentations. S’y ajoutent d’autres principes fondamentaux de résilience et de cybersécurité : redondance des données, dispersion géographique des data centers, rigueur des mises à jour, dispositifs de surveillance, de détection, d’alerte et de réaction…  

Le cloud de confiance en pratique : les opérations de confiance 

Concrètement, les exigences du cloud de confiance vont imprégner les différents services aux opérations que réalise le cloud provider et qu’il entourera de mesures de précaution renforcées : outillage, pratiques, organisation, compétences, habilitations réglementaires…  

Dans le cas d’une offre IaaS, ces services aux opérations sont, notamment, les gestions du provisionnement, du déploiement, de la sécurité avec une philosophie ZERO TRUST qui comprend : 

• Zonage : cette opération consiste à bien délimiter les zones où on déploie les ressources ce qui améliore grandement par exemple la mise en quarantaine rapide des zones attaquées par des pirates informatiques ou bien la surveillance des flux et des échanges entre applications client.
• Micro-segmentation : c’est une opération qui consiste à bien définir qui communique avec qui à l’intérieur même d’une zone, ce qui limite la surface d’attaque au niveau du cloud et renforce la sécurité.
•  Filtrage réseau : on s’appuie souvent sur des parefeux pour n’autoriser que les flux explicitement autorisés entre les zones et tout le reste est interdit.  
• Filtage applicatif : grâce à ce qu’on appelle des web application firewalls, ces opérations consistent à sécuriser l’accès aux applications (couche 7 dans le modèle OSI) et ça pourrait être à la maille d’une URL. 

Sans oublier des logiques de sauvegarde et de secours informatique qui respectent la réglementation du secteur d’activités du client… Ici, le renforcement de la sécurité va impliquer un cloisonnement très fort, y compris au niveau des personnes, des droits dont ils disposent et des outils qu’ils utilisent. Ainsi, un administrateur ne pourra réaliser que les tâches auxquelles il est habilité, pour lesquelles il disposera d’une autorisation explicite, et uniquement depuis un terminal dédié, dépourvu de tout autre accès et fonctionnalité.  

Dans le cas d’une offre PaaS, les services tourneront autour du déploiement et de la sécurité des applications et passeront par une chaîne DevSecOps, à même de garantir à la fois la sécurité du code applicatif et celle de l’environnement physique et logique qui le recevra. Enfin, concernant les offres SaaS, les services seront limités à leur configuration et des fonctions d’administration déléguées par l’éditeur. 

Par ailleurs, un certain nombre d’outils permettront d’adresser des problématiques plus transverses, comme la gestion des incidents et des changements, la supervision (applications, environnements, sécurité…) ou encore le suivi d’indicateurs Finops/Greenops. 

Opérations de confiance et politique de sécurité 

Au même titre que la responsabilité des opérations, la responsabilité en matière de sécurité est partagée entre le client, son fournisseur de cloud et, le cas échéant, un prestataire de services numériques. En principe, le client est responsable de la sécurité des données et des composants qui lui appartiennent (sécurité dans le cloud) tandis que le fournisseur l’est des ressources qu’il met à sa disposition (sécurité du cloud). En pratique, le prestataire propose sa politique standard de sécurité au client, qui valide qu’elle recouvre ses exigences. En particulier, la certification ISO 27001 « Infosec » garantit le respct d’une organisation et de procédures opérationnelles en matière de sécurité. Le RGPD est un autre sujet pour lequel il y a parfois un partage des responsabilités, le fournisseur de cloud pouvant, dans certains cas, être responsable, ou co-responsable, des traitements des données personnelles. Dans tous les cas, il appartient au client de connaître son patrimoine informationnel, de comprendre ce qui doit  être sécurisé ainsi que les réglementations applicables, et de choisir un fournisseur en fonction.  

Il est important de noter qu’il faut par exemple être vigilant quant à la localisation géographique des équipes qui exploitent les environnements cloud, les interconnections réseaux utilisés (RIE par exemple pour la France) et le choix des outils qui soient validés par les organismes officiels exemple l’ANSSI pour la France

L’émergence des offres 

Depuis la clarification officielle de la dénomination « cloud de confiance », le marché se développe avec deux catégories de fournisseurs : les acteurs issus du monde du data center et du cloud privé, tels OVHcloud, Outscale ou Cloud Temple, et des structures créées entre fournisseur de cloud et prestataires de services hexagonaux, comme Bleu, qui regroupe Orange et Capgemini autour d’offres Cloud Microsoft ou encore S3NS, une solution Google Cloud et Thalès. Des offres sont d’ores et déjà disponibles, notamment pour les administrations, les OIV (opérateurs d’importance vitale) et les OSE (Opérateurs de Services Essentiels) (opérateurs de services essentiels), tenus d’héberger leurs « applications et données critiques » sur des « clouds de confiance ». En revanche, en dépit de dénominations qui tendraient à faire croire le contraire (Régions France d’AWS et d’Azure, Assured Workloads chez GCP, EU-Oracle Sovereign Cloud chez OCI…), les offres de grands opérateurs ne sont pas conformes aux dernières exigences de l’ANSSI car, dépendant d’entités juridiques américaines, elles restent soumises au Cloud Act. 

Bien que la COVID ait perdu son statut d’urgence, le secteur de la santé publique continue de traiter avec “des cicatrices profondes sur notre monde“. La crise a souligné d’énormes lacunes dans nos systèmes de santé, en particulier dans la capacité des responsables de la santé publique à coordonner une réponse informée et rapide. Il y a un nouvel élan pour la digitalisation rapide des systèmes de santé. Il y a une reconnaissance de l’importance de placer les personnes au-dessus des processus. Et il y a une urgence croissante à fournir des services de santé durables. Par-dessus tout, les dirigeants reconnaissent maintenant que chacun de ces objectifs dépend d’une stratégie de données, avec un accès sécurisé et simple aux données de santé.

