Réputation & Communication de crise : Les communicants doivent aussi se préparer aux cyberattaques
Il devient vraiment urgent que les questions de cybersécurité fassent dorénavant partie intégrante des dispositifs de communication des entreprises et pas seulement lorsque la crise éclate. La sécurité des données personnelles et des systèmes d’information de l’entreprise est devenue aujourd’hui un enjeu fondamental du fait de la mise en réseau globale de tous les services en ligne mais aussi du cloud computing et des objets connectés qui essaiment dans tous les domaines. Au-delà des brèches informatiques qui font le délice des assaillants informatiques, c’est effectivement la réputation d’une entreprise et/ou de ses marques qui est aussi clairement impactée. Plus que jamais, la prise de conscience et l’anticipation sont requises. Voici pourquoi.
Les clichés ont encore la peau dure. Pour certains, la cyberattaque demeure un scénario de science-fiction malgré les cas récurrents et emblématiques depuis plusieurs années. Pour d’autres, elle est effectivement un risque majeur mais qui reste essentiellement cantonné à l’agenda des équipes de sécurité informatique. Ce déni plus ou moins accentué constitue pourtant un piège réputationnel de tout premier ordre. Qu’il s’agisse d’une offensive massive par déni de service distribué (plus connue sous l’acronyme DDoS) pour faire tomber un serveur ou un datacenter, d’une prise de contrôle des contenus des pages d’un site ou d’un compte sur un réseau social ou d’une intrusion frauduleuse avec à la clé, un vol de données sensibles ou un blocage de l’architecture informatique, les scénarios de crise prolifèrent à l’heure où la connectivité digitale s’impose comme l’épine dorsale des activités des entreprises et des usages des consommateurs. Et les effets de ces cyberattaques sont encore plus délétères que les classiques situations de crise du fait des échelles potentiellement planétaires et durables.
Airbus, Altran : Bis repetita ?
Coup sur coup, deux grandes entreprises françaises ont dû faire face à des cyberattaques fin janvier 2019. C’est d’abord le fleuron aéronautique Airbus qui révèle le 30 janvier que (1) “des données à caractère personnel ont été consultées (…) essentiellement des coordonnées professionnelles et des identifiants informatiques d’employées d’Airbus en Europe”. Le ton communiqué de presse se veut toutefois rassurant qualifiant l’événement “d’incident de cybersécurité” qui “n’a aucun impact sur les activités commerciales d’Airbus”. Les investigations sont désormais en cours pour tenter de déterminer l’origine et la faille qui a permis l’intrusion dans les artères informatiques de l’aéronauticien. Néanmoins, pas sûr que cet assaut aide à redorer l’image d’une entreprise par ailleurs chahutée sur son marché. En janvier 2019, Airbus n’a enregistré aucune nouvelle commande et 13 annulations (3) et renonce à poursuivre la fabrication de son gigantesque A380.
Une semaine plus tôt, c’est à Altran, société française et leader mondial du conseil en ingénierie avancée, technologie et R&D de subir un piratage informatique d’ampleur. A tel point que l’entreprise a dû procéder à la déconnexion de l’ensemble de ses serveurs où tournent ses applications et ses réseaux internes de communication. C’est la lettre économique “La Lettre A” qui dévoile l’énorme cafouillage technique. En plus de mettre 4 jours à admettre officiellement la crise, le communiqué d’Altran diffusé le 28 janvier emprunte un ton laconique (4) : “Nous avons mobilisé des experts techniques et d’investigation indépendants mondialement reconnus, et l’enquête que nous avons menée avec eux n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. Notre plan de rétablissement se déroule comme prévu et nos équipes techniques sont pleinement mobilisées”. Pourtant, dix-huit jours plus tard, la société tourne toujours au ralenti selon la Lettre A qui évoque l’inquiétude croissante des grands comptes clients comme Safran, Renault, SNCF, Société Générale, BNP Paribas, Thales et … Airbus ! Un avatar de taille dont se passerait bien Altran qui est par ailleurs très suivi par le marché boursier du fait de son fort endettement pour investir et acquérir des sociétés.
Cyberattaque mais pas hyper-communication !
