Author:Hélène Eveillé

  • Sort Blog:
  • All
  • Articles
  • Le saviez-vous ?
  • Nos actus
  • Nos analyses

Newsroom juin 2020

CHAQUE MOIS EH&A CONSULTING VOUS ENVOIE SA NEWSROOM. AU PROGRAMME DE JUIN 2020 :

Toute l’équipe du cabinet est fière de vous annoncer la promotion d’EH&A à la catégorie « incontournable » du magazine Décideurs. Un grand merci à la rédaction qui reconnait une nouvelle fois notre expertise en gestion et communication de crise

Découvrez le contenu de nos formations à distance

Elles sont animées par nos experts pour préserver et élever votre entreprise : Contactez nous !

L’œil de l’expert

Procédures collectives et plan de sauvegarde de l’emploi dans un monde post-covid : lire l’article

Le saviez-vous ?

Le Covid-19 et son impact sur les chefs d’entreprise et managers : une enquête du MEDEF : lire l’article

Les nouvelles du cabinet

EH&A accueille deux nouveaux stagiaires :
Guillaume Garaix et Alexis Chevalier

On y était

Emmanuelle Hervé a participé au webinaire « les conditions de résilience des organisations face aux risques imprévisibles » : en savoir plus

On parle de nous

David Abiker nous a accordé une interview, où nous revenons sur une question essentielle : « La crise sanitaire, un révélateur des talents et des manquements des managers ? : visionner l’interview

Pour lire la newsletter complète, cliquez ici : https://mailchi.mp/8373ce60eaea/eha-newsletter-avril-mai-2020-spciale-covid-352346

Le Covid-19 : son impact sur les chefs d’entreprise et managers, une enquête du MEDEF

Aux premières heures du confinement, nos experts se sont penchés sur la question du « leader confiné » dans le cadre d’un premier webinaire que vous pouvez retrouver ici : https://www.youtube.com/watch?v=ww6Uu4WOJNM

Nous avons tenté d’analyser pendant cette période inédite quel était le leadership approprié en temps de crise et à distance.

@EH&A

Mais comment managers et décideurs ont-ils vécu cette crise de leur côté ? Personnellement et professionnellement ?

Lors de la crise sanitaire, le MEDEF a réalisé deux enquêtes afin de connaitre « l’impact » de cette crise sur « l’état d’esprit des chefs d’entreprise », entre leurs difficultés rencontrées et les initiatives positives qui ont pu découler de cette crise.

L’étude s’intitule « les dirigeants face à la crise sanitaire ». Elle a été réalisée entre le 27 mai et le 5 juin 2020. Ce ne sont pas moins de 1 203 chefs d’entreprise qui ont été interrogés.

Les résultats indiquent plusieurs points d’attention. Le premier étant l’inquiétude des dirigeants concernant la pérennité de leur structure. L’avenir de leur entreprise (encore aujourd’hui pour beaucoup) reste incertain.

L’étude montre toutefois que les dirigeants se sont servis de cette crise pour rebondir. Les inquiétudes ont été nombreuses, le stress très important, mais ce dernier était un véritable facteur « stimulant ».

Pour « pallier la perte de chiffre d’affaires », les entreprises se sont penchées sur une nouvelle manière de travailler en développant la digitalisation, de nouvelles habitudes et se sont réinventées en termes de logistique, en repensant l’organisation des locaux, des horaires, des déplacements.

Par ailleurs, la « confiance dans le collectif de l’entreprise » est aussi notable. À distance, les managers et chefs d’entreprise ont dû entretenir plus que jamais la communication avec leurs collaborateurs. La confiance s’en est trouvée renforcée.

Un dernier point est à aborder. La plupart des interrogés ont confié avoir eu beaucoup de difficultés à prendre du temps pour eux « en dehors de leur entreprise ». Par ailleurs, ils ont constaté que la conciliation entre « leur vie personnelle et leur vie professionnelle » était délicate. Dans ce cadre, l’étude est illustrée par une cartographie des impacts de la crise sanitaire sur la performance et le bien-être des dirigeants.

@MEDEF

Cette problématique du bien-être au travail se retrouve dans une seconde étude réalisée du 6 au 18 mai par Kantar qui avait pour thème « la perception du climat au travail pendant la crise sanitaire ». 1 502 salariés issus du secteur privé ont répondu à cette enquête.

La crise sanitaire mondiale que nous vivons engendre de profonds bouleversements sur notre façon de travailler.

Comment capitaliser au sein de votre entreprise sur ce qui a été bénéfique et qu’il faut garder, sur ce qui est perfectible mais intéressant et sur ce qui au contraire, était compliqué et qu’il faut éviter ? Comment rassembler tous les employés pour en parler et recueillir ces informations précieuses, à distance et tous ensemble.

Nous avons développé une méthode qui permet en vingt minutes de mobiliser l’intelligence collective de l’ensemble des collaborateurs de votre entreprise, sans distinction entre cols blancs et cols bleus, pour engager, ensemble, une réflexion sur le monde de demain.

N’hésitez pas à nous contacter !

Retrouvez l’intégralité de l’étude ici : https://www.medef.com/uploads/media/default/0019/10/12936-supermood-medef-covid.pdf

Newsroom avril/mai 2020 – spéciale Covid-19

CHAQUE MOIS EH&A CONSULTING VOUS ENVOIE SA NEWSROOM. AU PROGRAMME D’AVRIL/MAI 2020 :

Solidarité face au covid-19 :

EH&A Consulting a mis en place une consultation gratuite d’une durée de 30 minutes afin de vous accompagner à distance dans la gestion de cette crise.

