Nota : les extraits de la communication de Techotel ont été retranscrits fidèlement, y compris les coquilles et imprécisions grammaticales.
La communication de crise reste aujourd’hui l’une des dimensions les plus sensibles et les plus critiques de la gestion de crise. Souvent subie, la communication peut en réalité être un véritable levier tactique si elle est maîtrisée et réfléchie.
La communication de Techotel, une entreprise éditrice de solutions informatiques de gestion hôtelière victime d’une cyberattaque par rançongiciel début juin 2020, a le mérite d’être assez unique en son genre. Quand beaucoup d’entreprises font le choix de ne pas ou peu communiquer sur les cyberattaques dont elles sont victimes, la communication de Techotel rompt, pour sa part, totalement avec cette habitude. L’entreprise nous livre une communication transparente et en temps réel, nous embarquant à ses côtés dans le pilotage de la crise. Néanmoins, cette transparence, peut-être à l’excès, questionne sur la capacité des équipes Techotel à qualifier l’évènement, à acter le passage en crise sévère et à adapter sa communication et son organisation le cas échéant.
Nous vous proposons une analyse de la communication de Techotel, que nous pouvions retrouver en libre accès sur le site de l’organisation jusqu’il y a quelques jours.
Une transparence habituelle et adéquate au stade du simple incident
Le premier point à noter concerne la rapidité à laquelle les équipes de Techotel décident de communiquer. A peine les premières perturbations techniques remontées pour ce qui constitue à ce stade encore un simple incident, la communication est lancée, en pleine nuit. En effet, sous forme d’un « tchat » accessible par tous, utilisé habituellement pour décrire l’état de fonctionnement des services fournis par l’entreprise, la personne en charge de la communication fait immédiatement état de problèmes avec certains serveurs.
« We have problems with Danish, Swedish and Irish Picasso. Our technical staff is looking at the issue. We will update information later »
Cette transparence n’est pas inhabituelle, ni choquante, puisque l’on est encore au stade de l’incident et qu’il est courant, en particulier dans ce domaine professionnel, que les équipes communiquent assez rapidement.
Continuant de jouer la carte de la transparence totale, dès que les équipes techniques comprennent que c’est une cyberattaque qui frappe les serveurs, l’information est transmise au grand public, sur le même canal, à 6h52, soit trois heures après la première communication.
« We have been attacked by virus. »
A ce stade, toujours rien de choquant. Il est difficile de reprocher à Techotel son honnêteté, posture souvent conseillée. En effet, à l’inverse de Techotel, bon nombre d’organisations victimes de cyberattaques font généralement le choix de ne pas communiquer aussi longtemps qu’elles le peuvent. Il n’est ainsi pas rare de voir des entreprises communiquer uniquement lorsqu’elles y sont contraintes, que ce soit parce que le groupe d’attaquants a revendiqué publiquement l’attaque, ou parce que la pression (médiatique, de l’écosystème, des autorités….) devient trop forte. Qui plus est, les communications sont parfois maladroites ou floues, évoquant un « incident technique », un « problème informatique » et/ou n’admettant que tardivement avoir été victime d’une cyberattaque.
Poursuivant sa volonté d’informer rapidement le grand public une fois le type d’attaque clairement identifié, une nouvelle communication, à peine une heure plus tard, nous le précise :
« We are hit by ransomware. You have to be prepared to not have access to your date the next hours. Before we got openeded access to files again. NB this is not an Techotel error »
Ainsi, on se retrouve face à un début de communication extrêmement rapide et qui peut sans nul doute être perçu comme rassurant par le grand public. En effet, on ne lui cache rien, il a accès aux informations de manière transparente, fluide et rapide. L’entreprise semble maîtriser la situation.
Cependant, cet effet rassurant va vite être cassé par une transparence trop importante. Les problèmes techniques étant devenus le fruit d’une cyberattaque clairement identifiée, on dépasse dorénavant le simple incident. Le passage en crise sévère doit être acté. Lors d’une crise, une multitude d’informations parvient aux équipes internes et il est important d’apprendre à les organiser et à ne divulguer que ce qui a réellement vocation à l’être, un aspect qui n’a pas été maîtrisé dans le cas de Techotel. Cette évolution dans la communication doit se faire une fois la qualification de la crise réalisée. Tout au long de la gestion de l’évènement, Techotel semble ne pas avoir acté le passage en crise sévère et adapté sa communication et son organisation à l’aune de cette nouvelle réalité. L’entreprise poursuit sur le même mode opératoire que celui de la gestion d’incident. Si l’entreprise semblait maître de la situation il y a encore quelques heures, elle semble désormais dépassée par la situation.
