Description

La transformation et la complexité des enjeux IT conduisent la vigilance quant à la gestion de la data et la cybersécurité. Quels sont les défis rencontrés par les entreprises et les organisations ? Existe-t-il des solutions ?

À cette table ronde, Tania Petkova Directrice chez Schneider Electric et Matthieu Blin CEO de Motul nous partagent leurs connaissances respectives sur ce sujet sensible aux côtés de l'animatrice Laura Nordin.

Bonne écoute !

Épisode enregistré lors de l'IT Leaders Summit.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

• Speaker #0

  Nous allons maintenant passer à notre table ronde. Bonjour à toutes et à tous, je suis Laura Nordin, journaliste animatrice. Je suis ravie d'être à vos côtés pour animer cette table ronde dans laquelle nous recevons nos deux invités d'honneur. Je vais vous demander de les applaudir très fortement. Il s'agit de Mathieu Blin, CEO de chez Motul. Mathieu, rejoignez-nous. Et Tania Petkova,

• Speaker #1

  directrice de la société de la société. Merci à tous. Merci à tous.

• Speaker #0

  pour nous présenter les principaux défis que vous avez eu à relever en matière d'IT, data et cybersécurité dans vos entreprises respectives. Je vous propose de commencer Tania.

• Speaker #2

  Les défis aujourd'hui, c'est que tout va très vite. On a vu dans les keynotes, les AI, les cyberattaques, tout ça, ça se passe super vite. Les besoins d'utilisateurs ont beaucoup changé. Tout le monde a... tant que les données sont disponibles presque à l'immédiat, où ils ont besoin, à beaucoup de points différents, et que les données sont sécurisées au même moment. Ça, ce n'était pas du tout une histoire du passé. Le passé, c'était différent. Maintenant, plus personne n'entend. Donc, qu'est-ce qu'on a fait pour répondre à ce défi ? Parce que c'est le défi. Aussi, je dois rajouter qu'un énorme défi... pour les boîtes comme Schneider Electric et l'autre évidemment, si on opère en multinationale, c'est-à-dire dans 153 pays, et les régions, bien évidemment, et les data privacy requirements sont différents. Et on doit y répondre à tous. En étant... dans les systèmes globaux parce que l'approche des compagnies comme Schneider, c'est que les systèmes sont globalisés, sauf qu'on doit les localiser. Ça devient très compliqué. Et ça, c'est ce qu'on adresse à ce moment-là. Depuis quelques années, on continuera de travailler sur le sujet. C'est comment répondre à tous ces besoins qui sont différents et très compliqués. Je vais m'arrêter là et je vais répondre comment on les adresse plus tard, j'imagine. Tout à fait,

• Speaker #0

  merci beaucoup Tania. Mathieu ?

• Speaker #3

  Oui, je rejoins Tania complètement sur le besoin aujourd'hui d'avoir des datas en temps réel. C'est quelque chose qui n'existait pas relativement avant, qui est devenu de plus en plus important. Ce que je voulais rajouter aussi côté IT, c'est l'arrivée du télétravail que tout le monde a connu, avec aussi une mondialisation de plus en plus complète. dans le sens où on a l'habitude de voyager, de se déplacer, de travailler avec beaucoup d'entreprises. Donc, côté IT, il y a eu un besoin aussi bien IT que cybersécurité. J'ai la casquette de CIO et de CISO, donc globalement, c'est plus simple pour naviguer entre ces deux zones. Donc, avoir besoin de mettre en place des VPN, de mettre en place des règles de sécurité qui permettent justement de travailler en collaboration. Et donc il y a un vrai besoin des collaborateurs d'avoir accès aux données au même moment, en même temps, d'avoir les up-to-date, d'avoir des datas de plus en plus disponibles. Et après je rejoins aussi Tania sur la partie qualité des données, sécurité des données. Et après ce que j'aurais rajouté en termes de défis qu'on a aussi aujourd'hui, c'est typiquement la problématique de se dire, on veut harmoniser les processus, métier ou IT, et dans le même temps avoir des besoins qui sont très spécifiés en termes de localisation. C'est un vrai défi aussi côté IT, c'est se dire on veut harmoniser de plus en plus les processus, faire du process mining et en même temps se retrouver régulièrement quand on fait les use case, quand on fait des workshops, quand on fait les analyses de Aziz, se retrouver. Chaque pays va considérer qu'à chaque fois, il a un cas particulier. C'est ça qui est assez compliqué à gérer aujourd'hui.

• Speaker #0

  Et donc concrètement, quelles initiatives de transformation numérique ont été les plus marquantes très rapidement parce qu'on n'a pas beaucoup de temps dans vos entreprises respectives et quels ont été les impacts ?

