Catégorie : Articles

La cybersécurité est un enjeu majeur pour les entreprises de toutes tailles : les attaques se multiplient et les attaquants sont de plus en plus performants.

Lors de la cyber attaque de janvier 2020, le cabinet EH&A avait accompagné la direction générale de Bouygues Construction pour comprendre les enjeux de cette crise et s’y préparer.

Nous n’étions pas dans le cœur du réacteur opérationnel IT, notre mission était stratégique mais à la lumière de la multiplication des cyber-attaques et leurs difficultés croissantes, nous avons souhaité recueillir et partager la vision du responsable de la sécurité des systèmes d’information (RSSI) de l’époque, Thomas DEGARDIN, qui a gentiment accepté de nous répondre.

• Aujourd’hui vous êtes Coordinateur Cybersécurité du groupe Bouygues, quelles sont vos missions lors d’une crise cyber ?

« J’ai trois grandes missions sur cette activité, avec une première mission de synergie entre les six métiers du groupe Bouygues, qui sont très différents. Mon but est d’animer les différentes instances au sein de cette communauté cyber, trouver des chantiers communs ou encore aider mes collègues RSSI à prendre du recul. J’ai occupé cette fonction [RSSI n.d.l.r.] pendant 5 ans au sein de Bouygues Construction et je peux, grâce à cela, les aider à voir ce qu’il se passe ailleurs. Ma deuxième mission est d’animer la communauté “BYTECH Cyber”, qui rassemble environ 300 collaborateurs de Bouygues travaillant sur des sujets de cybersécurité en coordonnant les temps forts de cette communauté. Enfin, la troisième mission est de représenter le Groupe dans les différentes instances ou assemblées parlant de cybersécurité, que ce soit côté assurances, ou dans différentes communautés d’intérêts autour de ces sujets. »

• Vous parlez de synergie entre les différents métiers du Groupe, comment faites-vous pour créer des ponts entre les différentes fonctions ?

« Il existe depuis longtemps un comité sécurité informatique Groupe qui réunit tous les RSSI tous les mois. C’est un lieu qui nous permet d’échanger et d’identifier des chantiers transverses. Chaque RSSI est investi et très compétent dans son métier, il avance sur sa feuille de route et ses risques sont très différents de ceux des autres. J’agis comme entremetteur entre les différents métiers. Si un métier travaille sur un sujet et qu’un autre se pose des questions dessus, je les mets en relation. Si le sujet intéresse plusieurs RSSI, une démarche Groupe peut être mise en place. »

• En cas de crise cyber, quelles sont vos missions ?

« Fort heureusement, depuis ma prise de fonction en début d’année, nous n’avons pas connu de crise majeure au sein du Groupe donc ça ne s’est pas révélé [rire n.d.l.r.]! Mais pour faire le parallèle avec ce que j’ai vécu en janvier 2020, quand vous êtes RSSI d’un Métier, quand vous êtes au pilotage d’une crise à réfléchir à comment contenir la cyberattaque, comment reconstruire ou redémarrer sans prendre trop de risques, vous êtes déjà tellement absorbé par ces sujets qu’il est compliqué de sortir de l’activité urgente pour aller communiquer et échanger avec le reste du Groupe ou avec l’extérieur. C’est là où j’interviens en tant que coordinateur. Je suis un peu un aide de camp pour le RSSI en cas de crise. Je récupère les informations pour les diffuser au sein du Groupe, notamment en partageant les indicateurs, en faisant des points de situation (état des lieux). L’objectif est de donner de l’air au RSSI et lui permettre de se concentrer sur la gestion de la crise. Je suis un soutien, au service du RSSI Métier en temps de crise : mon rôle n’est pas de diriger la cellule de crise mais de le soutenir et l’assister.»

•  En janvier 2020, lorsque vous étiez chez Bouygues Construction, l’entreprise a été la cible d’une cyberattaque majeure. Pouvez-vous nous en parler ?

