Nos analyses

  • Sort Blog:
  • All
  • Accidents
  • Crise 2.0
  • Crise sanitaire
  • Crise sociale
  • Crise technique
  • Fraude / corruption
  • Réglementaire / juridique
  • RSE

COVID-19 : COMMENT LES BIAIS COGNITIFS ONT PERTURBÉ LA GESTION DE LA CRISE

Crédit photo : Reuters

« Les biais cognitifs, parfois aussi appelés “illusions cognitives”, sont un ensemble d’erreurs de raisonnement qui diffèrent du simple oubli ou de l’erreur de calcul. Les biais cognitifs sont observables lorsque, dans une certaine situation, un sujet commet une erreur de raisonnement en recourant à une heuristique plutôt qu’à une loi logique et forme ainsi une croyance injustifiée, voire fausse ».

Source : https://encyclo-philo.fr/a-propos-le-vrai/

Pourquoi prenons-nous des mauvaises décisions ? Pourquoi des personnes compétentes, pleines de bonnes intentions entreprennent des actions qui nous semblent bonnes mais qui se révéleront désastreuses pour l’avenir d’une entreprise par exemple ? Pourquoi nous sous-estimons ou au contraire surestimons une crise ?

Ce sont les travers des biais cognitifs. Ces erreurs, déclinées en plusieurs catégories, sont particulièrement notables en temps de crise. 

Nous sommes tous de potentielles victimes de nos biais cognitifs. Nous avons tendance à sous-estimer les risques qui ont certes une probabilité d’occurrence relativement faible, mais qui ont pourtant un impact, humain, financier, ou encore réputationnel très important. On pourrait citer ici les accidents nucléaires, les crashs d’avions, etc. Nous nous y préparons donc, et à tort, trop peu. C’est ce que Thaleb conceptualise autour du « cygne noir ».

Aujourd’hui, nous retrouvons sur toutes les plateformes que nous scrutons, des extraits vidéo, où des scientifiques, des spécialistes, des politiques, minimisaient le risque d’une épidémie dans notre pays. En effet, il y a trois mois, une épidémie semblait impensable sur notre sol.

« On sait que ce virus est peu mortel »

Christophe Prudhomme, porte-parole des médecins urgentistes

Comment pouvons-nous expliquer ces prises de parole, où la peur et le déni, semblaient déformer notre perception de la dangerosité du virus. Regardons de plus près les différents biais décrits par Olivier Sibony, dont nous avons tous été victimes pendant cette crise :

  • Le modèle mental :

Nous avons tous vu, si ce n’est ressenti, cet irrépressible besoin de comparer ce virus à un modèle que nous connaissions, ou qui s’en rapprochait. Instinctivement, en France, nous nous sommes rappelés de la grippe A/H1N1 en 2009, rapidement maitrisée. À l’époque, nous avions agi vite et fort, avec les campagnes de vaccinations et les réserves de masques. Nous nous sommes souvenus qu’il ne fallait pas surréagir, la population, les médecins et les spécialistes, ont ce même souvenir. En Chine, le souvenir était celui du SRAS, d’où une réaction beaucoup plus forte et appropriée.

  • Le biais de croissance exponentielle :

Comment appréhender une croissance exponentielle ? Nous voyons une courbe de cas, de décès ; on sait qu’elle va augmenter, mais on la sous-estime. 

Dans cette crise, la courbe des décès est exponentielle dès le début. Prenons un exemple simple, au début de la crise, le Pr. Jérôme Salomon annonce dans ses points quotidiens un doublement du nombre de cas tous les trois jours. On sous-réagit à l’exponentielle, car au début, on parle de chiffres de 3 ; 5 ; 8 individus… On s’éloigne encore de la prise de conscience en se persuadant que la situation, au vu de ces premiers chiffres, n’est après tout pas si grave.

  • L’endo-groupe, apprendre de l’expérience des autres ?

Nous avons tous un jour pensé et cru que « cela n’arrivait qu’aux autres », « ça ne peut pas arriver chez nous ». Nous sommes convaincus que notre endo-groupe est différent de l’exo-groupe. 

Les Italiens par exemple, ont jugé irréaliste le comportement de leur voisin français lorsque le premier tour des municipales a été maintenu. Chaque pays ne peut pourtant pas gérer cette crise de la même façon, et nous trouvons des explications pour nous éloigner encore de la prise de conscience de la gravité de la situation. Selon Bolsonaro, les Brésiliens sont plus solides que les autres ; pour les Américains, il est bien entendu impossible d’attraper un virus chinois, probablement d’ailleurs une nouvelle machination orchestrée par les démocrates…

Toutefois, il est fondamental de se garder d’émettre des jugements hâtifs. Nous sommes tous concernés, de manière universelle, bien qu’il existe des différences sur certaines questions selon les cultures et les genres, elles n’influent que très peu sur les biais.

  • Le biais d’excès de confiance

Nous avons tendance à faire confiance aux estimations et à les suivre, surtout en temps de crise. Pourtant, nous les surestimons ou nous les sous estimons… L’exemple étasunien est ici notable. Lorsque de grands scientifiques ont été amenés à devoir donner une estimation du nombre de cas dans les 12 jours, ils ont répondu collectivement qu’il s’élèverait à environ 19 000. 

