Victime d'une brèche informatique? Les mauvais exemples à ne pas suivre

Par Bertrand Milot

Equifax, les mauvais exemples à ne pas suivre si vous êtes victimes d’une brèche de données…

Il y a 143 millions de consommateurs touchés par cette nouvelle brèche de données massive ayant impacté à la fois des citoyens américains, mais aussi des concitoyens canadiens et anglais.

  

Cet incident a généré une puissante dégringolade pour la compagnie (NYSE : EFX) sur le NYSE : l’agence américaine d’évaluation de crédit a vu son action perdre plus de 13 % dans les échanges d’après-Bourse.

  

Dans ces informations volées, on peut trouver des numéros d’assurance sociale, des numéros de cartes de crédit actives et leur limitation, les informations personnelles (date de naissance, numéro de téléphone, adresse… etc.). Et alors me direz-vous? Vous vous rappelez votre dernière discussion téléphonique avec votre institution bancaire? Les questions de sécurité pour vérifier votre identité? Tout y est. En effet, grâce à ces informations consolidées, un fraudeur peut aisément usurper l’identité d’innocentes victimes comme vous et moi.

  

Quelles erreures ont été commises?

1-      La surveillance de sécurité : Equifax pense, après enquête interne, que l’attaque serait datée de mai de cette année, détectée en juillet, soit respectivement 5 et 3 mois avant l’annonce publique. Je demande souvent, comment savez-vous que vous n’êtes pas victime d’une cyberattaque, si vous êtes « aveugle » et « sourd ». En effet, l’absence d’outils de surveillance et de pratiques actives de supervision de sécurité reste la première cause de délais aussi dramatiques. Il est évident que bien des fraudes ont été perpétrées une fois les données volées durant la centaine de jours séparant le vol de l’annonce et la réaction publique. L’absence de surveillance est une forme de négligence.

2-   La communication trop tardive aux premiers impactés : lorsque l’on parle de plusieurs jours pour une notification dans le cas d’une importante cyberattaque avec impact client, c’est beaucoup. Plusieurs semaines, c’est inacceptable; plusieurs mois, je ne sais plus trop ce que c’est. Rien ne justifie l’absence de communication avec les personnes impactées par une brèche de données, surtout quand ces données permettent l’usurpation majeure d’identité des victimes. Rappelons que ces données ne sont pas la propriété d’Equifax, mais bien celle de leurs clients. Les clients font confiance à la compagnie pour protéger et sauvegarder ces données sensibles qui leur sont confiées. L’autre conséquence de cette erreur est l’apparence tout de suite médiatisée de conflit d’intérêts des fameux trois cadres supérieurs d’Equifax ayant vendu quelques-unes de leurs actions d’Equifax après la découverte des événements à l’interne.

  

3-   Les tests de vulnérabilité et les évaluations de cybersécurité n’étaient clairement pas… existants ou…, efficaces ou…, les recommandations de sécurité émanant de ceux-ci, correctement appliquées : ces évaluations de la bonne hygiène de sécurité sont nécessaires à tous. En effet, elles déterminent si les contrôles en place censés protéger les données confidentielles sont sous notre responsabilité. À la suite de l’attaque, plusieurs experts de la communauté mondiale de sécurité ont publié sur Tweeter des preuves de vieilles vulnérabilités présentes sur les systèmes d’Equifax. La norme PCI qui certifie les organisations stockant ou transmettant des données de cartes de crédit oblige pourtant ces organisations à effectuer des tests de vulnérabilité sur leurs infrastructures informatiques. Malheureusement, pour Equifax le site créé en urgence et mis à disposition gracieusement par la firme pour les aider a été identifié comme dangereux.

  

Quelles leçons tirer de cette situation?

·     Assurez-vous de bien comprendre l’écosystème de données étant sous votre responsabilité.
      Vos clients, vos collaborateurs, votre organisation, vos partenaires, vos fournisseurs… etc.

·     Assurez-vous de garder ces données physiquement proches, sous votre contrôle et correctement chiffrées
      au repos et en transit.

·    Assurez-vous de bien identifier les régulations applicables aux données sous votre responsabilité.

·    Assurez-vous de faire analyser votre posture de sécurité par des experts en cybersécurité.

L’ANALYSE MOTIVATIONNELLE « JOB TO BE DONE »; UN OUTIL POUR VOUS AIDER

 

Qu’est-ce que l’analyse motivationnelle?

L’analyse motivationnelle est un outil de la méthode « design thinking » utilisé lors de la première phase du processus, la clarification. Il faut débuter par identifier l’opportunité en allant chercher les opinions des clients et/ou utilisateurs actuels afin de comprendre la manière dont ils vivent la situation actuelle. Cet outil nous permet d’aller comprendre les tâches, les motivations profondes, les indicateurs de succès et les pièges à éviter, ce qui mettra en lumière les endroits où concentrer notre énergie pour créer de la valeur pour nos clients. Ultimement, l’analyse motivationnelle est une façon de recadrer et d’innover la manière de faire les choses pour être aligné avec les motivations/besoins des clients. On répond aux questions suivantes : Qu’est- ce que le client veut? Quelles utilisations fera-t-il de mes services? Qu’est-ce qui le motive à revenir me voir? Lorsque les réponses seront recueillies, il sera possible d’ajuster les services offerts pour fournir des solutions qui répondent aux intentions spécifiques de nos clients, c’est-à-dire leurs buts à eux. N’oublions pas que notre raison d’être est d’aider nos clients à satisfaire leurs besoins.

