Crise Tag

  • Sort Blog:
  • All
  • Articles
  • Edito
  • L'oeil de l'expert
  • Le saviez-vous ?
  • Nos actus
  • Nos analyses

Cyberattaques, l’Italie renforce sa cyberdéfense

En Italie, l’heure de la cyber contre-attaque est arrivée. Suite à une augmentation de 246% l’année dernière le gouvernement Italien décide de muscler ses mesures pour protéger les intérêts nationaux de son écosystème numérique. Tour d’horizon des mesures italiennes, françaises et européennes pour faire face à la recrudescence de cyberattaques.

Italie :

2021, une année de rupture pour l’Italie

Ces dernières semaines, l’Italie a été confrontée à une recrudescence des cyberattaques, touchant aussi bien des entreprises que des institutions.

En mai, les hôpitaux de Rome et de Milan ont été attaqués. Le 3 août, tout le système informatique de la région du Latium, où se trouve Rome, a été piraté par un rançongiciel. De nombreux services ont été impactés comme celui des services délivrant le pass sanitaire, mais le plus important est celui en charge de la prise de rendez-vous pour la vaccination contre le Covid. Le 18 août 2021, c’est l’agence de santé de Toscane qui a été attaquée à son tour.

 

Le secteur de l’enseignement et de la recherche est aussi une cible privilégiée. En effet, l’entreprise israélienne de cybersécurité Check Point Software Technologies nous apprend qu’en juillet l’Italie a connu 5016 attaques hebdomadaires, derrière l’Inde mais devant Israël. L’attrait pour le secteur de l’enseignement est dû au fait qu’il est traditionnellement dépourvu de budgets en matière de cybersécurité.                                Check Point Software, a annoncé en août qu’au premier semestre 2021 le nombre de cyberattaques en Europe a augmenté de 36%. Et le nombre d’attaques au rançongiciel a augmenté de 93%.

Le secteur public n’est pas le seul visé. Ces derniers mois, plusieurs entreprises italiennes ont été victimes de hackers, notamment dans les secteurs du textile, de la mécanique de précision, de l’agroalimentaire ou encore des assurances. L’an dernier, de grandes entreprises transalpines telles que Campari, Enel ou encore Luxottica avaient été visées. Selon le dernier rapport IBM, le coût moyen d’une cyberattaque pour les entreprises italiennes a augmenté de 13,5 %, passant de 3,19 à 3,61 millions de dollars. Globalement, le coût annuel des cyberattaques s’élève à 7 milliards d’euros pour les entreprises de la Botte.

2021 : L’année du changement de politique cyber de l’Italie

De nombreuses prises de paroles dans les médias ont marquées ce changement de politique. L’une des premières est celle de Mario Draghi, lors d’un sommet spécial à Bruxelles en mai.  A cette occasion, il avait souligné la nécessité de renforcer la cybersécurité aux niveaux européen et national, en particulier face à la Russie. Sa décision est motivée par le besoin de renforcer la cybersécurité nationale et européenne, face à la résurgence d’interférence géopolitique. Il dénonçait alors l’espionnage et la manipulation du web par la Russie. Cette sortie concernant la Russie faisait suite à une attaque au rançongiciel par des russes qui a forcé la fermeture d’un des plus grands oléoduc des États-Unis.

Au niveau national, le Ministre pour l’Innovation technologique et la Transition numérique, Vittorio Colao, a déclaré en juillet que plus de 90% des serveurs de l’administration italienne ne sont pas sécurisés. Pour le directeur de l’association italienne pour les infrastructures critiques, il s’agit surtout d’un problème budgétaire, en effet l’administration italienne dispose de nombreux outils et infrastructures numériques dépassés.

A la mi-juin, le ministre Colao a déclaré la nécessité de se doter en urgence d’un «bouclier anti-hacker ». En effet, toujours selon le ministre de l’Innovation technologique, « 95 % des 11.000 serveurs de l’administration sont obsolètes, tandis que 84 % des 4,5 millions de PME-PMI ne pourraient pas faire face à une cyberattaque». C’est ainsi qu’a été annoncé le lancement d’un Pôle stratégique national pour le rendre effectif d’ici à mi-2022. L’objectif sera d’assurer l’offre de cloud de l’Administration publique ainsi que les données les plus sensibles de 180 organismes publics.

Création de l’ANSSI à l’Italienne

La création d’une agence gouvernementale spécialisée en cybersécurité devenait critique. Ainsi, le 10 juin 2021, le Conseil des ministres Italien a annoncé la création de l’Agence nationale de cybersécurité (ACN) pour lutter contre la multiplication des attaques informatiques et être en mesure de faire face à des cyberattaques étrangères, notamment russe. Cette agence aura différentes missions comme : la protection des intérêts nationaux et la résilience des services et fonctions essentielles de l’État face aux menaces cyber, l’accroissement de la sécurité des systèmes d’information et de communication , et le développement de compétences industrielles, technologiques et scientifiques dans le domaine de la cybersécurité. Avant la création de cette agence, en Italie de nombreux services de cybersécurité coexistaient et étaient placés sous différentes autorités, soit du président du Conseil, soit du Premier ministre. Fusionner ces services va permettre d’accroître l’efficacité de la réponse cyber italienne.

Aujourd’hui, sous l’autorité du Premier ministre, l’ACN dispose pour le moment de 300 employés. Au cours de la période 2021-2027, elle disposera d’un budget de 529 millions d’euros et vise l’embauche de 1 000 professionnels de la cybersécurité sur la période.

France :

Que s’est-il passé en France ces derniers mois, y-a-t-il une différence ?

La France aussi est touchée par de nombreuses cyberattaques.                                                                            France Visa                                                                                                                                                                       L’une des dernières est celle du 10 août, concernant la plateforme France-visa, dédiée aux étrangers demandant un visa pour la France. Ainsi les données personnelles (emails, noms, prénoms, numéro de passeport, date de naissance, nationalité) de 8700 personnes, ont pu être dérobées. Le site reçoit plus de 1,5 million de demandes de visas en moyenne par mois, selon la Cnil. L’attaque informatique a pu être « rapidement maîtrisée », assure le ministère, qui explique avoir pris des mesures conjointement avec le ministère de l’Europe et des Affaires étrangères « pour sécuriser la plateforme » et éviter que « des événements de ce type se reproduisent ».

APHP

 

La dernière fuite de cybersécurité majeure a été révélée le 15 septembre 2021. On a alors appris que l’Assistance Publique-Hôpitaux de Paris (AP-HP) a été victime d’une cyberattaque de grande ampleur à l’été 2020. Les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Île-de-France ont été retrouvées sur un serveur en Nouvelle-Zélande, sans savoir si et combien de personnes ont pu y avoir accès. Les données volées sont sensibles et précieuses pour les hackers, ces derniers ayant obtenus l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, ainsi que l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. L’institution reconnaît que « le vol pourrait être lié à une récente faille de sécurité de l’outil numérique » qu’elle utilise pour le partage de fichiers, selon les premières investigations. Finalement, un étudiant français de 22 ans a reconnu être l’auteur du vol massif de données après son interpellation dans le Var par la police.  Anti-passe sanitaire, il déclare avoir agi pour « mettre un coup de pied dans le système ».

Plus récemment, en août, le centre hospitalier de Arles a été victime d’un rançongiciel. Les professionnels de santé ont perdu l’accès aux antécédents des patients et le logiciel des ressources humaines, utilisé notamment pour la paie. En février 2021, le secrétaire d’Etat chargé du numérique, Cédric O a déclaré qu’une cyberattaque contre des hôpitaux a lieu chaque semaine depuis janvier.

Les plans du gouvernement français pour renforcer la cybersécurité

En 2017, le gouvernement d’Édouard Philippe a lancé le programme Action Publique 2022. Ce programme vise à repenser le modèle de l’action publique au regard de la révolution numérique qui redéfinit les contours de la société française. A ce titre, il décide de lancer le site cybermalveillance.gouv en 2017, le but étant d’aider les petites entreprises victimes d’actes de cyber malveillance car l’ANSSI s’occupe principalement des grandes entreprises, des institutions et des établissements de santé. Restreint à son lancement au Nord de la France, le site est déployé au niveau national. Le site permet, outre l’accès rapide à des informations simples pour particuliers et entreprises, la mise en relation des visiteurs-victimes avec un spécialiste en cybersécurité de la région où l’on se trouve. L’un des espoirs du gouvernement est de participer au développement d’un tissu industriel français et européen de confiance.