Seulement, 12 jours plus tard, le chiffre s’élevait à 120 000 cas. Les meilleurs experts dont le pays disposait se sont donc tous trompés. De plus, il faut noter que ces professionnels ont vu d’autres épidémies, et des réactions qui ont pu s’avérer disproportionnées. Ils ont ainsi une responsabilité de prévenir mais aussi de ne pas semer de panique devant tant d’incertitudes.

  • Le biais social ou le biais d’imitation

Des parcs bondés, des plages occupées, des réunions entre amis, ces gens qui font comme si tout allait bien, ne peuvent tout de même pas se tromper ? Si ? La situation ne doit pas être aussi grave en fin de compte… Le 15 mars, le confinement que nous vivons actuellement nous semblait impensable. Aujourd’hui, c’est la norme, nous l’acceptons et nous nous y conformons (du moins la plupart d’entre nous s’y conforment et heureusement), d’ailleurs nous assistons même aujourd’hui à des dénonciations de ceux qui ne semblent pas le respecter. Ce modelage des habitudes montre que nous faisons comme les autres, nous sommes influencés et nous imitons le comportement des uns et des autres.

Mais sachant tout cela, comment fait-on pour éviter les biais qui altèrent notre jugement ?

Les biais cognitifs sont des erreurs dont nous n’avons par principe pas conscience sur le moment. Ce sont des réalités qu’on ne peut pas éviter tout seul. 

C’est une leçon d’humilité, nous ne sommes pas à l’abri d’en être victime. Cette fatalité est amplifiée par les médias, que nous consommons particulièrement régulièrement pendant cette période. Ils ont un rôle non négligeable dans ces biais. Ils nous poussent à nous retrancher dans le « système 1 », une pensée rapide, permanente, qui ne nous aide certainement pas à prendre du recul. M. Sibony nous rappelle d’ailleurs que 80 % du temps d’antenne des médias sont centrés sur le Covid-19, mais à nous de nous gendarmer sur cette activité.

On prend conscience aujourd’hui qu’il aurait fallu agir dès les premiers cas de décès déclarés. 

À cause du mécanisme des biais, la prise de conscience se fait malheureusement par palier, nous avons donc tous un temps de retard. Aujourd’hui on ne comprend pas pourquoi les municipales en France ont été maintenues, on conçoit qu’il s’agissait, même avec des précautions, d’un facteur supplémentaire de propagation de l’épidémie.

Pourtant, avant le confinement, les réactions sur une possible annulation des élections étaient vives… On a pu entendre notamment la comparaison d’une annulation avec un « coup d’État ». Ce sont pourtant ces mêmes personnes qui aujourd’hui sont révoltées et qui jugent l’action gouvernementale tardive. C’est un véritable paradoxe, mais l’acceptabilité, se fait par palier.

Après avoir sous-réagit, on sur-réagit, tout s’emballe ! Il est difficile dans une situation de crise de revenir à un raisonnement patient et rationnel.

Nous allons également devoir penser à l’après, ce qui nous semble difficile car le bilan s’alourdit. De nombreuses personnes vont mourir, et sont en train de mourir, cela se passe maintenant, c’est tangible. Au-delà de La Peste de Camus il faut aussi anticiper Les Raisins de la colère de Steinbeck, même si cela peut sembler indécent. Car la crise économique qui se profile représentera également de nombreuses cassures et causera de multiples blessures dans la société. Le désespoir est déjà très important, on peut le voir aux États-Unis par exemple, où une partie de la population préfère prendre le risque d’un déconfinement immédiat, plutôt que de subir par la suite une violente crise économique, qui engendrera indubitablement une autre crise sanitaire. Finalement, cette crise est plus abstraite, moins tangible, moins urgente, mais on doit y réfléchir.

Malgré la pression médiatique il ne faut pas avoir le sentiment de choisir entre une crise sanitaire ou une crise économique, mais devoir réfléchir aux impacts sur le bien-être global des choix que nous devrons faire à la sortie de cette crise. En d’autres termes, « il faut prendre de la distance pour sauver des vies après. »

Sortir de la crise

Pour sortir de cette crise, nous allons devoir faire des choix, mais aucun ne permet de garantir une sécurité totale. Aucun schéma ne nous garantira de mettre tout le monde à l’abri.

En fait, M. Sibony décrit quatre niveaux d’incertitudes dans lesquels nous nous retrouvons :

  1. Combien de gens sont infectés, combien l’ont été ? etc.
  2. À quelle vitesse le virus se transmet, comment exactement ? Dans quelle mesure il sera saisonnier ? L’immunité est-elle définitive ?
  3. Combien de temps va durer le confinement, quel impact sur la paix et sur le tissu social aurait-il ?
  4. Est-ce que les gouvernements ont fait assez ? Notre consommation va-t-elle changer après ?

Personne ne sait aujourd’hui comment nous sortirons de cette crise, et quelle image aura la société après celle-ci. On peut formuler de multiples scénarios tant le niveau d’incertitude est grand. Pourquoi ne pourrait-on pas envisager une récession comme en 1929 ? Il faut ici repenser à Socrate après tout « Tout ce que je sais c’est que je sais que je ne sais rien ».

Pour la sortie du confinement, les mêmes interrogations se posent, et encore une fois plusieurs scénarios sont envisageables. Il y aura probablement des confinements successifs, mais dans ce cas-là ils pourront être difficiles à faire respecter ? Un déconfinement par catégories, qui pose des problèmes éthiques ? Un déconfinement progressif à commencer par les personnes qui sont supposément immunisées après avoir été guéries du virus ?