Voici cinq tendances que nous nous attendons à voir accélérer au cours des douze prochains mois à mesure que la démocratisation des données, la digitalisation et la collaboration se développent.

Tendance 1 : l’échange de données de santé va augmenter

Les acteurs de la santé discutent de nouvelles manières d’accéder à des données harmonisées et en temps réel pour aider à développer de nouvelles stratégies de santé et de prévention des maladies. En surmontant les silos de données existants, la transformation numérique dans le secteur de la santé peut entraîner de meilleurs résultats pour les patients et ainsi améliorer la santé de la population dans son ensemble.

Nous avons vu cela de près dans notre travail avec un consortium chargé d’aider trois hôpitaux espagnols à développer un outil d’IA pour aider au diagnostic des patients potentiels de la COVID. Au cœur de ce projet se trouvait la nécessité de disposer de données patient qui soient à la fois interopérables et 100 % sécurisées.

Le partage de données entre les organismes publics, les entreprises et les individus représente une opportunité unique d’améliorer la prestation des soins de santé. Ainsi, l’Espace européen des données de santé et la nouvelle politique de l’Institut national de la santé des États-Unis visent à promouvoir le partage des données scientifiques entre organisations tout en protégeant la vie privée. Le NHS du Royaume-Uni, par exemple, a investi dans la création d’une Plateforme de Données Fédérée pour faciliter la collaboration entre les organisations de santé et de soins, comparer les données, les analyser et partager des solutions numériques efficaces.

En 2024, les organisations de santé se concentreront sur leur stratégie de science des données et leurs capacités d’infrastructure, y compris les capacités cloud et les plateformes de données modernes, pour découvrir, utiliser et finalement partager des données non seulement au sein de leur organisation mais aussi entre elles.

Cela dépendra bien sûr de la volonté des individus de permettre le partage de leurs données de santé personnelles. Les individus doivent être autonomisés par rapport à leurs données de santé pour construire cette volonté, grâce à une meilleure compréhension, un accès et un contrôle de leurs données. Il sera également nécessaire d’assurer des normes communes pour différentes sources et systèmes de données pour soutenir l’échange de données, et de sécuriser les nouveaux systèmes de données contre les cybermenaces.

À mesure que les organisations de santé deviennent de plus en plus axées sur les données, beaucoup devront renforcer les compétences de leur personnel et investir davantage dans les capacités d’analyse de données. En fait, 42 % des acheteurs de logiciels d’organisations de santé mondiales disent que l’acceptation et la formation du personnel est le premier défi qu’ils rencontrent lors de la planification d’investissements dans de nouveaux logiciels.

Tendance 2 : la transition vers des systèmes de soins intégrés va se poursuivre

Les systèmes de soins intégrés visent à créer un environnement de soins holistique et coordonné autour des soins physiques, sociaux et mentaux, en réunissant des organisations de santé, le gouvernement, le secteur VCSE (volontaire, communautaire et entreprise sociale) et d’autres partenaires pour planifier et innover collectivement autour des besoins en santé et soins. Ces dernières années, un certain nombre de régions ont adopté cette approche.

La région Nouvelle Aquitaine en France, par exemple, a commencé son parcours en 2015 avec un programme visant à intégrer les soins de santé et les soins sociaux. Dans un autre exemple, en 2022, le NHS en Angleterre a également formalisé 42 Systèmes de Soins Intégrés à travers le pays, soutenant des populations d’environ 1 à 3 millions de personnes chacune pour permettre des soins aux patients plus coordonnés et efficaces.

La pandémie a souligné l’importance des soins intégrés alors que les systèmes de santé surchargés cherchaient des moyens de prévenir les admissions évitables dans les établissements de santé et de faciliter les sorties opportunes, avec la poursuite de la prestation de soins en dehors des établissements de santé.

Au-delà de la pandémie, ces types de solutions de santé publique deviennent de plus en plus importants alors que la capacité des établissements de santé reste limitée, et que les gens veulent de plus en plus avoir le choix entre des soins en personne ou à distance. De plus, une population vieillissante rapidement appelle à un modèle de soins holistiques et multiservices – un modèle qui leur permet de gérer leur santé de manière plus personnalisée et collaborative (plutôt que transactionnelle), en travaillant avec de multiples acteurs de la santé.

Les systèmes de soins intégrés fonctionnent au mieux conjointement avec des canaux de soins à distance ou virtuels tels que la télésanté, et en intégrant des solutions technologiques créatives et innovantes centrées sur les patients.

Un exemple sur lequel nous avons travaillé est l’application mobile Iris de OncoHealth, qui offre des soins 24/7 aux patients atteints de cancer en dehors des rendez-vous et traitements programmés, notamment en ce qui concerne les sentiments de peur et d’anxiété associés au traitement du cancer. Cela a fourni aux utilisateurs des soins de télésanté instantanés depuis le confort de leur domicile, transformant leur expérience des services de santé.

Tendance 3 : les partenariats multi-acteurs stimuleront l’innovation des services de santé

Les défis jumeaux d’une population croissante et vieillissante, ainsi que les pénuries de services, nécessitent des changements significatifs dans les solutions de santé publique. Pour relever ces défis, les acteurs des secteurs public et privé se tourneront de plus en plus vers des partenariats collaboratifs. Le mélange de compétences et de capacités au sein de ces partenariats alimentera l’innovation dans les modèles de prestation de soins.

Un rapport de l’OMS publié au début de l’année dernière expose les défis communs de politique de santé publique auxquels sont confrontés les pays européens à revenu intermédiaire. Ces défis de santé provenaient principalement d’infrastructures incapables de répondre aux besoins d’un système de santé moderne. Le rapport mettait en évidence un manque de capacité en soins primaires, une infrastructure informatique obsolète ou dépassée, et un manque d’intégration entre différentes formes de soins. La solution, argue le document, réside dans les partenariats public-privé qui créent des environnements collaboratifs et favorisent l’innovation nécessaire pour stimuler les résultats de santé.

