Sécuriser les organisations de ventes

Un plan d'action pour pérenniser vos stratégies de sécurité

Afin d'assurer leur réussite, la plupart des entreprises doivent impérativement mettre tout en œuvre pour offrir les outils nécessaires aux équipes commerciales. Après tout, le service des ventes constitue le moteur principal de la génération de revenus. Toutefois, il s'agit aussi souvent de la division opérationnelle la plus difficile à soutenir et à sécuriser. Or, comme les équipes de vente représentent souvent un pourcentage important de l'ensemble des collaborateurs, les solutions à ces défis peuvent parfois demander de lourds investissements en termes de temps et d'efforts.

Pourquoi est-il si difficile de soutenir le service commercial ? Pour commencer, les équipes de vente peuvent se révéler très exigeantes vis-à-vis des ressources internes. Ainsi, lorsqu'ils s'efforcent de conclure une affaire, les collaborateurs du service commercial souhaitent souvent apporter leurs propres cadres aux réunions, par exemple, afin de montrer aux clients potentiels qu'ils bénéficient d'un soutien total de la part de l'entreprise. Bien entendu, lorsqu'ils planifient une réunion avec un client, cette demande de cadres est toujours urgente. Les cadres comprennent l'importance de ces réunions et acceptent donc autant d'invitations que possible. Il n'est pas rare qu'un cadre participe à plusieurs appels de vente chaque semaine.

Le personnel de vente incarne également les cas extrêmes de travail à distance et hybride. De nombreux employés en télétravail exercent principalement à partir d'un seul endroit : leur domicile. Le personnel de vente doit être pleinement productif partout ; des bureaux distants jusqu'aux sites de clients, où qu'ils se trouvent. À l'instar de la plupart des travailleurs à distance et en hybride, le personnel de vente a besoin d'un accès rapide et simple aux outils essentiels. Mais il est également amené à travailler avec des informations très sensibles, notamment des données sur les clients, des informations d'identification personnelle, des clauses contractuelles et des ressources confidentielles de l'entreprise.

Les membres des équipes de vente sont en outre plus souvent en déplacement que les autres collaborateurs en télétravail. Ils accèdent à des données précieuses à partir de plusieurs appareils et de connexions réseau variées (potentiellement vulnérables). Ils sont donc souvent plus vulnérables aux cyberattaques. L'équipe de sécurité doit permettre à l'équipe de vente d'accéder aux ressources et aux informations avec agilité, tout en réduisant les risques liés à un large éventail de menaces.

Comment concilier les besoins potentiellement contradictoires des équipes de vente et des équipes chargées de la sécurité ? Il convient tout d'abord de comprendre ce que les équipes commerciales attendent réellement de l'IT, notamment sur le plan des données, des applications et des autres ressources auxquelles elles peuvent accéder et des endroits depuis lesquels elles peuvent le faire. Ces informations vous aideront à identifier les types de cybermenaces auxquelles les équipes de vente sont confrontées, à identifier les limites de vos solutions de sécurité existantes, à calculer les risques et à mettre en place les mesures de contrôle de la sécurité appropriées. Pour soutenir leurs équipes de vente sans mettre en péril le réseau de l'entreprise et les données sur les clients, de nombreuses entreprises doivent mettre en œuvre une nouvelle stratégie de la sécurité, plus moderne.

Il est difficile de soutenir les équipes commerciales. Toutefois, les entreprises qui y parviennent peuvent mettre au point un plan d'action efficace pour soutenir le reste de l'organisation.

Quelles sont les attentes des équipes de vente concernant le service IT ?

Les équipes de vente ont besoin d'accès. Plus précisément, les équipes de vente ont besoin d'accéder à des informations très sensibles concernant les clients, qui peuvent non seulement comprendre des coordonnées, mais également des organigrammes et des informations détaillées sur le déploiement de solutions technologiques particulières par les clients.

Le personnel de vente peut avoir besoin d'accéder à ces informations sensibles depuis une multitude de sources. Par exemple, il peut utiliser des outils de gestion de la relation client (CRM, Customer Relationship Management) et de prospection pour identifier et démarcher des clients potentiels. Il peut également utiliser le système d'assistance à la clientèle de l'entreprise pour collecter des informations sur les clients existants.