« Bouygues Construction a été touché par une cyberattaque de type “cryptolocker” dans la nuit du 29 au 30 janvier 2020. A l’époque, Bouygues Construction, c’était un peu plus de 60 000 collaborateurs, 30 000 postes de travail et 3000 serveurs. La première décision a été de couper l’alimentation électrique du système d’information, pour enrayer la propagation du virus. Imaginez un réseau monde, plusieurs centaines d’applications majeures: tout cela à l’arrêt. Les équipes qui travaillaient sur ces systèmes ne pouvaient plus rien faire, ne pouvaient plus se connecter aux unités finances, traiter les fiches de salaires. On bascule alors en mode crise. On est fin du mois et il y a une priorité donnée par le COMEX : payer les salaires des collaborateurs.

Une cellule de crise opérationnelle côté DSI se monte, avec une codirection, pour tenir 24/7 car au début de la crise, c’est du non-stop. Se crée également une cellule décisionnelle au niveau comité de management de Bouygues Construction avec des interactions fréquentes entre les deux. Le rôle de la cellule décisionnelle était de donner les priorités de redémarrage pour que l’entreprise surmonte cette difficulté et elle laissait la cellule opérationnelle s’occuper des problématiques techniques.  

Au niveau équipe, la DSI avait été formée à la méthodologie AGILE, on s’est donc organisé en “streams”, avec des streams leaders qui n’étaient pas forcément des experts techniques mais qui avaient les sachants autour d’eux. La grande difficulté est l’ampleur de cette crise. Quand on commence, on ne sait pas trop ce qui nous tombe dessus. Au début, on est dans le flou, la première difficulté est de savoir ce qu’il se passe. Les autres difficultés apparaissent au fur et à mesure.

Il y a eu, de plus, une concomitance des crises. 6-7 semaines après le démarrage de cette crise informatique, la pandémie du COVID-19 a débuté. Il a fallu travailler à la résolution de la crise tout en étant confinés. Cela a ajouté des cellules de crise dans la crise. »

• Face à ce type de crise, quelle est selon vous la stratégie à adopter ?

« Je ne vais pas vous donner une stratégie magique parce qu’il n’y en a pas. Ça serait trop simple, on l’aurait tous et on serait tous sauvés.

Le point qui me semble primordial c’est d’enclencher des investigations, du forensic. Si la situation devait se représenter, nous referions sans hésiter ces analyses.

Si on ne sait pas ce qu’il s’est passé, c’est extrêmement compliqué voire impossible de redémarrer en toute confiance. Ne pas conduire ces investigations, c’est comme jouer à la roulette russe, prendre des décisions et croiser les doigts. Ça ne fonctionne pas. Il faut se faire aider.

Mais vous savez, je pense que l’on peut se préparer à tous les plans, ce sera toujours le plan+1 qui fonctionnera. Certains experts auront un avis, d’autres diront l’inverse. Chaque attaque est différente mais il faut savoir ce qu’il se passe précisément pour pouvoir agir en conséquence. A mesure que la crise se poursuit, l’enquête amène de nouveaux éléments qui permettent d’ajuster les actions, on s’adapte au fur et à mesure. La stratégie repose donc sur l’enquête. L’échange d’informations entre les cellules est la clé.

En ce qui concerne la communication de crise, si l’entreprise ne communique pas, les hackers le feront. Ils ont des services de communication eux aussi. Si vous ne parlez pas en premier, il faudra traiter la parole de la partie adverse. Cela prend plus de temps de démontrer qu’un hacker communique des informations incorrectes que d’annoncer en premier, ce que vous savez, ou ce que vous ne savez pas. Vous avez le droit de dire « pour l’instant on ne sait pas ». »

• Quels enseignements le Groupe a-t-il tiré de cette crise ? Cela a-t-il changé votre organisation ? Cela a-t-il changé la culture de la crise, en particulier cyber ? Avez-vous pris des mesures particulières pour éviter que ce type d’incident ne se reproduise ?

