La communication de crise de Techotel, transparence réfléchie ou transparence subie ?

Par |2021-07-25T21:41:34+02:0023/07/2021|Article|

Nota : les extraits de la communication de Techotel ont été retranscrits fidèlement, y compris les coquilles et imprécisions grammaticales. 

La communication de crise reste aujourd’hui l’une des dimensions les plus sensibles et les plus critiques de la gestion de crise. Souvent subie, la communication peut en réalité être un véritable levier tactique si elle est maîtrisée et réfléchie.

La communication de Techotel, une entreprise éditrice de solutions informatiques de gestion hôtelière victime d’une cyberattaque par rançongiciel début juin 2020, a le mérite d’être assez unique en son genre. Quand beaucoup d’entreprises font le choix de ne pas ou peu communiquer sur les cyberattaques dont elles sont victimes, la communication de Techotel rompt, pour sa part, totalement avec cette habitude.  L’entreprise nous livre une communication transparente et en temps réel, nous embarquant à ses côtés dans le pilotage de la crise. Néanmoins, cette transparence, peut-être à l’excès, questionne sur la capacité des équipes Techotel à qualifier l’évènement, à acter le passage en crise sévère et à adapter sa communication et son organisation le cas échéant.

Nous vous proposons une analyse de la communication de Techotel, que nous pouvions retrouver en libre accès sur le site de l’organisation jusqu’il y a quelques jours.

Une transparence habituelle et adéquate au stade du simple incident

Le premier point à noter concerne la rapidité à laquelle les équipes de Techotel décident de communiquer. A peine les premières perturbations techniques remontées pour ce qui constitue à ce stade encore un simple incident, la communication est lancée, en pleine nuit. En effet, sous forme d’un « tchat » accessible par tous, utilisé habituellement pour décrire l’état de fonctionnement des services fournis par l’entreprise, la personne en charge de la communication fait immédiatement état de problèmes avec certains serveurs.

« We have problems with Danish, Swedish and Irish Picasso. Our technical staff is looking at the issue. We will update information later »

Cette transparence n’est pas inhabituelle, ni choquante, puisque l’on est encore au stade de l’incident et qu’il est courant, en particulier dans ce domaine professionnel, que les équipes communiquent assez rapidement.

Continuant de jouer la carte de la transparence totale, dès que les équipes techniques comprennent que c’est une cyberattaque qui frappe les serveurs, l’information est transmise au grand public, sur le même canal, à 6h52, soit trois heures après la première communication.

« We have been attacked by virus. »

A ce stade, toujours rien de choquant. Il est difficile de reprocher à Techotel son honnêteté, posture souvent conseillée. En effet, à l’inverse de Techotel, bon nombre d’organisations victimes de cyberattaques font généralement le choix de ne pas communiquer aussi longtemps qu’elles le peuvent. Il n’est ainsi pas rare de voir des entreprises communiquer uniquement lorsqu’elles y sont contraintes, que ce soit parce que le groupe d’attaquants a revendiqué publiquement l’attaque, ou parce que la pression (médiatique, de l’écosystème, des autorités….) devient trop forte. Qui plus est, les communications sont parfois maladroites ou floues, évoquant un « incident technique », un « problème informatique » et/ou n’admettant que tardivement avoir été victime d’une cyberattaque.

Poursuivant sa volonté d’informer rapidement le grand public une fois le type d’attaque clairement identifié, une nouvelle communication, à peine une heure plus tard, nous le précise :

« We are hit by ransomware. You have to be prepared to not have access to your date the next hours. Before we got openeded access to files again. NB this is not an Techotel error »

Ainsi, on se retrouve face à un début de communication extrêmement rapide et qui peut sans nul doute être perçu comme rassurant par le grand public. En effet, on ne lui cache rien, il a accès aux informations de manière transparente, fluide et rapide. L’entreprise semble maîtriser la situation.

Cependant, cet effet rassurant va vite être cassé par une transparence trop importante. Les problèmes techniques étant devenus le fruit d’une cyberattaque clairement identifiée, on dépasse dorénavant le simple incident. Le passage en crise sévère doit être acté. Lors d’une crise, une multitude d’informations parvient aux équipes internes et il est important d’apprendre à les organiser et à ne divulguer que ce qui a réellement vocation à l’être, un aspect qui n’a pas été maîtrisé dans le cas de Techotel. Cette évolution dans la communication doit se faire une fois la qualification de la crise réalisée. Tout au long de la gestion de l’évènement, Techotel semble ne pas avoir acté le passage en crise sévère et adapté sa communication et son organisation à l’aune de cette nouvelle réalité. L’entreprise poursuit sur le même mode opératoire que celui de la gestion d’incident. Si l’entreprise semblait maître de la situation il y a encore quelques heures, elle semble désormais dépassée par la situation.

Une transparence à l’excès, provoquée par un loupé dans la qualification de la crise, qui atteint rapidement ses limites

Les premières limites à cette transparence et à ce loupé dans la qualification apparaissent rapidement. Signe que la communication est trop rapide, on se met à apercevoir très vite des propos qui se contredisent les uns les autres en quelques heures seulement. En effet, une première affirmation est faite, à 16h51 le 9 juin, selon laquelle la situation devrait être résolue d’ici 5 à 10 heures.

« We (…) expect that tonight (…) to be contacted by an Eagleshark negotiation informung us the amount »

« Status this morning : We (…) were informed about the amount we have to pay, it is much more than we expected! »

Or, le lendemain, à 6h27, soit 14h après, cette assomption est contredite par une nouvelle communication pour informer le public que la situation est en fait loin d’être réglée. L’entreprise tâche de rétropédaler. L’effet rassurant que le public pouvait ressentir au départ est ainsi balayé d’un revers de main et questionne sur la maîtrise réelle de la situation par Techotel.

« Status this morning : We (…) were informed about the amount we have to pay, it is much more than we expected! We have pay in Bitcoins to get access to the data. It is large sum that we need to transfer. I will update when we know more and how long it »

Si l’on reprend la communication envoyée à 16h51 le 9 juin, il est important de voir que Techotel fait le choix d’annoncer son intention de payer la rançon alors même que l’ensemble des informations nécessaires à son paiement n’ont pas été collectées. De plus, souvent déconseillé, ce choix apparaît comme surprenant à un stade aussi précoce de la crise et en l’absence de l’ensemble des informations.

« We Techotel group expect that tonight (…) to be contacted by an Eagleshark negotiator informing us the amount, we are going to settle for recovering us from the attack. But the bandits do not accept bank transfer so we need to change the amount to Bitcoin. This will take us 3-7 hours »

Premièrement, cela pose des questions éthiques sur le fait de financer des activités illégales et peut ainsi être mal perçu par certains partenaires et/ou clients. C’est l’une des raisons qui expliquent que les entreprises évitent de se targuer publiquement d’avoir payé les rançons, même s’il arrive qu’elles le concèdent en fin de crise. Deuxièmement, cela démontre un manque de préparation de la part des équipes de Techotel, qui ne se sont probablement pas assez renseignées en amont et même durant la crise sur les attaquants et leur mode opératoire.

La transparence devient alors clairement préjudiciable à l’entreprise en révélant les faiblesses internes de l’entreprise. Techotel se met ainsi à progressivement subir la communication plutôt qu’à en faire un levier tactique.

Ces erreurs se poursuivent puisqu’on apprend ensuite l’ensemble des difficultés rencontrées par les équipes pour déchiffrer les données. Là encore, ces informations n’ont pas vocation à être relayées telles quelles au grand public.

« The bandits gave us keys to uncrypt the files, but the keys does not always function, so we don’t have access to the hotel data yet. To night an Eagle Shark consultant writes a program to scan all 259 servers for more keys ».