Un exemple d’un tel environnement collaboratif est Future4Care. Lancé en 2021, Future4Care présente un écosystème unique visant à rassembler divers acteurs des mondes de la santé et du numérique. Il s’agit du plus grand accélérateur de e-santé en Europe, et agit comme un catalyseur en identifiant et en soutenant le développement de solutions européennes de e-santé jusqu’à leur mise sur le marché. Le lancement récent d’un second laboratoire en Allemagne est un signe de la demande pour la santé numérique en Europe et indique une opportunité unique de transformer l’Europe en un pôle d’innovation en matière de santé.

Tendance 4 : les outils de santé numérique permettront aux individus de prendre davantage le contrôle de leur santé

Les technologies de santé numérique telles que la télémédecine, la surveillance à distance, les dispositifs portables et les services de soins virtuels transforment la manière dont les soins de santé sont délivrés en plaçant les patients aux commandes de leur propre santé, dans le but ultime d’aider à obtenir de meilleurs résultats pour les patients.

L’utilisation d’outils numériques pour soutenir la prévention des maladies, y compris la mise en œuvre de normes minimales de partage de données, sera clé dans ce voyage, tout comme la co-conception de solutions avec les patients. Il sera également nécessaire de s’attaquer aux déterminants sociaux de la santé, tels que le logement, et le développement de nouvelles technologies exigeront des patients qu’ils s’engagent sur des questions de consentement concernant le traitement et le partage de leurs données.

L’amélioration des services de santé en ligne jouera également un rôle crucial dans la tendance vers une plus grande autonomisation personnelle. En 2022, la Commission européenne a déclaré trois priorités pour la transformation de la santé numérique :

1. Assurer aux citoyens un accès sécurisé à leurs données de santé, y compris à travers les frontières

2. Créer une infrastructure de données européenne partagée

3. Donner aux citoyens les outils numériques pour un retour d’information de l’utilisateur et une meilleure auto-prise en charge  

Les défis clés identifiés pour l’avenir sont :

1. Combler le fossé entre les utilisateurs nationaux et les utilisateurs transfrontaliers. Actuellement, 84 % des services pour les utilisateurs nationaux et 49 % des services pour les utilisateurs transfrontaliers sont entièrement en ligne.

2. Réduire l’écart entre les citoyens et les entrepreneurs. 92 % des services pour les entrepreneurs sont en ligne, contre 80 % pour les citoyens.

3. Combler le fossé entre les gouvernements locaux et régionaux et les gouvernements centraux. En 2023, 88 % des services gouvernementaux centraux évalués sont entièrement en ligne, contre 76 % des services gouvernementaux régionaux évalués et 62 % des services gouvernementaux locaux évalués. 

Les avantages concrets pour les patients d’une amélioration des services de santé numériques vont de la commodité à des changements de vie. Tout le monde apprécie une plus grande facilité dans la planification en ligne et les communications, l’option de consultations en télésanté, et les e-prescriptions faciles à utiliser. Pour les patients âgés ou handicapés – et les conjoints et les familles qui s’en occupent – l’accès aux soins médicaux sans la difficulté de se rendre physiquement chez un prestataire représente un progrès considérable.

Tendance 5 : les systèmes de santé deviendront plus durables

Dans nos prédictions pour 2022, nous avons parlé de la santé verte et de l’importance du monde naturel dans la promotion de la santé et du bien-être. À l’opposé, le réchauffement climatique et la pollution comportent des risques significatifs de maladies. Pourtant, le secteur de la santé est actuellement loin d’être durable, émettant une estimation de 4,4 % des émissions mondiales de gaz à effet de serre.

Le programme santé de la COP26 en 2021 a souligné l’importance de systèmes de santé résilients au climat et à faible émission de carbone. La COP28 a renouvelé cet engagement, redoublant l’engagement du secteur de la santé à réduire son empreinte carbone, avec une attention particulière sur l’impact négatif du changement climatique sur les nations en développement. À l’échelle mondiale, il y a eu un appel aux armes pour accélérer sa transition vers la durabilité tout en équilibrant la hausse de la demande pour ses services, qui est elle-même en quelque sorte entraînée par le changement climatique. Le Service national de santé du Royaume-Uni (NHS), par exemple, vise à être le premier service de santé national au bilan carbone net zéro au monde, avec un engagement légal d’atteindre le net zéro d’ici 2045.

La Maison Blanche et le Département de la Santé et des Services sociaux des États-Unis (HHS) ont également rouvert leur Engagement Climatique du Secteur de la Santé, qui encourage les organisations de santé à s’engager en faveur d’objectifs de résilience climatique. Et à la fois le NHS et le HHS sont engagés dans des achats durables.

Comme première étape pour atteindre les objectifs de net zéro, les organisations de santé doivent comprendre leur empreinte de durabilité. Des tableaux de bord ou calculateurs de CO2 peuvent aider à collecter, évaluer et visualiser la consommation d’énergie et les émissions. Allant un pas plus loin, les jumeaux numériques peuvent aider les organisations à visualiser leurs opérations, en utilisant des données pour conduire des efficacités de flux de travail et optimiser l’utilisation des ressources. Les insights tirés des jumeaux numériques réduiront les émissions tout en améliorant la capacité de soins et la sécurité des patients.

Faire avancer les soins de santé

La transformation numérique dans le secteur de la santé s’accélère. Alors que nous entrons en 2024, le paysage de la santé est prêt pour des changements dynamiques, tous soutenus par des capacités de données croissantes. Alors que la démocratisation des données, la digitalisation et la collaboration continuent d’évoluer, nous anticipons un élan le long de multiples chemins, façonnant l’avenir de la santé au cours des 12 prochains mois et au-delà.

Il y a une façon sûre de prédire l’avenir – être celui qui le construit. Pour prendre une longueur d’avance sur ces tendances, visitez notre page sur la santé ici.