Chaque système a ses failles, la seule solution reste un remède, un vaccin. Il est ici temps de revenir sur un autre biais, dont nous serons forcément victimes à la fin de cette crise.

  • Le biais rétrospectif

Il n’y a rien de plus facile que de regarder le présent à la lumière du passé, on reprochera de toute manière au gouvernement la gestion de cette crise. Quel que soit le bilan. S’il y a 30 000 morts, nous conclurons que nous avons surréagi. Si le bilan s’élève à 300 000, nous conclurons que ce qui a été mis en place n’aura servi à rien, et qu’on peut qualifier de criminel, ce qui a été mis en place.

Dans l’après, nous aurons du mal à imaginer l’incertitude dans laquelle nous nous trouvons aujourd’hui. Et nous serons alors, forcément victimes du biais rétrospectif.

C’est ce que nous enseigne Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

Nous vous avons proposé un résumé de cette excellente et très instructive intervention. De celle-ci, nous avons dégagé cinq leçons pour tenter de mieux appréhender ces biais, de les connaître, et savoir qu’ils peuvent nous induire en erreur.

  1. Connaître et savoir identifier les biais dont on peut être victime est une bonne chose. Mais le mieux, c’est aussi de regarder les faits plutôt que les raisonnements par analogie. Il faut se munir d’une humilité devant les faits, s’entourer d’une diversité de points de vue.
  2. Paniquer ne vous aidera pas. En France, nous suivons les ordres du pouvoir central. Dans d’autres pays, les universités par exemple ont fermé avant que ce soit obligatoire (c’est le cas des États-Unis), on a pu observer également des initiatives prises par des populations, confinées avant que les mesures gouvernementales de les y obligent (c’est le cas de l’Ukraine).
  3. Personne ne sait rien, tout le monde fait des probabilités. Accepter l’incertitude est fondamental.
  4. Se préparer, apprendre à anticiper est indispensable.
  5. Accepter que le risque zéro n’existe pas ; les biais ont beau être connus, ils ne sont parfois pas pris en compte, parfois oubliés. Nous restons humains, faillibles, c’est pour ça que les meilleurs épidémiologistes peuvent se tromper.

DE l’ASIE AUX ÉTATS-UNIS, UNE MULTINATIONALE FACE AU COVID19 : TELEPERFORMANCE TÉMOIGNE

La rencontre insolite avec les équipes gestion de crise du Groupe Teleperformance

La crise actuelle met en péril l’économie mondiale. Toutes les entreprises voient leurs activités chuter et par conséquent doivent renoncer à leurs objectifs. Toutes ? Non ! Certaines d’entre elles ont réussi à maintenir leurs activités et ainsi à faire de cette crise une opportunité, c’est le cas de Teleperformance.

Le groupe Teleperformance, un leader mondial des services aux entreprises en solutions digitales intégrées et qui emploie plus de 330 000 personnes à travers le monde, a maintenu son activité, préservé ses clients, tout en protégeant l’ensemble de ses collaborateurs. Il convient donc logiquement de s’intéresser aux spécificités de la gestion de crise COVID par cette entreprise. Comment combiner protection des salariés, exigence du résultat et crise globale ? Cette équation est-elle insoluble/impossible ?

Un grand merci à l’équipe de Teleperformance qui nous a accordé cet entretien afin que nous puissions échanger sur le vécu de cette crise par un groupe multiculturel, toujours en activité, et présent dans 80 pays.

La position de Teleperformance dans la crise COVID

Pour Teleperformance, la crise n’a pas débuté le 17 mars mais dès début février. En effet, plusieurs semaines avant que l’épidémie n’arrive jusqu’à nous, en Chine, un site du groupe est fermé sur décision des autorités locales. Le centre est alors désinfecté, les mesures barrières sont mises en place et des masques sont distribués, ce qui permet à Teleperformance un redémarrage rapide des activités avec l’accord des autorités chinoises.

Le moment de bascule dans cette crise est la propagation de l’épidémie au continent européen par l’Italie. Dès cet instant, l’ensemble de l’équipe dirigeante de Teleperformance saisit l’ampleur possible que la crise peut prendre. Le groupe met alors en place un plan d’action globale qui a pour priorité de « protéger la santé de toutes les parties prenantes » selon les mots de Daniel Julien, président directeur général et cofondateur du groupe. Il met aussi en avant la volonté du groupe de « garantir la poursuite d’activité des clients ». Ainsi, bien avant que le virus ne touche massivement la France, Teleperformance avait choisi son plan d’action : se battre contre le COVID tout en continuant à servir ses clients. 

Pour ce faire, Teleperformance met en place un comité mondial de crise COVID. Ce comité a pour mission de suivre le développement de l’épidémie, d’informer et soutenir les principaux décideurs et de coordonner rapidement les efforts de réponse. Fort de son expérience asiatique, Teleperformance met en place de multiples mesures : respect des recommandations de l’OMS, politique de distanciation sociale, nettoyages fréquents et renforcés de l’ensemble des installations du groupe, politique stricte d’interdiction de déplacement, disponibilité adéquate aux gels hydroalcooliques, dépistage des températures à l’entrée des sites quand cela est possible, commande de masques. Les bonnes idées ne manquent pas et très rapidement la recherche de solutions innovantes et de partage de bonnes pratiques soutiennent la gestion de crise de l’entreprise. 

