Internet mobile, médias sociaux et Big Data convergentvers une révolution numérique qui donnera naissance à unclient numérique et informé. Pour les organismesfinanciers, il s’agit d’un défi de taille, mais aussi d’uneopportunité rêvée d’en finir avec le spectre de la crise, derenouer avec l’innovation et de se concentrer totalementsur le client. Et c’est urgent. Partout apparaissent denouveaux services comme Apple Pay ou Sixdots, et denouveaux phénomènes comme les prêts P2P (peer-to-peer) gagnent du terrain à vue d’œil. Les organismesfinanciers sont désintermédiarisés, leurs chaînes de valeursubissent une cure d’amaigrissement et le client est plusexigeant et volatil que jamais. A l’occasion de notre grandeinterview, quatre spécialistes de BNP Paribas Fortis, Belfius

et EY nous livrent leurs sentiments sur la réponse desbanques face à la révolution numérique. Plus loin dans cesupplément, nous abordons également le règlementgénéral sur la protection des données, à savoir le nouveaucadre législatif européen en matière de protection desdonnées qui entrera en vigueur en 2017. Nous nousintéressons aussi à la journée typique d’un CISO, un ChiefInformation Security Officer, passons au crible le dernierBaromètre CFO et analysons la réaction du secteur desassurances à la numérisation. Enfin, nous revenons sur lesprincipaux résultats de l’enquête « Get ahead ofcybercrime ». En résumé, cette nouvelle édition constitueune lecture obligatoire pour tous ceux qui s’intéressent deprès ou de loin au secteur financier.

Des Big Data à la banque numérique

© Dries Luyten

Journal d’un évangelistede la sécuritéLe rôle du Chief Information Security Officer de la SNCB.

Du Big Data à labanque numériqueInterview de Benoit Gérard (EY),Mieke Debeerst (Belfius),Gunter Uytterhoeven (BNP Paribas Fortis) et Bernard Ghigny (EY).

2 Protégez vos donnéesde façon proactiveDes conseils en matière de lutte contre la cybercriminalité.

Le CFO etles donnéesLe Big Data entre finance et informatique.

12 14

8

29U N E I N I T I A T I V E D ’ E Y E N P A R T E N A R I A T A V E C E C H O C O N N E C T E T T I J D C O N N E C T | 5 D É C E M B R E 2 0 1 4

Intvecliefinoprensurnonopefinsubexint

DDes questions sur ce sujet ?Vous souhaitezégalementconsulter ce dossier en ligne ?

www.echo.be/envue

2 DU BIG DATA À LA BANQUE NUMÉRIQUE EN COLLABORATION AVEC EY

La transformation numérique des institutionsfinancières connaît un brusque coup d’accélé-rateur. C’est la conséquence de l’arrivée àmaturité de l’Internet, ainsi que de l’essor dessmartphones et des médias sociaux. Sans comp-ter la capacité à traiter de manière rapide et ef-ficace une quantité impressionnante de données.Les quatre ingrédients d’une tempête parfaitesont réunis. Et elle aura un énorme impact surl’ensemble du secteur.D’autant que le moment est propice. À présentqu’elles ont – pour la plupart – passé avec brioles stress-tests européens, les institutions fi-nancières européennes disposent à nouveaud’une marge de manœuvre et de l’énergie né-cessaire pour investir dans l’innovation et la re-lation client. Chez EY, nous considérons la ré-volution des données comme une occasion

fantastique pourles banques et lesassureurs de rega-gner la confiancedu client par lescanaux numé-riques, en amélio-rant l’interaction.Bien entendu, toutchangement estégalement porteurde menaces. Denouveaux acteurssurgissent à l’exté-

rieur du secteur. Armés de nouveaux modèlesd’affaires, ils grignotent les marges et érodentles chaînes de valeur des banques et des com-pagnies d’assurance, les contraignant à prendreposition à leur égard. En interne, les organismesfinanciers sont obligés d’adapter la totalité deleur organisation à cette nouvelle manière defaire des affaires, et ce n’est pas une sinécure.Chez EY, nous disposons de l’infrastructure etdes ressouces nécessaires pour aider les orga-nismes financiers à mener à bien de tels chan-

gements. Non seulement de par notrelongue expérience dans toutesles ramifications du monde ban-caire et des assurances, maisaussi parce que le principe du « numérique d’abord » est ins-crit dans notre ADN.

« A Perfect Storm »

Rudi Braes, managing partner EY Belgique

Préambule

La révolution des données rebat les cartes dans l’univers des banques. Que

veut le client numérique ? Comment répondre à l’arrivée de nouveaux

acteurs comme Apple Pay ou Sixdots ? À quoi ressemblera l’agence bancaire

du futur ? Nous avons écouté les réponses des plusieurs experts expérimen-

tés : Mieke Debeerst, Director Corporate & Marketing Communications chez

Belfius, Gunter Uytterhoeven, directeur marketing chez BNP Paribas Fortis,

Benoît Gérard et Bernard Ghigny d’EY.

La réponse numérique à LA BANQUE DU FUTUR

Comment appréhendez-vous la ré-volution numérique ?Uytterhoeven : Un certain nombre dechangements se sont greffés récem-ment et très rapidement sur les révo-lutions du mobile et d’internet, qui onttoutes deux eu besoin de 40 ans pourarriver à maturité. Subitement, 60%des Belges possèdent un smartphone,et une grande partie de la populationcommunique abondamment sur les ré-seaux sociaux. Cela crée une foule deréseaux et de nouvelles formes d’inter-action dans le cadre desquelles des in-formations personnalisées sont échan-gées très rapidement. À cela s’ajoutentles Big Data, les énormes quantités dedonnées qui résultent de ces interac-tions, et la technologie qui convertit cesdonnées en informations utiles. Cesévolutions ont subitement commencéà se croiser, avec pour résultat un bigbang qui a donné naissance non seule-ment à une génération d’entreprisesproposant de nouveaux modèles d’af-faires, comme Uber, Airbnb et Alibaba,mais aussi à un nouveau profil declient, capable de maîtriser les techno-logies numériques et très exigeant.Debeerst : La grande question est :comment les banques peuvent-ellesgérer ce phénomène ? Comment tra-duire cette révolution en services quiapportent une réelle plus-value à nosclients ? Les banques offrent la possi-bilité d’effectuer des opérations enligne depuis plus de 10 ans, la plupartd’entre elles disposent déjà d’excel-lentes solutions et applications de mo-bile banking. À présent, nous devonsfranchir une nouvelle étape.Ghigny :Cette révolution intervient àun moment très intéressant pour lesecteur financier. Après la crise, les

banques ont dû se concentrer sur laconsolidation de leurs bilans, parfoistout simplement pour survivre. À pré-sent que la poussière est quelque peuretombée, le secteur peut à nouveaufocaliser toute son énergie sur le client.C’est d’ailleurs urgent et indispensable.