En communiquant abondamment, l’entreprise a ainsi délivré une quantité non-négligeable d’informations certes utiles au début à la compréhension de la situation par l’ensemble du public, mais elle a aussi fini par inonder d’informations contradictoires et peu rassurantes ses cibles de communication. De plus, d’un point de vue tactique, il est légitime de s’interroger sur la pertinence de ce choix. Montrer publiquement la désorganisation interne et le stress qui s’empare des équipes sont autant d’informations précieuses pour les attaquants. Libre à eux d’adapter leur stratégie en fonction des informations qu’ils jugeraient utiles. La confidentialité est donc de mise sur ce genre de thématiques.

Il reste ainsi important de ne pas trop en dire. C’est malheureusement quelque chose que n’a pas su mettre en place correctement Techotel. Dès lors, le client ou le partenaire de l’entreprise peut se demander s’il y a un réellement un pilote dans l’avion et si un cap est bien fixé. Cette transparence traduit en effet un manque (d’évolution) de (la) stratégie, dû à une absence de qualification au moment adéquat.

Une communication révélatrice d’une absence de stratégie de gestion de la crise

Plusieurs éléments viennent en effet traduire une absence de stratégie de communication voire de gestion de crise et des manquements en terme de mobilisation de ressources expertes.

En optant pour une communication via le « tchat » utilisé quotidiennement pour décrire l’état de fonctionnement des services fournis par l’entreprise auprès de cibles spécifiques, elle s’est probablement retrouvée prisonnière de ce dernier. Si Techotel avait choisi de basculer sur des canaux traditionnels tels que les communiqués de presse, les réseaux sociaux ou l’activation d’une page dédiée sur le site de l’entreprise, la communication aurait très probablement été mieux maîtrisée. Le choix qui a été fait de continuer sur le canal traditionnel de communication n’était sûrement pas adapté à une telle crise. Cela induit des communications comme celle présentée ci-dessous, où concrètement, les différents publics de Techotel n’obtiennent aucune information utile. Cela donne ainsi l’impression de communiquer pour communiquer.

Qui plus est, la communication ne semble pas avoir été pilotée par les communicants de l’organisation mais par un collaborateur certes de bonne volonté, mais non aguerri au maniement de la communication. Sans stratégie, le collaborateur relaie des informations au fil de l’eau, sans filtre et sans objectif.  L’opinion personnelle exprimée  derrière ce message vient renforcer cette impression d’improvisation et n’a absolument pas sa place dans une communication de crise :

« People producing virus should be in jail !! »

Ce genre de commentaire n’a pas sa place en communication de crise et ne fait pas partie des éléments attendus par un partenaire ou un client : il n’apporte aucune information utile et témoigne du manque de maturité de l’organisation sur ces sujets. Cette impression de non-conformité est aussi renforcée par la présence de multiples erreurs d’orthographe et de syntaxe tout au long de la communication, comme vous l’aurez peut-être déjà remarqué dans les citations que nous avons retranscrites.

Par ailleurs, l’alternance du « nous », axé sur l’entreprise ou sur ses équipes, et du pronom « je », qui revient à plusieurs reprises dans les échanges, renforce le sentiment confusion qui règne à ce stade de l’évènement au sein de l’organisation. Le recours à la première personne du singulier casse les codes et peut donner au lecteur, au client ou au partenaire une mauvaise impression : il ne sait pas qui est derrière cette communication. Ce choix aurait éventuellement pu être payant s’il avait été indiqué de manière explicite qui se cachait derrière ce « je », notamment s’il s’agissait d’un responsable qualifié et/ou connu des clients et partenaires.

Ces éléments peuvent ainsi donner l’impression aux différents publics visés l’impression qu’il n’y a pas de véritable cap stratégique. Au contraire, on a l’impression d’être face à une communication contrainte, subie, improvisée.

Ce n’est que 12 jours après les premiers messages que l’entreprise publiera un communiqué de presse, tentant maladroitement d’adopter les codes d’une communication de crise plus classique.

———————

Pour conclure, bien qu’original et louable, ce choix – s’il s’agit d’un choix – de la transparence totale et du tchat se révèle très vite limité. Il n’est que très peu rassurant pour les clients et partenaires et met en lumière les difficultés de la gestion et de la communication de crise cyber. Après un démarrage prometteur, la communication de l’entreprise concernée a souffert d’un manque de stratégie, renvoyant ainsi une image assez peu rassurante et une impression de confusion entre l’information et la communication, entre la maîtrise et l’improvisation. Ce manque de stratégie est très probablement imputable à un manque de préparation et d’anticipation des équipes et à un réel loupé dans le passage de la gestion d’un incident à la gestion de la crise.

En bref :

  • Un démarrage efficace et une communication transparente, qui donne un sentiment de maîtrise et d’une organisation bien rôdée à l’exercice de la gestion de crise,

  • L’entreprise parle rapidement d’une cyberattaque plutôt que de laisser planer le doute en ayant recours à « l’incident informatique », comme nombre d’organisations,

  • Quelques heures plus tard, l’apparente maîtrise des premières heures laisse place à l’improvisation,

  • La confusion et l’affolement des équipes se ressentent très clairement dans les différentes publications,

  • Le manque de préparation des équipes à la gestion de crise et l’absence de mobilisation des experts idoines (communication, juridique…) sont très probablement responsables de ces approximations et loupés dans la gestion de l’évènement.

Vous souhaitez en discuter ? Vous projetez de vous préparer à la gestion d’une crise cyber ou de vous former à la communication de crise cyber ? Contactez-nous : contact@alcyconie.com

Cyberattaque de Kaseya : décryptage sémiologique de la prise de parole du PDG Fred Voccola

Par |2021-07-16T09:39:01+02:0012/07/2021|Article|

Le 2 juillet dernier, l’entreprise américaine de logiciel Kaseya, était la victime de l’une des plus grosses cyberattaques de l’histoire. Cette dernière, opérée par le groupe REvil, aurait impacté entre 800 et 1500 entreprises. Quelques jours plus tard, Fred Voccola, CEO de Kaseya, s’exprimait en vidéo.

Décryptage sémiologique de la prise de parole du DG suite à la cyber attaque par rançongiciel dont l’entreprise américaine a été victime. Par Claire JUIFF, manager gestion de crise et communication de crise à Alcyconie.

Au premier visionnage de la vidéo, on ne peut être, de prime abord, qu’étonné par l’apparente sérénité de la scène. Loin des habituels fourmillements et images de datacenters en effervescence, auxquels les médias nous ont habitués en de telles circonstances, nous nous trouvons ici face à un PDG face caméra, le visage sérieux et le verbe affirmé, déroulant un discours bien ficelé. Un calme, qui a minima surprend et peut également interroger. Dirigeant perché dans sa tour d’ivoire complètement déconnecté de la situation ? Ou volonté de casser les codes de la communication de crise en n’étant pas la « victime » d’une attaque mais plutôt le gestionnaire hors pair de la résolution d’un événement tristement devenu courant ? Je vous propose une analyse sur ce second parti pris, en m’appuyant sur le décryptage du discours mais également sur l’analyse des éléments métadiscursifs (comme la posture face caméra, la tenue vestimentaire et le choix de décor) qui permettent de renforcer certains messages et d’en nuancer d’autres.

Constat 1 : Le CEO de Kaseya ne se pose pas en victime, mais en gestionnaire de crise

Alors qu’on parle souvent d’entreprises « victimes de cyberattaque », Fred Voccola nous donne une leçon de réaction et raconte l’exemplarité de leur gestion des événements à grand coup d’hyperboles discursives et de symboles visuels.

Pour ne citer qu’eux :

  • Le choix de filmer le PDG depuis un bureau. Le parti pris aurait pu être de filmer les équipes IT dans le data center ou de filmer le PDG devant le siège de l’entreprise : au lieu de cela, nous sommes embarqués dans les bureaux, où se prennent les décisions stratégiques. Un bureau en hauteur, tel une tour de contrôle, symbolisant la vision panoramique des événements et des équipes.

