Communication de crise et risques digitaux

fuite fichiers communication de crise

Risques digitaux et communication de crise

Quels sont les risques liés à la digitalisation du monde des affaires ? Comment les entreprises peuvent-elles anticiper ces risques ? Quel est l’impact de la multiplication de ces risques dans la communication de crise et la gestion de crise des entreprises ? Florian Silnicki, Expert en stratégies de communication de crise et fondateur de l’agence LaFrenchCom’ nous présente les différents leviers entre les mains des entreprises.

Plusieurs affaires récentes démontrent que des entreprises se retrouvent confrontées à l’introduction de virus et logiciel malveillant sur le réseau de l’organisation sans l’avoir anticipé. Cela peut avoir un impact business considérable en entrainant notamment :

  • la perte et le vol de données,
  • des systèmes zombies,
  • des systèmes indisponibles,
  • mobiliser des ressources importantes pour nettoyer les systèmes.

Que peuvent faire les entreprises face à ce risque ? Quelques rappels de base.

  • S’assurer que tous les systèmes antivirus et anti-logiciels malveillants sont installés et mis à jour quotidiennement – utiliser des technologies pour filtrer les contenus ou limiter l’accès aux réseaux sociaux,
  • S’assurer que des systèmes de contrôle sont aussi en place pour les appareils mobiles comme les smartphones des salariés,
  • Mettre en place ou mettre à jour des politiques internes,
  • Concevoir et organiser des campagnes et programmes de sensibilisation et de formation des employés sur les risques digitaux et leur responsabilité face à cette digitalisation de leur environnement de travail,
  • Mettre en place des règles claires limitant l’utilisation des outils digitaux et concernant la confidentialité des communications liées aux activités de l’entreprise.

vol fichiers communication de crise

Comment faire face à un faux compte de l’entreprise ou à un compte piraté ?

Vous risquez :

  • Des poursuites juridiques pour ne pas avoir tout mis en oeuvre pour protéger suffisamment ces données,
  • D’avoir à affronter la fureur légitimes et la fuite de vos clients,
  • D’avoir à affronter la publication d’informations confidentielles sur vos clients,
  • De subir des préjudices considérables de réputation,
  • De subir des tentatives ciblées de hameçonnage sur les clients, les adhérents ou les employés de votre entreprise.

Florian Silnicki, expert en communication à la tête de l’agence de communication de crise LaFrenchCom, nous explique que des entreprises peuvent aujourd’hui recruter une agence spécialisée dans la protection des marques, afin de scanner le contenu d’Internet et identifier les utilisations frauduleuses éventuelles de la marque de l’entreprise, ou les mentions des noms de leurs salariés ou de leurs dirigeants afin de pouvoir réagir en temps réels en cas de crise.

Florian Silnicki insiste sur la nécessité de donner régulièrement des informations aux clients pour les sensibiliser à la nécessité de changer leurs mots de passe, aux risques d’hameçonnage, de phishing ou de filoutage etc… Vos clients doivent disposer de conseils clairs sur la sécurité de leurs comptes. Vos salariés doivent être régulièrement sensibilisés aux enjeux de la sécurité de l’information détenue par l’entreprise et doivent être régulièrement formés aux risques de fraudes potentielles.

Qu’en est-il des droits sur les contenus publiés sur les réseaux sociaux pas clairs ou mal définis ?

  • Il y a aujourd’hui un vrai risque de perte de contrôle de l’entreprise sur les informations et contenus publiés sur les réseaux sociaux,
  • Il convient de s’assurer que les équipes juridiques et de communication ont soigneusement examiné les contrats d’utilisation pour les réseaux sociaux en question,
  • Fixer des politiques claires définissant pour les employés et clients quelles informations peuvent être publiées sur les réseaux sociaux.

