Une organisation qui veut des services numériques responsables ne doit pas seulement se préoccuper de ses impacts environnementaux et sociaux : la cybersécurité est centrale. Aborder le sujet avec ses clients sans nuire à l’expérience utilisateur demande aux spécialistes du parcours client de se mobiliser différemment.
Le contexte rend le sujet encore plus épineux : les citoyens sont aujourd’hui sensibilisés à l’existence d’un risque cyber largement médiatisé, mais l’évolution des bonnes pratiques de sécurité et des technologies entretient une forme de confusion et peut même provoquer des effets de bord contre-productif.
Ainsi, la Cnil a récemment mis à jour ses recommandations concernant l’usage des mots de passe. « Jusque-là, son approche du sujet était assez « brute », sur le modèle : ayez un mot de passe complexe que vous changez tous les six mois. Aujourd’hui, la Cnil reconnait que cela peut être contreproductif pour un utilisateur, si son mot de passe est suffisamment bon et qu’il n’a pas « fuité » sur Internet » décrit Benoit Grunemwald, un expert français pour l’éditeur de logiciels de cybersécurité Eset, qui a participé au dernier rapport Panocrim du Clusif, en étudiant les cas concernant « Le grand public français cybervictime ».
« En tant qu’experts, on s’est battu pour l’évolution d’une telle recommandation, car à l’heure actuelle, des simplifications et des mauvaises interprétations de ce qui fait une bonne sécurité, créent vraiment des dissonances vis-à-vis du grand public » ajoute-t-il. Il prend l’exemple de l’utilisation de plus en plus conseillée d’un gestionnaire de mots de passe pour faciliter le quotidien, qui se heurte parfois à la façon dont les sites sont conçus.
Clients et cybersécurité : trop facile d’être attentiste
Toutes les organisations, et notamment les plus grandes entreprises, musclent leur cybersécurité depuis des années. Elles évitent cependant la plupart du temps d’entrer dans le détail avec leurs clients, jugeant le sujet trop complexe, pas assez différenciant, voir même dangereux. Même si la multiplication de témoignages de dirigeants sur leurs expériences des cyberattaques a contribué à démocratiser le sujet, il persiste l’idée que parler de sa cybersécurité publiquement revient à « provoquer » les hackers et à les tenter de trouver les insuffisances.
Pourtant, certaines des plus grandes marques mondiales ont fait du sujet un cheval de bataille avec succès. « Ce rapport différent à la perception du grand public est assez emblématique chez Apple par exemple. L’entreprise travaille cette image de sécurité, en a fait une force, et l’a mis en avant sur plusieurs faits d’actualité, notamment sur la question du respect de la vie privée. Dans la transformation du rapport au client, convaincre que la sécurité et la privacy ont une importance stratégique pour l’entreprise est la première étape qui doit être prise au sérieux. Quand une organisation veut montrer sa responsabilité, renforcer son engagement sur la durabilité de ses produits et services, elle doit se positionner sur le sujet. » estime Benoit Grunemwald.
La seconde étape de cette « discussion » sur la cybersécurité avec le client, se joue sur le parcours d’achat lui-même. « Tous nos clients sont de plus en plus attentifs aux questions de cybersécurité, tout en étant toujours plus exigeants sur leur expérience. Dans tous les sondages que nous menons depuis des années, la place de l’UX est devenue clé. Ma conviction, c’est qu’une entreprise qui ne bouge pas sur ces sujets recule. Cela veut dire qu’elle doit s’organiser pour bouger, car il est facile d’être attentiste. » recommande ainsi Denis Macchi, directeur des parcours client omnicanaux pour la direction Grand Public d’Orange.