Dans les deux cas mentionnés ci-dessus, il est assez étonnant de voir combien le langage usité est pondéré. La cyberattaque est qualifiée d’incident et les communiqués sont truffés du déterminant « aucun » comme s’il fallait persuader à tout prix que l’assaut numérique n’était qu’une vaguelette sans importance. Le journaliste spécialisé, Valéry Marchive, partage la même circonspection face à la minimisation et le rationnement informationnel qui en découle (5) : « Mais là encore, quelle transparence ? Aucune, ou très peu. Certes, un porte-parole nous a sans peine fourni quelques éléments chronologiques relatifs à la découverte et au traitement de l’intrusion. Mais certaines questions cruciales restent sans réponse : combien de temps a pu effectivement durer l’intrusion ? Des annuaires ont-ils été compromis ? Ce sont deux questions clés pour mesurer l’importance de l’incident ». Bref, il semblerait que l’on retombe dans les travers d’une communication de crise qui faisait florès en exhibant d’emblée le bouclier et le filtrage à outrance.
Pourtant, la cyberattaque n’est pas une nouveauté. En 2014, l’enseigne américaine de distribution, Target, s’était retrouvée au cœur d’un maelström médiatique à cause d’une attaque sans précédent. Des pirates informatiques avaient profité d’une brèche de sécurité pour rafler les données de 70 millions de cartes bancaires des clients de la société. Ce qui avait valu au PDG d’être évincé quelque temps plus tard pour n’avoir pas su prévoir, ni endiguer ce cambriolage d’envergure dont l’enseigne a éprouvé bien des difficultés à s’en remettre. 2017 s’est traduit par une fréquence de plus en plus rapprochée des cyberattaques avec notamment deux points d’orgue baptisés WannaCry et NotPetya. En se propageant comme des virus informatiques injectés par des hackers, ces logiciels malveillants cryptent les données des entreprises qui deviennent alors impossibles à utiliser à moins que la compagnie attaquée ne se décide à verser une rançon pour déverrouiller ses systèmes d’information. L’entreprise française Saint Gobain s’était par exemple vu bloquer ses activités dans les ports, les usines et les bureaux. Avec au final, une lourde addition de 250 millions d’euros (6) et des clients plus que suspicieux sur la sécurité des infrastructures de Saint-Gobain.
Quand TalkTalk devient toc-toc
Une cyberattaque est loin d’être un avatar anodin. Ses conséquences sont multiples et dans certains cas, elles peuvent aller jusqu’à provoquer la dégringolade d’une entreprise, voire sa faillite. L’opérateur télécoms britannique TalkTalk constitue une illustration flagrante des multiples rebonds délétères qu’une cyberattaque peut engendrer. En octobre 2015, l’entreprise admet (pour la 3ème fois de surcroît) qu’elle vient d’être victime d’un vol de données qui touche 150 000 de ses abonnés. Si le nombre en soi n’est pas si considérable au regard d’autres piratages plus vastes commis dans d’autres sociétés, TalkTalk va néanmoins payer un lourd tribut. Lequel commence avec une révélation fracassante : l’intrusion est l’œuvre d’adolescents férus en informatique qui sont parvenus à infiltrer le site Web de la société pour commettre leur forfait. Lesquels expliquent publiquement et benoîtement que leur « exploit » n’était pas très compliqué à réaliser du fait de la faiblesse des systèmes de sécurité. La crise s’emballe alors sur les réseaux sociaux. TalkTalk est conspué par les internautes qui lui reprochent son laxisme sécuritaire. De leur côté, les consommateurs s’inquiètent. L’institut d’études Kantar Worldpanel ComTech estime que 7% des clients de l’opérateur (soit environ 300 000 personnes) ont résilié leur abonnement pour passer à la concurrence (7).
Cependant, la punition ne s’est pas limitée là pour TalkTalk. Editeur d’une plateforme d’intelligence réputationnelle, Alva a livré une étude en profondeur sur les impacts collatéraux qui ont suivi la cyberattaque pendant 12 mois. La réputation de l’entreprise n’a cessé de s’étioler d’autant que d’autres événements (certains liés à la crise, d’autres pas) vont venir ternir encore plus l’image de la société. En janvier 2016, des employés du centre d’appels indien de TalkTalk sont arrêtés par la police. Ce qui déclenche des rumeurs autour d’une quatrième supposée cyberattaque. Six mois plus tard, le PDG met le feu aux poudres en s’arrogeant une substantielle augmentation de son salaire malgré les résultats financiers peu brillants. Puis, c’est au tour des étudiants pirates de rouvrir la plaie avec la couverture médiatique de leur procès en septembre 2016. Le coup de grâce survient un mois plus tard avec l’amende salée de 400 000 £ infligée par l’organisme public anglais ICO (Information Commissioner’s Office). La réputation de TalkTalk est durablement entachée (voir schéma ci-dessus) mais aussi régulièrement associée avec le sujet des cyberattaques.