  • Graphiquement, c’est toujours Fred Voccola qui est au centre de l’attention. La caméra est braquée sur lui en alternant les angles de face et de profil. Pas sur ses équipes IT, pas sur les assets touchés par l’attaque, mais bien sur le gestionnaire de crise, droit dans ses bottes, à la posture assurée.

  • Une opposition notable entre la raison et l’émotion : le rationnel et la sagesse du directeur de crise imperturbable, en opposition avec l’émotion de ses clients :  “that decision was very easy to make because we were following a playbook, but painful for our customers”. L’opposition historique connue du logos et de la sophia– sa deuxième phrase commence par « So first, the facts » – avec le pathos et la doxa.

  • Les premières minutes de son intervention sont structurées à la manière d’un point de situation d’un directeur de crise à sa cellule. Il annonce même l’ordre du jour : « ce que l’on connaît, ce que l’on fait pour résoudre l’incident, « pour aider », « les prochaines étapes ». S’ensuit un discours à grand renfort de nombres et de statistiques – les faits priment et il nous embarque dans sa gestion de crise.

  • La structure du discours renforce le message de Fred Voccola selon lequel la situation n’aurait pas pu être mieux gérée : après une rapide description des signaux faibles il décrit une prise d’action immédiate et méthodique qui suit pas à pas le « cyberdefense playbook » (sorte de manuel de gestion de crise opérationnel dédié à la gestion des situations de cyberattaques). Il dépeint une entreprise préparée, processée, au fonctionnement quasi militaire lorsque la crise l’impose. Le champ lexical utilisé pour décrire la préparation et la réactivité de ses équipes est éloquent : « in an hour », « immediately », « the rapid response team of Kaseya ».

  • Fred Voccola ne se contente pas de relater les faits ; il se lance dans un véritable storytelling de l’attaque : chronologie des événements, organisation déployée en interne et impact sur le bien-être physique et psychologique des salariés… Faire de la crise une opportunité de communication en partageant un sujet d’intérêt, occuper l’espace médiatique, parler pour éviter qu’on le fasse à sa place : des techniques bien connues en communication de crise mais qui peuvent tout de même donner lieu à certaines critiques. Les critiques, dans notre cas, n’ont pas porté sur les faits eux même, mais sur l’interprétation qu’en fait et que revendique Fred Voccola. Il le dit lui-même : « the attack was managed very well». Voyons maintenant en détails quelle est donc cette posture et cette interprétation, qui a donné lieu à de vives réactions dans la sphère cyber française.

Constat 2 : Les impacts et la responsabilité de Kaseya sont relativisés minimisés

Si ce discours, déjà visionné pas moins de 20 000 fois sur Youtube a fait tant réagir, c’est qu’en fonction de nos habitudes culturelles, nous sommes plus ou moins sensibles à certains éléments. Le message de Fred Voccola peut en effet être trivialement résumé comme : « non seulement ça arrive à tout le monde, mais en plus, nous, on était sacrément bien préparés et entourés ! ». Un message qui fait sans trop d’étonnement grincer des dents.

Une clef de décryptage de ce message repose dans l’opposition entre l’aspect global, croissant et très impactant des cyberattaques qui est mis en exergue à grand renfort d’hyperboles et la minimisation des impacts dans le cas précis de Kaseya. Quelques illustrations en détails:

  • Even the best defenses in the world gets scored upon” : une affirmation de Fred Voccola appuiera plusieurs fois dans son discours, avec ses propres mots « we all experienced it (…) it was Kaseya’s turn» mais aussi par une citation du CEO de Karspersky: « it’s not a matter of if it’s a matter of when ». Enfin, stratégie de communication intéressante, il entame une énumération conséquente des entreprises de la concurrence ayant fait les frais d’attaques similaires. Après avoir notamment précisé que Microsoft avait été attaqué à de multiples reprises, nommé entre autres Juniper et Solarwinds, Voccola affirme « huge energy companies have had breaches » faisant allusion à l’emblématique et médiatique attaque paralysante du mois de mai contre Colonial Pipeline.

  • « How many companies haven’t had a breach ?»: l’usage d’une tournure grammaticale négative permet de renforcer que les entreprises n’ayant pas subi de cyberattaques font figure d’exception.

  • La mention d’éléments quasi fictionnels, dignes d’une série américaine : l’intervention du FBI, de la direction de la maison blanche, les concurrents qui soudainement se mettent à proposer leur aide et les appuyer dans leur gestion de crise…

  • La couverture médiatique de l’événement qui semble renforcer son ampleur inédite : “An incredible scrutiny from the press” ; “suddenly, ransomware and cybercrime have become the topic of the day”.

  • Les faits, les faits, toujours les faits : du côté des impacts clients « the very small number of people who have been breached” représenterait «seulement 50 clients impactés sur les 37.000 que compte Kaseya »; du côté des impacts techniques, une phrase : “we kept this breach to one modual of our 27 moduals” sans oublier la précision que grâce à leur architecture modulaire, aucune propagation ne s’est produite.

  • L’alternance entre les hyperboles décrivant la réponse à incident telles que « our Awesome partners », « we’re doing this with the best people in the world » et une banalisation assumée de l’attaque “it could have been much worse; the impact of this very sophisticated attack is very minimal”.

Non seulement, la reconnaissance de ses torts et la posture d’humilité sont plus importants pour les Français que les Américains, mais nous sommes certainement moins habitués quotidiennement à l’usage des hyperboles, auxquelles Fred Voccola recourt ici sans limite : pas étonnant que ce discours ait suscité des réactions partagées !

Le récit fait par Fred Voccola valorise tellement la réaction de Kaseya qu’on en viendrait à oublier qu’avant la phase de réaction et de gestion de crise, vient la préparation : alors comment cette faille-a-t-elle pu se produire ? Pourquoi la détection s’est elle faite au moment de l’observation de dysfonctionnements, et non via une observation préventive qui aurait bloqué toute intrusion ou action frauduleuse? Autant de questions auxquelles le CEO ne répond pas et surtout qu’il ne daigne pas adresser. Si l’erreur est humaine, le fait de vouloir l’occulter est parfois mal perçu.

Constat 3 : Un appel à la solidarité et à l’empathie : « Ensemble dans l’adversité ! »

La minimisation des impacts et de la responsabilité de Kaseya dans l’occurrence de cette cyber attaque va de pair avec un discours qui se veut fédérateur. Fred Voccola nous dépicte une « Kaseya Community » qu’il mentionne à de nombreuses reprises et dont on ne sait d’ailleurs pas exactement à qui elle fait référence. Peu importe finalement : nous, spectateurs, sommes invités à rejoindre cette communauté comme relai d’opinion et à faire face à l’adversaire, désignés sous le terme de « criminels ».

Cette idée de communauté s’illustre de différentes manières :

  • Dans le discours, par les nombres : la mention que sur les 1 600 salariés que compte Kaseya, plusieurs centaines sont mobilisés ;

  • La précision que de nombreux clients étant des OSP (Outsourced Service provider), le MSP (Managed Service Provider) gère finalement indirectement le parc informatique d’un million d’entreprises !

  • En évoquant les différents acteurs mobilisés : la maison blanche, le FBI, les concurrents… nous amenant à visualiser, telle l’image d’Epinal d’une collaboration privée et institutionnelle parfaitement fluide, que tout le monde se serre les coudes pour faire face à l’agresseur et que les enjeux de marché n’existent plus.

  • Par les codes vestimentaires et le travail de présentation. On a face à nous un CEO en tee shirt rayé, avec une barbe mal rasée qui se place ici en reflet de ses équipes IT, qu’il mentionne à plusieurs reprises comme « n’ayant pas dormi plus de quatre heures ces derniers jours ».