Les risques liés à l’utilisation personnelle des réseaux sociaux par les employés

Les risques d’utilisation de données personnelles pour communiquer des informations liées au travail :

  • Risques de violation de la vie privée,
  • Risques de préjudice de réputation,
  • Risques de perte d’avantage concurrentiel,

Il convient de travailler avec les RH pour fixer de nouvelles politiques internes, ou s’assurer que les politiques actuelles traitent de la situation d’employés publiant des informations liées au travail. Il convient également de travailler avec les RH pour concevoir des campagnes et programmes de sensibilisation sur ces politiques internes afin d’en garantir l’acceptabilité.

Que faire face à des employés qui publient des images ou des informations liées à l’entreprise ?

  • Le risque de répercussion sur l’image de marque de l’entreprise existe,
  • Le risque de préjudice de réputation existe également,

Il convient de travailler avec les RH pour concevoir une politique interne expliquant dans quels cas les employés peuvent publier des images, des idées ou des informations liées à l’entreprise sur les réseaux sociaux.

Comment gérer l’accès des employés aux réseaux sociaux via des appareils mobiles fournis par l’entreprise (smartphones, assistants numériques personnels ou PDA) ?

  • Ces appareils mobiles peuvent être infectés
  • Le risque de vol de données sur les appareils mobiles est accentué
  • Le risque de contournement des systèmes de contrôle de l’entreprise est multiplié
  • Le risque de perte de données est plus grand.

Si possible, il convient d’utiliser des technologies de filtrage de l’entreprise sur ces supports afin d’en limiter l’accès. Il convient de s’assurer que des systèmes de contrôle sont aussi en place et mis à jour régulièrement pour les appareils mobiles comme les smartphones. Il convient de fixer ou créer des politiques d’utilisation des smartphones pour l’accès aux réseaux sociaux et aux internets. Il convient de concevoir et d’organiser des campagnes et programmes de sensibilisation et de formation des employés sur les risques.

gestion crise reseaux sociaux

Réflexions sur la gouvernance et le changement

Le déploiement de l’entreprise sur les réseaux sociaux et dans le monde digital plus globalement, peut provoquer des bouleversements dans la culture de l’entreprise et ses procédures, particulièrement dans les domaines de la communication, du marketing, du service client et du développement commercial.

Les modes de communication très dynamiques liés aux réseaux sociaux peuvent profondément altérer la manière dont une entreprise lance des campagnes marketing, compile des données sur la satisfaction de ses clients et leur apporte de l’aide. Les procédures de l’organisation dans chacun de ces domaines pourraient devoir être modifiées en conséquence.

L’utilisation des outils digitaux instaure également de nouveaux canaux de communication qui doivent être correctement suivis et gérés. En fonction de la nature de l’utilisation, du nombre et du type de supports digitaux utilisés, les besoins en matière de personnel et de formation pourraient beaucoup changer et augmenter, ce qui doit être pris en compte lors de la phase de décision.

Quand elles envisagent d’adopter de nouvelles technologies, les entreprises devraient faire appel à des cadres formels comme Risk IT et COBIT, qui proposent des systèmes de contrôle et des procédures claires pour aider à répondre à des questions essentielles comme :

  • Quels sont les avantages stratégiques associés à cette technologie nouvelle ?
  • Toutes les parties prenantes sont-elles prises en compte dans la conception de la stratégie concernant les réseaux sociaux ?
  • Quels sont les risques liés à cette technologie et les bénéfices l’emportent-ils sur les coûts ?
  • Quels sont les aspects juridiques liés à l’utilisation des réseaux sociaux ?
  • Comment tiendra-t-on compte des impératifs de respect de la vie privée des clients ?
  • Comment cela renforcera-t-il la réputation de la marque ?
  • Comment les programmes de sensibilisation et les formations seront-ils communiqués aux employés et aux clients ?
  • Comment gèrerons-nous les demandes et plaintes des clients ?
  • L’entreprise a-t-elle des ressources suffisantes pour déployer cette initiative ?
  • Quelles sont les exigences d’ordre règlementaire associées à l’intégration de cette technologie ?