Mise à disposition gratuite de l’outil CrisisLog : pour en savoir plus

EH&A a crée un guide de survie Covid-19 pour les entreprises, il est mis à jour systématiquement et disponible ici : pour télécharger le guide

Projet solidaire, tous les bénéfices distribués à la Fondation de France :

Pour acheter le livre « le confinement expliqué à mon boss » c’est ici

COVID-19 : COMMENT LES BIAIS COGNITIFS ONT PERTURBÉ LA GESTION DE LA CRISE :

Lire l’article

DE l’ASIE AUX ÉTATS-UNIS, UNE MULTINATIONALE FACE AU COVID19 : TELEPERFORMANCE TÉMOIGNE :

Lire l’article

On parle de nous :

Interview pour Speak4Impact : en savoir plus

Interview pour Eliott & Markus : « gestion de crise (sanitaire) en cabinet d’avocats » : en savoir plus

Le CIAN et le MEDEF Paris ont partagé notre guide de survie pour les entreprises : en savoir plus

On y était

Le webinar des Sommets du Digital : regarder le replay

Le Webinar de Mountain Path : regarder le replay

Les webinars confinés d’EH&A

Le leader confiné : quelle posture face à la crise ? : regarder le replay

Maintenir la confidentialité des échanges : regarder le replay

Les bons, les brutes et les truands : votre posture pendant cette crise aura un impact sur votre réputation : regarder le replay

Déconfinement : le jour le plus long : regarder le replay

Après la pandémie, nouveau monde ou monde nouveau ? : regarder le replay

Les entreprises en difficulté – épisode 1 – combattre le déni : regarder le replay

Les entreprises en difficulté – épisode 2 – le plan de redressement : regarder le replay

Il est toujours temps de participer à notre étude !

Faites-nous part de votre expérience en répondant à notre questionnaire « la crise et vous » !

Pour lire la newsletter complète, cliquez ici : http://mailchi.mp/d81649fb40fa/eha-newsletter-avril-mai-2020-spciale-covid-352322

COVID-19 : COMMENT LES BIAIS COGNITIFS ONT PERTURBÉ LA GESTION DE LA CRISE

Crédit photo : Reuters

« Les biais cognitifs, parfois aussi appelés “illusions cognitives”, sont un ensemble d’erreurs de raisonnement qui diffèrent du simple oubli ou de l’erreur de calcul. Les biais cognitifs sont observables lorsque, dans une certaine situation, un sujet commet une erreur de raisonnement en recourant à une heuristique plutôt qu’à une loi logique et forme ainsi une croyance injustifiée, voire fausse ».

Source : https://encyclo-philo.fr/a-propos-le-vrai/

Pourquoi prenons-nous des mauvaises décisions ? Pourquoi des personnes compétentes, pleines de bonnes intentions entreprennent des actions qui nous semblent bonnes mais qui se révéleront désastreuses pour l’avenir d’une entreprise par exemple ? Pourquoi nous sous-estimons ou au contraire surestimons une crise ?

Ce sont les travers des biais cognitifs. Ces erreurs, déclinées en plusieurs catégories, sont particulièrement notables en temps de crise. 

Nous sommes tous de potentielles victimes de nos biais cognitifs. Nous avons tendance à sous-estimer les risques qui ont certes une probabilité d’occurrence relativement faible, mais qui ont pourtant un impact, humain, financier, ou encore réputationnel très important. On pourrait citer ici les accidents nucléaires, les crashs d’avions, etc. Nous nous y préparons donc, et à tort, trop peu. C’est ce que Thaleb conceptualise autour du « cygne noir ».

Aujourd’hui, nous retrouvons sur toutes les plateformes que nous scrutons, des extraits vidéo, où des scientifiques, des spécialistes, des politiques, minimisaient le risque d’une épidémie dans notre pays. En effet, il y a trois mois, une épidémie semblait impensable sur notre sol.

« On sait que ce virus est peu mortel »

Christophe Prudhomme, porte-parole des médecins urgentistes

Comment pouvons-nous expliquer ces prises de parole, où la peur et le déni, semblaient déformer notre perception de la dangerosité du virus. Regardons de plus près les différents biais décrits par Olivier Sibony, dont nous avons tous été victimes pendant cette crise :

  • Le modèle mental :

Nous avons tous vu, si ce n’est ressenti, cet irrépressible besoin de comparer ce virus à un modèle que nous connaissions, ou qui s’en rapprochait. Instinctivement, en France, nous nous sommes rappelés de la grippe A/H1N1 en 2009, rapidement maitrisée. À l’époque, nous avions agi vite et fort, avec les campagnes de vaccinations et les réserves de masques. Nous nous sommes souvenus qu’il ne fallait pas surréagir, la population, les médecins et les spécialistes, ont ce même souvenir. En Chine, le souvenir était celui du SRAS, d’où une réaction beaucoup plus forte et appropriée.

  • Le biais de croissance exponentielle :

Comment appréhender une croissance exponentielle ? Nous voyons une courbe de cas, de décès ; on sait qu’elle va augmenter, mais on la sous-estime. 

