PROTÉGEZ VOS CLIENTS !
En chiffres
Qui dit données informatiques dit faille de sécurité potentielle. Les entreprises doivent apprendre à la fois à mieux protéger leurs données et à mieux se préparer lorsqu’une cyberattaque survient.
Jean-Philippe Décarie-Mathieu, directeur général de Crypto.Québec et coordonnateur au centre opérationnel de sécurité du Corps des commissionnaires du Québec, juge que les entreprises, ici comme ailleurs, tardent à prendre au sérieux les menaces informatiques. « Règle générale, c’est souvent vu comme une dépense et non comme un investissement. » Il croit que c’est encore la mentalité d’une vieille garde qui prévaut et souhaite qu’un changement de mentalité ait lieu. « On préfère encore payer les coûts d’une brèche informatique plutôt que d’investir en sécurité. »
Même son de cloche pour le chargé de cours en cybersécurité à Polytechnique et responsable de la gestion de la sécurité à Sitaonair, Cyrille Aubergier. « Il faudrait un investissement plus fort des entreprises en matière d’expertise et d’outils. Dans énormément de cas [de bris de sécurité], une solution connue existait déjà depuis quelque temps. » Il évoque la faille survenue chez Équifax et qui a exposé les informations personnelles de nombreux Américains. « Ils ont échoué dans leur gestion de la sécurité et dans leur analyse de risque. Ce qui est choquant, c’est qu’ils auraient pu apporter des correctifs depuis des mois. Finalement, ils ont investi davantage pour gérer la crise que pour la prévenir. »
Selon les plus récentes données du Centre antifraude du Canada (CAFC), qui collige ce type de renseignements, les pertes financières totales signalées par les Canadiens étaient de l’ordre de 74millions de dollars en 2014. Au cours de cette même année, 42200plaintes ont été formulées pour des fraudes de marketing de masse et de vols d’identité. Ce ne sont là que les fraudes financières déclarées, précise M. Aubergier. « C’est évident que tous n’ont pas déclaré leurs incidents. Il y a une certaine honte à se faire pirater. » Il juge difficile d’évaluer le nombre réel de fraudes, mais estime qu’elles pourraient représenter le double des données avancées par le CAFC.
Selon un récent rapport de CSIS et McAfee publié en février 2018, les plaintes de cybercriminalité qui ont fait l’objet d’enquête par la Gendarmerie royale canadienne ont augmenté de 45 % entre 2015 et 2017. Selon la Chambre de commerce du Canada, près de la moitié des petites et moyennes entreprises canadiennes auraient été victimes de cyberattaques.
Pas de solution miracle
Que peuvent faire les entreprises pour se prémunir contre de possibles attaques à leurs systèmes informatiques? « Cela dépend toujours du type de menace, souligne M. Décarie-Mathieu. La sécurité, c’est un processus, pas un produit. Il n’existe pas de solution miracle qui permette d’être 100 % sécuritaire. » Il existe cependant de bonnes pratiques que l’entreprise peut mettre en place. « Est-ce qu’on chiffre les données importantes? A-t-on des copies de sûreté ( back-up)? Qui a accès aux mots de passe? Comment sont-ils gérés? Fait-on des mises à jour régulièrement à notre parc informatique? » Selon lui, tous ces gestes réduisent la surface d’attaque et rendent une entreprise moins attrayante aux yeux d’un pirate informatique.
Outre l’aspect technique, le cofondateur de Crypto.Québec mentionne également des démarches qui peuvent être menées au sein d’une entreprise pour sensibiliser les employés aux risques de la cybercriminalité. « Du travail proactif peut être fait. Toutes les entreprises devraient développer leur “modèle de menace” en fonction de leurs atouts et de leur milieu. » Il mentionne que certaines entreprises mènent même de fausses campagnes d’hameçonnage pour tester l’étanchéité et la sécurité de leur système.
