>> Cet article est extrait du carnet à télécharger : Réconcilier cybersécurité et expérience client : Les recettes de ces entreprises qui préparent l’avenir

L’expérience client que doivent assurer les opérateurs télécoms est protéiforme et complexe. D’autant plus quand le sujet de la sécurité vient s’ajouter dans la perception qu’en ont les utilisateurs. Denis Macchi, directeur des parcours clients omnicanaux, et Maxime Pétesch, directeur sécurité et privacy, au sein de la direction Grand Public d’Orange, expliquent comment les transformations menées en interne ont aidé à résoudre la quadrature du cercle.

De quelle façon a évolué le binôme des sujets « expérience client » et « cybersécurité » ces dernières années chez Orange ?

Denis Macchi. En tant que directeur des parcours clients omnicanaux, je dois concevoir et faire évoluer les parcours de nos clients grand public en France, quels que soient les points de contact avec l’entreprise. Ceux-ci ont évidemment beaucoup changé en une décennie et mes équipes vont vers toujours plus de digitalisation. Il faut aussi voir que les sujets sont à prendre sur toute la chaîne de la relation client : avant la commande, mais aussi après, jusque dans la gestion des pannes, de la facturation, du support.

Maxime Pétesch. Dans le périmètre de cette direction Grand Public, est aussi rattachée ma direction sécurité et privacy, avec l’idée que les deux thèmes vont de pair, car une entreprise comme la nôtre doit se donner les moyens d’aider tous les collaborateurs à trouver le bon équilibre entre les deux sujets. Celui-ci ne va pas de soi et mérite une action dédiée.

D.M. C’est d’ailleurs une évolution forte du marché. Tous nos clients sont de plus en plus attentifs aux questions de cybersécurité, tout en étant toujours plus exigeants sur leur expérience. Dans tous les sondages que nous menons depuis des années, la place de l’UX est devenue clé. Ma conviction, c’est qu’une entreprise qui ne bouge pas sur ces sujets recule. Cela veut dire qu’elle doit s’organiser pour bouger, car il est facile d’être attentiste. C’est aussi pour cela que nous avons mis en oeuvre une transformation « agile à l’échelle » dans notre groupe. Celle-ci structure beaucoup l’approche de conception des services, le développement itératif, et donc à la fois l’expérience client et la sécurité. De plus, alors qu’Orange est perçu comme un opérateur premium sur le marché, nous avons un enjeu de satisfaction très important, avec des NPS qui doivent être supérieurs au marché. Or, nos indicateurs le montrent : quand on améliore l’UX, les clients en ont conscience et nous le rendent bien.

Le changement de gouvernance autour des projets a-t-il été pour vous un sujet majeur pour améliorer la place de la cybersécurité dans l’équation ?

M.P. Nous avons clairement dû apprendre à travailler différemment entre les projets en cycle en V et les équipes agiles qui ont dû, elles, apprendre à intégrer la sécurité de façon native. Il ne s’agit pas seulement de dire que l’on change des processus : il y a aussi eu un rapprochement physique des équipes, en colocalisation, afin d’aligner les visions et les objectifs, y compris sur le risque cyber, que ce soit sur le code ou l’infrastructure. Il faut rendre possible concrètement la « mise en commun ». L’agilité, c’est un parti pris d’itération dans un monde incertain. Or, c’est exactement comme cela que réfléchissent et fonctionnent les cybercriminels ; d’où la nécessité de cette adaptation.

D.M. C’est un leitmotiv que Maxime a beaucoup porté en interne : l’idée qu’il n’y a pas de « défense absolue » qui sera prête un jour, plus tard… et que tout le monde doit s’adapter en permanence au niveau opérationnel, pas à pas, quel que soit son métier. Ce n’est pas la tradition dans les grands groupes, mais plus on devient data-driven et data-dépendant, plus c’est une nécessité. C’est d’ailleurs vertueux, car tout doit se mesurer en permanence, des réactions des clients jusqu’aux pratiques des cybercriminels.

À quel point les enjeux d’un opérateur télécom sont-ils différents de ceux d’un autre type d’activité sur ces sujets ?

D.M. Sous certains aspects, nous sommes un acteur du retail comme un autre. Nous avons des problématiques qui ne sont pas si différentes d’enseignes comme Fnac-Darty par exemple. Nous devons gérer la transformation de nos boutiques, le développement du click & collect, etc. Mais en parallèle, nous avons aussi d’autres aspects de la relation client, liés à notre base de clients fixe, nos abonnés, qui ressemblent un peu plus à l’expérience client portée par une banque par exemple. Une spécificité importante reste notre réseau : sa qualité et son excellence influent énormément sur l’expérience globale. Nous ne sommes pas jugés sur l’envoi d’une box internet ou d’un téléphone mobile, mais sur un fonctionnement de bout en bout.

Et en matière de sécurité ?

