[Tribune] Sécurité et data client : des enjeux au coeur du business

Je suis convaincu que les enjeux majeurs pour les marques en 2022 seront l'éco-responsabilité et la sécurisation des écosystèmes digitaux de nos clients. La pandémie a fortement accéléré la digitalisation de nos clients qui sont aujourd'hui plus que jamais dépendants de leur stratégie digitale. La protection des données et la notion de disponibilité de service sont des enjeux pour les marques. Pour mémoire, l'e-commerce a augmenté de 42 % de 2019 à 2021 (1) et cela n'intègre pas la part de consommateurs qui font leur choix sur un site avant de se déplacer en point de vente 94 % des acheteurs aiment se renseigner sur internet avant d'acheter (2) et plus de 30 % des internautes aimeraient pouvoir échanger en visio avec un vendeur avant de se déplacer en boutique (3). Or, nous savons tous que le travail de drive to store et de fidélisation repose sur la collecte et le traitement de données...

La crise sanitaire de la Covid-19 a accéléré la digitalisation des marques... et le nombre de fraudes. L'explosion des fraudes durant la COVID (+400 %) (4), notamment du fait du télétravail qui a multiplié les accès à distance aux réseaux d'entreprises et le nouveau contexte international avec le conflit en Ukraine, fait que le risque de cyberattaque est plus présent que jamais.

Une attaque par ransomware peut paralyser l'intégralité des systèmes informatiques d'une société. Pour certaines d'entre elles, la casse se limite à l'outil de production, mais les conséquences peuvent être plus importantes si l'on touche au secteur de la santé (mutuelle), des assurances ou bancaire. Que se passerait-il si vos données confidentielles de santé ou financières étaient du jour au lendemain inaccessibles ou au contraire publiées ? Si votre compteur électrique était mis hors service ? Si l'intégralité de votre catalogue produits ou vos services n'était plus accessible.

La cybersécurité est un choix d'autant plus important que les consommateurs ont pris conscience de l'importance de leurs données et se méfient : 56 % des Français ne font pas confiance aux marques quant à l'utilisation de leurs données et 93 % affirment être vigilants avec leurs enfants pour qu'ils ne partagent pas leurs données sur internet (5), la protection de la vie privée des clients est identifiée comme l'une des tendances majeure de l'année 2022 par Google : 73 % (des internautes) déclarent utiliser des services garantissant une protection élevée de leurs données personnelles (6).

Pour être complète, l'expérience doit donc s'affirmer comme sécurisée, d'autant que dans le cas d'une fuite de données avérée, la marque a l'obligation de communiquer auprès des internautes concernés, ce qui est catastrophique en termes d'image. Les marques doivent placer la sécurité au coeur de l'expérience client et ne pas hésiter à le faire savoir. Apple l'a compris dès 2016 en mettant en scène l'inviolabilité de son écosystème digital face au FBI et en a fait depuis un argument marketing majeur en proposant sans cesse de nouvelles fonctionnalités de protection des utilisateurs et en affirmant sur son site permettre à ses clients de “garder le contrôle de leurs données”. La marque se présente aujourd'hui comme “le” leader de la protection des données clients (7) : un bel exemple d'utilisation de la sécurité comme argument marketing.

Les problématiques évoquées ici dépassent les sujets de captation ou de gestion/création de sites internet pour évoluer vers la sécurisation de la gestion d'écosystèmes digitaux complets : sites internet, extranets (connexion à des plateformes de vente et/ou de partenaires...), intranets, espaces clients. Et elles supposent une vision globale et nécessairement technique. Quelques fondamentaux pour asseoir la sécurité d'un écosystème digital : Code de qualité, TMA régulière, stratégies serveurs & backup, tests d'intrusion. La qualité du code comme choix de départ : Privilégier une technologie robuste, à l'échelle de ses enjeux. Plus de 56 % des sites Wordpress ne sont pas à jour en termes de sécurité, et les failles de sécurité des CMS doivent être maintenues en permanence. Il suffit de travailler sur un site Wordpress pour constater l'activité permanente des robots configurés pour hacker les sites, les attaques passant même par de faux correctifs de sécurité disponibles en ligne !

La sécurisation des serveurs et leur administration en temps réel : des serveurs dédiés avec une gestion effectuée par un administrateur système permettent de s'assurer que l'architecture montre une bonne robustesse (connexion au serveur limitée à certaines IP, mise en place de firewall, protection contre les attaques DDOS ou autre, etc.). La protection et la sauvegarde des données. Les données (utilisateurs, mais aussi les données des biens et produits de nos clients par exemple) sont la vraie valeur du web, c'est pour cela qu'il est important de mettre en place une politique de sauvegarde pertinente avec redondance de l'infrastructure, sauvegarde délocalisée géographiquement et chez des prestataires différents (OVH et AWS par exemple), le tout en France pour des raisons évidentes de respect du RGPD et d'éco responsabilité. Il ne faut pas hésiter à effectuer des sauvegardes physiques des données les plus sensibles, pour limiter l'impact d'une coupure d'internet. (tout peut arriver).