M. Aubergier a été surpris de constater dans une étude récente que la majorité des entrepreneurs (environ 80 %) estimait avoir confiance dans leur mécanisme de sécurité. « Je crois qu’il faut regarder les choses avec lucidité et se poser la question : avons-nous bien évalué la menace? Connaissons-nous bien nos risques? » Selon lui, la plupart des attaques de particuliers et d’entreprises sont opportunistes et guidées par l’appât du gain. « Le cryptage, lorsqu’il est bien fait, est une bonne solution pour protéger ses données. D’autant plus si vous hébergez vos données dans des services d’infonuagiques à qui vous avez délégué votre infrastructure et certains éléments de votre sécurité. »
Les obligations des entreprises en cas de bris de sécurité
Antoine Guilmain, avocat en protection des renseignements personnels chez Fasken, rappelle qu’en amont, « toute entreprise doit prendre des mesures de sécurité au regard de la nature et de la sensibilité des informations qu’elle détient ». Qu’il s’agisse de moyens physiques, techniques (cryptages) ou organisationnels (politiques appropriées et sensibilisation du personnel).
Les entreprises victimes d’un bris de sécurité sérieux peuvent aussi avoir une obligation en matière de notification, rappelle l’avocat. «D’une part, aviser les autorités de contrôle, le commissariat à la protection de la vie privée (fédéral ou provincial) et, d’autre part, les individus concernés pour leur expliquer ce qui est arrivé et ce qui a été fait pour mitiger les dommages.»
Il mentionne qu’à l’heure actuelle, ces obligations en matière de notification n’existent qu’en Alberta et dans certaines lois en matière de protection des renseignements personnels de santé, mais que la situation s’apprête à changer d’ici quelques mois par l’adoption d’un règlement, au fédéral, qui mettra en vigueur les nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
«Les entreprises soumises à la loi fédérale devront notifier le Commissariat à la protection de la vie privée du Canada et les individus s’il y a une atteinte qui présente un risque réel de préjudice grave.» Il ajoute qu’elles auront aussi une obligation de documentation. «Toute entreprise, chaque fois qu’il y a atteinte à ses renseignements personnels, devra tenir un registre, un historique de l’utilisation de ses données.»
la
Adopter une nouvelle technologie, c’est bien, mais cela demande beaucoup d’efforts. Comment savoir si vous en avez eu pour votre argent ? La réponse nécessite de mesurer vos résultats. Mais quoi mesurer, et comment? Est-ce même toujours possible ?
Elka Suspension est un beau modèle à suivre. Établie à Boucherville, l’entreprise se spécialise dans la fabrication d’amortisseurs haut de gamme pour véhicules hors route. Derrière une refonte en apparence banale de son site web en 2016, elle a transformé complètement ses façons de faire. Son directeur du marketing, Patrick Tellier, peut même chiffrer précisément les gains réalisés. Selon lui, le virage technologique de son entreprise a rapporté plus de 10 fois la mise en moins d’un an. Rentable, dites-vous?
Avant la mise en place de son nouveau site web transactionnel, l’entreprise avait connu trois ans de stagnation. Aucune croissance. L’année de l’implantation, ses ventes ont cependant grimpé de 15 %, indique le directeur. L’année d’après, 30 %. Et la profitabilité a triplé. « Avoir su, on l’aurait fait plus tôt », confie M. Tellier.
Pour obtenir de tels résultats, l’entreprise de 35 employés n’a toutefois pas improvisé. Elle s’est fixé des objectifs à atteindre après avoir cerné clairement les problèmes qu’elle voulait régler. Car avant la transformation, elle réalisait 80% de ses ventes totales — de 8 à 10 millions de dollars — au moyen de revendeurs. « Mais on a eu un gros wake-up call quand des clients ont commencé à nous écrire ou à nous appeler pour nous poser des questions sur nos suspensions, dit M. Tellier. On a réalisé que nos revendeurs ne savaient pas toujours vendre nos produits. »
C’est que l’entreprise vend des suspensions qui coûtent de 500$ à 3000$ la paire. Sauf que ces produits sont fabriqués sur mesure et ne sont donc jamais en stock — ce qui est loin d’inciter les revendeurs à connaître le produit. Le vieux site web statique de l’entreprise n’aidait pas non plus: pour les motoneiges seulement, un acheteur pouvait se retrouver devant un étourdissant choix de 16 produits.