En conclusion, peut être faut il parler des dernières minutes de son intervention, dédiées… à la prise en compte de ses clients ! Une prise en compte des ressentis de ses clients qui a le mérite d’exister : “I hope this does not sound like we’re disminishing”… mais demeure bien maladroite ! Contrebalancée par de nouveaux propos diminuant la responsabilité de Kaseya, la pensée pour ses clients intervient à la fin et s’oriente très vite vers un discours commercial : « nous tenons à rester votre partenaire de confiance ! ».

Des propos tournés vers le futur et les premières étapes de la sortie de crise. Le titre de la vidéo publiée sur la chaîne Youtube de Kaseya est à ce titre éloquent : « Kaseya CEO Fred Voccola addresses cyberattack and next steps for VSA customers ».  Si pour de nombreuses entreprises, la reprise d’activité est difficile à lancer officiellement, elle est ici affirmée : non seulement l’activité reprend, mais chacun est encouragé à contribuer à son dynamisme en devenant client.

Le juriste dans l’après-crise : un acteur essentiel

Par |2021-07-02T12:30:33+02:0002/07/2021|Article|

Nous vous proposons aujourd’hui le troisième et dernier article dédié à la fonction juridique en gestion de crise. Deux précédents articles avaient précisé le rôle opérationnel du juriste au sein de la cellule de crise (ici) ainsi que les spécificités de la qualification juridique en matière numérique (et là).

Ce troisième opus est consacré au rôle essentiel des juristes dans la phase de sortie de crise, que cette dernière soit d’origine cyber ou non. Les différentes actions de conseil sur des thématiques transversales, notamment en matière de procédures contentieuses, d’information des dirigeants, d’amélioration des procédures juridiques ou encore de sensibilisation des collaborateurs en interne sont autant de champs d’action qui placent les juristes au cœur de l’après-crise.

Le juriste est en charge des poursuites judiciaires

Dans l’après-crise, le juriste doit diligenter et mettre en œuvre certaines actions, notamment d’ordre judiciaire. Dans certaines organisations, il lui incombe par exemple d’assurer le dépôt de plainte. Le cas échéant, le juriste prendra attache avec la police, la gendarmerie ou bien le procureur de la République. L’objectif du dépôt de plainte est d’intenter une action en justice afin de faire reconnaître une infraction, si infraction il y a. En outre, il est nécessaire de porter plainte afin d’engager certaines actions en réparation (préjudice subi, assurance…). Il est  par ailleurs nécessaire de porter plainte afin de combattre la cybercriminalité, encouragée par des gains colossaux et une forme de sentiment d’impunité.

Concernant les cyberattaques, une fois la plainte déposée, l’affaire pourrait être transmise au parquet de Paris et notamment à sa section spécialisée dans la cybercriminalité (J3), compétente dans quatre hypothèses, notamment lorsque le mode opératoire est complexe et technique.

En bref, le juriste apparaît ici comme un véritable sachant mettant à disposition sa connaissance du contentieux à l’ensemble des collaborateurs et de l’organisation.

Le juriste éclaire les dirigeants

A l’issue de la phase de crise aiguë, les dirigeants peuvent être confrontés à certains sujets épineux, face auxquels le juriste aura un rôle de conseil. Il fournira aux dirigeants une analyse juridique de la situation, pour leur permettre de prendre des décisions éclairées, dans un cadre juridique connu et maîtrisé.

Prenons l’hypothèse suivante : une violation des données de l’entreprise a lieu. Le juriste doit alors informer le dirigeant du possible engagement, sur le volet pénal, de la responsabilité de l’organisation, des sanctions encourues, des procédures à respecter. Il pourra également se faire conseil sur la stratégie à adopter pour gérer cette situation.

Cet accompagnement et cet ensemble de conseils se poursuivront aussi au niveau de l’entreprise à travers les retours d’expériences dans lesquels le juriste a toute sa place.

Le juriste optimise les procédures juridiques en interne

Une fois la crise arrivée à son terme, le retour d’expérience (RETEX), étape essentielle de la sortie de crise, permettra au juriste :

  • D’analyser l’application et le respect des procédures existantes,

  • D’identifier d’éventuelles lacunes en termes de procédures ou rôles et de les combler, le cas échéant.

Cela passera, par exemple, par la vérification des procédures de signalement en cas de violation de données personnelles dans le cadre du RGPD (en sa qualité de DPO – Délégué à la Protection des Données Personnelles ou en collaboration avec le DPO) : Les délais ont-ils été respectés ? Le signalement a-t-il été correctement documenté ? En cas d’absence de procédures RGPD, le juriste / DPO pourra piloter leur établissement et rédaction.

Le RETEX est aussi l’occasion – si cela n’a pas été fait – de lister tous les engagements contractuels de la structure, notamment ceux qui doivent être poursuivis y compris en temps de crise. Pensons, par exemple, aux engagements contractuels qui transforment les simples obligations de moyens en obligations de résultats. C’est le cas du service legal agreement (SLA).

Cette étape du RETEX doit aussi permettre d’assurer la compliance (conformité) de l’organisation avec la réglementation en vigueur, qu’il s’agisse de la réglementation spécifique à sa filière ou encore des obligations incombant à toute organisation (RGPD par exemple). Elle peut notamment aboutir à l’identification d’un Délégué à la Protection des Données Personnelles – si cette fonction n’avait pas encore été attribuée -, à la rédaction d’une fiche reflexe relative à une suspicion de violation de données personnelles, à la création d’un annuaire de crise spécifique au volet juridique (contacts CNIL, avocats spécialisés…).

Pour être efficace, cette mise en conformité doit nécessairement s’accompagner du développement d’une véritable culture de la compliance au sein de l’organisation, portée par le juriste.

Le juriste sensibilise les collaborateurs sur le droit

En sortie de crise, le juriste qui met en œuvre de nouvelles procédures juridiques, devra avertir, éclairer et donc sensibiliser sur l’importance de ces procédures. Par exemple, le juriste devra expliquer pourquoi il est 1/ obligatoire, pour certaines entreprises, 2/ fortement recommandé pour d’autres, d’identifier un Délégué à la Protection des Données Personnelles (DPO). Il est important de noter que cette fonction peut être externalisée.

Cette sensibilisation passera par la création d’une culture de la compliance qui découle directement d’un dialogue entre le juriste, les ressources humaines et l’ensemble des collaborateurs en interne. En définitive, cela permettra, par exemple, à ce que le rôle du DPO ne soit plus seulement connu du juriste mais aussi de l’ensemble des collaborateurs.

En somme, en gestion de crise, la fonction juridique s’avère être un véritable asset stratégique. L’oublier pourrait faire grandement défaut à votre organisation.

Vous êtes juriste et souhaitez-vous former à la gestion de crise ? Vous êtes responsable formations et souhaitez évoquer un besoin spécifique ? Contactez-nous et discutons-en : formations@alcyconie.com.

PODCAST PLEIN PHARE épisode #16 avec Stéphanie LEDOUX : GÉRER LES CYBERCRISES

Par |2021-06-25T17:41:35+02:0025/06/2021|Article|

Stéphanie Ledoux, fondatrice d’Alcyconie, a été interviewée par Mathilde et Yann, Plein Phare, podcast indépendant qui met en lumière les acteurs qui font rayonner l’économie bretonne et la Bretagne.

𝗥𝗮𝗻ç𝗼𝗻𝗴𝗶𝗰𝗶𝗲𝗹, 𝗱𝗲𝗲𝗽𝗳𝗮𝗸𝗲, fraude au président vous connaissez ? C’est le type de 𝗰𝗿𝗶𝘀𝗲𝘀 𝗰𝘆𝗯𝗲𝗿 que l’équipe Alcyconie gére au quotidien et qui touchent aujourd’hui toutes les entreprises, petites comme grandes et même les collectivités.

