Sécurité : comment protéger les centres de contact et les services clients des cybermenaces croissantes ?

Dans le domaine de la relation client, les risques de cyberattaques ne cessent de croître, notamment via les centres de contacts, qui demeurent une cible privilégiée. Explications.

Aujourd'hui, il ne s’agit plus de savoir si une organisation va être attaquée, mais quand. Qu’elles soient volumétriques ou ciblées, les cyberattaques peuvent avoir de lourdes conséquences : pertes financières, atteinte à l’image de l’entreprise, rupture de service, etc. Dans le domaine de la relation client et pour les centres de contacts, plusieurs typologies d’attaques émergent.

Le modèle de centre de contacts a évolué vers un modèle « as a service », couramment appelé CCaaS. Les entreprises font ce choix pour augmenter l’efficacité de leurs conseillers et optimiser l’expérience client. Grâce au cloud, à l’omnicanalité ou encore à l’IA, cette transformation accompagne le basculement vers le travail à distance et génère de nouveaux usages.

La répartition géographique des équipes augmente alors la surface d’exposition des organisations. Des failles de sécurité peuvent alors apparaître et être exploitées tôt ou tard par les cybercriminels. Il ne s’agit pas, pour les organisations, de revenir en arrière mais de penser leurs stratégies de transformation et de gestion des centres de contacts en y intégrant la gestion des risques. Cela passe notamment par la compréhension des cyberattaques pour mieux anticiper et y faire face.

Connaître et comprendre les cyberattaques pour mieux y répondre

 Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), 831 intrusions avérées ont été observées en 2022 contre 1 082 en 2021. Cela est dû à une diminution du nombre d’attaques par rançongiciel contre certaines organisations et ne peut être interprété comme une baisse du niveau de la menace, qui s’est déportée vers des entités moins protégées. Les cyberattaquants continuent d’affûter leurs capacités et se tournent vers un ciblage périphérique, qui ne porte pas uniquement sur les équipements, mais également sur l’écosystème d’une entreprise : partenaires, fournisseurs de services, sous-traitants, etc.

 Quelles que soient les motivations des cyberattaquants – criminelles, volonté de nuire à la réputation d’une organisation, etc…, les conséquences sont la perte financière, le vol ou la divulgation de données, l’interruption d’activité, etc.

 Lorsqu’un acteur malveillant cible un centre de contacts, il peut agir via le téléphone, les serveurs vocaux interactifs (SVI) ou Internet. Nous identifions trois typologies d’attaques principales :

§  Les appels frauduleux font partie des attaques les plus courantes dans le domaine de la relation client. Ils peuvent prendre deux formes : le piratage d’équipement et l’usurpation d’identité à l’aide d’outils (le spoofing). La fraude aux appels interurbains (toll fraud) est un problème mondial et coûte chaque année des millions d’euros aux organisations. En plus de l’impact financier, elle peut conduire à la saturation des lignes téléphoniques, mobilisant ainsi les ressources informatiques et humaines d’une entreprise pour créer les conditions d’un déni de service téléphonique. La seconde option est l’usurpation d’identité. Un cybercriminel peut chercher à accéder à un dossier et à des données personnelles pour acheter des produits, transférer de l’argent ou modifier des données de connexion.

§  Les attaques par déni de service téléphonique visent à rendre un système téléphonique indisponible en épuisant toutes les ressources. Il devient alors impossible de recevoir ou de passer des appels. Elles sont parfois utilisées pour extorquer de l’argent (rançon) ou pour entraver l’activité d’une cible (hacktivisme).

§  L’hameçonnage ou l’envoi de courriels malveillants profite du modèle omnicanal des Centres de Contact As a Service (CCaaS), ces derniers traitant des e-mails, des chats ou des réseaux sociaux. Les cyberattaquants exploitent ces différents canaux de communication pour lancer des attaques d’hameçonnage et diffuser des contenus malveillants tels que des rançongiciels, des logiciels espions, ou tout autre logiciel malveillant.

 Optimiser la sécurité grâce au modèle CCaaS : les bonnes pratiques

 Dans le modèle CCaaS, trois principaux acteurs sont impliqués et concourent à la sécurisation de la plateforme et des données hébergées dans le cloud – conformément aux normes et réglementations en vigueur. L’hébergeur gère la sécurité du cloud. Le fournisseur de services CCaaS gère la sécurité de la plateforme hébergée dans le cloud. L’entreprise (le donneur d’ordres) quant à elle, chapeaute tous les aspects de la sécurité du centre de contacts et déploie les moyens permettant de protéger l’accès aux services et données.

 S’il est impossible d’empêcher 100 % des attaques, il existe des bonnes pratiques pour en limiter l’impact, assurer la continuité de service et empêcher qu’elles réussissent.

 §  Mettre en place une politique robuste de Gestion des Identités et des Accès (IAM) afin d’empêcher les utilisateurs non autorisés à accéder aux ressources de l’entreprise ;

§  S’assurer que le fournisseur de solutions CCaaS dispose de moyens suffisants en matière de cybersécurité et de protection des données. Pour cela il doit s’assurer de posséder les certifications reconnues et de respecte les normes spécifiques du secteur d’activité de l’entreprise cliente. Il est également important de rappeler que les fournisseurs de services numériques seront bientôt soumis à la nouvelle directive NIS (NIS2) qui renforce les exigences de sécurité et introduit des obligations de notification des incidents ;

§  Profiter des dernières innovations permettant d’optimiser la cybersécurité et la protection des données. Les solutions SaaS permettent notamment d’accéder à la détection des failles grâce à l’IA, au chiffrement des données, à la sécurisation des interactions.

§  Mettre en place des systèmes avec les opérateurs et travailler main dans la main sur la détection de fraude. Des algorithmes en machine learning surveillent les éventuels changements de trafic et alertent en cas d’incident.

Les centres de contacts et les services clients sont devenus des cibles de choix en raison de la sensibilité et de la valeur des informations qu'ils traitent. Conscientiser pour mieux anticiper est une première étape. Les entreprises doivent ensuite intégrer pleinement la gestion des risques dans leur stratégie cyber, pour prévenir les attaques et protéger les données de leurs clients. Ainsi, elles assurent la continuité de leurs activités, se mettent en conformité avec les réglementations en vigueur et renforcent la confiance de leurs clients.  Les réglementations et les normes de sécurité doivent également être renforcées pour aider à protéger les données des clients. En ce sens, l’évolution de la directive NIS pour le renforcement des exigences de sécurités et l’obligation de notifications des incidents est une bonne nouvelle. Au-delà des aspects techniques et réglementaires, il est indispensable de sensibiliser et former les collaborateurs.

 Enfin, les consommateurs doivent également être conscients des risques de sécurité en ligne. Ils doivent être encouragés à prendre des mesures pour protéger leurs propres données et à être au fait des typologies d’attaques existantes et émergentes, comme le vishing par exemple. En unissant leurs forces, les entreprises et les consommateurs peuvent contribuer à réduire les risques de cyberattaques et à maintenir la confiance dans les centres de contact et les services clients. La sécurité est une responsabilité partagée dans ce monde numérique en constante évolution.