« Tout à fait. Les trois mots souvent martelés par le DSI étaient : plus jamais ça. Plus jamais une crise avec une telle ampleur. Il est important de se reconstruire, de réorganiser. Cela a été une vraie prise de conscience et pas seulement du Groupe mais de moi aussi. La crise est une dose d’humilité XXL. Depuis cette crise, le sujet cyber a été saisi par la direction générale de façon encore plus précise, avec des suivis réguliers dans tous les Métiers du Groupe. »

• Vous êtes dans le milieu de la cybersécurité depuis 20 ans, quelles sont les évolutions que vous avez pu constater ? Quels sont les risques et les enjeux émergents ?

« Effectivement, il y a dans un premier temps l’évolution technologique. Il y a 20 ans j’avais un firewall et un antivirus. Le monde technique a bien évolué mais c’est finalement le rapport avec la menace qui a changé. C’est une course gendarme-voleur. Ce qui a changé, ce sont les attaquants, qui étaient peut-être à une époque, des adolescents en sweat à capuche dans un garage et qui sont maintenant de vraies organisations cybercriminelles très bien organisées avec des processus de recrutement, qui vont chercher les meilleurs, qui sont parfois spécialisées. Nous n’avons plus trois personnes en face de nous qui tentent de nous attaquer mais de vraies structures. Ils investissent du temps et de l’argent sur leurs attaques et doivent maximiser les résultats. Il faut vraiment prendre en compte cette évolution de la menace. De plus, l’approche traditionnelle qui consiste à se protéger tout seul ne suffit plus, il faut prendre en compte les fournisseurs et être dans une coopération étendue de toute la chaîne de production.»

• Le recours à l’intelligence artificielle (IA) dans l’aide à la prise de décision est de plus en plus étudiée dans le domaine de la gestion de crise. Quel est votre avis sur la question ?

« Il faut s’y préparer car ça arrivera. Il ne faut pas la mettre de côté en se disant que c’est dangereux, les attaquants s’en serviront. Sur des cas plus sensibles, il y a toujours besoin de l’intelligence humaine mais l’IA viendra sûrement aider. Je ne peux pas encore vous dire ce qu’elle va nous apporter mais je pense qu’il est important d’établir des limites sur ce que les collaborateurs peuvent faire ou ne pas faire avec. Comment embrasser cette révolution est notre questionnement actuel. Demain, elle viendra très certainement aider la prise de décision, il faudra l’évaluer à ce moment-là. Il ne faut pas l’interdire, il faut définir les règles du jeu. C’est un changement dans notre façon de faire, il faut accompagner ce changement qui est presque sociétal. »

• Si vous aviez des conseils à donner, quels seraient-ils ?

« Pour conclure, si l’on venait me demander comment gérer une crise, je dirais « ne reste pas tout seul ». Il faut s’entourer, aller chercher des renforts, de l’aide, des bonnes pratiques. Il ne faut pas hésiter : des gens sont prêts à aider, ils sont bienveillants. Il faut prendre soin des collaborateurs qui mènent un vrai combat. Il ne faut pas sous-estimer l’impact qu’une crise peut avoir sur le psychologique, ça laisse des marques. Il ne faut pas le négliger.

Nous avons été aidés, à tous niveaux. C’est intéressant d’avoir des gens qui ont l’expertise de la gestion de crise avec de bonnes pratiques vues ailleurs qui peuvent être transposées. La gestion de crise est un système qui n’existe pas, qu’il faut créer. Il faut donc être accompagné pendant, mais aussi en amont, pour se préparer, s’entraîner, se tester, pour avoir les premiers reflexes. C’est comme la marche, le plus dur est de faire le premier pas, après ça fonctionne, mais si on ne le fait pas, on tombe et on se fait mal. »

La fonction communication fait partie du « noyau dur » de la cellule de crise, avec le directeur, le coordinateur, l’historien et la fonction juridique. Elle a la charge de la communication interne et externe de l’organisation : elle décide du type de communication à mettre en œuvre (communiqué de presse, conférence de presse, etc.). La fonction communication doit également tenir informée la cellule de crise de la perception des évènements « à l’extérieur ».