Elka Suspension s’est donc mis en tête de refaire son site pour mieux informer et servir ses clients, et aussi pour leur vendre directement. Elle s’est fixé trois objectifs. Le premier était de répliquer en ligne le modèle de vente qu’elle faisait au téléphone avec ses vendeurs, et dont l’objectif était de trouver le bon produit pour le client. Le deuxième était de présenter son offre de produit de façon claire et simplifiée. Le troisième était lié aux procédures analytiques: récolter de l’information sur ses clients en plus de prendre le pouls du marché.
Et elle y est arrivée. Son site web, conçu par Exo B2B, présente maintenant au client une séquence de pages qui l’aide à trouver le produit adapté à son véhicule, à son type d’utilisation et à son budget. De plus, grâce aux données récoltées sur les clics, l’entreprise sait très rapidement ce qui se passe sur le marché. « Si une motoneige Ski-Doo devient à la mode demain, on va voir tout de suite pour des suspensions en demande sur notre site, explique M. Tellier. Avant, l’information aurait pris six ou sept mois avant de remonter jusqu’à nous par nos revendeurs. »
De la même manière, si les clics en provenance du Mexique explosent, l’entreprise sait qu’il y a de la demande avant même d’avoir des revendeurs sur place.
Avec cette refonte, la proportion des ventes au détail provenant de son site web est passée de 10% à 45%. L’augmentation est d’autant plus profitable que ses ventes directes — réalisées au même prix que ses détaillants — se font à plus grande marge.
La mesure, cette mal-aimée
Mesurer l’impact d’un virage numérique est parfois plus facile à dire qu’à faire. En conséquence, peu d’entreprises le font.
Placide Poba-Nzaou, professeur à l’ESG-UQAM qui se spécialise en adoption, implantation et impacts des technologies et des systèmes d’information, cite une étude de Gartner: « 53% des organisations affirment ne pas mesurer les effets des initiatives de transformation numérique ». Cela s’explique entre autres par le fait que plusieurs entreprises n’ont pas d’objectifs clairs. Pas que les dirigeants ne savent pas ce qu’ils veulent faire avec la technologie. C’est simplement qu’ils ne partagent pas toujours la même vision. La confusion s’ensuit.
La recherche est toutefois claire: la démarche de transformation est cruciale à son succès. La taille des investissements, elle, est secondaire. Une étude de Harvard réalisée en 2017, par exemple, comparait les leaders numériques aux retardataires. La différence entre les dépenses en TI des deux groupes: moins d’un demi-point de pourcentage.
« La clé n’est pas le montant investi. C’est ce que l’on fait et comment on le fait, dit M. Poba-Nzaou. La clé, c’est de se remettre en question et de se fixer des objectifs clairs. »
Charles Cormier en sait quelque chose. Président et conseiller stratégique de Chuck & Co., une firme de Québec qui se spécialise
en transformation numérique, il travaille notamment avec des clients pour réduire leur utilisation de papier au profit du numérique. « On peut faire gagner jusqu’à 30 minutes à un employé par jour, dit Charles Cormier. Un de nos clients devrait même, à terme, être capable de se débarrasser de son entrepôt de papier qui lui coûte actuellement 1 500$ par mois. »
Pour connaître un succès, une firme doit toutefois être bien préparée. Ce n’est pas toujours le cas. Il y a quelque temps, Chuck & Co. a implanté un logiciel de gestion de documents numériques dans un organisme. « Sauf qu’après un an, quand on a fait un suivi, on s’est aperçu que tout le monde était revenu à ses anciennes façons de faire deux semaines après l’implantation. On a dû tout refaire et instaurer une culture numérique. »
Faire un virage peut donc se révéler payant... si on ne dérape pas à mi-chemin.