Réflexions portant sur la conformité et la qualité

De la même manière que les entreprises doivent concevoir une stratégie et des systèmes de contrôle adaptés pour gérer leur utilisation des réseaux sociaux, il est de la responsabilité du service de la conformité de valider et faire un suivi de ces contrôles pour s’assurer qu’ils sont et restent efficaces et que la conformité est mesurable. Le service de la conformité devrait examiner les domaines suivants pour vérifier que les risques liés à l’utilisation des réseaux sociaux sont gérés de manière appropriée :

Stratégie et gouvernance

♣ Une évaluation des risques a-t-elle été effectuée pour cartographier les risques que représente l’utilisation de certaines technologies digitales pour l’entreprise ?

  • L’évaluation de risques devrait aussi analyser les procédures prévues et les sites spécifiques utilisés.
  • Cette évaluation de risques devrait être réexaminée à chaque fois que l’utilisation des réseaux sociaux change de manière importante.

♣ Existe-t-il une politique interne établie concernant l’utilisation des outils digitaux ?

  • Cette politique devrait être créée ou modifiée pour définir les comportements appropriés associés à l’utilisation des réseaux sociaux.

♣ Ces politiques portent-elles sur tous les aspects de l’utilisation, aussi bien personnelle que professionnelle, des réseaux sociaux dans le cadre du travail ?

  • Les politiques portant sur les réseaux sociaux devraient traiter de quatre domaines spécifiques :
    • l’utilisation personnelle des réseaux sociaux par les employés sur le lieu de travail
    • l’utilisation personnelle des réseaux sociaux par les employés hors du lieu de travail
    • l’utilisation professionnelle des réseaux sociaux par les employés (sur des appareils personnels)
    • les procédures nécessaires de suivi pour la protection de la marque

Personnes

♣ Les utilisateurs ont-ils participé à une formation claire et ceux-ci (ainsi que les clients) reçoivent-ils régulièrement des informations de sensibilisation sur les politiques et les risques ?

  • Tous les utilisateurs doivent comprendre ce qui est approprié ou pas et comment se protéger ainsi que l’entreprise quand ils utilisent des réseaux sociaux.
  • Les clients qui accèdent à une page de l’entreprise sur les réseaux sociaux doivent comprendre ce qui est considéré comme un usage approprié de ces canaux de communication et quelles informations ils ne doivent pas divulguer.

Procédures de l’entreprise

♣ Les procédures faisant appel aux réseaux sociaux ont-elles été examinées pour vérifier qu’elles respectent les politiques de l’entreprise ?
♣ Si les politiques concernant les réseaux sociaux et les procédures de l’entreprise ne coïncident pas, il y a un risque pour l’entreprise.

Des procédures de contrôle devraient être en place pour s’assurer que les changements apportés s’inscrivent dans la politique interne de l’entreprise.

Technologie

♣ Le service informatique dispose-t-il d’une stratégie et des ressources nécessaires pour gérer les risques techniques que représentent les réseaux sociaux ?

La vaste majorité des risques techniques posés par les réseaux sociaux sont similaires aux risques représentés par les e-mails frauduleux, sites Internet malveillants, etc. Le service informatique devrait disposer de systèmes de contrôle, à la fois en version réseau et en version hôte, pour neutraliser les risques liés à des logiciels malveillants.
Ces contrôles peuvent être par exemple des restrictions sur les téléchargements, des paramètres de navigateur, des produits pour prévenir les pertes de données, des systèmes de filtrage et de monitorage, et des applications antivirus et anti-logiciel malveillant.
L’organisation devrait disposer de plans de gestion d’incident approprié pour faire face à tout problème.
Les procédures techniques sont-elles cohérentes avec les politiques internes concernant les réseaux sociaux ?
Il faut s’assurer que tous les systèmes de contrôle sont en place et fonctionnent comme prévu, ou qu’il existe les projets pour ce faire, avec un calendrier et un budget validés.

