Chez SNCF Connect & Tech, les directeurs UX et technologies parlent de la sécurité d’une seule voix

>> Cet article est extrait du carnet à télécharger : Réconcilier cybersécurité et expérience client : Les recettes de ces entreprises qui préparent l’avenir

SNCF Connect & Tech, la filiale digitale de SNCF Voyageurs, a été très médiatisée en 2022 avec le lancement de SNCF Connect, son service « tout-en-un » des mobilités, composé d’une application et d’un site qui entendent simplifier tous les déplacements et pas seulement vendre des billets de train. David Ruiz, directeur expérience client et design chez SNCF Connect & Tech, et Christophe Rochefolle, directeur technologies, expliquent comment SNCF Connect prend en compte les enjeux d’expérience client autant que ceux de cybersécurité.

SNCFconnect

David Ruiz, directeur expérience client et design chez SNCF Connect & Tech, et Christophe Rochefolle, directeur technologies

Quelle est la nature de votre collaboration, et de celles de vos équipes, en matière d’expérience client et de cybersécurité ?

Christophe Rochefolle. En tant que CTO, mon périmètre couvre les équipes d’urbanisation de la plateforme SNCF Connect, la cybersécurité – aussi bien sur le développement que l’exploitation –, les aspects techniques de l’UX, mais aussi toute l’équipe « delivery »… À ce titre, il faut bien comprendre que les applications sont seulement la face émergée de l’iceberg : que ce soit pour l’expérience client ou la sécurité, il y a énormément d’enjeux en termes de briques technologiques, d’infrastructure, de gestion des comptes clients, de gestion des paiements…

A lire aussi : Pour Allianz, résilience et expérience client ne s’opposent pas quand la culture d’entreprise est adaptée

David Ruiz. De mon côté, j’ai la responsabilité de l’expérience client et du design ; je suis à la fois en charge de la définition de la stratégie et de sa mise en place opérationnelle. Aujourd’hui, presque 99% de nos points de contact client passent par des parcours « en autonomie » pour eux. Il est donc tout à fait essentiel de s’assurer de l’expérience cohérente et pertinente qu’ils vivent à cette occasion. Celle-ci doit mettre en valeur qui nous sommes en tant qu’entreprise, tout en répondant aux besoins de nos clients, à nos objectifs business et à nos enjeux en termes de responsabilité numérique.

C.R. Concernant nos interactions, nous travaillons avec une structuration « produit » pure, une approche organisationnelle qui a commencé depuis des années, à l’époque chez OUI.sncf, et sur laquelle nous avons acquis beaucoup de maturité. Il s’agit d’équipes intégrées, fonctionnant en agilité, avec des compétences qui vont donc bien jusqu’à la cybersécurité. Et le fait qu’aujourd’hui nous tenions cette interview à deux voix est bien la preuve que la perception de la cybersécurité dans l’organisation a évolué en conséquence.

600x500-carnet-cybersecu-expclient-forgerockQuelles sont pour vous les spécificités de l’expérience client que doit délivrer la SNCF ?

D.R. Nous avons une responsabilité particulière en matière d’accessibilité et d’inclusion, y compris sur le digital. Et nous avons une spécificité organique liée à nos activités de mobilité : l’écoresponsabilité. Nous sommes dans la poche de tous les Français, dans une optique très grand public, mais aussi de « service public ». De plus, un certain nombre de Français nous utilisent tous les jours, toutes les semaines, au côté des usages plus occasionnels liés par exemple aux périodes de vacances. Cela fait coexister deux aspects dans ces relations : le sujet de la confiance, et celui de l’émotion.

C.R. Cela a des implications opérationnelles : par exemple, nous avons une personne en charge de l’accessibilité dans chacune de nos directions, que ce soit sur les sujets UX et sur les sujets beaucoup plus technologiques – ce qui inclut la sécurité. Nous bénéficions d’une forte conscience sociétale au sein de nos équipes, cela aide beaucoup.

Comment avez-vous vu évoluer la place prise par la cybersécurité dans les sujets d’expérience client ?

D.R. Nous avons connu par le passé une phase où l’utilisateur était ultra responsabilisé sur sa propre sécurité : le bon mot de passe, l’utilisation du bon réseau, la nécessité d’activer par lui-même l’authentification double facteur… Tout dépendait presque de lui. Mais nous allons aujourd’hui vers plus de transparence, d’automatisation, de prise en charge. Il y a évidemment beaucoup de nuances, ce n’est jamais tout l’un ou tout l’autre. Il est nécessaire d’ajuster en fonction de la réalité des usages clients. Car la demande est ambivalente : ne pas être gêné dans son parcours, mais pour autant que la sécurité ne soit pas totalement transparente. Quand je travaillais pour le secteur bancaire, nous faisions beaucoup de tests clients pour enlever des étapes, par exemple lors des virements afin d’automatiser la reconnaissance du client… Mais nous nous sommes aperçus que contrairement à ce que l’on pouvait imaginer, cela provoquait un malaise chez lui : il préférait réaliser un acte de sécurité visible pour ce qui était perçu comme un moment clé.