Ce point n'empêchera pas une attaque de se produire, mais permet d'être sûr que si un souci arrive, les données ne seront pas perdues et pourront être rétablies en quelques heures... N'oublions pas qu'après l'incendie des serveurs OVH de Strasbourg, de nombreuses sociétés (et pas seulement des petites PME) ont perdu toutes leurs données - certaines ont même entamé une procédure judiciaire commune de type « class action » contre OVH... L'aspect maintenance, c'est la suite des points précédents. Même si les bons choix sont faits au départ, on le sait, de nouvelles failles sont découvertes tous les jours et un écosystème, même très bien conçu, s'il n'est pas maintenu et mis à jour régulièrement, se trouvera rapidement vulnérable.

Les tests d'intrusion : C'est à ce niveau qu'un test d'intrusion joue son rôle afin de s'assurer que tout est bien en place. Nous proposons régulièrement à nos clients de pratiquer des tests d'intrusion menés par des prestataires et indépendants. Mais nous sommes surpris de constater que la majorité des appels d'offres ne mentionnent pas de prérequis en la matière. Et pourtant, les fuites de données concernent de nombreuses sociétés : 3 920 fuites de données ont été identifiées en 2020, dont certaines concernant des groupes mondiaux, a priori fortement protégés : 280 millions d'enregistrements de clients Microsoft ont été laissés sans protection sur le Web (janv 2020), 10,6 millions de clients des hôtels MGM Resorts ont vu leurs informations personnelles publiées sur un forum de piratage (fev 2020), 235 millions de profils d'utilisateurs Instagram, TikTok et YouTube ont été exposés en ligne (août 2020), propriété du courtier en données de médias sociaux Deep Social, dont les activités ont cessé récemment un nombre non divulgué d'utilisateurs Spotify ont vu leurs mots de passe réinitialisés après qu'une vulnérabilité logicielle ait exposé leurs informations de compte (8). Les marques sont aujourd'hui responsables de la data de leurs clients qu'elles stockent, gèrent et protègent, elles ont donc un devoir de cybersécurité. Mais qu'en sera-t-il demain ?

Demain, les NFT au coeur de la sécurisation de la data client ?

Moins de 10 % des Français ont aujourd'hui la capacité d'acheter des NFT puisqu'il faut pouvoir payer en cryptomonnaie, mais demain ? Chaque utilisateur qui fera le choix d'un NFT personnel pour stocker ses données - historique d'achat, moyens de paiement, etc - aura une relation complètement différente avec les sites sur lesquels il achètera. Selon Gabriel Manou-Mani, fondateur de Panda Dynasty, “Grâce à la blockchain, plutôt que de s'enregistrer sur ces sites avec un identifiant et un mot de passe, les internautes s'enregistreront en connectant leur propre wallet, ce qui leur permettra de relier leurs actions à leurs tickets de propriété. Ils pourront alors [...] avoir la mainmise sur leurs données. Dès lors qu'on quittera un site, on pourra repartir avec toutes ses données “ (9).

Et ce sera aussi une révolution en termes de sécurisation de la data clients : si je pirate un site avec 20 millions d'utilisateurs et que j'en récupère le fichier, je peux le monnayer et potentiellement détruire l'image de la marque. Si je pirate un site avec 20 millions de clients enregistrés grâce à des NFT je devrais ensuite essayer de hacker 20 millions de mots de passe pour prendre le contrôle de chaque donnée client. Un changement complet de paradigme, y compris d'ailleurs pour la fidélisation client. À méditer.

(1) Source FEVAD

(2) Source Think with Google

(3) Observatoire AACC customer marketing / Opinion Way - 2021

(4) Source blog cybersécurité VARONIS - mai 2021

(5) Observatoire AACC customer marketing / Opinion Way - 2021

(6) Think with Google - tendances 2022.

(7) Newsroom Apple 2021.

(8) Source IdentityForce

(9) Entreprendre - Protéger ses données personnelles grâce aux NFT Bernard Chaussegros - Janvier 2022

À propos de l'auteur

Philippe Charreire est président de l'agence Oswald Orb, agence Customer Marketing indépendante implantée à Paris et à Lisbonne, membre de l'AACC. Il dirige également deux sociétés spécialisées en solutions SAAS pour la génération de sites e-commerce (Elixir) et de mini-sites géolocalisés pour l'immobilier ancien (Billie.immo).