Dans cette crise, la courbe des décès est exponentielle dès le début. Prenons un exemple simple, au début de la crise, le Pr. Jérôme Salomon annonce dans ses points quotidiens un doublement du nombre de cas tous les trois jours. On sous-réagit à l’exponentielle, car au début, on parle de chiffres de 3 ; 5 ; 8 individus… On s’éloigne encore de la prise de conscience en se persuadant que la situation, au vu de ces premiers chiffres, n’est après tout pas si grave.

  • L’endo-groupe, apprendre de l’expérience des autres ?

Nous avons tous un jour pensé et cru que « cela n’arrivait qu’aux autres », « ça ne peut pas arriver chez nous ». Nous sommes convaincus que notre endo-groupe est différent de l’exo-groupe. 

Les Italiens par exemple, ont jugé irréaliste le comportement de leur voisin français lorsque le premier tour des municipales a été maintenu. Chaque pays ne peut pourtant pas gérer cette crise de la même façon, et nous trouvons des explications pour nous éloigner encore de la prise de conscience de la gravité de la situation. Selon Bolsonaro, les Brésiliens sont plus solides que les autres ; pour les Américains, il est bien entendu impossible d’attraper un virus chinois, probablement d’ailleurs une nouvelle machination orchestrée par les démocrates…

Toutefois, il est fondamental de se garder d’émettre des jugements hâtifs. Nous sommes tous concernés, de manière universelle, bien qu’il existe des différences sur certaines questions selon les cultures et les genres, elles n’influent que très peu sur les biais.

  • Le biais d’excès de confiance

Nous avons tendance à faire confiance aux estimations et à les suivre, surtout en temps de crise. Pourtant, nous les surestimons ou nous les sous estimons… L’exemple étasunien est ici notable. Lorsque de grands scientifiques ont été amenés à devoir donner une estimation du nombre de cas dans les 12 jours, ils ont répondu collectivement qu’il s’élèverait à environ 19 000. 

Seulement, 12 jours plus tard, le chiffre s’élevait à 120 000 cas. Les meilleurs experts dont le pays disposait se sont donc tous trompés. De plus, il faut noter que ces professionnels ont vu d’autres épidémies, et des réactions qui ont pu s’avérer disproportionnées. Ils ont ainsi une responsabilité de prévenir mais aussi de ne pas semer de panique devant tant d’incertitudes.

  • Le biais social ou le biais d’imitation

Des parcs bondés, des plages occupées, des réunions entre amis, ces gens qui font comme si tout allait bien, ne peuvent tout de même pas se tromper ? Si ? La situation ne doit pas être aussi grave en fin de compte… Le 15 mars, le confinement que nous vivons actuellement nous semblait impensable. Aujourd’hui, c’est la norme, nous l’acceptons et nous nous y conformons (du moins la plupart d’entre nous s’y conforment et heureusement), d’ailleurs nous assistons même aujourd’hui à des dénonciations de ceux qui ne semblent pas le respecter. Ce modelage des habitudes montre que nous faisons comme les autres, nous sommes influencés et nous imitons le comportement des uns et des autres.

Mais sachant tout cela, comment fait-on pour éviter les biais qui altèrent notre jugement ?

Les biais cognitifs sont des erreurs dont nous n’avons par principe pas conscience sur le moment. Ce sont des réalités qu’on ne peut pas éviter tout seul. 

C’est une leçon d’humilité, nous ne sommes pas à l’abri d’en être victime. Cette fatalité est amplifiée par les médias, que nous consommons particulièrement régulièrement pendant cette période. Ils ont un rôle non négligeable dans ces biais. Ils nous poussent à nous retrancher dans le « système 1 », une pensée rapide, permanente, qui ne nous aide certainement pas à prendre du recul. M. Sibony nous rappelle d’ailleurs que 80 % du temps d’antenne des médias sont centrés sur le Covid-19, mais à nous de nous gendarmer sur cette activité.

On prend conscience aujourd’hui qu’il aurait fallu agir dès les premiers cas de décès déclarés. 

À cause du mécanisme des biais, la prise de conscience se fait malheureusement par palier, nous avons donc tous un temps de retard. Aujourd’hui on ne comprend pas pourquoi les municipales en France ont été maintenues, on conçoit qu’il s’agissait, même avec des précautions, d’un facteur supplémentaire de propagation de l’épidémie.

Pourtant, avant le confinement, les réactions sur une possible annulation des élections étaient vives… On a pu entendre notamment la comparaison d’une annulation avec un « coup d’État ». Ce sont pourtant ces mêmes personnes qui aujourd’hui sont révoltées et qui jugent l’action gouvernementale tardive. C’est un véritable paradoxe, mais l’acceptabilité, se fait par palier.

Après avoir sous-réagit, on sur-réagit, tout s’emballe ! Il est difficile dans une situation de crise de revenir à un raisonnement patient et rationnel.

Nous allons également devoir penser à l’après, ce qui nous semble difficile car le bilan s’alourdit. De nombreuses personnes vont mourir, et sont en train de mourir, cela se passe maintenant, c’est tangible. Au-delà de La Peste de Camus il faut aussi anticiper Les Raisins de la colère de Steinbeck, même si cela peut sembler indécent. Car la crise économique qui se profile représentera également de nombreuses cassures et causera de multiples blessures dans la société. Le désespoir est déjà très important, on peut le voir aux États-Unis par exemple, où une partie de la population préfère prendre le risque d’un déconfinement immédiat, plutôt que de subir par la suite une violente crise économique, qui engendrera indubitablement une autre crise sanitaire. Finalement, cette crise est plus abstraite, moins tangible, moins urgente, mais on doit y réfléchir.

