Accidents

Des millions de data parties en fumée : comment OVHcloud a t-il géré cette crise ?

©Twitter

Chronologie :

À Strasbourg, dans la nuit du 9 au 10 mars 2021, un incendie détruit le datacenter SBG2 et endommage le datacenter SBG1 du site d’OVHcloud. Le leader européen du cloud subi alors la plus importante catastrophe industrielle de son histoire et l’ensemble du site est mis hors tension.

Le 10 mars, entre 14000 et 16000 entreprises clientes d’OVHcloud découvrent que leurs sites web, applications et services SI ne sont plus disponibles. Les clients prennent contact avec le service support d’OVHcloud, remis en ligne le 11 mars à 1h22 du matin.

Le 11 mars, OVHcloud recommande à ses clients d’activer leur disaster recovery plan (Plan de Reprise d’Activité) dans une annonce sur sa page support. Le datacenter SBG2, hébergeant des serveurs et des back-ups, est complétement détruit par l’incendie et les données sont perdues. Certaines entreprises clientes déplorent donc une perte irrémédiable de leurs données. OVHcloud engage un suivi de situation sur les réseaux sociaux dans la journée. Ces annonces créent un vent de panique auprès des parties prenantes de l’entreprise.

Le 17 mars OVHcloud relance progressivement les datacenters SBG3 et SBG4 et fournit à ses clients une console de suivi de situation en temps réel.

Le 22 mars, la CNIL publie sur son site internet un document « Incendie OVH : faut-il notifier à la CNIL ? ». Ce document rappelle que les entreprises ont pour obligation de notifier la CNIL pour toutes indisponibilités et, ou pertes de données personnels et professionnelles. La CNIL annonce également que les entreprises impactées doivent en informer leurs clients. L’effet domino est officiel.

Entre le 11 mars et le 31 mars, OVH publie une note d’information sur son site de support et communique quotidiennement les réseaux sociaux.

Le 06 avril, des serveurs de substitutions sur d’autres sites sont proposés à tous les clients.

Contexte :

Évènement localisé à impact global, cet incident a eu des conséquences directes sur la gestion des risques dans les entreprises et les relations entre les parties prenantes. OVHcloud est au milieu d’une crise réputationnelle et stratégique en termes de gestion de ses parties prenantes.

L’incendie touche plus de 14000 entreprises françaises et mis hors ligne plus de 3,6 millions de sites internet en Europe. Cet incident soulève des enjeux réputationnels, juridiques, business, financiers et sociaux. En effet, d’une part OVHcloud se doit de conserver la confiance de ses parties prenantes et de sauvegarder sa crédibilité comme leader européen du cloud computing. D’autre part, pour ses clients, leurs enjeux sont d’assurer un plan de reprise ou de continuité d’activité et de faire état d’une indisponibilité ou d’une perte de données et donc d’en informer eux-mêmes leurs parties prenantes.

La communication de crise d’OVHcloud :

OVHcloud publie le 11 mars 2020 à 11h un communiqué sur les conséquences de l’incendie sur sa page support.

Ce communiqué enclenche la communication de crise de l’entreprise. OVHcloud doit faire preuve de rationalité, d’empathie, de disponibilité et de transparence dans sa stratégie de communication. Dans ces communiqués, on retrouve les critères d’empathie avec « nous savons l’importance cruciale que cela revêt pour eux (les clients) » ; de rationalité de l’information avec une chronologie chiffrée (date, heure, nombre d’acteurs…) ; ou encore de disponibilité avec la volonté d’informer avec « la plus grande transparence sur ses causes et ses impacts. » Dès lors, OVHcloud publie un communiqué complet à une fréquence quotidienne (tous les après-midis entre le 11 et le 31 mars) sur le suivi de la situation et des mesures prises pour ses clients.

Le 11 mars à 16h40, Octave Klaba (fondateur d’OVH) prend la parole dans une vidéo de 8 minutes publiée sur son compte LinkedIn et Twitter. Le fondateur d’OVHcloud utilise ce format deux autres fois au cours du mois de mars (le 16 mars à 20:30 et le 22 mars à 18:00). Ces vidéos permettent de communiquer rapidement de l’information et « d’humaniser » la situation.

L’entreprise ne se pose pas en victime de la situation et expose clairement sa volonté de coopérer avec ses parties prenantes. À titre d’exemples, l’offre de 6 mois de gratuité des services OVH aux entreprises impactées est une action concrète envers les parties prenantes. Il y a également l’annonce du partage des résultats des recherches en « gestion des risques d’incendie dans un datacenter » avec un maximum d’entreprises pour éviter de futurs incidents.

Au 16/04/2021 lors de la rédaction de cet article, soit 43 jours après l’incendie, la stratégie de communication se veut « omnicanal » et l’entreprise utilise des FAQ (FR, EN), ses sites de supports « travaux », le compte Twitter et LinkedIn d’Octave Klaba et d’OVHcloud et la plateforme communautaire OVHcloud Community (FR, EN).

