Article

Voici les raisons pour lesquelles les responsables de la sécurité doivent donner la priorité à une excellente expérience client

by Chris Peake

Note de la rédaction : l’écosystème des technologies de l’information ne cesse d’évoluer. Il y aura toujours de « mauvais joueurs ». C’est pourquoi les organisations doivent avoir la certitude que les données qu’elles confient aux plateformes de logiciels en tant que service (SaaS) sont protégées. Dans cet article, Chris Peake, vice-président de la sécurité de l’information chez Smartsheet, explique pourquoi la transparence des pratiques de sécurité est essentielle pour établir et maintenir des relations de confiance avec les clients qui ont besoin de plateformes adaptées aux entreprises pour gérer leur travail. 

Chris Peake, VP of Information Security (CISO), Smartsheet

Après avoir obtenu mon diplôme universitaire en 1997, j’ai commencé à travailler comme coordinateur de missions médicales pour Operation Smile, un organisme à but non lucratif qui facilite les opérations des fentes labiales et palatines dans le monde entier. Comme la plupart des organisations caritatives n’ont pas de gros budgets, mon activité complémentaire était axée sur l’informatique. J’ai créé des bases de données, je me chargeais de la maintenance des systèmes et je formais le personnel à l’utilisation de tous ces outils. 

J’ai participé à la mise en œuvre d’une partie des premiers événements de télémédecine d’Operation Smile afin de mettre en relation des médecins de différents pays dans le cadre de consultations et d’opérations chirurgicales en direct. Ces événements ont démontré l’immense pouvoir de la technologie et, à la réflexion, l’importance cruciale pour les professionnels de la sécurité de protéger les personnes qui l’utilisent, en particulier les données personnelles ou confidentielles.  

Depuis le début de ma carrière, une chose est claire : les responsables de la sécurité et leurs équipes doivent s’engager à offrir une excellente expérience client. Cette approche axée sur le client doit s’appuyer sur un engagement en faveur de la confidentialité des données, de l’obtention et de la conservation de la confiance des personnes, de la transparence des tests de sécurité et de la contribution à la communauté de la sécurité de l’information au sens large. 

Évolution de la protection des données

Après des années de recherche et grâce à mon expérience pratique, j’ai appris que la transparence est indispensable pour gagner la confiance des clients lorsque l’on traite leurs données. Par exemple, avant la démocratisation des banques en ligne au milieu des années 1990, beaucoup de personnes étaient réticentes à l’idée de renoncer au modèle traditionnel. Autrefois, il suffisait de se rendre en personne à l’agence locale, de remplir un bordereau de dépôt, d’effectuer une transaction auprès d’un caissier de banque ou à un guichet automatique, avant de reprendre le cours de sa journée. 

Afin de préparer les clients à l’alternative en ligne, les banques devaient leur assurer que leurs transactions étaient sûres, sécurisées et faciles à suivre depuis un ordinateur personnel, mais aussi les rassurer sur chacun de ces points. De même, adopter une plateforme SaaS signifie confier au fournisseur une importante responsabilité du point de vue du système et des données. 

Les entreprises qui utilisent une plateforme pour gérer le travail doivent avoir la certitude que leur fournisseur protège leurs données. Et en tant que professionnels de la sécurité, le concept de protection implique également de ne pas regarder les spécificités des données que les clients ajoutent à nos plateformes SaaS.

Illustration of a computer monitor with security shield

Gagner et conserver la confiance des clients

Chez Smartsheet, nous nous engageons à gagner et à conserver la confiance de nos clients. Dans le cadre de cet engagement permanent, nous continuerons à faire évoluer notre programme de sécurité adapté aux entreprises. Nous respecterons ou nous dépasserons les normes de sécurité de l’entreprise afin que Smartsheet offre une solution « clé en main » en matière de sécurité, de confidentialité et de gestion des données. 

Notre objectif à long terme est de révéler le potentiel de Smartsheet en permettant aux clients de travailler avec des données plus ou moins sensibles tout en ayant la certitude que ces dernières sont protégées de toutes les manières nécessaires. 

Bien qu’il s’agisse d’un excellent point d’entrée, il est tout à fait normal que les certifications de conformité, les informations sur la confidentialité et la sécurité et autres soient disponibles sur le site Web de l’entreprise. C’est pourquoi nous avons conçu le Trust Center Smartsheet

Cependant, lorsque moi-même ou un membre de mon équipe d’experts en sécurité discutons directement avec les clients, nous pouvons entrer dans le détail des processus et des procédures d’exploitation standard de leur entreprise, des contrôles qu’ils ont ou n’ont pas mis en place, et être francs quant aux cas d’utilisation qui sont ou ne sont pas adaptés à notre service du point de vue de la sécurité des informations. D’après mon expérience, ce niveau de franchise permet d’instaurer une confiance mutuelle avec nos clients, ce qui constitue la base d’un partenariat durable.