L’objectif de la communication de crise est de s’adresser à toutes les parties prenantes impliquées : la fonction communication doit être très au fait de la cartographie des parties prenantes, afin de n’oublier personne. Elle doit communiquer rapidement afin d’éviter que d’autres parties prenantes ne s’emparent du sujet et que votre organisation perde le contrôle de la situation. La confusion génère de la spéculation, qui va prendre le pas sur les faits. Aussi, la fonction communication doit préparer le porte-parole (le plus souvent le dirigeant lors d’une crise) à incarner la posture de l’entreprise.

La fonction communication en cellule de crise : quelles missions ?

Il est essentiel « d’occuper le terrain » et de se montrer proactif face à la crise. Pour se faire, la fonction communication doit informer la cellule de crise de la façon dont est perçue la situation « à l’extérieur » : volume et tons des messages, communautés et prises de position, types de médias impliqués, angles des articles, etc.  Ces informations sont recueillies grâce à la mise en place d’une veille active : celle-ci permet d’ajuster la stratégie de réponse et de s’assurer de sa pertinence.

La fonction communication est responsable du déploiement de la stratégie de communication auprès des différentes cibles : elle coordonne les actions de communication de l’organisation, tant en interne et qu’en externe.

Toute sollicitation de la part des médias doit lui être remontée. La communication interne n’est pas à négliger : quel que soit le type de crise, tout collaborateur peut être contacté par la presse. La fonction communication doit donc veiller à ce que chacun dispose de consignes et de messages d’attente pour réagir au mieux, et renvoyer les sollicitations vers les personnes dédiées.

Au-delà du message d’attente, elle doit initier le plus rapidement possible la rédaction des éléments de langage clés et d’un document Questions/Réponses (une dizaine de questions essentielles au départ). Celui-ci sera enrichi ensuite par la collecte des questions qui remonteront vers la cellule de crise. Le responsable communication pourra ensuite élaborer les réponses à l’aide des informations des fonctions expertes et en accord avec la stratégie de communication choisie par la cellule de crise. Le responsable juridique pourra ensuite relire le document Question/réponse pour s’assurer de sa cohérence avec la stratégie juridique.

Lorsque la crise survient, la fonction communication doit réfléchir à la pertinence du maintien des campagnes de communication (publicité, marketing, recrutement, etc.) en cours ou à venir, et arbitrer la décision de les suspendre ou non. Diffuser une publicité pour un séjour avec la compagnie Costa Croisière juste après un journal de 20h dédié au naufrage du Costa Concordia fut par exemple inapproprié. Au même titre, les bons d’achats proposés par Buitoni en cas de retours de produits ont été automatiquement envoyés aux familles des victimes de SHU lors du retrait-rappel de 2022. Ce genre de maladresses peuvent, à juste titre, engendrer un bad buzz ou encore une sur-crise pour l’entreprise.

L’importance de la posture et des softs skills

            Le métier de communicant, en particulier en temps de crise, implique des compétences particulières. Une bonne communication de crise tient en cinq lettres, F pour Faits, A pour Actions, C pour Compassion (ou empathie), E pour Engagement et T pour Transparence. L’objectif est de démontrer la capacité de l’entreprise à gérer les évènements : on ne communique pas si des actions ne sont pas mises en œuvre pour limiter les impacts de la crise. Elle doit aussi montrer qu’elle est capable de se « mettre dans les baskets » de toutes les parties prenantes et de comprendre leurs enjeux. Par ailleurs, il convient de s’adresser en faisant preuve d’empathie non seulement aux victimes directes de la crise, mais à tous ceux qui pourraient se considérer comme telles. La structure FACET devient CAFET lorsque la crise fait des victimes : l’empathie prévaut.

