Les applications "business-to-customer" (B2C) sont le ciment reliant les entreprises à leurs clients. Ces applications B2C fournissent pléthore de services : gestion des comptes clients, traitement des paiements, programmes de fidélité, assistance à la clientèle, et bien d'autres fonctions nécessaires aux clients pour entrer en contact avec leurs fournisseurs ou prestataires de services privilégiés.
Parce que Teleperformance assiste à travers plus de 80 pays des milliers de clients pour l’élaboration de ces applications B2C, nous bénéficions d’une expertise unique dans la détection et à la prévention de la fraude. Dans le cadre de nos prestations clients, nous réalisons plus de 900 évaluations de risques par an pour tester le niveau de sécurité de ces applications, et fournissons des recommandations pour les renforcer.
De jour en jour, notre objectif est de protéger les données clients (numéro IPI, carte de crédit, informations personnelles sur la santé...) contre toute tentative de fraude - qu'elle soit le fait d'une menace extérieure ou d'un collaborateur peu scrupuleux. Issues de ce travail, vous trouverez ci-dessous certaines tendances que nous avons observées lors de l'évaluation des risques, desquelles découlent des recommandations à suivre dès le début du processus de développement des applications. Mieux vaut prévenir que guérir !
1. Assurer une identification correcte du client
Bien que cette faille soit devenue moins courante dans les applications, elle reste la première ligne de défense pour empêcher les fraudeurs d’accéder aux données du client. Vos conseillers du service assistance doivent disposer d'un moyen infaillible pour identifier le client avant d’interagir avec lui. C’est particulièrement essentiel pour le traitement des paiements ou autres transactions bancaires.
Quelques best practice matière d’identification client :
- Empreinte vocale
- Envoi d'un code d'accès unique par téléphone portable
- Confirmation que le numéro de téléphone portable lié au compte est identifié comme l'appareil utilisé
- Cookies de navigateur et empreintes digitales pour les services B2C non vocaux
- Utilisation de questions de sécurité et d’un code PIN (contrôle moins efficace, mais plus facile à mettre en place après déploiement de l'application)
L'option la moins sûre consiste à demander au client son adresse postale, ou de fournir toute autre référence facilement accessible.
2. Envoyer au client des notifications en cas de modification des infos de son compte
SI un fraudeur parvient à dépasser le premier niveau de sécurité, à savoir accéder aux informations du compte client, sa prochaine étape sera d’essayer de les modifier pour commettre son délit. Changement d'adresse postale, d'e-mail, de numéro de téléphone...le fraudeur tentera d’avoir un accès illimité au compte, et même d’en refuser l’accès au vrai client.
Il existe de nombreuses façons de s'attaquer à ce problème. L'option la plus simple consiste à envoyer une notification lorsque des informations importantes sur le compte sont modifiées. L'approche de notification la plus efficace consiste à envoyer un SMS au téléphone portable indiqué sur le compte, avec un lien demandant au client d'approuver ou de refuser la modification par une simple réponse "OUI" ou "NON". La confirmation par e-mail est également possible, mais souvent avec un temps de réaction plus long que par SMS.
3. Éviter de communiquer les informations de paiement
Le client ne devrait jamais avoir à communiquer toute information relative à sa carte de crédit ou de débit à un conseiller, ni par téléphone, ni lors d'une session de chat. Il existe une technologie efficace et éprouvée depuis plusieurs années afin que le client puisse fournir ces informations de manière sécurisée, dite "out of band".
Pour les appels d'assistance vocale, la réponse vocale interactive (IVR) permet au conseiller de connecter le client à un serveur qui accède aux informations de paiement directement depuis le clavier de son téléphone. Pour les fonctions d'assistance B2C par chat, il suffit d’envoyer au client un lien vers un site de paiement sécurisé, qui lui permet de saisir ses informations de paiement sans rien divulguer directement au conseiller. Enfin, il est également recommandé de communiquer aux clients sur le fait que vos conseillers ne demanderont jamais d’informations de paiement par téléphone pour des raisons de sécurité.
4. Réduire au minimum les données clients nécessaires à l’assistance
Votre base de données clients peut contenir 50 types d'informations nécessaires à l’amélioration de l'expérience client. Lors de la conception de votre application B2C, déterminer lesquelles sont nécessaires aux services fournis. Par exemple, pour une assistance technique, le conseiller clientèle ne devrait pas avoir besoin d’informations liées au paiement (ou autres RPI) ou encore celles couvertes par la RGPD.
Dans certains cas, même si un conseiller doit avoir accès à certaines données, il n'a pas besoin de les voir toutes. La tokenisation (procédé permettant de remplacer une donnée critique par un élément équivalent) peut être utilisée pour mieux sécuriser l’ensemble des données. En outre, n'oubliez jamais que "l’oisiveté est mère de tous les vices". Autrement dit, vos conseillers clientèle ne doivent jamais pouvoir accéder aux comptes des clients lorsqu'ils ne sont pas en contact avec ces derniers. L'accès aux comptes clients doit donc être verrouillé une fois que la connexion (appel ou chat) est terminée.
Avec ces quatre protocoles de sécurité, le niveau de sécurité de votre application est renforcé, et difficile d’accès pour d’éventuelles menaces, d’autant plus si ces recommandations sont appliquées dès la phase de développement de l'application.
Les développeurs d'applications doivent donc intégrer ces fonctionnalités comme éléments de base en matière de sécurité et de confidentialité, car vos clients comptent sur vous pour les protéger, en particulier pendant la période charnière des fêtes de fin d'année.
