Levez la main si vous aimez être éjecté de l’application sur laquelle vous travailliez pour l’installation imprévue d’un correctif de sécurité !

Personne ? Nous pouvons attendre…

Vraiment, personne ?

C’est bien ce que nous pensions. Et cela ne nous surprend pas. Jamie Whalen, animatrice du Everywhere Workplace Podcast, s’est récemment entretenue avec Steve Brasen, directeur de recherche chez Enterprise Management Associates, pour évoquer le conflit perçu entre l’expérience numérique des employés (DEX) et la sécurité.

Trop souvent, on place la DEX et la sécurité dans deux coins opposés du ring, pour ainsi dire. C’est compréhensible, mais c’est aussi une approche dépassée qui fait passer à côté d’une opportunité majeure. Associer sécurité et DEX peut offrir un avantage concurrentiel majeur. Elles sont toutes deux essentielles, et encore plus efficaces ensemble.

DEX

Les collaborateurs à distance ont clairement exprimé leurs préférences : ils veulent travailler depuis le lieu de leur choix. Finis les périmètres. Finis les bureaux cloisonnés. Beaucoup renonceraient même à une promotion pour pouvoir travailler de n’importe où. Ils veulent un accès fluide, une connectivité sans faille et les bons outils pour bien faire leur travail.

Répondre à ces besoins contribue largement à garantir une DEX de qualité, et nous savons que la DEX est essentielle pour assurer la fidélisation, la productivité, l’engagement et la satisfaction des employés.

Sécurité

Vous pensez que la sécurité s’oppose directement à cette liste de souhaits des collaborateurs à distance ? Détrompez-vous. La sécurité vise la même chose que les autres collaborateurs à distance : permettre à chacun de faire son travail facilement et en toute sécurité.

Le problème : certaines mesures destinées à atteindre un niveau de sécurité optimal peuvent entraver un accès fluide si la bonne approche n’est pas mise en place.

Pourquoi ? Les mesures de sécurité les plus efficaces sont, par exemple, la « gestion des mots de passe à forte friction », qui, par définition, est conçue pour être aussi contraignante que possible. C’est excellent pour la sécurité. Beaucoup moins pour les collaborateurs à distance qui essaient de faire leur travail.

Cette perception selon laquelle la sécurité et l’expérience des employés seraient incompatibles s’est accentuée pendant la pandémie, lorsque de nombreuses entreprises ont basculé brutalement, et souvent sans planification approfondie, vers le télétravail. Les équipes de sécurité tentent depuis de rattraper leur retard.

Ces équipes sont en sous-effectif et débordées : elles font de leur mieux pour hiérarchiser et gérer les vulnérabilités, mais cela se fait parfois au détriment de l’accès, ce qui frustre les collaborateurs à distance.

Contrôle à distance

Voici un secret qui ne devrait pas en être un : la DEX et la sécurité ne sont pas incompatibles. En réalité, une bonne DEX renforce la sécurité.

Pourquoi ? Parce qu’une DEX positive favorise la conformité, et la conformité devient naturelle lorsque les protocoles de sécurité sont intégrés intelligemment et sans friction à l’expérience numérique.

Le défi consiste donc à réussir cette intégration.

Lorsque les protocoles de sécurité sont élaborés et déployés sans tenir compte d’une DEX positive, les collaborateurs à distance doivent sans cesse composer avec des contrôles de sécurité essentiels pour l’entreprise, mais qui peuvent être extrêmement lourds pour eux en tant qu’utilisateurs.

Lorsqu’il faut franchir de nombreux obstacles, les employés sont au mieux moins productifs, et peuvent être tentés de chercher des solutions de contournement pour faire leur travail sans interruptions constantes ni longs délais d’attente pour les réponses à leurs tickets.

« Dans les enquêtes que nous avons menées, nous avons constaté que le plus grand défi pour les utilisateurs consiste en réalité à travailler avec les contrôles de sécurité sans nuire à leurs outils de travail », explique Brasen.

Ce manque de conformité interne n’est généralement pas malveillant ; il est perçu comme pragmatique. Malheureusement, les risques sont élevés.