• Speaker #2

  Il y a quelques années, nous avons mis une nouvelle approche sur les données. Cela veut dire qu'on travaille sur notre vision des données. Quand je parle des données, c'est dans le sens large. Nous avons commencé à définir les données comme un produit. Le data est un produit. Tout au long du cycle de données, on applique ce qu'on appelle Les règles d'or. Dès la création, dès la consommation des données, quand on consomme les données, on doit répondre à un certain nombre de questions. Est-ce que c'est sécurisé ? Est-ce que ça répond aux règles de compliance dans différents pays, différents métiers, etc. Quand on produit les données, on doit les produire d'une manière. Quand on enregistre ou crée les données, par exemple, par centre d'appel. et créer des clients. On doit s'assurer qu'au moment de création, les données doivent être accrues. Ça veut dire qu'elles doivent être avec les qualités qu'on aimerait avoir au moment de création pour éviter ce que j'appelle les réactifs. On est passé à une approche proactive dans tous les domaines de création pour s'assurer que les qualités sont définies au moment de création des données pour éviter les surcoûts et les problématiques. Parce que c'est beaucoup plus compliqué de nettoyer les données, aligner les données plus tard. Il faut que... On essaye de faire ça, évidemment, on n'est pas à 100% bon. Il y a encore beaucoup de travail, c'est quelque chose de très compliqué. C'est une transformation qu'on mène à ce moment-là dans beaucoup de domaines. Mais c'est ça notre objectif et on voit déjà le résultat. Après, il faut le standardiser. Chez Schneider Electric, il y a à peu près 7000 applications. On essaie de tout globaliser, mais le résultat, c'est qu'on supprime pas mal. Nous avons un département qui gère ce qu'on appelle Technical Data, mais malgré tout, quand même, il y a beaucoup d'applications. Schneider est grossi par acquisition, il vient avec leur Landscape IT, il faut les mutualiser, etc. C'est quelque chose de compliqué. Mais les standardisations des données... Parce que les données, à la fin, on doit les exposer, on les crée. Et on dit, les données, c'est l'huile, je ne sais pas quoi. C'est très bien, mais si les données ne sont pas standardisées, d'avoir beaucoup de données, parfois, c'est un problème. Ce n'est pas une résolution, ça n'aide pas. Or, l'objectif, c'est qu'on exploite les données. Donc, on fait en sorte que les données soient standardisées et réutilisables. pour essayer de faire un synthétique sur les règles d'or dont j'ai introduit. La première règle, c'est de s'assurer que les compliance et data privacy sont respectés en fonction des pays d'utilisation, en fonction des règles qui existent au niveau mondial. La deuxième, c'est que quand on consomme les données, les consommations sont autorisées que... à travers ce qu'on appelle les authoritative sources Un exemple, c'est les données vendeurs. On ne peut pas sourcer les données de n'importe quelle URP, juste comme ça. Il doit venir d'un autre système de master data management Et après, ils vont dans d'autres systèmes. C'est pareil pour les produits, pour les références commerciales, etc. Tout est centralisé dans un système et après, il est distribué pour s'assurer qu'on a les données. Accurates, tout ça est déjà en avant. Et c'est conformité, surtout, sécurité et les valeurs business, bien évidemment. La troisième règle, c'est qu'on consomme les données pour les buts d'AI ou bien les reporting et puis analytics. Il doit venir des data lakes. On ne peut pas les chercher. Évidemment, on peut, c'est plus facile. Ça va plus vite, on a toujours des discussions sur le sujet, et il doit être consommé de notre data lake. Et ça c'est les règles qui ont été mises en place depuis quelques années, et la situation si on a vu les changements. Parce qu'on essaie d'avoir la cohérence, d'aller plus vite évidemment, et on voit les résultats.

• Speaker #0

  Mathieu, comment ça se passe côté Motul ?

• Speaker #3

  Sur la partie initiative de transformation qu'on a fait ces dernières années, globalement, on est dans la même lignée que Schneider Electric, avec la mise en place d'un baccalauréat. On est beaucoup moins avant. Globalement, les règles que Tania vient de citer, on est dessus. On travaille sur des raw data qui viennent de notre RP, malheureusement. Il faut déployer des golden data, les golden rules. On n'est pas aussi avancé, mais globalement, c'est cette optique qu'on veut faire. Et en fait, on avait déployé ce Data Lake pour vraiment avoir mis en place un outil de self-service en termes de BI, pour que les utilisateurs puissent avoir quelque chose de disponible, mais aussi de standardisé. Parce que la difficulté, c'était globalement, chacun ou plusieurs personnes avaient des accès sur des outils de SIRH, de ERP, etc. Chacun faisait des extractions et à la fin de l'année, ils pouvaient se dire, globalement, mon KPI, c'est tant, et le manager pouvait montrer que c'est autre chose. Maintenant qu'on va avoir un véritable Data Lake, on va être capable d'avoir... des data qui font foi et qui permettent d'être conformes avec tout ce qui est master data management derrière, tout ce qui est clean sync derrière. Et côté IT, on a des initiatives qui étaient plus poétique de petits pas, donc c'est quelque part tout ce qui était excellence opérationnelle donc à destination des utilisateurs finaux et plutôt en interne donc avec une véritable problématique de mettre l'IT en termes de business partnership donc on a déployé des choses qui étaient relativement toutes simples mais qui étaient par exemple la signature électronique qui a changé la donne complètement pour un peu de Covid la gestion électronique aussi des contrats on a déployé depuis 2 ans, 2 ans et demi toute une problématique de gestion de low code no code qui permet d'avoir un time to market beaucoup plus réduit avec la problématique de sécurité bien entendu derrière et voilà qui permet justement avec quelques interviews, quelques workshops avec les business d'avoir un résultat très opérationnel

• Speaker #0

  Et donc vous parliez justement, Tania, à l'instant des différents départements. Comment faites-vous pour les intégrer dans la transformation numérique ? Quel conseil donneriez-vous pour intégrer efficacement les différents départements ?

• Speaker #2

  Chez nous, il y a des IT centralisés, des centralisés, les data, etc. Ça fonctionne très bien. Le conseil pour moi, c'est qu'il faut que tout le monde trouve les intérêts. dans l'histoire. C'est une transformation majeure pour l'entreprise. Il faut que tout le monde soit embarqué. On commence toujours avec les use cases. S'il y a un bon use case, et si on a des bons moyens d'adresser, ça devient intéressant. Pour moi, c'est ça la réponse. Il est très simple. Il faut commencer avec le process, les use cases, et mettre les moyens pour... résoudre ce problème. Je sais que c'est simple, mais en réalité, c'est très compliqué. Chez nous, c'est parfois très compliqué parce qu'on cherche la magie, on oublie les use cases, on oublie ce que j'appelle user journey, on oublie pourquoi on les fait. Parfois, il y a des collègues qui viennent et disent qu'il faut faire ça rapidement. Je dis, mais où sont les expressions des besoins des clients ? ou l'utilisateur interne. Ah non, non, les données, il faut les créer tout de suite dans cet outil, ce serait plus simple comme ça. Je dis, mais vous n'avez pas oublié éventuellement que l'utilisateur va utiliser ce système tous les jours, comme on fait. Et ils ne vont pas le faire, ça ne va pas marcher.