Une transparence à l’excès, provoquée par un loupé dans la qualification de la crise, qui atteint rapidement ses limites
Les premières limites à cette transparence et à ce loupé dans la qualification apparaissent rapidement. Signe que la communication est trop rapide, on se met à apercevoir très vite des propos qui se contredisent les uns les autres en quelques heures seulement. En effet, une première affirmation est faite, à 16h51 le 9 juin, selon laquelle la situation devrait être résolue d’ici 5 à 10 heures.
« We (…) expect that tonight (…) to be contacted by an Eagleshark negotiation informung us the amount »
« Status this morning : We (…) were informed about the amount we have to pay, it is much more than we expected! »
Or, le lendemain, à 6h27, soit 14h après, cette assomption est contredite par une nouvelle communication pour informer le public que la situation est en fait loin d’être réglée. L’entreprise tâche de rétropédaler. L’effet rassurant que le public pouvait ressentir au départ est ainsi balayé d’un revers de main et questionne sur la maîtrise réelle de la situation par Techotel.
« Status this morning : We (…) were informed about the amount we have to pay, it is much more than we expected! We have pay in Bitcoins to get access to the data. It is large sum that we need to transfer. I will update when we know more and how long it »
Si l’on reprend la communication envoyée à 16h51 le 9 juin, il est important de voir que Techotel fait le choix d’annoncer son intention de payer la rançon alors même que l’ensemble des informations nécessaires à son paiement n’ont pas été collectées. De plus, souvent déconseillé, ce choix apparaît comme surprenant à un stade aussi précoce de la crise et en l’absence de l’ensemble des informations.
« We Techotel group expect that tonight (…) to be contacted by an Eagleshark negotiator informing us the amount, we are going to settle for recovering us from the attack. But the bandits do not accept bank transfer so we need to change the amount to Bitcoin. This will take us 3-7 hours »
Premièrement, cela pose des questions éthiques sur le fait de financer des activités illégales et peut ainsi être mal perçu par certains partenaires et/ou clients. C’est l’une des raisons qui expliquent que les entreprises évitent de se targuer publiquement d’avoir payé les rançons, même s’il arrive qu’elles le concèdent en fin de crise. Deuxièmement, cela démontre un manque de préparation de la part des équipes de Techotel, qui ne se sont probablement pas assez renseignées en amont et même durant la crise sur les attaquants et leur mode opératoire.
La transparence devient alors clairement préjudiciable à l’entreprise en révélant les faiblesses internes de l’entreprise. Techotel se met ainsi à progressivement subir la communication plutôt qu’à en faire un levier tactique.
Ces erreurs se poursuivent puisqu’on apprend ensuite l’ensemble des difficultés rencontrées par les équipes pour déchiffrer les données. Là encore, ces informations n’ont pas vocation à être relayées telles quelles au grand public.
« The bandits gave us keys to uncrypt the files, but the keys does not always function, so we don’t have access to the hotel data yet. To night an Eagle Shark consultant writes a program to scan all 259 servers for more keys ».
En communiquant abondamment, l’entreprise a ainsi délivré une quantité non-négligeable d’informations certes utiles au début à la compréhension de la situation par l’ensemble du public, mais elle a aussi fini par inonder d’informations contradictoires et peu rassurantes ses cibles de communication. De plus, d’un point de vue tactique, il est légitime de s’interroger sur la pertinence de ce choix. Montrer publiquement la désorganisation interne et le stress qui s’empare des équipes sont autant d’informations précieuses pour les attaquants. Libre à eux d’adapter leur stratégie en fonction des informations qu’ils jugeraient utiles. La confidentialité est donc de mise sur ce genre de thématiques.
Il reste ainsi important de ne pas trop en dire. C’est malheureusement quelque chose que n’a pas su mettre en place correctement Techotel. Dès lors, le client ou le partenaire de l’entreprise peut se demander s’il y a un réellement un pilote dans l’avion et si un cap est bien fixé. Cette transparence traduit en effet un manque (d’évolution) de (la) stratégie, dû à une absence de qualification au moment adéquat.
Une communication révélatrice d’une absence de stratégie de gestion de la crise
Plusieurs éléments viennent en effet traduire une absence de stratégie de communication voire de gestion de crise et des manquements en terme de mobilisation de ressources expertes.