Le client aux commandesComment le client réagit-il ?Debeerst :Dans la révolution numé-rique, le client est aux commandes. Ilveut pouvoir faire ses opérations ban-caires où il le souhaite, et sur le canalde son choix. Les données présentessur chaque canal doivent être adaptéesde manière à ce que le client reçoivechaque fois la réponse appropriée. Unénorme défi, mais aussi, c’est vrai, unegigantesque opportunité pour tout lesecteur.Gérard :Une récente enquête révèleque l’expérience client est le principalcritère dans le choix d’une banque. Laproximité d’une agence, qui arrivait entête il y a quelques années, est rétrogra-dée en cinquième position. La donneest complètement différente.

L’avenir est-il entièrement numé-rique ? Ou les agences bancairesvont-elles subsister ?Uytterhoeven : Il ne s’agit certaine-ment pas de faire un choix entrel’agence bancaire et les canaux numé-riques. Ils sont complémentaires. Unclient qui modifie des données sur sonapplication pour smartphone et ap-pelle ensuite le call-center, attend de lapersonne qui lui répond qu’elle soitparfaitement au courant. Notremarque numérique, Hello Bank!, en estun bon exemple : parfois, nous la com-plétons par des agences temporaires.

Pour les banqueset les assureurs, la révolution desdonnées est uneoccasionfantastique deregagner laconfiance desclients.

Une initiative d’EY

Bernard Ghigny, associé EY FSOBenoit Gérard, associé EY FSOSylvie Goethals, associée EY FSOKris Volkaertrs, associé EY FSOFilip Bogaert, directeur EY FSOIngmar Christiaens, associé EY AdvisoryKristof Dewulf, senior manager EY Advisory

Editeur responsable : Marc Cosaert, associé EY Transaction AdvisoryServices

Coordination EY : Anne-Sophie Jaspers

www.ey.com/be/envueSuivez EY sur twitter: twitter.com/EY_BelgiumTél.: 02 774 91 11

Une réalisation de Mediafin Publishing

Coordination : Tim De Geyter, Veronique SoetaertRédaction : MediafinLay-out : Christine DuboisPhotographes : Dries Luyten, Shutterstock

Info? publishing@mediafin.be

Colophon

CONNECT

Ceux qui pénètrent dans cette agence pop-up peu-vent par exemple essayer les Google Glass, surfer gra-tuitement en ligne ou recevoir une boisson. C’est uneexpérience supplémentaire en plus de la présencemobile. Le contact humain reste crucial, continue àgénérer de la valeur ajoutée. Notre but est de renou-veler l’endroit et le contexte dans lequel il est établi.Il ne s’agit plus du guichet derrière une vitre, aprèsavoir fait la file pour retirer du cash.Debeerst : Le client ne se rend plus dans une agencepour régler une transaction, il le fait via d’autres ca-naux. Quelle expérience fournissons-nous dansl’agence ? Proposons-nous des rencontres avec des ex-perts ? L’aidons-nous à utiliser son smartphone ? Al-lons-nous mettre notre réseau d’agences à la disposi-tion de nouveaux partenaires complémentaires ? No-tre réseau d’agences et notre contact humain sont desatouts essentiels, mais il est très difficile de les exploi-ter de manière innovante.

Big DataJusqu’où ira la banque du futur dans les Big Data ?Ghigny : Comment la banque gère-t-elle les énormesquantités de données qu’elle reçoit de ses clients ? Lasécurité est cruciale. La technologie est mature, maisnous avons un rôle éducatif à remplir, en mettant engarde les clients qui adoptent un comportement àrisque. La protection des données à caractère confi-dentiel est également primordiale. Comment lesbanques demandent-elles à leurs clients l’autorisationd’utiliser leurs données sans se montrer indiscrètes ?Debeerst : Une enquête révèle que 80% des clientsdemandent des propositions plus nombreuses, meil-leures et plus proactives de la part de leur banque, etils n’ont aucune objection à ce que celle-ci exploiteles données qu’elle possède pour le faire. 20% desclients opposent un refus de principe. Nous le respec-tons. Mais nous devons apporter un meilleur serviceà ces 80%, ce qui se fait déjà de manière très efficaceau sein de notre secteur. C’est précisément à ce niveauque les Big Data doivent tenir leurs promesses.Uytterhoeven : Nous utilisons encore trop peu lesgrandes quantités de données. Les possibilités exis-tent, mais nous devons nous montrer très prudents.Un paiement qui n’est pas passé, une facture GSMplus salée que prévu : le client veut en être informé.Nous pouvons aussi aller un peu plus loin : si nouspouvons démontrer que ses pairs paient leurs télé-communications beaucoup moins cher, notre clientnous en sera reconnaissant. Les outils sont là. Certainsclients attendent encore plus, par exemple que nousles aidions à obtenir un abonnement de GSM moinscher. Même si nous le pouvions dans le respect totalde la protection des données et de la vie privée, la véritable question reste : où s’arrête le rôle de labanque ?

la demande du client

Les banques disposent d’excellents atoutspour résister aux nouveaux acteurs quirabotent leurs chaînes de valeur.

Gunter Uytterhoeven, Directeur Marketing Communication,Campaign and Channels BNP Paribas Fortis

EN COLLABORATION AVEC EY DU BIG DATA À LA BANQUE NUMÉRIQUE 3

© Dries Luyten

Benoit Gérard (EY), Mieke Debeerst (Belfius), Gunter Uytterhoeven (BNP Paribas Fortis) et Bernard Ghigny (EY).