• Speaker #0

  Même vision chez Mofi.

• Speaker #3

  Je rejoins complètement cette remarque dans le sens où globalement ce qu'il faut pour que ça puisse fonctionner, c'est vraiment... Avoir l'IT qui soit en support de toutes les plateformes technologiques, parce que globalement c'est devenu tellement complexe en termes de gestion des datas, gestion de la sécurité, gestion technique, gestion des interfaces, que globalement il faut vraiment des techniciens et des spécialistes à chaque fois dans chaque domaine. Mais il faut aussi appréhender et embarquer le métier. Et embarquer le métier c'est aussi les challenger. Donc c'est globalement un scope of work, un URS, et pas des gros mots. C'est quelque part, c'est une base nécessaire et maintenant indispensable pour se dire que globalement, on a beau être en méthodologie agile, méthodologie agile, ça ne veut pas dire quick and dirty. C'est se dire, on veut quelque chose de précis, qu'on va faire en itératif, mais quelque part, qui va être une base d'échange entre l'IT, le business, la cyber, s'il y a besoin. Et donc, en fait, après, derrière, le temps qu'on perd au début, on est sûr de le gagner derrière.

• Speaker #2

  Et si je peux vous permettre d'ajouter une chose ? Parce que je pensais ça m'attaque. Regardant les noms des sommets, c'est IT. Chez nous, il n'y a plus d'organisation d'IT. On est tous dans un... Moi, je suis dans une organisation qui s'appelle Governance. Évidemment, nous avons des plateformes techniques aussi, les parties IT, mais on ne les appelle plus comme ça. En général, le département qui gère les applications s'appelle Digital, où les business et l'IT sont ensemble. On ne fait plus cette... C'est un mot classique, il a évolué depuis des années et je pense que ça aide. Mais évidemment, il n'y a pas une seule solution à tous les problèmes. Ça dépend des sociétés, ça dépend des cultures, ça peut être autrement si ça fonctionne bien.

• Speaker #0

  Merci. Et donc sur le sujet de la cybersécurité, face à l'augmentation des menaces, quelle stratégie spécifique avez-vous mis en place ?

• Speaker #2

  Évidemment, nous avons un département de CyberSec qui définit les policies, les trends, etc. Dans l'organisation où je suis, chez moi, il y a Digital Risk Leader qui s'occupe avec les scopes respectifs. Mais une chose très importante qu'on a mise il y a quelques années, c'est la certification. Quand on met une production en application, elle est certifiée et doit être certifiée. avant mise en production, certifié par un département qui gère les certifications. Dans le scope de certification, c'est les parties cybersec et les parties privacy et les parties compliance. Donc, si une application n'est pas certifiée, elle ne peut pas passer en production. Et ce process se répète en fréquence donnée parce que Les contrôles évoluent. Ce n'est pas quelque chose de certifié, il est en production pour toujours. Tous les ans, en 12 ans, ça dépend de beaucoup de choses. Ça change. En plus, nous avons un groupe des applications aux plateformes, en trentaine, ce qu'on appelle les Grands Jaws. Les plateformes qui sont très importantes pour les boîtes, pour Schneider Electric, où il répond à des normes beaucoup plus strictes. Par rapport aux autres, peut-être une question, c'est pourquoi pas tous ? Parce qu'il y a un coût derrière et on ne peut pas tout être sécurisé, évidemment. Mais certains sont beaucoup plus importants, donc on va les sécuriser encore plus.

• Speaker #0

  Mathieu ?

• Speaker #3

  Oui, sur la partie cybersécurité, on n'est pas une entreprise aussi importante que Schneider Electric, on est une ETI. Moi, je suis arrivé il y a quatre ans, il y avait zéro sécurité. 0cybersécurité donc j'ai créé ce poste là et au fur et à mesure on est monté en est monté en maturité de from scratch un niveau on va dire cohérent pour une ATI globalement les gros travaux étaient très technique au début côté IT mettre en place de VPN, d'email protection etc j'en passais des meilleurs on pourrait en parler pendant des heures mais après ce qu'on a surtout fait c'est la partie cyber sécurité awareness donc quelque part c'est vraiment sensibiliser les utilisateurs finaux à Leur utilisation au quotidien de l'application, de l'outil, ils sont sur Office 365, ils ont accès à des tenants, ils ont accès à du SharePoint, ils ont accès à des partages de données, ils partagent des informations avec des partenaires extérieurs, etc. Et maintenant, ce qu'on essaie aussi de faire, c'est sensibiliser les personnes qui ont des accès élevés. Côté IT, c'est assez facile parce que c'est moi qui les gère, mais aussi par exemple tout ce qui est les futurs data scientists ou les personnes qui vont travailler sur des outils de BI. Donc bien leur faire comprendre que ce que vous manipulez, ce que vous pouvez partager, peut être confidentiel. Et ça c'est quelque chose qui est relativement difficile parce que globalement les personnes font une extraction sur du SAP, sur du PO, etc. Et après ils manipulent puis ils renvoient les informations en disant j'ai des statistiques etc. et ils oublient d'anonymiser. C'est quelque chose qui n'est pas encore entré vraiment dans les mœurs. parce que globalement, c'est une donnée, c'est une data. Ils n'arrivent pas encore à comprendre comment ça fonctionne. Nous, côté IT, on travaille aussi avec le DPO, avec les juristes, ce qui nous permet aussi d'être sensibilisés sur cette partie-là.