Aussi, la principale contrainte est l’étendue des parties prenantes. OVHcloud est présent dans 19 pays et fournit 1,5 millions TPE, PME, ETI tels que les 155 des 1000 plus grands groupes européens. La gestion de la relation des parties prenantes et la stratégie d’alliés d’OVHcloud est complexe, car elles impliquent de prendre en considération une multitude de problèmes et d’attentes. Chaque entreprise définit une stratégie SI en fonction de l’impact de la donnée sur son business model et cette diversité rend la communication de crise plus difficile et moins sur mesure. L’étude de Saper Vedere illustre cette complexité. L’étude présente que chaque partie prenante a ses propres attentes en matière de réponse à la situation. Les résultats montrent que la communication de crise incarnée par son CEO permet de conserver la confiance des parties prenantes et ne crée de « paracrise mobilisant les équipes et les ressources [de l’entreprise] sur autre chose que le rétablissement de son activité ».

La stratégie de communication de crise d’OVHcloud a néanmoins quelques points d’améliorations sur le ciblage et sur la gestion de la marque-employeur. D’une part, bien que la communication touche un maximum de parties prenantes, OVHcloud publie un contenu technique utile pour les DSI et experts métiers mais opaques pour les néophytes et les organisations sans expertise dans les systèmes d’information. L’engagement de transparence et l’étendue des parties prenantes déséquilibrent le ciblage de la communication et on ne comprend pas quelles sont les parties prenantes ciblées. Par exemple, les informations techniques sous forme de schémas techniques, de photos et de graphes semblent être destinés à un public technique. Par ailleurs, il n’y a pas d’information sur la gestion de la crise par les employés, comme par exemple la gestion du stress et la nouvelle organisation de crise.

La gestion des rumeurs

Le management d’OVHcloud n’hésite pas à démentir les informations fausses publiées par les internautes. Premier exemple, Jean-Michel Blanquer (ministre de l’éducation nationale) accuse OVHcloud d’être à l’origine des dysfonctionnements de la plateforme de cours à distance ENT. C’est le P-DG d’OVHcloud, Michel Paulin, qui dément immédiatement cette information dans un tweet. La prise de position d’un personnage public comme le Ministre de l’Éducation nationale a un impact fort pour l’entreprise française habituée à être soutenue par le gouvernement. En effet, en octobre 2019 le ministre de l’économie et des finances Bruno Le Maire avait demandé à Dassault Systèmes et OVH de travailler sur la mise en place d’un « cloud de confiance » à l’échelle française et européenne pour contourner le Cloud Act américain. OVH avait répondu favorablement à la demande du gouvernement et souhaitait se positionner comme la solution de cloud computing de référence française. La réputation de l’entreprise est donc mise à mal avec cette accusation et la rectification immédiate à cette fausse information permet de conserver la crédibilité d’OVHcloud dans la sphère numérique française.

Deuxième exemple, la rumeur sur le classement Seveso du site de Strasbourg due à une erreur d’information dans un tweet des Pompiers de France. Une information immédiatement rectifiée sur la page support d’OVHcloud avec une main courante. L’information a ensuite été corrigée par les Pompiers de France.

La gestion de crise chez les clients d’OVHcloud

L’incident technique du 10 mars est à l’origine d’un effet domino sur le plan commercial et technique et pour l’ensemble du numérique français et européen.

D’abord, les clients critique le manque de professionnalisme de la part d’OVHcloud. En effet, le service payant et premium de Private Cloud permettant de réaliser des sauvegardes se trouvaient dans le datacenter détruit par l’incendie. Les private cloud détruits représentent 20% des sauvegardes. OVHcloud réagit immédiatement en suspendant les facturations et en proposant des infrastructures alternatives gratuitement à tous les clients impactés. Dans le même temps, les concurrents d’OVHcloud profitent de la situation pour critiquer ce choix sur les réseaux sociaux et attirer les clients mécontents et sans solution.

Le système anti-incendie est aussi critiqué sur les réseaux sociaux. Les datadenters n’étaient pas munis de réseaux anti-incendie à l’instar des infrastructures concurrentes. La question du positionnement de marché low-cost des services OVH est donc critiquée par les médias et les internautes.

La mise hors ligne de sites internet a également un impact potentiel sur le référencement des sites dans les pages de résultats des moteurs de recherche et sur l’expérience utilisateur. Aussi, pour les entreprises dotées d’une sauvegarde locale, celles-ci ont mis en ligne des sites non à jour présentant aux clients des informations obsolètes et créant une expérience utilisateur non optimale. Selon des experts en SEO, pour pallier cette problématique les entreprises devront augmenter la fréquence de leur communication sur les réseaux sociaux et investir dans les services de régie publicitaire pour améliorer le référencement de leur site.

