Sécuriser les organisations de ventes

Un plan d'action pour pérenniser vos stratégies de sécurité

Pour la plupart des entreprises, il est primordial d'offrir davantage de latitude aux équipes commerciales, afin d'assurer leur succès. Le service commercial est, après tout, le principal moteur de la dynamisation des revenus. Cependant, il s'agit souvent de la division opérationnelle la plus difficile à accompagner et à sécuriser. Et puisque les équipes commerciales représentent souvent un pourcentage important de la main-d'œuvre, les solutions à ces difficultés passent parfois par un investissement important en temps et en efforts.

Pourquoi est-il si difficile d'accompagner le service commercial ? Tout d'abord, le personnel de vente peut être très exigeant vis-à-vis des ressources internes. Par exemple, lorsqu'ils s'efforcent de conclure des affaires, les collaborateurs du service commercial souhaitent souvent faire venir leurs propres cadres aux réunions afin de donner aux prospects l'assurance qu'ils disposent d'un soutien intégral de la part de l'entreprise. Et bien sûr, lorsqu'ils organisent une réunion avec un client, la demande de cadres est toujours urgente. Les cadres comprennent l'importance de ces réunions et acceptent donc autant d'invitations que possible. Il n'est pas rare qu'un cadre participe à plusieurs appels de vente par semaine.

Le personnel de vente incarne également les cas extrêmes de travail à distance et hybride. De nombreux employés en télétravail exercent principalement à partir d'un seul endroit : leur domicile. Le personnel de vente doit être pleinement productif partout ; des bureaux distants jusqu'aux sites de clients, où qu'ils se trouvent. À l'instar de la plupart des travailleurs à distance et en hybride, le personnel de vente a besoin d'un accès rapide et simple aux outils essentiels. Mais il est également amené à travailler avec des informations très sensibles, notamment des données sur les clients, des informations d'identification personnelle, des clauses contractuelles et des ressources confidentielles de l'entreprise.

Il est plus souvent en déplacement que les autres travailleurs à distance et il accède à des données précieuses à partir d'appareils multiples et de connexions réseau variées (potentiellement vulnérables). Il est donc souvent plus vulnérable aux cyberattaques. L'équipe de sécurité doit permettre à l'équipe de vente d'accéder aux ressources et aux informations avec agilité tout en réduisant les risques liés à un large éventail de menaces.

Comment concilier les besoins potentiellement contradictoires des équipes de vente et du personnel chargé de la sécurité ? Tout d'abord, vous devez comprendre ce que le personnel de vente attend réellement de l'informatique : quelles données, applications et autres ressources, et à partir de quels endroits. Ces informations vous aideront à identifier les types de cybermenaces auxquelles les équipes de vente sont confrontées, à découvrir les limites des solutions de sécurité existantes, à calculer les risques et à mettre en place les contrôles de sécurité appropriés. Pour soutenir les équipes de vente sans mettre en péril le réseau de l'entreprise et les données concernant les clients, de nombreuses entreprises doivent mettre en œuvre une stratégie nouvelle et moderne de la sécurité.

Soutenir le personnel de vente est une tâche ardue. Les entreprises qui y parviennent, toutefois, peuvent élaborer un plan d'action efficace pour soutenir l'organisation dans son ensemble.

Qu'attend le personnel de vente du service informatique ?

Les équipes de vente ont besoin d'accès. Plus précisément, les équipes de vente ont besoin d'accéder à des informations très sensibles concernant les clients, qui peuvent non seulement comprendre des coordonnées, mais également des organigrammes et des informations détaillées sur le déploiement de solutions technologiques particulières par les clients.

Le personnel de vente peut avoir besoin d'accéder à ces informations sensibles depuis une multitude de sources. Par exemple, il peut utiliser des outils de gestion de la relation client (CRM, Customer Relationship Management) et de prospection pour identifier et démarcher des clients potentiels. Il peut également utiliser le système d'assistance à la clientèle de l'entreprise pour collecter des informations sur les clients existants.