>

4 DU BIG DATA À LA BANQUE NUMÉRIQUE EN COLLABORATION AVEC EY

adaptation du côté du front-end,dans les relations avec le client. Pourréellement devenir « omnicanaux »ou intégrer parfaitement les diffé-rents canaux, il faut une organisationet une communication interne par-faites. Ceci requiert une profonde re-structuration du back-end, des pro-cessus, des compétences des collabo-rateurs. C'est toute l'organisation quidoit évoluer.Debeerst : Cela demandera des in-vestissements considérables. En in-formatique, mais aussi au niveau denos collaborateurs. Le back-end setransforme de plus en plus en front-end, ce qui constitue un changementfondamental. Nous investissons plei-nement dans l’accompagnement denos collaborateurs en matièred’orientation client, de flexibilité etde maîtrise du numérique.Uytterhoeven : Notre secteur est endifficulté, avec des taux très bas, unecroissance en berne, une forte baissedes bénéfices et des hausses d’im-pôts. Et c’est précisément dans cecontexte que nous devons investir,dans des projets qui ne porterontpeut-être pas immédiatement leursfruits, mais qui sont indispensablespour garantir un avenir florissant.

poser Apple Pay, Apple se repose surdes partenariats avec des banques.Notre rôle est donc respecté. Cela neveut pas dire que nous devons resterles bras croisés. Il nous incombe éga-lement de rechercher des partena-riats dans le cadre desquels nousprenons nous-mêmes l’initiative.

TransformationQuel est l’impact de l’évolutionnumérique sur le back-end desbanques ?Ghigny : D’abord et avant tout,l’ajout de canaux numériques auxautres canaux entraîne une augmen-tation des coûts. La révolution nu-mérique n’exige pas seulement une

>

1. Différenciation

Les produits et services debase proposés par lesorganismes financiers seressemblent de plus en plus. Lanumérisation leur offre lapossibilité de se distinguer dela concurrence. Quelleinformation, à quel moment etpar quel canal ? C’estdésormais la questionprincipale.

2. Nouveaux canaux

Les nouveaux canauxd’interaction avec le clientoffrent une mine depossibilités. Ceux qui lesexploitent à bon escientpourront approfondir etenrichir leurs relations avecleurs clients.

3. Simplicité

À présent que le marchéfinancier est techniquementaccessible à des acteurs nonfinanciers, la banque estconsidérée comme unconcurrent pour des entreprisestelles qu’Apple ou Google. Cesnouveaux acteurs leurenseignent que la convivialité etla simplicité sont les préoccu -pations premières des clients.

4. Enthousiasme

Les services numériquesoffrent une opportunité deretrouver un peud’enthousiasme au sein dusecteur, à la fois pour lescollaborateurs et les clients.

5. Confiance

La confiance se construit parl’interaction, et l’interactivitéest le principal atout du mondenumérique. Pour lesorganismes financiers, c’estune occasion en or de regagnerla confiance de leurs clients quia été fortement ébranlée par lacrise.

Numérisation pour le secteur financier

Dans la révolutionnumérique, le clientest clairement auxcommandes.

Mieke Debeerst, DirectorCorporate & MarketingCommunications Belfius

Nouveaux acteursComment les banques appréhendent-elles l’arri-vée de nouveaux acteurs qui grignotent leursmarges ?Gérard : Il est clair que les banques sont sous pres-sion dans un certain nombre d’activités-clés. Voyezles sites web qui comparent des produits et servicesbancaires ou des assurances, ou les acteurs qui pro-posent des interfaces très sexy comme Apple Pay,Google Wallet et Sixdots. Dans notre pays, nousvoyons se développer de nouveaux modèles d’affairesen matière d’octroi de crédits, notamment le prêtpeer-to-peer et le crowdfunding. Subitement, un dé-taillant chinois en ligne comme Alibaba propose desservices de private banking. Ces acteurs s’insèrent en-tre la banque et le client, grignotent les marges et lachaîne de valeur. Et cela va très vite.Uytterhoeven : Les banques doivent se réinventerd’urgence. Avec un objectif : combler les attentes duclient. Pas uniquement par une stratégie purement in-crémentielle. Il faut aussi de l’innovation disruptive.

Comment les banques peuvent-elles continuer àjouer leur rôle dans un paysage qui change aussivite ?Uytterhoeven : Une banque possède plusieurs avan-tages uniques. D’abord et avant tout, une banqueconnaît tous ses clients personnellement grâce à sonréseau d’agences très dense. Plus le monde devientnumérique, plus s’accroît le besoin de véritablescontacts, j’en suis convaincu. Deuxièmement, lesbanques disposent de pare-chocs financiers pour ab-sorber le risque de contrepartie. De nombreux ac-teurs alternatifs n’ont pas des poches aussi bien gar-nies. Troisièmement, notre longue expérience de l’in-formatique, de la sécurité et de la protection de la vieprivée est un plus. Les nouveaux acteurs pourraients’y brûler les ailes. Les banques qui exploitent cesatouts de façon adéquate dans le monde numériqueen récolteront certainement les fruits.Debeerst : Le métier de banquier ne se remplacepas aussi facilement. Tous les Apple et Google dece monde le comprennent parfaitement. Pour pro-

Les Big Data offrent des possibilitésinédites aux banques, à condition deles exploiter avec une grande prudence.Bernard Ghigny, associé EY

OPPORTUNITÉS

EN COLLABORATION AVEC EY DU BIG DATA À LA BANQUE NUMÉRIQUE 5

1. Nouveaux acteurs

Les possibilités numériquesdonnent naissance à denouveaux modèles d’affaires.Nombreux sont les nouveauxacteurs à l’affût, prêts àgrignoter les marges et àraboter la chaîne de valeurdes organismes financiers.

2. Risque de transformation

La transformation de l’ancienmonde en monde numériqueest un processus dangereuxpour les banques et lescompagnies d’assurance. Parmiles risques, citons les doublesfrais, les incompatibilités entreles systèmes, lesinvestissements trop rapides etla frustration des clients.

3. Le back-office doit suivre

Le numérique ne touche pasque le front-office. C’est unetransformation qui s’étenddes relations avec le client àla comptabilité, en passantpar la gestion des risques etles opérations – pourrésumer, elle touche toutesles branches de l’entreprise.

4. Personnel

La révolution numériqueexige également une bonnedose de flexibilité de la partdes collaborateurs. La cultureconservatrice traditionnelledoit subir une mise à niveau.

5. Sécurité

Gérer et continuer à garantirla sécurité dans unenvironnement numériqueconstitue un énorme défi.Simultanément, l’expériencedes banques et descompagnies d’assurancesconstitue un atout qui peutles différencier des nouveauxacteurs.

