Étude de cas : la crise liée à la cybersécurité des terminaux de paiement du groupe hôtelier HEI
Le système de paiement du groupe d’hôtels haut de gamme HEI a été piraté et les données de cartes bancaires d’un « nombre inconnu » de personnes ont été dérobées. HEI, dont le portefeuille comprend les marques Hyatt, Sheraton, Marriott, et Westin, n’est pas le premier à être la cible d’un piratage de données. L’université UCLA, Target, Home Depot, Ashley Madison, Sony, Neiman Marcus et de nombreux autres ont aussi été touchés.
Comment HEI a géré cette crise ? Quelle est la bonne gestion de crise face à un piratage informatique ? Comment bien communiquer auprès de ses clients face à une cyberattaque entrainant une fuite de données personnelles ?
Comme dans le cas de Whole Foods, HEI a réagi rapidement et créé une partie dédiée de son site Web pour répondre aux questions des consommateurs et les rassurer.
La principale page Internet était courte et facile à lire, avec une brève introduction et un sommaire pour indiquer rapidement où trouver les informations recherchées. Analysons les différentes parties de cette introduction. Chaque phrase a un objectif bien précis.
« Malheureusement, comme de nombreuses autres organisations, nous avons récemment découvert que plusieurs de nos hôtels avaient pu être victimes d’un incident de sécurité pouvant concerner les données de cartes de paiement de personnes utilisant ces cartes sur les terminaux en point de vente, comme dans les boutiques de restauration, dans certains de nos hôtels. »
Cette phrase (très longue) dit plusieurs choses : elle exprime des regrets, met en perspective en rappelant que le piratage informatique est maintenant devenu courant, explique ce qui s’est passé en utilisant le conditionnel avec « avaient pu » et « pouvant » afin de limiter toute responsabilité juridique et éviter d’effrayer.
« Nous prenons très au sérieux notre responsabilité de protéger les données de nos clients, et nous avons lancé une enquête, résolu l’incident, renforcé la sécurité des données et aidé nos clients. »
HEI déclare qu’elle prend au sérieux les données de ses clients et présente ce qu’elle fait pour les protéger.
« Nous sommes heureux de pouvoir annoncer que nous avons mis un terme à l’incident et que nos clients peuvent utiliser leurs cartes bancaires sans danger dans tous nos établissements. »
Commencer par dire « nous sommes heureux » est un excellent moyen de souligner que l’incident est clos et que les clients peuvent reprendre leurs activités.
« Nous sommes désolés des désagréments que cet incident pourrait avoir provoqués. »
Cela montre que HEI se soucie de ses clients. À noter que le texte dit « pourrait », car l’entreprise ne veut pas laisser entendre que tous ses clients sont concernés.
« Sur la base des résultats de l’enquête, nous avons préparé les informations et ressources suivantes :
- un document détaillé expliquant ce qui s’est passé, les actions mises en œuvre et présentant des informations pour tous ceux qui auraient pu être affectés
- un document reprenant les questions fréquemment posées (FAQ), avec des détails supplémentaires dont nos clients pourraient avoir besoin
- une liste des hôtels touchés, par état et avec leur adresse
- un numéro vert, avec des opérateurs se tenant prêts à répondre aux questions des clients à propos de cet incident. Le numéro est le 888-849-1113. Vous pouvez appeler entre 9h00 et 21h00, du lundi au vendredi. »
Cette liste est parfaite en tous points. Elle couvre tous les aspects d’une crise.
Le document détaillé donne un récit précis des évènements, ce que fait HEI, ce que peuvent faire les clients et un numéro à joindre s’ils sont inquiets.
Le FAQ devrait empêcher les gens d’inonder la ligne téléphonique dédiée aux réservations.
La liste des hôtels touchés est probablement le document le plus consulté. Il permet de répondre aux clients qui en entendant la nouvelle, se sont dit « un piratage ? Est-ce que mes données ont été volées ? » HEI a placé cette liste à deux endroits pour être sûr que tout le monde la voie (les personnes paniquées ont tendance à ne faire attention à rien).
Enfin, l’entreprise donne un numéro aux personnes qui en auraient besoin. Cela montre qu’elle est prête à aider ses clients.
« Nous prenons cette affaire, ainsi que la protection des données personnelles, très au sérieux et nous allons continuer à améliorer les mesures de sécurité pour protéger nos systèmes. Veuillez accepter à nouveau tous nos regrets pour les inquiétudes et désagréments que cet incident a pu causer. »
Pour conclure, le groupe rappelle à ses clients qu’il prend tout cela au sérieux et regrette d’avoir pu causer des « inquiétudes et désagréments ». Ces deux éléments ont pour but de calmer et rassurer.