Quand la réputation est cyberattaquée
La preuve est donc faite que la cyberattaque n’est pas uniquement un problème de défaillance informatique. Elle entraîne aussi des effets terriblement pathogènes sur la réputation d’une entreprise. Sur ce point, plusieurs études convergent et mettent en lumière la rupture de confiance générée. Le cabinet d’audit et de conseil PricewaterhouseCoopers (PwC) a souligné d’intéressants repères en 2018 lors d’une étude menée par ses soins (8). 69% des consommateurs estiment ainsi que les entreprises qu’ils utilisent à travers leurs services et produits, sont vulnérables aux attaques cybercriminelles. 87% d’entre eux déclarent par ailleurs qu’ils sont prêts à rompre leur contrat si une faille informatique affecte leur fournisseur. Une autre étude émanant de Gemalto indique des proportions similaires. 70% des 10 000 répondants d’un panel juge qu’ils cesseront d’être en affaire avec une entreprise ayant subi une grave faille de sécurité (9).
Du côté des cyberattaqués, le sentiment n’est guère plus enjoué. Un rapport de Forbes Insight montre que 46% des entreprises victimes reconnaissent avoir vu leur réputation sérieusement pâlir et la valeur de la marque plonger. Le baromètre annuel du Club des experts de la sécurité de l’information et du numérique (Cesin) n’est pas plus optimiste. 51% de ses membres pensent que leurs entreprises ne sont pas en mesure de parer des cyberattaques. Et si d’aventure la perplexité demeure pour certains esprits béats, le Rapport 2019 sur les risques mondiaux du Forum économique mondial devrait venir à bout de leurs résistances. Les cyberattaques s’étaient déjà invitées dans l’édition 2018 aux côtés du changement climatique et des armes de destruction massive dans la liste des risques majeurs menaçant le monde. Cette année, elles figurent tout bonnement dans le Top 5 des menaces les plus préoccupantes.
La cybersécurité, une question de valeur(s)
Malgré les alertes qui se multiplient et les cas de cyberattaques en pleine croissance, un nombre impressionnant d’entreprises demeure peu et mal préparé. Expert en cybersécurité chez Trend Micro, Loïc Guézo déplore cet état de fait alors même que les attaques digitales se font de plus en plus sophistiquées et récurrentes. A ses yeux, l’investissement même massif dans des solutions de sécurité n’est pas la seule réponse à apporter (10) : « La sécurité n’est pas un état fini qu’on atteint juste avec un certain niveau d’investissement. C’est un état permanent de contrôle du risque avec la mise en place d’une capacité de réponse. Pour cela, il faut un investissement dans les domaines de la technique, de la gouvernance en impliquant les directions générales, et surtout des hommes en charge de la cybersécurité… Le facteur humain est essentiel ». A un moment donné, il va effectivement falloir cesser de penser que la cyberattaque ne relève que de la direction informatique et de la hausse de ses budgets de sécurité. Toutes les grandes directions de l’entreprise doivent s’imprégner de cet enjeu qui les concerne aussi … et s’y préparer en conséquence.
Dans le cas contraire, c’est la valeur de l’entreprise qui peut être durablement et durement affectée. Une autre étude de PwC s’est penchée en 2018 sur 30 cyberattaques survenues dans 28 sociétés multinationales entre 2008 et 2017. Le résultat devrait vraiment inciter à une mobilisation plus affirmée (11). 63% des entreprises ayant été cyberattaquées ont vu leur valeur boursière bouleversée sur plus d’une année avec une perte de valeur patrimoniale de 10% à 20%. Ceci d’autant plus que la cyberattaque n’est pas seulement impactante au moment où elle se produit mais également dans la capacité de la cible agressée à réagir d’un point de vue technologique mais aussi communicant. Comme dans une crise de facture plus classique, vouloir cacher la poussière sous le tapis ou minorer à l’excès portent en soi les germes contaminants d’une réputation endommagée. Toutes les sociétés qui ont tardé (ou pire, refusé) de communiquer clairement auprès de leurs clients, salariés mais aussi autorités de tutelle, médias et marchés boursiers, ont éprouvé les pires difficultés à surmonter la crise. D’aucunes en subissent encore les séquelles car la perte de réputation est nettement plus volatile que le gain ou la restauration de celle-ci.