Malgré la pression médiatique il ne faut pas avoir le sentiment de choisir entre une crise sanitaire ou une crise économique, mais devoir réfléchir aux impacts sur le bien-être global des choix que nous devrons faire à la sortie de cette crise. En d’autres termes, « il faut prendre de la distance pour sauver des vies après. »

Sortir de la crise

Pour sortir de cette crise, nous allons devoir faire des choix, mais aucun ne permet de garantir une sécurité totale. Aucun schéma ne nous garantira de mettre tout le monde à l’abri.

En fait, M. Sibony décrit quatre niveaux d’incertitudes dans lesquels nous nous retrouvons :

  1. Combien de gens sont infectés, combien l’ont été ? etc.
  2. À quelle vitesse le virus se transmet, comment exactement ? Dans quelle mesure il sera saisonnier ? L’immunité est-elle définitive ?
  3. Combien de temps va durer le confinement, quel impact sur la paix et sur le tissu social aurait-il ?
  4. Est-ce que les gouvernements ont fait assez ? Notre consommation va-t-elle changer après ?

Personne ne sait aujourd’hui comment nous sortirons de cette crise, et quelle image aura la société après celle-ci. On peut formuler de multiples scénarios tant le niveau d’incertitude est grand. Pourquoi ne pourrait-on pas envisager une récession comme en 1929 ? Il faut ici repenser à Socrate après tout « Tout ce que je sais c’est que je sais que je ne sais rien ».

Pour la sortie du confinement, les mêmes interrogations se posent, et encore une fois plusieurs scénarios sont envisageables. Il y aura probablement des confinements successifs, mais dans ce cas-là ils pourront être difficiles à faire respecter ? Un déconfinement par catégories, qui pose des problèmes éthiques ? Un déconfinement progressif à commencer par les personnes qui sont supposément immunisées après avoir été guéries du virus ?

Chaque système a ses failles, la seule solution reste un remède, un vaccin. Il est ici temps de revenir sur un autre biais, dont nous serons forcément victimes à la fin de cette crise.

  • Le biais rétrospectif

Il n’y a rien de plus facile que de regarder le présent à la lumière du passé, on reprochera de toute manière au gouvernement la gestion de cette crise. Quel que soit le bilan. S’il y a 30 000 morts, nous conclurons que nous avons surréagi. Si le bilan s’élève à 300 000, nous conclurons que ce qui a été mis en place n’aura servi à rien, et qu’on peut qualifier de criminel, ce qui a été mis en place.

Dans l’après, nous aurons du mal à imaginer l’incertitude dans laquelle nous nous trouvons aujourd’hui. Et nous serons alors, forcément victimes du biais rétrospectif.

C’est ce que nous enseigne Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

Nous vous avons proposé un résumé de cette excellente et très instructive intervention. De celle-ci, nous avons dégagé cinq leçons pour tenter de mieux appréhender ces biais, de les connaître, et savoir qu’ils peuvent nous induire en erreur.

  1. Connaître et savoir identifier les biais dont on peut être victime est une bonne chose. Mais le mieux, c’est aussi de regarder les faits plutôt que les raisonnements par analogie. Il faut se munir d’une humilité devant les faits, s’entourer d’une diversité de points de vue.
  2. Paniquer ne vous aidera pas. En France, nous suivons les ordres du pouvoir central. Dans d’autres pays, les universités par exemple ont fermé avant que ce soit obligatoire (c’est le cas des États-Unis), on a pu observer également des initiatives prises par des populations, confinées avant que les mesures gouvernementales de les y obligent (c’est le cas de l’Ukraine).
  3. Personne ne sait rien, tout le monde fait des probabilités. Accepter l’incertitude est fondamental.
  4. Se préparer, apprendre à anticiper est indispensable.
  5. Accepter que le risque zéro n’existe pas ; les biais ont beau être connus, ils ne sont parfois pas pris en compte, parfois oubliés. Nous restons humains, faillibles, c’est pour ça que les meilleurs épidémiologistes peuvent se tromper.

Gestion de crise et communication sensible en cas de cyberattaque

Depuis plus d’une décennie, nous confions nos données au web, nous nous exposons, en tant qu’individu, entreprise, grande organisation. Dans un monde où tout commence à devenir immatériel, les paiements, les flux d’informations, tout peut potentiellement être attaquable : du portefeuille, à l’image même. Et les droits interne et international ont bien des difficultés à faire face aux problèmes que pose le numérique. Il n’a pas de frontière, toute présence se révèle donc un risque potentiel. La menace peut autant provenir de l’intérieur que de l’extérieur, les salariés n’étant bien souvent pas assez formés à l’exploitation des outils permettant de contrer les risques informatiques, et aux règles élémentaires de sécurité informatique ; la culture d’entreprise n’est pas assez forte sur ces aspects.

Pourquoi devriez-vous porter une attention particulière à la Cybersécurité : « une attention et un engagement de tous les instants. » [FireEye]

Ce que nous observons tout d’abord, c’est le manque de culture de la cybersécurité dans notre société, même si on lui accorde de plus en plus d’importance, « le déni du risque » dans les entreprises est encore bien présent pour Frans Imbert-Vier, PDG de l’agence Ubcom.