• Speaker #0

  Et donc, Tania, sur le sujet de la data et de la protection des données sensibles, comment équilibrez-vous les exigences de conformité et l'exploitation des données ?

• Speaker #2

  En respectant les exigences de conformité, on trouve des solutions. Un exemple, c'est en Chine, on était obligés de... délocaliser certaines applications pour répondre aux réglementations en Chine, ce qu'on a fait, les parties CRM. Avant, c'était dans notre CRM global. Maintenant, les Chines sont dans un autre système séparé. Donc, la conformité est très importante. On les prend sérieux et on les gère. Parfois, c'est compliqué. Ce n'est pas quelque chose de simple. Ça nécessite beaucoup d'investissements. Mais aujourd'hui, le business peut plus progresser, peut plus fonctionner. Parce que le trust, c'est très important. Les clients doivent en faire confiance. Si notre système n'est pas compliant aujourd'hui, ce n'est pas possible.

• Speaker #0

  Et alors sur le sujet du dimensionnement RSE, comment intégrez-vous justement la durabilité au niveau du domaine de l'IT ?

• Speaker #2

  RSE c'est partout et nous avons des départements avec toutes les réglementations, toutes les KPIs de 140, je ne sais plus combien à ce jour-là. Tout est géré. Évidemment, rien n'est parfait pour l'instant, mais nous avons mis en place les moyens, les systèmes, les reportings, tout ce qui est exigé par la gestion. Moi-même, j'ai fait des formations. On est tous formés. On a des formations internes et j'ai fait des formations externes. Évidemment, pour Schneider Electric, c'est une priorité encore plus que nous. On vend des systèmes pareils pour les clients et les business. et orienté vers les systèmes qui sont plus économiques, qui font des économies des ressources naturelles, etc. Donc, on n'a pas que les... Je suis allée un peu plus loin, mais on n'a pas que le côté IT. Pour Schneider, ça fait partie du business model, des produits qu'on vend. Tous les produits aujourd'hui, c'est cette volée-là intégrée. C'est un sujet, un vaste sujet.

• Speaker #0

  Et Mathieu, motu le plus petit, forcément, ETI vous en parliez, cybersécurité qui a été introduite il y a seulement 4 ans, concernant la durabilité, est-ce que c'est un sujet majeur chez vous également ?

• Speaker #3

  C'est un sujet qui a été pris en charge il y a à peu près 2 ans, avec la nomination d'un Chief Innovation Officer, même si après on est plutôt issu de l'industrie pétrolière, ça peut sembler un peu particulier. Mais c'est un sujet qui a vraiment été pris en charge aussi par la famille. Motul est une entreprise française familiale avec une véritable volonté de changer ça en travaillant sur le scope 1, sur le scope 2, avec des résultats déjà visibles. Globalement, on vend de l'huile dans des bidons, avec les bidons qu'on essaie de recycler de plus en plus, avec du plastique recyclé. Pareil, les huiles, on a lancé une nouvelle gamme avec de l'huile qui est recyclée. Et côté IT, on a travaillé sur le scope 1 et le scope 2, c'est un peu arrivé chez nous. Avec quelques activités qui étaient déjà lancées, on a revampé un data center avec des machines qui sont moins énergivores pour arriver dans cette dimension-là. Au niveau des ordinateurs, on est passé de 3 ans, 4 ans à 5 ans de durée de vie. Avec la technologie, on peut se permettre maintenant de garder un PC 5 ans assez facilement. Et sur la partie aussi FinOps, côté cloud et côté Azure, globalement, on fait un gros travail sur la partie FinOps pour identifier les ressources, les VM qui ne sont pas utilisées, pour les cleanser au maximum et avoir une empreinte cloud la plus faible possible.

• Speaker #0

  Et sur le sujet de l'interdépendance, comment définissez-vous l'interdépendance entre l'IT data et la cybersécurité dans vos entreprises et quels sont les enjeux au quotidien ?

• Speaker #2

  Moi, je dirais que... C'est ensemble, ce n'est pas même indépendance ou interdépendance. Tout est ensemble aujourd'hui, on fonctionne ensemble.

• Speaker #3

  Oui, en fait, moi c'est plus simple, parce que globalement j'ai en charge la data, la cyber et l'IT. Donc globalement j'ai une vision assez bout en bout. Mais globalement, oui, on ne peut pas considérer que c'est siloté. Donc globalement, il y a un impact à chaque fois de l'un vers l'autre. Donc pendant les plus grandes entreprises, il faut absolument qu'il y ait un dialogue qui se fasse entre départements, quitte à avoir peut-être des... des SPOC qui permettent justement de faire cette interface. Tania,

• Speaker #2

  vous souhaitez résoudre quelque chose ? Non, le sujet pour moi, on est dans les mêmes organisations, si vous voulez, c'est volontaire, dans chaque organisation chez nous, il y a des digital risk leaders, c'est partout, les sécurités et les compliance vont ensemble avec ce que j'ai dit auparavant, avec les parties de certification, même quand on achète. Un produit informatique, un logiciel ou une plateforme, tout ça s'est examiné au moment des achats, même avant. Avant les signatures des contrats, tout est déjà revu.

• Speaker #0

  Et finalement, cette accélération, avec tout ce que cela engendre autour, est-ce que selon vous c'est un atout stratégique ou c'est un obstacle à l'innovation ?

• Speaker #2

  C'est un atout, ce n'est pas un obstacle. Pour aller plus loin, il faut avoir les bases propres. Sinon on ne peut pas y aller, l'innovation se fait dans le respect des règles, législation, les conformités et tout. L'innovation, ce n'est pas quelque chose qui sort en dehors. L'innovation, c'est pour répondre à un besoin, pour aller plus loin, de manière différente, peut-être avec l'IA ou pas, ça dépend des domaines, mais en respectant l'environnement, en respectant les normes, en respectant les planètes, en respectant tout.

