>> Cet article est extrait du carnet à télécharger : Réconcilier cybersécurité et expérience client : Les recettes de ces entreprises qui préparent l’avenir
Au sein d’Allianz, Anne-Sophie Grouchka dirige l’unité « transformation, opérations et résilience ». Membre du comité exécutif et Chief Operating Officer de l’assureur, elle a également été à la tête de son service client. Elle détaille sa vision de l’importance actuelle du lien entre cybersécurité et expérience client dans son secteur.
Quels liens existent entre le sujet de l’expérience client et vos responsabilités en matière de transformation et de résilience ?
Anne-Sophie Grouchka. Mon unité est en charge de l’informatique, de la sécurité, des habilitations, du secrétariat général… C’est à la fois ce qui assure le mouvement de l’entreprise et sa stabilité. Nous devons accompagner une transformation globale et nous assurer qu’elle génère de la performance à l’échelle. En parallèle, nous devons préserver notre résilience opérationnelle et celle-ci passe à la fois par les sujets de conformité, de gouvernance, de liens avec nos partenaires… mais aussi par un focus sur la sécurité informatique.
A lire aussi : Chez SNCF Connect & Tech, les directeurs UX et technologies parlent de la sécurité d’une seule voix
Quand j’étais en charge de la direction du service client par le passé, j’ai pu constater qu’il était possible de bien travailler avec des acteurs en charge de la sécurité pour que la transformation dont nous parlons soit bien mise au service de l’expérience de nos clients. Quand on s’en donne les moyens, les sujets de résilience et d’expérience ne s’opposent pas, bien au contraire. Chaque projet, chaque livraison, contributions : des outils de « voix du client » sont utilisés massivement, pour rendre les clients acteurs dans le design de leur parcours, mais aussi pour permettre d’intégrer la sécurité de la meilleure façon dans l’équation.
En tant qu’assureur, estimez-vous avoir une responsabilité différente des autres entreprises en la matière ?
A.G. Par nature, nous avons en tant qu’assureur un rôle sociétal assez particulier à jouer. Nous intervenons toujours dans des moments critiques de la vie des gens. Cela peut être un simple pneu crevé, qui est déjà un facteur important de stress, ou un accident de vie beaucoup plus dramatique. L’entrée en relation est donc très particulière, de même que l’impératif de confiance. De plus, en tant que première marque mondiale d’assurances, nous avons une empreinte systémique et une influence sur la vie de nos sociétés.
Dans ce cadre, l’expérience client proposée par un assureur a beaucoup de particularités. Et, dans notre cas, nous voulons qu’elle reflète aussi notre raison d’être : « We secure your future ». La spécificité la plus nette denotre secteur est sans doute d’avoir un rythme d’interactions plus faible, mais des moments structurellement plus chargés d’émotion. Or, l’assurance est une « matière première » assez froide et administrative. Alors comment réconcilier cela pour que l’expérience ne soit pas désagréable pour le client ? L’autre particularité est que nous évoluons dans un champ de contraintes réglementaires plus fort, que ce soit en matière de RGPD ou même de devoir de conseil, qui encadrent fortement l’expérience.
Pour vous, quelle est la grande tendance d’expérience client à laquelle votre secteur fait face ces dernières années ?
A.G. Sans doute la demande de plus en plus importante d’autonomie et d’empowerment par le « self care » client… Mais celle-ci s’accompagne d’une forte attente d’accompagnement aux moments clés. Il faut donc savoir exactement quand être présent et pourquoi.
Vous citiez l’importance de la cybersécurité dans une optique de résilience : quelle place prennent ces questions au quotidien par rapport à l’expérience client ?
