Assurer l'intégrité, la confidentialité, la continuité et la traçabilité des données passe d'abord par la mise en place de systèmes de sécurité adéquats, mais également par l'optimisation de la sensibilisation et de la formation du personnel - et ce particulièrement dans un environnement souvent multisite. Dès lors, comment allier le facteur humain et le facteur technologique pour faire de la cybersécurité une priorité à tous les niveaux ? Une analyse de Vincent Dupont, RSSI d'Armatis.

Cloisonner et certifier les écosystèmes

En tant que prestataires de services, les centres de contact sont souvent moins soumis aux attaques directes que les grandes marques pour lesquelles ils travaillent. Les risques sont cependant réels, et il faut mettre en place les technologies adéquates pour y pallier.

Il est en premier lieu essentiel de garantir le cloisonnement des écosystèmes de données. Cela se concrétise par la mise en œuvre de systèmes de défense classiques mais robustes, tels que les antivirus, les pare-feux, et les scans de vulnérabilité - le but étant de détecter les menaces rapidement et de limiter "l'effet de portes", où un environnement compromis permettrait à un attaquant de pénétrer d'autres secteurs.

En parallèle, les analyses de risques accompagnent toute activité. Elles sont particulièrement importantes dans le cadre des onboarding clients, puisqu'elles permettent d'identifier les vulnérabilités et lacunes dans les politiques et systèmes de sécurité en place. Une cartographie des risques dès l'onboarding est également nécessaire pour accompagner les entreprises moins "natives" en matière de cybersécurité pour mieux anticiper leurs besoins et les aider à se mettre à niveau. L'analyse s'effectue de façon concomitante sur chaque activité collaborateur impliquée dans le service client.

Plusieurs normes et certifications existent pour attester de la sécurité des systèmes de données, particulièrement la certification ISO 27001, une norme internationale de référence pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI) qui témoigne de l'existence de procédures et processus de gestion des données pour identifier les cybermenaces, maîtriser les risques associés, et mettre en place des mesures de protection appropriées afin d'en assurer la confidentialité, la disponibilité et l'intégrité. L'intégration de ces normes aux activités assure l'existence d'un cadre précis de gestion et de sécurisation des données répondant aux attentes et exigences des clients et partenaires de l'entreprise.

Si les fournisseurs de services sont évalués par les marques sur leur sécurité et l'existence de telles normes,  une certification n'est cependant pas une fin en soi, et la durabilité de la sécurité d'un écosystème repose sur la capacité de créer des environnements interconnectés au sein desquels tous les acteurs sont sensibilisés aux risques et capables de les anticiper.

Placer la sécurité au cœur de la culture d'entreprise

Tout système de sécurité doit en effet être accompagné de politiques de sécurité internes fortes et cohésives. Si les stratégies et technologies de protection sont indispensables, elles doivent être couplées à un vrai effort de sensibilisation et de partage de l'information visant à placer la sécurité et la protection des données au cœur de la culture de l'entreprise.

Il y a ici deux mots d'ordre : collaboration et formation. Côté collaborateur, l'enjeu est celui de l'amélioration des connaissances et de la création de réflexes autour des risques identifiés. Côté utilisateurs finaux, c'est la sensibilisation à ces risques qu'il faut prioriser, au travers des collaborateurs eux-mêmes. Cela implique un travail collaboratif étroit entre l'ensemble des équipes : les ressources humaines, la formation, le management, la sécurité, la communication interne comme externe et l'opérationnel doivent tous être impliqués dans les processus pour garantir leur efficacité et leur homogénéité.

Dans l'environnement multisite qui caractérise la majorité des entreprises de contact client, il est en outre indispensable de "penser global et agir local". Cela doit se concrétiser par l'investissement dans des ressources (eg. plateformes, sessions de formation) et la mise en place de structures et d'équipes dédiées sur chaque localité afin de personnaliser les actions de sensibilisation dès l'onboarding des collaborateurs, de vulgariser les risques et les normes, et s'assurer que les processus nécessaires sont en place. La communication interne globale et locale a également un rôle important à jouer dans la visibilité des enjeux de sécurité et le maintien de l'engagement de tous les collaborateurs à leur sujet. Cela peut être renforcé par une stratégie correspondante sur les réseaux sociaux et plateformes digitales de l'entreprise.

Faire de la sécurité une composante clé de la culture d'entreprise permet d'établir un cadre stable au sein duquel tous les acteurs peuvent évoluer sereinement. Cela est d'autant plus important dans un contexte en flux tendu d'un point de vue du recrutement : s'il est possible de pallier avec un recours à l'alternance et des profils transférables, il est très probable que les entreprises devront faire de plus en plus appel à des experts externes pour répondre à leurs besoins en matière de cybersécurité. Si les systèmes adéquats sont en place et que la sécurité est au cœur des préoccupations, cela n'impactera pas la continuité des activités.

La cybersécurité est donc l'affaire de tous ! Les menaces pèsent de plus en plus  sur les entreprises et les obligent à agir de manière collective en interne comme en externe. La sécurité des réseaux étant plus que jamais une nécessité absolue pour la pérennité des activités, toute organisation se doit d'intégrer une politique mais aussi une culture du risque dans sa stratégie business.