Les leçons tirées de la gestion de crise d’OVHcloud

L’incident du datacenter d’OVHcloud est un bel exemple où la maitrise technique d’une crise doit se coupler à la maitrise de la communication de crise. Une gestion technique d’une crise ne suffit pas pour sortir l’entreprise de l’épreuve sans ruiner sa crédibilité et l’ensemble des efforts et des ressources investis. OVHcloud a su montrer sa maitriser technique de l’incident grâce à son expertise et sa réputation dans l’univers du numérique. Aussi, contrairement aux multiples erreurs de Lubrizol, l’entreprise a adopté une position transparente, responsable et empathique vis-à-vis de ses parties prenantes. OVHcloud reste actif et communique lorsque ses parties prenantes l’écoutent. Cette maitrise de la communication de crise réduit les effets secondaires comme des para-crises et des sur-crises. En somme, le rôle de la communication de crise permet protéger la réputation de l’entreprise et conserver la confiance des parties prenantes, surtout avant une entrée en bourse pour OVHcloud.

Enguerrand JOURDIER

Les sociétés humaines et la gestion des risques industriels : d’AZF à Lubrizol

En 2001, à Toulouse, l’usine AZF explose. Vingt-deux employés sont tués, ainsi que huit personnes se trouvant aux abords de l’usine. Le nombre des blessés s’élève à 2 450.

L’histoire des catastrophes industrielles ne commence pas avec AZF et nous gardons tous en mémoire celles de Seveso, Tchernobyl et tant d’autres.

Pourtant, c’est AZF qui se rappelle à nous, quelques semaines après l’incendie des usines Lubrizol et Normandie Logistique. Les similitudes, troublantes, nous poussent à nous demander si nous avons été capables d’apprendre collectivement de nos erreurs pour éviter qu’elles ne se reproduisent.

Pour Lubrizol comme pour AZF, en découvrant les images dans les médias, nous nous sommes trouvés comme étonnés de voir, si près de ces sites, des habitations, des jardins comme autant de preuve de l’activité humaine aux portes du danger.

Ces deux sites ont pourtant été construits à l’écart des villes, assez proche pour que les habitants puissent y travailler et assez loin pour ne pas les mettre en danger. L’urbanisation croissante des deux métropoles, Toulouse et Rouen, ont poussé les habitants à s’installer de plus en plus près des usines, jusqu’à construire leurs maisons sous l’ombre de celles-ci. La transformation de friches d’industrie en équipements collectifs est venue combler ce maillage urbain. La coexistence entre lieux de vie et lieux industriels va-t-elle ou doit-elle être remise en cause ? Ou est-ce à la gestion du risque de s’adapter aux nouveaux modes de vie ? Les premières catastrophes environnementales et industrielles, dans les années 1960-1970, marquent l’émergence d’une « société du risque », soit la volonté de réglementer pour limiter les impacts du risque industriel. C’est à ce moment que s’établissent des bases saines de bonnes pratiques, d’inspections indépendantes, de plans d’urgences. Chaque catastrophe apporte avec elle son lot de réformes, de « plus jamais » et de lois aux noms douloureux (directive Seveso en 1976, loi dite AZF en 2003…). Il est temps de prévoir la crise de demain et non plus de pallier, trop tard, les manques d’hier.

Ces avancées ont bien sûr évité le pire à Lubrizol, fiché Seveso, qui a donc dû, comme tous ces sites, travailler son Plan de Prévention des Risques Technologiques. L’incendie y est clairement identifié comme un risque possible. Ce risque était divisé en 3 scénarios : le premier scénario prévoit un feu extérieur aux entrepôts A4 et A5, les deux autres des feux intérieurs aux entrepôts A4 ou A5. Le 26 septembre les trois scenarios se sont déroulés en même temps et, rapidement, l’eau vient à manquer. Lorsque le feu atteint le hangar 5, les réserves d’eau des sprinklers étaient épuisées.

Des accidents peu probables, mais aux impacts catastrophiques, doivent être pris en compte. L’effectivité de la sécurité, c’est-à-dire son application réelle, en action, doit être travaillée. Le passage entre une sécurité théorique et une sécurité pratique se fait par l’entrainement, la formation et l’information.

Que dire alors de la vague de simplification qui a lieu dans les années 2017-2018 ? Les installations ne sont plus systématiquement astreintes à une étude d’impact, le nombre d’inspection chute, passant de 30 000 en 2006 à 18 196 en 2018. La Loi Essoc, « pour un État au service d’une société de confiance », de 2018, statue qu’un exploitant peut désormais modifier son établissement sans passer par une autorité indépendante. Entre 2016 et 2018, le nombre des accidents industriels augmente de 34%[1].