Ce blog a été co-écrit par Ali Ashraf, Richard Haynes, Kritika Rai, Deak Jenkins, Elin Heir et Dalia Benitez.

Pour plus d’informations

Pour plus d’informations sur les services de santé et de soins sociaux de Capgemini, visitez ici.

80% des entreprises interrogées par le Capgemini Research Institute ont déclaré l’amélioration de la productivité et des processus métiers fluidifiés grâce à la Gen AI. Loin du prisme purement tayloriste, il y a plusieurs natures de gains à prendre en compte, allant de l’automatisation (exécuter plus rapidement une activité existante) à l’augmentation des tâches (mieux faire une activité ou se doter la capacité à exécuter des activités non réalisables auparavant).  

Ces deux tendances de fond redessinent le paysage des organisations. D’abord, elles permettent à des profils peu expérimentés d’élever leur niveau de performance plus rapidement. Ensuite, elles bouleversent la pyramide hiérarchique, obligeant les entreprises à repenser les parcours de carrière et les modèles de management davantage focalisés vers le développement des talents que sur des échanges transactionnels.  

Globalement, la Gen AI redessine les modèles de compétences et les métiers. En fonction de son empreinte, il faut anticiper son impact : 

• En dessous de 30%, la nature métier reste inchangée, seules certaines activités sont à revisiter 
• Entre 30% et 80%, la nature du métier doit être repensée  
• Au-delà de 80%, certains postes disparaissent au profit de nouveaux métiers émergents  

Que faire des gains de productivité individuels ? Comment transformer son entreprise sans la dénaturer ? Comment embarquer les équipes dans cette révolution ? Des questions clés et une quête de sens à mener en amont pour ne pas perdre de forces vives en cours de route.   

Une marque employeur renforcée grâce à la Gen AI ? 

Loin de tomber sous le sens pour tout employé, l’introduction de l’IA générative doit s’accompagner d’une vision stratégique pour l’entreprise allant bien au-delà de prises de notes automatiques de réunion ou encore de super robots assistants.  

Le virage de la Gen AI sera réussi si les employés adhèrent pleinement au projet d’entreprise. Et les motivations peuvent varier : il peut s’agir de faire partie des pionniers, être plus attractifs pour les nouvelles générations, dédier davantage de temps aux activités à forte valeur ajoutée, renouveler son business model, etc. Lorsque les promesses sont tenues, l’usage de l’IA générative peut même devenir un outil d’employee advocacy. Les salariés, communiquant sur les réseaux sociaux leur fierté d’être parmi les premiers à user de la Gen AI, se font ambassadeurs de l’entreprise. 

Des nouvelles compétences et une culture à redessiner 

Malgré les efforts déployés par les éditeurs et intégrateurs pour développer des solutions intuitives, présentées comme une simple extension de l’environnement de travail digital déjà connu, les employés devront acquérir de nouvelles compétences pour libérer le plein potentiel de l’IA générative. 

Cette montée en compétences se traduit d’abord par une formation au prompting et à l’acculturation au nouveau paysage applicatif, puisque dans la majorité des cas, il ne s’agit pas de l’introduction d’un seul nouvel outil, mais de plusieurs. Dans quelles conditions les utiliser ? Comment collaborer avec ces nouveaux assistants ? Chaque processus devra être décortiqué pour indiquer lorsque l’usage de la GenAI est pertinent et autorisé. Comment adapter son mode de travail afin de créer une symbiose entre les intelligences humaine et artificielle ? Le tout en adoptant le même principe de collaboration au sein d’une équipe : la confiance, n’excluant pas le contrôle. 

Potentielles dérives et accentuation des phénomènes d’organisations à deux vitesses 

D’après l’OCDE, là où deux tiers des employés exposés à l’usage de l’IA déclarent avoir une meilleure expérience employée, la tendance s’inverse lorsque ceux-ci se trouvent managés par l’IA. Un rôle de garde-fou central dans l’entreprise est à pourvoir et les Ressources Humaines doivent se tenir prêtes à l’endosser. Non seulement pour redessiner les parcours professionnels, compétences, métiers, mais aussi pour garantir un bon équilibre entre les bénéfices et les potentielles dérives sociales.

Au-delà de ces dérives liées au mauvais usage de la technologie en elle-même, on observe également un risque d’accentuation des écarts entre ceux qui seront équipés en premier et ceux qui ne bénéficieront peut-être jamais de l’IA générative. Le risque associé étant le déploiement à deux vitesses de cette technologie.  

À l’aune des Jeux Olympiques de Paris, si le rapport entre les organisations, les humains et l’IA générative devait se résumer en un sport, le cyclisme serait peut-être la discipline la plus appropriée : les organisations sont perçues à la fois comme le passager, mais également le moteur des transformations induites par l’IA générative. 

Les données ne sont pas une fin en soi : elles sont un outil pour aider les gens. Autrement dit, c’est l’agrégation de données à des fins commerciales spécifiques qui créent des perspectives, par exemple, en fournissant les bonnes informations aux bonnes personnes au bon moment. Étant donné leur importance dans notre vie quotidienne, les organisations de police, de sécurité et de justice doivent exceller dans l’accès, l’utilisation et la gestion des données, et équilibrer les libertés civiles avec les besoins de prévention et de détection des crimes. Les avantages d’une meilleure utilisation des données sont clairs – permettant aux policiers d’être plus efficaces en patrouille – atteignant plus rapidement les citoyens en crise, aidant les piétons là où ils en ont besoin, ou attrapant des criminels grâce à de meilleures techniques d’imagerie et de vidéosurveillance.