En premier lieu, cela n’arrive qu’aux autres ; en second lieu qu’une attaque fasse la une de la presse n’arrive que quelques fois dans une année.

Pourtant, chaque jour, des entreprises sont victimes de la cybercriminalité. En réalité, il est facile pour des groupes expérimentés de pirates informatiques spécialisés dans le ransomware notamment – « structurés comme des mafias » pour reprendre les mots de M. Imbert-Vier –, ou pour de simples individus ayant des connaissances sur les malwares ou encore le phishing, d’organiser une attaque avec peu de moyens. Il est donc d’une importance vitale pour les entreprises de se prémunir contre ce fléau et de penser aux stratégies de communication à adopter en cas d’attaque.

Les conséquences d’une cyberattaque : plusieurs cas emblématiques

•             Le cas de Target « Data breach »

Nous pouvons pour un premier exemple remonter jusqu’en 2013 avec une attaque survenue en pleine période de fêtes de fin d’année, et une réaction d’entreprise tristement reconnue aujourd’hui comme étant un « cas d’école ».

Entre le 15 novembre et le 17 décembre, l’enseigne de grande distribution américaine Target est victime d’une attaque d’ampleur. Une brèche dans le système de sécurité a permis aux pirates de voler plus de 40 millions de données bancaires et 70 millions de données personnelles. Pour donner une idée de grandeur plus parlante, un tiers des Américains a été touché par cette attaque, pendant les fêtes. Début 2014, suite aux investigations de l’agence Reuters, on apprend que VISA Inc avait mis en garde les grandes enseignes contre les nouvelles stratégies des hackers. VISA Inc avait même donné les moyens à celles-ci pour s’en prémunir. Reuters nous a également appris, que ce n’est autre qu’un blogueur, Brian Krebs – spécialiste en cybersécurité –, qui a signalé la brèche suite à une probable fuite en interne. La réaction des investisseurs, puis du grand public a mis l’enseigne au pied du mur, la forçant à révéler l’ampleur de l’attaque. Plusieurs mois après l’attaque, un communiqué de Target annonce un changement de gouvernance. Par ailleurs, l’entreprise se dit confiante, exprime sa volonté d’entreprendre de véritables « transformations » pour l’avenir et rappelle ces ambitions.

La communication tardive a provoqué une réaction en chaîne dépréciant l’entreprise, désormais connue pour être « laxiste » en matière de sécurité.  Par ailleurs, le cas de Target illustre parfaitement l’enchainement des scénarios d’évolution défavorables après une attaque. Voici pourquoi :

En premier lieu, l’attaque grève le budget de l’enseigne, qui doit à grands frais se doter des meilleurs experts techniques pour colmater la faille. Elle doit également financer les frais de notification, les amendes, et le procès. Pratiquement dans le même temps, les médias s’emparent de cette information et alarment la clientèle ; l’enseigne est discréditée.

L’événement entraîne la démission du CEO Gregg Steinhafel, quelques mois après l’attaque. Il est accusé de n’avoir pas réagi suffisamment rapidement après la découverte du piratage, et n’avoir pas pris les mesures appropriées et jugées nécessaires. Il rejettera ses accusations.

« Depuis le début de cette histoire de vol massif de données, je me suis engagé à ce que Target se transforme en une meilleure compagnie tournée plus que jamais dans la satisfaction client. »

Lettre adressée au conseil d’administration de Target.

Les concurrents se sont servis de l’emballement médiatique pour récupérer ses clients. En outre, le bilan humain et financier de cette attaque se révèle très lourd pour Target, son image est durablement entachée, en témoignent encore aujourd’hui les nombreux tweets sur cette affaire.

•             Le cas TalkTalk

Deux ans après le « Data Breach », une autre cyberattaque d’ampleur touche l’opérateur de téléphonie mobile britannique TalkTalk. Il admet alors (pour la troisième fois) qu’il vient d’être victime d’un vol de données. Selon ses services, 150 000 de ses abonnés auraient été touchés. Si l’incident n’est pas considéré comme « une vaste attaque », les conséquences seront tout aussi lourdes. Pourquoi ? Les pirates informatiques ayant commis ce vol sont… des adolescents. Toute communication sur l’intrusion est vaine, le simple profil des hackers a infligé à l’opérateur une lourde perte en crédibilité.

•             Le cas d’Altran

Mi-janvier 2019, l’entreprise de conseil en ingénierie procède à la déconnexion de tous ses serveurs suite à une attaque. Il est intéressant d’observer son temps de réaction. Il lui a fallu quatre jours pour admettre officiellement l’incident. Le 28 janvier, l’entreprise diffuse finalement un communiqué, qui reste laconique :

« Nous avons mobilisé des experts techniques et d’investigation indépendants mondialement reconnus, et l’enquête que nous avons menée avec eux n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. Notre plan de rétablissement se déroule comme prévu et nos équipes techniques sont pleinement mobilisées ».

Il peut être qualifié de classique, de laconique, mais il témoigne surtout d’un déni de la part de l’entreprise. Il évoque seulement l’intervention « d’experts », alors que finalement, une dizaine de jours après l’attaque, la société tournera toujours au ralenti, ce qui bien entendu, inquiétera ses clients au nombre desquels Safran, la SNCF, et bien d’autres. Avec une communication opaque, les clients peuvent ainsi s’imaginer que l’attaque est bien plus importante que celle dont ils ont connaissance.

Que retenir de ces réactions et de la communication des entreprises après ces attaques ?