Choisir un indicateur
Quoi mesurer? Quels devraient être les indicateurs de performance à suivre et à favoriser dans l’élaboration d’objectifs? La réponse sera différente d’une industrie à l’autre, répond le professeur Poba-Nzaou. Parfois même d’une entreprise à l’autre, sinon d’un projet à l’autre. Selon le cabinet-conseil McKinsey, beaucoup d’entreprises découvrent aujourd’hui que les traditionnels indicateurs clés de performance ont perdu de leur pertinence. Moins de 15% des entreprises peuvent quantifier le rendement de leurs investissements en initiatives numériques. Quoi faire? La firme suggère de favoriser plutôt les indicateurs de traction numérique. C’est ce qu’a fait Les Bois de plancher PG, une firme de Saint-Édouard-de-Lotbinière spécialisée en finition de plancher de bois franc en usine. En 2015, l’entreprise de 170 employés a équipé ses travailleurs d’iPad et a implanté l’application Poka, qui fonctionne un peu comme un Facebook interne.
Dans Poka, chaque machine de l’usine a son propre profil qui, lui, contient son guide d’utilisation et des vidéos de formation qui lui sont reliées. Les employés, qui ont aussi leur profil, peuvent créer des vidéos de formation et afficher des commentaires accompagnés d’une photo pour indiquer, par exemple, qu’une machine est brisée. Les équipes du bureau, elles, peuvent publier sur le fil d’actualité des nouvelles à propos des ventes.
Pierre-Denis Faucher, le directeur des ressources humaines, dit que l’application a fait tomber les murs entre les bureaux et l’usine, et aussi entre les quarts de travail. Un mécanicien de soir peut donc voir, sur le profil d’une machine, qu’un employé a demandé au mécanicien de jour de déplacer un capteur. Un spécialiste de l’affûtage est récemment tombé malade. Il était le seul à savoir faire fonctionner sa machine. Grâce aux formations vidéo qu’il avait mises en ligne sur Poka, un autre employé a réussi à le remplacer. Cela aurait été impossible auparavant et aurait causé un arrêt de production.
Se donner du temps
Selon M. Faucher, la transformation est donc un vif succès. Malgré tout, il reconnaît que de chiffrer en dollars le rendement de l’investissement est à ce jour impossible. Il suit donc pour l’instant trois indicateurs. Le premier est la durée moyenne des formations. Pour les postes clés, il estime qu’elles ont été réduites du tiers. Le second est le nombre de nouvelles publiées sur Poka, une mesure du volume de communication, du transfert d’information et de l’engagement. Pour l’instant, 120 nouvelles sont publiées chaque semaine. L’objectif était au départ d’atteindre 50. Le troisième indicateur est la polyvalence-usine, une mesure du nombre moyen de postes maîtrisés par chaque employé. Elle est importante, parce qu’un travailleur polyvalent peut en remplacer un autre en cas d’absence, ce qui évite l’arrêt des machines. Cet indicateur a aussi progressé de façon positive. Encore une fois, cependant, ces mesures sont imparfaites. « Comme nous avons commencé à mesurer assez récemment, nous avons peu de données pour en juger », explique M. Faucher. Il faudra plusieurs mois pour récolter assez de chiffres pour mesurer précisément l’impact total du virage numérique. D’ici là, mesurer qualitativement l’effet du changement est donc important. C’est pourquoi l’entreprise sonde ses employés. Ils sont plus que satisfaits, raconte M. Faucher. « Plus de 95% des gens ont embarqué dès le début, dit-il. Ce taux nous indique à court terme qu’on est dans la bonne voie, et ça nous encourage à continuer. »