En même temps, elles ont besoin d'accéder à des informations sensibles concernant leur propre entreprise. Par exemple, de nombreux clients de Cloudflare doivent se conformer à des réglementations gouvernementales strictes. Notre équipe de vente doit garantir que nous respectons des normes de sécurité spécifiques. En plus de mettre en avant nos multiples certifications, le personnel de vente peut avoir besoin de transmettre des informations concernant nos pratiques internes en matière de sécurité et de protection de la vie privée. Il s'agit d'informations dont les autres travailleurs à distance n'ont généralement pas besoin.

Parallèlement, il doit avoir accès à un ensemble complet d'outils de communication et de productivité. Le personnel de vente doit pouvoir accéder à ces ressources et ces outils, où qu'il se trouve, en recourant à différentes méthodes de connectivité. Comme d'autres travailleurs à distance ou hybrides, les membres du personnel de vente peuvent travailler une partie du temps depuis leur domicile, en se connectant au réseau de l'entreprise avec leur connexion Internet personnelle. Mais ils travaillent aussi souvent lorsqu'ils sont sur la route, lorsqu'ils se rendent chez les clients, avec un réseau cellulaire ou un réseau WiFi public lorsqu'il s'agit de se connecter depuis un aéroport, une voiture ou un hôtel.

Où qu'il se trouve, il s'attend à bénéficier d'un accès rapide et fluide aux applications et aux données. Si un collaborateur de l'équipe de vente dispose de cinq minutes avant un vol pour envoyer une présentation ou saisir des informations dans un système CRM, il ne souhaite pas se heurter à des problèmes de connectivité. Et lorsqu'il anime une présentation ou une démonstration pour un client, il ne peut pas se permettre de consacrer beaucoup de temps au traitement d'une multitude de demandes d'authentification. Toute difficulté d'accès survenant lors d'une réunion avec un client peut nuire à une opportunité de vente.

La mise en place d'une solution d'accès aux informations depuis n'importe quel endroit du monde pour les équipes commerciales se révèle source de défis pour les équipes chargées de l'IT et de la sécurité, car ces collaborateurs très mobiles et travaillant fréquemment à distance sont vulnérables à de nombreuses menaces envers la cybersécurité.

À quelles menaces les équipes de vente font-elles face ?

Le personnel de vente est confronté à l'ensemble des menaces de sécurité auxquelles sont confrontés les travailleurs à distance ou en hybride typiques, à la différence près qu'une partie d'entre elles sont amplifiées par la mobilité de l'équipe de vente. Et comme ces collaborateurs ont accès à des informations très sensibles, ces menaces peuvent mettre en péril l'ensemble de votre entreprise. Les cinq menaces les plus courantes sont liées à la manière dont le personnel de vente travaille et aux endroits depuis lesquels il travaille :

1. Accès au cloud et phishing : les cyberattaquants savent que les professionnels mobiles et en télétravail sont plus nombreux aujourd'hui qu'il y a cinq ans, qu'il s'agisse de personnel de vente ou de collaborateurs au sein d'autres unités opérationnelles. Par conséquent, les acteurs malveillants ciblent chaque jour davantage les technologies utilisées par ces professionnels pour accéder à distance aux ressources des entreprises, notamment les applications dans le cloud et les réseaux privés virtuels (VPN). Leur stratégie repose souvent sur le phishing : si des acteurs malveillants parviennent à duper des professionnels en les incitant à saisir leurs informations d'identification sur un site web frauduleux, ils peuvent utiliser ces identifiants pour se connecter aux applications cloud ou au réseau privé virtuel de l'entreprise, et ainsi, accéder à son réseau.

2. Interception du trafic Internet : lorsque les vendeurs utilisent un réseau WiFi public non sécurisé, le cyberattaquant peut tenter d'intercepter le trafic Internet. S'il y parvient, il peut avoir accès à tout ce que ces collaborateurs envoient sur Internet, par exemple les e-mails contenant des données sensibles ou, ce qui est encore plus problématique, leurs identifiants de connexion. Si l'entreprise n'utilise pas une authentification multifacteur (MFA), ces informations d'identification permettent d'accéder facilement aux systèmes de l'entreprise. La sécurité doit prévoir une solution sécurisée pour remplacer le WiFi public et sensibiliser au risque, faute de quoi, l'aspect pratique du WiFi public engendrera une exposition au risque pour l'organisation .