Tous les domaines d’activité peuvent être touchés, et bien évidemment, selon le profil des pirates, l’entreprise visée, l’ampleur de l’attaque, la cible précise, voici quelques erreurs notables que nous pouvons relever dans les communiqués :

  • Absence de communication spontanée : l’entreprise s’exprime parce qu’elle y est contrainte. Généralement, la fuite, ou même l’attaque,  provient de l’interne (des employés qui en parlent à leurs amis, etc.), ou de blogueurs experts dans le domaine, entachant encore plus l’image de l’entreprise qui a donc voulu au départ, taire l’affaire. Les blogueurs spécialisés dans le cyber sont à suivre avec attention, ils sont reconnus, peuvent avoir les informations les premiers et sont parfois même en contact direct avec les pirates. Dans le paysage cyber français, on pourrait parler de Zataz.
  • Emploi de mots susceptibles de minimiser l’importance de l’événement pour le client (dans l’hypothèse où l’entreprise communique) ; ainsi, on note souvent la répétition de vocables tels que « aucun », « simple incident », « n’a pas », comme si une attaque était négligeable. Dans le cas de Ramsay Générale de santé : « L’attaque handicape le travail mais n’a pas d’impact sur les patients ». Pourtant, si le travail des employés est perturbé, les patients peuvent être impactés d’une certaine manière, ou légitimement inquiets…
  • Généralement, quelques éléments chronologiques sont fournis, mais le manque de transparence, une communication prosaïque, sont manifestes ; et des questions demeurent, la durée de l’intrusion par exemple, le volume de données subtilisées, mais aussi le flou quant au rétablissement des services.
  • Facteur humain souvent sous-estimé. Les internautes aujourd’hui connaissent le risque majeur que présente le numérique. Il faut donc plus de résilience, plus de transparence. Une cyberattaque induit de multiples rebondissements délétères : des démissions, un mécontentement ressenti par plusieurs parties prenantes, des pertes de ressources humaines et financières.
  • Il est enfin fondamental de penser à l’interne. Vos employés sont inquiets, ils n’ont plus accès à leurs outils, ne savent peut-être pas s’ils vont être payés, s’ils vont devoir poser leurs congés etc. suivant l’ampleur de l’attaque.

Mais alors, quelles stratégies adopter ?

La stratégie à adopter est bien entendu différente selon les cas, mais que ce soit une atteinte à la réputation, une perte de confiance des clients, de ses employés etc. voici quelques recommandations à prendre en compte :

  • Ne pas se laisser aller au déni :

o             La crise va durer longtemps

o             Une gestion de crise opérationnelle ou technique, qui n’implique que l’IT n’est pas suffisante (rétablir les serveurs, récupérer les données, etc., constitue bien sur l’urgence, mais cela ne suffit pas)

o             Les attaques cyber occasionnent des crises multiformes (réputation, juridique (loi RGPD), RH, scandale de type compliance, etc.)

  • Prendre l’initiative de diffuser un communiqué rapidement :

si possible avant que des internautes, blogueurs ou journaux relayent l’information. Ce dernier doit être clair, résumant la situation avec le plus de transparence possible. Ne pas laisser le vide et la parole aux nombreux articles, aux interrogations, aux réactions.

  • Des updates sont toujours appréciables :

elles démontrent la volonté de l’entreprise de tenir au courant ses clients, ses actionnaires, des évolutions de la situation jusqu’au retour à la normale des systèmes, et de l’activité. Cette manœuvre permettra de maintenir un relationnel avec les différents acteurs, pour « occuper le terrain », et peut contribuer à entretenir la confiance qu’ils accordent à votre structure.

  • Cartographier ses parties prenantes et anticiper les risques potentiels !

o             En interne : penser que les employés se posent peut-être des questions sur les données volées (mes données personnelles sont-elles sauves ?). Penser également à les rassurer sur la question de la pérennité de l’entreprise et de leur place au sein de cette structure. Penser à l’anxiété que peut provoquer la perte des outils de travail (agenda, boites mails, etc.).

Ici, le cas de Saint-Gobain est intéressant. En juin 2017, la structure a subi une attaque par le groupe NotPeyta depuis une filiale en Ukraine. Des milliers de données ont été cryptées, les réseaux ont dû être suspendus, entraînant une perte de chiffre d’affaires de 220 millions d’euros. L’attitude du groupe en interne pour gérer cette crise doit être regardée de plus près. Le président s’est notamment attelé à rassurer ses collaborateurs et s’est montré très présent, en communiquant régulièrement sur la situation et sur la reprise de l’activité. Cet engagement a suscité un véritable team building, un engagement de la part des collaborateurs qui n’étaient pas habitué à cette communication. C’était également un moyen d’encadrer les informations – certifiées ou non – que pouvaient émettre les nombreuses parties prenantes internes. « «  je compte sur vous, il faut servir nos clients, je vous tiens au courant, faire attention à ne pas propager des rumeurs, etc, ne pas poster les écrans noirs. »

o             L’objectif : éviter les RPS, la fuite de talents, la démotivation, la perte de productivité…

o             En externe : penser aux clients, aux fournisseurs, aux sous-traitants et prestataires. Penser à leurs inquiétudes (ai-je été contaminé par le virus ? mes données ont-elles été volées ? comment vais-je être payé ? etc.)

o             L’objectif : ne pas s’aliéner de parties prenantes, ne pas perdre de clients ou de contrats, travailler sa social license to opperate.