• Speaker #3

  Je suis complètement d'accord, j'ai vu ça rejoindre aussi la présentation qui a été faite juste avant. Globalement, l'innovation c'est être curieux. Globalement, l'innovation permet aussi de tirer aussi bien les anciennes générations que les nouvelles générations pour trouver quelque chose de nouveau, pour essayer d'identifier. une autre façon de faire. Par contre, il faut que ce soit quand même cadré. On ne peut pas non plus se dire, on a des POC, on peut se permettre sur certains POC de faire des choses un peu différentes. Dès qu'on veut passer sur du MVP, il faut globalement commencer à déjà respecter les règles. aussi bien en termes de cyber, en termes de data, en termes de sensibilité, en termes de cybersécurité. Donc globalement, dans l'innovation, la partie interdépendance pour moi tire l'innovation. Après voilà, elle est un peu cadrée parce que globalement on ne peut pas faire n'importe quoi, mais globalement ça nous permet justement d'avancer, d'aller plus vite et d'aller plus loin. Donc typiquement l'IA, demain on va en avoir besoin. Bien entendu on va commencer par des use case, on va voir les impacts qu'il va y avoir, on va faire peut-être des audits pour se dire finalement notre Active Directory n'est peut-être pas encore tout à fait sécurisée ou notre environnement... peut-être pas sécurisé, peut-être pas ouvrir toutes les portes parce que sinon on va se mettre à risque et notre ciseau qui va dire non on va arrêter, on va trouver un juste milieu.

• Speaker #0

  Et donc pourriez-vous nous donner un exemple concret dans lequel cette interdépendance a joué un rôle important et a engendré un défi à relever pour vos entreprises ?

• Speaker #2

  Il y a beaucoup d'exemples, mais un exemple concret, c'est quand on commence une implémentation de quelque chose. Tout d'abord, c'est les revues de sécurité, c'est les revues des normes. Et parfois, on est mené de ne pas y aller plus loin. Et moi, je trouve que c'est très bien. Parfois, il faut s'arrêter avant d'avancer, si on ne va pas dans la bonne direction.

• Speaker #0

  Tout en étant suffisamment rapide et agile.

• Speaker #2

  Oui, évidemment. Moi, j'ai une règle. Dans le département que je gère, j'ai une règle. L'époque, c'est deux semaines. Un pilote, c'est un mois. Et au bout de ce temps-là, on doit décider. Parfois, on peut aller... au bout des bordées évidemment, mais on prend une décision. Il n'y a pas d'époque qui dure un an, qui se transforme, je ne sais pas quoi. Non, c'est un framework qui est très strict. Au bout de deux semaines, on sait si ça va ou ça ne va pas. Après, on passe à la phase suivante, on fait un MVP. Le MVP n'est pas toujours, j'aimerais partager ça, ce n'est pas une solution qui est robuste, parce que parfois il y a beaucoup de questionnements, mais c'est quelque chose qui est en production. Si on décide, après de faire le scale-up, de le déployer globalement... On va les retravailler pour les rendre durables comme solution. Mais on doit s'assurer tout d'abord que la valeur business est là. Donc, ce n'est pas un problème que ce n'est pas durable, les solutions. Mais les résultats business sont très importants.

• Speaker #0

  Mathieu ?

• Speaker #3

  Oui, en termes d'exemple sur la partie interdépendance, dernièrement, on a déployé un CRM. On a remplacé un CRM existant par un nouveau. Chez Modulo. Motu, on a un business model qui est assez complexe, on a un business model plutôt typé français où globalement on a encore des VRP qui travaillent en vente des produits dans les garages et dans les autres pays, on est plutôt sur un modèle en passant par des retailers. Donc globalement, on a des personnes qui sont responsables de plusieurs zones géographiques, de plusieurs retailers, etc. Et donc il y avait besoin de travailler sur la qualité de la... du profil, la dichotomie sur la partie à quel client ils ont accès.

• Speaker #0

  et en fait après en fonction du client qu'ils ont accès à quel niveau d'information de prix ils ont accès c'est vrai que c'est quelque chose qui a été assez complexe à faire parce que pour la peine il y a de l'IT avec la partie CRM, il y a de la partie data pour s'assurer de quelles données on peut avoir accès et en fait il y a des données qui sont à disposition de personnes qui sont internes avec des sales reps c'est à dire des représentants des ventes en France par exemple en interne motul et des prix qui sont disponibles pour les garagistes Il y a eu besoin à chaque fois de s'assurer qu'à chaque fois, la formation qu'on partageait, aussi bien dans le CRM que dans les PDF qu'on allait créer, que dans la facturation qu'on allait faire, que de bout en bout, on s'assurait que la donnée était maîtrisée.

• Speaker #1

  Et donc, justement, quel conseil donneriez-vous aux entreprises qui souhaiteraient accélérer sur ce volet d'interdépendance et la facilité ?

• Speaker #2

  La première chose pour moi, c'est qu'il faut toujours commencer avec les valeurs business. qu'on souhaite obtenir, de ne pas oublier les besoins d'utilisateurs et de faire des MVP de la vie, en tout respectant tout ce qu'on se dit sur les cybersecs, sur les réglementations. Parce qu'aujourd'hui, tout se passe vite, on doit aller vite, mais on a démontré les valeurs business. Donc, j'imagine que vous avez ou vous êtes en train de réfléchir sur les frameworks, sur comment vous faites tout ça en temps réduit. Pour moi, ça, c'est très important. Et ce qu'on pratique chez nous.