Qui est l’utilisateur-type des nouveaux services bancaires etd’assurances numériques ? Les statistiques ne permettent pasd’établir un profil univoque. Les services numériques sont énor-mément utilisés par la plus jeune génération, qui a grandi avecinternet. Mais les jeunes ne sont pas les seuls à opter pour lenumérique. Une très grande part de la génération plus âgée faitégalement beaucoup appel aux nouveaux outils.

En d’autres termes, il n’y a pas de profil typique de l’utilisateurdes services financiers numériques. Pourtant, les banques iden-tifient des segments clairement délimités, avec des besoins dif-férents. Pour la génération plus ancienne, les canaux numé-riques sont déjà entrés dans les mœurs, mais ils sont utilisésd’une autre manière, pour répondre à d’autres besoins queceux de la plus jeune génération.

Les banques et les compagnies d’assurances doivent aborderces différents profils de la manière adéquate. Ainsi le consom-mateur un peu plus âgé, généralement un peu plus fortuné, uti-lise-t-il surtout les canaux numériques pour chercher desconseils et des informations. Lesquels doivent être complémen-taires à ceux qu’il obtient lors des contacts personnels. Au seinde la jeune génération qui privilégie le smartphone, les grandespriorités sont la simplicité et la convivialité dans les transactionsquotidiennes. L’aspect fun arrive en deuxième position.

Il est aussi important de tenir compte des moments de transi-tion. Lorsqu’un consommateur de la plus jeune génération a be-soin d’un produit plus complexe pour la première fois, commeun crédit hypothécaire ou un produit d’investissement, c’est l’oc-casion rêvée d’approfondir le contact et de développer laconfiance du client. C’est une transition délicate, dans laquelle ilfaut investir suffisamment. Un conseil personnalisé est indispen-sable à ce moment, mais pensez aussi à la poursuite de la rela-tion en ligne. Les canaux doivent se compléter parfaitement.

Le client numérique-type n’existe pas

MENACES

Grâce à la révolutionnumérique, les cinqprochaines annéesseront extrêmementpassionnantes.Benoit Gérard, associé EY

de manière plus progressive : tester, réorienter, re-commencer. C’est une approche beaucoup plus dy-namique, beaucoup plus diversifiée de la gestion duportefeuille d’investissements.Uytterhoeven : L’accent sur l’innovation augmenteénormément dans l’ensemble du secteur. On ne peutétablir de distinction entre les projets innovants et lesautres. Chaque projet doit être porté par l’innovation.Auparavant, les banques étaient caractérisées par delongs cycles de projets séquentiels, qui passaient parun système d’entonnoir et dans lesquels chaque dé-partement voulait ajouter son petit grain de sel. C’estimpossible dans le nouveau monde. Il faut livrer ra-pidement, et le client doit être au centre du projet dudébut à la fin.

Debeerst : Il faut faire des choix. Nous devons revoirnos processus, et en retirer tout ce qui n’apporte pasde valeur ajoutée aux clients. Nous devons nous mon-trer sélectifs dans la location de moyens, nous concen-trer sur les projets adéquats.Gérard : Ceci requiert une autre approche de l’inves-tissement. Peut-être la mode d’aujourd’hui ne sera-t-elle pas celle de demain. Qui sait si une applicationexcellente en théorie sera réellement adoptée par leclient ? L’incertitude relative au rendement sur inves-tissements est beaucoup plus grande. Historique-ment, les banques se caractérisaient par de très im-portants programmes d’investissement, de plusieursdizaines de millions d’euros. À présent, il faut investir

Le texte approuvé du règlement (Proposal ofGeneral Data Protection Regulation, enabrégé GDPR) est attendu dans le courant de

2015. Après une période transitoire de deux ans, leGDPR entrera en vigueur dans tous les États mem-bres en 2017. Pas étonnant dès lors que la protectiondes données progresse énormément sur la liste despriorités du Chief Risk Officer, du Chief Informa-tion Officer et du Compliance Officer.

Limitation des données

Le GDPR repose sur trois principes de base. Le pre-mier, la limitation des données au minimum néces-saire, implique que le responsable du traitement desdonnées ne peut collecter plus de données que ce quiest strictement nécessaire à un objectif donné. Dèsque son objectif disparaît et que les données n’ontplus aucune utilité, elles doivent être effacées. Bienque les applications Big Data collectent par définitionle plus grand nombre de données possibles, le prin-cipe de limitation n’y fait a priori pas obstacle. Àcondition de surveiller scrupuleusement la légalitédes applications. Le principe de limitation des don-nées implique par ailleurs que les données ne puis-sent être accessibles qu’aux personnes qui doivent endisposer pour leur fonction. Juridiquement, l’idée estclaire, mais sa traduction en directives stratégiqueset en opérations concrètes est souvent une autre pairede manches. Elle exige une série d’outils technolo-giques, comme un système adéquat de gestion desdroits d’accès et une architecture des données ciblée.Vous avez dès lors intérêt à y mettre de l’ordre avantde procéder à l’implémentation du GDPR.

Transparence

L’attention des médias pour les questions de protec-tion de la vie privée, les nouvelles obligations en ma-

mêmes rectifier les éventuelles er-reurs.

Responsabilités

Le principal changement résidedans les responsabilités. Le respon-sable du traitement et le sous-trai-tant de données personnelles serontdésormais conjointement responsa-bles et tenus au respect du GDPR.De plus, il sera obligatoire de docu-menter les efforts consentis par lebiais d’audits et de Privacy ImpactAssessments, alors que la charge depreuve sera inversée au profit du su-jet des données. Par ailleurs, la sur-veillance sera harmonisée et durcie,avec une sanction maximale de 5%du chiffre d’affaires mondial. Vousavez donc tout intérêt à bien vouspréparer à ce nouvel arsenal législa-tif.

tière d’information et des condi-tions plus strictes concernant l’uti-lisation d’autorisation comme justi-fication du traitement des donnéespersonnelles accroissent la de-mande de transparence, ledeuxième pilier du GDPR.Conséquence ? De nombreuses or-ganisations devront revoir en pro-fondeur leur fourniture d’informa-tions précontractuelle et leursconditions. Mais aussi vérifier sielles ont suffisamment de raisons deconserver les données collectéespar le passé et de les affecter à desobjectifs alternatifs.De plus, le GDPR ancre les droits dusujet des données. Chacun peut de-mander à consulter les données col-lectées à son propos et retirer à toutmoment une autorisation donnée, àla suite de quoi le responsable seracontraint d’effacer les données. Ilest impossible de garantir ces droitssans une architecture des donnéesde qualité et une bonne compréhen-sion des processus de traitement etdes structures de gouvernance.Cette obligation devrait égalementaméliorer la qualité des données.Car les sujets auront rapidement ac-cès à leurs données et pourront eux-