D𝗮𝗻𝘀 𝗰𝗲𝘁 é𝗽𝗶𝘀𝗼𝗱𝗲, Stéphanie revient sur :

  • Comment prévenir les 𝗰𝘆𝗯𝗲𝗿𝗰𝗿𝗶𝘀𝗲𝘀,

  • Comment mettre en place un 𝗱𝗶𝘀𝗽𝗼𝘀𝗶𝘁𝗶𝗳 𝗱𝗲 𝗴𝗲𝘀𝘁𝗶𝗼𝗻 𝗱𝗲 𝗰𝗿𝗶𝘀𝗲,

  • L’intérêt de faire appel à des 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗲𝘁𝗵𝗶𝗾𝘂𝗲𝘀 pour contrôler son système informatique,

  • Pourquoi les hackers s’attaquent particulièrement aux 𝗵𝗼𝗽𝗶𝘁𝗮𝘂𝘅 et aux 𝗰𝗼𝗹𝗹𝗲𝗰𝘁𝗶𝘃𝗶𝘁é𝘀,

  • Ce qu’est un 𝗱𝗲𝗲𝗽𝗳𝗮𝗸𝗲 et comment le détecter.

A vos casques et bonne écoute ! Et pour découvrir l’ensemble des épisodes de Plein Phare, c’est ICI : https://pleinphare-podcast.fr/

Retrouvez cet épisode, ainsi que toutes les productions Plein Phare, sur vos plateformes d’écoutes favorites :

Quelles réponses juridiques en cas d’incident numérique ? [2/3]

Par |2021-06-04T17:58:15+02:0004/06/2021|Article|

Le juriste présent en cellule de crise cyber doit y être formé, notamment pour intégrer toutes les complexités évoquées dans le premier article de cette série, dédié au rôle stratégique du juriste dans cette instance. Quoiqu’il en soit, voici quelques règles de la qualification juridique en cas d’incident numérique.

 En cas de malveillance, la tentation est grande de vouloir dresser une typologie spécifique des cyberattaques – ce qui faciliterait davantage la qualification juridique. L’enjeu pour le juriste est de pouvoir dépasser cette idée pour s’adapter à la temporalité particulière du cyberespace.

Pour ce faire, il convient d’opérer selon le classique raisonnement juridique, en intégrant les spécificités du cyber : Les faits, et l’application au droit pour en extraire la qualification juridique et ainsi conseiller l’organisation.

1. Les faits – Participer activement aux investigations et analyser les preuves collectées

Le juriste doit ici collaborer avec les équipes techniques pour analyser et conserver les preuves qui conduiront à la qualification juridique de l’incident. Il convient ici de préciser que la collecte de ces preuves doit être scrupuleusement menée pour en assurer la recevabilité.

Il doit également se placer dans une réelle démarche proactive : solliciter les éléments qui viendront étayer son analyse – et ce pour toute la durée des investigations – et non raisonner uniquement sur base des informations mises à sa disposition (biais de disponibilité).

2. Le droit – Qualifier juridiquement

L’arsenal juridique est complet sur le plan pénal avec une dizaine d’infractions existantes. Les cinq premières infractions correspondent par exemple à cinq comportements d’atteintes aux systèmes de traitement automatisés de données (STAD) se situant à des moments différents de l’action délictuelle, depuis la préparation de l’atteinte jusqu’à sa consommation (Art. 323-1 à 323-4 du code pénal).

Le juriste doit ainsi composer suivant les preuves qui auront été collectées pendant la phase d’investigation technique.

3. Les actions à intenter – Les différentes possibilités

Le droit pénal du numérique a connu un renforcement des incriminations pénales et une extension des obligations administratives (obligation de déclaration d’un incident de sécurité, obligation de notification de violation de données personnelles). De manière fréquente, les organisations ont tendance à se concentrer uniquement sur les obligations administratives. Cependant, il faut y ajouter les actions pénales possibles en cas de cyberattaque (dépôt de plainte, engagement de procédures contentieuses).

Même si l’attribution des actes de malveillance reste complexe à établir, il ne faudrait pas que cela soit un frein au dépôt de plainte et à l’engagement de procédures contentieuses.

Vous êtes juriste et souhaitez vous former à la gestion de crise cyber ? Vous êtes responsable formations et souhaitez évoquer un besoin spécifique ? Contactez-nous et discutons-en : formations@alcyconie.com.

Le juriste, acteur stratégique en cellule de crise cyber [1/3]

Par |2021-05-07T15:31:40+02:0007/05/2021|Article|

Nous vous proposons une nouvelle série d’articles, dédiés aux aspects juridiques de la gestion de crise. Nous y présenterons notamment le rôle du juriste au sein de la cellule de crise cyber et les spécificités de la qualification juridique d’un incident cyber. Bonne lecture !

La coordination globale des acteurs de la gestion de crise ne peut être effective à la double condition qu’ils opèrent ensemble dans l’application de leurs rôles respectifs et qu’ils comprennent la crise comme un concept dépassant la notion de rupture. L’expression d’Edgar Morin qui affirmait que « La crise du concept de crise est le début de la théorie de la crise »[1] demeure d’une parfaite acuité, et ce particulièrement dans l’espace numérique. Le caractère polymorphe du risque numérique lui permet de s’intégrer parfaitement aussi bien aux opérations de destruction et de perturbation qu’à celles d’espionnage.

Face à ce risque inédit, les organisations ne peuvent se passer d’un dispositif de crise pensé et éprouvé. Dépasser la notion de rupture implique la nécessité d’une gouvernance spécifique pour surmonter la complexité de la gestion des crises cyber. Le juriste doit y prendre une part active.

Un acteur de premier plan dans la préparation et la gestion des crises

Le juriste intervient à différents niveaux dans la préparation et la conduite des crises d’origine cyber et numérique :

  • En amont, depuis 2018 avec la mise en conformité des entreprises au RGPD, ou sur le volet contractuel pour les assurances cyber en collaboration avec les équipes risques ;

  • En crise, pour épauler la cellule de crise sur tous les aspects juridiques, pour participer aux investigations et qualifier les actes malveillants ou non ;

  • En sortie de crise, pour assurer le suivi aux côtés des équipes, les accompagner pendant les enquêtes et les dépôts de plainte éventuels.

A chaque étape, il doit justifier d’une véritable capacité d’adaptation. Dans une crise classique, les évènements à gérer sont plutôt identifiables, quantifiables et prévisibles. Dans une crise cyber, une cyberattaque avec vol de données par exemple introduit une variable temps/volume différente. Le juriste doit être capable de rester alerte face aux évolutions de la crise pour faire du droit un outil de confiance non contraignant dans ces situations d’urgence.

Les équipes dédiées à la gestion des crises cyber et numériques doivent justifier d’une préparation rigoureuse afin d’acquérir les réflexes nécessaires. A cela, il faut ajouter un nombre incalculable d’imprévus qui viennent disqualifier tout plan de crise minutieusement défini. Telle est la réalité de la gestion de crise cyber et celle dans laquelle le juriste doit évoluer.

L’environnement dans lequel évolue le juriste en cellule de crise cyber

Le patrimoine informationnel est généralement la cible des cybermenaces : fichiers clients, réponses à appels d’offre, données personnelles des salariés, des dirigeants, données financières, industrielles, secret des correspondances, secret des affaires, secret médical, etc.

La cybercriminalité liée à l’acquisition de ces données stratégiques correspond aux infractions visant les systèmes informatiques eux-mêmes, mais également aux infractions classiques comme les escroqueries ayant pour vecteur principal ou étant considérablement facilitées par le numérique (exemple de la fraude au président). On constate un déplacement de la délinquance vers le numérique qui permet une certaine discrétion et une rapidité dans le passage à l’acte.

