Cyberattaques et communication de crise
La nature même de la sécurité informatique, sa définition et son importance pour chaque entreprise et pour les marchés internationaux, a fondamentalement changé. Du fait de la publicité sur les réseaux sociaux, du développement de l’Internet mobile, de l’augmentation du nombre de violations des données des consommateurs et des révélations d’Edward Snowden, les gens sont conscients de la valeur de leurs données et attendent des entreprises qu’elles soient tenues pour responsables du vol de données. La violation des données informatiques de la chaine de magasins Target et le renvoi de son PDG démontrent que les conseils d’administration sont conscients du fait que les violations informatiques peuvent avoir un impact négatif sur les entreprises rappelle Florian Silnicki, expert en communication de crise et fondateur de l’Agence LaFrenchCom. Toutes les marques doivent considérer la sécurité informatique non comme un sujet lié à leur assurance ou leur service informatique, mais bien comme une composante stratégique importante, qui requiert vigilance et préparation.
Pourquoi maintenant ?
Les cadres dirigeants, notamment ceux qui siègent au conseil d’administration, sont, et cela se comprend, de plus en plus sensibilisés et inquiets à ce sujet. Les flux de données utilisées par leur entreprise constituent un risque. Les chiffres des dommages liés à des affaires récentes s’élèvent à des centaines de millions de dollars quand on fait la somme de l’impact financier : poursuites judiciaires, enquête, rémunération de prestataires et investissements technologiques. Le PDG de Target a été licencié en mai 2014, car il a été considéré comme négligent pour ne pas s’être assuré qu’il y avait des procédures suffisantes de sécurité et de gestion des données. Il a accepté son erreur et s’est engagé à rechercher des solutions immédiates, mais cela n’a pas suffi à convaincre le conseil d’administration de Target.
La gestion de crise n’est pas toujours automatiquement prise en compte
Réfléchissez aux dommages pour Target, qui semblait pourtant suffisamment armé pour faire face à une attaque, mais a vu ses efforts réduits à néant à cause d’un fournisseur de système de ventilation.
Selon l’article de Bloomberg Businessweek sur le piratage, publié le 13 mars 2014 :
- Les clients et les banques ont déposé plus de 90 plaintes contre Target pour négligence, afin d’obtenir des compensations. Il faut ajouter à ces coûts juridiques les autres coûts, qui sont estimés par les analystes à des milliards de dollars.
- Target a investi 61 millions de dollars jusqu’au 1er février 2014 pour répondre au piratage, selon son rapport aux investisseurs lors du quatrième trimestre.
- Les profits de la chaine au cours de la saison de Noël ont chuté de 46 % par rapport au même trimestre l’année précédente. Le nombre de transactions a accusé sa plus forte baisse depuis que la chaine a commencé à publier ces chiffres en 2008.
Les conséquences sur les dirigeants ? La Directrice informatique Beth Jacob a démissionné en mars 2014 et le PDG et Président Gregg Steinhafel a démissionné deux mois plus tard.
Les discussions portant sur les marques et leur capacité (ou non) à protéger leurs données ne relèvent plus désormais des seuls spécialistes de la cybersécurité. Snowden, Heartbleed et Target indiquent que la sécurité des données devient une préoccupation pour tous, pas seulement pour les informaticiens. L’ignorance n’est plus une excuse. Le sujet a même été évoqué au Forum de Davos en 2015. Les dépenses en matière de sécurité informatique continuent à augmenter, pas parce que les fournisseurs vendent des versions mises à jour, mais parce que le sujet est devenu un problème central pour toutes les entreprises.
Toutes les organisations devraient avoir un plan de gestion de crise
Du fait des diverses menaces qui pèsent sur elles, les organisations doivent réévaluer la définition même du plan de communication de crise. Cela est vrai pour toutes les entreprises, de P&G à Boeing ou Burberry. Tous les dirigeants doivent réfléchir à un plan de gestion de crise de sécurité. Il faut adopter une réflexion transverse, examiner les données numériques stockées dans tous les services de l’entreprise et décider comment les protéger.
Si vous faites partie des dirigeants de P&G, ConAgra ou Wells Fargo, que savez-vous de votre stratégie de protection des données ? Par le passé, cela n’était pas une priorité. On confiait cette tâche à des membres du service informatique auxquels on faisait confiance. Ils s’assuraient que tout fonctionnait et que des mesures de protection étaient en place. Cette approche ne suffit plus. Faites de la sécurité informatique une de vos priorités. Le service de communication doit, pour protéger la marque, s’assurer que le sujet figure à l’ordre du jour des réunions de la direction.
Les secteurs de la santé et l’industrie pharmaceutique sont obligés, du fait de la règlementation et des normes mises en place par la FDA aux États-Unis, d’avoir un plan de gestion de crise. Aucune entreprise pharmaceutique digne de ce nom ne pourrait opérer sans un plan de communication de crise soigneusement élaboré, car les médicaments ont un impact direct sur la vie des gens, ce qui représente une responsabilité très importante pour ce secteur. En revanche, en dehors de ces secteurs économiques, bien peu d’entreprises disposent de plans de gestion de crise.
Mais cette situation est en train de changer. Pensez aux sujets comme les infections dues à la bactérie E. coli et les rappels de denrées alimentaires. Grâce à l’utilisation croissante des réseaux sociaux, de nombreux consommateurs savent maintenant qui sont les entreprises responsables et ils modifient leurs habitudes d’achat en conséquence. Les gens peuvent obtenir plus facilement des informations et choisissent de manière beaucoup plus avisée les marques qu’ils achètent et soutiennent. Ils partagent
Quel est mon plan de communication de crise en matière de sécurité des données ?
