La confiance de vos clients est le meilleur indicateur de sécurité possible

La transparence radicale devient un facteur de différenciation par rapport à la concurrence

Les cyberattaques sont inévitables. Le problème ne consiste plus à savoir si vous serez attaqué, mais à déterminer quand. C'est la raison pour laquelle l'établissement d'une relation de confiance avec vos clients constitue une notion aussi importante. Le facteur de différenciation entre les fournisseurs réside dans la manière dont ces derniers protègent les données de leurs clients, assurent la fiabilité de leurs services et communiquent avec leurs clients en cas de problème.

Cette confiance se révèle particulièrement importante lorsque les fournisseurs prennent en charge des fonctions essentielles à l'activité des entreprises. Blue Yonder, par exemple, propose des solutions pour la chaîne d'approvisionnement (supply chain) auxquelles les entreprises font appel pour tous leurs besoins en la matière, de la planification des ventes à la gestion de la main-d'œuvre, en passant par la gestion des stocks et la logistique. Nos clients doivent avoir la certitude qu'une attaque à l'encontre de Blue Yonder n'empêchera pas l'arrivée de leurs camions ni l'approvisionnement de leurs rayons.

Il n'est pas facile de développer et de maintenir la confiance des clients. Nous devons tous composer avec un panorama de la sécurité et des technologies en mutation rapide. Au-delà de la seule lutte contre les menaces évolutives et soutenues par IA, nous devons également répondre aux vulnérabilités engendrées par la dépendance envers les fournisseurs tiers. Les épisodes d'interruption de l'activité découlant d'attaques ou de défaillances peuvent rapidement saper la confiance de vos clients.

En tant que CSO de Blue Yonder, j'ai travaillé avec mes collègues à la mise en place d'une branche Confiance au sein du schéma organisationnel de notre cybersécurité. Cette branche nous permet de communiquer avec nos clients en toute transparence sur la manière dont nous protégeons leurs données, mais aussi dont nous nous efforçons en continu d'améliorer la fiabilité de nos solutions et de résoudre les éventuels problèmes susceptibles de survenir, le cas échéant. Les bonnes pratiques que nous avons apprises en chemin peuvent aider toutes les entreprises qui souhaitent intégrer la confiance à leur culture et renforcer la confiance de leurs clients.

Renforcer la confiance par le biais de la transparence

La confiance représente plus qu'une vague impression quant à la fiabilité d'une entreprise. Elle se bâtit à l'aide d'une cybersécurité solide et d'une forte transparence. Dès qu'ils commencent à explorer les solutions disponibles sur le marché, vos clients potentiels cherchent à savoir de manière très précise comment leurs données et leurs applications seront protégées. De même, ils souhaitent être informés immédiatement des problèmes lorsque ces derniers surviennent.

Une forte partie de ce sentiment repose sur la confiance. Vos clients investissent dans votre entreprise et souhaitent ainsi être sûrs de faire le bon choix. Si votre entreprise ne fait pas preuve de transparence, votre réputation en pâtira et vos clients trouveront d'autres solutions.

D'après mon expérience, la mise en place d'une branche dédiée à la confiance nécessite une approche globale couvrant les collaborateurs et les processus.

Collaborateurs : réunir une équipe chargée de la confiance

Envisagez de placer l'équipe dédiée à la confiance au sein de la structure chargée de la cybersécurité plutôt que dans le service des ventes, du marketing, de la communication ou de l'expérience client. Cette approche permet ainsi à l'équipe Confiance de rester à proximité des acteurs situés en première ligne pendant les moments de crise. Les membres de l'équipe chargée de la confiance peuvent bénéficier des connaissances et de l'expérience de l'équipe de sécurité. De même, les deux équipes peuvent collaborer de manière efficace lorsqu'un incident se produit.

L'équipe dédiée à la confiance doit également assurer les efforts liés au soutien commercial et à l'engagement client, tout en encourageant la collaboration interne sur l'ensemble de l'entreprise.

Soutien commercial : les membres de l'équipe Confiance doivent aider les équipes chargées des comptes et du support en répondant aux questions importantes posées par vos clients et vos clients potentiels à l'égard de la cybersécurité. Ils peuvent également vous aider à former votre structure en contact avec le client, en veillant à ce que la confiance constitue un élément clé de votre message.

Engagement client : en travaillant directement avec vos clients existants, votre équipe chargée de la confiance pourra gérer les communications proactives et réactives, ainsi que les communications liées aux incidents. Elle pourra également collecter des indicateurs et superviser le reporting, mais aussi aider vos clients à se préparer aux incidents (en procédant à des simulations et en testant les plans de continuité de l'activité, par exemple). Votre équipe Confiance pourra également proposer des ateliers à vos clients afin de leur présenter les bonnes pratiques à suivre, mais aussi d'en apprendre davantage sur leurs besoins.

Partenariats transversaux : la confiance implique une communication d'une voix cohérente, à la fois pendant les opérations normales et en cas d'incident. Votre équipe Confiance pourrait, par exemple, collaborer avec le service marketing afin de produire des ressources bien pensées qui mettent en lumière les politiques de sécurité et les efforts en matière de conformité mis en place par les entreprises. L'équipe pourrait également s'associer au bureau du CSO afin de renforcer la sensibilisation à la sécurité interne. De même, la collaboration étroite avec l'équipe juridique et l'équipe chargée de la communication permet à l'entreprise de proposer une réponse appropriée en cas de violation de données ou de défaillance des services.