Avec le plan de relance le gouvernement a décidé de délivrer un plan de dotation envers le milieu de la cybersécurité. Ce dernier est composé de plusieurs volets : recherche et développement, renforcement de la filière, soutien à la demande.                                                                                                                                             En matière de R&D, 500 millions d’euros seront consacrés à financer une offre technologique de pointe dans le secteur de la sécurité. L’objectif pour l’Élysée est de favoriser le développement d’une filière cybersécurité française et de viser un chiffre d’affaires global de la filière à 25 milliards d’euros en 2025 et doubler le nombre d’emplois de la filière.  Sur le renforcement de la filière, 148 millions d’euros vont servir à financer le projet de campus cyber. Sur le soutien à la demande, 136 millions d’euros seront alloués à l’ANSSI au travers du plan de relance. Avec l’augmentation de son budget, l’Agence va aider les collectivités à auditer leur sécurité informatique et opérer une mise à niveau de ce dernier.

Dans son rapport 2021, l’ANSSI nous éclaire sur les évolutions des cyberattaques en France. Ainsi, par rapport à 2019, il y a eu deux fois plus d’attaques en 2020, tandis que l’utilisation des rançongiciels a été multipliée par quatre. Un quart des entreprises font le mauvais choix de payer la rançon de 130 000 euros en moyenne. Les principales cibles sont les collectivités territoriales, les établissements de santé et les entreprises industrielles.

Réaction de l’ANSSI et de Guillaume Poupard à l’occasion du FIC 2021

 

Lors du Forum International de la Cybersécurité (FIC) 2021, Guillaume Poupard, le directeur de l’ANSSI a abordé le rôle de l’ANSSI et de la France dans la présidence du Conseil de l’Union européenne en 2022. Il a annoncé l’espoir de bâtir un vrai cloud souverain, le but étant d’échapper aux règles extraterritoriales des pays tiers, notamment les États-Unis et le Cloud Act. Pour G. Poupard, les services tels que les soins de santé et les services financiers devraient seulement être soumis au droit européen. Dans cet esprit, il a déclaré travailler avec Olivier Véran pour rapatrier le Heath Data Hub (HDH) sur des plateformes françaises ou européennes, suite à l’annulation du Privacy Shield en juillet 2020.

En effet, en vertu d’une loi américaine connue sous le nom de CLOUD Act, les entreprises américaines sont tenues de fournir des données étrangères aux autorités américaines si elles le leur demandent. La volonté de M. Poupard est d’exclure les services américains et chinois de cloud dans les secteurs critiques en Europe.

La vision de M. Poupard sur la cybersécurité du cloud européen « sera un véritable test, un véritable objectif pour la volonté politique de parvenir à une autonomie stratégique dans le domaine numérique ».

Plan de relance pour la cybersécurité

La volonté d’une “autonomie stratégique” européenne passe par le fait de devenir moins dépendants des services en nuage américains. L’’idée que l’Europe doit garder le contrôle de la politique technologique est dûe à la crainte de l’espionnage et de la surveillance des États-Unis.

En matière de cybersécurité, l’Italie a pour habitude de suivre les directives et recommandations de l’UE et de l’Otan pour sa cybersécurité. De plus, dans le cadre du plan de relance européen, avec son Plan National de Rétablissement et de Résilience, l’Italie compte investir largement dans sa cybersécurité. Ainsi, sur une enveloppe de 261 milliards d’euros, la numérisation, l’innovation et la sécurité de l’administration publique se verront allouées 11,15 Mds d’euros. L’achat de matériel et de logiciels plus récents et plus performants contribuera à contrecarrer les plans des cyber attaquants.

Pour la France, l’année 2022 sera cruciale à l’échelon européen. En effet, elle sera à la présidence de l’Union européenne et compte agir pour améliorer la coordination européenne en matière de cybersécurité, notamment en organisant une conférence sur la défense en début d’année, puis en travaillant sur une évolution de la directive Network Information System (NIS). La France veut aller plus loin sur ce paquet cyber qui assure un niveau de sécurité commun pour les réseaux et les systèmes d’information de l’Union européenne.

La volonté de protéger le cyberespace français est aussi dans l’agenda de la présidente de la Commission européenne. Lors de son discours sur l’état de l’Union, elle a déclaré le numérique comme un enjeu décisif du marché unique. A ce titre, 20% du plan de relance européen concerne le numérique, dans le but d’investir dans la souveraineté technologique européenne. Il s’agit d’une énième tentative de l’Union européenne pour faire émerger des concurrents aux GAFAM américains et aux BATHX chinois. Pour le moment, le seul levier d’influence de l’Europe est l’action législative, avec l’application extraterritoriale du RGPD depuis 2018. En ce sens, les débats en cours autour du Digital Services Act (DSA) et du Digital Markets Act (DMA) ont pour but d’étendre la régulation des plateformes comme les GAFAM.

 

La main courante : un outil essentiel au bon fonctionnement de la cellule de crise ?

La main courante est un document essentiel qui permet d’enregistrer toutes les informations de la cellule de crise. La main-courante peut être sous format papier ou numérique. Si, elle est numérique, il faudrait, dans la mesure du possible, que la cellule de crise l’ait en permanence sous les yeux. Ce document est rédigé par l’historien, garant de la bonne prise des informations.

On y trouve les informations entrantes (à vérifier, en cours de vérification, vérifiées). Il est essentiel d’effectuer une vérification systématique des informations entrantes en cellule de crise afin de pouvoir prendre les meilleures décisions face à l’événement.

La main courante enregistre aussi les décisions prises et les actions en cours et effectuées.

Une pièce à conviction

 Ce document est une pièce à conviction en cas de procès. Elle permet de justifier les décisions prises compte tenu des informations à disposition de la cellule de crise. C’est pourquoi elle doit toujours être vérifiée par le responsable juridique de la cellule de crise.

Un outil d’information central

 La main courante est également essentielle à la bonne transmission de l’information entre les membres de la cellule de crise et lors des changements d’équipe. Parce qu’elle est consultable par l’ensemble des membres de la cellule de crise, elle permet d’éviter l’asymétrie d’information entre plusieurs membres et ainsi de gagner un temps précieux dans le cadre d’une crise. Faire preuve de rigueur dans la mise à jour régulière de la main-courante est un gage de réussite dans le déroulé de la gestion de crise.

Une aide aux points fixes

 La main courante est également essentielle à la préparation des points fixes.

Les points fixes doivent avoir lieu de manière régulière. Ils sont animés par le coordinateur de la cellule de crise. L’objectif est de faire un point de la situation en 5 minutes. Le point sert à :

  • Informer les membres de la cellule sur le statut et l’impact de l’incident ;
  • Aligner les informations ;
  • Réévaluer l’impact de l’incident en fonction des informations ;
  • Passer en revue les objectifs ;
  • Vérifier que les actions sont en cours de réalisation ;
  • Ajouter et assigner de nouvelles tâches
  • Réfléchir sur les nouveaux enjeux ;
  • Faire un point sur l’état d’esprit et la fatigue des membres de la cellule.

 Notre outils adapté à votre organisation : HOLIS

Les cellules de crises peuvent être hybride en raison de la présence des collaborateurs sur plusieurs sites, des obligations de télétravail etc. Ainsi, afin de pallier ces contraintes, le cabinet utilise l’application HOLIS. Cette plateforme est une main-courante numérique, accessible par tous, partout. Les membres de la cellule de crise doivent y noter les informations entrantes, les décisions prises et les tâches à réaliser. Les membres sont instantanément notifiés par SMS ou par courriel, ce qui permet une grande réactivité des équipes, surtout en cas de sur-crise.

Comment les entreprises doivent penser la responsabilité géopolitique ? Notre entretien avec Nathalie Belhoste

 

Qui êtes vous Nathalie Belhoste?

J’enseigne la géopolitique à Grenoble École de Management depuis 7 ans. J’ai une double formation en science politique, avec une thèse en sciences politiques à l’Institut d’études politiques de Paris ainsi qu’une formation à l’EM Lyon. Je travaille depuis plusieurs années sur la Responsabilité Géopolitique des Entreprises, notamment sur les entreprises en zone de conflits.

Quel constat vous a motivé à travailler sur la responsabilité des entreprises ?

C’est la conjonction de ma double formation et l’arrivée de la question géopolitique dans les écoles de commerce qui fait que je me suis posée des questions.