Clé de voute du dispositif de continuité des activités, Teleperformance s’est massivement tourné vers le télétravail, que le groupe encourage et pratique depuis de nombreuses années. Si aujourd’hui le groupe compte près de 80% de ses effectifs en télétravail (contre environ 5% avant la crise), la transformation des activités en quelques semaines a été un tour de force qui n’a pas été sans difficultés. Il a fallu d’abord convaincre les clients de la nécessité de se transformer pour la santé des collaborateurs et pour la poursuite des activités. Ensuite, ce sont les contraintes locales d’accès aux réseaux qu’il a fallu gérer et tout cela en garantissant la protection et la confidentialité des données. 

Les atouts de Teleperformance dans cette crise

Une organisation efficace et résiliente

Teleperformance a su gérer la crise tout en maintenant son activité grâce à de nombreux atouts, dont notamment son organisation. Le groupe peut en effet s’appuyer sur des « process » solides et efficaces. L’entreprise est résiliente et sait capitaliser sur l’expérience passée :  l’équipe nous apprend ainsi que « depuis la grippe A, nous avions déjà intégré des gestes barrières et le matériel de désinfection à nos politiques santé et sécurité ». La prévention et la communication ont ainsi pu être rapide d’autant plus qu’il existe une véritable culture de de la santé et de la sécurité au sein du groupe. 

Les processus opérationnels ont également été un atout pour la mise en place du télétravail. Dès début avril, 50% des effectifs étaient déjà en télétravail et 64% fin avril et 80% aujourd’hui. Teleperformance s’est ainsi appuyé sur ce mode de travail pour que la transition dans l’urgence sanitaire se fasse aux mieux. 

L’efficacité du process opérationnel de Teleperformance se constate également dans ses outils de management. En effet, l’entreprise a mis en place un système de management qui permet de recruter, former, manager, le tout en étant à distance.

Cette organisation permet au groupe de s’adapter à la crise mais aussi et surtout d’être « rapide et agile » selon les mots de Daniel Julien. L’exemple de l’action du groupe pour la ville de Tarente en Italie est parlant : à la demande des autorités de la ville, Teleperformance a fourni rapidement à la population des informations essentielles sur la livraison à domicile de nourriture et de médicament et à propos de la mise en place de bons d’achats. Les autorités tarentines ont à plusieurs reprises salué l’efficacité du groupe.

Un leadership fort et des équipes soudées

L’un des atouts non négligeables de Teleperformance dans cette crise est son leader, Daniel Julien. Il s’adresse chaque semaine à ses collaborateurs dans une volonté de fournir une information transparente sur la situation de l’entreprise, les stratégies globales mises en place et les perspectives d’avenir. Il a pris en charge la gestion de crise en prenant la direction du comité mondial COVID, qui réunit « une centaine de personnes de moins de 45 ans chargé de trouver des solutions innovantes et de retranscrire dans l’ensemble des pays les décisions du groupe ». A la manière de la « Force de réflexion rapide » de Patrick Lagadec, chaque collaborateur peut intervenir. Le but : qu’aucune bonne idée ne soit perdue et qu’aucun angle mort ne puisse subsister. Il a aussi mis en place une vie sociale virtuelle avec le « For Fun Festival », pour inviter ses équipes à échanger et communiquer artistiquement malgré la situation. Daniel Julien exprime aussi dans des communiqués ou dans la presse sa « fierté » envers ses collaborateurs et sa vigilance quant à leur sécurité. Cette reconnaissance permet une cohésion dans le groupe.  

Cet exemple par le haut a par ailleurs des répercussions positives dans le groupe.  Plusieurs initiatives locales sont ainsi apparues pour fédérer les équipes en ces temps troublés. Teleperformance en comptabilise plusieurs : un haircut challenge dans une équipe, des lunch zoom ou tea time zoom dans d’autres, des cours de sport en ligne, etc. Ces initiatives sont fondamentales pour vaincre l’isolement et créer un engagement pour le groupe et sa culture d’entreprise. 

Une solidité financière

Teleperformance peut également s’appuyer dans cette crise sur sa solidité financière. Le groupe nous rappelle ainsi « la sécurisation des lignes de crédit supplémentaire pour plus de 700 millions d’euros en complément des facilités de 500 millions d’euros disponibles actuellement ». De fait, Teleperformance est armé financièrement face à la crise. Le groupe utilise ses fonds pour assurer la sécurité de ses « parties prenantes » par l’achat de masques par exemple mais aussi « pour assurer la fourniture des moyens matériels nécessaires à un télétravail efficace et sans obstacle ». 

L’impact sur la réputation

Un impact négatif à relativiser

Le secteur des centres d’appels souffre d’un déficit d’image auprès de l’opinion publique. Beaucoup d’idées reçues circulent à son sujet et sont diffusées notamment dans la culture populaire, avec le film « Slumdog millionaire » par exemple. Avec la crise COVID-19, cette mauvaise image n’a pas changée et le groupe Teleperformance reste une cible de choix pour de nombreux détracteurs. Des fakes news peuvent ainsi circuler, comme celle sur le refus de Teleperformance de mettre en place le télétravail et la lenteur d’application. A ce sujet le groupe a assez communiqué pour montrer qu’elle était infondée et ne prenait pas en compte la réalité : une entreprise de 330 000 employés ne transitionne pas vers le télétravail en quelques jours. 