Pour le cas de Lubrizol, cela donne lieu à un savant mélange de plan lacunaire et de réglementations non respectées : des stockages extérieurs sans systèmes de détection incendie, un mauvais confinement des eaux d’extinctions, des incohérences dans l’inventaire du stock, et autant de manquements qui étaient connus des autorités avant l’incendie. A été annoncé, trop tard puisque post-catastrophe, que Lubrizol et Normandie Logistique avaient un mois pour se conformer aux règles de sécurité, sous peine de poursuites devant le tribunal administratif de Rouen.

Comment expliquer également le retard dangereux de la France en matière de système d’alerte à la population ?

En Belgique et aux Royaume-Uni, une alerte à la population multicanaux est déjà mise en place. Elle associe le porte-à-porte, les haut-parleurs et systèmes d’alerte que nous connaissons, les médias traditionnels, les médias sociaux et le cell broadcasting. Le préfet est revenu sur ce retard français : «Il faut que nous arrivions maintenant (…) à toucher l’usager chez lui. (…) Le ministère de l’Intérieur (…) va nous imposer un système de diffusion par les pylônes téléphoniques d’envoi de messages personnalisés sur tous les téléphones portables », système qui était déjà mis en place au Petit-Quevilly, où les habitants ont été alertés par sms à 6h11, mais pas à l’échelle de la région.

En Belgique
Au Royaume-Uni

Dix-huit ans après AZF, qu’en est-il de la communication de crise ?

En 2001, Total a appris des erreurs commises lors du naufrage de l’Erika, et change sa stratégie de communication : empathie, aide aux victimes, aux secours et aux employés, transparence, aucune volonté affichée de se défausser… Les employés du groupe vont même sur place pour manifester leur soutien à l’entreprise.

Lubrizol de son côté semble avoir peu appris : stratégie du bouc émissaire, mauvaise communication en interne, pas d’empathie, bunkerisation

D’AZF à Lubrizol, nous pouvons désormais poser le constat selon lequel les avancées en matière de gestion de crise ne suivent pas une ligne droite. Il est temps de repenser collectivement à la gestion de crise pour se rapprocher un peu plus sûrement de ce qu’Ulrich Beck qualifiait de « promesse démesurée », celle d’un État qui veut éradiquer le risque.


[1] selon le Bureau des risques et pollutions industriels (Barpi), rattaché au ministère de la Transition écologique

Lubrizol : quand la communication éclipse la bonne gestion opérationnelle de la crise

Le 26 septembre, à 2h48, un incendie se déclare dans l’usine Lubrizol, située en marge de l’agglomération rouennaise. Plus que des explosions qui s’en suivent et que des panaches de fumées noire, c’est d’une incertitude qui dure, d’une peur grandissante et de la colère des habitants dont l’on se souviendra.

Comme pour tous les sites classés Seveso seuil haut, un plan particulier d’intervention est prévu, que le préfet de Seine Maritime déclenche à 6h46. Pourtant, on peut s’interroger sur les raisons qui poussèrent le préfet à prendre certaines décisions. Le signal d’alarme à la population n’est déclenché qu’à 7h45, soit cinq heures après le début de l’incendie. A ce sujet, le préfet déclare que réveiller la population qui était « largement endormie » et « de facto en confinement », aurait nuit au bon déroulement des opérations, et aurait ralenti les pompiers occupés à éteindre le feu. Au déclenchement de l’alarme, la population, qui n’est pas formée à reconnaitre les différents signaux (confinement, évacuation…), semble alors découvrir qu’elle vit à proximité de ce site classé Seveso.

Paris Normandie
READ MORE

Incendie du Grande America : une gestion de crise unique, racontée par le préfet maritime de l’atlantique Jean-Louis Lozier

C’est à la Préfecture Maritime Atlantique, au magnifique au château de Brest, qu’Emmanuelle Hervé – Capitaine de Corvette (RC) – a eu la chance d’interviewer le vice-amiral d’escadre et préfet maritime de l’Atlantique Jean-Louis Lozier – au sujet de l’incendie du Grande America.

Retour sur une gestion de crise aux leçons édifiantes.

Propos récoltés par Emmanuelle Hervé et mis en forme par Victorien Fritz.

READ MORE

Retour sur la rue de Trévise

En résumé…

L’explosion de gaz du 12 janvier 2019 à Paris constitue un cas typique de gestion de crise accidentelle. Si les moyens engagés ont été à la hauteur de la gravité de la situation, la caractérisation et la prise en charge des victimes peuvent encore être perfectionnée. L’enquête qui débute apportera sans aucun doute d’autres enseignements.

Crédits : Carl Labrosse, AFP
READ MORE

German Wings

6351426-3x2-340x227

En matière de communication de crise, les accidents aériens sont un domaine où les erreurs sont scrutées à la loupe et ne pardonnent pas.

READ MORE