• Speaker #0

  Côté module, on a à peu près pareil. On a quand même 80% de nos activités qui sont encore sur notre backbone, qui est de l'ordre ERP. Donc, tout le monde doit le savoir, mais on est sur SAP. Ce n'est pas le plus agile. Donc, on a aussi un peu toute la partie scope of work, comme disait Tania, qui est vraiment l'expression du besoin. Après, vraiment passer du temps sur l'explication fonctionnelle. spécifications techniques et en fait on a des gates au niveau technique, au niveau IT qui nous permettent de dire est-ce qu'on y va ou est-ce qu'on y va pas et typiquement en fait on est de plus en plus amené à faire intervenir le cybersécurité dedans pour se dire quelque part est-ce qu'il y a des impacts ou pas donc c'est vrai que c'est quelque chose qui est intéressant donc cette problématique de step de passage de gate ou de passage de jalon pour se dire on y va ou on y va pas et puis s'assurer qu'à chaque fois on a vérifié par une checklist ce qui était nécessaire donc

• Speaker #1

  Merci. Donc juste avant notre séquence questions-réponses, préparez vos questions. Pour conclure, quelles grandes tendances surveillez-vous actuellement dans vos domaines respectifs ?

• Speaker #2

  Les tendances, c'est évidemment l'intelligence artificielle. C'est quelque chose d'important. Et les autres, ce que je vais citer, ce n'est pas une tendance, mais quand même, c'est le changement des réglementations. Ça évolue super vite au niveau mondial aujourd'hui, au niveau de la privacité.

• Speaker #1

  Et donc vous, Tania, vous gérez le scope national, mondial ?

• Speaker #2

  Mondial. Pour ça, j'ai parlé de toutes les législations dans différents pays, parce que oui, chez nous, c'est plutôt mondial et c'est un défi.

• Speaker #1

  Donc pour les partenaires ici présents, vous avez entendu, c'est mondial avec Tania. Et donc vous, Mathieu ?

• Speaker #0

  Moi c'est mondial aussi, mais un peu moins nombreux. Les grosses tendances, on a lancé tout ce qui est low-code, no-code il y a deux ans, deux ans et demi. Donc là globalement, on ne va pas dire qu'on est arrivé au bout, mais on continue dans cette tendance et on participe à un certain summit aussi pour s'assurer de voir où est-ce que ce low-code, no-code peut nous embarquer. L'IA générative et l'IA d'une façon générale, on est en train de regarder. Donc bien entendu, il y a une approche sur ce qu'est-ce. donc pour véritablement identifier la valeur côté business avant de pouvoir le déployer avant de le présenter au niveau du comex on a notre nouveau crm qui est sur une solution de dynamics globalement on a le le copilot de sales copilot qu'on va qu'on va étudier on est en train d'étudier aussi un petit rétexte le copilot de microsoft donc il Pour l'instant, c'est voir les intérêts que ça va avoir. Est-ce qu'on peut le déployer à plus de personnes ? On ne va pas le déployer comme chez Total avec 10 000 personnes, mais on va plutôt le faire avec un petit groupe de leaders pour s'assurer qu'on va gagner là-dessus. Et puis le dernier travail qu'on fait, c'est plutôt tout ce qui est process mining. C'est vraiment prendre du recul sur notre façon de travailler et donc justement retravailler, revoir les processus pour arriver sur du value stream mapping. C'est quelque chose d'assez old school. mais finalement qui va avoir un impact majeur sur notre déploiement de S4ANA qui devrait débarquer bientôt.

• Speaker #1

  Merci beaucoup, merci à tous les deux. Avez-vous des questions ? C'est le moment, ils sont là, souvent c'est la première question qui amène plein d'autres questions. Donc profitez-en. Il y a une question dans le fond.

• Speaker #3

  Du coup, ça me questionnait de savoir comment vous faisiez... Vous avez dit que vous étiez une ETI, j'ai du mal à voir ce que ça représente, sachant que je crois que Motul est une des fleurons de l'industrie française historique. Bon, je suis pas suénotoïde, donc c'est pour ça. J'ai du mal à comprendre comment, face à tous ces enjeux de cybersécurité, vous arrivez seul à vous organiser en tant que CIO et CISO. Alors,

• Speaker #0

  je ne suis pas seul. Non, j'ai le poste de CISO parce que je suis en interne et je suis aux positions comex. Mais globalement, je me fais accompagner depuis bientôt trois ans par des RSSCS de service qui font un suivi opérationnel avec un senior qui m'accompagne sur la partie roadmap cyber, sur une vision à peu près à trois ans. et une personne un peu plus junior qui permet de faire du suivi de logs et du dépannage

• Speaker #3

  Bonjour, j'avais une question pour Mathieu. Vous parliez tout à l'heure d'outils de self-service pour consommateurs de data. Vous faites référence à quel type d'outils ?

• Speaker #0

  En fait, chez Motul, on a... on essaie de limiter le nombre de partenaires technologiques. Donc on a deux gros partenaires qui sont SAP et Microsoft. Donc on a fait de plus en plus l'average de notre plateforme Microsoft Platform. Et donc globalement l'outil de self-service, on était avant sur du click, qui était plutôt du push, avec des rapports que tu recevais tous les jours. Et maintenant on a déployé sur du Power BI, qui nous permet justement de détecter, de gérer via des datas qui sont disponibles, mettre à disposition des rapports.

• Speaker #2

  Merci pour votre intervention. Moi c'est une question plutôt pour Tania je pense. Comment vous faites pour récupérer tous les use case métiers justement qui sont la base de tous vos travaux ? Dans notre organisation, on a les process owners dans chaque domaine. Je vais prendre un exemple sur les sales. Il y a un réseau, on l'appelle le Network of Excellence. Il y a un process owner au niveau global et après, il y a des advocates. qui sont basés soit dans un pays, soit dans une région, soit dans un business unit spécifique. Ils travaillent en raison pour construire les use cases. Ces use cases sont amenés dans l'organisation globale et après ils travaillent avec les départements digitaux. pour l'implémenter dans des outils où il doit être implémenté. Et ça, c'est vrai dans tous les domaines. L'exemple, c'était sur les CELS. Ça touche les datas aussi. Quand je dis les outils, ce n'est pas que les outils type de CRM ou d'autres. Ça englobe toutes les chaînes de valeurs, en passant par les datas, par data lake, j'ai entendu les CELS servir chez nous, chez Tableau, chez AI, etc.