EN COLLABORATION AVEC EY DATAPRIVACY 7

La protection des données personnellesN O U V E L L E L É G I S L AT I O N E N 2 0 1 5

Sylvie Goethalsassociée EY Financial Services Organisationsylvie.goethals@ey.be.com

Filip Bogaertdirector EY Financial Services Organisationfilip.bogaert@ey.be.com

L’évolution extrêmement rapide des Big Data impose une mise à jour du cadre législatif

relatif à la protection des données à caractère personnel. Le Règlement général sur la pro-

tection des données sera probablement adopté dans le courant de l’année 2015. Et il est

préférable de commencer à vous y préparer dès maintenant.

Le responsable du traitement des donnéeset le sous-traitant sont conjointementresponsables de toute méconnaissance desdispositions du Règlement général sur laprotection des données.

© Shutterstock

23,7%

37,3%

22,0%

8,5%

8,5%

Le département IT met en œuvre des projets innovants dans notre organisation

Totalement d’accord

Assez d’accord

Ne se prononce pas

Pas tout à fait d’accord

Pas du tout d’accord

Avez-vous le sentiment que des données de mauvaise qualité nuisent à la prise de décision ?

Oui

Non

59,4%

40,6%

8 LE BIG DATA DU CFO EN COLLABORATION AVEC EY

BAROMÈTRE CFO : LES DONNÉES DONNENT DES AILES AUX CFO

Cela ne fait plus de doute aujourd’hui : les données sont devenues

la clé de voûte de la finance. Mais comment le CFO contemporain

appréhende-t-il les Big Data, les prévisions, la qualité des données

et la gestion des performances dans la pratique ? Une réponse à

l’aide de cinq affirmations extraites du Baromètre CFO.

Big Data entre finance et informatique

Avec six CFO sur dix qui estimentque des problèmes de qualité ontun impact sur le processus déci-sionnel, il y a du pain sur la plancheen matière de qualité des données.Heureusement, la volonté est pré-sente : sept départements IT surdix veulent investir dans la qua-lité des données.

AFFIRMATION 1

Le support informatique du département Finance n’est pas optimalLorsqu’on leur demande si ledépartement IT met en œuvre desprojets innovants, 61% des CFOinterrogés se disent « assez d’ac-cord » ou « totalement d’accord ».Ils ont conscience que l’innovationcrée des outils qui peuvent les aiderà formuler des prévisions plus fon-dées. De manière générale, lesdépartements Finance se sententdonc soutenus par les services IT.C’est également ce que révèle laréponse à l’affirmation « Les pro-jets innovants soutiennent la stra-tégie » : 80% des CFO interrogés se

disent assez à totalement d’accord.Pourtant, 64% des répondantstrouvent les coûts trop élevés enraison de workflows et de pro-cessus inadéquats.

Pour le développement de meil-leurs outils stratégiques, les deuxdépartements doivent apprendre àcoopérer étroitement. À cet effet, ilest préférable que les budgetssoient alloués par la Finance, et quel’IT s’en tienne à son rôle fonda-mental de service de soutien.

Les CFO ont conscienceque l’innovation crée des outils qui peuvent les aider à formuler des prévisions plus fondées.

CFO BAROMÈTRELe Baromètre CFO est une initiative de recherche indépendante émanant de la rédaction du CFO Magazine en collaboration avec EY. Un questionnairesur un sujet actuel pertinent pour les CFO a été envoyé à un panel représentatif de CFO belges de multinationales de grande envergure et de taillemoyenne. Le Baromètre CFO se concentre sur des activités locales, ses résultats sont donc très représentatifs du marché belge. Il s’agit d’un outilréférence pour tout CFO actif en Belgique.

AFFIRMATION 2

Une mauvaise qualitédes données nuit auprocessus décisionnel

Lorsque vous pensez aux Big Data, quelle est la première idée qui vous vient à l’esprit ?

J’en conçois la valeur ajoutée, et nous y investissons

J’en conçois la valeur ajoutée, mais nous n’y investissons pas

Une mode liée à l’IT

Une mode passagère

Autre

41,4%

25,9%

17,2%

10,3%

5,2%

Quelle est la signification principale de la gestion des performances pour votre entreprise ?

L’amélioration des processus ascendants

La définition et l’évaluation de KPI

La création de transparence dans l’entreprise

La capacité à établir des fiches de score

Rien de ce qui précède

41,7%

33,3%

16,7%

3,3%

5,0%

Croyez-vous qu’il soit possible de prévoir l’avenir à l’aide des données disponiblesdans votre entreprise ?

Oui

Non

49,2%

50,8%

EN COLLABORATION AVEC EY LE BIG DATA DU CFO 9

AFFIRMATION 3

Les Big Data, une mode avec une valeur ajoutée

Un nombre considérable (41%) deCFO est convaincu de la valeur ajou-tée des Big Data et ne croit pas qu’ils’agit d’une simple mode passagère.Les applications les plus citées sontles optimisations opérationnelles etorientées client.

La première étape vers les Big Dataconsiste à garantir une qualité opti-male des données de base. Une foiscette condition remplie, vous pour-rez développer, avec les départe-ments IT et Finance, une feuille de

route qui établira précisément lamanière dont vous utiliserez cesdonnées. Ne vous laissez pas enivrer,mais ne soyez pas non plus tropconservateur.

Souvent, la volonté de se concentrersur des données « certaines » consti-tue un obstacle. Le département Fi-nance doit se départir de sa craintedes « probabilités » et apprendre àtravailler avec les variations et lesindications de tendance qu’of-frent les Big Data.

AFFIRMATION 4

La gestion des performancesamène des améliorations deprocessusDans 80% des entreprises, la gestion de perfor-mance est pilotée par le département Finance.Cependant, seulement la moitié des CFO y voientune manière d’améliorer les processus.

Par ailleurs, l’enquête révèle que les départementsopérationnels et les ventes semblent échapper à lagestion des performances. Pas étonnant dès lors quede nombreux projets affichent des performancessous-optimales. La propriété de la gestion des per-formances sera fonctionnelle, dans la mesure du pos-sible, et supervisée par la C-suite, de préférence parle CFO ou du CCO, dans le cadre d’une vision englo-bant toute l’entreprise.