En ayant fait ma thèse sur les relations franco-indiennes, j’ai vécu en Inde quelques années. J’y ai compris le manque de connaissance du pays par les entreprises qui y ont envoyé des expatriés. Les mauvaises interprétations du territoire pouvaient conduire à de mauvaises prises de décisions.

Je l’ai formalisé à partir du moment où l’on m’a demandé d’enseigner la géopolitique en école de commerce, un sujet qui pouvait paraître un peu étrange dans une école de commerce. Enseigner la théorie de la géopolitique n’est pas immédiatement pertinent pour ces profils. Je me suis donc demandé de quelle manière l’objet géopolitique est pris en question par les entreprises et me suis rendu compte qu’il était plutôt mal intégré. Il est majoritairement abordé au travers du risque politique lié à des questions d’assurance pour les entreprises. Comment assurer la sécurité des employés, payer une rançon et tous les problèmes liés à un tiers dans le pays. Il existe également une distance entre les connaissances des étudiants de ces phénomènes et la manière dont ils peuvent les intégrer dans la prise de décision.

Par exemple, comment on peut intégrer les tensions sino-américaines dans le business model à travers les chaînes logistiques, etc.

L’ensemble de ce cheminement m’a poussé à travailler sur ces questions. Rapidement est arrivée l’affaire Lafarge que j’ai découvert dans Le Monde, en 2016. Cette affaire est l’illustration des problèmes causés par un manque de considération de ces questions dans l’entreprise. À travers ce cas, je me suis rendu compte qu’on trouve souvent dans la presse ces problèmes décrits comme des conséquences de risques politiques. Je me suis dit que s’il y avait des études soutenues de ce qu’il se passe, cet événement aurait pu être évité.

Pouvez-vous nous expliquer ce qu’est la responsabilité géopolitique ?

C’est la capacité pour les dirigeants d’entreprise à intégrer les questions de géopolitique dans leur raisonnement et à ne pas considérer qu’un événement dans le monde n’a pas d’influence sur les activités de l’entreprise. Il est impossible de prévenir les évènements mais on peut analyser les grandes tendances, les signaux forts dans un territoire.

Il faut se poser les bonnes questions et avoir un regard géopolitique, multidisciplinaire, dans le sens où la question économique n’est pas la seule donnée, même si le but d’une implantation sur un territoire est de développer ses activités. Cependant, si on reste sur un territoire en le considérant simplement comme un marché, on passe alors à côté de nombreuses considérations.

Il faut commencer par abandonner son approche purement mercantile sur un nouveau marché, et commencer à se dire « avant d’être sur un marché, je suis sur un territoire ». Est-ce que les actions de mon entreprise, les décisions stratégiques que je prends, peuvent avoir un impact sur ce territoire ? Est-ce que je vais à l’encontre des grandes tendances ? Parmi les acteurs de ce territoire, est-ce que je gêne des personnes ? Et cela même si les parties prenantes n’ont pas d’influence sur mon entreprise.

Certaines entreprises peuvent confondre cela avec le lobbying.  Parler avec des États, connaître les gens, faire que les législations soient favorables, ce sont des stratégies hors marché. Cependant, le lobbying, si trop spécialisé, ne fonctionnera que dans certains cas.

Par exemple, dans le cadre de l’affaire Lafarge, faire des affaires en Syrie passe inévitablement par avoir des relations avec la famille al-Assad ou le parti Baas. Cependant, il y avait d’autres acteurs sur le territoire et lors d’une crise, négliger une des parties peut se révéler dévastateur. Lors d’un changement de gouvernement, négliger un autre gouvernement est une erreur.

La responsabilité géopolitique c’est avoir la capacité d’intégrer le raisonnement géopolitique vis-à-vis des décisions stratégiques de l’entreprise. C’est un état d’esprit, une compétence qui se développe, cela s’apprend.

Pourquoi la responsabilité géopolitique doit-être pris en compte par les entreprises pour anticiper les crises ?

Le premier sens de la responsabilité renvoie à la capacité de comprendre lorsqu’une crise éclate, qu’il y a des phénomènes annonciateurs, il faut donc les analyser. Afin de faire face à ses responsabilités, l’entreprise doit inventorier ses expertises. Elle doit savoir comment ses expertises lui permettront de faire face aux crises politiques. La responsabilité est de se tenir informé et d’avoir les bons informateurs.

La deuxième responsabilité c’est de se dire : est-ce que par mes décisions, je bouleverse les équilibres dans un territoire ? Et qui peuvent créer des crises ? C’est en lien avec la RSE. La responsabilité n’est pas simplement d’œuvrer pour le bien-être de ses salariés, il y a aussi l’univers parallèle, les salariés et le reste de l’écosystème qui travaille avec l’entreprise.

Par exemple, une entreprise voulant s’implanter en Pologne proche de la frontière ukrainienne qui décide d’embaucher des ukrainiens parce qu’ils perçoivent des salaires plus faibles doit prendre en compte d’autres facteurs. Faire venir des ukrainiens sur un territoire où historiquement il y a déjà des tensions entre communautés est risqué. On ajoute une nouvelle tension. Ce genre de questions dépend de la responsabilité géopolitique. Cela ne veut pas dire qu’il ne faut pas le faire, mais se dire que si on prend cette décision, il va falloir prendre des précautions comme une aide à l’intégration pour ces individus pour réduire les tensions.

Un autre exemple, Air France a proposé un plan de reforestation de Madagascar. Cependant, cette initiative rend indisponible les terres exploitées par la population locale (activités culturelles, cultuelles, agricoles etc.). Ce type de projet peut mener à de vives contestations locales contre un projet qui auraient pu être évitées par une meilleure connaissance des parties prenantes.

Avant d’adopter un regard géopolitique, il faut savoir que les actions menées avec les meilleures intentions peuvent avoir des conséquences négatives.

En quelques mots, que conseillez-vous aux entreprises afin de se prémunir face aux crises dans les environnements géopolitiques complexes ?

Il faut accepter de considérer que l’environnement est complexe. Il faut considérer l’intérêt de se former à une compétence géopolitique, ou former des gens pour qu’ils soient référents. À l’image d’un CTO ou d’un COO, les entreprises devraient se doter d’un Chief Geopolitical Officer (CGO). Il faut s’assurer d’intégrer cette compétence au sein de postes importants dans l’entreprise, que ce soit au niveau opérationnel, mais aussi au niveau du top management.

L’affaire Lafarge de 2016, n’a pas fait plonger Lafarge, mais la Fusion avec Holcim a donné un avantage au Suisse en impactant négativement l’image de marque de Lafarge.

De nombreux groupes ont été mis en difficulté sur des territoires où il existe des conflits. La question de rester sur le territoire et jusqu’à quel point se pose. Il faut que les entreprises intègrent l’importance de comprendre les territoires d’implantations, ce qui demande du temps, et qui peut entrer en contradiction avec le temps du business. Il n’y a pas de fatalité, et il faut se former à ce mode de raisonnement. J’alerte les entreprises en disant : « Ne négligez pas la question géopolitique comme vous ne négligez pas les questions marketings, financières, logistiques ». Cela doit être une catégorie d’analyse comme une autre.

La tendance est-elle à une responsabilisation géopolitique des entreprises ?

Dans l’opinion publique, il y a maintenant une plus grande couverture médiatique, un travail d’investigation plus poussé de la part des ONG, qui documentent les exactions. Ces investigations sont souvent menées par des juristes et se basent donc sur le plan du droit pour prendre en compte les violations des droit humains.

Lorsqu’on est une grande entreprise, il faut s’attendre à être sous le regard des ONG. Les investigations des ONG sont maintenant plus systématiques et organisées que par le passé. Elles concernent désormais l’ensemble des territoires y compris certains où il y avait peu de visibilité par le passé.

Cet intérêt des associations envers les entreprises, couplé à une médiatisation plus large, et le rôle de chambre d’écho des réseaux sociaux fait qu’il est de plus en difficile de passer à travers les mailles du filet.

La question décisive est de savoir ce que la justice va dire de ces affaires. Pendant de nombreuses années, la France n’a pas été bien armée juridiquement pour attaquer les questions de corruption. Les lois Sapin II, en réaction aux évènements du Rana Plazza et le fait de se mettre en conformité avec des pays comme les États-Unis, qui ont des lois plus restrictives, mènent à des sanctions plus importantes.

Faut-il s’attendre à plus de cas à l’avenir ? De facto, oui. En France, le cas de Lafarge va donner une dynamique, la façon dont la justice française va prendre en compte ce cas sera à mon sens déterminant pour la suite. Cela doit pousser les entreprises à s’interroger sur la question de la responsabilité et de l’analyse géopolitique.

 

La rencontre insolite : L’intuition : un élément clé dans la résolution de crise avec Bernard Thellier, ancien négociateur du G.I.G.N

Après une maîtrise en psychologie comportementale à l’université Paris 10 de Nanterre, Bernard Thellier intègre le G.I.G.N., où il occupera le poste de négociateur principal pendant 10 ans. Dans l’exercice de ses fonctions, il est amené à intervenir sur de nombreuses prises d’otages, des forcenés, des enlèvements et le grand banditisme… 

Pouvez-vous vous présenter ainsi que votre parcours ?

Fils de militaire, je suis un ancien négociateur du GIGN, j’ai été pendant 10 ans au groupe d’intervention de la gendarmerie nationale sur l’unité nationale, qui est basé à Versailles. Nous avons également une compétence internationale, mais nous intervenons aussi en France. Je suis également diplômé par le FBI à la négociation de crise et je suis actuellement chargé de cours en psychologie comportementale à Paris 2.

Qu’est-ce qui vous a motivé à rejoindre le G.I.G.N. ? 

C’était vraiment pour l’action. Je suis quelqu’un d’assez dynamique, j’aime le risque et le don de soi. L’esprit c’est vraiment d’être utile pour mon pays et pour les autres. Pour aider les autres, il faut agir et ça c’est en moi, c’est mon empathie. Les tests sont extrêmement durs, on était une centaine de candidats et seulement 6 sont choisis au bout de 14 mois de sélection. Ce sont des tests qui vous fatiguent psychologiquement et physiquement, beaucoup craquent.  Et donc, je fais ma première intervention où on a dû attendre près de 12h avant d’intervenir, le temps que les négociations se passent. 12h d’attente pour 2 secondes d’intervention, je me suis dis que la négociation c’était pas si mal que ça. Parce que le négociateur prend contact avec le maire, le président, les familles etc je me suis dis qu’il fallait vraiment que je fasse de la négociation. Je ne le savais pas encore quand je suis rentré au G.IG.N. mais c’est ce qui me plaisait le plus et j’ai eu de la chance, il y a eu une place qui s’est libérée en interne.  On est sélectionné pour notre sensibilité, parce qu’on communique avec nos sens/sensations et il faut être assez sensible pour être bon négociateur et donc je suis parti sur deux ans de formation. 

Pouvez-vous nous expliquer ce qu’il se passe pendant une phase de négociation ?

Ma plus longue négociation a duré 3 jours, avec un militaire qui était retranché avec 64 tonnes d’explosifs, c’était mortel dans un rayon de 5 km. C’était énorme donc on a fait évacuer tous les villages. J’étais à sa porte pour communiquer avec lui. Je ne faisais pratiquement jamais de négociations par téléphone,  la première chose que je faisais, c’était que j’allais jusqu’à la porte du preneur d’otages sans faire de bruit, en toute discrétion. Une fois la porte du preneur d’otages, je pouvais entendre ce qui se passait dans la maison, l’appartement et j’entendais les pleurs, je ressentais la douleur des otages, mais je ressentais aussi la tristesse, la colère du preneur d’otages par ses insultes envers les otages, par les meubles qui bougeaient et à partir de là, je peux vous assurer qu’ émotionnellement j’étais présent et impliqué. Étant donné que je les comprenais émotionnellement, j’allais pouvoir mieux les toucher émotionnellement et l’émotionnel est le seul point d’ancrage dans l’entrée de l’inconscient des autres. 

Si vous aviez à ne retenir qu’un seul enseignement de votre parcours au G.IG.N. qu’est ce que ça serait ?

Ce que j’ai remarqué, c’est que les preneurs d’otages se sentaient délaissés, et même accusés, alors que c’était souvent un geste désespéré, les gens ne les comprenaient pas. L’être humain va avoir tendance à juger quelqu’un sur ses faiblesses, même lorsque les qualités sont supérieures aux faiblesses. Avec les preneurs d’otages, je n’ai jamais fait ça, je n’ai jamais vu leur point négatif et j’ai vu leur point positif.  Je ne me suis pas concentrée sur les otages, non, j’avais compris que si je voulais sauver les otages, je devais m’intéresser au preneur d’otages et lui donner toute mon empathie.

Quelles sont selon vous les 3 compétences, traits de caractère que doit posséder un bon négociateur ?

L’ego n’a pas sa place en négociation. Si vous avez trop d’ego, vous allez compenser ou vous mettre en colère et vous allez mettre l’autre minable et à partir de là, vous comprenez bien que vous ne pouvez pas être un bon négociateur.  Mais surtout avoir une intelligence émotionnelle énorme, c’est cette intelligence émotionnelle qui va vous permettre de solutionner toutes les missions.  Pour faire de l’intelligence émotionnelle, il faut 2 ingrédients. Le premier ingrédient, c’est l’empathie, c’est-à-dire comprendre les émotions des autres. Le deuxième ingrédient, c’est la maîtrise de ses propres émotions. Heureusement, cette intelligence émotionnelle se cultive, on peut progresser. 

Pensez-vous que cette intelligence émotionnelle s’apprend ? Il y a-t-il une part d’inné ?

Oui, il y a une part d’inné. Mais tout au long de la vie, grâce aux expériences de la vie, on progresse. Vous pouvez réfléchir au marqueur émotionnel, c’est-à-dire l’empreinte émotionnelle que vous avez laissée aux autres dans la journée. 

Que représente l’intuition selon vous ?

Les gens critiquent souvent l’intuition et n’en tiennent pas compte, mais ils ont tort, il faut revenir dans la vraie vie.L’intuition, c’est quoi ?  Il y a 2 ingrédients pour l’intuition, ce sont les connaissances, mais aussi, l’expérience. L’intuition, c’est un mélange des connaissances et des expériences, et je peux vous assurer que l’intuition, il faut en tenir compte. Pourquoi ? Parce que ça va vous permettre d’avoir un coup d’avance sur les autres, et dans toute négociation au G.I.G.N. j’ai tenu compte de mon intuition et ça m’a toujours soit sauvé la vie ou m’a permis de résoudre une prise d’otage. 

Que pensez-vous de la place de l’intuition dans la gestion de crise ?

Pour faire confiance à son intuition, il faut d’abord avoir confiance en soi. Et au G.I.GN. on acquiert énormément d’intuition parce qu’on a des entraînements extrêmement durs qui sont encore plus difficiles que nos missions. Pour vous donner un exemple, on a eu plus de morts à l’entraînement qu’en mission. On va se servir de notre passé pour régler le présent, pour qu’il y ait un futur favorable, donc plus vous avez, on va dire d’échecs plus vous avez de l’intuition. Si je faisais une erreur au GIGN, je réunissais tout le monde et je leur disais mon erreur. Pourquoi ? Parce que pour moi, c’était valorisant de faire une erreur parce que ça signifiait que j’avais plus d’expérience. Et un homme intelligent apprend avec ses erreurs mais un homme encore plus intelligent apprend avec les erreurs des autres. 

Comment pensez-vous que ce procédé, l’apprentissage de l’échec pourrait être intégré au retour d’expérience (RETEX) ?

Le problème, c’est que l’échec c’est la honte. On n’a pas encore compris que non, c’était justement valorisant et que ça t’a apporté une part d’expérience. On ne va tout simplement pas assez sur le côté émotionnel. En France, le problème c’est que l’on fait surtout des debriefings quand on atteint notre objectif alors que c’est beaucoup plus constructif d’en faire lorsque l’on n’a pas atteint son objectif. Par ailleurs, la cohésion d’équipe est renforcée quand on partage des émotions fortes.  Ça m’a fait beaucoup réfléchir sur les échecs, parce qu’en gendarmerie traditionnelle, quand vous commettez une erreur, vous êtes sanctionné immédiatement. Or, le courage de dire ses erreurs devrait être récompensé car une sanction pourrait entraîner la répétition de l’erreur, qui ne sera même plus communiquée. Dans la gendarmerie, cela pourrait conduire à un accident très grave. 

Si nous devions retenir qu’une seule chose de notre entretien, qu’est ce que cela serait ?

Simplement, faites 3 bonnes actions par jour et vous verrez que le monde changera.  J’essaye de faire 3 bonnes actions par jour, alors c’est-à-dire que je vais aider 3 personnes tous les jours, alors c’est pas grand chose, c’est tenir une porte dans le métro, aider une personne parce que je vois qu’elle est en difficulté etc  Et je me dis, mince, si quelqu’un m’a vu peut-être que ça peut lui permettre demain de faire la même chose que moi et si 67 milliards de personnes faisaient 3 bonnes actions par jour, le monde changera. 



Newsroom mai – juin 2021

CHAQUE MOIS EH&A CONSULTING VOUS ENVOIE SA NEWSROOM. AU PROGRAMME DE MAI – JUIN 2021 :

L’oeil de l’expert

Blocage du canal de Suez – Ever Given : lire l’article

Le saviez-vous ?

La Class Action : une menace réelle ? lire l’article

Le pari risqué d’Axa : Axa suspend sa garantie cyber : lire l’article

On parle de nous

B SMART : la communication de crise d’OVH : voir le replay

L’Opinion : oser parler de ses difficultés pour sauver l’entreprise : lire l’article

Les Rendez vous Majeurs : le premier message après un accident : voir le replay

Notre métier vu de l’intérieur

L’anticipation : le coeur de la gestion de crise : lire l’article

Les nouvelles du cabinet

EH&A accueille une nouvelle consultante et une nouvelle stagiaire : Amélie Gallée et Maude Zoïs

EH&A change de décors ! Après sept années passionnantes et riches en missions qui nous ont fait grandir, nous quittons la Place de Clichy pour intégrer un quartier dynamique, en pleine évolution, situé entre République, le Marais et la Bastille.

Nos webinars passés

Compliance et anti-corruption : en amont toute ! De la gestion du risque réputationnel et judiciaire. La certification 37001 comme outil d’accompagnement ? : voir le replay

Faire la crise une opportunité avec Bruno Marion : voir le replay

Destination RETEX : comment instaurer la culture du Retex après une crise ? : voir le replay

Pour lire la newsletter complète, cliquez ici :https://mailchi.mp/e4fe2d40910e/eha-newsletter-marsavril-352461

Le pari risqué d’Axa : Axa suspend sa garantie cyber-attaque !

Le contexte

En 2020, l’ANSSI rapporte une hausse de 255% des attaques par rançongiciels par rapport à 2019. En réponse à cette augmentation, les assurances ont développé des assurances cyber dédiées aux entreprises victimes de cyberattaques ou en prévision des risques de cyberattaque. C’est ainsi que l’assureur Axa a créé une assurance Cyber-risques s’adressant à tout type d’entreprises et leur permettant de bénéficier d’une couverture complète ainsi que d’un accompagnement en cas de crise. Des assurances telles que April, Hiscox, Allianz ou encore MMA proposent également des assurances dédiées aux risques cyber.

Les faits

Malgré le nombre d’assurances cyber existantes sur le marché, Axa France est la seule assurance à avoir suspendu début mai 2021 l’option « cyber rançonnage » de son assurance Cyber Secure, disponible aux entreprises depuis mi-2020.

Cette décision a été prise suite à une audition au Sénat du 15 avril 2021, au cours de laquelle le parquet de Paris et l’ANSSI ont émis certaines critiques à l’encontre des assureurs et notamment sur le « jeu trouble de certains assureurs ». En effet, les assureurs favorisent le paiement de la rançon au détriment de l’indemnisation prévue par leur assurance. Cette pratique serait, en effet, moins coûteuse aux assurances que le paiement des indemnités à la suite d’une attaque par rançongiciel. Le paiement des cyber rançons par les assureurs est un sujet vivement discuté, notamment sur les réseaux sociaux.

Par ailleurs, selon l’assureur Hiscox, en matière de paiement des cyber rançons la France se place parmi les pays qui payent le plus les rançons derrière l’Allemagne et les Etats-Unis.

Axa victime d’une cyberattaque à la même période

Le 16 mai, Axa annonce avoir été victime d’une cyberattaque par rançongiciel dans une de ses filiales en Asie où trois téraoctets de données sensibles auraient été volés. Les activités de l’assureur ont été impactées en Malaisie, aux Philippines, en Thaïlande ainsi qu’à Hong Kong. Le groupe Avaddon qui a revendiqué cette attaque a mis fin à ses activités le 11 juin dernier en fournissant les clés de décryptage correspondant aux attaques perpétuées dans différentes entreprises. Toutefois, selon le Financial Times, la cyberattaque aurait eu lieu avant l’annonce de la suspension de la garantie cyber faite par l’assureur.

Recommandations en cas d’attaque par rançongiciel

Le paiement de la rançon encourage les activités des hackers et va à l’encontre des recommandations faites par le gouvernement qui préconise autant que possible le non-paiement des rançons en cas de ransomware. Cette recommandation gouvernementale est d’autant plus importante que le paiement de la rançon n’implique pas automatiquement la restitution et récupération des données. En effet, selon une étude réalisée par Sophos sur l’état des ransomwares en 2020, 26% des victimes ont pu récupérer leurs données par le simple paiement de la rançon tandis que 56% des victimes ont pu récupérer leurs données par le biais de sauvegardes. Dans les autres cas, la récupération des données a été impossible.

Le non-paiement de la rançon reste une pratique fortement recommandée, le contraire signifierait céder aux hackers et inciter des récidives.

Reste à voir si le gouvernement et les autres assureurs vont suivre le mouvement initié par Axa !

Blocage du canal de Suez – Ever Given

Conséquences du blocage du canal de Suez à court et long terme, ou comment la pluralité de la compétence juridique a rendu la gestion de cette crise particulière.

Contexte :

Dans la nuit du 23 au 24 Mars 2021, le canal de Suez a été bloqué par le porte conteneur « Ever Given » battant pavillon panaméen et loué par la société taïwanaise « Evergreen Marine ». Le cargo de 400 m a dévié de sa trajectoire, et s’est retrouvé coincé avec une extrémité creusée dans la terre du côté du canal. Le blocage de cette route commerciale stratégique entre l’Europe et l’Asie Pacifique a eu des conséquences à court et long terme. Le canal de Suez voit en effet passer 10% du commerce maritime international selon des experts.

Très rapidement, une longue file d’attente de bateau va se former : au large du port Saïd, 29 bateaux sont bloqués le 24 mars, 79 bateaux le 26 mars. Ces chiffres montent vite : le 28 mars, plus de 300 navires se retrouveront bloqués sur les différentes sections du canal de Suez (aux entrées Nord et Sud, ainsi que dans le système du canal sur le grand Lac Amer) avant d’atteindre un nombre maximal de 422 navires bloqués.

La durée de l’opération de renflouement du navire a été floue pendant plusieurs jours et les estimations incertaines ; une date de sortie de crise était difficile à envisager au vu du périmètre flottant et aléatoire. Plusieurs tentatives de renflouement ont été menées afin de remettre le navire à flot. L’Amiral Ossama Rabie, le Chef de l’Autorité Égyptienne du canal de Suez qui communiquait quotidiennement sur l’avancée des travaux, a affirmé que près de 14 remorqueurs étaient mobilisés. La société néerlandaise Smit Salvage a été mandatée par l’exploitant du navire, afin de procéder à sa remise à flot.

Tous les ingrédients de la crise sont réunis : la multiplication des victimes autant sur le plan financier que juridique, le lieu est symbolique, la notoriété de l’entreprise prend un coup de fouet, les détournements humoristiques sur les réseaux sociaux sont faciles, les images parlent d’elles-mêmes et l’effet boule de neige est garanti. Pendant plusieurs jours, cette photo du container aux grandes lettres blanches occupe tous les médias.

La multiplication des « victimes »

En période de crise, les victimes ne sont pas toujours celles que l’on croit : en plus des 300 bateaux à l’arrêt dans le canal, le blocage du canal de Suez a engendré des répercussions sur l’ensemble du trafic mondial et les stocks. Les principales victimes ont été les ports Nord Européens, bien loin du canal, déjà très impactés par la pandémie, qui ont subi une baisse de l’afflux des navires, mais aussi la hausse des prix de transport et la rupture des stocks de certains articles ménagers quotidiens tel que le papier toilette. Cette situation a accentué les rumeurs et les détournements sur les réseaux sociaux, alimentant ainsi un bad buzz autour de cette crise. Ce dont on peut être sûr, est que le blocage du canal pendant 6 jours a entraîné des retards de livraisons de pétrole et d’autres matières premières, avec une répercussion sur les cours de l’or. L’Égypte a perdu entre 12 et 14 millions de dollars par jour de fermeture du canal, et selon l’Autorité du Canal de Suez (SCA), un de ses employés serait mort durant le renflouage du navire.

Cette crise a poussé les entreprises victimes à trouver des solutions afin de ne plus être dépendantes non seulement de ce canal, mais aussi de marchandises provenant de la Chine. Un blocage de quelques jours a ébranlé les cours sur le marché boursier et a généré un impact géostratégique de certaines grandes puissances économiques.

Plusieurs parties prenantes sont impliquées dans cette affaire, à savoir :

  • L’entreprise japonaise Shoei Kisen Kaisha Ltd., propriétaire de l’Ever-Given
  • La société taïwanaise Evergreen Marine Corp. qui a loué le porte conteneur
  • L’autorité égyptienne du canal de Suez
  • La société Bernhard Shulte Shipmanagement basée à Singapour, qui assure la gestion technique du navire

Détournement sur les réseaux sociaux : la force des images et la viralité de l’humour

La gestion de cette crise par la SCA, et le caractère incroyable des images, a été tourné en dérision sur les réseaux sociaux. Les moyens déployés pour renflouer le navire semblaient insignifiants. Les internautes se sont donnés à cœur joie afin de minimiser les actions de l’Autorité du Canal de Suez pour remettre à flot le navire. Les milliers de memes et détournements qui circulent sur les réseaux sociaux médiatisent cette crise à des degrés insoupçonnés.

Les impacts pour Evergreen Marine

Les impacts pour Evergreen prennent une dimension financière d’importance : L’Égypte a dans un premier temps demandé un dédommagement de 900 millions de dollars au porte-conteneurs pour le préjudice subi. Ce montant a été revu à la baisse après que l’entreprise propriétaire ait informé que la valeur de la marchandise transportée était estimée à 750 millions de dollars. De ce fait, L’Amiral Ossama a déclaré à la télévision que l’État avait décidé de baisser le montant de l’indemnisation à 550 millions de dollars, L’assureur Allianz, a estimé chaque jour de mobilisation du navire, une perte entre 6 et 10 milliards de dollars au commerce mondial.

Sur le plan juridique, le fait que la propriété et l’exploitation du bateau soient séparées entre plusieurs compétences juridiques et frontières nationales rend très difficile la désignation d’un coupable.

Pendant cette crise, un casier médiatique s’est créé pour la marque et les impacts sur le long terme sont pour le moment difficilement chiffrables.  Malgré une communication de crise rapide de Evergreen Marine Corp., la médiatisation autour de cette affaire va ternir son image sur le long terme.

La communication d’Evergreen

Evergreen Marine Corp. a publié un communiqué concernant l’incident de l’Ever Given dans le canal de Suez, le 24 mars 2021 sur sa page officielle. Evergreen Marine a déclaré que « des vents violents de 30 nœuds ont fait dévier le porte-conteneur de son cap, ce qui aurait conduit à l’échouement du navire ».

La réaction de l’entreprise fut rapide et précise sur les faits. Dès le lendemain, un nouveau communiqué est publié :

Cette communication est bien calibrée : elle rassure les différentes parties prenantes sur les sujets qui leur tiennent à cœur (la sécurité des membres de l’équipage, la pollution, etc.), elle est pédagogue et précise sur les solutions mises en œuvre. Mais surtout, l’entreprise ne cherche pour le moment pas à se déresponsabiliser. Cependant, aucune marque d’empathie envers les victimes n’est décelée dans cette communication. Par la suite, cette recherche de coupable fait se heurter le temps juridique et le temps médiatique : Bernhard Schulte Shipmanagement, une société de gestion maritime responsable de l’Evergreen, a déclaré que des « vents forts » qui avaient affecté l’Égypte et une partie du Moyen-Orient à cette époque, étaient responsable de l’échouement du navire ; cependant, les 25 membres de l’équipage étaient sains et saufs et il n’y a eu aucune pollution ni dommage de la cargaison. Les propriétaires, une société japonaise du nom de Shoei Kisen Kaisha Ltd, ont également déclaré que le navire avait rencontré « un temps orageux » dans une autre déclaration. Les premiers rapports suggéraient aussi qu’il y avait une panne de courant sur le navire, mais Bernhard Schulte Shipmanagement a déclaré à l’Associated Press que « les premières enquêtes excluent toute panne mécanique ou moteur comme cause de l’échouement ». Ces faits n’ayant pas pu être certifiés, ils peuvent être pris comme une stratégie de désengagement des responsabilités par cette partie prenante. Le chef de l’Autorité du canal de Suez a quant à lui affirmé lors d’une conférence de presse, quelques jours après l’incident de l’Evergreen, que « d’autres erreurs humaines ou techniques ont aussi pu entrer en jeu ». C’est donc un jeu de ping-pong sur la cause de cet incident qui se joue entre les principaux protagonistes de l’affaire, ce qui n’est pas pour rassurer les différentes parties prenantes. La seule posture envisageable après ce type de polémiques est celle d’affirmer qu’une coopération totale avec les autorités compétentes pour enquête sera faite, et qu’il y aura en plus, une enquête interne.

La communication de crise de cet incident a été difficile à canaliser, car de très nombreux acteurs entraient en jeu. Afin de préserver leur réputation, le facteur météorologique a été mis en avant. Cependant, la communication auprès des parties prenantes externes a été presque inexistante, laissant place à la divulgation de rumeurs et de trolls sur les réseaux sociaux. La valeur d’une entreprise est liée aux relations de confiance qu’elle tisse avec ses parties prenantes. Les prochaines années nous apprendront comment, et si, Evergreen, qui est la société qui a été la plus citée, est capable de retisser ces liens.

Newsroom mars – avril 2021

CHAQUE MOIS EH&A CONSULTING VOUS ENVOIE SA NEWSROOM. AU PROGRAMME DE MARS – AVRIL 2020 :

L’oeil de l’expert

Des millions de data parties en fumée : comment OVHcloud a t-il géré cette crise ? lire l’article

La rencontre insolite d’Emmanuelle Hervé

L’anthropologie au service de la gestion de crise : lire l’article

Le saviez-vous ?

Les crises n’attendent pas la fin du Covid : Le B.A.-BA de la gestion de crise en ligne : lire l’article / voir le replay

On parle de nous

Interview d’Emmanuelle Hervé dans le magazine Le Journal du Village du Notaire : lire l’article

Emmanuelle Hervé dans le Security Live de Anews Sécurité
La communication de crise : quels enjeux ?

Intervention d’Emmanuelle Hervé pour les élèves du Master 2 Droit et Fiscalité de l’entreprise

Capital – Le coût caché des fake news 

Notre métier vu de l’intérieur

Le RETEX : lire l’article

Les nouvelles du cabinet

EH&A accueille deux nouvelles consultantes : Alexandra Wojtowicz et Amandine d’Hardemare

Un nouveau stagiaire et une alternante : Enguerrand Jourdier et Carla Le Guernevé

Nos webinars à venir

Destination RETEX : comment instaurer la culture du retour d’expérience après une crise ? Témoignage d’un pilote d’AIRBUS 320 et d’un amiral de la Marine

Faire de la crise une opportunité avec Bruno Marion

Nos webinars passés

Les crises n’attendent pas la fin du covid : voir le replay

Compliance et anti-corruption : en amont toute ! De la gestion du risque réputationnel et judiciaire. La certification ISO 37001 comme outil d’accompagnement ? voir le replay

Nos offres communes

AFRICA VERIFY : la première solution de filtrage dédiée à l’Afrique : site internet

Pour lire la newsletter complète, cliquez ici : https://mailchi.mp/1a0f72eb713f/eha-newsletter-marsavril-2021

Des millions de data parties en fumée : comment OVHcloud a t-il géré cette crise ?

©Twitter

Chronologie :

À Strasbourg, dans la nuit du 9 au 10 mars 2021, un incendie détruit le datacenter SBG2 et endommage le datacenter SBG1 du site d’OVHcloud. Le leader européen du cloud subi alors la plus importante catastrophe industrielle de son histoire et l’ensemble du site est mis hors tension.

