L’e-mail, un canal de la relation client sensible en termes de sécurité

Comme les autres canaux de la relation client, l’e-mail doit s’inscrire dans une stratégie omnicanale dont la mise en œuvre passe par le déploiement d’une plate-forme de centre de contacts ou d’un outil de CRM. Pour autant, ce média présente des spécificités en termes de sécurité. Tout d’abord, les e-mails entrants peuvent être le vecteur de virus et attaques qui risquent d’entrer par des failles connues et autres astuces destinées à tromper l’utilisateur. D’autre part, les messages sortants peuvent être à l’origine de fuites d’informations stratégiques. Enfin, l’e-mail se prête à l’usurpation d’identité.

Il s’agit de prendre en compte ces spécificités lorsque l’on déploie une solution de CRM ou un centre de contacts, aussi bien dans le sens entrant que sortant. Cela revient souvent à modifier l’architecture déjà déployée chez le client ou au contraire à s’y adapter. Voici trois problématiques qu’Almavia rencontre régulièrement chez ses clients.

1 – La chaîne de traitement passe par le Cloud

L’entreprise a opté pour une solution de CRM ou de gestion des interactions partiellement ou totalement confiée à un prestataire SaaS. Pour autant, elle veut s’assurer que les e-mails sont chiffrés de bout en bout. D’autre part, elle ne souhaite pas transmettre certaines données au prestataire, comme les e-mails de ses prospects et clients. Ces objectifs peuvent être atteints en intégrant ces contraintes au niveau du prestataire, notamment en adaptant son infrastructure SaaS. Si cela n’est pas suffisant, il peut être nécessaire de déplacer cette infrastructure dans le cloud privé de l’entreprise.

2 – L’organisation permet difficilement le déploiement d’une nouvelle infrastructure

Le déploiement d’une solution multicanale s’appuie dans l’idéal sur une nouvelle infrastructure avec notamment un serveur d’e-mail dédié. Toutefois, une telle démarche s’avère très difficile dans certaines grandes structures, à cause d’une organisation complexe et d’une politique de sécurité contraignante. Tout en conservant le même niveau de sécurité, il est alors nécessaire d’adapter l’architecture de la solution afin qu’elle emprunte les tuyaux existants – par exemple le serveur Exchange de l’entreprise, voire le client Outlook de chaque utilisateur.

3 – L’infrastructure n’est pas adaptée aux systèmes antispam des clients et prospects

Historiquement, l’e-mail se prêtait assez facilement à l’usurpation d’identité. Depuis 2006, il existe des mécanismes standardisés comme SPF, DKIM et DMARC(*) qui permettent aux systèmes antispam de mieux détecter ce type de fraude. Il est impératif d’implémenter ces mécanismes lorsque l’on déploie une solution de CRM, qui permet notamment de réaliser des campagnes d’e-mailing. Il serait en effet dommage qu’une partie des messages envoyés aux clients et prospects soient bloqués. Cela signifie concrètement qu’il faut configurer correctement les serveurs de l’entreprise, au niveau des protocoles et mécanismes SMTP, DNS, DNSSEC, SPF (ou DKIM). Bien souvent, on s’aperçoit que l’entreprise ne possède même pas de SPF, qu’il est alors nécessaire de mettre en œuvre.

Laurent Rouvet, directeur R&D d’Almavia CX

(*) SPF (Sender Policy Framework), DKIM (Domain Key Identifier Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance)