La sécurité: un paramètre à ne plus négliger

Aujourd'hui, il devient difficilement pensable de ne pouvoir joindre un centre d'appels, ne serait-ce que quelques minutes, surtout si celui-ci se voit confier des opérations à forte valeur ajoutée. Or, il suffit de suivre quotidiennement l'actualité, pour se rendre compte que les centres de contacts sont confrontés de plein fouet à une problématique de sécurité. Pourtant, ce sujet est abordé de manière nuancée selon le statut du centre, c'est-à-dire en mode internalisé ou externalisé. « Chez les outsourceurs, le besoin de sécurité est plus naturel, car ils subissent très souvent la pression de leurs clients donneurs d'ordres. Ils n'ont pas le droit à l'erreur, et de très nombreux appels d'offres impliquent un volet sécurité, souligne Dominique Mouchet, directeur audit et conseil au sein d'Altétia. En revanche, pour les entreprises qui internalisent leurs centres d'appels, l'aspect sécurité devient moins important et passe souvent au second plan. » Au niveau de l'offre technologique et de la façon d'aborder la sécurité, deux points de vue s'affrontent. D'un côté, les intégrateurs qui, à l'image de Laurent Auzely, responsable centre compétence et communication IP chez Tellindus, estiment que « pendant très longtemps, le niveau d'équipement, en matière de sécurité, n'a été que partiellement pris en compte en amont, même si l'offre technologique était disponible. C'est un peu moins le cas aujourd'hui, car le rôle des intégrateurs sur cette question est déterminant. » De l'autre, les constructeurs qui affirment mettre à disposition des responsables d'entreprise une technologie capable de garantir un haut niveau sécuritaire. « L'offre du marché est en mesure de répondre aux besoins d'une problématique de sécurité. Seulement, entre ce qui est possible de faire et ce qui se fait concrètement, le fossé est large et beaucoup de centres d'appels ne sont pas équipés comme ils le devraient, ou, pourraient l'être », affirme Jean-Denis Garo, chef de département support marketing d'EADS.