Le 10 mars, entre 14000 et 16000 entreprises clientes d’OVHcloud découvrent que leurs sites web, applications et services SI ne sont plus disponibles. Les clients prennent contact avec le service support d’OVHcloud, remis en ligne le 11 mars à 1h22 du matin.

Le 11 mars, OVHcloud recommande à ses clients d’activer leur disaster recovery plan (Plan de Reprise d’Activité) dans une annonce sur sa page support. Le datacenter SBG2, hébergeant des serveurs et des back-ups, est complétement détruit par l’incendie et les données sont perdues. Certaines entreprises clientes déplorent donc une perte irrémédiable de leurs données. OVHcloud engage un suivi de situation sur les réseaux sociaux dans la journée. Ces annonces créent un vent de panique auprès des parties prenantes de l’entreprise.

Le 17 mars OVHcloud relance progressivement les datacenters SBG3 et SBG4 et fournit à ses clients une console de suivi de situation en temps réel.

Le 22 mars, la CNIL publie sur son site internet un document « Incendie OVH : faut-il notifier à la CNIL ? ». Ce document rappelle que les entreprises ont pour obligation de notifier la CNIL pour toutes indisponibilités et, ou pertes de données personnels et professionnelles. La CNIL annonce également que les entreprises impactées doivent en informer leurs clients. L’effet domino est officiel.

Entre le 11 mars et le 31 mars, OVH publie une note d’information sur son site de support et communique quotidiennement les réseaux sociaux.

Le 06 avril, des serveurs de substitutions sur d’autres sites sont proposés à tous les clients.

Contexte :

Évènement localisé à impact global, cet incident a eu des conséquences directes sur la gestion des risques dans les entreprises et les relations entre les parties prenantes. OVHcloud est au milieu d’une crise réputationnelle et stratégique en termes de gestion de ses parties prenantes.

L’incendie touche plus de 14000 entreprises françaises et mis hors ligne plus de 3,6 millions de sites internet en Europe. Cet incident soulève des enjeux réputationnels, juridiques, business, financiers et sociaux. En effet, d’une part OVHcloud se doit de conserver la confiance de ses parties prenantes et de sauvegarder sa crédibilité comme leader européen du cloud computing. D’autre part, pour ses clients, leurs enjeux sont d’assurer un plan de reprise ou de continuité d’activité et de faire état d’une indisponibilité ou d’une perte de données et donc d’en informer eux-mêmes leurs parties prenantes.

La communication de crise d’OVHcloud :

OVHcloud publie le 11 mars 2020 à 11h un communiqué sur les conséquences de l’incendie sur sa page support.

Ce communiqué enclenche la communication de crise de l’entreprise. OVHcloud doit faire preuve de rationalité, d’empathie, de disponibilité et de transparence dans sa stratégie de communication. Dans ces communiqués, on retrouve les critères d’empathie avec « nous savons l’importance cruciale que cela revêt pour eux (les clients) » ; de rationalité de l’information avec une chronologie chiffrée (date, heure, nombre d’acteurs…) ; ou encore de disponibilité avec la volonté d’informer avec « la plus grande transparence sur ses causes et ses impacts. » Dès lors, OVHcloud publie un communiqué complet à une fréquence quotidienne (tous les après-midis entre le 11 et le 31 mars) sur le suivi de la situation et des mesures prises pour ses clients.

Le 11 mars à 16h40, Octave Klaba (fondateur d’OVH) prend la parole dans une vidéo de 8 minutes publiée sur son compte LinkedIn et Twitter. Le fondateur d’OVHcloud utilise ce format deux autres fois au cours du mois de mars (le 16 mars à 20:30 et le 22 mars à 18:00). Ces vidéos permettent de communiquer rapidement de l’information et « d’humaniser » la situation.

L’entreprise ne se pose pas en victime de la situation et expose clairement sa volonté de coopérer avec ses parties prenantes. À titre d’exemples, l’offre de 6 mois de gratuité des services OVH aux entreprises impactées est une action concrète envers les parties prenantes. Il y a également l’annonce du partage des résultats des recherches en « gestion des risques d’incendie dans un datacenter » avec un maximum d’entreprises pour éviter de futurs incidents.

Au 16/04/2021 lors de la rédaction de cet article, soit 43 jours après l’incendie, la stratégie de communication se veut « omnicanal » et l’entreprise utilise des FAQ (FR, EN), ses sites de supports « travaux », le compte Twitter et LinkedIn d’Octave Klaba et d’OVHcloud et la plateforme communautaire OVHcloud Community (FR, EN).

Aussi, la principale contrainte est l’étendue des parties prenantes. OVHcloud est présent dans 19 pays et fournit 1,5 millions TPE, PME, ETI tels que les 155 des 1000 plus grands groupes européens. La gestion de la relation des parties prenantes et la stratégie d’alliés d’OVHcloud est complexe, car elles impliquent de prendre en considération une multitude de problèmes et d’attentes. Chaque entreprise définit une stratégie SI en fonction de l’impact de la donnée sur son business model et cette diversité rend la communication de crise plus difficile et moins sur mesure. L’étude de Saper Vedere illustre cette complexité. L’étude présente que chaque partie prenante a ses propres attentes en matière de réponse à la situation. Les résultats montrent que la communication de crise incarnée par son CEO permet de conserver la confiance des parties prenantes et ne crée de « paracrise mobilisant les équipes et les ressources [de l’entreprise] sur autre chose que le rétablissement de son activité ».

La stratégie de communication de crise d’OVHcloud a néanmoins quelques points d’améliorations sur le ciblage et sur la gestion de la marque-employeur. D’une part, bien que la communication touche un maximum de parties prenantes, OVHcloud publie un contenu technique utile pour les DSI et experts métiers mais opaques pour les néophytes et les organisations sans expertise dans les systèmes d’information. L’engagement de transparence et l’étendue des parties prenantes déséquilibrent le ciblage de la communication et on ne comprend pas quelles sont les parties prenantes ciblées. Par exemple, les informations techniques sous forme de schémas techniques, de photos et de graphes semblent être destinés à un public technique. Par ailleurs, il n’y a pas d’information sur la gestion de la crise par les employés, comme par exemple la gestion du stress et la nouvelle organisation de crise.

La gestion des rumeurs

Le management d’OVHcloud n’hésite pas à démentir les informations fausses publiées par les internautes. Premier exemple, Jean-Michel Blanquer (ministre de l’éducation nationale) accuse OVHcloud d’être à l’origine des dysfonctionnements de la plateforme de cours à distance ENT. C’est le P-DG d’OVHcloud, Michel Paulin, qui dément immédiatement cette information dans un tweet. La prise de position d’un personnage public comme le Ministre de l’Éducation nationale a un impact fort pour l’entreprise française habituée à être soutenue par le gouvernement. En effet, en octobre 2019 le ministre de l’économie et des finances Bruno Le Maire avait demandé à Dassault Systèmes et OVH de travailler sur la mise en place d’un « cloud de confiance » à l’échelle française et européenne pour contourner le Cloud Act américain. OVH avait répondu favorablement à la demande du gouvernement et souhaitait se positionner comme la solution de cloud computing de référence française. La réputation de l’entreprise est donc mise à mal avec cette accusation et la rectification immédiate à cette fausse information permet de conserver la crédibilité d’OVHcloud dans la sphère numérique française.

Deuxième exemple, la rumeur sur le classement Seveso du site de Strasbourg due à une erreur d’information dans un tweet des Pompiers de France. Une information immédiatement rectifiée sur la page support d’OVHcloud avec une main courante. L’information a ensuite été corrigée par les Pompiers de France.

La gestion de crise chez les clients d’OVHcloud

L’incident technique du 10 mars est à l’origine d’un effet domino sur le plan commercial et technique et pour l’ensemble du numérique français et européen.

D’abord, les clients critique le manque de professionnalisme de la part d’OVHcloud. En effet, le service payant et premium de Private Cloud permettant de réaliser des sauvegardes se trouvaient dans le datacenter détruit par l’incendie. Les private cloud détruits représentent 20% des sauvegardes. OVHcloud réagit immédiatement en suspendant les facturations et en proposant des infrastructures alternatives gratuitement à tous les clients impactés. Dans le même temps, les concurrents d’OVHcloud profitent de la situation pour critiquer ce choix sur les réseaux sociaux et attirer les clients mécontents et sans solution.