En même temps, elles ont besoin d'accéder à des informations sensibles concernant leur propre entreprise. Par exemple, de nombreux clients de Cloudflare doivent se conformer à des réglementations gouvernementales strictes. Notre équipe de vente doit garantir que nous respectons des normes de sécurité spécifiques. En plus de mettre en avant nos multiples certifications, le personnel de vente peut avoir besoin de transmettre des informations concernant nos pratiques internes en matière de sécurité et de protection de la vie privée. Il s'agit d'informations dont les autres travailleurs à distance n'ont généralement pas besoin.

Parallèlement, il doit avoir accès à un ensemble complet d'outils de communication et de productivité. Le personnel de vente doit pouvoir accéder à ces ressources et ces outils, où qu'il se trouve, en recourant à différentes méthodes de connectivité. Comme d'autres travailleurs à distance ou hybrides, les membres du personnel de vente peuvent travailler une partie du temps depuis leur domicile, en se connectant au réseau de l'entreprise avec leur connexion Internet personnelle. Mais ils travaillent aussi souvent lorsqu'ils sont sur la route, lorsqu'ils se rendent chez les clients, avec un réseau cellulaire ou un réseau WiFi public lorsqu'il s'agit de se connecter depuis un aéroport, une voiture ou un hôtel.

Où qu'il se trouve, il s'attend à bénéficier d'un accès rapide et fluide aux applications et aux données. Si un collaborateur de l'équipe de vente dispose de cinq minutes avant un vol pour envoyer une présentation ou saisir des informations dans un système CRM, il ne souhaite pas se heurter à des problèmes de connectivité. Et lorsqu'il anime une présentation ou une démonstration pour un client, il ne peut pas se permettre de consacrer beaucoup de temps au traitement d'une multitude de demandes d'authentification. Toute difficulté d'accès survenant lors d'une réunion avec un client peut nuire à une opportunité de vente.

La nécessité de permettre au personnel de vente, où qu'ils se trouvent, un accès à des informations sensibles engendre des difficultés pour les services informatiques et de sécurité, en effet, ces effectifs, distants et très mobiles, sont vulnérables à une multitude de menaces de cybersécurité.

À quelles menaces sont confrontées les équipes de vente ?

Le personnel de vente est confronté à l'ensemble des menaces de sécurité auxquelles sont confrontés les travailleurs à distance ou en hybride typiques, à la différence près qu'une partie d'entre elles sont amplifiées par la mobilité de l'équipe de vente. Et comme ces collaborateurs ont accès à des informations très sensibles, ces menaces peuvent mettre en péril l'ensemble de votre entreprise. Les cinq menaces les plus courantes sont liées à la manière dont le personnel de vente travaille et aux endroits depuis lesquels il travaille :

1. Accès au cloud et phishing : les cyberattaquants savent que les professionnels mobiles et en télétravail sont plus nombreux aujourd'hui qu'il y a cinq ans, qu'il s'agisse de personnel de vente ou de collaborateurs au sein d'autres unités opérationnelles. Par conséquent, les acteurs malveillants ciblent chaque jour davantage les technologies utilisées par ces professionnels pour accéder à distance aux ressources des entreprises, notamment les applications dans le cloud et les réseaux privés virtuels (VPN). Leur stratégie repose souvent sur le phishing : si des acteurs malveillants parviennent à duper des professionnels en les incitant à saisir leurs informations d'identification sur un site web frauduleux, ils peuvent utiliser ces identifiants pour se connecter aux applications cloud ou au réseau privé virtuel de l'entreprise, et ainsi, accéder à son réseau.

2. Interception du trafic Internet : lorsque les vendeurs utilisent un réseau WiFi public non sécurisé, le cyberattaquant peut tenter d'intercepter le trafic Internet. S'il y parvient, il peut avoir accès à tout ce que ces collaborateurs envoient sur Internet, par exemple les e-mails contenant des données sensibles ou, ce qui est encore plus problématique, leurs identifiants de connexion. Si l'entreprise n'utilise pas une authentification multifacteur (MFA), ces informations d'identification permettent d'accéder facilement aux systèmes de l'entreprise. La sécurité doit prévoir une solution sécurisée pour remplacer le WiFi public et sensibiliser au risque, faute de quoi, l'aspect pratique du WiFi public engendrera une exposition au risque pour l'organisation .