Le manque de conformité est la dernière chose dont la sécurité ait besoin. Lorsque les employés se trouvent hors d’un périmètre, travaillent sur différents appareils et systèmes d’exploitation partout dans le monde, les équipes de sécurité font face à une tâche sisyphéenne.

« Prenons le cas d’un collaborateur à domicile qui accède aux ressources de l’entreprise en utilisant un VPN (réseau privé virtuel). Il utilise peut-être aussi des services hébergés dans le cloud, distincts de ceux de l’entreprise », explique Brasen.

« Il soumet ensuite un ticket au support en indiquant qu’il constate un ralentissement des performances applicatives. Par où l’administrateur IT doit-il commencer ? Le problème vient-il de l’appareil de l’employé ? Ou du Wi‑Fi de son domicile ? Ou bien du VPN ou de l’environnement hébergé dans le cloud ? »

Le coût du manque d’alignement

Le manque d’alignement entre sécurité et DEX engendre de nombreux problèmes.

Le manque de conformité entraîne clairement d’importantes vulnérabilités pour l’entreprise. Si la frustration des employés est un autre facteur majeur, il faut aussi prendre en compte d’autres éléments. Steve Brasen souligne qu’une perte de productivité importante est associée aux obstacles de sécurité et aux redémarrages systémiques. Le travail perdu est un problème majeur, et l’élan interrompu a également un coût.

Ces interruptions s’accumulent : avec des équipes de sécurité déjà sollicitées de toutes parts et contraintes de réagir à une hausse fulgurante des menaces de sécurité, notamment les rançongiciels, les correctifs, les ralentissements et les redémarrages perturbateurs peuvent sembler permanents.

Comment avancer dans le même camp

La bonne nouvelle : le manque d’alignement entre sécurité et DEX n’est pas inévitable. Voici comment avancer dans le même camp :

Suivre et gérer la DEX : vous ne pouvez pas améliorer ce que vous n’avez pas mesuré. La technologie peut jouer un rôle majeur dans la réduction de l’impact des protocoles de sécurité sur les employés.

Pour commencer, il est essentiel de suivre et de gérer la DEX en comprenant réellement la façon dont les utilisateurs vivent les produits numériques et les protocoles de sécurité, ainsi que l’impact de ces éléments sur l’utilisateur.

Se concentrer sur l’expérience : vous connaissez les SLA (Service-Level Agreements, ou accords de niveau de service), mais qu’en est-il des XLA ? Un XLA est un Experience-Level Agreement, ou accord de niveau d’expérience. Le service se concentre sur un processus, tandis qu’un XLA prend en compte les résultats et les expériences.

Quelle que soit la solidité de vos SLA, si les résultats et la valeur ne sont pas au rendez-vous, le processus doit être réexaminé.

Adopter l’automatisation : automatisez, automatisez, automatisez. « La remédiation automatisée doit être mise en œuvre partout où cela est possible pour résoudre rapidement les problèmes avant qu’ils n’affectent la productivité des utilisateurs », explique Brasen.

La remédiation automatisée permet une gestion proactive des expériences numériques, nettement moins perturbatrice pour les utilisateurs que la gestion réactive traditionnelle.

Utiliser des contrôles de sécurité intelligents : plutôt que d’essayer de contrôler toutes les menaces en permanence, utilisez une intelligence basée sur les risques pour vous concentrer sur les menaces les plus pertinentes et les plus critiques. Cela permet non seulement d’orienter vos ressources de sécurité au bon endroit, mais aussi d’éviter que la sécurité ne provoque des perturbations inutiles pour les utilisateurs face à des menaces non critiques.

Là encore, les équipes de sécurité et les collaborateurs à distance veulent la même chose : que chacun puisse faire son travail facilement et en toute sécurité. L’automatisation, l’intelligence basée sur les risques et l’accent mis sur la DEX peuvent alléger la charge qui pèse sur la sécurité, l’IT et le reste de vos effectifs à distance.

Vous souhaitez en savoir plus sur l’importance d’investir dans la DEX ? Consultez le rapport complet et écoutez l’épisode complet du podcast.