📘 Guide : Choisir un logiciel pour centre de contact bien sécurisé

La cybersécurité est une priorité pour toute entreprise qui manipule des données clients.

La cybersécurité est une priorité pour toute entreprise qui manipule des données clients.

La sécurité des activités en ligne est traditionnellement vue comme un défi strictement technologique. Or, même si le facteur humain commence aussi à être reconnu comme faisant partie de l’équation, la cybersécurité est en réalité un vaste sujet qui va bien au-delà des équipes IT. Selon l’Office finlandais sur la cybersécurité, les principaux phénomènes qui favorisent les menaces en ligne sont :

🔹 l’instabilité politique et économique ;

🔹 le manque d’échanges d’informations au sein des organisations et entre elles ;

🔹 les vulnérabilités non corrigées dans les appareils et les services connectés à Internet ;

🔹 une expertise restreinte dans ce domaine ;

🔹 le vol d’identifiants et de droits d’accès.

Comme cette liste l’indique, la cybersécurité est un sujet complexe. Aujourd’hui, face au nombre important de risques et de failles potentielles, aucune entreprise n’est 100 % à l’abri. Toutefois, en déployant les bons systèmes, des formations dédiées et des processus certifiés, vous pouvez vous prémunir contre les cybermenaces et réduire leur impact sur vos opérations.

L’importance de la cybersécurité dans un centre de contact

Par nature, les centres de contact outbound et les services clients manipulent des informations personnelles sensibles. Aussi, ces structures sont des cibles privilégiées pour les pirates, qui utilisent de nombreuses techniques pour arriver à leurs fins.

Il est bon de noter que, de nos jours, la plupart des attaques de cybersécurité ne sont pas dirigées vers une seule entreprise : les hackers préfèrent voir large en mettant à l’épreuve les dispositifs de sécurité de milliers d’organisations à la fois.

Dans l’Espace économique européen, le traitement des données personnelles est strictement encadré. Si votre entreprise propose ses services sur ce marché, vous devez respecter les dispositions du Règlement général sur la protection des données (RGPD) en matière de traitement des données clients pour ne pas vous exposer à de lourdes amendes.

Rien que pour ces trois raisons, la cybersécurité doit être pour vous une priorité. Pour limiter les risques, les outils – par exemple votre logiciel pour centre de contact – et les processus qu’appliquent votre service client et vos équipes de vente outbound doivent être évalués afin de vérifier qu’ils sont à même de vous protéger.

Ce guide vous expliquera comment mener cette évaluation sans rien oublier afin d’adopter le bon logiciel pour centre de contact. Ce n’est pas un choix à prendre à la légère, car cet outil jouera un rôle clé dans votre cybersécurité !

Homologation SOC 2

Origine

La norme SOC 2 trouve ses racines dans les standards d’audit qui ont fait leur apparition dans les années 1970. Conçue par l’American Institute of Certified Public Accountants, elle définit les critères clés pour une gestion et une organisation efficaces des données. Si la norme SOC 1 porte sur la conformité des bilans financiers, SOC 2 traite quant à elle des données clients et est régie par l’International Standard on Assurance Engagement (ISAE).

Importance

Un SOC, acronyme anglais de Systems and Organization Controls, est un rapport rédigé par un auditeur indépendant sur la gestion des données sensibles par l’entreprise dans ses activités au quotidien. La norme SOC 2 certifie qu’une organisation a mis en place des processus adaptés pour limiter les risques relatifs aux violations de sécurité et aux fuites de données

Pour le traitement des données clients, le rapport SOC 2 s’appuie sur 5 critères de confiance : la sécurité, la disponibilité, la confidentialité, l’intégrité du traitement et la protection des données. Cette certification s’adresse aux entreprises qui stockent, traitent ou transmettent tout type de données clients, comme les services SaaS et les hébergeurs de données en ligne.

Principes de contrôle interne et critères de confiance

Pour obtenir la certification SOC 2, une organisation doit remplir 17 principes obligatoires de contrôle interne et cinq critères de confiance optionnels.

Les principes de contrôle interne garantissent qu’une entreprise a mis en place des processus pour assurer la sécurité des informations. Ainsi, l’accès aux données confidentielles doit être limité aux employés qualifiés, des formations doivent être régulièrement organisées pour réduire les risques, les systèmes doivent être surveillés en continu et les partenaires évalués de façon répétée.

Pour résumer, une société qui obtient la certification SOC 2:

🔹 forme tous ses employés à la sécurité de l’information ;

🔹 choisit uniquement des prestataires appliquant des protocoles de sécurité semblables ;

🔹 veille à sécuriser et sauvegarder toutes les données clients ;

🔹 restreint l’accès physique et numérique aux données, et les supprime une fois que la relation avec le client prend fin ;

🔹 peut rapidement réagir à tout incident de sécurité ;

🔹 fait appel à un auditeur externe pour évaluer régulièrement en interne ses procédures de sécurité des données.