AFFIRMATION 5

La valeur ajoutée du forecasting n’est passuffisamment exploitéeNeuf répondants sur dix organisentdes exercices de prévision et de bud-gétisation, mais plus de 70% d’entreeux le font toujours dans Excel.Trois CFO sur dix trouvent queles prévisions sont vraimentutiles, mais demandent beaucoupde temps.Et de nombreuses entre-prises ne dépassent toujours pas lestade de la budgétisation.

Il est difficile de qualifier cette atti-tude d’innovante. Avec les Big Data,des quantités croissantes de don-nées chiffrées sont cependant misesà disposition pour établir des prévi-sions de plus en plus précises avecdes paramètres de plus en plus di-vers. Cela dit, la valeur ajoutée de laprévision reste manifestement sous-estimée.

Ingmar Christiaensassocié EY Advisoryingmar.christiaens@be.ey.com

l’assureur. Ils doivent égalementfaire preuve de loyauté vis-à-visdes assureurs qui soutiennent leurdéveloppement numérique.Dans cette nouvelle répartition destâches, il sera également nécessairede revoir les commissions. Cela dit,tous les acteurs peuvent en sortirgagnants, le système évoluant versplus d’efficacité et une plus grandeorientation client.Redessiner la distribution des as-surances n’est pas une mince af-faire. Pour autant, le secteur belgedes assurances a déjà su s’adapter àde nombreuses évolutions. Il n’y adès lors aucune raison de penserqu’il n’y parviendra pas cette fois.

La révolution numérique permet-tra au courtier de faire l’économied’une série de tâches administra-tives et lui fournira les outils né-cessaires pour mieux comprendreson client. Il aura ainsi davantagede temps à consacrer à son cœurd’activité : assister le client. Pour lacompagnie d’assurances, une stra-tégie numérique intelligente peutse traduire par de la croissance,une optimisation des coûts et unesimplification d’un certain nombrede tâches répétitives ou doublées.Pour y parvenir, elles devront ce-pendant accroître substantielle-ment leurs budgets numériques.Les assureurs ont également inté-rêt à redessiner les combinaisonsproduit – canal – clients. Ils doi-vent reconnaître la valeur ajoutéedes intermédiaires et respecterleur autonomie. De leur côté, lescourtiers doivent accepter que lesclients règlent un certain nombrede transactions directement avec

Vers un équilibre numériqueentre assureurs et courtiers

FA I R E FA C E À L A CO N C U R R E N C E N U M É R I Q U E

EN COLLABORATION AVEC EY DISTRIBUTION DES ASSURANCES 11

Kris Volkaertsassocié EY Financial Services Organisationkris.volkaerts@be.ey.com

Benoit Gérardassocié EY Financial Services Organisationbenoit.gerard@be.ey.com

La révolution numérique redessine le paysage de l’assurance.

Les courtiers et les assureurs doivent se répartir les tâches et

se concentrer sur leur cœur de compétences. Des compé-

tences centrées sur le client numérique, cela va de soi.

Le clientattenddavantaged’interactionsavec sonassureur.

La Global Insurance Customer Survey (GCIS)d’EY révèle que la distribution des assurancesa peu évolué ces dernières années. Courtiers

et distributeurs exclusifs vendent toujours 50% desassurances non-vie et près de 30% des assurances-vie. Les bancassureurs continuent à dominer la dis-tribution des assurances-vie, mais les canaux directsenregistrent une croissance moins rapide que prévu.Pourtant, les choses bougent dans le secteur. Les ré-gulateurs s’en donnent à cœur joie. Les directivescomme la MiFID2, IMD2 et PRIPS ne font pasqu’accroître la charge administrative des courtiers,qui éprouvent déjà souvent de graves difficultés etqui voient leurs marges fondre au soleil. La vague deconsolidation en vigueur sur le marché des courtiersdevrait encore prendre de l’ampleur au cours des an-nées à venir.La principale évolution est sans doute que le clientnumérique est devenu adulte. La GCIS révèle qu’ilfait de plus en plus appel aux sites, forums et blogsdans son processus décisionnel. Le service après-vente est également de plus en plus numérique. Leclient indique qu’il attend une interaction avec sonassureur. Il veut pouvoir décider lui-même de la ma-nière dont ce processus se déroule pour chaque in-teraction : par contact humain ou numérique.

Repenser les canaux de distribution

Ces évolutions exigent une refonte radicale des ca-naux de distribution des produits d’assurance, etce de la part de tous les acteurs du marché. Ducôté des assureurs directs, la GCIS révèle que laproximité humaine manque au client. Chez lescourtiers, c’est précisément l’inverse : dans ce seg-ment, c’est souvent l’offre numérique qui laisse àdésirer.Le grand défi consistera dès lors à développer uneapproche réellement centrée sur les demandes duclient et qui intègre harmonieusement les diffé-rents canaux. Il faut trouver un nouvel équilibreentre les compagnies d’assurances et les intermé-diaires qui réponde aux souhaits des assureurs etdes courtiers. © Shutterstock

12 PROTECTION DES INFORMATIONS EN COLLABORATION AVEC EY

L E R Ô L E D U C H I E F I N F O R M AT I O N S E C U R I T Y O F F I C E R

8 heures NetworkingDans le train, je téléphone à des CISO d’autres en-treprises, que j’ai généralement rencontrés dansle cadre de réunions professionnelles. J’entretiensmon réseau et je discute des défis auxquels ils sontconfrontés, des projets en cours chez eux, de la jus-tification des budgets, de notre stratégie, et souvent decybermenaces récentes. J’accorde une grande importance àces réseaux : personne n’est parfait, nous pouvons tous nous inspirer desmeilleures pratiques en cours chez des collègues.

9 heures-11 heures Réunion sur des projetsLe matin, je participe à des réunions sur des projets, et je rencontre parfoisdes parties externes. Je suis responsable de la prévention de la cybercri-minalité sur nos sites Web, applications et systèmes. Cela se traduit parquatre domaines de travail : la sécurité informatique, la gestion du risque

informatique, la gestion de la continuité du service in-formatique et la protection des données. Je suis entré

à la SNCB fin 2013, après que des données desclients se sont retrouvées sur Internet. Depuis,ces quatre domaines sont pris très au sérieux. Jecherche également à intégrer les quatre aspectssous ma responsabilité dans tous les projets per-tinents, au stade le plus précoce possible.