Mais il existe également de grands défis : des barrières organisationnelles (systèmes informatiques vieillissants et cloisonnés, manque de financement, et pas assez de personnes possédant les compétences nécessaires) ; des défis structurels (l’échelle, la complexité et l’interconnectivité des données, la manière dont elles sont détenues et partagées, et le mandat et la juridiction des agences d’application de la loi dans le monde virtuel) ; et des préoccupations éthiques concernant les données disponibles, la manière dont elles sont intégrées et utilisées, et jusqu’où nous pouvons et devons aller pour arrêter les criminels et les terroristes. Ces limitations ont empêché la plupart des technologies de données les plus révolutionnaires d’être accessibles à la plupart des départements de police, de sécurité et de justice. Pendant ce temps, les entreprises privées – et les cybercriminels – prennent de l’avance avec l’utilisation des données. Alors que la police est justement contrainte dans l’accès légal, l’utilisation et le partage des données pour éviter une surveillance inutile et une atteinte aux libertés civiles, les criminels ne sont pas si limités. Nous ne pouvons pas nous permettre que cet écart se creuse davantage. La compréhension, la confiance et l’adhésion du public seront clés pour utiliser les données afin d’atteindre les objectifs de police et de justice, et pour répondre aux besoins des citoyens, lorsqu’ils se présentent, jour et nuit.

2024 sera une année charnière pour les organisations de police, de sécurité et de justice si les défis peuvent être abordés et les opportunités réalisées. Il doit y avoir un changement fondamental dans la manière dont les organisations de police, de sécurité et de justice pensent et utilisent les données. Nous avons identifié plusieurs domaines clés pour le débat :

Sécurité et sûreté dans le monde virtuel

Les mondes virtuels représentent un nouveau territoire pour les organisations de police et de justice. Le cyberespace est fondamentalement ouvert et peut être anonyme : il n’y a aucune garantie concernant l’identité, la personnalité (compte tenu de la présence généralisée de bots automatisés), ou l’intention. Il peut être flou de déterminer si un crime a été commis ou non, tout comme les juridictions. Les dangers potentiels du métavers émergent (mondes virtuels interconnectés et permanents) incluent le harcèlement, les abus, le grooming, le vol d’identité, la fraude, l’extorsion, les logiciels malveillants et le piratage. Les groupes de crime organisé sérieux et les adversaires soutenus par des États exploitent Internet à l’échelle mondiale, cachés derrière des couches d’anonymat, rendant l’attribution pratiquement impossible. Dans cet environnement, comment pouvons-nous protéger les gens du mal ? Une solution pourrait consister à ce que les accords internationaux de maintien de l’ordre partagent le fardeau de la sécurité dans le cyberespace et conviennent de seuils d’intervention.

Les lacs de données deviennent l’océan

L’un des problèmes des données est qu’il y en a tout simplement trop. Même l’enquête criminelle la plus simple est susceptible d’avoir un élément numérique – et un seul téléphone mobile peut contenir des gigaoctets de données potentiellement pertinentes (images, textes, messages, emails, recherches internet), et l’accès à plus dans le stockage en nuage. À une échelle agrégée, les données aideront la police à comprendre les tendances criminelles, à prédire les futurs points chauds du crime et à fournir des stratégies pour prévenir le crime. Mais il devient de plus en plus difficile de gérer toutes ces données de manière efficace, de lier les sources de données ensemble, et de trouver les informations pertinentes et utiles, au bon moment – surtout pas au rythme d’une enquête criminelle. Et il peut être encore plus difficile de transférer des informations numériques entre organisations – par exemple de la police aux tribunaux – afin de rationaliser le système judiciaire. Il y a des problèmes de divulgation, de rédaction et d’expertise ainsi que des barrières techniques. Le Capgemini Research Institute a trouvé que les écosystèmes de données dans le secteur public améliorent la sécurité publique, mais des préoccupations spéciales se posent pour les données concernant la police, la sécurité et la justice. Les outils IA aideront également avec cela, s’ils peuvent être dignes de confiance à un seuil probant. Il n’y a pas de réponses faciles.

Accès asymétrique aux données

Des données sont constamment générées par nous tous presque à chaque moment où nous interagissons avec les médias numériques, utilisons les transports publics, entrons dans un bâtiment public, ou marchons dans une rue couverte par des caméras de surveillance. La plupart des données qui pourraient être utiles pour la sécurité publique ne sont pas entre les mains des organisations de police ou de sécurité mais se trouvent ailleurs. Beaucoup de données sont détenues par des entreprises privées, souvent basées à l’étranger, sous des conditions générales que peu de gens ne lisent jamais. À certains égards, les gens contrôlent leurs propres données – comme ce qui est sur leurs téléphones mobiles et leurs sonnettes intelligentes – et peuvent choisir de partager ces informations localement avec des groupes de prévention de la criminalité de voisinage, dans des réseaux sociaux informels, ou à travers les médias sociaux. L’information ‘open source’ ‘dans la nature’ peut être une source utile de renseignement : un nouveau secteur commercial a même émergé pour rassembler et analyser les informations open source. Alors que les agences d’application de la loi n’ont aucun intérêt pour la surveillance générale – ce qui serait illégal et disproportionné – elles doivent trouver des moyens d’accéder mieux et d’utiliser les données disponibles pour des objectifs spécifiques de police et de justice, peut-être à travers un meilleur partenariat avec le secteur privé.

Opportunités révolutionnaires pour les organisations de police, de sécurité et de justice en 2024

L’utilisation optimisée des données engendrera d’énormes avantages pour la sécurité et la sûreté publiques de plusieurs manières. Nous avons identifié quelques domaines clés qui transformeront la police dans l’année à venir :

Justice mobile

Un accès complet à leurs logiciels et outils de police via des appareils mobiles et des véhicules intelligents permettra aux agents de police de se détacher de leurs bureaux pour être plus visibles et efficaces. Les capacités de détection intelligente, intégrées de manière transparente dans l’écosystème informatique, contribueront à la police prédictive et à la cartographie des crimes, aidant ainsi la police à rester connectée, même en déplacement, et à les diriger là où ils sont le plus nécessaires. À l’avenir, les capteurs en réseau permettront à la police de collecter des empreintes digitales numériques sur les lieux (et peut-être de réaliser une reconnaissance faciale) et de les comparer instantanément à une base de données de suspects, d’identifier des individus par rapport à des condamnations antérieures, et peut-être d’entreprendre immédiatement des analyses forensiques numériques sur des smartphones pour les aider à prendre des décisions sur place. Associer des agents de police à des mini-drones leur fournissant des vidéos en direct dans certaines opérations les aidera à intervenir.

