Alors que notre dĂ©pendance au numĂ©rique s’intensifie, les entreprises sont confrontĂ©es Ă une multitude de cyber-risques qui peuvent compromettre la sĂ©curitĂ© de leurs systèmes informatiques et, par extension, la confiance de leurs clients. Les menaces sont aujourd’hui plus nombreuses, simultanĂ©es, mieux organisĂ©es et, surtout, beaucoup plus agiles.
Les cyberattaquants sont capables de construire des schémas d’attaques plus sophistiqués, et il existe désormais un véritable marché de services criminels permettant de s’équiper en solutions et moyens d’attaque. Les escroqueries sont également de plus en plus efficaces et inventives.
L’adaptabilitĂ© face Ă ces menaces et la protection de la donnĂ©e sont au centre de toutes les prĂ©occupations sĂ©curitaires du secteur de la relation client (externalisĂ©e). Ce dernier fait preuve d’une maturitĂ© avancĂ©e en matière de cybersĂ©curitĂ© et de cyber-rĂ©silience et, du fait de sa position d’intermĂ©diaire, a un rĂ´le important Ă jouer dans la mise en place de politiques de sĂ©curitĂ© robustes sur toute la chaine de services et de sensibilisation aux bonnes pratiques de sĂ©curitĂ© informatique. Cependant, certains facteurs, particulièrement l’accĂ©lĂ©ration de l’IA et la multiplication des rĂ©gulations Ă l’Ă©chelle europĂ©enne, ajoutent une couche de difficultĂ©.
L’envers du décor : réalité et enjeux du secteur face aux cyber-risques
Dans le secteur de la relation client, la confiance des clients directs et finaux repose en grande partie sur la capacitĂ© des entreprises Ă protĂ©ger efficacement leurs donnĂ©es. Ses activitĂ©s consistant en du traitement de donnĂ©es couplĂ© Ă une offre de services relationnels, le secteur est exposĂ© Ă deux risques principaux : le vol ou la fuite de donnĂ©es (pour la plupart croisĂ©es), et l’arrĂªt des services.
La digitalisation croissante du secteur a considĂ©rablement accru sa vulnĂ©rabilitĂ© aux cyber-risques. Les entreprises doivent faire face Ă des dĂ©fis plus complexes en matière de protection des donnĂ©es personnelles, de conformitĂ© rĂ©glementaire et de prĂ©vention d’attaques de plus en plus protĂ©iformes. Une violation de donnĂ©es peut avoir des consĂ©quences dĂ©sastreuses, en matière de protection de l’identitĂ©, de fraude financière ou de perte de confidentialitĂ©, qui nuisent non seulement Ă la rĂ©putation de l’entreprise, mais compromettent Ă©galement la fidĂ©litĂ© des clients.
L’intĂ©gration croissante de l’intelligence artificielle (IA) dans le secteur de la relation client offre ici de nouvelles opportunitĂ©s, mais Ă©galement de nouveaux dĂ©fis. Si l’IA, notamment gĂ©nĂ©rative, est de plus en plus utilisĂ©e pour dĂ©tecter et prĂ©venir les cybermenaces (une Ă©tude de Gartner prĂ©dit d’ailleurs qu’elle pourrait permettre de pallier les manquements en cybersĂ©curitĂ© d’ici 2028), elle l’est Ă©galement en parallèle par les hackers, qui s’approprient l’agilitĂ©, l’organisation et la dĂ©multiplication des cibles qu’elle permet pour maximiser l’efficacitĂ© des attaques.
L’IA gĂ©nĂ©rative peut par exemple facilement se faire passer pour un humain – un conseiller bancaire par exemple – une possibilitĂ© Ă l’évidence dangereuse dans un contexte de contact avec des consommateurs. La cyber-rĂ©silience doit donc Ă©voluer en tandem avec celle de l’IA pour contrer les menaces Ă©mergentes, encadrer son usage, et mieux cloisonner les donnĂ©es qu’elle utilise.
Réglementations européennes : quel impact ?
La cybersécurité demeure un point focal pour l’Union Européenne comme pour la France. Au centre, toujours : protéger la donnée.
La NIS1 et NIS2, des législations pensées pour harmoniser et sécuriser les réseaux face aux cyber-risques et améliorer la résilience des entreprises, ont profondément impacté les pratiques du secteur de la relation client, en exigeant la mise en place de mesures inédites sur toute la chaine de services et de sous-traitance. L’ensemble de cette dernière est et sera impactée par les réglementations en cours et à venir. Cela nécessite donc une coopération et une transparence entre tous les maillons de la chaine, notamment en matière de vérification des mesures en place, de surveillance des niveaux de sécurité des fournisseurs, et de sensibilisation des équipes.
Bien que ces exigences rĂ©glementaires puissent sembler contraignantes, elles contribuent Ă renforcer la confiance entre les entreprises et Ă promouvoir des pratiques commerciales sĂ©cures. Leur caractère variable dĂ» Ă l’Ă©volution rapide du paysage des menaces et des technologies qui y sont associĂ©es, dont l’IA, en font cependant un dĂ©fi rĂ©gulièrement renouvelĂ© pour les entreprises spĂ©cialistes de la relation client. Si le secteur dĂ©montre dĂ©jĂ sa maturitĂ© en matière de protection et de dĂ©fense en phase avec les rĂ©glementations, ces dernières devront se montrer plus claires et dĂ©cisives en matière de rĂ©silience et de reprise des activitĂ©s, qui demeurent des enjeux importants.
Quelles bonnes pratiques pour entretenir des relations de confiance ?
S’ils souhaitent maintenir la confiance des clients dans ce contexte, les spécialistes de la relation client doivent se faire modèles et forces de conseil pour mieux accompagner leurs partenaires. La majorité des entreprises ont aujourd’hui des exigences précises et poussées en matière de cybersécurité, et doivent par conséquent pouvoir s’appuyer sur des partenaires certifiés et résilients. De nombreuses normes et certifications existent afin d’évaluer et prouver les niveaux de sécurité souhaités.
La cybersĂ©curitĂ© est cependant une question aussi technologique et rĂ©glementaire qu’humaine, dont la solution rĂ©side en grande partie dans la formation et la sensibilisation. En plus des mesures techniques, les entreprises doivent promouvoir une culture de la sĂ©curitĂ© en sensibilisant aux cadres lĂ©gislatifs existants, ainsi qu’aux risques et Ă leur Ă©volution. Chartes informatiques et engagements de confidentialitĂ© renforcĂ©s sont ici cruciaux ; mais c’est tout un Ă©cosystème de sensibilisation et de formation qui doit Ăªtre créé et nourri, au sein par exemple des SIRH.
Dans les mois et annĂ©es Ă venir, une attention particulière devra Ăªtre portĂ©e Ă l’IA. Une vraie Ă©ducation sur ses formes, risques et usages devra Ăªtre dĂ©veloppĂ©e par et pour les entreprises, car son utilisation ne sera que croissante.
En investissant dans des technologies de pointe, en s’adaptant aux rĂ©glementations en vigueur, mais surtout en accompagnant la promotion d’une culture de la sĂ©curitĂ© en interne, le secteur pourra alors renforcer sa cyber-rĂ©silience et maintenir la confiance des clients dans un environnement numĂ©rique en constante Ă©volution.
Par Vincent Dupont, RSSI chez Armatis
Publié le 08 juillet 2024 dans IT Social