Réussir à décrypter les tendances et anticiper les risques lors de la phase de veille pour parvenir à éclaircir une situation complexe et développer une vraie stratégie de communication. En communication de crise, la réactivité et l’anticipation sont clés : les premières heures sont cruciales. Une attention particulière doit également être portée aux antécédents, chez des organisations de tailles similaires ou d’un même secteur, afin d’en tirer les grandes leçons et d’éviter les écueils dans lesquels d’autres sont déjà tombés par le passé.

Communiquer en temps de crise : points d’attention

S’il lui incombe la mise en œuvre de la stratégie de communication de crise, cette fonction doit travailler main dans la main avec d’autres membres de la cellule de crise pour garantir son efficacité. Afin de limiter les risques d’une communication inexacte, la fonction communication doit faire valider les éléments techniques (lorsqu’il y en a) par les experts compétents. Enfin, pour éviter tout préjudice pour l’entreprise, chaque élément de communication, à destination, de l’interne comme de l’externe, doit être validé par la fonction juridique et directeur de la cellule de crise.

Par ailleurs, la communication de crise est différente de la communication corporate : ce n’est pas le moment de faire du marketing, ce qui sera mal perçu par vos parties prenantes.

Une fonction inutile lors des crises non-médiatiques ?

            Même si la crise en cours n’a pas été révélée au grand jour, la communication de crise permet d’aligner la perception des événements, et que tout le monde parle de la crise de la même manière. Afin d’éviter les rumeurs et de maintenir leur confiance, vos collaborateurs doivent être informés de la situation en cours : ils sont vos meilleurs ambassadeurs.

De plus, vos collaborateurs sont une source d’information crédible pour vos parties prenantes. Selon le Trust Barometer publié en 2022, les citoyens ont une confiance croissante pour les collaborateurs des grandes entreprises en temps de crise. Afin que leurs interactions avec leur cercle social servent votre organisation, ils doivent être tenus informés régulièrement des évolutions de la situation.

La fonction communication doit également se tenir prête à réagir vite en cas de médiatisation soudaine. Les éléments préparés « à froid » permettent de répondre rapidement si une crise concerne des sujets déjà sensibles pour l’entreprise. L’anticipation est clé : votre première réaction doit être émise suffisamment tôt, rester factuelle et précise tout en exprimant de l’empathie. Par ailleurs, la préparation d’éléments de langage et de position papers en temps de paix permet d’avoir un coup d’avance. Vos messages clés préparés en amont seront ensuite déclinés en fonction de vos différentes cibles de communication.

En bref

La fonction Communication a un rôle essentiel à jouer pour préserver et renforcer la confiance des parties prenantes : en effet, une crise bien gérée opérationnellement qui s’inscrit dans le cadre d’une communication chaotique marquera négativement l’opinion. Prendre la main sur la communication autour d’un évènement est central pour se positionner en tant qu’interlocuteur privilégié des différentes parties prenantes et source d’information fiable, coupant ainsi court aux bad buzz et autres fake news.

Lorsque la crise frappe, certains dirigeants se distinguent par leur capacité à endosser le rôle du capitaine, prêts à tout pour guider leur entreprise à travers les tempêtes. Parmi eux, Octave Klaba, le fondateur d’OVH Cloud, a opté pour une approche efficace : le « face caméra » ou « face cam ». Cette technique de communication directe via la vidéo s’est avérée être un atout considérable pour transformer sa crise en une opportunité

Le « face cam » c’est un plan en portrait face à une caméra. Qu’il s’agisse du PDG, d’un porte-parole ou d’un expert, beaucoup s’essayent à ce format pour communiquer directement avec le public pour partager des informations, des réflexions, ou des mises à jour, sans recourir à aux media traditionnels. Cette stratégie de communication de crise a été utilisée par de nombreux autres dirigeants ou hommes et femmes politiques, apportant plusieurs avantages significatifs : démentir rapidement les spéculations nocives et les fausses informations, s’affranchir du tempo des media mainstream et maîtriser le contenu du message qui sera diffusé. Dans un paysage médiatique en constante évolution où les images brutes et instantanées se partagent de plus en plus rapidement, le « face cam » s’impose comme une clé pour renforcer la résilience et la confiance.