Intégration automatisée des données

D’énormes quantités de données sont générées par les caméras de vidéosurveillance (souvent pas principalement pour les enquêtes de la police, mais pour dissuader les voleurs à l’étalage et les comportements antisociaux, ou pour faire respecter les restrictions de circulation), mais obtenir, apparier et analyser les données pertinentes pour une enquête criminelle prend du temps. Trouver des moyens d’automatiser l’analyse d’image et de sélectionner les informations pertinentes réduirait ce fardeau sur le temps de la police. Cela aide également à organiser les données, par exemple via la méthode POLE. Les systèmes automatisés de reconnaissance faciale pourraient à l’avenir être utilisés pour surveiller les personnes violant les conditions de leur caution ou les ordonnances restrictives, repérer des terroristes potentiels, ou signaler des fauteurs de troubles connus dans des lieux bondés, comme pour prévenir la violence dans les stades de football. Pour les événements à venir comme les Jeux Olympiques à Paris en 2024 ou le Championnat d’Europe de Football en Allemagne en 2026, ces technologies sauveront probablement des vies.

Une priorité pour les organisations de police, de sécurité et de justice dans les années à venir sera de créer des systèmes de données qui facilitent le flux transparent des données à travers les organisations. Par exemple, les données recueillies par les caméras des stades pourraient être mises à disposition non seulement de la police, mais aussi des tribunaux. Encore une fois, la clé est de rendre les données accessibles pour les personnes qui en ont besoin.

L’IA change le monde (ou pas ?)

Nous avons assisté à des développements rapides dans les outils d’IA tels que ChatGPT utilisant de grands modèles de langage pour fournir des interfaces faciles à utiliser : Gartner prédit qu’en 2026, plus d’un tiers des rapports d’urgence seront initiés par des dispositifs IoT ou des assistants IA. Utilisés de manière appropriée, les outils d’IA seront transformateurs pour les organisations de police et de justice. Les outils alimentés par l’IA peuvent aider la police à naviguer dans l’océan de données en analysant rapidement de grands ensembles de données tels que les casiers judiciaires, les profils sur les réseaux sociaux et les images de surveillance. Ils aideront la police à anticiper les tendances criminelles et à optimiser l’utilisation des ressources, en déployant les agents avec le plus grand effet.

L’IA peut créer des outils automatisés pour libérer du temps de police et aider les agents de police à prendre les bonnes décisions en leur donnant les bonnes informations au bon moment. Mais, il existe de réelles préoccupations concernant les problèmes de biais, de confiance et de potentiel d’abus : les outils d’IA s’appuient sur des ensembles de données qui peuvent eux-mêmes être partiels, biaisés ou faux – certains criminels peuvent chercher à “empoisonner le puits de données” avec de faux points de données, tandis que les militants de la vie privée cherchent des moyens d’exclure ou de modifier les données utilisées par l’IA. Les incertitudes sur ce qui peut ou doit être fait peuvent empêcher les agences de police et de justice de récolter les bénéfices de la technologie à moins qu’un accord clair et des orientations ainsi que des outils et normes ‘approuvés’ ne soient établis. Avec l’Acte IA de l’UE à l’horizon, il est temps de commencer à définir les paramètres.

C’est un moment à la fois excitant et effrayant pour les organisations de police, de sécurité et de justice. Nous sommes à un point de bascule où les données passent d’être juste un aspect à être intégrales à la manière dont tout fonctionne. Et les données ne feront que s’agrandir, se complexifier et devenir plus difficiles à bien utiliser. Il est plus critique que jamais de construire stratégiquement des systèmes de données – en alignant la stratégie de données avec les personnes qui s’appuient dessus pour servir le public. Bien faire tout cela nécessitera beaucoup de réflexion, d’expérimentation et d’apprentissage, ainsi que la confiance et l’adhésion du public. Le leadership, le partenariat et la collaboration seront tous clés, tout comme le développement de la bonne culture, de l’écosystème et des approches. Il reste beaucoup à faire.

Ce blog a été co-écrit par Lucy Mason, Anne Legrand, Nick James, Jayhon Zadeh et Vanshikha Bhat.

Pour plus d’informations

Pour des informations sur les services de sécurité publique de Capgemini, visitez ici.

Le secteur financier se distingue par une forte interconnexion, faisant du risque cyber un risque systémique. Le secteur regroupe en effet des acteurs qui concentrent une part importante des actifs et des flux et qui sont fortement liés entre eux.

Par conséquent, un évènement isolé peut se propager plus largement, comme l’a démontré la cyberattaque du 9 novembre 2023 contre une division américaine de la Banque Industrielle et Commerciale de Chine (ICBC)⁴.

Face à l’omniprésence de cette menace, la stratégie de cybersécurité d’une entité financière ne peut se limiter à une approche exclusivement préventive des risques. Puisque le « risque zéro » n’existe pas, elle doit assurer des capacités de gestion de crise et de reconstruction.

Le législateur s’est emparé de cette problématique et a pris des mesures significatives. Ainsi, parallèlement à la directive NIS 2 (Network and Information Systems), la réglementation DORA (Digital Operational Resilience Act), spécifique au secteur financier, entrera en vigueur en janvier 2025. Elle établit des exigences claires en matière de cyber résilience et impose d’adopter une approche fondée sur les risques.