M.P. Nos enjeux de sécurité sont plus étendus que chez de nombreuses autres entreprises, pour lesquelles la problématique se situe en premier lieu sur les données de transactions. Nous sommes également un opérateur de confiance pour le quotidien des personnes, ce qui fait que les sujets de sécurité et de privacy sont intimement liés à notre niveau. Donc il s’agit autant de sécuriser des données de cartes bancaires, que les données liées au réseau ou encore les données personnelles des clients et de leurs usages. Une autre caractéristique est que nous avons un écosystème de partenaires très important. Comment gérer cet enjeu de relation client globale avec eux ? Et comment parvenir à donner la main, malgré tout, au client ? Ce sont des questions incontournables qui concernent chaque projet. Dans ce panorama, nous voyons des risques dans tous les aspects de l’expérience client. Nous les analysons en permanence, car ils évoluent avec le temps et nous nous positionnons de façon dynamique en fonction. Les points saillants d’une année ne seront pas forcément ceux de la suivante.

Et comment parler de ces sujets efficacement dans l’entreprise ?

D.M. C’est l’intérêt d’avoir une équipe sécurité au coeur du business. Elle n’a pas forcément besoin d’être très grande, mais il faut qu’elle soit proche des faiseurs sur tous les sujets, du digital, de la data… pour prendre les décisions ensemble de manière assumée.

M.P. Il s’agit à la fois d’acculturer l’expert cyber à la mesure de l’impact client et de l’impact business, et dans l’autre sens, d’acculturer les parties prenantes business aux concepts des risques, des impacts, des probabilités… qui sont le lot quotidien de la cybersécurité. L’idée est de mettre en pratique le « by design », avec un travail continu d’analyse de risques. Il ne faut pas croire pour autant que tous les arbitrages et décisions deviennent mécaniquement simples. Mais grâce à cette culture partagée, nous sommes sortis des décisions prises « envers et contre tout », en conflit. Pour avancer, nous nous sommes inspirés de la gouvernance liée au RGPD, avec une identification claire du responsable de traitement. Et ce sont bien les collaborateurs business qui ont cette responsabilité.

Quels conseils donneriez-vous aux entreprises qui veulent que la cybersécurité ne se fasse pas au détriment de l’expérience du client ?

D.M. Le principe clé à maîtriser, c’est celui de la proportionnalité entre le niveau d’effort acceptable pour le client par rapport à sa compréhension des risques. Le client peut tout à fait comprendre qu’il faut parfois quelques clics de plus dans un parcours, sur un acte important. On voit par exemple que le taux d’échec est faible quand on demande un peu plus d’attention lors de la création d’une boîte e-mail, car c’est un moment important. Mais il serait beaucoup plus haut sur des actes perçus comme anodins. La proportionnalité consiste à identifier les points sensibles du parcours, pour demander des efforts supplémentaires mais de façon très ciblée, quand le client est réceptif. Dans l’autre sens, il est possible de prévoir des barrières assez « faibles » sur des actes anodins, pour ne remonter le facteur sécurité que lorsqu’un comportement suspicieux est détecté, comme une connexion depuis l’étranger, afin d’agir sur le faible pourcentage de cas qui concentre en fait le plus haut niveau de risque. Cela demande cependant une bonne maîtrise de la donnée et de l’automatisation. En creux, ce que l’on voit, c’est aussi la nécessaire visibilité de la sécurité, car une totale transparence n’est pas de nature à inspirer confiance…

M.P. En parallèle, les entreprises doivent adresser l’enjeu des outils utilisés eux-mêmes. Elles ont toutes un très bel exemple avec les mots de passe. Ceux-ci portent de plus en plus de contraintes et donc de problèmes. Les outils qui permettent de s’éloigner du mot de passe sans perdre la sécurité vont avoir un impact immédiat sur la fluidité des parcours. Dans notre cas, nous proposons à plusieurs millions de nos clients une double authentification à partir d’un code à quatre chiffres entrés directement sur le mobile. C’est une étape additionnelle, mais elle reste très simple et, dans les faits, c’est un bon compromis entre friction et expérience de la sécurité. Pour se convaincre, il faut suivre attentivement tous les indicateurs de parcours, d’abandon, de satisfaction… Mais cela prouve qu’il est possible de faire « plus sûr et plus simple » et donc de créer un cercle vertueux où on améliore la satisfaction de l’expérience client en améliorant la sécurité.

D.M. Un autre point clé, je pense, est la mise en place d’une gestion de la data cohérente. Cela m’a beaucoup marqué dans les changements que nous avons vécus. Il y a cinq ans, on prenait encore beaucoup de décisions à l’aveugle, faute de capacité d’analyse qui permettait d’avoir une visibilité sur ces sujets. Enfin, alors que l’incertitude, due aux crises mondiales récentes, et les menaces augmentent, toutes les entreprises vont faire face à un enjeu de compétences. C’est pour cela que nous sommes heureux d’avoir investi auprès de nos collaborateurs depuis des années pour faire prendre la sécurité au sérieux.