OVH Cloud : le face cam au cœur de la stratégie de communication de crise

Lorsque l’incendie a frappé le centre de données d’OVH Cloud en 2019, Octave Klaba, fondateur de l’entreprise, s’est adressé directement au public et à toutes ses parties prenantes via une vidéo (et plusieurs ensuite) en « face cam ». En t-shirt, cerné et sans artifices, le fondateur partage des détails techniques cruciaux sur la gestion de l’incendie, explique en détail les mesures prises pour atténuer les perturbations et réaffirme l’engagement indéfectible des équipes d’OVH Cloud envers leurs clients. La communication rapide, factuelle et régulière d’Octave Klaba a permis de contourner les media traditionnels et de se positionner comme un relais d’information fiable, réduisant le risque de spéculation sur l’accident. Avec ses points quotidiens, Octave Klaba devient la meilleure source d’information et le seul responsable fiable de la gestion de cette crise, renforçant ainsi la confiance des parties prenantes. Mais ne vous méprenez pas, n’est pas Octave Klaba qui veut. Cette stratégie de communication de crise a été possible grâce à une communauté déjà existante sur les réseaux sociaux et à l’influence du PDG dans son domaine d’activité sur Twitter.

Grâce au choix de cette stratégie de communication, Octave Klaba a réussi à faire de la crise une opportunité. Malgré les antécédents de 2017 et les recommandations des pompiers n’ayant pas été suivies, cette crise a renforcé la réputation de l’entreprise en tant qu’acteur de confiance. Les conséquences financières, économiques et de réputations sont restées limitées pour le géant du cloud français. Cependant, une bonne communication de crise ne permet pas d’éviter complétement les conséquences judiciaires. 140 entreprises clientes ont décidé de mener une action collective. On peut imaginer qu’elles auraient pu être plus nombreuses si Octave Klaba n’avait pas mobilisé sa communauté comme il l’a fait.

Faire retomber la pression dans un contexte anxiogène : Delta Airlines

Souvenez-vous en 2010, et bien avant l’incendie d’OVH la panique générale avait gagnée tous les aéroports européens lors de l’éruption du volcan Eyjafjallajökull. Comme d’autres compagnies aériennes, Delta Airlines a fait face à d’importants problèmes opérationnels et à des annulations massives de vols. Pour transformer la crise en opportunité il a fallu tirer son épingle du jeu face à ses concurrents européens et internationaux. Dans un contexte extrêmement anxiogène, Richard Anderson, PDG de Delta à l’époque, s’est adressé directement au public via une vidéo expliquant en détail les mesures prises par la compagnie.

Cette démarche a permis à Delta Airlines de reprendre le contrôle de la narration de la crise et de faire baisser la pression du côté des passagers. De plus, les media ont salué cette approche comme un exemple de communication de crise efficace. Cette réception positive a renforcé l’image de Delta Airlines en tant qu’entreprise soucieuse de ses clients.

Interview de Richard Anderson à l’Aviation Summit le 12 avril 2012

La viande à l’ammoniaque et l’armada d’experts de Mc Donalds

Qui ne s’est jamais demandé ce qu’il pouvait y avoir dans un burger ultra-transformé chez Mc Donald’s ? Lavage des parties grasses de la viande de bœuf avec de l’ammoniaque, morceaux de plastique dans le poulet, broyage des poussins dans les nuggets, pastille anti-vomitive, autant de théories dont le fast-food le plus connu du monde fait régulièrement les frais.  

Le roi du burger a choisi de taper fort : mobiliser des experts en face-caméra expliquant en détail les procédures de fabrication. Quand on sait que les « experts » ont un coefficient de confiance encore plus élevé que le dirigeant d’entreprise, cela semble être une idée de génie ! Surtout lorsque l’on sait que les campagnes marketing sont souvent bien loin de la réalité des usines de l’agroalimentaire.  Ajoutez à cela la dimension hautement émotionnelle de l’alimentation – nous sommes ce que nous mangeons – et c’est un cocktail explosif !