Processus de certification

Le rapport SOC 2 est validé par un auditeur externe certifié qui évalue la mesure dans laquelle un prestataire respecte les cinq critères de confiance. Le rapport SOC 2 se décline en deux versions : Type I et Type II. Le Type I décrit les systèmes de l’entreprise et confirme que leur architecture répond aux critères de confiance appropriés. Le rapport Type II va quant à lui plus loin en examinant l’efficacité opérationnelle des systèmes. Pour cela, l’auditeur mène des tests afin de vérifier leur bon fonctionnement.

Certification ISO 27001

Origine

Développée par l’International Organization for Standardization, la norme ISO 27001 a fait son apparition en 2005. Au fil des années, elle a été révisée et la version actuelle date de 2018.

Importance

La norme ISO 27001 est un standard de management de la sécurité de l’information (SMSI), autrement dit un ensemble d’exigences qu’une organisation doit suivre pour assurer la sécurité des informations qu’elle détient, comme ses éléments de propriété intellectuelle, ses données clients et ses informations tierces.

S’il est impossible de garantir une cybersécurité infaillible, la norme ISO 27001 est reconnue dans le monde entier comme le gage d’une sécurité optimale.

Fonctionnement des contrôles de sécurité

Un contrôle de sécurité est un dispositif qui vise à renforcer le niveau de cybersécurité d’une organisation : les plus courants sont les pare-feux, les mises à jour automatiques, les mots de passe ou encore les protocoles de gestion des incidents.

Un système SMSI a pour but de garantir que ces contrôles sont gérés correctement au sein d’une entreprise et qu’ils couvrent toutes les menaces de cybersécurité potentielles.

Cela implique un examen systématique des risques de sécurité de l’organisation, l’ajout de contrôles de sécurité si nécessaire et une réévaluation régulière pour vérifier que le système mis en place remplit toujours sa mission.

Processus de certification

Pour obtenir la certification ISO 27001, vous devez en premier lieu acquérir cette norme puis étudier ses exigences relatives à la sécurité de l’information pour vous y conformer, ce qui implique généralement d’ajouter ou de modifier des contrôles de sécurité si vous ne vous êtes jamais penché sur la question. Bien entendu, chaque contrôle doit être documenté.

Une fois que votre système SMSI répond aux critères définis, un assesseur certifié est invité à mener l’audit. Vous pouvez, si vous le souhaitez, procéder à un audit préliminaire pour vérifier que votre entreprise emploie des systèmes et des processus adaptés avant de vous soumettre à l’audit proprement dit.
Votre auditeur examinera la documentation et, si vous respectez toutes les exigences définies par la norme, vous remettra votre certification ISO 27001.

Pour conserver cette homologation, une réévaluation régulière de votre conformité sera nécessaire, car les critères de ce standard sont fréquemment mis à jour. Néanmoins, vous pourrez réaliser ces vérifications en interne. Par exemple, il est possible de demander à un auditeur interne de passer en revue l’organisation tous les ans, puis de faire appel à un expert externe tous les trois ans.

Auditeur externe

La norme ISO 27001 est basée sur des standards, autrement dit une longue liste de lignes directrices concernant la cybersécurité. La certification n’étant pas obligatoire, certaines entreprises choisissent d’appliquer ces préceptes sans pour autant se faire certifier. Cela est tout à fait acceptable, mais seul un audit externe et l’homologation qui en découle offrent aux clients, prospects et partenaires la garantie que l’entreprise applique bel et bien les mesures listées dans la norme.

En résumé

Les centres de contact sont des cibles réelles pour les pirates. Ces services traitent et stockent en effet des données clients qui peuvent offrir aux cybercriminels une source lucrative de revenus. En parallèle, les attaques à l’aveugle, où des milliers d’entreprises sont frappées simultanément à la recherche de failles de sécurité, sont de plus en plus fréquentes.

Les organisations qui prennent la cybersécurité au sérieux doivent donc choisir des prestataires certifiés SOC 2 et/ou ISO 27001 afin de garantir leur protection. Délivrées après un audit externe et largement reconnues, ces normes sont un gage de sécurité indéniable.

Lorsque vous recherchez un logiciel pour votre centre de contact, que ce soit par vos propres soins ou au moyen d’un appel d’offres, assurez-vous d’intégrer ces homologations dans vos critères d’évaluation. Par exemple, vous pouvez demander à un prestataire de vous fournir :

🔹 une synthèse de ses contrôles de sécurité ;

🔹 une liste des certifications pertinentes qu’il détient ;

🔹 une liste de tout autre audit interne ou rapport réalisé.