 

Qui doit être impliqué?

Puisque nous utilisons l’analyse motivationnelle pour redéfinir et transformer le rôle actuel des professionnels en RH, il est préférable que l’outil soit porté par un leader de la fonction RH qui souhaite transformer son équipe et bâtir une réelle expérience client. Sans cet appui, il serait surprenant que les employés puissent transformer la façon dont ils livrent des services. Ensuite, tous les membres de la fonction ou de l’équipe doivent être impliqués ainsi que les divers clients comme les employées, les gestionnaires de tous les niveaux et la haute direction. Comme ces catégories de clients ont toutes des besoins et des motivations différentes, il faut aller cerner ces différences pour livrer des solutions stratégiques de valeurs à chaque échelon hiérarchique.

 

Comment ça s’applique?

Dans ce cas précis, l’opportunité est de trouver la meilleure façon de concevoir le rôle des membres de la fonction RH afin de devenir des partenaires stratégiques.

 

Allez rencontrer vos clients et identifiez leurs besoins. Pensez au-delà des services que vous offrez actuellement et tentez de trouver leurs motivations profondes dans leur rôle spécifique tout en gardant en tête votre propre rôle.

 

Les réponses dans les encadrés ci-dessous servent d’exemples. Nous analyserons les attentes d’un employé face au rôle attendu de son responsable RH, spécialiste en gestion des carrières.

 

1. Considérez deux types de rôle : fonctionnel et émotionnel. Le rôle fonctionnel est la tâche à accomplir et le rôle émotionnel est le sentiment sous-jacent à l’atteinte de l’objectif.

 

2. Définissez des critères pour mesurer le succès des deux types de rôle du point de vue du client. Quels sont les critères de performance utilisés par le client pour affirmer que le besoin a été comblé?

 

3. Définir les résultats à éviter. Comment le client décrit-il ses points de douleur? Quels sont les éléments qui le rendent non satisfait à l’égard de son objectif à atteindre?

 

Finalement, nous recommandons que le responsable de l’équipe RH commence en faisant cet exercice avec sa propre équipe. Ainsi, lorsque les besoins de l’équipe et des clients sont arrimés, il sera possible de commencer par travailler sur ces éléments-là pour transformer le rôle. C’est d’ailleurs ce qui crée de la valeur pour les personnes dans l’organisation, c’est-à-dire lorsque tout le monde y trouve son compte. La motivation de l’équipe à se transformer sera plus grande, ce qui favorisera une bonne gestion du changement puisqu’un changement radical du rôle des RH engendrera peut-être quelques résistances!

 

PROCHAINES ÉTAPES

· Analysez ce que vous êtes prêt à changer et priorisez (court, moyen et long terme). 

· Définissez les écarts entre les services offerts et désirés. 

· Générez de nouvelles idées pour trouver la manière de faire évoluer les rôles. 

 

À RETENIR

L’analyse motivationnelle peut donc être un outil particulièrement pertinent dans un contexte de redéfinition de la pratique ressources humaines puisqu’elle permet de cerner les motivations profondes derrière ce que vos clients veulent accomplir avec vous. Il faut se détacher de nos processus et aller rencontrer les individus pour se positionner comme des acteurs qui vont les aider à réaliser leur mission. L’énergie peut ensuite être déployée sur les éléments qui créent le plus de valeur. C’est donc ainsi qu’il sera possible de devenir de vrais partenaires stratégiques, et ce, à tous les niveaux de l’entreprise!

 

Bien souvent, des changements liés aux rôles et responsabilités engendrent une certaine anxiété chez les employés qui occupent ces positions. Il n’est donc pas rare de faire face à certaines résistances chez les gens impactés par le changement. De ce fait, utiliser l’approche « design thinking » pour faire évoluer les rôles des équipes de gestion des ressources humaines est plus qu’appropriée puisqu’elle permet d’impliquer de nombreux acteurs. Ces derniers font partie de la solution, ce qui provoque un réel désir de se transformer. Donc, êtes-vous prêt à saisir cette opportunité?

 

RÉFÉRENCES

         Bersin, J. (2014). « The New Model for Talent Management: Agenda for 2015 ». Recrutement & RH, A aires. Retrouvé          sur : http://www.slideshare.net/jbersin/talent-management-revisited/34-34_The_Crux_of_the
         Bersin, J., Solow, M., & Wake eld, N. (2016). « Design Thinking: Crafting the employee experience ». Deloitte          University Press. Retrouvé sur : http://dupress.com/articles/employee-experience-management-design-thinking/          ?id=gx:2el:3dc:- dup3021:awa:cons:hct16
          Vosburgh, R. M., PhD. (2015). « HR’s evolving role with the board ». People and Strategy, 38(2), 18-21.
          Yadav, P., & Singh, J. (2014). « Paradigm shift in human resource management in present scenario - emerging           trends ». Su- medha Journal of Management, 3(3), 59-72.
À proposMentions Légales