Les vidéos tentent d’expliquer de manière pédagogique le processus de fabrication « de la ferme au restaurant ». Avec ces vidéos, Mc Donald’s s’affranchi d’un énième reportage télévisé sur « les coulisses du géant du burger » et maîtrise ce qu’il souhaite montrer de son processus de production et se met dans une posture d’ultra-transparence.

Les limites de l’exercice

Malgré ses avantages, le « face cam » n’est pas une solution miracle.

Le choix de la personne qui apparaît en « face cam » est crucial. Que ce soit le PDG de l’entreprise, un porte-parole expérimenté ou un employé dévoué, cette personne doit incarner le message. Le succès du « face cam » repose largement sur la capacité de cette personne à transmettre un message clair et assuré.

En parallèle, le choix de la plateforme de diffusion et du compte associé est également décisif. Sélectionner une plateforme inappropriée peut s’avérer inutile, voire pire, allumer le feu là où il n’est pas. C’est en voulant s’essayer au face cam qu’en 2017 United Airlines à créer un bad buzz sur Facebook. Des vidéos d’une évacuation musclée d’un passager jugée disproportionnée ont été largement diffusées sur Twitter. La cause ? Le passager avait été tiré au sort pour céder sa place à un membre d’équipage d’une compagnie partenaire. Médecin, il s’était opposé en raison de rendez-vous médicaux qu’il devait assurer. Après ce scandale, le PDG a pris la parole en Facebook Live. La publication a été perçue comme inappropriée et a été submergée de commentaires négatifs en temps réel, allumant le feu sur une autre plateforme en manquant sa cible initiale.

Le face cam c’est donner l’impression que l’on s’exprime en toute spontanéité à une communauté, sans montages et sans intermédiaires. C’est répondre à la demande d’images de plus en plus « brutes » des internautes et des communautés. Cependant, malgré l’image qu’elle donne, cette pratique nécessite une bonne préparation, plusieurs répétitions et le bon porte-parole. Selon la gravité de la crise, le face cam ne doit pas être une solution miracle. Une apparence trop décontractée face à une situation perçue comme très grave peut également se retourner contre l’entreprise.

Trois grands conseils si vous souhaitez vous tenter à l’exercice : média-trainer le porte-parole, choisissez avec soin vos objectifs de communication au regarde de vos réels enjeux et effectuez un mapping précis des conversations sur les réseaux sociaux pour ne pas se tromper de cible ou de canal.

Le 28 février 2023, vers 23h30, un convoi de marchandise percute un train Intercity avec 342 passagers et 10 employés sur la ligne Athènes-Thessalonique. Ils roulaient sur la même voie mais en sens inverse !

La violence du choc provoque un incendie : de nombreux moyens ont dû être déployés pour secourir les passagers coincés sous les décombres. Le ministre de la Santé se rend rapidement sur place, et le gouvernement organise une réunion de crise.

Trente-six morts sont tout d’abord annoncés. Ce chiffre est porté rapidement à 57 morts par le porte parole des pompiers. De nombreux étudiants se trouvaient à bord après avoir profité d’un week-end prolongé. Les blessés sont dispatchés dans tous les hôpitaux environnants.

La compagnie ferroviaire en cause, Hellenic Train, est une compagnie privée, ancienne filiale d’OSE, qui appartient depuis 2017 au groupe italien Ferrovie dello Stato Italiane. En effet, après la crise économique de 2008 à 2018 qui a frappé la Grèce, un programme de privatisation a été imposé par les bailleurs internationaux, incitant la Grèce à réduire ses dépenses publiques

Ce qui est considéré comme la plus importante catastrophe ferroviaire grecque devient rapidement un sujet politique et la vétusté du système au sens large est pointé du doigt. Ce qui est considéré comme la plus importante catastrophe ferroviaire grecque devient rapidement un sujet politique : la vétusté du système au sens large est pointée du doigt.