C.R. L’exemple du paiement est frappant pour SNCF Connect également. Historiquement, nous avions des pages externalisées pour réaliser le paiement de la commande, ce qui provoquait une vraie rupture du parcours. Aujourd’hui, nous utilisons des formulaires de paiement en « hosted field », intégré, qui rappellent l’univers de l’application et du site. Les évolutions technologiques ont été majeures pour ajouter de la sérénité. Les technologies de sécurité doivent s’adapter ainsi à la fois aux interfaces et au « flow », la fluidité du parcours.

D.R. Sur certaines opérations très maîtrisées et courtes, concernant des petits montants, la sécurité peut être un peu plus transparente, mais cela reste limité : l’accompagnement doit rester visible. Il faut donc un important travail d’UX writing pour mettre les bons messages, la bonne pédagogie, le bon contenu éditorialisé et rendre compréhensible la place de la sécurité dans l’équation.

Qu’est-ce qui, pour vous, permet le plus de diminuer la friction entre la sécurité et l’expérience client ?

D.R. Méthode et culture produit sont une bonne base. La cybersécurité doit être traitée dans la conception pure des produits, de façon transverse avec tous les sujets. Il y a beaucoup de sujets de spécialités, mais il y a aussi des points universels : définir les principes et les attentes, les opérationnaliser avec des lois et des guidelines, créer des personas qui sont autant de profils comportementaux… et générer à partir de là des outils de design pour prendre en compte cette variété de réalités d’usages et d’attentes. Nous sommes sur le chemin d’une personnalisation de plus en plus forte pour SNCF Connect. Nous devrons nous poser la question de ce que cela implique pour la sécurité : des parcours plus ou moins rapides, des autorisations clients pour leur rendre la vie un peu plus simple, etc. Pour autant, le moment du paiement, lui, restera sacralisé… Et cela dépend tellement de tiers et de la réglementation, que cela ne changera pas. On jouera à la marge sur l’apparence, l’intégration au site ; mais les fondamentaux ne bougeront pas. Nous avons cependant plus de marge de manœuvre pour améliorer notre façon de transmettre l’information et d’être pédagogique.

Christophe Rochefolle, vous êtes un spécialiste des approches de chaos engineering, qui visent à renforcer la résilience d’un système d’information. Quel est le poids du sujet par rapport à votre vision de la cybersécurité ?

C.R. C’est effectivement l’un de mes sujets favoris… En matière de sécurité, je ferais le parallèle avec les pratiques red team/blue team (qui reproduisent une lutte entre attaquants et défenseurs en cybersécurité, NDLR). Il s’agit d’apprendre à créer des perturbations pour tester l’écosystème technique et humain de l’entreprise. Ces exercices de crise sont essentiels, car les hackers évoluent très vite, et de notre côté, nous transformons également nos stacks techniques, par exemple avec le cloud. Il faut donc vérifier en permanence la cohérence du système et l’impact sur le parcours client au final. Par exemple, je suis très fier de mes équipes quand on voit qu’avec deux « bug bounty » organisés depuis le lancement de SNCF Connect, aucune faille critique ou majeure n’a été trouvée.

Quels choix organisationnels et de gouvernance faire pour que les projets liant expérience client et sécurité se déroulent bien ?

C.R. D’abord, je ne pense pas qu’il y ait une recette unique qui fonctionne pour toutes les entreprises. Dans notre cas, nous avons fait le choix de nous structurer très tôt et de nous appuyer sur beaucoup de KPI et des OKR qui vont tous dans le sens de l’optimisation du produit. Cela ne se fait pas en un jour. C’est l’esprit d’une entreprise « tech » : on conçoit l’expérience client et la sécurité en se pensant comme une telle entreprise, nous voulons sublimer la technologie. Et pour cela il faut sortir d’une organisation où la tech est dans son pré carré et fait du « techno push » vis-à-vis du reste de l’organisation. Ce n’est pas comme cela qu’on pourra véhiculer notre raison d’être, nos sensibilités, notre marque et notre sens client.

Certains choix technologiques ont-ils cependant plus d’influence que d’autres ?

D.R. C’est certain, mais pour les faire en connaissance de cause, je pense qu’il est surtout essentiel de pouvoir s’appuyer sur des fins connaisseurs. Nous sommes sur des sujets, qui vont de la data personnelle à l’identité, en passant par les transactions, sur lesquels il est vraiment nécessaire de faire des partenariats forts. Les partenaires tiers de confiance sont d’autant plus importants qu’il faut relever avec eux le défi de l’intégration des systèmes… Cette dernière a un impact direct sur la fluidité du parcours. L’entreprise doit montrer qu’elle reste maîtresse de l’expérience client proposée de bout en bout. Quelle que soit la variété des acteurs qui interviennent durant le parcours, nous serons toujours perçus comme « la SNCF » et il faut assumer cette responsabilité.

C.R. Certains choix techniques aident. Il y a dix ans, nous avons ainsi parié sur « Mon identifiant » pour centraliser l’accès à nos services et pour éviter de répliquer des données personnelles partout. C’est une équipe dédiée qui est à la manœuvre au sein du groupe sur le sujet. C’est un bon exemple de trajectoire technologique qui a eu un fort impact à la fois sur l’expérience client et sur la sécurité.

2040x240-carnet-cybersecu-expclient-forgerock