Orange piraté : Une communication qui mérite un carton rouge !

Question communication de crise avec ses clients, Orange n’a semble-t-il pas encore adopté le très haut débit. Victime d’un piratage informatique le 16 janvier avec à la clé le vol des données personnelles de 800 000 abonnés, l’opérateur télécom ne s’est résolu à enfin communiquer officiellement que sous la pression du scoop dévoilé par le site techno PC INpact le 30 janvier. Un retard à l’allumage pas vraiment du meilleur effet pour la réputation de l’entreprise.

Sans la perspicacité du site PC INpact, l’intrusion frauduleuse dont a été victime Orange le 16 janvier dernier, serait probablement passée inaperçue tant l’opérateur historique ne s’est guère empressé de partager l’information, y compris auprès des 800 000 clients dont les données personnelles ont été dérobées. Ce n’est qu’à compter de la publication de l’article du site spécialisé soit 14 jours plus tard que le n°1 des télécoms français a daigné lever le voile et reconnaître l’effraction informatique (après avoir envoyé un email quelques heures avant l’article de PC INpact aux personnes concernées). Une posture de communication particulièrement dommageable pour l’image de la société comme pour la confiance des utilisateurs. Explications.

Faites ce que je dis, pas ce que je fais

En novembre 2013, Orange communiquait pourtant en fanfare sur la sécurité des données

En novembre 2013, Orange avait pourtant largement glosé à grands renforts de flonflons responsables sur le sujet de la sécurité informatique et de la protection de la vie privée sur Internet.

Dans une conférence réglée au millimètre intitulée « Le Show Hello », le PDG Stéphane Richard avait en personne martelé la philosophie que l’opérateur entendait décliner pour assurer un contrôle optimal des informations sensibles relatives à ses clients.

Un credo que le site Numérama avait résumé en quatre points clés (1) :

• la sécurité des données personnelles des clients à travers la fiabilité de leur traitement et la sécurité de leur conservation (« nous vous garantissons la sécurité de vos données« ) ;
• le contrôle par les clients de leurs données personnelles et de l’utilisation qui en est faite, notamment, via un tableau de bord personnel (« nous vous donnons le contrôle de leur utilisation« ) ;
• la transparence du traitement des données de ses clients et utilisateurs dans toutes les étapes de la relation (« nous nous engageons sur la transparence de leur traitement« ) ;
• l’accompagnement de tous ses clients et utilisateurs pour les aider à protéger leur vie privée et à mieux gérer leurs données personnelles (« nous vous assurons un accompagnement pour vous aider à protéger votre vie privée« ).

Parmi ces déclarations d’intention, on peut remarquer la présence de vocables très signifiants comme « sécurité de conservation », « transparence (…) dans les étapes de la relation » et « accompagnement de tous ses clients ». On imagine sans mal que le choix de ces mots a dû être soigneusement soupesé chez Orange avant d’être validé comme charte de conduite. Pourtant, à la lumière du piratage opéré le 16 janvier, c’est tout le contraire de ces consignes que l’entreprise a appliqué. La sécurité a failli (même s’il est évident que le risque informatique zéro n’existe pas), la transparence a été inexistante jusqu’à l’entrée en scène de PC INpact et l’accompagnement s’est fait au forceps auprès de 800 000 personnes concernées. En communication, il n’y a rien de plus désastreux que de professer de jolies paroles incantatoires pour ensuite les abandonner aux oubliettes des vœux pieux.

Le doute s’instille

Silence inapproprié = confiance ébréchée

Outre l’extrême lenteur d’Orange à admettre officiellement qu’un fric-frac informatique avait été opéré sur certains de ses serveurs, l’atonie communicante de l’opérateur ne peut désormais qu’aiguillonner les questions. Si PC Inpact n’avait pas mis la main sur cette information capitale, les équipes d’Orange auraient-elles continué d’agir ni vu ni connu et tenté de résoudre le problème en catimini en croisant très fort les doigts pour que rien ne transpire ? Face à une telle discrétion pas tellement de bon aloi, il est maintenant permis de douter de la sincérité de l’opérateur.

Même si au final, l’affaire ne concerne que 3% du portefeuille global d’abonnés, Orange aurait pu avoir la délicatesse d’informer immédiatement les personnes dont les comptes ont été fracturés plutôt que se retrancher dans un silence assourdissant. Une telle attitude laisse un désagréable sentiment qu’on a cherché à cacher au maximum la réalité du problème rencontré. Une telle option de non-communication ne peut que générer à terme une suspicion accrue handicapante pour la réputation d’Orange. Au prochain problème, il sera difficile d’inspirer pleinement confiance au regard de ce fâcheux précédent.

Et maintenant ?

Message envoyé par Orange aux 800 000 infortunés

Dos au mur depuis que PC INpact a vendu la mèche, Orange n’a alors eu de cesse de reconnaître l’incident mais également de le minimiser. Notamment en insistant sur le fait que les données captées par les pirates ne comportent aucun mot de passe, ni informations bancaires. En d’autres termes, la récolte faite par les hackers ne pourra uniquement servir qu’à des opérations de phishing (faux courriels imitant le caractère officiel des messages de l’entreprise pour soutirer des éléments sensibles à un utilisateur et/ou spammer des messageries) mais pas de transactions frauduleuses ou autres avatars nettement plus graves.

Juste avant le scoop de PC INpact, Orange avait commencé à adresser un long courrier circonstancié aux clients victimes de l’intrusion pour les rassurer et expliquer les démarches à suivre. Enfin, histoire d’enfoncer le clou et montrer que l’entreprise ne prend pas l’affaire à la légère, celle-ci a ensuite annoncé qu’elle a porté plainte en justice pour l’acte illégal commis (2). En attendant, les retombées presse autour du hacking perpétré chez Orange ne cessent de s’accumuler. Rien que sur Google News, on dénombre plus de 200 articles sur le sujet à ce jour.

Au final, la réputation d’Orange ne sort guère grandie de cet épisode malencontreux qui aurait pu être géré autrement que comme un garnement tentant maladroitement de dissimuler sa bourde. Etait-ce la crainte de passer pour un opérateur incompétent incapable de sécuriser les données de ses clients qui a conduit à une attitude mutique pendant près de deux semaines ? Toujours est-il qu’aujourd’hui, Orange en est réduit à rétropédaler poussivement et recoller les morceaux d’une confiance ébréchée. Moi-même qui suis abonné Orange, je m’interroge sur le degré exact de transparence de mon opérateur à mon égard. Il aurait tellement été plus simple et fructueux de jouer cartes sur table, d’avertir aussitôt médias et consommateurs et de distiller les conseils essentiels en matière de sécurité informatique plutôt que d’entamer une partie de cache-cache finalement éventée et source de potentielles suspicions à l’avenir.

Sources

– (1) – Julien L. – « Orange s’engage sur le respect de la vie privée » – Numérama – 7 novembre 2013
– (2) – Sébastien Gavois – « Attaque informatique, fuite de données : Orange répond à nos questions » – PC INpact – 30 janvier 2013