Et se mobiliser sur le bon niveau de cybersécurité à « montrer » aux utilisateurs est une tâche complexe, comme le rappelle David Ruiz, directeur expérience client et design chez SNCF Connect & Tech, en charge de la plateforme de vente de billets de la SNCF : « Nous avons connu par le passé une phase où l’utilisateur était ultra responsabilisé sur sa propre sécurité : le bon mot de passe, l’utilisation du bon réseau, la nécessité d’activer par lui-même l’authentification double facteur… Tout dépendait presque de lui. Mais nous allons aujourd’hui vers plus de transparence, d’automatisation, de prise en charge. Il y a évidemment beaucoup de nuances, ce n’est jamais tout l’un ou tout l’autre. Il est nécessaire d’ajuster en fonction de la réalité des usages clients. Car la demande est ambivalente : ne pas être gêné dans son parcours, mais pour autant que la sécurité ne soit pas totalement transparente. »
La créativité marketing doit jouer de tout son poids
Benoit Grunemwald, qui a récemment travaillé sur le sujet de la lassitude des collaborateurs vis-à-vis des questions de cybersécurité, estime que cette préoccupation doit se retrouver aussi plus largement vis-à-vis des clients et utilisateurs. « Comme l’a montré le dernier rapport Panocrim du Clusif, les organisations font face à un effet pervers : pour répondre au contexte d’augmentation des menaces cyber, les organisations renforcent leurs exigences, par exemple pour la création d’un compte, et celles-ci sont autant de freins à l’expérience. Plus il y a de cybersécurité, plus il faut qu’elle soit simple et intuitive, comme l’ont très bien compris des initiatives comme FIDO sur les technologies « passwordless » ».
De son point de vue, c’est donc bien la créativité marketing qui doit jouer de tout son poids dans les parcours utilisateurs et les tunnels d’achat, au « moments clé de sécurité », comme la création d’un compte, le paiement d’une transaction… « Il y a une réassurance qui doit être jouée à plein par la dimension marketing. C’est quand on sort d’un tunnel, qu’on doit pouvoir se dire « j’ai confiance, j’ai fait le bon choix ». C’est exactement le travail que fait un commercial juste après la vente d’une voiture ! Ce n’est pas nouveau, mais la dimension technique est plus présente ».
« Le principe clé à maîtriser, c’est celui de la proportionnalité entre le niveau d’effort acceptable pour le client par rapport à sa compréhension des risques. Le client peut tout à fait comprendre qu’il faut parfois quelques clics de plus dans un parcours, sur un acte important. On voit par exemple que le taux d’échec est faible quand on demande un peu plus d’attention lors de la création d’une boîte e-mail, car c’est un moment important. Mais il serait beaucoup plus haut sur des actes perçus comme anodins. » analyse Denis Macchi.
L’innovation marketing pour la cybersécurité : une acculturation croisée
Mais les équipes marketing sont-elles prêtes à incarner ce rôle ? Benoit Grunemwald en est convaincu : « On pourrait se dire que ce n’est pas leur périmètre initial. Mais depuis 2018, le RGPD a mis certain de ces aspects au cœur de leurs missions. Pour un service marketing, gérer un tunnel ou un acte d’achat sans prendre en compte la sécurité, c’est devenu aussi incompréhensible que de ne pas prendre en compte la RSE ou la transformation numérique… Quand on promet une expérience digitale responsable, la cybersécurité doit en faire partie. ». Pour l’expert, le bon niveau de discours à avoir vis-à-vis des clients est bien un sujet d’innovation marketing et de conception de parcours client. Impossible de ne réfléchir qu’en termes de sécurisation d’une transaction comme cela a souvent été le cas jusqu’à présent.
« Il s’agit à la fois d’acculturer l’expert cyber à la mesure de l’impact client et de l’impact business, et dans l’autre sens, d’acculturer les parties prenantes business aux concepts des risques, des impacts, des probabilités… qui sont le lot quotidien de la cybersécurité. » résume Maxime Pétesch, directeur sécurité et privacy, au sein de la direction Grand Public d’Orange, qui travaille main dans la main avec Denis Macchi.
En la matière, les transformations organisationnelles en mode « agile » offrent une opportunité de taille aux entreprises pour prendre le taureau par les cornes. Les méthode et culture produit qui font travailler dès le début d’un projet des équipes variées (de la cybersécurité au marketing, notamment), transforment fondamentalement la forme et le fond du discours cyber des organisations vis-à-vis de leurs utilisateurs. Bien sûr, il n’y a pas de recette unique, mais l’esprit qui doit être respecté est clair pour Denis Macchi : « C’est l’intérêt d’avoir une équipe sécurité au cœur du business. Elle n’a pas forcément besoin d’être très grande, mais il faut qu’elle soit proche des faiseurs sur tous les sujets, du digital, de la data… pour prendre les décisions ensemble de manière assumée. »