En optant pour une communication via le « tchat » utilisé quotidiennement pour décrire l’état de fonctionnement des services fournis par l’entreprise auprès de cibles spécifiques, elle s’est probablement retrouvée prisonnière de ce dernier. Si Techotel avait choisi de basculer sur des canaux traditionnels tels que les communiqués de presse, les réseaux sociaux ou l’activation d’une page dédiée sur le site de l’entreprise, la communication aurait très probablement été mieux maîtrisée. Le choix qui a été fait de continuer sur le canal traditionnel de communication n’était sûrement pas adapté à une telle crise. Cela induit des communications comme celle présentée ci-dessous, où concrètement, les différents publics de Techotel n’obtiennent aucune information utile. Cela donne ainsi l’impression de communiquer pour communiquer.
Qui plus est, la communication ne semble pas avoir été pilotée par les communicants de l’organisation mais par un collaborateur certes de bonne volonté, mais non aguerri au maniement de la communication. Sans stratégie, le collaborateur relaie des informations au fil de l’eau, sans filtre et sans objectif. L’opinion personnelle exprimée derrière ce message vient renforcer cette impression d’improvisation et n’a absolument pas sa place dans une communication de crise :
« People producing virus should be in jail !! »
Ce genre de commentaire n’a pas sa place en communication de crise et ne fait pas partie des éléments attendus par un partenaire ou un client : il n’apporte aucune information utile et témoigne du manque de maturité de l’organisation sur ces sujets. Cette impression de non-conformité est aussi renforcée par la présence de multiples erreurs d’orthographe et de syntaxe tout au long de la communication, comme vous l’aurez peut-être déjà remarqué dans les citations que nous avons retranscrites.
Par ailleurs, l’alternance du « nous », axé sur l’entreprise ou sur ses équipes, et du pronom « je », qui revient à plusieurs reprises dans les échanges, renforce le sentiment confusion qui règne à ce stade de l’évènement au sein de l’organisation. Le recours à la première personne du singulier casse les codes et peut donner au lecteur, au client ou au partenaire une mauvaise impression : il ne sait pas qui est derrière cette communication. Ce choix aurait éventuellement pu être payant s’il avait été indiqué de manière explicite qui se cachait derrière ce « je », notamment s’il s’agissait d’un responsable qualifié et/ou connu des clients et partenaires.
Ces éléments peuvent ainsi donner l’impression aux différents publics visés l’impression qu’il n’y a pas de véritable cap stratégique. Au contraire, on a l’impression d’être face à une communication contrainte, subie, improvisée.
Ce n’est que 12 jours après les premiers messages que l’entreprise publiera un communiqué de presse, tentant maladroitement d’adopter les codes d’une communication de crise plus classique.
Pour conclure, bien qu’original et louable, ce choix – s’il s’agit d’un choix – de la transparence totale et du tchat se révèle très vite limité. Il n’est que très peu rassurant pour les clients et partenaires et met en lumière les difficultés de la gestion et de la communication de crise cyber. Après un démarrage prometteur, la communication de l’entreprise concernée a souffert d’un manque de stratégie, renvoyant ainsi une image assez peu rassurante et une impression de confusion entre l’information et la communication, entre la maîtrise et l’improvisation. Ce manque de stratégie est très probablement imputable à un manque de préparation et d’anticipation des équipes et à un réel loupé dans le passage de la gestion d’un incident à la gestion de la crise.
En bref :
- Un démarrage efficace et une communication transparente, qui donne un sentiment de maîtrise et d’une organisation bien rôdée à l’exercice de la gestion de crise,
- L’entreprise parle rapidement d’une cyberattaque plutôt que de laisser planer le doute en ayant recours à « l’incident informatique », comme nombre d’organisations,
- Quelques heures plus tard, l’apparente maîtrise des premières heures laisse place à l’improvisation,
- La confusion et l’affolement des équipes se ressentent très clairement dans les différentes publications,
- Le manque de préparation des équipes à la gestion de crise et l’absence de mobilisation des experts idoines (communication, juridique…) sont très probablement responsables de ces approximations et loupés dans la gestion de l’évènement.
Vous souhaitez en discuter ? Vous projetez de vous préparer à la gestion d’une crise cyber ou de vous former à la communication de crise cyber ? Contactez nous : contact@alcyconie.com