Processus : définir des procédures et des politiques

Outre la constitution d'une équipe, la mise en place de politiques et de processus adéquats s'avère essentielle pour répondre aux crises immédiates et renforcer les relations clients à long terme. Vos clients doivent au minimum savoir de quelle manière et à quel moment ils recevront des notifications.

Assurez un processus rapide de réponse aux incidents : toutes les entreprises feront l'objet d'attaques et de défaillances, même les mieux protégées. Vos clients souhaitent que vous puissiez rapidement bloquer l'attaque ou redémarrer vos services lorsqu'un problème de ce genre survient. Point tout aussi important, ils souhaitent également que vous communiquiez avec eux de manière rapide et transparente. Par le passé, les entreprises informaient leurs clients des incidents graves plusieurs semaines ou plusieurs jours après l'événement. Les clients s'attendent désormais à être notifiés en quelques heures.

Communiquez avec empathie : faites preuve d'empathie lorsque vous communiquez avec vos clients (que ce soit pendant un incident ou lors d'une réunion mensuelle avec un RSSI). N'oubliez pas que vous êtes ensemble face à cet événement : leurs problématiques sont les vôtres. Le fait de rencontrer vos clients en personne ou en vidéo peut vous aider à mettre en place les relations humaines nécessaires au renforcement de la confiance.

Favorisez l'échange d'informations : n'attendez pas qu'un incident se produise pour échanger des informations. Vous pouvez, par exemple, mettre en place un site web interne afin de communiquer à vos collaborateurs les informations sur la cybersécurité dont ils ont besoin lorsqu'ils interagissent avec des clients. Sur le plan externe, vous pouvez également participer à des conseils de RSSI et produire des contenus impactants (de type « thought leadership ») afin de partager des informations avec vos homologues. Cette transparence vous permettra d'améliorer votre sécurité au fil du temps. Elle s'imposera également comme un signal montrant à vos clients que vous prenez la confiance au sérieux.

Recentrez-vous sur la disponibilité : la plupart des responsables de la sécurité connaissent probablement le modèle de la « triade CIA » (Confidentiality, Integrity, Availability), qui tourne autour des notions de confidentialité, d'intégrité et de disponibilité. Pendant trop longtemps, la disponibilité a été négligée. Les entreprises n'ont pas fait assez d'efforts pour assurer la disponibilité et la résilience de vos applications et de vos services en continu. Nous constatons toutefois un plus grand nombre de défaillances aujourd'hui, à une époque où les entreprises et les particuliers font de plus en plus appel aux services et aux logiciels basés sur le cloud. Les équipes chargées de la cybersécurité doivent envisager la création d'un poste de direction de la disponibilité ou repenser la manière dont la disponibilité et les fonctions de cybersécurité traditionnelles agissent de concert.

Sélectionner des partenaires et des fournisseurs fiables

L'établissement de la confiance est un effort collectif. Chez Blue Yonder, la confiance constitue un facteur essentiel lors de la sélection des fournisseurs et de la mise en place de partenariats. Vos fournisseurs et vos partenaires doivent vous communiquer des informations sur leurs modèles de menaces et leurs stratégies de sécurité. Bien entendu, ils doivent également proposer les technologies et les services dont vous avez besoin pour assurer la sécurité de votre entreprise (et de vos clients).

Nous travaillons, en partie, avec Cloudflare parce qu'il s'agit d'une entreprise reconnue comme un leader du marché en termes de confiance et de transparence. Nous apprécions le fait qu'en plus de proposer un vaste catalogue de services de cybersécurité, Cloudflare communique ouvertement des informations concernant les tendances en matière de menaces, les incidents et les plans d'amélioration de la résilience.

Faire de la confiance un facteur de différenciation

La confiance n'est pas un « atout », c'est un élément essentiel de n'importe quel marché compétitif. Vous disposez peut-être d'un excellent produit, mais si vos clients ne vous font pas confiance pour gérer leurs données et leurs opérations, ils iront voir ailleurs. En réciproque, le fait d'investir du temps et des ressources dans la mise en place d'une équipe consacrée à la confiance peut créer un facteur de différenciation majeur sur le plan concurrentiel. S'ils ont le choix entre deux fournisseurs aux offres similaires, les clients choisiront celui avec lequel ils savent qu'il assurera la protection de leurs données et le bon fonctionnement de leurs applications.

Il ne fait aucun doute que la mise en place d'une équipe interne dédiée à la confiance chez Blue Yonder et les efforts continus pour partager des informations sur la cybersécurité ont renforcé la manière dont nous nous présentons à nos clients.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Approfondir le sujet

Vous trouverez davantage d'informations sur la manière d'établir et de préserver la confiance en atténuant les risques et en améliorant l'efficacité dans notre guide exécutif intitulé Posture unifiée en matière de risques — Guide du RSSI : réduire les risques et la complexité.

Auteur

Erika Voss — @evciso
Chief Security Officer, Blue Yonder

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

• La manière dont la transparence favorise la fidélisation durable des clients

• Les collaborateurs et les processus essentiels à l'établissement de la confiance

• Les trois piliers d'une équipe dédiée à la confiance au sein de votre structure chargée de la sécurité

Ressources associées

• Posture unifiée en matière de risques — Guide du RSSI : réduire les risques et la complexité

• Cinq façons de constituer une équipe de cybersécurité performante

• Le centre de confiance de Cloudflare