Son positionnement aux côtés des autres membres de la cellule de crise

Le juriste participe véritablement à l’orchestration collégiale de la crise notamment avec le directeur de crise, le directeur communication.

 Rappelons en effet que la qualité de la communication en temps de crise est un élément majeur. Dans un contexte variable impliquant des réponses évolutives, elle doit être rapide et efficace, capable de convaincre, de rassurer, de renforcer la cohésion et l’adhésion de tous.

Rappelons également qu’en gestion de crise, il faut promouvoir un lien fluide entre les fonctions permanentes et ad hoc pour parvenir à une méthodologie de gestion de crise souple et optimale. La circulation des informations dans la cellule de crise est en ce sens primordiale dans la gestion de crise cyber :

  • afin que le juriste puisse conseiller son organisation en ayant recueilli et analysé toutes les informations ;

  • afin que le juriste puisse communiquer et schématiser de façon claire à des non-juristes.

Vous êtes juriste et souhaitez vous former à la gestion de crise cyber ? Vous êtes responsable formations et souhaitez évoquer un besoin spécifique ? Contactez-nous et discutons-en : formations@alcyconie.com.

[1] Edgar MORIN, « Pour une crisologie », Communications, n°25,1976, pp. 149-163.

SD Magazine – Elles pensent le monde d’aujourd’hui et de demain – Interview Stéphanie Ledoux

Par |2020-06-02T12:34:08+02:0002/06/2020|Article|

Retrouvez l’intervention de Stéphanie Ledoux dans le cadre de la série « Elles pensent le monde d’aujourd’hui et de demain » – S&D Magazine. Stéphanie y revient sur la crise du Coronavirus et propose quelques pistes pour en tirer des enseignements et des bonnes pratiques, sous un angle positif.

La crise que nous venons de traverser et subissons encore nous a éprouvés ces dernières semaines et laissent augurer de semaines et de mois difficiles. Au-delà de ces considérations, nous pouvons nous essayer à tirer du positif de cette crise que nous avons dû affronter. Plus particulièrement :

  • La crise est universelle : nombre d’organisations pensent encore qu’elles sont à l’abri des crises en raison de leur faible notoriété, d’une exposition médiatique très restreinte… Cela n’est malheureusement plus le cas, la crise du Covid-19 nous l’a amplement démontré : toutes les organisations, privées, publiques, TPE ou grands groupes internationaux ont été impactés. Se préparer n’est plus un luxe, mais une nécessité.

  • Cette situation fortement dégradée doit être l’occasion de tirer des enseignements organisationnels et humains : optimiser ses procédures, adapter la composition de la(les) cellule(s) de crise, debriefer, organiser des retours d’expérience.

  • ACCEPTER L’INCERTITUDE et apprendre à piloter et prendre des décisions dans le monde VUCA qui est désormais notre quotidien. En situation de crise, nous sommes privés d’indicateurs, de reportings, de visibilité, et il faut malgré tout prendre des décisions, et dans un temps court. Cela s’apprend et la première étape est dès à présent de lister les éléments tangibles qui ont permis d’avancer, les informations qui nous ont été utiles pour prendre des décisions.

Ces différents éléments constitueront une excellente base d’optimisation de dispositifs existants ou les briques d’un dispositif à définir. Ils pourront être renforcés par des formations et exercices de crise.

La gestion de crise ne s’improvise pas et un petit effort de préparation évite souvent de gros efforts de réparation.

La communication de crise en question

Par |2020-07-21T14:09:07+02:0012/04/2020|Article|

Retrouvez dès à présent notre article publié sur le blog de Digitaléo le 8 avril 2020. Nous y parlons communication de crise !

La période singulière que nous traversons place la gestion de crise, la continuité d’activité et le télétravail au cœur des réalités des entreprises. Si ces derniers revêtent une forte dimension organisationnelle, ils ne peuvent se faire sans l’appui d’une communication de crise efficace, sincère et pertinente. Facile à dire, plus difficile à faire. Doit-on tout dire ? Comment le dire ? Quel ton employer ? Nous tâcherons de répondre au travers de ces quelques lignes aux principales questions que vous nous posez en période de crise. Bonne lecture !

QUAND ON A RIEN A SE DIRE, ON SE TAIT : UN ADAGE A PROSCRIRE

Les quelques jours qui ont précédé et suivi l’annonce du confinement ont été dédiés à la gestion de l’urgence. Cela s’est naturellement traduit dans les nombreuses communications reçues pendant cette période. Il s’agissait avant tout d’informer, d’apporter des informations concrètes à ses collaborateurs, clients, parties-prenantes sur les modalités pratiques des prochaines semaines.

Voici notamment l’exemple de Promod qui a fait le choix de communiquer sous forme de FAQ : cela rend la communication plus humaine car les questions viennent des clients.

Nous avons été touchés par la teneur souvent empathique et très humaine des messages reçus, deux marqueurs qui font souvent défaut en communication de crise. Si de nombreux acteurs ont communiqué rapidement, d’autres ont tardé, faute de maturité, faute de canaux adaptés ou parfois… faute de savoir quoi dire.

Lorsque l’on doit communiquer nous revient souvent en mémoire ce vieil adage : quand on n’a rien à dire, on se tait. En crise, il est bien souvent tentant de se réfugier derrière ce dicton populaire, « en attendant d’en savoir plus ». Si cela est un conseil judicieux au quotidien, il est souvent un faux-ami en communication de crise. Rester mutique peut laisser penser que l’organisation ne prend pas la mesure de la situation, qu’elle est dépassée ou encore qu’elle attache peu de considération à ses publics.

En situation de crise donc, il convient de communiquer rapidementEt quand on ne dispose pas d’éléments suffisamment concrets, on temporise : en parlant de l’engagement des collaborateurs, en indiquant que les équipes sont pleinement mobilisées pour apporter au plus vite des réponses…. Bref, on ne laisse pas la chaise vide. Cet impératif de communication ne doit en revanche pas se traduire par des prises de parole incontrôlées et ne répondant à aucun objectif. Si l’adage ci-dessus est à proscrire, il convient d’appliquer à outrance celui qui suit : « ne pas parler à tort et à travers » !

COMMUNIQUEZ AVEC CLARTE ET METTEZ L’ACCENT SUR LA SORTIE DE CRISE

Le message en communication de crise doit être limpide, ne pas laisser de place au doute. Le faire relire par une tierce personne pour s’assurer de sa compréhension par tous évite souvent bien des déconvenues. La gestion d’une crise comporte déjà son lot de complications, il n’est pas utile de rajouter à la crise en diffusant un message ambigu.

Il convient de valoriser ce qui est mis en œuvre par l’entreprise face à l’événement qu’elle traverse (mesures de protection, mesures commerciales, …), d’indiquer ce que l’on sait à date, uniquement ce que l’on sait et de ne pas s’essayer à quelques hypothèses. Plus concrètement, il serait par exemple regrettable d’annoncer une réouverture de ses points de vente sans en avoir la confirmation : en avoir l’intime conviction ou l’extrême motivation ne suffit pas !

Si la communication de crise doit être factuelle, cela ne signifie pas pour autant qu’elle doit être distanciée, froide. En ces temps particuliers, une bonne dose de sincérité et de transparence font du bien ! Il ne faut pas sacrifier à l’empathie au motif de l’efficacité du message. Les deux ne sont pas incompatibles !

La communication d’urgence des premières semaines doit désormais laisser la place à des prises de parole s’inscrivant dans l’optique de la sortie de la crise, de la reprise de vos activités. Cela doit se faire progressivement. Commencez par montrer le quotidien de votre entreprise pendant cette période, décrivez, humblement, vos engagements auprès des soignants de votre commune, auprès de vos clients plus fragiles (livraison à domicile, délai de paiement raccourcis pour aider vos fournisseurs…), montrez que vos projets se poursuivent… et que vous anticipez déjà la suite.