Adopter une approche de résilience opérationnelle fondée sur les risques

L’approche par les risques repose fondamentalement sur la priorisation. Les menaces et sources de risques doivent être identifiés afin de définir un nombre restreint de macro-scénarios potentiels, dont la criticité doit être caractérisée en évaluant leur probabilité et leur impact sur les activités de l’entité. Les activités de l’entité doivent également être priorisées selon leur criticité afin d’identifier celles qui nécessitent une protection et des contrôles renforcés. Ainsi, en concentrant les efforts sur les scénarios touchant les activités les plus critiques, cette approche permet d’orienter efficacement les ressources vers les aspects les plus essentiels de l’organisation.

DORA préconise un retour à l’essentiel pour assurer la continuité des activités de l’entité. Définir sa stratégie de cyber résilience nécessite de s’interroger sur ce qui est vital pour les activités de l’entité et impérativement nécessaire pour leur continuité opérationnelle (i.e., infrastructures, applications, assets), en se concentrant sur les scénarios les plus critiques. Adopter cette approche pragmatique permet de concentrer les efforts de résilience sur ce qui contribue au cœur de l’activité de l’entité.

Quelques bonnes pratiques pour adopter l’approche par les risques

Le point de départ incontournable est l’identification des activités critiques pour définir le périmètre de la résilience. Cela nécessite de pouvoir s’appuyer sur un référentiel groupe et stabilisé des activités et des processus de l’entreprise. En fonction de l’entreprise, le niveau de granularité de l’analyse peut varier : service métier, macro-activité, activité ou processus. Le choix doit se faire de sorte que l’organe de direction puisse prendre des décisions. L’entreprise peut s’appuyer sur un certain nombre de standards et de méthodologies existants de gestion des risques et de la continuité d’activité (ex. ISO 27005, ISO 22301, EBIOS RM).

À partir des activités critiques, via une approche top-down, l’entreprise déduit le périmètre des applications et infrastructures à rendre résilientes. L’approche par les risques permet de déterminer quels sont véritablement les maillons de la chaîne absolument nécessaires au maintien ou à la reprise d’activité. Cela nécessite de challenger et affiner les résultats des Bilans d’Impact sur l’Activité (BIA) produits par les métiers. La traduction des actifs métiers en actifs IT nécessite une CMDB à jour et suffisamment précise à commencer par les assets IT critiques. Cette cartographie est par ailleurs clé pour répondre au reste des exigences de DORA, pour la classification des incidents comme pour les plans de tests par exemple.

Les dépendances d’activités critiques vis-à-vis de prestataires ou de partenaires externes doivent aussi être prises en compte. L’approche par les risques permet de classer les tiers par niveau de criticité. L’analyse de risque prend ainsi en compte la substituabilité d’un tiers ou encore le risque de surconcentration d’actifs.

Les actifs identifiés à rendre résilients doivent enfin être priorisés de sorte à dessiner le processus de reconstruction. Les délais de reprise d’activité et les seuils de perte de données sont aussi à challenger en prenant en compte les alternatives métiers par exemple. Cette priorisation entre les assets permettra de faire face à un cas de black-out mais aussi à une perturbation partielle.

En introduisant une approche par les risques, DORA invite à se concentrer sur le plus critique et pose un standard de résilience opérationnelle, réutilisable au-delà du secteur financier.

1. Netwrix, 2023 Hybrid Security Trends Report, 2023. url: https://www.netwrix.com/2023_hybrid_security_trends_report.html ︎
2. “COVID-19 and cyber risk in the financial sector”, Iñaki Aldasoro, Jon Frost, Leonardo Gambacorta, David Whyte, BIS Bulletin No 37, 14 Janvier 2021. url: https://www.bis.org/publ/bisbull37.pdf ︎
3. Banque de France, Évaluation des risques du système financier français, 20 décembre 2022. url : https://publications.banque-france.fr/sites/default/files/medias/documents/2022_s2_ers_final.pdf ︎
4. Costas Mourselas, Kate Duguid, Joshua Franklin, Hannah Murphy, “Ransomware attack on ICBC disrupts trades in US Treasury market”, Financial Times, 10 novembre 2023. url : https://www.ft.com/content/8dd2446b-c8da-4854-9edc-bf841069ccb8 ︎

Les solutions de bien-être concernent la stabilité sociale, ce qui est plus difficile en période de crise. Partout dans le monde, les agences responsables de l’emploi, de la sécurité sociale et des pensions positionnent leurs programmes pour prévenir les urgences et fournir les droits et le soutien appropriés tout en se préparant simultanément à la prochaine urgence.

Les organisations publiques de bien-être ont montré une résilience remarquable ces dernières années. À travers une pandémie, des incertitudes politiques, des crises de réfugiés et des guerres, elles se sont adaptées. Elles ont commencé à moderniser leurs infrastructures informatiques, à déployer des services de bien-être numériques et ont continué à fournir des services au milieu de l’inconnu. Maintenant, de nombreuses organisations de bien-être vont encore plus loin. En utilisant les leçons apprises au cours des dernières années et en adoptant de nouvelles technologies, elles développent de nouvelles capacités – réagissant aux besoins du jour tout en se préparant, elles et les citoyens qu’elles servent, à tout ce qui peut survenir.

Les programmes de prévention peuvent prendre de nombreuses formes, telles que l’éducation précoce des enfants, la formation professionnelle, l’accès à des soins de santé abordables, la garde d’enfants et le conseil en santé mentale. La mise en œuvre efficace de tels programmes préventifs, combinée à des programmes de soutien au revenu, impacte positivement des millions de vies, les aidant à mener des vies productives. De plus en plus, les agences de bien-être orientent leur réflexion vers ce modèle : visant à prévenir les difficultés dans la mesure du possible.

Voici trois manières concrètes dont les prestataires de bien-être se préparent pour l’avenir et aident leurs citoyens à faire de même.