Le deuxième point qui permet d’établir un climat de confiance consiste à rappeler à nos clients notre engagement sans faille envers l’amélioration de notre programme de sécurité. D’après moi, tout l’intérêt de la quête de maturité réside dans le fait qu’elle ne s’achève jamais. Il faut sans cesse évoluer afin de s’adapter à la mutation constante des menaces pour la sécurité. Mon équipe innove en permanence pour améliorer les produits et les contrôles de sécurité, tout en exploitant une technologie de pointe qui continuera à sécuriser la plateforme Smartsheet.

Transparence des tests de sécurité

La transparence est un concept à double sens : notre objectif est de continuer à échanger avec les clients pour comprendre leurs exigences et leurs besoins, les prendre à cœur et agir en conséquence. Ils sont convaincus que leurs données sont en sécurité sur notre plateforme et que nous ne pouvons pas et ne partagerons pas leurs données ou leurs informations. 

Lorsque je donnais des conférences aux professionnels de la sécurité, je leur demandais de lever la main s’ils utilisaient un service cloud. À peu près tout le monde s’exécutait. Puis je leur demandais s’ils faisaient confiance à ce service, et ils baissaient presque tous la main. À partir de là, il m’est apparu clairement que les professionnels de la sécurité devaient savoir pourquoi ils font confiance ou non à un fournisseur de services. 

L’environnement de l’application Smartsheet est en constante amélioration, c’est pourquoi nous effectuons continuellement des tests de sécurité itératifs, mais complets à tous les niveaux : matériel, réseau, système individuel, service et application. Ceci est obligatoire pour toute entreprise à haute intégrité qui fournit une plateforme SaaS adaptée aux entreprises. 

Concernant l’application, nous effectuons régulièrement des tests d’intrusion internes et externes. Nous réalisons des revues de code au niveau de l’application dans le cadre de notre processus de développement et nous effectuons des analyses actives avant tout déploiement de code. 

Ensuite, nous procédons à des évaluations par les pairs et nous participons à un programme de primes de bugs, dans le cadre duquel nous autorisons des chercheurs tiers à examiner nos environnements et à signaler les bugs. Nous corrigeons alors tous les bugs et failles mis en évidence dans le cadre de ces processus. Du point de vue de la sécurité, nous prenons en compte les différents angles d’attaque potentiels afin de ne rien laisser au hasard. 

Illustration of a web connecting people

Contribuer à la communauté de la sécurité de l’information

Les technologies de l’information sont un écosystème. Le cloud computing, les centres de données sur site, les réseaux, les systèmes téléphoniques, les systèmes numériques, de nos jours, tout est lié.

C’est pourquoi, chez Smartsheet, nous nous associons sciemment avec des organisations et d’autres fournisseurs SaaS afin de relever les défis communs auxquels nous sommes tous confrontés. Pour ce qui est des produits, nous nous associons à d’autres offres logicielles adaptées aux entreprises telles que Salesforce et Google. Ces entreprises ont fait preuve de diligence raisonnable pour s’assurer que leurs plateformes sont, à leur connaissance, protégées.

En tant que leader dans le domaine de la gestion du travail collaboratif (CWM), Smartsheet s’intègre également dans la communauté de la sécurité de l’information au sens large. En 2018, Smartsheet a rejoint le Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG), un groupe de travail international qui vise à lutter contre tous les types d’abus sur le réseau, car il est essentiel d’écouter et de travailler avec nos pairs pour créer des normes industrielles, de la documentation et fournir des conseils.

Mais cela va plus loin, car des organisations de toutes tailles et de tous les secteurs utilisent Smartsheet au quotidien. Nous avons une occasion unique d’écouter nos clients dans tous les secteurs d’activité, de comprendre en profondeur les défis auxquels ils sont confrontés en matière de sécurité et de confidentialité des données, mais aussi de conseiller les autres fournisseurs SaaS dans ce domaine. Ce niveau de partage des connaissances et d’alignement sur les meilleures pratiques profite à tous nos clients.

Le fait de rejoindre des organisations telles que le M3AAWG nous permet également de guider les technologues et les startups de demain qui travaillent déjà à la mise en œuvre d’idées formidables. Étant donné que la plupart des grandes organisations (mais pas toutes) sont généralement moins agiles et ont besoin de plus de temps pour changer d’orientation, adopter et innover, il est important de fournir aux entreprises en phase de croissance qui souhaitent évoluer et aux étudiants les meilleures pratiques en matière de processus et de protocoles de sécurité. 

Finalement, la prochaine génération d’entreprises arrivera à maturité et les étudiants spécialisés dans la technologie feront leur entrée sur le marché du travail et guideront alors notre avenir collectif. Les professionnels de la sécurité ont certes l’occasion d’être des mentors, mais aussi d’apprendre de la nouvelle génération comment établir et maintenir des relations de confiance avec les futurs clients.

Abonnez-vous à la newsletter informatique de Smartsheet pour obtenir des conseils et découvrir des stratégies et des idées visant à aider les professionnels de l’informatique à accroître leur impact sur leur entreprise.

Pour en savoir plus sur les politiques de Smartsheet en matière de sécurité de l’information, de conformité, de gestion et de protection des données, visitez notre Trust Center.

Visiter notre Trust Center