3. Informatique fantôme (Shadow IT) : le personnel peut s'inscrire à de nouvelles ressources dans le cloud sans en informer le service informatique ou de sécurité. Par exemple, un ingénieur commercial peut activer un nouvel environnement de démonstration dans le cloud sans protéger correctement cet environnement, et ainsi, rendre vulnérable l'adresse IP de l'entreprise. Ou encore, un membre de l'équipe de vente peut souhaiter rédiger un e-mail attrayant en saisissant des informations sur le client ou l'adresse IP de l'entreprise dans un outil d'IA générative, sans se rendre compte que ce dernier ne garantit pas la confidentialité des données.

4. Vol d'appareils : selon un récent rapport, les appareils perdus ou volés sont à l'origine de 17 % de la totalité des violations de données et le personnel de ventes mobile est plus susceptible que les autres collaborateurs d'être confronté au vol physique ou à la perte d'un appareil. Si vous laissez par erreur votre ordinateur portable dans votre voiture pendant le déjeuner, il est possible que votre ordinateur ne soit plus là à votre retour. Et si votre environnement de travail numérique n'est pas correctement sécurisé, le voleur peut potentiellement avoir accès à une multitude de données sensibles.

5. Perte de données : si un collaborateur de l'équipe de vente quitte l'entreprise, il peut tenter d'emporter avec lui des informations sur les clients. Il peut, par exemple, souhaiter enrichir son carnet d'adresses numérique personnel (ou peut-être aider un futur employeur) en copiant des coordonnées de clients, des contrats ou d'autres données concernant des clients, même si l'entreprise qu'il quitte interdit formellement ces pratiques. Un membre de l'équipe de vente peut même emporter des informations concernant les outils logiciels utilisés par les clients. Dans le secteur de la cybersécurité en particulier, les employeurs doivent appliquer des contrôles de prévention des pertes de données pour éviter à tout prix que des collaborateurs ne quittent l'entreprise en emportant ces informations.

Les limites des technologies de sécurité existantes

Dans un passé encore récent, le personnel distant et mobile était généralement contraint d'utiliser un VPN pour se connecter au réseau de l'entreprise. Cependant, pour de nombreux utilisateurs, l'expérience était particulièrement fastidieuse : les performances du réseau étaient lentes, et les utilisateurs mobiles devaient se reconnecter à chaque fois qu'ils se rendaient sur un nouveau site. L'expérience était pire encore lors de l'utilisation d'applications de vidéoconférence, qui nécessitent une large bande passante et des performances réseau constantes. L'adoption rapide des applications de vidéoconférence, au cours des dernières années, a incité les services informatiques et de sécurité à trouver une solution de remplacement aux VPN afin de protéger le trafic réseau.

Néanmoins, certaines entreprises ont considérablement intensifié leur utilisation des VPN à mesure que leurs effectifs en télétravail se sont développés. Les équipes de ventes ayant de plus en plus recours à des outils de chat et de collaboration, les services informatiques et de sécurité ont dû trouver un moyen de protéger les documents et autres données partagés par l'intermédiaire de ces outils. Certains établissements de services financiers, par exemple, ont imposé à leurs équipes de vente d'avoir toujours un VPN actif. Là encore, toutefois, l'expérience de la connexion à un VPN toujours actif pendant un déplacement peut être très frustrante pour les utilisateurs.

Toutefois, il était (et il est toujours) difficile pour les entreprises de faire évoluer leurs solutions VPN. Pendant la pandémie, de nombreuses entreprises se sont retrouvées brutalement avec un grand nombre de leurs effectifs en télétravail, dépendant tous d'un réseau privé virtuel (VPN), et les systèmes sont tombés en panne. Les entreprises ont besoin d'une solution évolutive, permettant la prise en charge d'une main-d'œuvre distante et mobile, nombreuse et potentiellement croissante.

Surmonter les limitations antérieures grâce à une approche moderne de la sécurité

L'argumentaire opérationnel de la sécurisation fondée sur l'approche Zero Trust du personnel de vente et des autres télétravailleurs est tout à fait pertinent. L'architecture Zero Trust peut simplifier l'accès pour les utilisateurs, tout en fournissant une sécurité solide, capable de répondre aux nombreuses faiblesses des VPN, notamment aux problèmes de performances et d'évolutivité.