A l’aube de cette 4ème semaine de confinement, l’essoufflement de certains et l’épuisement des autres s’intensifient : communiquez positivement, aidez-vos collaborateurs et vos clients à se projeter dans l’après !

PENSEZ A TOUS VOS PUBLICS

La communication de crise, qu’elle soit d’urgence ou de reconstruction, doit être adressée à chacun, et investir l’ensemble de vos canaux.

Ces quelques semaines hors norme ne doivent pas vous faire rompre le lien avec vos parties-prenantes, qu’elles soient internes ou externes. Vos collaborateurs ont besoin de lisibilité quant à la reprise des activités, de se sentir rassurés, soutenus et entendus, vos clients et fournisseurs, eux, doivent savoir que vous gardez le cap et qu’ils pourront compter sur vous à la reprise. Quant à vos partenaires financiers, les tenir informés et entretenir le lien vous sera utile pour la sortie de crise, où vous aurez probablement besoin de pouvoir vous appuyer sur eux.

EN CONCLUSION…

Occupez le terrain, restez présents, recréez le lien qui s’est probablement légèrement distendu ces dernières semaines et fixez un objectif à chacune de vos prises de parole. Vous voyez, la communication de crise, c’est finalement quelques règles incontournables et beaucoup de pragmatisme !

Stéphanie Ledoux, CEO Alcyconie, interviewée dans Global Security Mag à l’occasion du FIC

Par |2020-05-18T23:00:56+02:0023/01/2020|Article|

L’édition 2020 du FIC sera l’occasion pour Alcyconie de présenter son offre de services intégralement tournée vers la gestion et la communication des crises et cybercrises. Stéphanie Ledoux CEO & Founder d’ALCYCONIE estime que nombreuses sont les entreprises qui ressortent grandies d’une crise, parce qu’elles ont su la gérer avec pertinence, montrer qu’elles étaient en capacité d’affronter des situations complexes sans flancher !

Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2020 ?

Stéphanie Ledoux : Le FIC est pour Alcyconie l’occasion de présenter son offre de services intégralement tournée vers la gestion et la communication des crises et cybercrises.

Pure-player de la gestion de crise et cybercrise et forts de notre longue expérience de la communication et de la gouvernance des crises, nous accompagnons nos clients sur les enjeux nouveaux du risque numérique. Notre approche résolument organisationnelle est articulé autour de deux axes clairs : 1/ se préparer et se former – 2/ réagir, faire face et gérer.

Nous accompagnons ainsi nos clients très en amont, convaincus que l’entrainement, la formation et la préparation sont les marqueurs d’une gestion de crise efficace et sommes également à leur côté en cas de situation dégradée, pour leur apporter notre regard et notre expertise, leur permettre de confronter certaines orientations tactiques ou les épauler dans la définition de leur stratégie de communication de crise.

Global Security Mag : Selon-vous, comment l’humain peut-il être acteur de la cybersécurité, alors qu’il est essentiellement regardé aujourd’hui comme victime ou comme auteur ?

Stéphanie Ledoux : Face à une crise cyber, les outils et mesures techniques s’avèrent efficaces. Mais insuffisants. C’est bien l’humain, sa réactivité, ses réflexes qui permettront de limiter les impacts et les conséquences d’un incident numérique. Avoir la bonne réaction, rapidement lancer ses contre-mesures, savoir prendre des décisions dans l’incertitude, communiquer au moment opportun et avec justesse, piloter une riposte opérationnelle efficace… autant de dimensions qui font des collaborateurs les clés de voûte de la gestion de crise.

Global Security Mag : Quels conseils pourriez-vous donner aux organisations pour qu’elles parviennent à impliquer les décideurs et sensibiliser leurs utilisateurs ?

Stéphanie Ledoux : Nous sommes convaincus que pour sensibiliser, pour faire prendre conscience des risques et du fait que la crise cyber peut s’avérer moins dramatique qu’on ne l’entend ou le lit chaque jour, s’y confronter reste la plus efficace des solutions. La mise en situation, à tous les niveaux de l’organisation, constitue la plus formatrice des sensibilisations. Exercices de gestion de crise, démonstrations d’attaques, campagnes de phishing… la listes des possibles est large et permet de faire preuve de créativité dans la manière d’aborder le sujet en interne, avec ses partenaires et sous-traitants ! Car c’est bien toute la chaine de valeur qui doit être entrainée et sensibilisée.

Global Security Mag : Comment les technologies doivent-elles évoluer pour une sécurité au plus près de l’utilisateur ?

Stéphanie Ledoux : Plus qu’une évolution pour être au plus près de l’utilisateur, les technologies doivent s’intégrer pleinement dans le quotidien et les usages des collaborateurs. La sécurité implique encore trop souvent un bridage des outils ou des usages. Nous avons la conviction qu’en 2020, il n’est pas illusoire de penser qu’il doit être possible de faire rimer sécurité avec fluidité et expérience utilisateur !

Global Security Mag : Quelles actions les acteurs de la cybersécurité peuvent-ils mettre en place pour attirer de nouveaux talents ?

Stéphanie Ledoux : Nous devons valoriser la richesse et la diversité des métiers et activités que recouvre la cybersécurité. Elle est encore trop souvent perçue comme un ensemble de mesures techniques, de solutions logicielles… comme une filière pour les profils SI en somme. Cela masque une réalité bien plus vaste et des métiers Ô combien nombreux et passionnants : communicants, juristes, responsables de la continuité d’activités, analystes… Il nous faut déconstruire les clichés, illustrer le champ des possibles et l’accessibilité de la filière à des profils divers.

Global Security Mag : Selon vous, à quoi pouvons-nous nous attendre en termes d’attaques et de défense pour 2020 ?

Stéphanie Ledoux : Dans un contexte de sensibilité extrême de l’opinion publique et d’embrasement des sphères médiatiques, les fake news constituent un risque certain pour les organisations. Les fake news ne concernent plus uniquement la politique, la géopolitique ou la société civile mais s’étendent au monde de l’entreprise. Les organisations doivent prendre en compte ce risque nouveau et intangible face auquel les solutions de sécurité ne peuvent pas lutter.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Stéphanie Ledoux : Devoir affronter une crise cyber n’est pas une fin en soi. Ce qui peut s’avérer fatal est de ne pas savoir y faire face : vos collaborateurs, vos clients, vos parties-prenantes vous le pardonneront difficilement. Cela est parfois difficile à concevoir mais nombreuses sont les entreprises qui ressortent grandies d’une crise, parce qu’elles ont su la gérer avec pertinence, montrer qu’elles étaient en capacité d’affronter des situations complexes sans flancher !

L’interview est à retrouver sur le site de Global Security Mag.

« Exercices de crise : une étape incontournable pour gagner de précieuses minutes le jour J »

Par |2020-06-12T10:04:53+02:0015/12/2019|Article|

Publié dans le numéro 48 de Global Security Magazine, notre article est également disponible ci-dessous en intégralité. Nous y livrons nos conseils et notre vision des exercices de crise, étape incontournable d’une préparation efficace à la gestion de crise.

La question n’est plus de savoir SI vous serez touchés par une crise mais QUAND vous le serez. Cette phrase, presque érigée au rang des adages populaires, flottent dans les esprits et les bureaux des responsables Risques, des Directeurs de la Communication ou encore des RSSI (Responsables de la Sécurité des Systèmes d’Information).

Les entreprises touchées par des crises ne sont plus des cas isolés. La sensibilité extrême de l’opinion publique, l’importance de la réputation, l’émergence des fake news, le durcissement de la réglementation, ou encore les tensions géopolitiques expliquent en partie la croissance du nombre de crises. Mais la médiatisation et la multiplicité des crises n’ont d’égales que leur complexité et leur intensité.