Certains médias ont aussi fait état de mauvaises conditions de travail au sein de Teleperformance. Il convient ici de rappeler que le groupe est reconnu par le Comité d’Entreprise Européen pour son action dans la protection de ses employés. De plus, l’équipe de Teleperformance ajoute que le groupe se voit régulièrement décerné le prix « Great place to work » et ce dans plusieurs pays où il est implanté. Tout est mis en œuvre pour assurer la sécurité physique et financière des collaborateurs. 

Un impact positif par l’action de Teleperformance

L’impact réputationnel de la crise COVID est paradoxalement bien plus positif que négatif pour le groupe. En effet, l’entreprise et ses 330 000 employés ont démontré durant cette crise que la continuité d’activité pour leurs clients n’était pas un vain mot. Le groupe assure le back office et les services critiques pour de nombreuses activités essentielles dans les secteurs de la santé, la distribution, l’énergie ou encore les services publics. Ce faisant, le choix du groupe de maintenir son activité tout en assurant la sécurité de ses agents lui a permis de fidéliser ses clients. 

Teleperformance a également la charge de la hotline COVID dans 13 pays. Daniel Julien se dit d’ailleurs « vraiment honoré » de la confiance des gouvernements envers son groupe. De fait, Teleperformance est ainsi un acteur essentiel de la lutte contre le COVID en fournissant à ses 13 pays les services essentiels d’assistance à distance pour les aider à informer, protéger et rassurer leurs populations. 

Au-delà de cette aide essentielle aux gouvernements, Teleperformance agit aussi de sa propre initiative dans plusieurs pays. En Colombie, le groupe a organisé une campagne caritative pour venir en aide aux citoyens les plus vulnérables face à la pandémie. Teleperformance a ainsi récolté plus de 100 000 colis alimentaires et environ 13 milliards de pesos colombiens. La crise COVID-19 permet ainsi au groupe de montrer son efficacité et son rôle essentiel dans nos sociétés.

Cette crise sera peut-être l’opportunité pour redorer le blason d’un secteur trop souvent décrié mais pas assez reconnu pour sa grande utilité. 

Les entreprises en difficulté: quelles solutions ? – Partie 1

Sixième épisode de la série de webinars « en confinement » du cabinet de conseil en gestion de crise et communication sensible EH&A.

Ce webinar était organisé conjointement par Emmanuelle Hervé, Anne Jacquinod-Carry et Stéphane Roussier.

Après la pandémie : nouveau monde ou monde nouveau ?

Cinquième épisode de la série de webinars « en confinement » du cabinet de conseil en gestion de crise et communication sensible EH&A.

Ce webinar était organisé conjointement par Emmanuelle Hervé et Patrick Burensteinas.

Déconfinement: le jour le plus long

Quatrième épisode de la série de webinars « en confinement » du cabinet de conseil en gestion de crise et communication sensible EH&A.

Ce webinar était organisé conjointement par Emmanuelle Hervé et Louis J. Abela et animé par Gala Ledieu-Poloskova.

Il avait pour but de répondre aux questions d’image et de réputation soulevées par les actions des entreprises en période de confinement.

Les Bons, Les Brutes et Les Truands

Troisième épisode de la série de webinars « en confinement » du cabinet de conseil en gestion de crise et communication sensible EH&A.

Ce webinar était organisé conjointement par Emmanuelle Hervé et Olivier Cimelière et animé par Gala Ledieu-Poloskova.

Il avait pour but de répondre aux questions d’image et de réputation soulevées par les actions des entreprises en période de confinement.

Attention: du fait d’un problème d’enregistrement du webinar, tous les participants n’ont pas été enregistrés en vidéo, nous vous prions de nous excuser du désagrément.

Maintien de la Confidentialité des Échanges en Confinement

Second épisode de la série de webinars « en confinement » du cabinet de conseil en gestion de crise et communication sensible EH&A.

Ce webinar était organisé conjointement par Emmanuelle Hervé et Frans Imbert-Vier et animé par Gala Ledieu-Poloskova.

Il avait pour but de répondre aux questions soulevés par la cybersécurité en période de confinement.

Le leader confiné: quelle posture face à la crise ?

Le premier de la série de webinars « en confinement » du cabinet de conseil en gestion de crise et communication sensible EH&A.

Ce webinar était organisé conjointement par Emmanuelle Hervé et le cabinet EH&A et animé par Gala Ledieu-Poloskova.

Il avait pour but de répondre aux questions soulevés par le leadership et le management en période de confinement.

Gestion de crise et communication sensible en cas de cyberattaque

Depuis plus d’une décennie, nous confions nos données au web, nous nous exposons, en tant qu’individu, entreprise, grande organisation. Dans un monde où tout commence à devenir immatériel, les paiements, les flux d’informations, tout peut potentiellement être attaquable : du portefeuille, à l’image même. Et les droits interne et international ont bien des difficultés à faire face aux problèmes que pose le numérique. Il n’a pas de frontière, toute présence se révèle donc un risque potentiel. La menace peut autant provenir de l’intérieur que de l’extérieur, les salariés n’étant bien souvent pas assez formés à l’exploitation des outils permettant de contrer les risques informatiques, et aux règles élémentaires de sécurité informatique ; la culture d’entreprise n’est pas assez forte sur ces aspects.