Toutefois, toutes les solutions Zero Trust ne se valent pas, et certaines entreprises l'ont appris à leurs dépens. Elles ont, par exemple, pu opter pour un fournisseur qui ne dispose que de 20 à 25 points de connexion dans le monde ; cela aura entraîné, pour leurs vendeurs et leurs autres utilisateurs distants, des problèmes récurrents de rapidité et de performances. À l'heure où les collaborateurs s'éloignent toujours davantage du siège social, les entreprises ont besoin d'une solution qui permette à tous les utilisateurs de se connecter à des sites réseau proches, où qu'ils se trouvent dans le monde.

La plupart des entreprises bénéficieront du déploiement d'une approche Zero Trust intégrée à une plateforme SASE (Secure Access Service Edge) complète. Par exemple, une solution Secure Web Gateway, un service d'isolement de navigateur et des fonctionnalités de sécurité du courrier électronique dans le cloud peuvent répondre aux menaces liées au phishing, qui sont susceptibles d'entraîner de graves violations de données. Les outils CASB (Cloud Access Security Broker) peuvent fournir un accès sécurisé aux applications SaaS. Les fonctionnalités de prévention de perte de données quant à elles peuvent empêcher la perte d'informations sensibles par e-mail ou la suppression volontaire de données par des membres du personnel des ventes lorsqu'ils quittent l'entreprise.

Il a été constaté que les petites agences commerciales délaissaient la technologie de commutation multiprotocole par étiquette (MPLS, Multiprotocol Label Switching), qui avait été initialement mise en place pour accélérer les connexions réseau. La technologie MPLS est coûteuse, implique un long délai d'installation, dispose de fonctionnalités de sécurité insuffisantes et ne permet pas d'offrir une connexion directe aux services de cloud. Les entreprises explorent actuellement des solutions WAN de nouvelle génération pour remplacer les systèmes MPLS. Une solution WAN performante utilise un réseau dans le cloud pour simplifier le déploiement et réduire les coûts, tout en offrant une fonctionnalité Zero Trust intégrée.

Trouver le point d'équilibre – et établir un plan d'action

Les équipes de vente formeront toujours une main-d'œuvre mobile, travaillant à distance. Pour la plupart des entreprises, il est vital d'offrir davantage de latitude à ce personnel, car les ventes dynamisent des revenus. Cependant, cette nécessité continuera d'être une gageure pour les entreprises dont les services informatiques et de sécurité sont toujours dépendants des VPN et autres outils de sécurité traditionnels.

Heureusement, il existe un moyen d'équilibrer les besoins des équipes de vente et des équipes responsables de la sécurité : l'adoption d'une approche Zero Trust avec une plateforme moderne peut fournir au personnel de vente un accès rapide, simple et fluide aux ressources essentielles, tout en protégeant les réseaux des entreprises et les informations sensibles concernant les clients. Les équipes responsables de l'informatique et de la sécurité peuvent permettre au personnel de vente de travailler depuis n'importe quel endroit, tout en conservant sur lui le même niveau de contrôle que celui qu'ils appliquent aux collaborateurs présents dans les locaux de l'entreprise. Une fois ce modèle mis en place pour le service des ventes, les services informatiques et de sécurité disposeront d'un plan détaillé pour prendre en charge un nombre croissant de collaborateurs en télétravail et développer une organisation beaucoup plus flexible et agile.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Approfondir le sujet

Découvrez comment évoluer vers une architecture SASE et obtenez l'e-book Renforcez la sécurité partout où vous exercez une activité !

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• Les cinq menaces les plus répandues découlant de la manière dont le personnel de vente travaille et des endroits depuis lesquels il travaille

• Comment permettre un accès omniprésent, efficace et sécurisé

• Comment les entreprises peuvent bénéficier de l'agilité de l'architecture Zero Trust

Ressources associées :

• Comment renforcer la sécurité partout où vous exercez votre activité

• Évolution vers une architecture SASE

• L'analyse de rentabilité de la sécurité Zero Trust

• Sécuriser durablement le travail décentralisé au sein de l'entreprise