Chapitre 02
Une connexion sécurisée
Le secteur du BPO a connu une transformation majeure ces dernières années, évoluant de la simple gestion des centres de contact traditionnels vers la prestation d'une expérience client complète et intégrée. Ce changement exige une approche tout aussi évoluée de la protection des informations et des systèmes.
Même avec les bonnes références et la bonne évaluation de la sécurité, une organisation doit encore apporter la preuve de la sécurité dès la conception : ses collaborateurs, ses processus et ses choix d’outils et de technologies doivent fonctionner ensemble pour accroître de manière proactive la protection, éliminer les risques inhérents et réduire au maximum les risques résiduels.
Qu’est-ce que la sécurité dès la conception ?
Un partenaire engagé dans la sécurité dès la conception prend des décisions stratégiques pour maintenir et réduire son niveau de risque, tout en renforçant sa position en matière de sécurité. Il s’assure de pouvoir fournir tous les services et solutions d'expérience client nécessaires, sur tous les territoires, sans compromettre la sécurité des systèmes et des informations.
Ce niveau de prestation n’est possible que lorsque la sécurité est intégrée dès la création et le développement des processus, systèmes, outils ou applications, ainsi que dans l’approche globale de l’organisation pour les exploiter. Si la sécurité et la gestion des risques ne sont pas au cœur des activités, il est impossible de construire et de maintenir une stratégie de sécurité solide et cohérente.
Si la sécurité et la gestion des risques ne sont pas au cœur des activités, il est impossible de construire et de maintenir une stratégie de sécurité solide et cohérente.
Les organisations qui adoptent cette approche considèrent la sécurité comme un élément essentiel de chaque nouveau contrat commercial. Elles doivent identifier activement les faiblesses et les vulnérabilités existantes ou potentielles tout au long du cycle de vie d'une relation d'affaires, et collaborer avec leurs partenaires pour mettre en place des contrôles et des mesures de sécurité visant à réduire ces risques.
Portée et ressources
Cette méthode inclut le choix du matériel et des logiciels, l'élaboration de plans d'intervention en cas d'incident, ainsi que les actions pour protéger et isoler un réseau ou contrôler l'accès et authentifier les utilisateurs. Cependant, l'un des signes les plus évidents d'une sécurité prioritaire se trouve dans les ressources humaines.
Bien que la sécurité de l'information ait historiquement émergé du secteur informatique, il est désormais clair qu'elle ne se limite pas à l'informatique et que la protection ne peut pas reposer uniquement sur des solutions digitales. La cybersécurité englobe la gestion des collaborateurs, des processus et de la technologie. Les responsables de la sécurité doivent avoir un accès direct aux propriétaires des risques, quel que soit leur poste, et disposer de l'autorité nécessaire pour agir. Ils doivent pouvoir travailler indépendamment, sans conflits d'intérêts, pour le bien de l'entreprise, et être reconnus pour mener des initiatives de changement à l'échelle de l'organisation.
Ainsi, pour répondre aux attentes des clients tout en respectant les cadres de sécurité en vigueur, un partenaire potentiel doit disposer d'une organisation de sécurité dédiée, distincte du service informatique mais qui lui soit complémentaire.
De plus, cette organisation doit démontrer une expertise certifiée en matière de sécurité, couvrant l'assurance, les opérations, l'ingénierie et la gestion de la sécurité de l'information, tant au niveau local que mondial.
Une organisation dotée de telles ressources en sécurité doit garantir qu'un expert en sécurité de l'information soit accessible dès la première demande et tout au long du partenariat. Cela permet d'offrir un soutien supplémentaire, de faciliter la communication et d'accélérer des processus comme l'audit des contrats, la gestion des changements et l'initiation de toute action requise au fur et à mesure de l'évolution de la relation commerciale.
Renseignements sur les cybermenaces
Il est courant de confondre cyberrisques et cybermenaces. Un risque de sécurité peut être mesuré en fonction de sa probabilité et de son impact potentiel, ce qui permet d'élaborer un plan d'action clair avec des investissements et des ressources adéquates. En revanche, une menace représente un événement potentiel pouvant affecter négativement la sécurité de l'information ou des systèmes. Tant qu'elle n'est pas identifiée et évaluée, elle ne peut faire l'objet d'une action.
Une bonne pratique consiste à mettre en place une équipe de renseignement sur les cybermenaces, chargée d'analyser, d'identifier et de contextualiser les menaces digitales. Cela inclut la surveillance du dark web, l'identification des acteurs potentiels de menace, l'analyse des données des violations passées et le suivi des tendances concernant les outils et techniques utilisés pour attaquer ou compromettre les systèmes.
Les équipes de renseignement sur les cybermenaces ont pour rôle d’identifier et d’évaluer les menaces pour les transformer en risques concrets. Cela permet aux entreprises de passer d'une approche réactive à proactive en matière de sécurité et d'avoir une vision plus précise des menaces digitales. En effet, ces équipes partagent souvent leurs informations et analyses avec d’autres départements de l’entreprise et même au-delà. Dans un environnement interconnecté, les risques sont accrus, ce qui nécessite une coopération renforcée et un partage d'informations efficace.
Réagir de manière appropriée
Cependant, certaines menaces peuvent être complexes, telles que les ransomwares, un collaborateur malveillant, un crime organisé, le spear phishing, un appareil volé, une vulnérabilité « zero-day », ou encore un bouleversement géopolitique ou météorologique dans une zone précise. Ces menaces peuvent agir plus vite qu’elles ne peuvent être détectées ou atténuées. C’est pourquoi il est essentiel que toute stratégie de sécurité adopte une approche basée sur l’idée de « quand, pas si », et soit préparée à réagir en cas d'attaque.
Cela implique la mise en place de plans d'action clairs, bien définis, documentés et régulièrement testés, pour faire face à toute cyberattaque, quel que soit le type de technologie utilisée ou le secteur d’activité. Les plans doivent également décrire les actions spécifiques à prendre par chaque service ou individu, en fonction du type de problème et de la réponse à apporter.
Si le partenaire possède une portée internationale, il doit démontrer qu’il a mis en place des systèmes pour gérer les problèmes locaux, comme un accès 24/7 à des responsables d'incidents de sécurité dans différentes régions, ainsi qu’un support multilingue.
Enfin, il est essentiel de s’assurer que les plans d'intervention sont des documents vivants, qui s’adaptent aux évolutions des risques. Ils doivent intégrer de nouvelles mesures, basées sur les leçons tirées d’incidents vécus ou observés dans d’autres entreprises.
Plan d'actions
Vérifier l'engagement du partenaire BPO en matière de sécurité dès la phase de conception.
S'assurer de l'existence d'une fonction de sécurité globale, distincte de la direction informatique et complémentaire à celle-ci.
Rechercher des professionnels certifiés en sécurité dans les domaines de l'assurance, des opérations, de l'ingénierie et de la sécurité de l'information.
Vérifier la présence d'une équipe interne dédiée à la veille sur les cybermenaces.
Garantir l'accès 24h/24 et 7j/7 à une équipe multilingue d'intervention en cas d'incident pour les collaborateurs locaux.
Demander des preuves des actions correctives et des leçons tirées des incidents de sécurité passés dans leur secteur ou au sein de leur réseau de partenaires.