Stratégie

Confiance numérique : comment les RSSI contribuent au business

La confiance est une base de la relation entre un client et son fournisseur mais elle exige la sécurité des données confiées par l’un à l’autre.

Les responsables de la sécurité doivent jouer un rôle clé dans l'établissement de relations de confiance avec les clients, ce qui se traduit par une meilleure acquisition de la clientèle, une plus grande fidélité de celle-ci et un chiffre d'affaires plus important.

PublicitéLa confiance numérique est la capacité d'une entreprise à protéger et à sécuriser les données et la vie privée des individus, permettant ainsi aux consommateurs, aux partenaires et aux collaborateurs d'accorder leur confiance. Au fur et à mesure que les atteintes aux données personnelles deviennent plus importantes et plus nombreuses, la confiance numérique peut constituer une valeur différenciatrice pour les entreprises qui en bénéficient. De ce fait, le concept de confiance numérique amène les directions d'entreprise à changer la façon dont elles considèrent la sécurité.

La sécurité a traditionnellement été considérée comme un centre de coûts. Ces dernières années, cependant, les entreprises ont pris conscience que la sécurité est un facteur qui peut favoriser la création de nouveaux services et fidéliser la clientèle. Une étude publiée par CA Technologies et réalisée par Frost & Sullivan, confirme cette tendance. L'enquête et l'indice 2018 sur l'état mondial de la confiance numérique en ligne montrent que le fait de prendre au sérieux la sécurité et la confidentialité peut avoir un impact financier positif au-delà de la prévention des ruptures coûteuses.

Les consommateurs ayant une confiance numérique élevée dépensent plus en ligne

« La confiance est l'une des caractéristiques de l'ensemble de l'entreprise », déclare Stephen Walsh, directeur de la sécurité pour l'Europe du Nord de CA Technologies. « C'est le fondement des affaires et, sans elles, les organisations vont avoir du mal à conserver leurs clients existants, à acquérir de nouveaux clients ou à pénétrer de nouveaux marchés. »

Quel est le rôle du RSSI dans la création de la confiance et comment établissez-vous la confiance avec votre organisation ? Le rapport publié par CA Technologies fournit des informations permettant de répondre à cette question. Il est basé sur une enquête auprès de consommateurs, de professionnels de la sécurité et de dirigeants d'entreprise pour établir un indice de confiance numérique pour chaque groupe.

Sur une échelle de 1 à 100, les consommateurs ont noté leur niveau de confiance à 61, une « note à peine passable » selon l'étude. Les professionnels de la sécurité et les dirigeants d'entreprises avaient des indices significativement plus élevés de 75 et 74 respectivement. Plus important encore, l'enquête a montré que les consommateurs ayant un niveau élevé de confiance numérique dépensent plus, avec une augmentation de 57% des dépenses en ligne au cours des 12 derniers mois contre 43% pour les consommateurs à faible confiance.

Davantage de consommateurs préfèrent la sécurité à la commodité

Selon le rapport de CA Technologies, 27% des dirigeants d'entreprises considèrent les initiatives en matière de sécurité comme ayant un retour sur investissement négatif. La plupart des clients du rapport (86%) ont toutefois indiqué qu'ils préféreraient la sécurité plutôt que la commodité, et plus ils accordaient de confiance à une entreprise, plus ils seraient disposés à dépenser de l'argent auprès de cette organisation.

Publicité78 % des personnes interrogées dans le rapport ont répondu qu'il était très important ou crucial que leurs informations d'identification personnelle soient protégées en ligne. Lors du choix d'un service en ligne, 86% ont indiqué qu'un niveau élevé de protection des données personnelles était une priorité. Les résultats montrent clairement une prise de conscience croissante du fait que les données numériques sont importantes et que la capacité perçue d'une organisation à les protéger de manière responsable a un impact direct sur les ventes, la fidélisation et l'acquisition des clients.

« Beaucoup de personnes dans le passé ont considéré la sécurité comme une corvée devant être réalisée, quelque chose que vous devez assurer », explique Stephen Walsh. « Plus les comités exécutifs considèrent la sécurité comme un catalyseur et comme un moyen d'acquérir de nouveaux clients et de nouvelles affaires, mieux nous irons. »

Le fossé de la confiance numérique : le leadership d'entreprise «déconnecté» des clients

Même si les entreprises comprennent la valeur de la confiance, beaucoup se contentent de surestimer leur propre image auprès de leurs clients et de se comparer à la concurrence. Le rapport indiquait un écart moyen de 14 points entre le niveau de confiance des clients quant à savoir si les organisations traitent les données personnelles de manière appropriée par rapport au niveau de confiance affiché par les entreprises. Le rapport affirme que cela illustre à quel point les organisations sont « dangereusement déconnectées » avec leurs clients.

Seulement un tiers des clients ont déclaré que leur confiance dans les organisations avait augmenté au cours des deux dernières années, contre 84% des chefs d'entreprise estimant que la confiance avait augmenté. 90 % de ces chefs d'entreprise affirment qu'ils sont très bons ou excellents pour protéger les données des clients, et 93% déclarent qu'il s'agit d'un facteur de différenciation par rapport à la concurrence.

