Editeurs de solutions de sécurité : le marketing de la peur ne fait pas recette !

La peur est devenue une technique délibérée de marketing. L’utilisateur final y est soumis plus encore que le professionnel. La communauté de la sécurité Internet et des systèmes d’information a pris la mesure d’une nouvelle typologie de menaces. L’émergence des 0-days ou des Advanced Persistent Threats, ce mélange de profiling fin des victimes avec des codes malveillants d’aspiration des données, invisibles, cachés dans les flux http ou smtp, entraîne une vague de messages avec la crainte comme argument.

Personnellement, et quels que soient l’environnement et les circonstances, je n’ai jamais pensé qu’un discours marketing pérenne puisse se bâtir sur la peur, ni qu’un professionnel sérieux envisage de forcer l’achat sur la base de ce type de message.
Est-il vraiment nécessaire d’attiser la crainte chez un client qui lui-même y est soumis par les multiples exemples de fraudes ou de menaces observés quotidiennement dans son métier ? A-t-on besoin de faire peur à l’e-commerçant ou au on-line retailer quand il voit les attaques aspirant les données de Target ou quand il apprend le vol de données chez Orange ?

Ceux qui sont dans la banque ou la finance apprennent au quotidien les menaces de sécurité générées par les failles d’authentification des utilisateurs à privilèges. Dans le milieu hospitalier et la santé, quoi de plus angoissant que le vol et la revente d’informations électroniques médicales ? Quelle crédibilité donner à des constructeurs qui distillent ces messages négatifs pour alimenter leur argumentation commerciale ? Le vécu des autres (partenaires ou concurrents) suffit au pétrochimiste pour prioriser la sécurité et la surveillance des infrastructures IT. Surtout quand il observe les attaques de cyber-sabotage ou le rançonnement de ses confrères privés ou publics comme Aramco ! Et la situation est identique pour tous les acteurs de l’énergie ou de l’industrie.

Les utilisateurs, et c’est flagrant en France, manquent cruellement d’informations sur les solutions et leur exploitation dans la durée. Il semble plus utile et productif que les fournisseurs démontrent techniquement les apports de leurs solutions, en montrent l’adaptabilité préservant la pérennité des investissements. Expliquer le besoin de services de surveillance et d’exploitation des outils, mettre en exergue l’articulation entre investissement et exploitation (Capex-Opex), voilà des axes de communication utiles. Comprendre qu’il y a danger et proposer des solutions évolutives est une attitude responsable. Agiter le chiffon rouge me semble d’un autre temps.

Les RSSI recherchent aussi des éléments d’argumentation auprès de leur direction financière pour expliquer la nécessité de cette nouvelle génération de solutions. Ils doivent pouvoir expliquer à un DAF qu’à l’instar de ce qui se passe dans la conformité financière et les normes comptables, les menaces IT évoluent. Les nouvelles offres de vente en ligne, e-commerce ou e-banking sont créatrices de valeur et source de revenus nouveaux. Il leur faut montrer que ces offres, pour tenir leurs promesses, exigent des investissements dans des infrastructures IP sécurisées.

L’argument primordial est là, dans cette articulation entre les nouvelles activités génératrices de revenus ou d’économies et la nécessité de les soutenir par des investissements réguliers en solutions et services de sécurité et de protection des données. L’exemple des agences bancaires et de l’e-banking est de loin le plus parlant.

Un marketing de création de valeur, d’enrichissement métier serait plus sûrement apprécié que ce marketing qui tire ses arguments de la crainte du hacker ou de l’obligation générée par les contraintes légales ou normatives. Il faut expliquer qu’un investissement dans une solution de coffre-fort de mots de passe, de signature électronique ou de log management permettra de développer les workflows au sein des services, de faire des économies, de gagner du temps. On doit montrer qu’un extranet clients est aussi bon pour l’image que pour le business et sa fluidité. Et, dans le même temps, prouver que ces solutions sont nécessaires pour répondre aux nouvelles normes de la profession est un argument essentiel.

Nous ne sommes pas ici dans une vision théorique, idéologique ou même politique. Il s’agit de pragmatisme et d’efficacité. Des dizaines d’exemples en entreprise vont dans ce sens : tel grand de la pharmacie combine sa solution de reporting SOX avec ses besoins de reporting, de CMDB, d’exploitation/production IT, tel leader des jeux et paris sportifs en ligne combine ses solutions de conformité règlementaires ARJEL avec ses propres besoins de cyber surveillance et de lutte contre la fraude.
La peur n’évite pas le danger… Et la révolution de l’Internet et de la mobilité, qui n’existerait pas sans la sécurité de l’information, appelle les éditeurs à devenir proactifs et partenaires dans la création de valeur de leurs clients utilisateurs, à s’inscrire dans cette dynamique positive de la génération de revenus et d’économies que les technologies Internet apportent aux entreprises.