Décryptage de crise : Le cas d’Anthem
Quatre-vingts millions. C’est le nombre de personnes dont des données cruciales, comme leur adresse, identifiant médical, numéro de sécurité sociale et autres données personnelles ont fini dans les mains de cybercriminels suite au piratage d’Anthem, la deuxième plus grosse compagnie d’assurance santé aux États-Unis, en février 2015. Cette cyberattaque est à date le plus gros piratage de données médicales de l’histoire des USA analyse Florian Silnicki, expert en communication de crise et fondateur de l’agence LaFrenchCom.
Une telle attaque place les organisations sous les feux des projecteurs, car tous leurs actes sont observés, disséqués et commentés. De la rapidité avec laquelle ils informent de la cyberattaque à leur promptitude à révéler leurs pratiques de sécurité informatique, tous les éléments seront jugés par les consommateurs et les médias. Une mauvaise communication de crise peut avoir des effets dévastateurs sur les relations d’une entreprise avec ses actionnaires et parties prenantes, sur l’image de la marque et, au bout du compte, sur les résultats financiers.
Nous n’en sommes qu’aux débuts, mais Anthem a relativement bien géré sa réponse à la crise, mais il faudra encore patienter pour savoir comment elle se reconstruit. Pour l’instant, les initiatives prises par Anthem ont été adaptées et rapides. Nous pouvons tirer des leçons utiles de l’approche adoptée par l’entreprise dans sa communication de crise suite à la cyberattaque.
Diffusez rapidement les informations dont vous disposez. Le piratage d’Anthem a été détecté le 27 janvier 2015 et l’entreprise l’a annoncé publiquement le 4 février, en présentant en même temps un éventail de mesures. Anthem a été félicitée pour avoir informé rapidement de la cyberattaque et pour avoir été si bien préparée, ce qui a contribué à une impression de transparence et a donc entretenu la confiance en la marque. Par comparaison, le piratage de Target a été annoncé par une source extérieure le 13 décembre 2013, mais le distributeur a mis cinq jours à faire sa propre déclaration et pris plusieurs semaines pour envoyer des courriers à ses clients. Quand 4,6 millions de comptes sur Snapchat ont été piratés à la fin de l’année 2013, l’entreprise a attendu plusieurs mois avant d’en informer le public, ce qui a provoqué l’indignation de ses utilisateurs.
Même si les piratages informatiques sont plus fréquents, n’essayez pas d’endormir vos consommateurs.
Les entreprises ne révèlent souvent pas un piratage informatique pendant des semaines voire des mois. La première réaction du dirigeant d’une entreprise pourra être de ne pas diffuser l’information avant d’avoir tous les éléments en main. Pourtant, lorsqu’elle fait face à un piratage des données de ses clients, une entreprise doit les en informer rapidement et notamment dire ce qu’elle sait. Personne ne s’attend à ce que l’entreprise ait toutes les réponses immédiatement, et si le porte-parole explique que l’entreprise coopère avec les autorités pour le savoir, les attentes des clients et du public devraient être relativement satisfaites.
Il existe des lois pour obliger les entreprises à informer d’un vol de données, mais les délais sont vagues et indiquent que le public doit être informé « dans un laps de temps raisonnable ». L’impératif d’information du public dépend aussi du type de données volées (informations d’ordre médical, ou bien plus général). Si les entreprises doivent respecter leurs obligations légales, elles doivent aussi satisfaire à leurs obligations morales et donc annoncer rapidement et honnêtement ce qu’elles savent.
Diffusez efficacement des informations faciles à comprendre. Anthem s’est particulièrement distinguée par les mesures présentées aux clients lorsqu’elle a annoncé le vol de données. Elle a lancé un site dédié, anthemfacts.com, ainsi qu’une hotline que les clients actuels et passés pouvaient appeler pour obtenir des informations. Anthem dispose aussi d’une page de questions-réponses avec des détails supplémentaires.
De plus, les informations étaient faciles à lire et à comprendre. En effet, ce type d’informations ne sert à rien si les gens doivent parcourir cinq pages avant de comprendre en quoi ils sont concernés et ce qu’ils peuvent faire. De plus, il ne faudrait pas que des gens souhaitant des informations tombent sur un employé du service clients impoli ou mal informé. Lors du piratage de Target, l’entreprise a été très critiquée, car le temps d’attente avant de pouvoir parler à un employé du service clients était très long, le message concernant le piratage placé sur son site Internet était difficile à trouver et les communications par écrit étaient trop compliquées à comprendre.
Bryan Scanlon, le directeur monde de MSLGROUP, une agence de communication stratégique disposant d’une grosse équipe dédiée à la sécurité de l’information, explique que les conseils aux clients sont souvent conçus après-coup pour répondre aux impératifs règlementaires d’information des usagers. « Les clients veulent qu’on fasse preuve d’empathie envers eux, et qu’on leur communique de manière claire et utile ce qu’ils doivent faire, quels outils sont à leur disposition et comment ils peuvent réduire les risques. N’oubliez pas de vous comporter comme des êtres humains, tout simplement ».