Face à ces situations d’exception, qui mettent l’organisation sous pression et la détournent de ses missions prioritaires, les dirigeants doivent prendre des décisions dans des délais de plus en plus serrés, tout en étant plongés dans l’inconnu : le dénominateur commun à l’ensemble des crises est l’INCERTITUDE.

UNE EXPOSITION CROISSANCE DES ENTREPRISE

La digitalisation, la compliance et le RGPD permettent d’accélérer et de sécuriser les affaires, mais ils exposent également nos entreprises à de nouvelles menaces. Si la vulnérabilité des organisations s’amenuise sous de nombreux aspects, la surface d’attaque augmente via l’émergence de ces nouveaux domaines.

Considérons par exemple la réputation d’une entreprise. Grâce aux réseaux sociaux, une organisation peut construire sa notoriété et gagner en visibilité rapidement. Les commentaires positifs et l’engagement des followers participent à la construction de sa réputation, la rendent sympathique et proche. Véritable argument commercial, la réputation de l’entreprise mobilise de nombreuses fonctions en interne, qui y veillent comme du lait sur le feu. Mais la croissance de la réputation de l’entreprise est inversement proportionnelle à sa fragilité, car si elle lui permet de gagner rapidement la préférence des consommateurs, elle la rend particulièrement vulnérable : « Il faut 20 ans pour construire une réputation et cinq minutes pour la détruire » (Warren Buffett). Un paradoxe que certains activistes ou défenseurs d’une cause ont bien compris et auquel ils ont recours, les réseaux sociaux leur offrant un territoire d’expression infini. Car dans la confrontation qui oppose parfois certaines organisations à leurs consommateurs ou à leurs détracteurs, l’outil de la réputation permet de rétablir, voire d’inverser le rapport de force. Quel meilleur levier pour faire tendre l’oreille à une entreprise, un politique ou une commune que de laisser planer un voile sombre sur son image en le menaçant de publier certaines images « choc », certains rapports dérangeants… Il est ici utile de préciser que la véracité des éléments publiés importe peu, surtout lorsque l’on sait qu’une « fake news » se répand 6 fois plus vite [1] qu’une information juste.

DES SITUATIONS DE PLUS EN PLUS INTENSES

Dans la tourmente, le dirigeant se voit contraint de décider dans l’urgence de la réponse opérationnelle à apporter (ou pas), de la stratégie à adopter pour gérer l’évènement, des ressources internes et externes à mobiliser. Il ne dispose plus, comme il y a encore quelques années, d’un laps de temps significatif pour réagir posément, après avoir analysé les informations en sa possession.

L’avènement des réseaux sociaux a fait passer la gestion de crise à la moulinette de l’instantanéité. Ainsi, l’organisation amorce fréquemment sa gestion de crise en réaction à un tweet, à l’appel d’un journaliste ou d’un consommateur et non en étant le porteur de la nouvelle. Ces précieuses minutes qui séparent l’annonce de la crise des premières décisions à prendre se comptent sur les doigts de la main et doivent être parfaitement employées.

Le dispositif de gestion de crise et les modalités de mobilisation doivent bien entendu être définis en amont : ce n’est pas le jour de l’évènement qu’il convient de s’interroger sur les ressources à impliquer et la manière de contacter ses collaborateurs. En possession de ces éléments théoriques, c’est au travers d’exercices de crise réguliers que l’organisation gagnera en efficacité et utilisera à bon escient les quelques minutes qu’il lui reste pour construire une riposte et prendre les premières mesures conservatoires. Tel l’orchestre qui répète sa partition jusqu’à l’avoir faite sienne, l’entreprise et les membres de la cellule de crise doivent s’entraîner pour que le dispositif soit fluide et efficient.

Les exercices de gestion de crise donnent également à leurs protagonistes l’occasion de se confronter à une dimension sous-estimée : l’épreuve du temps. Si l’état de gestion de crise était souvent un évènement circonscrit dans un temps court, il peut désormais perdurer sur plusieurs jours. La pression médiatique et interne qui accompagne régulièrement ce type d’évènements occasionne bien souvent « une crise dans la crise », génératrice de rebondissements et d’épisodes successifs.

La pression très forte subie par l’entreprise au coeur de la crise rend l’épreuve particulièrement éprouvante. Toucher du doigt l’intensité d’un tel épisode permet de limiter l’état de sidération qui peut parfois frapper les personnes impliquées dans la gestion de l’évènement, de tester la cohésion de l’équipe et de mieux connaître ses capacités personnelles dans de telles situations.

DE L’EXERCICE SUR TABLE DE DEUX HEURES A L’EXERCICE EN TEMPS REEL SUR 24h OU PLUS : DES MISES EN SITUATION A CALIBRER EN FONCTION DES ENJEUX

En amont de tout exercice, des objectifs précis doivent lui être assignés. S’agit-il de tester l’efficacité du dispositif de mobilisation ? De roder l’utilisation des outils mis à disposition ? De piloter la coordination entre plusieurs cellules de crise ? De déclencher le PCA (Plan de Continuité d’Activités) ou le PRA (Plan de Reprise d’Activités) ?

L’exercice de crise n’est en aucun cas un produit sur étagère que l’on réutilise à l’envie, mais un projet à part entière, qui nécessite de connaître l’entreprise pour laquelle l’exercice est conduit, d’en maîtriser l’organigramme, les spécificités, les codes. C’est par le soin porté aux détails que l’exercice sera réaliste et que les participants se « prendront au jeu ».

Au-delà de la situation initiale qui sera dépeinte aux participants, l’exercice doit être enrichi de nombreux stimuli, qui permettront d’accélérer l’exercice, de le ralentir, d’intensifier la pression ou encore d’amener les participants à douter des décisions prises et des orientations à donner. Il peut s’agir d’appels téléphoniques, d’emails, de coupures de presse, de tweets… Si la narration revêt une importance capitale dans la crédibilité de l’exercice, son tempo est tout aussi crucial. Pour les exercices sur table notamment, les participants doivent être projetés dans le temps et jouer en parallèle sur le temps réel et le temps de la fiction.

De même, les exercices se concentrent généralement sur la phase de démarrage de la gestion de crise. Pour certaines entreprises déjà rodées, il peut être intéressant de se confronter à la gestion du « jour d’après » ou encore à l’étape cruciale de sortie de crise.

Des mises en situation en conditions et temps réels sont également possibles. Généralement conduites pour des organisations rompues à la gestion de crise, elles nécessitent souvent l’implication d’intervenants externes (SDIS, DREAL, forces de l’ordre…) et permettent de tester des dispositifs de grande ampleur et la coordination des nombreuses parties prenantes. On citera ici les exercices menés par Aéroports de Paris, ou encore Cyberfenua, qui simule une cybercrise grandeur nature sur la Polynésie Française pour tester sa résilience et la coordination avec la métropole, complexifiée par la distance et le décalage horaire. Les organisations qui le souhaitent pourront aussi mettre en oeuvre des stages de type « bootcamp », menés en collaboration avec d’anciens agents gouvernementaux ou des militaires par exemple afin de tester la résistance du collectif et la prise de décision collégiale en situation de stress intense.

Pour conclure, il est important de garder à l’esprit qu’un exercice de crise n’est ni un jeu ni un moment convivial, mais un test grandeur nature de la résilience de l’organisation et de la cohésion de ses équipes confrontées à l’incertitude. La gestion d’évènements dits de crise ne s’improvise aucunement et la réactivité imposée par le monde actuel nécessite une préparation idoine.

[1] The spread of true and false news online, Soroush Vosoughi, Deb Roy, Sinan Aral, Science 09 Mar 2018, Vol. 359, Issue 6380, pp. 1146-1151 DOI:

10.1126/science.aap955

En poursuivant votre navigation, vous acceptez le dépôt de cookies destinés à vous proposer des vidéos, des boutons de partage, des remontées de contenus de plateformes sociales. Accepter