Pourquoi devriez-vous porter une attention particulière à la Cybersécurité : « une attention et un engagement de tous les instants. » [FireEye]

Ce que nous observons tout d’abord, c’est le manque de culture de la cybersécurité dans notre société, même si on lui accorde de plus en plus d’importance, « le déni du risque » dans les entreprises est encore bien présent pour Frans Imbert-Vier, PDG de l’agence Ubcom.

En premier lieu, cela n’arrive qu’aux autres ; en second lieu qu’une attaque fasse la une de la presse n’arrive que quelques fois dans une année.

Pourtant, chaque jour, des entreprises sont victimes de la cybercriminalité. En réalité, il est facile pour des groupes expérimentés de pirates informatiques spécialisés dans le ransomware notamment – « structurés comme des mafias » pour reprendre les mots de M. Imbert-Vier –, ou pour de simples individus ayant des connaissances sur les malwares ou encore le phishing, d’organiser une attaque avec peu de moyens. Il est donc d’une importance vitale pour les entreprises de se prémunir contre ce fléau et de penser aux stratégies de communication à adopter en cas d’attaque.

Les conséquences d’une cyberattaque : plusieurs cas emblématiques

•             Le cas de Target « Data breach »

Nous pouvons pour un premier exemple remonter jusqu’en 2013 avec une attaque survenue en pleine période de fêtes de fin d’année, et une réaction d’entreprise tristement reconnue aujourd’hui comme étant un « cas d’école ».

Entre le 15 novembre et le 17 décembre, l’enseigne de grande distribution américaine Target est victime d’une attaque d’ampleur. Une brèche dans le système de sécurité a permis aux pirates de voler plus de 40 millions de données bancaires et 70 millions de données personnelles. Pour donner une idée de grandeur plus parlante, un tiers des Américains a été touché par cette attaque, pendant les fêtes. Début 2014, suite aux investigations de l’agence Reuters, on apprend que VISA Inc avait mis en garde les grandes enseignes contre les nouvelles stratégies des hackers. VISA Inc avait même donné les moyens à celles-ci pour s’en prémunir. Reuters nous a également appris, que ce n’est autre qu’un blogueur, Brian Krebs – spécialiste en cybersécurité –, qui a signalé la brèche suite à une probable fuite en interne. La réaction des investisseurs, puis du grand public a mis l’enseigne au pied du mur, la forçant à révéler l’ampleur de l’attaque. Plusieurs mois après l’attaque, un communiqué de Target annonce un changement de gouvernance. Par ailleurs, l’entreprise se dit confiante, exprime sa volonté d’entreprendre de véritables « transformations » pour l’avenir et rappelle ces ambitions.

La communication tardive a provoqué une réaction en chaîne dépréciant l’entreprise, désormais connue pour être « laxiste » en matière de sécurité.  Par ailleurs, le cas de Target illustre parfaitement l’enchainement des scénarios d’évolution défavorables après une attaque. Voici pourquoi :

En premier lieu, l’attaque grève le budget de l’enseigne, qui doit à grands frais se doter des meilleurs experts techniques pour colmater la faille. Elle doit également financer les frais de notification, les amendes, et le procès. Pratiquement dans le même temps, les médias s’emparent de cette information et alarment la clientèle ; l’enseigne est discréditée.

L’événement entraîne la démission du CEO Gregg Steinhafel, quelques mois après l’attaque. Il est accusé de n’avoir pas réagi suffisamment rapidement après la découverte du piratage, et n’avoir pas pris les mesures appropriées et jugées nécessaires. Il rejettera ses accusations.

« Depuis le début de cette histoire de vol massif de données, je me suis engagé à ce que Target se transforme en une meilleure compagnie tournée plus que jamais dans la satisfaction client. »

Lettre adressée au conseil d’administration de Target.

Les concurrents se sont servis de l’emballement médiatique pour récupérer ses clients. En outre, le bilan humain et financier de cette attaque se révèle très lourd pour Target, son image est durablement entachée, en témoignent encore aujourd’hui les nombreux tweets sur cette affaire.

•             Le cas TalkTalk

Deux ans après le « Data Breach », une autre cyberattaque d’ampleur touche l’opérateur de téléphonie mobile britannique TalkTalk. Il admet alors (pour la troisième fois) qu’il vient d’être victime d’un vol de données. Selon ses services, 150 000 de ses abonnés auraient été touchés. Si l’incident n’est pas considéré comme « une vaste attaque », les conséquences seront tout aussi lourdes. Pourquoi ? Les pirates informatiques ayant commis ce vol sont… des adolescents. Toute communication sur l’intrusion est vaine, le simple profil des hackers a infligé à l’opérateur une lourde perte en crédibilité.

•             Le cas d’Altran

Mi-janvier 2019, l’entreprise de conseil en ingénierie procède à la déconnexion de tous ses serveurs suite à une attaque. Il est intéressant d’observer son temps de réaction. Il lui a fallu quatre jours pour admettre officiellement l’incident. Le 28 janvier, l’entreprise diffuse finalement un communiqué, qui reste laconique :

« Nous avons mobilisé des experts techniques et d’investigation indépendants mondialement reconnus, et l’enquête que nous avons menée avec eux n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. Notre plan de rétablissement se déroule comme prévu et nos équipes techniques sont pleinement mobilisées ».