Événements de vie – placer les citoyens au cœur des solutions de bien-être

Le fait qu’un service de bien-être soit disponible ne signifie pas que les citoyens vont en bénéficier. Certains peuvent simplement ne pas en avoir besoin. D’autres peuvent compter sur leur famille ou leur communauté à la place. Mais il y a aussi des citoyens qui pourraient énormément bénéficier de l’aide, mais ne le font pas. Et plus leur situation reste non gérée, plus elle peut devenir grave. Une chose que les gouvernements peuvent faire est de faciliter le processus de recherche de services, surtout si vous devez demander plusieurs programmes de soutien en même temps. C’est l’objectif de l’approche par événements de vie.

Simplement définie, l’approche par événements de vie organise les services de bien-être autour de moments cruciaux dans la vie des citoyens (naissance d’un enfant, nouvel emploi), plutôt qu’autour des domaines du gouvernement. L’objectif est la simplicité – et cela fonctionne. Pour prendre un exemple, en Estonie, les nouveaux parents avaient en moyenne dix interactions avec leur gouvernement. L’approche par événements de vie a réduit cela à seulement quatre. Les citoyens interagissent avec le gouvernement via des plateformes de bien-être numériques dans un engagement simple (OOC – Communication Unique), signalent l’événement de vie, et trouvent une liste de services rendus possibles par plusieurs départements gouvernementaux. 

Cette approche permet de gagner du temps, des efforts et de l’argent car elle réduit le défi d’avoir plusieurs systèmes face aux citoyens pour chaque département. Les gouvernements de Singapour, d’Australie, du Royaume-Uni et des Émirats Arabes Unis ont adopté cette méthodologie de prestation de services et continuent de moderniser leurs services à travers des portails unifiés et des applications mobiles. D’autres gouvernements, comme la ville d’Abou Dhabi, examinent les événements de vie pour améliorer l’expérience de leurs citoyens.

Services de bien-être numériques – donner vie aux données

Quels programmes de bien-être fonctionnent ? Fonctionnent-ils également pour tout le monde ? Quelles régions ont besoin de plus d’assistance ? Et que pouvons-nous apprendre des étapes que nous avons déjà franchies ?

Pour chacune de ces questions, les réponses se trouvent dans les données.

Les agences gouvernementales sont assises sur un trésor. Malheureusement, leurs données sont généralement cloisonnées dans des systèmes informatiques à travers divers départements gouvernementaux, et même dans les bases de données de partenaires dans les mondes des ONG et des entreprises. Pour récolter les bénéfices des données, elles doivent être partagées. Simultanément, la sécurité des données doit être maintenue, comme réglementé par le HIPAA, le GDPR et d’autres réglementations locales.

Les hyperscalers et autres fournisseurs de plateformes apportent de nouvelles technologies telles que la confidentialité différentielle, l’apprentissage fédéré et les systèmes d’échanges de données, faisant de ce moment une opportunité pour activer les données dormantes et faciliter leur libre circulation. Dans un avenir proche, nous allons voir les données créer une grande valeur pour les organisations de bien-être, les gouvernements et les entités associées – cela aidera dans l’élaboration de politiques basées sur des preuves, la gestion des risques de catastrophe, la livraison de services centrés sur le citoyen, la détection de fraude, la gestion des résultats et plus encore.

Compétences pour l’ère moderne : un nouveau défi pour le bien-être social 

Les gouvernements cherchent de plus en plus de nouvelles façons d’aider leurs citoyens à acquérir les compétences nécessaires pour réussir dans un monde en rapide évolution.

Les économies changent, et de nombreuses personnes constatent que les compétences qui les ont menées là où elles sont aujourd’hui sont insuffisantes pour demain. L’exemple le plus évident est le travail en usine, qui a décliné dans de nombreux pays. Mais cela ne s’arrête pas là. L’emploi est également affecté par les avancées technologiques telles que l’automatisation. Bientôt, les camions autonomes remplaceront la conduite de camion. Et avec le GenAI, tous les paris sont ouverts. Cependant, cela ne signifie pas que le nombre total d’emplois est en déclin – loin de là. Les emplois changent. Les agences de bien-être social ont un grand rôle à jouer pour aider les citoyens à s’adapter.

Probablement, la plupart des étudiants aimeraient apprendre des compétences qui leur seront bénéfiques sur le lieu de travail – mais avec des compétences professionnelles qui changent à la vitesse de l’éclair, les organisations éducatives ont du mal à suivre le rythme. C’est un domaine où de nouvelles solutions de bien-être social peuvent faire une différence profonde. En s’associant à des plateformes d’emploi telles que LinkedIn, les gouvernements apprennent à connaître le marché du travail et les compétences recherchées par les employeurs. Encore plus de données peuvent être recueillies en travaillant directement avec les employeurs. Et avec les avancées dans les techniques de données, les déficits de compétences peuvent être identifiés de manière proactive. Cette information est inestimable pour les institutions éducatives et les individus. Elle informe également les décisions des agences de bien-être social sur la formation à fournir. Et aujourd’hui, cette information peut être traduite en cours de formation personnalisés, accessibles à une population diverse via des appareils mobiles. Le ministère indien du Développement des compétences et de l’Entrepreneuriat fournit un exemple de la puissance de la technologie pour développer des compétences de nouvelle génération.

Faire avancer le bien-être social

Naviguer dans la fourniture du bien-être social est un défi nuancé, et les gouvernements reconnaissent la nécessité de services rationalisés. Les perturbations mondiales peuvent brusquement pousser des milliers de personnes à avoir besoin d’une assistance immédiate. La solution réside dans la prise de décision informée par les données, équipant les citoyens des compétences essentielles, et redéfinissant les services pour qu’ils soient centrés sur le citoyen et facilement accessibles. Partout dans le monde, c’est la direction choisie par les agences de bien-être social – s’assurant que lorsqu’elles sont le plus nécessaires, les systèmes de soutien seront prêts.

Ce blog a été co-écrit par Sivaraj Sethunamasivayam, Helena Vilcans, Félix Lopes, Harm Erbé, Vanshika Bhat et Marc Reinhardt.

Lecture complémentaire

Pour plus d’informations sur les services de bien-être social de Capgemini, visitez ici.