♣ L’organisation dispose-t-elle d’une procédure établie pour répondre au risque d’utilisation frauduleuse/non autorisée de sa marque sur les réseaux sociaux ou autres commentaires critiques pouvant lui nuire ?

Effectuer ce genre de veille peut s’avérer cher, mais l’organisation doit avoir une stratégie pour gérer ce risque. Il existe des entreprises qui assurent ce service. C’est généralement la meilleure solution pour les entreprises pour lesquelles ce type de suivi est indispensable.

Ce risque existe de toute façon, que l’organisation soit présente ou non sur les réseaux sociaux.

Acceptez que les réseaux sociaux deviennent omniprésents

Les réseaux sociaux et médias numériques existent sous de nombreuses formes. Par exemple, le présentateur de NBC Brian Williams a fait partie des premiers blogueurs importants et annonce souvent des nouvelles et donne des détails supplémentaires aux reportages diffusés à l’antenne. Greenpeace a aussi un des blogs les plus appréciés. Tenez compte de cela et diffusez le même message à Brian Williams et à Greenpeace – sauf sur certains sujets, où vous pouvez communiquer de manière différente avec ces 2 interlocuteurs.

Vos employés aussi seront des blogueurs. Incluez une partie sur les blogs dans votre politique sur la publication de contenus en ligne/les réseaux sociaux/les e-mails. Le PDG de votre organisation ou d’autres cadres dirigeants peuvent s’avérer de piètres porte-paroles. Lors d’une interview avec le Guardian trois semaines après la catastrophe du Deepwater Horizon, Tony Hayward, le PDG de BP, a déclaré : « Le Golfe du Mexique est un vaste océan. Le volume de pétrole et de dispersant que nous y mettons est très faible en comparaison du volume total d’eau ». Ce commentaire irréfléchi, qui visait à rassurer, a été à l’origine d’une nouvelle salve de commentaires dans la blogosphère et continue de refaire surface, car la quantité et la toxicité des dispersants sont un sujet très sensible dans les États qui ont été touchés par la marée noire. Une semaine plus tard, Tony Hayward s’est attiré des critiques supplémentaires lorsqu’il a dit à quelqu’un, qui se trouvait à proximité d’un micro, qu’il voulait « récupérer sa vie d’avant ».

Plutôt que de se plaindre et de continuer sur le chemin de la discorde, Nestlé, qui est depuis longtemps la cible des ONG pour ses politiques « durables » dans la fabrication de produits alimentaires, a changé de tactique et a utilisé son site Web pour ouvrir un forum sur la déforestation et annoncer une alliance avec The Forest Trust, une ONG. Le partenariat a édicté un ensemble de règles publiées sur le site pour guider le processus d’achat de Nestlé et évaluer les performances des fournisseurs, notamment dans leur mode de gestion des plantations qui produisent de l’huile de palme.

Les réseaux sociaux changent aussi la manière dont les messages de santé et de sécurité du public sont communiqués lors d’une crise, comme on a pu le voir avec le rôle important joué par YouTube, Flickr, Twitter et Facebook lors de l’attaque terroriste de Mumbai (Bombay) en 2008 et le rappel de cacahouètes infectées avec une salmonelle aux États-Unis en 2009. Les agences mondiales de services sociaux s’efforcent d’établir un ensemble de règles à suivre pour améliorer la communication d’urgence.

Les régulateurs font un suivi des réseaux sociaux. Suite à une polémique née sur Facebook, la Commission américaine chargée de la sécurité des produits a lancé une enquête sur des plaintes concernant des éruptions et des brûlures cutanées liées à des produits chimiques après l’utilisation de couches « Dry Max », et P&G a perdu des parts de marché. Formez le Directeur marketing et les Chefs de produit à vos procédures de crise. Assurez-vous que des plans appropriés ont été mis en place pour protéger votre réputation et vos marques en cas de crise. Mettez l’accent sur les tests d’innocuité des produits et effectuez un suivi continu des commentaires et plaintes des consommateurs.