Je participe par exemple à un projet visant à propo-ser le WiFi dans les gares. La sécurité et la protection

de la vie privée en constituent des éléments primordiaux. Pen-dant les réunions, j’essaie d’identifier les risques, je réclame de l’attentionpour la vie privée des clients et j’analyse la continuité des systèmes infor-matiques. Après la réunion d’équipe, j’ai souvent des réunions indivi-duelles avec des participants au projet.

Journal d’un évangéliste de la sécurité

11 heures-12 heures État des lieuxavec l’équipe du CIOJe fais un état des lieux avec le CIO et son équipepresque chaque jour. Nous y discutons de la stratégie in-formatique générale, des budgets et des projets. On écoutemon opinion sur la sécurité. La situation générale des risques opé-rationnels est également abordée. J’analyse les risques et leur impactpossible, le CIO décide des actions que nous entreprenons.

Vu la recrudescence des cybermenaces, la fonction de CISO a le vent

en poupe. Mais de quoi s’occupe précisément le Chief Information

Security Officer ? À quoi ressemble la journée typique du manager

chargé de protéger les données et systèmes informatiques d’une

entreprise ? Les réponses de Tim Groenwals, CISO à la SNCB.

En tant queCISO, je ne veuxpas uniquementêtre un frein. Jeveux apporter dela valeur ajoutée.

© RV

EN COLLABORATION AVEC EY PROTECTION DES INFORMATIONS 13

1. La sécurité informatique doit être un enabler. Le CISO doit attirer l’attentionsur la sécurité, mais sans se profilercomme un obstacle. Travaillez comme unévangéliste, et rendez les projets réalisa-bles en apportant une valeur ajoutée.

2. La sécurité dépasse l’informatique. Pourle CISO, le savoir-faire technologique nesuffit pas. Vous devez traduire vosconnaissances techniques en notions uti-lisables par les autres départements. Lesmétaphores et autres images sont sou-vent des outils très utiles.

3. Soyez sur vos gardes. Soyez sur vosgardes, mais veillez à ce que vos clientset collaborateurs ne perdent pas le som-meil. La sécurité est la valeur ajoutéequ’apporte votre fonction au reste del’entreprise et aux clients.

4. Développez la notion de responsabilité.Une maîtrise parfaite des outils tech-niques n’est pas une garantie de sécuritépour l’entreprise. Le maillon faible estpresque toujours l’aspect comportemen-tal. Il est donc crucial de faire de la pré-vention. Le CISO y joue un rôle pédago-gique.

5. Entretenez des relations avec vos collègues. Établissez un lien de confianceavec des collègues d’autres secteurs.N’essayez pas de réinventer l’eau chaude: posez des questions, inspirez-vous desmeilleures pratiques. Osez faire confianceà des parties externes et à leurs connais-sances spécialisées.

6. Suivez une approche basée sur lesrisques. Soyez conscient que des incidentsauront lieu. Tout devient de plus en pluscomplexe, et une petite erreur est rapide-ment commise. Il n’est plus possible derendre tous les systèmes étanches. Éva-luez les risques, et concentrez-vous surceux qui ont l’impact potentiel le plus im-portant.

7. Connaissez vos adversaires. Ne sous-esti-mez pas vos adversaires. Les incidents nesont plus causés par des étudiants quijouent aux pirates le week-end. Au-jourd’hui, la cybercriminalité est l’œuvred’organisations criminelles structurées,voire de concurrents ou d’États étrangers.

7 conseilspour les CISO

Après 18 heuresBien entendu, les cybercriminels ne vont pas dormir à 18 heures. Je metiens toujours disponible en cas d’incident. Cela peut aller du défacementd’un site web à un incident de protection de la vie privée en passant parune intrusion dans un système informatique. En cas de sinistre, j’ai surtoutun rôle de coordination. Je tente de limiter les dégâts, et je prends contact

avec les parties internes et externes pertinentes. Je crois beaucoup dans unecommunication ouverte sur les incidents : c’est la meilleure façon d’en tirer des

enseignements.

12 heures LunchLe midi, je me contente généralement d’unsandwich avec mon équipe. Celle-cise compose de six collaborateursfixes, et de plusieurs consultants quiapportent des compétences spécia-lisées que nous ne possédons pas eninterne.

14 heures Réunion d’équipe et réunions avec des collaborateursJe discute des projets avec mon équipe. Nous définissons ensemble l’ap-proche à adopter. Je parcours les principaux aspects des projets. Nousfaisons un bilan, nous nous répartissons les tâches, nous déterminonsqui prendra contact avec qui et nous fixons les échéances. Ensuite, j’ai une série de réunions individuelles avec des membres del’équipe sur des projets. Lors de ces réunions, nous travaillons de ma-

nière plus concrète, pratique, nous entrons davantage dans le détail. Jeconsacre également beaucoup de temps au coaching individuel. L’aspect

humain est très important à mes yeux.

16 heures Contacts informels avec la C-suiteEn fin de la journée, il y a généralement un peude temps dans les agendas pour communiquer

de manière moins formelle avec les collèguesmanagers. Je me penche régulièrement avecle CEO et le CFO sur le risque et la sécurité,parfois aussi avec la direction des ventes oudu marketing. Dans ces discussions, je mesens évangéliste de la protection informatique. Je défends la valeurajoutée de la sécurité et de la protection de vie privée, j’insiste sur lesinvestissements nécessaires, je demande à être impliqué dans lesprojets à une phase très précoce. Je transmets également des infor-mations sur les budgets et les meilleures pratiques d’entreprisespaires et je tente de faire de la sécurité et de la protection de la vieprivée un réflexe chez les autres membres de la direction.