Il existe de nombreux cas, dans tous les secteurs économiques, où des entreprises ont utilisé des plans de gestion de crise bien conçus avec des schémas de décision élaborés et des procédures de remontée d’information pour alerter et gérer rapidement des crises.
Un plan de communication de crise doit comporter les éléments suivants :
- Qui est sur la liste des personnes à appeler en premier lieu, et dans quel ordre faut-il les appeler ?
- Quel est le temps de réaction attendu interne et externe ?
- Disposons-nous de réponses déjà rédigées à destination des clients/partenaires/investisseurs ?
- Les bons canaux de communication sont-ils déjà en place (e-mails, portails, communiqués) ?
- Quand devons-nous informer l’équipe de vente ? Quand devons-nous informer l’équipe de soutien technique ?
- À quelle fréquence allons-nous communiquer ?
- Qui est au sommet de la chaine de décision ? Qui est le principal porte-parole?
Il faut aussi bien être conscient que si vous êtes confronté à une crise, elle comportera probablement plusieurs phases (découverte de la crise, réponse à la crise, etc.), qui pourront durer des semaines ou des mois. Disposer de suffisamment de personnel et avoir assez de bande passante pour effectuer un suivi, faire des rapports et résoudre certains problèmes avec l’appui de la direction fait basculer la gestion de crise d’une situation limitée dans un laps de temps assez court à un problème sur le long terme.
Les répercussions sur les RP et le marketing
Compte tenu du marché et des technologies actuelles, il vaut mieux, en tant que marque, que vous reconnaissiez la situation et ayez un plan de gestion de crise. Les blogueurs comme Ryan Naraine ont par le passé vanté les mérites des fournisseurs de solutions de sécurité pour la manière dont ils ont géré des piratages ou des problèmes. Ce type de reconnaissance devient de plus en plus important. Les entreprises saluées par les blogueurs disposaient de plans de gestion de crise similaires à ceux qui sont utilisés dans l’industrie pharmaceutique ou les entreprises de grande consommation pour les rappels de produits. Cela devrait être la norme pour toutes les entreprises.
Les réseaux sociaux attisent les flammes de la controverse, qui brûlent puis se consument rapidement. Un problème sera abondamment évoqué et tout le monde semblera s’en prendre à l’entreprise fautive, mais le sujet s’estompera au bout d’un jour ou deux. Les réseaux sociaux mettent en lumière un problème, puis passent à un autre sujet, puis un autre, etc… C’est à la fois un avantage et un inconvénient.
Mais les affaires Heartbleed et Snowden ont changé la donne, provoquant la sensibilisation croissante de la population. Vous ne pouvez plus appliquer les mêmes règles de conduite. Si un problème de sécurité met le feu aux poudres, il ne disparaitra pas nécessairement. En réalité, vous devriez vous être préparé à ce qu’un problème reste sur le devant de la scène pendant longtemps. En effet, les failles de sécurité semblent être un type de problème qui se prolonge pendant des mois voire des années (phases de découverte du problème, puis résolution, redressement, etc.).
Chaque entreprise doit disposer d’un plan de gestion de la sécurité des données
Cela ne signifie pas nécessairement que chaque problème requiert une réaction de niveau maximal. Vous devez toujours identifier le degré d’importance stratégique d’un problème avant d’y répondre. L’équilibre n’est pas toujours évident à trouver. Il faut effectuer un suivi constant et ajuster le ton employé et la teneur du message en conséquence. Et vous devrez toujours tenir compte des implications pour vos clients et partenaires. C’est dans ce cadre-là qu’un plan de gestion de crise s’avère particulièrement utile (s’il est bien conçu), car il comporte normalement une grille pour déterminer la nature et le risque potentiel d’un évènement. Par conséquent, le plan vous permet d’évaluer la gravité de la situation en utilisant des questions du type : « est-ce un problème intrinsèque au produit que nous fabriquons, ou représente-t-il un risque pour nos consommateurs ? Est-ce gênant ? Est-ce quelque chose de puéril, comme quelqu’un qui s’amuse à modifier notre site Internet ? »
Par exemple, imaginons que votre équipe identifie un problème mineur, ne mettant pas en péril vos données. Si vous identifiez des conversations sur Internet remettant en question la transparence de votre entreprise, vous pouvez rédiger un billet de blog rapidement, évoquant les aspects techniques du problème, et demander à votre équipe de faire un suivi à court terme pour vérifier que tout rentre dans l’ordre. Inutile dans ce cas-là de vous exprimer beaucoup sur le sujet sur les réseaux sociaux, car cela ne ferait qu’alimenter les conversations, voire les critiques. Avoir une grille de lecture pour analyser et filtrer différentes situations vous empêchera de réagir avec excès et donc de courir le risque de donner plus de visibilité à un problème que nécessaire.
Conclusion
La sécurité est un problème de plus en plus discuté. Chaque entreprise doit disposer d’un plan de gestion de la sécurité des données, en plus des autres plans de gestion de crise.
Suite au sommet du Gartner Security Summit de 2014, l’accent a été mis sur la création d’un poste spécialement dédié au risque numérique, au-delà du Directeur de la sécurité informatique. Cette idée part du constat que la sécurité est une composante de toutes les activités d’une entreprise. La personne nommée aurait la responsabilité de vérifier que chaque machine et chaque équipement utilisé par l’entreprise disposent du niveau de sécurité approprié.
Qu’il s’agisse des données financières, des données de la ligne de production, ou du portail SaaS comportant les informations sur les prospects, toute votre entreprise utilise des données, qui sont toutes associées à des risques. Il est temps que les entreprises, petites ou grandes, révisent leur définition de la sécurité et du risque, reconnaissent le besoin de réexaminer leurs politiques de communication de crise et se préparent pour le moment où un risque d’ordre numérique sera à l’ordre du jour de la réunion mensuelle du conseil d’administration.