3. Informatique clandestine (Shadow IT) : les collaborateurs peuvent s'inscrire à de nouvelles ressources cloud sans en informer le service IT ni l'équipe de sécurité. Un ingénieur commercial, par exemple, pourrait activer un nouvel environnement de démonstration dans le cloud sans protéger correctement cet environnement et ainsi faire peser une nouvelle vulnérabilité sur la propriété intellectuelle de l'entreprise. Un membre de l'équipe de vente pourrait également essayer de rédiger un e-mail convaincant en saisissant des informations sur le client ou des éléments de propriété intellectuelle de l'entreprise dans un outil d'IA générative, sans se rendre compte que cet outil ne garantit aucunement la confidentialité des données.

4. Vol d'appareils : selon un récent rapport, les appareils perdus ou volés sont à l'origine de 17 % de la totalité des violations de données et le personnel de ventes mobile est plus susceptible que les autres collaborateurs d'être confronté au vol physique ou à la perte d'un appareil. Si vous laissez par erreur votre ordinateur portable dans votre voiture pendant le déjeuner, il est possible que votre ordinateur ne soit plus là à votre retour. Et si votre environnement de travail numérique n'est pas correctement sécurisé, le voleur peut potentiellement avoir accès à une multitude de données sensibles.

5. Perte de données : un collaborateur de l'équipe commerciale quittant l'entreprise pourrait tenter d'emporter des informations sur les clients. Il pourrait, par exemple, chercher à enrichir son carnet d'adresses numérique personnel (et peut-être aider un futur employeur) en copiant des coordonnées, des informations sur les contrats ou d'autres données concernant les clients, même si l'entreprise qu'il quitte interdit formellement ces pratiques. Un membre de l'équipe de vente peut même emporter des informations concernant les outils logiciels utilisés par les clients. Les employeurs doivent donc appliquer des mesures de prévention des pertes de données, notamment dans le secteur de la cybersécurité, afin d'éviter à tout prix que leurs collaborateurs ne quittent l'entreprise en emportant ces informations.

Les limites des technologies de sécurité existantes

Dans un passé encore récent, les collaborateurs en télétravail et mobiles étaient généralement contraints de passer par un VPN pour se connecter au réseau de l'entreprise. Toutefois, cette expérience se révélait particulièrement fastidieuse pour de nombreux utilisateurs. La connexion au réseau était lente et les utilisateurs mobiles devaient se reconnecter à chaque fois qu'ils se rendaient sur un nouveau site. L'expérience était pire encore en cas d'utilisation d'applications de vidéoconférence, qui nécessitent une large bande passante et des performances réseau constantes. L'adoption rapide des applications de vidéoconférence ces dernières années a incité les services chargés de l'IT et de la sécurité à trouver une alternative aux VPN pour protéger le trafic réseau.

Certaines entreprises ont pourtant considérablement intensifié leur utilisation des VPN lorsque le nombre de leurs collaborateurs en télétravail s'est accru. Plus les équipes de vente avaient recours à de nouveaux outils de chat et à de nouvelles applications collaboratives, plus les équipes chargées de l'IT et de la sécurité devaient trouver un moyen de protéger les données et les documents partagés par l'intermédiaire de ces outils. Certaines institutions de services financiers ont imposé l'utilisation de VPN actifs en permanence à leurs équipes de vente, par exemple. Là encore, l'expérience de la connexion à un VPN actif en permanence lors d'un déplacement peut se révéler très frustrante pour les utilisateurs.

Toutefois, il était (et il est toujours) difficile pour les entreprises de faire évoluer leurs solutions VPN. Pendant la pandémie, de nombreuses entreprises se sont retrouvées brutalement avec un grand nombre de leurs effectifs en télétravail, dépendant tous d'un réseau privé virtuel (VPN), et les systèmes sont tombés en panne. Les entreprises ont besoin d'une solution évolutive, permettant la prise en charge d'une main-d'œuvre distante et mobile, nombreuse et potentiellement croissante.

Surmonter les limitations antérieures grâce à une approche moderne de la sécurité

Le déploiement de l'approche Zero Trust afin de sécuriser les équipes de vente et les autres collaborateurs en télétravail s'appuie sur un argumentaire amplement justifié. Le Zero Trust peut simplifier l'accès pour les utilisateurs, tout en assurant une sécurité solide, capable de répondre aux nombreuses faiblesses des VPN, notamment aux problèmes de performances et d'évolutivité.