Il peut être qualifié de classique, de laconique, mais il témoigne surtout d’un déni de la part de l’entreprise. Il évoque seulement l’intervention « d’experts », alors que finalement, une dizaine de jours après l’attaque, la société tournera toujours au ralenti, ce qui bien entendu, inquiétera ses clients au nombre desquels Safran, la SNCF, et bien d’autres. Avec une communication opaque, les clients peuvent ainsi s’imaginer que l’attaque est bien plus importante que celle dont ils ont connaissance.

Que retenir de ces réactions et de la communication des entreprises après ces attaques ?

Tous les domaines d’activité peuvent être touchés, et bien évidemment, selon le profil des pirates, l’entreprise visée, l’ampleur de l’attaque, la cible précise, voici quelques erreurs notables que nous pouvons relever dans les communiqués :

  • Absence de communication spontanée : l’entreprise s’exprime parce qu’elle y est contrainte. Généralement, la fuite, ou même l’attaque,  provient de l’interne (des employés qui en parlent à leurs amis, etc.), ou de blogueurs experts dans le domaine, entachant encore plus l’image de l’entreprise qui a donc voulu au départ, taire l’affaire. Les blogueurs spécialisés dans le cyber sont à suivre avec attention, ils sont reconnus, peuvent avoir les informations les premiers et sont parfois même en contact direct avec les pirates. Dans le paysage cyber français, on pourrait parler de Zataz.
  • Emploi de mots susceptibles de minimiser l’importance de l’événement pour le client (dans l’hypothèse où l’entreprise communique) ; ainsi, on note souvent la répétition de vocables tels que « aucun », « simple incident », « n’a pas », comme si une attaque était négligeable. Dans le cas de Ramsay Générale de santé : « L’attaque handicape le travail mais n’a pas d’impact sur les patients ». Pourtant, si le travail des employés est perturbé, les patients peuvent être impactés d’une certaine manière, ou légitimement inquiets…
  • Généralement, quelques éléments chronologiques sont fournis, mais le manque de transparence, une communication prosaïque, sont manifestes ; et des questions demeurent, la durée de l’intrusion par exemple, le volume de données subtilisées, mais aussi le flou quant au rétablissement des services.
  • Facteur humain souvent sous-estimé. Les internautes aujourd’hui connaissent le risque majeur que présente le numérique. Il faut donc plus de résilience, plus de transparence. Une cyberattaque induit de multiples rebondissements délétères : des démissions, un mécontentement ressenti par plusieurs parties prenantes, des pertes de ressources humaines et financières.
  • Il est enfin fondamental de penser à l’interne. Vos employés sont inquiets, ils n’ont plus accès à leurs outils, ne savent peut-être pas s’ils vont être payés, s’ils vont devoir poser leurs congés etc. suivant l’ampleur de l’attaque.

Mais alors, quelles stratégies adopter ?

La stratégie à adopter est bien entendu différente selon les cas, mais que ce soit une atteinte à la réputation, une perte de confiance des clients, de ses employés etc. voici quelques recommandations à prendre en compte :

  • Ne pas se laisser aller au déni :

o             La crise va durer longtemps

o             Une gestion de crise opérationnelle ou technique, qui n’implique que l’IT n’est pas suffisante (rétablir les serveurs, récupérer les données, etc., constitue bien sur l’urgence, mais cela ne suffit pas)

o             Les attaques cyber occasionnent des crises multiformes (réputation, juridique (loi RGPD), RH, scandale de type compliance, etc.)

  • Prendre l’initiative de diffuser un communiqué rapidement :

si possible avant que des internautes, blogueurs ou journaux relayent l’information. Ce dernier doit être clair, résumant la situation avec le plus de transparence possible. Ne pas laisser le vide et la parole aux nombreux articles, aux interrogations, aux réactions.

  • Des updates sont toujours appréciables :

elles démontrent la volonté de l’entreprise de tenir au courant ses clients, ses actionnaires, des évolutions de la situation jusqu’au retour à la normale des systèmes, et de l’activité. Cette manœuvre permettra de maintenir un relationnel avec les différents acteurs, pour « occuper le terrain », et peut contribuer à entretenir la confiance qu’ils accordent à votre structure.

  • Cartographier ses parties prenantes et anticiper les risques potentiels !

o             En interne : penser que les employés se posent peut-être des questions sur les données volées (mes données personnelles sont-elles sauves ?). Penser également à les rassurer sur la question de la pérennité de l’entreprise et de leur place au sein de cette structure. Penser à l’anxiété que peut provoquer la perte des outils de travail (agenda, boites mails, etc.).