• Speaker #0

  C'est les modèles d'organisation qu'on a. Je rejoins Tania, parce que c'est agréable d'entendre cette démarche-là, parce que nous, on a assez vite monté en termes de chiffre d'affaires, en termes de personnes, etc., en termes de complexité, avec une transformation digitale qui a commencé il y a quatre ans. Et en fait, on est vraiment en train de bouger vers cette dimension de business process owner. qu'on veut revoir. Donc on est en train, depuis un an, un an et demi, de revoir toute la partie operating model qui impacte très fortement l'IT et le digital.

• Speaker #3

  Oui, bonjour. Sébastien de Decathlon. J'ai une petite question pour Tania. Comment, Tania, vous définissez les crown jewels et qui décide ce qu'est un crown jewel chez Schneider ?

• Speaker #2

  Ah, ça c'est une question complexe à répondre. C'est un framework qu'on a mis en place il y a maintenant peut-être une dizaine d'années. C'était au début, c'est parti comme une approche sécurité, parce qu'il y a dix ans, les volets privacy n'étaient pas encore là, n'étaient pas encore en vigueur. Petit à petit, ça a évolué, mais c'est l'ownership aujourd'hui, ça reste... dans le département de CyberSec. majoritairement en collaboration avec les DPO. Et après, il y a des critères selon le framework de décision. Et tous les ans, une demande peut être faite si on estime qu'il y a une plateforme majeure qui est arrivée parce que parfois on change le technos, le landscape bouge tout le temps, pour être examinée par les owners des plateformes, business owners, plus IT owners. Et après... prendre des décisions. Après, c'est un balance parce que comme je disais, il y a un coût majeur derrière. Il faut trouver un balance entre les besoins, parce que je n'ai pas dit que les autres plateformes ne sécurisent pas, pas du tout. Mais c'est là, un exemple concret, c'est le CRM. Oui, le CRM, c'est super important parce que si toutes les données clients sont dedans, toutes les opportunités, etc., c'est très important. Voilà.

• Speaker #3

  Bonjour, Lionel Sakiti, je viens du Sénégal, j'ai mieux moi. J'ai une question pour les deux. Aujourd'hui, comment est-ce que vous gérez le shadow IT dans vos entreprises respectives ?

• Speaker #2

  Comme vous avez utilisé les mots shadow, on ne les gère pas. On essaie de la voir moins possible, mais moi je n'utiliserais pas les mots shadow évidemment. Dans une entreprise d'état important, avec beaucoup d'acquisitions, parfois on ne tue pas complètement l'initiative business. C'est important parce que l'innovation doit aller vite. Parfois les business sont beaucoup plus agiles qu'un... département central, ça on le sait, ce n'est pas un secret ce que j'ai dit. Au début, j'ai vu ça de nombreuses fois, il y a des groupes de business qui créent une bonne initiative et commencent. Après, on essaie de les globaliser et de les déployer dans les scopes plus larges où ça fait du sens. Pour moi, c'est ça les réponses. Le Shadow IT, c'est... ils sont pas là parce qu'ils n'ont pas envie d'aller avec le Global, mais ils sont là parce qu'ils en ont besoin. Moi, je le comprends très bien et on essaye de collaborer.

• Speaker #0

  Du côté Motul, on a essayé de créer un lien avec le business, pour éviter qu'ils créent des applications, qu'ils activent des licences, etc. Au niveau sécurité, on voit très vite ce qu'ils font. Par contre, globalement, avec les initiatives locales, on a eu plusieurs exemples. Globalement, on a utilisé une initiative qui a été faite en Turquie qu'on va déployer au niveau mondial.

• Speaker #3

  Bonjour, je ne sais pas si vous m'entendez. Benoît Gracia, je travaille à l'ADSI du Nédic sur la partie RSSI. J'avais une question, vous avez tous les deux évoqué l'IA. Comment vous vous assurez de la sécurisation et de la partie privacy de ces usages-là dans vos organisations respectives, s'il vous plaît ?

• Speaker #2

  Peut-être que je peux commencer. C'est à travers les frameworks qu'on a, les certifications. Tout est certifié avant de passer en production. Tout est examiné. Et les dates de privacité, il est dedans.

• Speaker #0

  Nous, c'est encore plus simple. On est en train d'y réfléchir. On n'a pas encore activé. On est sur la réflexion des use cases. La partie co-pilot, c'est juste les deux personnes qui ont des licences, les personnes qui ont une très forte connaissance au niveau IT, donc qui savent exactement ce qu'ils ont à faire. Et en parallèle, on est en train de lancer justement un audit pour voir le niveau de maturité qu'on a dans notre système et pour savoir si on est prêt à ouvrir l'IA.

• Speaker #2

  Et juste pour compléter, c'est... La question qui se pose c'est comment on détecte, est-ce que tout ça est connu, etc. Nous avons un catalogue de toutes les applications qui existent et à partir de ça c'est très facile de détecter si il y a quelque chose connecté sur les réseaux qui est nouveau. Ça c'est quelques secondes, pas plus.

• Speaker #3

  Ça sera les deux dernières.