Le système anti-incendie est aussi critiqué sur les réseaux sociaux. Les datadenters n’étaient pas munis de réseaux anti-incendie à l’instar des infrastructures concurrentes. La question du positionnement de marché low-cost des services OVH est donc critiquée par les médias et les internautes.

La mise hors ligne de sites internet a également un impact potentiel sur le référencement des sites dans les pages de résultats des moteurs de recherche et sur l’expérience utilisateur. Aussi, pour les entreprises dotées d’une sauvegarde locale, celles-ci ont mis en ligne des sites non à jour présentant aux clients des informations obsolètes et créant une expérience utilisateur non optimale. Selon des experts en SEO, pour pallier cette problématique les entreprises devront augmenter la fréquence de leur communication sur les réseaux sociaux et investir dans les services de régie publicitaire pour améliorer le référencement de leur site.

Les leçons tirées de la gestion de crise d’OVHcloud

L’incident du datacenter d’OVHcloud est un bel exemple où la maitrise technique d’une crise doit se coupler à la maitrise de la communication de crise. Une gestion technique d’une crise ne suffit pas pour sortir l’entreprise de l’épreuve sans ruiner sa crédibilité et l’ensemble des efforts et des ressources investis. OVHcloud a su montrer sa maitriser technique de l’incident grâce à son expertise et sa réputation dans l’univers du numérique. Aussi, contrairement aux multiples erreurs de Lubrizol, l’entreprise a adopté une position transparente, responsable et empathique vis-à-vis de ses parties prenantes. OVHcloud reste actif et communique lorsque ses parties prenantes l’écoutent. Cette maitrise de la communication de crise réduit les effets secondaires comme des para-crises et des sur-crises. En somme, le rôle de la communication de crise permet protéger la réputation de l’entreprise et conserver la confiance des parties prenantes, surtout avant une entrée en bourse pour OVHcloud.

Enguerrand JOURDIER

Rencontre insolite avec Eric Minnaert, anthropologue, ethnologue et sociologue : L’anthropologie au service de la gestion de crise

Découvrez le parcours d’Eric Minnaert, conseiller en anthropologie appliquée pour les organisations. Sa passion pour l’anthropologie lui a donné envie de soigner les entités sociales, comme les entreprises, en travaillant leurs fondamentaux culturels.

« Mes interventions en entreprise sont l’opportunité d’une reconnexion au réel par le partage de l’imaginaire de ses membres. C’est ici que j’aide l’interface du management à rendre réel ces imaginaires, par un repositionnement de sa responsabilité. » Eric Minnaert

Emmanuelle Hervé est allée à sa rencontre afin de comprendre comment l’anthropologie peut être mis au service de la gestion de crise.

Pourquoi l’anthropologie ?

Je voulais être préhistorien. Mon intérêt pour la préhistoire a révélé mon intérêt pour l’anthropologie. Je voulais comprendre comment une société pouvait vivre. Je me suis inscrit à la faculté de Nanterre, mais je n’ai pas aimé la manière dont était enseignée l’anthropologie. J’ai donc décidé d’aller chez les pygmées en Centre-Afrique et cette expérience m’a permis de mettre en lumière une problématique bien précise : pourquoi notre monde détruit le leur ? 
J’ai alors décidé de quitter le confort de cette discipline universitaire pour m’attaquer à des problématiques concrètes. Plus tard, je suis parti étudier à l’école des hautes études en sciences sociales auprès de Maurice Godelier (anthropologue et directeur d’études à l’EHESS).

L’anthropologie est un terme vaste, pouvez-vous nous éclairer ?

Dans sa définition la plus large, l’anthropologie c’est l’étude de l’homme sans limite de temps ni d’espace. L’idée est de comprendre une structure sociale précise à un moment donné de son histoire. J’essaye de reconstruire quelque chose à partir de sa culture (du groupe) pour qu’elle perdure.

Comment l’anthropologie peut-elle se mettre au service de la gestion de crise ?

Le commanditaire a une question simple : pourquoi les choses ne vont pas ? L’idée est de comprendre pourquoi les choses ne vont pas, et apporter des choix stratégiques de transformation.

Quelle est votre méthode ?

Moi je vais sur le terrain, écouter, parler, regarder faire. Je me mets en immersion totale avec les gens et j’oublie que je suis là en tant qu’anthropologue. Cela me permet d’avoir les clés pour comprendre l’entreprise, je peux desceller des problèmes à travers ce que je vis et ce que j’observe, puisque je suis extérieur à la situation. L’informel m’apporte beaucoup d’éléments. Je ne présuppose rien et j’essaye d’être le plus à l’écoute possible, en éliminant le plus de filtres possibles. L’objectivité est le but. Mais la vraie urgence, c’est de retrouver la capacité d’écouter les gens, donc je crée des groupes de paroles.

Pouvez-vous nous donner un cas concret ?

Il y a quelques années, j’ai été appelé dans un EHPAD. Je me suis enfermé pendant six mois comme eux, dans une chambre, qui est devenue mon bureau finalement ! L’immersion m’a permis de comprendre la douleur des proches, des patients et des résidents car ils côtoient la mort au plus près de sa réalité. J’ai aussi réalisé, qu’il fallait réintroduire le concept de la mort au sein de l’EHPAD. Les résidents ont l’impression qu’ils vont partir, comme les autres, sans laisser de trace. On parle de fin de vie, mais le concept de mort n’est pas abordé et j’ai réalisé qu’il fallait en parler avec les résidents, faire des interventions avec eux. Dès lors que les équipes s’emparent de ces questions, le management prend une nouvelle forme.

J’ai également beaucoup travaillé dans des hôpitaux, avec des équipes de soignants en crise, en burnout, les blocs opératoires ne fonctionnent plus. Je me suis souvent retrouvé au sein de petites équipes, ce qui fait que je suis devenu rapidement proche des gens et petit à petit, nous avons trouvé des valeurs communes. Pour vous donner une idée précise, dans ce cas-là, le problème venait de l’arrivée d’un nouveau chirurgien qui venait d’Angleterre, avec de nouvelles techniques d’opérations. Les professeurs de médecine au sein des équipes sentaient leurs savoirs mis en péril. Je pense que mon approche fonctionne particulièrement bien au sein des équipes de médecins, car dans leur monde tout est remis en cause en permanence. La science est faite pour être questionnée.

Quelle est la différence entre votre métier et celui d’un psychologue ?

L’anthropologue se concentre sur le groupe. Le psy va se concentrer sur le burnout d’une personne en particulier, moi je vais tenter de comprendre et analyser les dynamiques du groupe. Je travaille pour que le groupe puisse accepter l’individualité.

Comment parvenez-vous à leur dire ce que vous pensez ?

La clé, à 90%, c’est la diplomatie. On ne peut pas tout dire à un moment donné. La direction ne peut pas tout entendre. Avant de livrer mon résultat final, à l’oral, je fais attention à bien choisir mes mots, ne pas ajouter de désordre au désordre et surtout, anonymiser.

Vous travaillez seul depuis 30 ans, pourquoi ne pas recruter ou s’associer ?

J’ai essayé de trouver d’autres anthropologues qui sont indépendants comme moi, mais les gens ont peur de se lancer dans l’inconnu. Personnellement, j’aime ne pas savoir, être dans une sorte d’inconfort, cela me permet de m’adapter. Mais j’admets que cela ne peut pas convenir à tout le monde.

En 2008, Eric a co-écrit un ouvrage intitulé « Anthropologie du corps vieux ». Dans sa partie : « le corps vieux : un lieu de mémoire ?» il analyse les données récoltées dans le cadre d’une immersion de six mois dans une unité de soins longue durée. En plus d’être anthropologue, Eric est également professeur, il enseigne « Les grands enjeux contemporains » à Dauphine et à l’ICART, école du management de la culture et du marché de l’art.

La crise du Coronavirus est survenue brusquement et a provoqué l’apparition de nouveaux comportements au sein des populations. Des comportements auxquels il fut difficile de s’adapter de prime abord. Il a fallu réapprendre à vivre avec ce virus, modifier son style de vie, ses habitudes, tout ce que l’on connaissait. Ces comportements diffèrent suivant chaque pays et chaque culture car l’évolution du virus n’a pas été la même partout. L’approche de l’État vis-à-vis de la gestion de cette crise ainsi   que ses relations avec sa population ont été gérées de manières différentes. Par ailleurs les effets psychologiques du confinement restent à déterminer, les spécialistes n’ont à l’heure actuelle, pas assez de recul pour en mesurer les conséquences.