Compte tenu du nombre d'organismes ayant admis une violation de données dans l'étude, cela n'est visiblement pas le cas. « Penser que vous êtes formidable et avoir ce faux sentiment de sécurité est extrêmement dangereux pour une organisation, » avertit Stephen Walsh. « C'est un piège dangereux dans lequel il ne faut pas tomber. La sécurité n'est pas seulement un exercice de cases à cocher. Le paysage des menaces en constante évolution nous montre que le fait que vous soyez en sécurité cette année ne signifie pas que quelque chose va se passer l'année prochaine. »

Le coût de la perte de confiance

De même, le coût de la perte de confiance peut être élevé. La moitié des entreprises interrogées dans le rapport ont admis avoir subi une violation de données révélée publiquement et presque toutes ont constaté que la dite violation avait eu un impact négatif à long terme sur leurs chiffres d'affaires et sur la confiance des consommateurs. Du côté des clients, la moitié a déclaré qu'ils avaient cessé d'utiliser les services d'une société impliquée dans une telle violation et qu'ils avaient plutôt préféré avoir ensuite recours à un concurrent.

« Si les clients voient des organisations n'assurant pas la sécurité des données personnelles, ils vont voter avec leurs portefeuilles et aller ailleurs, dans des entreprises ayant le sens de la sécurité et du développement de la confiance numérique », explique Stephen Walsh. « Hésiter à adopter une démarche de confiance numérique implique que vous avez probablement perdu le client parce qu'il ira ailleurs. Si les clients ont l'impression que vous faites de votre mieux pour préserver leurs données, leurs actifs, leur argent, quel qu'il soit, de manière sécurisée, vous gagnez en confiance. Le revers de la médaille est que parfois, une seule violation ou un problème de sécurité ne peut que faire perdre à votre clientèle la confiance que vous avez accumulée depuis plusieurs années. »

Le rôle du RSSI dans la construction de la confiance

Apparemment, la confiance peut sembler être un problème de sécurité et relève donc entièrement de la responsabilité des RSSI. La réalité est plus nuancée. Bâtir la confiance ne consiste pas seulement à prendre les bonnes décisions en matière de sécurité; il s'agit aussi de communiquer ces décisions aux clients afin qu'ils puissent voir et comprendre comment vous protégez leurs données.

« Tous les membres du comité exécutif, même les directeurs du marketing ou des finances, devraient se sentir concernés et responsables de la sécurité et du lien de confiance entre l'entreprise et sa clientèle », juge Stephen Walsh. Au lieu d'être une réflexion après coup, plaide-t-il, la sécurité et la confiance devraient plutôt être en amont de l'acquisition et de la fidélisation de la clientèle. On commence déjà à voir des programmes de sécurité réalisés et financés en dehors de l'autorité du RSSI.

« Certaines de ces questions concernent la perception et l'attrait ressenti par les clients. Dans certaines organisations, le marketing ou la volonté d'acquisition de clients ont contribué à améliorer la sécurité, la communication à ce sujet et la capacité des clients à respecter les méthodes sécurisées » explique Stephen Walsh. « Est-ce au CSO à mettre en oeuvre tout cela ? Ils sont sans doute les meilleurs pour mettre en oeuvre, mais en termes de vision holistique plus large, ils devraient être responsables à tous les niveaux. »

Bien que la direction générale doive diriger, le RSSI doit être directement impliquée dans les initiatives de renforcement de la confiance et en communication constante avec d'autres fonctions pour s'assurer que la société fonctionne de manière cohérente et avec une bonne communication interne.

Comment établir la confiance avec les clients

Construire la confiance n'est pas une tâche simple. En plus des tâches de sécurité habituelles liées à la mise en oeuvre des technologies et des processus appropriés pour assurer une bonne posture de sécurité, les entreprises doivent communiquer. « Une partie de cela concerne la communication, mais encore une fois, si vous limitez cette confiance à votre communication et que vous ne l'assurez pas effectivement, cette confiance va s'évaporer », avertit Stephen Walsh.

Pour aider à instaurer la confiance, les entreprises doivent être transparentes, notamment avec leurs clients. Ils doivent expliquer clairement ce qu'ils font avec les données et pourquoi, indiquer quelles données sont collectées et à quoi elles serviront, et expliquer quelles étapes et processus de sécurité sont en place pour garantir leur sécurité.

Par exemple, l'utilisation de l'authentification multifactorielle (MFA) est une bonne pratique de sécurité, mais la communication des raisons pour lesquelles un client est invité à fournir une authentification supplémentaire lors d'une transaction ou d'un processus permet de renforcer cette confiance. « Il est important qu'une entreprise explique à ses clients pourquoi ils mettent des couches de sécurité supplémentaires ; il s'agit de dire 'nous faisons cela parce que...' et non pas juste 'Nous faisons cela'. »

Le Règlement Général de l'Union Européenne sur la Protection des Données (RGPD) est entré en vigueur en mai 2018. De nombreuses études montrent que les entreprises, tant à l'intérieur qu'à l'extérieur de l'UE, doivent encore mettre en oeuvre la conformité. Cependant, pris au sérieux, le GDPR (ou RGPD) est une opportunité de créer un climat de confiance avec les clients et de faire de la sécurité et de la confidentialité un problème majeur au sommet de la hiérarchie.

« GDPR est une opportunité certaine pour les organisations. Les entreprises qui prennent la sécurité au sérieux seront les entreprises qui construiront la confiance des consommateurs ou des entreprises B2B et qui vont réellement de l'avant », plaide Stephen Walsh. « A l'inverse, quand les entreprises choisissent la facilité, et s'ils savent que tout ce que vous faites est de considérer le GDPR comme une case à cocher, un exercice, vous êtes peut-être plus vulnérable que d'autres personnes qui prennent cela au sérieux."

Dan Swinhoe / CSO - IDG News Service (Adapté et traduit par Bertrand Lemaire)