  • Ne pas sous-estimer le facteur humain dans une crise :

remercier ses employés qui œuvrent pour le rétablissement de la situation et qui doivent gérer une situation anxiogène : faire face à une potentielle perte de confiance de la clientèle peut s’avérer compliqué. De même, il est très important de faire preuve d’empathie envers des clients qui se retrouvent lésés, notamment en cas de vol de données ; il faut rassurer, voire parfois présenter des excuses.

  • Penser aux canaux de communication disponibles :

o             l’intranet est-il vraiment consulté ? vos bases de données sont-elles à jour ?

o             les interlocuteurs habituels (RH, commerciaux, etc.) ont-ils été briefés pour aligner la communication ? ont-ils les ressources nécessaires pour faire face à l’afflux de questions ?

o             les employés peuvent-ils être les ambassadeurs de l’entreprise ? si oui, leur avez-vous fourni assez d’éléments ?

  • User de certains vocables avec prudence :

Une allégation telle que : « L’enquête est en cours et démontrera etc. » peut s’avérer gênante par la suite. Il arrive que l’enquête démontre justement que le groupe concerné par l’attaque ne prenait pas les mesures adéquates pour la protection de ses systèmes d’information.  Le mieux reste d’accompagner le texte d’une description des mesures prises avant pendant et après la crise. Si enfin vous pouvez vous livrer à la plus grande transparence, n’hésitez pas à communiquer ce que vous savez.

  • Penser au retour d’expérience :

Dans le cas de Saint Gobain, l’entreprise n’a pas hésité à revenir plusieurs fois sur cette attaque afin de montrer au grand public, aux clients, qu’elle en était sortie plus forte. Elle a notamment renforcé sa politique cyber défense pour réagir plus rapidement, détecter les failles en amont et identifier les risques, dans la plus grande résilience. Par ailleurs, elle organise régulièrement des tests pour sensibiliser l’ensemble des collaborateurs aux actes de cyber malveillance. Le directeur opérationnel du groupe, Claude Imauven, avait d’ailleurs déclaré  « L’attaque du mois de juin nous a permis d’avoir une vision de ce que cela peut nous coûter au maximum… » . D’où l’importance de se préparer à toutes les éventualités aujourd’hui et de revenir sur cette expérience.

De même, le cas d’Airbus est notable. Fin janvier 2019, la compagnie a été victime d’une cyberattaque massive. Le communiqué de presse était exhaustif sur la description de l’attaque, ce qui a été volé et divulgué. « Des données à caractère personnel ont été consultées (…) essentiellement des coordonnées professionnelles et des identifiants informatiques d’employés d’Airbus en Europe ». Si ces déclarations peuvent inquiéter  au premier abord, elles sont obligatoires, et peuvent donc aussi se révéler un moyen pour l’entreprise de démontrer toute sa transparence envers ses collaborateurs et clients. Le communiqué se termine par des mentions qui se veulent rassurantes pour tout le monde : « Aucun impact sur les activités commerciales ». Et l’évènement est qualifié « d’incident », on minimise donc son impact et on rappelle que ce n’est qu’un accident de parcours, ce qui ne devrait pas mettre en péril la confiance accordée à l’entreprise.

Sources :

•             https://www.lemonde.fr/emploi/article/2019/12/11/le-turnover-des-salaries-penalise-la-securite-informatique_6022404_1698637.html#xtor=AL-32280270

•             https://www.faceaurisque.com/2019/01/25/cybersecurite-barometre-2019-linquietant-constat-du-cesin-sur-les-cyberattaques/

•             https://www.fireeye.fr/current-threats/what-is-cyber-security.html

•             https://www.saint-gobain.com/sites/sgcom.master/files/03-07-2017_cp_va.pdf

•             https://www.ticsante.com/story/4735/le-groupe-ramsay-generale-de-sante-victime-d-une-cyberattaque.html

•             https://www.eurofins.com/mediacentre/safeharborstatement/?page=https://www.eurofins.com/media-centre/press-releases-2019/2019-06-03-8/

•             http://www.eclaireursdelacom.fr/la-reputation-des-entreprises-menacee-par-les-cyberattaques/

•             https://www.riskinsight-wavestone.com/2014/05/target-6-mois-tard-quel-retour-cyber-assurance/

•             https://www.usinenouvelle.com/editorial/chez-saint-gobain-il-y-un-avant-et-un-apres-la-cyber-attaque.N651134

LA COMMUNICATION DES CHIFFRES

Aujourd’hui, on constate l’omniprésence des chiffres et l’importance qui leur est accordée, et ce dans tous les domaines. Qu’ils soient sous forme de sondages, de statistiques, de « likes », de partages, de commentaires, de personnes ciblées, on remarque qu’ils sont utilisés pour donner de la valeur, du sens, voire pour convaincre un certain public.

Communiquer en s’appuyant sur les chiffres est une pratique répandue. Dans nos sociétés, ils ont un pouvoir d’influence particulièrement étonnant. Le professeur de Sciences politiques à l’IEP de Lyon, M. Paul Bacot énonce d’ailleurs dans ce cadre, le certain « prestige », que nous accordons aux chiffres, dans le sens où ils concèdent au locuteur, à la campagne, à un article, une image « de rigueur » et de véritable maîtrise du sujet. Lorsque nous accédons à des données chiffrées, qu’une information elle-même est appuyée par des chiffres, notre réaction consiste généralement en premier lieu à y adhérer. En effet, en recevant une information chiffrée, nous pouvons spontanément raisonner ainsi : Les chiffres sont issus de calculs, de faits objectifs, la marge d’erreur est relativement faible ; qui plus est, en présentant au public ces chiffres, l’auteur de l’exposé ne pourrait prendre le risque de tromper, ou de mentir.