• Speaker #4

  Bonjour, Anne Renard, je suis avocat en data et je voudrais savoir comment vous faites notamment dans le choix de vos prestataires et notamment, enfin là vous avez parlé notamment des data lakes et quand vous ouvrez, enfin j'ai deux questions, j'ai celle dans le choix de vos prestataires, comment vous gérez la garantie notamment de leur conformité et à quel moment vous, justement, vous impliquez le... la compliance et au niveau des data lake puisque on a de plus en plus ça et nous juristes on est vraiment confrontés à tous le données et à la garantie des différents usages comment vous gérez justement les ouvertures etc pour faire en sorte justement de garantir vous

• Speaker #2

  respectez bien la réglementation dans ce cadre la première question sur les prestataires tout est géré au niveau contractuel et signe les Les garanties nécessaires, le département juridique évidemment, qui prépare les contrats avec toutes les clauses nécessaires. Et il n'y a personne qui travaille sans contrat chez nous. Ça veut dire que toutes les réglementations sont bien respectées en vigueur. Il y a des onboardings, les formations au début, ils sont sensibilisés, ils connaissent les règles d'entreprise. Et ça garantit le respect des réglementations, des conformités, sécurité et tout le nécessaire. Donc c'est comme les employés, les employés passent par la même approche. Tous les prestataires, pour aller un peu plus loin en sécurité, tous les prestataires ont un PC Schneider Electric pour être sûr qu'ils accèdent. en respectant les règles définies au niveau du CyberSec.

• Speaker #4

  Mais est-ce que sur le plan opérationnel, justement, vous menez, parce qu'il y a le plan contractuel et beaucoup d'engagements qui peuvent être pris, mais est-ce que vous intervenez également sur, justement, sur des actions sur le plan opérationnel pour vérifier l'effectivité de ces engagements ?

• Speaker #2

  Moi, je ne fais pas de différence ici par rapport aux prestataires ou aux employés. C'est pareil. Il y a des règles, oui. Il y a des points de vérification, il y a des contrôles. Je vais donner un exemple. Dans les systèmes, par exemple dans les CRM, on a mis des algorithmes qui suivent certains points de contrôle définis. Et si on voit que, par exemple, une des règles qu'on a mises en place est déclenchée, un exemple concret, c'est que... On surveille l'extraction des données, évidemment, parce que c'est là-bas où est la base des bases des clients. On ne veut pas que les gens extraient les bases complètes des clients. Ça a dû arriver il y a 15-20 ans. C'était le grand classique. Tout le monde, je pense, connaît cette histoire, comment ça fonctionnait. Et on regarde qui fait les extractions massives. On extrait, on ne surveille pas. Ce n'est pas un événement au risque si on extrait deux lignes ou les données des deux clients. Mais s'il y a quelques extraits plus que ce qu'il est censé, ou s'il y a des extractions trop suivantes, c'est le rôle du Digital Risk Leader, c'est lui qui intervient. Tout d'abord, il fait l'analyse de ce qui se passe en automatique, évidemment, il ne va pas dans le système, on a toutes les alertes nécessaires, etc. Et s'il détecte un événement, après il y a des process derrière. Les gens sont connectés, ils reçoivent un avertissement, il y a des investigations si nécessaire, etc. La sécurité, c'est quelque chose de très sérieux.

• Speaker #3

  Bonjour, Fabrice Béreau, Zidexi. Merci pour vos retours. Vous êtes tous les deux responsables dans des entreprises qui ont un fort historique, pour certains, des réflexions autour de l'IA, etc. Qu'est-ce que vous avez mis en place pour vous assurer que les données auxquelles accèdent... vos collaborateurs, vos prestataires, sont up-to-date, suffisamment fraîches et potentiellement avec le niveau de sensibilité qui est adéquat ?

• Speaker #2

  Moi, je parlais tout à l'heure des règles d'or et les data is a product. Donc, tout ça, c'est défini dedans. Tout est documenté, les données dans Data Lake, ils sont catalogués, ils sont organisés dans ce qu'on appelle Reusable Data Object. Ça c'est le produit, il y a des notions de Product Ownership. Je prends un exemple, Sales Order. S'il y a quelqu'un qui est le Product Owner de Sales Order, il y a des équipes derrière, et si quelqu'un veut consommer ces données-là, Il va faire une demande, il y a des catalogues, des colibres, etc. où tout est bien décrit, quelles sont les règles, quels sont les réfléchissements, etc. Tout ça, après il sera formé. Parce que les données, c'est vite fait de se tromper. On peut penser que c'est le colon, je ne sais pas quoi, moi je l'interprète différemment. Il y a des formations aussi, c'est une collaboration avec les personnes qui sont les product owners. Si vous faites une demande, vous avez besoin de ces ordres parce que vous avez besoin de faire une analyse en France pour je ne sais pas quoi, peu importe. vous avez le droit de discuter avec cette personne, il va vous expliquer, il va vous former, etc. Ça c'est le mécanisme qui fonctionne plus ou moins bien. Après rien n'est parfait.

• Speaker #0

  En complément, sur la partie data, on a à peu près les mêmes règles. Nous, à tout ce qui est à prendre le SharePoint, on fait un management du SharePoint. Donc globalement, on est en train de regarder régulièrement, si on n'en a pas assez. régulièrement, s'il y a toujours un product owner, savoir s'il y a un owner, savoir si les données sont utilisées, ne sont pas utilisées, ça fait 4 ans qu'elles n'ont pas été utilisées. Donc on a déjà cette partie-là qu'on est en train de faire, et après, sur la partie un peu plus legacy, on a aussi un outil qui nous permet justement de voir qui a accès, à quoi on a accès, quelles données sont faites. On n'a pas au niveau de classification encore suffisante parce qu'on est en train de travailler avec le jury, mais globalement, c'est cette Ausha qu'on est en train de faire.

• Speaker #3

  Merci beaucoup, il va falloir qu'on clôture.

• Speaker #4

  Merci infiniment Tania,

• Speaker #3

  Mathieu, Laura, on peut les applaudir s'il vous plaît.