A.G. Le fait est que l’assuré est en demande d’une protection supplémentaire à celle qui peut être attendue dans une relation client classique. Nous avons le devoir de fournir une sécurité totale des transactions, d’autant plus car elles concernent des moments de fragilité dans sa vie. L’expérience client, c’est avant tout se sentir en confiance, donc il faut des règles du jeu stables et cela passe par un rappel régulier des règles de vigilance, des pratiques de sécurité… L’autre fait qu’il faut souligner, c’est que nous devenons de plus en plus un acteur technologique : la prise de conscience sur le sujet de la cybersécurité croît à tous les niveaux au sein de notre organisation, avec cette place plus importante laissée à la technologie. Chez Allianz France, on a donc créé des boucles vertueuses entre mes équipes qui s’occupent de la sécurité numérique et celles en charge des produits et des parcours. La clé est d’intégrer la sécurité dès la conception – du back-office au front-office – pour ne pas impacter les parcours, en respectant une règle de proportionnalité. Un exemple : pour beaucoup de sujets sensibles, nous utilisons la double authentification afin de protéger les transactions, mais pour une simple consultation de contrat, une identification en « face ID » est suffisante. Le processus de sécurisation doit rester proportionnel aux enjeux, pour ne pas être perçu comme excessif et devenir une contrainte.
Comment vous assurez-vous que cette contrainte de sécurité est bien au niveau adapté ?
A.G. Le plus important est d’avoir une perception partagée à tous les niveaux au sein de l’entreprise. Concernant l’expérience client, on a avancé simultanément sur beaucoup de piliers complémentaires pour consolider une « culture chapeau » du client en interne, qui concernent tous les métiers. Il faut le même parti pris sur la cybersécurité : formation des collaborateurs, plusieurs exercices de crise cyber par an, d’autres exercices réguliers au niveau Comex. Le lien entre expérience client et cybersécurité doit devenir une culture d’entreprise. Cette préoccupation, qui n’est pas nouvelle, a pris un essor considérable depuis le confinement. Il n’est plus possible d’attendre qu’il y ait une crise ou que nos concurrents aient des problèmes pour réagir, ça n’a pas de sens. Nous souhaitons rendre nos collaborateurs acteurs pour répondre à cette préoccupation.
Quels choix organisationnels et de gouvernance avez-vous faits dans ce cadre ?
A.G. Je vois deux points saillants : d’abord, avoir regroupé au sein d’une même direction les sujets d’opérations, d’informatique, de sécurité… Bref, tous les aspects qui constituent la cellule de protection et de résilience, pour créer des synergies au niveau de la gouvernance. Ensuite, nous avons choisi d’avoir deux fonctions distinctes entre la DSI et la sécurité informatique, cette dernière étant dirigée par un responsable dédié au sein du secrétariat général. Cela assure une forme de neutralité sur les questions budgétaires, d’objectifs, d’intérêts… C’est aussi un moyen de garantir le rayonnement de la fonction et de son influence auprès de tous les métiers.
Qu’en est-il des prérequis technologiques ?
A.G. Il y a évidemment une part technique importante à prendre en considération en matière de cybersécurité, au-delà des seuls usages des clients et des collaborateurs. Sans rentrer dans les détails, je pense que le système d’information et les outils utilisés doivent répondre à plusieurs impératifs globaux. Ceux-ci sont notamment la disponibilité, la confidentialité, l’intégrité et la traçabilité (selon les critères DICT/DICP, NDLR). Ces impératifs doivent être respectés à la fois au niveau du développement des services numériques et durant la production, au fil de leur vie. Je ne pense pas qu’il soit utile de rentrer dans le sujet par les typologies d’outils en tant que telles : les normes technologiques ont aujourd’hui fait d’énormes progrès et il est possible pour une entreprise de trouver ce dont elle a besoin à partir du moment où elle fait figurer la cybersécurité au rang de ses priorités.
En revanche, le sujet stratégique me semble plutôt être celui des compétences et du recrutement des bons talents. C’est pour cela qu’il est important de montrer qu’une entreprise ne « fait » pas de la sécurité comme il y a quelques années, et que le lien entre cybersécurité et expérience client a changé. Il faut prouver que l’entreprise est en transformation, qu’elle a une appétence particulière sur ces thèmes, pour attirer les bons profils.