Un piratage impacte toujours la réputation et les revenus dans les mois suivants, mais il est possible de se redresser.
Proposez quelque chose pour compenser le désagrément occasionné à vos clients. Les entreprises ne peuvent acheter la fidélité de leurs clients, mais elles peuvent investir dans des initiatives permettant d’atténuer les conséquences et de montrer que leurs clients comptent pour elles. Au minimum, elles doivent proposer un service de vérification de la note de solvabilité de leurs clients, même si cela a un coût. Après tout, l’entreprise s’est fait voler des données que ses clients lui avaient confiées, il est donc logique qu’elle propose des solutions. Pour les distributeurs, il est judicieux de proposer également des coupons de réduction, car cela incite les gens à revenir dans vos magasins. Anthem a annoncé qu’elle proposerait une vérification de note de solvabilité à ses clients, mais après avoir annoncé le piratage, l’entreprise n’a pas indiqué comment bénéficier de ce service, ce qui a provoqué l’insatisfaction des clients et du gouvernement.
Exprimez des excuses sincères. Cela peut sembler évident, mais c’est souvent difficile à faire pour les entreprises, notamment lorsqu’elles considèrent avoir tout mis en œuvre pour protéger les données de leurs clients. Pourtant, en s’excusant, elles ne reconnaissent ni culpabilité, ni négligence, elles font tout simplement preuve d’empathie. Dans le cas d’Anthem, le PDG Joseph Swedish s’est excusé en ces termes, sur la page d’accueil du site dédié « Anthem facts » :
« Je tiens à m’excuser personnellement auprès de chacun d’entre vous pour ce qui s’est passé, car je sais que vous attendez de nous que nous protégions vos données. Nous allons continuer à faire tout ce qui est en notre pouvoir pour que nos systèmes et procédures de sécurité fonctionnent mieux et nous espérons que nous pourrons retrouver votre confiance en Anthem. »
Une mauvaise réponse à une cyberattaque peut avoir des conséquences dévastatrices. Cependant, du fait de la fréquence de ces attaques, le public s’est habitué à ces problèmes, ce qui peut s’avérer utile pour l’entreprise piratée. Des études ont montré que dans les mois suivant une attaque, il y a une forte baisse de réputation et de revenus, mais qu’il est possible pour l’entreprise et la marque de se redresser.
Par exemple, après le piratage de Target au quatrième trimestre de l’année 2013, qui a fait baisser la perception des consommateurs à son plus bas niveau jamais atteint et a représenté un coût d’environ 17 millions de $ pour l’entreprise, celle-ci a fini le premier trimestre 2014 au même niveau qu’avant le piratage. Les entreprises peuvent donc se redresser, mais pas sans passer par une étape d’attention soutenue des médias et d’insatisfaction des clients, notamment si l’entreprise est perçue comme manquant d’empathie ou d’honnêteté ou si elle n’a pas déployé les ressources adaptées pour corriger les choses.
Même si les piratages informatiques sont plus fréquents, n’essayez pas d’endormir vos consommateurs. Les organisations piratées doivent mettre en œuvre tous les efforts nécessaires pour retrouver la confiance des utilisateurs tout en faisant preuve de proactivité en matière de sécurité. Dans le cas contraire, elles risquent d’être confrontées à une situation encore plus compliquée, avec des procès possibles à la clé. Le mot d’ordre du public reste : « entreprise présumée coupable tant que sa prudence n’a pas été prouvée ».
Les médias français et donc par conséquent les citoyens oublient souvent que nous ne sommes pas seuls au monde. Ailleurs également, des entreprises, administrations et grands médias se sont déjà fait pirater.
Voici une petite liste non exhaustive :
- Microsoft
- Adobe
- RSA
- Sony
- Areva
- Ministère des l’Economie français
- Lockeed Martin
- Boeing
- Thales
- Airbus
- Anthem
- Target
- Staples
- JP Morgan
- Evernote
- Yahoo
- eBay
- Banque Centrale Européenne
- DoD
- At&T
- Betfair
- Nasdaq
- Washington Post
- New York Times
- Forbes
- Northrop Grumman
- Schneider Electric
- …
Cela n’arrive pas qu’aux autres…
- Google, Microsoft, Adobe, ces géant digitaux se sont fait avoir.
- Le New York Times, le Washington Post également.
- De nombreux industriels de la défense américains se font « pwner » par les chinois ou les russes depuis 10 ans.
- Même des sociétés de sécurité informatique comme RSA ou Bit9 ne sont pas non plus invulnérables.