Convaincre ou manipuler ? : Rester vigilant, face à l’utilisation des chiffres

Des chiffres mal sourcés, calculés ou sciemment orientés peuvent conduire à la désinformation voire à la manipulation. Le public en a conscience – l’expression populaire « On peut faire dire aux chiffres le tout et son contraire » en témoigne –, tout en leur accordant de manière spontanée beaucoup de crédibilité.

Si les chiffres ne sont pas indispensables pour appuyer un propos, il est préférable d’utiliser cet outil avec prudence. Les chiffres font appel à notre esprit rationnel ; peu de personnes par exemple sont tentées d’entrer dans un restaurant vide, et à l’inverse un même lieu particulièrement fréquenté inspire confiance et attire. La persuasion fait appel aux sentiments, à l’émotion, tandis que les chiffres font appel à la raison pour convaincre et viennent à l’appui du discours.

Les chiffres publiés peuvent être réels, arrangés, inventés, et en parallèle certains chiffres ne seront pas communiqués. L’intérêt d’une diffusion des chiffres est à débattre. Une petite entreprise n’est pas tenue de publier ses comptes annuels si ses résultats ne dépassent pas un certain seuil, elle s’affranchit ainsi de certaines démarches et évite de renseigner le public, ses clients et ses concurrents sur sa situation. Sans commentaires pour accompagner les chiffres, ceux-ci pourraient être sujet à interprétation et donner au lecteur une impression erronée, qu’elle soit positive ou négative.

À l’inverse, « trop de chiffres tuent les chiffres ! ».

Si les ignorer constitue une erreur, les mettre trop en valeur ou les utiliser en toute occasion constitue un danger car ils ne sont pas à l’abri d’une interprétation. Nous pouvons ici rappeler un exemple désastreux de communication basée sur les chiffres. Lorsque la société Uber admit la commission de 6 000 viols et agressions sexuelles en deux ans aux États-Unis, elle déclara :  

« Ces incidents ont été signalés sur 0,00002 % des courses. Bien que rares, ces signalements représentent tous un individu qui a partagé une expérience très douloureuse. Même un seul signalement serait un signalement de trop ».

Il est vital pour une entreprise de conserver un regard critique sur les chiffres, de les manier de façon pertinente et surtout de les communiquer convenablement. Il était ici mal venu d’évoquer un pourcentage réduisant les victimes au nombre 0,00002 %, qualifié immédiatement d’insignifiant par les récepteurs de l’information. La dernière phrase, pourtant empathique, ne sera pas prise en compte ; l’attention restera fixée sur le chiffre employé et l’argument qu’il sous-tend : Il y a peu d’agressions par rapport au nombre de courses. Les agressions existent pourtant bel et bien.

La communication par les nombres peut donc s’avérer contreproductive, démoralisante, voire brouillonne. Assurément, lorsqu’il y aura abondance de chiffres, le discours semblera flou et les chiffres les plus importants et les plus positifs seront « noyés dans la masse », éludés ou oubliés.

Le Data StoryTelling ou l’art de faire parler les chiffres : les bénéfices d’une communication par les chiffres maitrisée

Un chiffre ne peut constituer un message à lui seul, il doit s’accompagner d’un commentaire, d’une analyse. C’est pourquoi il est indispensable d’identifier le ou les messages qu’il véhiculera. Que ce soit pour évaluer une activité, une action, pour surveiller un point etc., le chiffre n’est là que pour appuyer.

Une communication efficace et maîtrisée basée sur cet outil permet de :

  • Gagner en crédibilité.
  • Susciter un intérêt particulier pour vos activités.
  • Se démarquer.
  • Valoriser votre image.
  • Donner plus de sens à vos propos et vos activités.
  • Stimuler la motivation de vos propres employés et ainsi augmenter leur performance.

Utiliser le story telling, c’est tout d’abord s’appuyer sur un contexte particulier, qui va expliquer un chiffre clé ou faire comprendre une tendance. Un chiffre ne doit jamais être présenté seul, sa portée aura ainsi plus de poids, à l’image par exemple de la campagne d’affichage de la fondation Abbé-pierre :

Afin de capter l’attention des récepteurs de ces chiffres, il convient d’éviter le Data puking et de privilégier des chiffres clés et pertinents. Il est nécessaire quand c’est possible, de se concentrer sur les ordres de grandeur plutôt que sur des chiffres exacts que l’esprit assimilera moins aisément.

En dernier lieu, savoir communiquer, c’est aussi avoir la capacité de se mettre à la place de son « auditoire » en se posant les bonnes questions : Que va-t-il faire des résultats publiés ? Les données chiffrées vont-elles lui inspirer confiance, une prise de décision, une opinion différente ?

Nous pouvons terminer cette analyse par une citation de Kilian Bazin co-fondateur de Toucan Toco : « Le datastorytelling est dans l’entreprise ce que le data journalisme est dans la vie publique, c’est-à-dire la démocratisation de l’accès à l’information, en racontant des histoires, avec les chiffres ».