É T U D E : G E T A H E A D O F C Y B E R C R I M E

14 CYBERCRIMINALITÉ EN COLLABORATION AVEC EY

Toute entreprise sera tôt ou tard victime de cybercriminalité. Mais la grande majorité

des organisations est très mal équipée pour faire face à cette menace. L’étude EY

« Get Ahead of Cybercrime » se demande pourquoi tant d’entreprises continuent à faire

du surplace dans ce domaine et paraissent incapables de sortir des starting-blocks.

pondants modifieront à peine lebudget total de leur protection in-formatique au cours des prochainsmois, malgré la recrudescence desmenaces. Ce n’est qu’une légèreamélioration par rapport à 2013,lorsque 52% des répondants décla-raient geler leur budget.Un des obstacles majeurs à unestratégie adéquate de protectioninformatique est le manque de col-laborateurs spécialisés, selon prèsde la moitié (44%) des entreprisesinterrogées. Pas étonnant lorsquel’on sait qu’à peine 4% d’entre ellesdisposent d’une équipe d’analystes

dédiés et spécialisés qui peuvent seconcentrer sur les menaces infor-matiques. Ces chiffres aussi diffè-rent peu de ceux de 2013, lorsque50% des entreprises interrogées re-connaissaient un manque de colla-borateurs spécialisés et 4% d’entreelles disaient disposer d’une équiped’analystes pour les cybermenaces.La négligence ou le manque deconnaissance des salariés constituela principale vulnérabilité. 85% desrépondants belges y voient le fac-teur le plus influent sur le profil derisque de l’entreprise. L’accès nonautorisé aux informations de l’en-

La plupart des organisations (76%) se sententde plus en plus exposées à la cybercrimina-lité. Pourtant, plus de deux tiers (67%) des

entreprises interrogées ne disposent pas d’infor-mations en temps réel sur les risques informa-tiques. Celles-ci sont pourtant indispensables pourcontrer les menaces réelles qui pèsent sur la sécu-rité des systèmes IT. C’est l’une des principalesconclusions de « Get Ahead of Cybercrime »,l’étude mondiale annuelle d’EY sur la protectioninformatique pour laquelle 1.825 organisations de60 pays ont été interrogées cette année.Les résultats des participants belges révèlent queles entreprises manquent d’attention, de budget etde compétences pour mieux défendre des pointsfaibles qu’elles connaissent pourtant. 49% des ré-

Pour une protection proactive de votre informatique

© Shutterstock

5 conseils dansla lutte contre lacybercriminalitéLes organisations doivent considérer la sécuritéinformatique comme une compétence cléconcurrentielle. Or ce n’est possible que si ellessont bien préparées, anticipent suffisamment lesnouvelles menaces et se départissent de leur rôlede victime. Comment faire de la cyber-sécuritéune compétence- clé ?

1. Soyez à l’affût. Le management doit pren-dre les menaces et risques informatiques ausérieux, et fixer les priorités nécessaires.Veillez à créer un processus décisionnel dy-namique qui permet des actions préven-tives rapides. La vigilance est un maître-mot en cas de menaces possibles.

2. Connaissez les menaces. Les organisationsdoivent posséder une connaissance éten-due, mais ciblée de toutes les menaces etde leur impact potentiel. Ce n’est possiblequ’en investissant suffisamment de tempset de moyens dans l’analyse des menacesinformatiques.

3. Protégez les joyaux de la couronne. L’organi-sation doit savoir quelles sont ses ressourcesles plus précieuses. Soyez particulièrementattentif à la durabilité de vos ressources pre-mières et veillez à les protéger au mieux.

4. Concentrez-vous sur l’approche des inci-dents et situations de crise. Évaluez réguliè-rement les compétences de votre organisa-

tion. Testez l’étanchéité de votre sys-tème de protection en simulant desincidents et des situations de crise.

5. Continuez à apprendre et àévoluer. L’analyse a posteriori dela protection informatique estun élément crucial d’une ap-proche adéquate. Les organisa-tions doivent collecter et analy-ser toutes les données relativesaux incidents et aux attaques.Elles doivent éviter de continuerà travailler chacune dans leur coin

et collaborer pour tirer des ensei-gnements des incidents. Car les

conclusions de cette analyse et de cettecollaboration peuvent grandement amélio-rer la protection d'une entreprise.

EN COLLABORATION AVEC EY CYBERCRIMINALITÉ 15

Kristof DewulfSenior manager EY AdvisoryExpertise: cyber security & data privacykristof.dewulf@be.ey.com

treprise et des contrôles ou une archi-tecture de sécurité informatiqueobsolète arrivent respectivementen deuxième et troisième posi-tion avec 50% et 45% de ré-ponses. Les principales menaces sont lephishing, les logiciels malveillantset la fraude. Elles comptent parmiles priorités de respectivement 52, 50et 24% des entreprises interrogées.

Approche proactive

L’étude de cette année démontre que les organisa-tions doivent mieux se préparer aux attaques dansun environnement où les cyberintrusions sont iné-vitables. De plus, les menaces proviennent desources de plus en plus inventives, qui disposentde ressources financières croissantes.Les cyberattaques peuvent avoir de lourdes consé-quences. Et celles-ci ne sont pas seulement finan-cières. Elles peuvent aussi porter préjudice à lamarque ou à la réputation d’une entreprise, causerla perte d’un avantage concurrentiel ou engendrerune non-conformité réglementaire. Les organisa-tions doivent abandonner leur attitude réactive auprofit d’une approche proactive et veiller à ne plusêtre une cible facile pour les cybercriminels, maisun adversaire redouté.L’étude révèle également que trop d’organisationsne maîtrisent toujours pas les principes fondamen-taux de la sécurité informatique. De plus, le Mana-gement Exécutif de ces organisations est trop peuattentif au problème et on constate une absence deprocédures et pratiques clairement décrites. Denombreuses organisations ne disposent pas d’uneéquipe de sécurité opérationnelle, ce qui constitueun motif d’inquiétude grave.Outre les menaces internes, les organisations doi-vent également réfléchir en profondeur à leur éco-système et à l’impact de leurs relations avec leursclients et fournisseurs sur leur politique en matièrede sécurité. Il est également primordial de colla-borer avec des parties externes pour améliorer lacyber-sécurité. Il faut non seulement créer un éco-système d’affaires, mais aussi un écosystème de sé-curité dans lequel les autres membres du secteuret les pouvoirs publics peuvent jouer un rôle. Carseule une préparation optimale aux menaces infor-matiques permettra à une organisation de profiterde ses investissements dans la cyber-sécurité. Lesentreprises ne pourront garder une longueurd’avance sur les cybercriminels que si tous les com-posants sont présents et si les processus et sys-tèmes de protection sont capables de s’adapter auxchangements.Vous trouverez l’étude complète surwww.ey.com/giss

Les organisationsdoivent se préparerà d’inévitablesattaquesinformatiquesKristof Dewulf, SeniorManager EY Advisory

© Shutterstock

© Shutterstock