Sécurité à tous les étages

Trois niveaux de sécurité sont à prendre en considération au sein des centres d'appels, étroitement liés et ne pouvant être dissociés : la sécurité au niveau matériel informatique et télécom, celle liée plus particulièrement aux progiciels utilisés, et enfin, celle concernant les locaux avec les règles/normes d'emplacement des infrastructures ou les règles de sécurité liées à l'évacuation des locaux en cas d'urgence (ce dernier point ne faisant pas l'objet de ce dossier). Même si la sécurité, surtout celle associée à l'informatique, constitue un thème d'actualité, les centres de contacts demeurent quelque peu réticents à en parler. « La sécurité reste un sujet que l'on a du mal à aborder avec nos clients », remarque Dominique Mouchet. Même son de cloche pour Céline Benoit, chef de produit centres d'appels chez Amec Spie : « Le niveau d'équipement en matière de sécurité est insuffisant. Car, durant de longues années, cet aspect n'a pas été un axe de réflexion prioritaire au sein des centres d'appels. » Ce qui peut, en partie, s'expliquer par des installations téléphoniques classiques à base de PABX, qui avaient la réputation d'être fiables et solides. Or aujourd'hui, cette fiabilité est mise à mal avec l'émergence des solutions orientées IP, cette technologie offrant intrinsèquement beaucoup moins de sécurité que la téléphonie classique. L'addition budgétaire inhérente au volet sécurité explique en partie le sous-équipement. Historiquement, par ailleurs, en matière de sécurité, deux fonctions se sont “disputés” le pouvoir : d'un côté, les responsables des infrastructures télécoms, peu confrontés aux questions sécuritaires, et de l'autre, les directeurs des systèmes d'information (DSI) pour qui, la problématique sécuritaire est omniprésente. Or, avec l'arrivée de la téléphonie sur IP, ces deux services se sont rejoints, comme le souligne Jean Denis Garo : « La convergence du monde informatique avec celui des télécoms a permis au DSI de prendre quelque peu le pouvoir, en termes de responsabilité et de prise de décision, au sein des centres d'appels. » Même si le niveau de sécurité est étroitement lié à l'importance stratégique de l'activité, il est désormais acquis que la totalité des centres sont concernés et confrontés à des questions sécuritaires. En effet, avec le succès de la technologie IP, les centres de contacts sont de plus en plus distribués sur des réseaux distants, au travers d'une “déportation” des agents à domicile, ou via des sites extérieurs. « De même, l'ouverture du centre de contacts vers différents canaux, que ce soit l'e-mail, le Web et bien sûr, la téléphonie sur IP, a accentué les possibilités pour les personnes mal intentionnées, de défier les barrières de sécurité mises en place », ajoute Jean-Denis Garo. En conséquence, constructeurs et éditeurs de solutions liées aux centres de contacts sont unanimes sur les niveaux de sécurité qu'il convient d'examiner. Niveaux, très souvent résumés par l'acronyme, CIA : Confidentialité, Intégrité et Authentification. « La “Confidentialité” représente la capacité des systèmes à garantir le contrôle d'accès à l'information vis-à-vis du risque de consultation. Par “Intégrité”, nous entendons garantir la transmission des informations qui transitent dans et à l'extérieur de l'entreprise. Avec “l'Authenticité”, il s'agit de s'assurer de l'identité du téléconseiller tout en démontrant le bon fonctionnement de l'utilisation du système d'information », résume Céline Benoit. A cet acronyme, il convient également de rajouter une touche d'autorisation, autrement dit: quels sont exactement les domaines de compétence de chaque entité au sein du centre d'appels ? Enfin, comment ne pas évoquer la question de la fiabilité des réseaux. « A titre d'exemple, le temps de panne d'un réseau “autorisé” en mode classique, c'est-à-dire sur PABX, est estimé à cinq minutes par an. C'est très peu, surtout si l'on compare ce temps à une téléphonie orientée IP », souligne Gilles Cordesse, Senior Business Developpement Manager d'Avaya. Les dangers qui guettent les centres de contacts portent, comme nous l'avons vu, sur les communications, sur les traitements des données, mais également sur la qualité des solutions exploitées, tout en soulignant l'importance du rôle humain. « Une des principales priorités des DSI touche à la fois à la fiabilité et à la qualité des solutions utilisées au sein des centres de contacts, mais aussi, à la façon dont ils vont jouer sur la dextérité des utilisateurs », précise Gabriel Karam, Business Developpement Manager d'Alcatel. Autrement dit, il ne sert à rien d'avoir une porte blindée si la clef est restée dessus !

Faire face aux menaces et aux attaques

Avant de s'interroger sur la qualité et la salubrité du système d'information, l'infrastructure téléphonique doit faire l'objet d'une grande attention. Le rôle de l'ACD ou de l'autocommutateur est primordial. Il est généralement composé de deux processeurs et de différents blocs de mémoire indépendants. En matière de PABX, la redondance est très souvent une option privilégiée. « Sur un même PABX, il est fréquent de trouver deux unités centrales et plusieurs cartes qui vont permettre de gérer les utilisateurs. La redondance des serveurs est également une priorité. Même cas de figure concernant les PABX orientés IP », précise Jean Denis Garo. Du côté d'Alcatel, la duplication est également préconisée, comme le souligne Gabriel Karam : « Avec les PABX classiques, nous avions l'habitude d'avoir la redondance dans un même endroit. Désormais, il est préférable de mettre en place une duplication géographique ou spatiale qui permet d'avoir deux serveurs de communication dans deux endroits différents. » Lorsque le fonctionnement du centre de contacts repose sur une redondance ou sur un site miroir, il convient de se demander combien de temps a-t-on besoin pour basculer entre deux équipements en cas de problème. A ce sujet, la solution Double Take de l'éditeur NSI Software, qui maintient la continuité d'exploitation en temps réel des données critiques, fait figure de référence. Elle assure également le “basculement”, automatique ou manuel, entre le serveur source et le serveur redondé ainsi que les applications. Tout aussi réputé, F5 Networks garantit, en cas de souci sur le serveur primaire de l'entreprise, le basculement des utilisateurs sur la solution de l'éditeur, via un serveur secondaire. La prise en mains par F5 se fait de manière transparente pour les utilisateurs et la solution, en surveillant dans le même temps si le call serveur primaire est revenu opérationnel, s'avère capable de basculer à nouveau sur la situation d'origine. A noter que Cisco propose sensiblement la même offre. Enfin, la solution qui consiste à posséder une infrastructure de centre d'appels de secours identique peut être confortable mais… onéreuse. Aussi, par souci d'économie, un centre d'appels de secours mutualisé est une alternative intéressante, même si le risque de trouver ce centre accaparé par un autre client existe.

Le système d'information en ligne de mire

En matière de système d'information, la sauvegarde des données est devenue incontournable. Bien sûr, la fréquence dépend fortement de la nature des missions. « La sauvegarde peut être quotidienne, mais également en temps réel », remarque Céline Benoit. En outre, il convient de rendre étanche les relations entre la voix et les données. Ainsi, les sessions entre les serveurs et les médias gateway (où viennent se connecter les périphériques tels le téléphone, le fax, etc.) doivent être cryptées à base d'algorithmes. « L'encryptage peut également se faire directement sur les communications, tant d'un point de vue hardware que software. L'inconvénient avec ce processus, notamment lorsqu'il est réalisé en mode logiciel, c'est sa gourmandise en termes de ressources processeurs », précise Gilles Cordesse. En parallèle, il est également possible d'encrypter avant même d'entrer en conversation verbale. En mode DTMF (activation des services via les touches du téléphone), de nombreuses informations importantes circulent et sont susceptibles d'être interceptées, d'où l'importance de l'encryptage. Aussi, avant de tomber dans la paranoïa, il est important d'établir le pourcentage de communications (orales, écrites, DTMF, etc.) qu'il convient d'encrypter. Quant aux attaques issues d'Internet, l'actualité quotidienne montre que l'on ne peut échapper à quelques règles fondamentales. Comment se passer aujourd'hui de logiciels antivirus ? « Certes, ces derniers sont nécessaires, mais ils interviennent presque toujours trop tard, du moins, après l'attaque, remarque Gilles Cordesse. En effet, pour contrer un virus, il faut l'avoir déjà vu “à l'œuvre” afin de proposer une parade. Or, l'effet destructeur du virus est souvent déjà accompli. » Le firewall, quant à lui, est considéré comme le “portier” qui veille à l'entrée, en garantissant un premier niveau de filtrage sur le risque d'intrusion. Il convient ensuite de renforcer son réseau en lui ajoutant un VPN (Virtual Private Network) que l'on peut comparer à une voiture blindée, puisqu'il est censé assurer le transport des données en toute sécurité. Il est en outre possible d'y adjoindre un IDS (Intrusion Detection System), souvent comparé à une caméra de surveillance. Enfin, toujours en interne, il est toujours conseillé d'apporter des clés de sûreté ou chiffrement sur les niveaux de circulation des données.

Une aide extérieure

Les mesures de sécurité peuvent aussi être renforcées par des apports extérieurs à l'entreprise. Ainsi, les tests d'audits, qui permettent de mesurer la qualité des infrastructures du centre de contacts, commencent à prendre de l'ampleur. Même si l'Europe et la France accusent un certain retard, comparées au marché américain. Selon l'étude Dimension Data, sortie au printemps 2004, seuls 46 % des centres d'appels ont testé leur architecture, contre près de 80 % aux Etats-Unis. Pourtant, de nombreux intégrateurs proposent dans leurs offres des tests visant à déterminer le niveau de vulnérabilité du réseau. Lancement de ping (pour déterminer la rapidité d'accessibilité entre deux postes) sur le réseau ou simple attente d'alerte provenant du centre d'appels font partie des mesures de surveillance. « Les cellules qui sont aux aguets des centres d'appels sont de véritables laboratoires et souvent qualifiées de tours de contrôle », souligne Céline Benoit. Cette surveillance peut également se traduire par des alertes envoyées par le prestataire pour avertir le responsable du centre d'appels d'un éventuel sur ou sous dimensionnement du site. En ce sens, il est légitime de se demander si l'architecture du centre est capable de supporter un certain seuil d'appels ou bien si le nombre de positions est insuffisant. Ces cellules de surveillance s'assurent également du bon fonctionnement en matière de mises à jour des progiciels du centre d'appels. Dans un autre registre, une pratique consiste à enregistrer les écoutes téléphoniques appuyées éventuellement par une vidéo en renfort. « Certes, ces pratiques n'empêchent pas les risques d'attaques extérieures, elles n'évitent pas le danger. En revanche, elles permettent, outre le fait de pouvoir mettre l'accent sur les points à améliorer pour les téléconseillers, de jouer le rôle de sauvegardes », commente Laurent Azely. Enfin, des enquêtes mystères sont parfois lancées pour, là encore, jauger la qualité en matière de sécurité, même si cette pratique fréquemment utilisée en Europe du Nord l'est beaucoup moins en France.

Le paramètre humain

Parler de sécurité sans évoquer directement le rôle humain serait un oubli fâcheux. A ce titre, les DSI et les responsables de sites possèdent un rôle déterminant sur le respect des consignes à suivre. « Un réel travail de prévention doit être effectué sur l'aspect humain au sein des centres de contacts. Il ne sert à rien de consacrer d'importantes sommes d'argent à des solutions de sécurité, si les utilisateurs ne sont pas contraints de suivre des procédures de sécurité très strictes », estime Dominique Mouchet. Outre les traditionnelles authentifications (login, mot de passe), une sélection étroite doit s'opérer sur la marge de manœuvre des utilisateurs : interdire les photos d'écrans, les unités de stockage amovibles (style clef USB, disque dur, etc.) sont autant d'exemples qu'il est rare de voir stipulés dans le cahier des charges des centres d'appels. A fortiori, lorsque le climat social au sein de l'entreprise est tendu, ces règles prennent une importance plus grande. « On a beaucoup de mal à évaluer l'impact des règles de fonctionnement liés à la sécurité en interne et les conséquences que cela entraîne. La vigilance sur les procédures de fonctionnement en interne est souvent passée, à tort, au second plan », remarque Dominique Mouchet. Associé aux risques de mauvaises manipulations sur des actions de type transfert de données de routage, un travail de prévention et de formation ne doit pas être considéré comme du luxe.

Quel est le risque acceptable ?

Dernier paramètre et non des moindres : quel est le budget nécessaire pour minimiser les risques liés à la sécurité ? Avant même de se poser cette question, il convient de se demander quels sont les risques acceptables pour son activité de centres d'appels. Au-delà du risque, il convient également de penser à se “couvrir” afin d'anticiper l'éventuel échec de toutes les solutions de sécurité mises en place. Ce qui implique d'être vigilant sur les contrats d'assurance et d'être en mesure de connaître le champ d'application des risques pris en charge. Finalement, à l'instar du sentiment que “les accidents n'arrivent qu'aux autres”, l'impression générale, au sein des centres d'appels, est encore trop souvent orientée sur un certain laxisme. « Le message qui consiste à mettre l'accent sur la nécessité de sécuriser ses propres infrastructures a beaucoup de mal à passer. Les responsables d'entreprise ont encore trop tendance à penser que la sécurité ne les concerne pas », reconnaît Dominique Mouchet. Certes, d'importants progrès ont été faits. Mais, lorsque l'on sait que la facture à payer en cas d'insuffisance sera lourde, une vigilance encore plus soutenue doit être portée en matière de sécurité.

Quels dangers menacent les centres de contacts ?

Par danger, il convient de distinguer les menaces engendrées par les personnes externes au centre de contacts et celles d'origines internes, c'est-à-dire, au sein du système d'information de la société. Si l'on en croit IDG, 30 % des entreprises françaises déclaraient avoir subi au moins une attaque de leur système d'information en 2001. En 2003, selon le Gartner Research, 50 % des entreprises connectées auraient été attaquées par le biais d'Internet. Or, seules 46 % des directions générales souhaitaient s'impliquer dans une stratégie de sécurité en 2002. Pourtant les dangers sont bien présents. En voici une liste non exhaustive: découverte des mots de passe, exploitation des vulnérabilités connues (notamment au travers des systèmes d'exploitation), accès aux réseaux de l'entreprise par les backdoor (portes dérobées), détournement des flux de données, écoute du réseau, logiciel spyware ou “agent espion”, usurpation d'adresses réseau, détournement des commandes ou des numéros de cartes bancaires, attaque de sites internet par les hackers. « Les attaques destructives de hackers ou crackers représentent, depuis quelques années, la grande tendance. Depuis peu, une nouvelle catégorie de hackers attaquent désormais les réseaux pour leurs propres profits, c'est-à-dire, dans le but de gagner de l'argent », commente Gilles Cordesse (Avaya). Petite liste des techniques d'attaques le plus souvent répertoriées: interception, brouillage, écoute, balayage, usurpation d'identité, saturation par “déni de service”, Cheval de Troie, virus, ver.

Système d'exploitation : Linux ou Windows ?

Il n'est de secret pour personne que depuis quelques années, le système d'exploitation Microsoft Windows est mis à mal par les révélations d'incessantes failles de sécurité. Gênant, voire terriblement agaçant pour un particulier, lorsqu'il doit faire face aux attaques virales de son PC, les faiblesses de Windows font peser une menace autrement plus sérieuse sur une entreprise. A fortiori, si l'activité du centre d'appels repose sur un profit immédiat. En exploitant les failles de sécurité issues de l'OS Windows, une dizaine de nouvelles attaques, de type virale ou Cheval de Troie, sont référencées et répertoriées chaque semaine dans le monde. Les constructeurs semblent avoir compris l'enjeu et tournent progressivement le dos au géant de Redmond. Ainsi, d'EADS à Alcatel, en passant par Avaya, les constructeurs proposent désormais comme système d'exploitation un OS reposant sur Linux. « D'emblée, Linux, de par son architecture, est moins propice aux attaques que Windows. En outre, en raison de la place prépondérante prise par Microsoft, le challenge pour les hackers, consistant à attaquer cet éditeur, est beaucoup plus juteux et glorifiant que de s'en prendre à d'autres OS alternatifs. De plus, Avaya repose sur des serveurs Linux que nous avons renforcés : impossibilité d'accéder au noyau, le lancement des fichiers exécutables n'est plus permis, etc. » précise Gilles Cordesse (Avaya). Même son de cloche pour Alcatel. « Tout le monde s'accorde à dire que Linux est mieux armé que Windows, notamment concernant les communications en temps réel. En nous ne reposant pas sur ce constat, nous avons travaillé à partir de Linux Mandrake 2 pour en faire un OS endurci, réduit à son strict minimum, spécialisé dans la communication. De 750 Mo, nous sommes parvenus à le réduire à 50 Mo. Les risques d'attaques en sont d'autant plus faibles », souligne Gabriel Karam.

Le PABX face à l'IP

Avec un réseau téléphonique classique, autrement dit à base de PABX, les risques inhérents à l'architecture étaient quasi nuls. « L'architecture PABX repose sur des protocoles propriétaires qui sont nettement plus difficiles à “déchiffrer”que la technologie sur IP qui, elle, repose sur des standards », remarque Dominique Mouchet (Altétia). Le seul risque pour le PABX est que quelqu'un vienne se connecter sur les installations, et même dans ce cas, il est très facile de le détecter et d'y remédier rapidement par une simple déconnection. Son de cloche différent lorsque l'on évoque la téléphonie sur IP. La migration vers l'IP entraîne un partage de l'infrastructure, avec davantage d'applications et de composants. Deux facteurs doivent être particulièrement surveillés : la résistance à la panne et à la charge. Aussi, le système de téléphonie sur IP doit intégrer nativement un ensemble de mécanismes et de processus de sécurité au niveau de chaque composant de l'architecture : sécurisation de l'alimentation, du système voix, des médias gateways, des serveurs de communication, etc. La résistance à la charge doit être permanente compte tenu de la cohabitation du trafic voix et données sur un même réseau. Là encore, il convient de garantir la disponibilité des ressources pour l'ensemble des applications concernées. Enfin, pour minimiser les risques inhérents à l'IP, il est souhaitable d'éviter de se reposer sur un même réseau IP. « Séparer les réseaux IP au travers de solutions dites “multiconnect”, est une bonne alternative », remarque Gilles Cordesse (Avaya).