Saint-Gobain, exemple d’entreprise résiliente
Dans les comités de direction, la cybersécurité reste pourtant un sujet souvent à la marge ou alors rapidement déléguée au seul directeur de l’informatique. Andrew Griffin, directeur de l’agence anglaise Regester Larkin qui est spécialisée dans la gestion de crise stratégique, appelle à une prise en compte plus poussée et collective (12) : « La cybersécurité est fréquemment un territoire peu familier. Elle présente des défis nouveaux et uniques qui exigent des différentes fonctions et équipes de collaborer et de gérer ensemble les complexités d’une cyber-réponse ». Son confrère de l’agence The Partnership (groupe WPP), Johnny Hornby abonde pleinement sur le fait qu’une cybercrise n’est pas qu’une question de câbles informatiques, de codes et de firewalls (13) : « Les clients accordent leur confiance aux marques mais ils vivent aussi dans le monde réel et comprennent ce que sont les nouvelles menaces qui peuvent survenir. Ce qui est clé pour une marque face à ce genre d’attaque, est de communiquer ouvertement et de manière transparente avec ses clients. Un gros défi car le cybercrime est souvent complexe à circonscrire en un instant ».
Bien que les fondamentaux de la gestion de crise ne différent pas totalement dans l’optique d’une cyberattaque, il y a toutefois des postures, des procédures et des actions spécifiques à acquérir et à développer de façon encore plus prégnante et agile. Plus que jamais, les entreprises doivent dorénavant mettre en œuvre des programmes de préparation à la cyberattaque. A l’instar des simulations de crise traditionnelles, ces programmes sont essentiels pour accroître la culture digitale des acteurs impliqués (absolument nécessaire pour comprendre les dimensions et les répercussions d’une cyberattaque), adopter des réflexions qui épousent le timing des réseaux sociaux et de la connectivité globale et maintenir le dialogue avec les parties prenantes plutôt qu’esquiver et lénifier. Cela suppose une constante vigilance qui passe aussi par de la veille pro-active et de l’intelligence informatique.
Tous les secteurs d’activités sont concernés et pas seulement ceux qui évoluent dans des environnements naturellement sensibles comme par exemple les télécoms, l’énergie, le militaire, les transports, etc. Durant et après l’épisode financièrement ravageur de NotPetya, Saint Gobain a pourtant a adopté une attitude remarquable. Loin d’édulcorer ce qui lui était arrivée, l’entreprise a ouvertement communiqué sur les enseignements de cette crise et les modifications majeures qu’elle a engagées, notamment dans la détection de signaux faibles (grâce à l’intelligence artificielle qui permet de gagner du temps en cas de nécessité de réaction) et dans l’implication de ses dirigeants comme le salue Guillaume Poupard, directeur de l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Information) (14) : « L’époque où il fallait expliquer le B.A.- BA des attaques aux ComEx est maintenant révolue. Sur ce plan, les attaquants en ont fait au moins autant que nous pour convaincre les décideurs d’agir ! Ce que fait Saint Gobain est remarquable dans ce rôle de témoin et de porte-parole. Le PDG de Saint Gobain lui-même va convaincre ses pairs, et c’est très efficace. ». C’est clairement vers cette voie qu’il faut s’orienter. Les cyberattaques ne s’évanouiront pas d’un seul coup de bague logicielle.
Sources
– (1) – Communiqué de presse officiel d’Airbus – 30 janvier 2019
– (2) – Ibid.
– (3) – Communiqué Dow Jones – 7 février 2019
– (4) – Communiqué de presse officiel d’Altran – 28 janvier 2019
– (5) – Valéry Marchive – « Incidents de sécurité : la transparence reste une illusion » – Le Mag IT – 1er février 2019
– (6) – Thomas Giraudet – « Une cyberattaque mondiale pourrait avoir des effets dévastateurs sur l’économie — voici les sinistres prévisions d’un assureur » – Reuters/Business Insider – 30 janvier 2019
– (7) – « New Research Reveals Extent of Reputation Loss After a Cyberattack » – Spamtitan.com – 25 janvier 2019
– (8) – Ellen Neveux – « Reputation Risks: How Cyberattacks Affect Consumer Perception » – Securelink.com – 1er juin 2018
– (9) – « New Research Reveals Extent of Reputation Loss After a Cyberattack » – Spamtitan.com – 25 janvier 2019
– (10) – Hassan Meddah – « « Rendre l’entreprise invulnérable aux cyberattaques est impossible », estime Loïc Guézo » – L’Usine Nouvelle – 4 février 2019
– (11) – Guy-Philippe Goldstein et Philippe Trouchaud – « La valeur de l’entreprise à l’épreuve des cyber-attaques » – Harvard Business Review France – 9 mai 2018
– (12) – Gideon Spannier – « Protecting brand reputation in the wake of a cyber attack » – Raconteur.net – 8 mars 2016
– (13) – Ibid.
– (14) – Alain Clapaud – « NotPetya : Saint-Gobain tire la leçon et s’arme d’intelligence artificielle » – Industrie Techno – 12 octobre 2018