Ici, le cas de Saint-Gobain est intéressant. En juin 2017, la structure a subi une attaque par le groupe NotPeyta depuis une filiale en Ukraine. Des milliers de données ont été cryptées, les réseaux ont dû être suspendus, entraînant une perte de chiffre d’affaires de 220 millions d’euros. L’attitude du groupe en interne pour gérer cette crise doit être regardée de plus près. Le président s’est notamment attelé à rassurer ses collaborateurs et s’est montré très présent, en communiquant régulièrement sur la situation et sur la reprise de l’activité. Cet engagement a suscité un véritable team building, un engagement de la part des collaborateurs qui n’étaient pas habitué à cette communication. C’était également un moyen d’encadrer les informations – certifiées ou non – que pouvaient émettre les nombreuses parties prenantes internes. « «  je compte sur vous, il faut servir nos clients, je vous tiens au courant, faire attention à ne pas propager des rumeurs, etc, ne pas poster les écrans noirs. »

o             L’objectif : éviter les RPS, la fuite de talents, la démotivation, la perte de productivité…

o             En externe : penser aux clients, aux fournisseurs, aux sous-traitants et prestataires. Penser à leurs inquiétudes (ai-je été contaminé par le virus ? mes données ont-elles été volées ? comment vais-je être payé ? etc.)

o             L’objectif : ne pas s’aliéner de parties prenantes, ne pas perdre de clients ou de contrats, travailler sa social license to opperate.

  • Ne pas sous-estimer le facteur humain dans une crise :

remercier ses employés qui œuvrent pour le rétablissement de la situation et qui doivent gérer une situation anxiogène : faire face à une potentielle perte de confiance de la clientèle peut s’avérer compliqué. De même, il est très important de faire preuve d’empathie envers des clients qui se retrouvent lésés, notamment en cas de vol de données ; il faut rassurer, voire parfois présenter des excuses.

  • Penser aux canaux de communication disponibles :

o             l’intranet est-il vraiment consulté ? vos bases de données sont-elles à jour ?

o             les interlocuteurs habituels (RH, commerciaux, etc.) ont-ils été briefés pour aligner la communication ? ont-ils les ressources nécessaires pour faire face à l’afflux de questions ?

o             les employés peuvent-ils être les ambassadeurs de l’entreprise ? si oui, leur avez-vous fourni assez d’éléments ?

  • User de certains vocables avec prudence :

Une allégation telle que : « L’enquête est en cours et démontrera etc. » peut s’avérer gênante par la suite. Il arrive que l’enquête démontre justement que le groupe concerné par l’attaque ne prenait pas les mesures adéquates pour la protection de ses systèmes d’information.  Le mieux reste d’accompagner le texte d’une description des mesures prises avant pendant et après la crise. Si enfin vous pouvez vous livrer à la plus grande transparence, n’hésitez pas à communiquer ce que vous savez.

  • Penser au retour d’expérience :

Dans le cas de Saint Gobain, l’entreprise n’a pas hésité à revenir plusieurs fois sur cette attaque afin de montrer au grand public, aux clients, qu’elle en était sortie plus forte. Elle a notamment renforcé sa politique cyber défense pour réagir plus rapidement, détecter les failles en amont et identifier les risques, dans la plus grande résilience. Par ailleurs, elle organise régulièrement des tests pour sensibiliser l’ensemble des collaborateurs aux actes de cyber malveillance. Le directeur opérationnel du groupe, Claude Imauven, avait d’ailleurs déclaré  « L’attaque du mois de juin nous a permis d’avoir une vision de ce que cela peut nous coûter au maximum… » . D’où l’importance de se préparer à toutes les éventualités aujourd’hui et de revenir sur cette expérience.

De même, le cas d’Airbus est notable. Fin janvier 2019, la compagnie a été victime d’une cyberattaque massive. Le communiqué de presse était exhaustif sur la description de l’attaque, ce qui a été volé et divulgué. « Des données à caractère personnel ont été consultées (…) essentiellement des coordonnées professionnelles et des identifiants informatiques d’employés d’Airbus en Europe ». Si ces déclarations peuvent inquiéter  au premier abord, elles sont obligatoires, et peuvent donc aussi se révéler un moyen pour l’entreprise de démontrer toute sa transparence envers ses collaborateurs et clients. Le communiqué se termine par des mentions qui se veulent rassurantes pour tout le monde : « Aucun impact sur les activités commerciales ». Et l’évènement est qualifié « d’incident », on minimise donc son impact et on rappelle que ce n’est qu’un accident de parcours, ce qui ne devrait pas mettre en péril la confiance accordée à l’entreprise.

Sources :

•             https://www.lemonde.fr/emploi/article/2019/12/11/le-turnover-des-salaries-penalise-la-securite-informatique_6022404_1698637.html#xtor=AL-32280270

•             https://www.faceaurisque.com/2019/01/25/cybersecurite-barometre-2019-linquietant-constat-du-cesin-sur-les-cyberattaques/

•             https://www.fireeye.fr/current-threats/what-is-cyber-security.html

•             https://www.saint-gobain.com/sites/sgcom.master/files/03-07-2017_cp_va.pdf

•             https://www.ticsante.com/story/4735/le-groupe-ramsay-generale-de-sante-victime-d-une-cyberattaque.html

•             https://www.eurofins.com/mediacentre/safeharborstatement/?page=https://www.eurofins.com/media-centre/press-releases-2019/2019-06-03-8/

•             http://www.eclaireursdelacom.fr/la-reputation-des-entreprises-menacee-par-les-cyberattaques/

•             https://www.riskinsight-wavestone.com/2014/05/target-6-mois-tard-quel-retour-cyber-assurance/

•             https://www.usinenouvelle.com/editorial/chez-saint-gobain-il-y-un-avant-et-un-apres-la-cyber-attaque.N651134