Toutes les solutions Zero Trust ne se valent pas, bien entendu. Certaines entreprises l'ont appris à leurs dépens. Elles pourraient, par exemple, avoir opté pour un fournisseur qui ne dispose que de 20 à 25 points de connexion à travers le monde. Ce choix aurait dès lors entraîné des problèmes récurrents de rapidité et de performances pour les collaborateurs de leurs équipes de vente et leurs autres utilisateurs distants. À l'heure où les collaborateurs travaillent depuis toujours plus d'endroits différents, les entreprises ont besoin d'une solution qui permette à tous leurs utilisateurs de se connecter à des sites réseau proches, peu importe leur position géographique.

La plupart des entreprises bénéficieront du déploiement d'une approche Zero Trust intégrée à une plateforme SASE complète (Secure Access Service Edge), service d'accès sécurisé en périphérie). Notre solution de passerelle web sécurisée (SWG, Secure Web Gateway), notre service d'isolement de navigateur et nos fonctionnalités de sécurité du courrier électronique dans le cloud peuvent, par exemple, répondre aux menaces de phishing susceptibles d'entraîner de graves violations de données. Un CASB (Cloud Access Security Broker, agent de sécurité des accès cloud) peut assurer un accès sécurisé aux applications SaaS. Les outils de prévention des pertes de données, quant à eux, peuvent empêcher la perte d'informations sensibles par e-mail ou la suppression volontaire de données par des membres du service des ventes lorsqu'ils quittent l'entreprise.

J'ai également constaté que les petites agences de vente régionales délaissaient la technologie de commutation multiprotocole par étiquette (MPLS, Multiprotocol Label Switching) qui avait été initialement mise en place pour accélérer les connexions réseau. La technologie MPLS est coûteuse, nécessite un long temps de configuration, manque de fonctionnalités de sécurité et ne permet pas d'assurer une connexion directe aux services cloud. Les entreprises explorent actuellement des solutions WAN de nouvelle génération pour remplacer le MPLS. Une solution WAN performante s'appuie sur un réseau dans le cloud pour simplifier le déploiement et réduire les coûts, tout en proposant une fonctionnalité Zero Trust intégrée.

Trouver le point d'équilibre – et établir un plan d'action

Les équipes de vente seront toujours composées d'éléments mobiles, travaillant à distance. La plupart des entreprises doivent impérativement mettre tout en œuvre pour offrir les outils nécessaires aux équipes commerciales, car ce sont elles qui génèrent des revenus. Cette nécessité continuera toutefois d'être une gageure pour les entreprises dont les équipes chargées de l'IT et de la sécurité dépendent toujours de VPN et d'autres outils de sécurité traditionnels.

Il existe fort heureusement un moyen d'équilibrer les besoins des équipes de vente et des équipes responsables de la sécurité : l'adoption d'une approche Zero Trust proposée par l'intermédiaire d'une plateforme moderne peut assurer un accès rapide, simple et fluide aux ressources essentielles pour les collaborateurs du service des ventes, tout en protégeant les réseaux de l'entreprise et les informations sensibles concernant ses clients. Les équipes chargées de l'IT et de la sécurité peuvent permettre aux membres des équipes de vente de travailler de manière nomade, tout en conservant le même niveau de contrôle sur eux que celui dont ils disposent sur les collaborateurs présents dans les locaux de l'entreprise. Une fois ce modèle mis en place pour l'équipe des ventes, les services chargés de l'IT et de la sécurité disposeront d'un plan détaillé pour prendre en charge un nombre croissant de collaborateurs en télétravail et donner naissance à une entreprise beaucoup plus flexible et agile.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Approfondir le sujet

Vous trouverez davantage d'informations sur la marche à suivre pour évoluer vers une architecture SASE dans notre e-book intitulé Renforcez la sécurité partout où vous exercez une activité !

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• Les cinq menaces les plus répandues découlant de la manière dont le personnel de vente travaille et des endroits depuis lesquels il travaille

• Comment permettre un accès omniprésent, efficace et sécurisé

• La manière dont les entreprises peuvent bénéficier de l'agilité du Zero Trust

Ressources associées

• Comment renforcer la sécurité partout où vous exercez votre activité

• Évolution vers une architecture SASE

• Les arguments économiques en faveur du Zero Trust

• Sécuriser durablement le travail décentralisé au sein de l'entreprise