Une crise politique

Le ministre des Transports et des Infrastructures, Konstantinos Karamanlis donne sa démission le 1er mars, soulignant que la douleur liée à l’accident était pour lui indescriptible et assumant la responsabilité des erreurs de longues dates de l’État et du système politique grec. Le Premier ministre Kyriákos Mitsotákis décrète un deuil national de trois jours au lendemain de cet accident.

D’autres parties prenantes vont se faire le relais de cet évènement. C’est notamment le cas des syndicats de conducteurs de trains, qui dénoncent des conditions de travail et une qualité du réseau ferroviaire plus qu’insuffisantes depuis de nombreuses années déjà.

Les manifestations débutent dès le 1er mars, dans plusieurs villes dont Athènes, notamment devant le siège de la compagnie. Les médias et les réseaux sociaux relaient la tristesse des familles des victimes et des syndicats cheminots faisant émerger une colère populaire. Tout le pays a les yeux rivés sur cet accident.

Le gouvernement va prendre régulièrement la parole dans les jours suivants, du nouveau ministre des Transports au Premier ministre. Il reconnait les lacunes du secteur public avec empathie, et focalise l’attention sur le coupable désigné : le chef de gare de Larissa. En effet, le 2 mars, il est arrêté et placé en détention provisoire pour homicides par négligence et blessures corporelles, risquant la peine maximale.

Les déclarations du gouvernement ne vont pas pour autant apaiser la situation. Le 2 mars, des manifestations éclatent à nouveau, et les altercations avec les forces de l’ordre sont violentes. De surcroit, un appel à la grève est lancé par les cheminots pour 24 heures. Le même jour, le groupe italien, propriétaire de la compagnie, refuse toute déclaration, alors que Joe Biden exprime son soutien au peuple grec. La crise s’internationalise.

L’enquête met en lumière de nombreux manquements, notamment celui de l’embauche illégale de l’accusé. En effet, l’homme n’avait plus l’âge légal pour participer à la formation en lien avec son poste. De plus, il n’avait pas accompli le nombre d’heures d’apprentissage nécessaires et a été envoyé sur le terrain sans superviseur. Tout d’abord considéré comme le résultat d’une erreur humaine du chef de gare, cet accident met l’accent sur un système de formation défaillant. Le climat social continue de se détériorer lors des rassemblements populaires et les prises de parole se multiplient, tout particulièrement celles des syndicats étudiants. L’opinion publique se fait l’avocat du chef de gare, pointant du doigt le système tout entier. Les médias présentent officiellement leurs excuses pour ne pas avoir relayé les manquements, malgré les alertes des différents syndicats.

Les journalistes répondent alors à l’appel des syndicats du privé et du public en observant 24 heures de grève le 15 mars. Aucun bulletin d’information n’est diffusé ce jour. Cette grève s’accompagne de revendications salariales.

À la suite de la mise en cause du système d’infrastructure et des revendications populaires,le Parquet européen (EPPO) ouvre une enquête sur les contrats liés au système de signalisation des trains grecs et au contrôle à distance.

Hellenic Train annonce une compensation financière pour les familles des victimes, qui ne peut être inférieure à 21.000 euros en cas de décès selon la règlementation européenne de 2007. La compagnie refuse toujours d’admettre sa responsabilité dans l’accident et porte plainte contre la société publique OSE pour défauts de sécurité sur son réseau.

Malgré les cérémonies organisées et les jours de deuil, la colère perdure et les manifestations violentes se repètent. Le chef de la police, Constantinos Skoumas, est démis de ses fonctions. Le parti d’opposition, Syriza, et son chef de file, Níkos Androulakis, multiplient les déclarations assassines contre le gouvernement en place. Les deux camps se renvoient la balle sur un système en désuétude depuis plusieurs années. Apparait alors l’enjeu politique de cet accident : les élections législatives de mai 2023.

Depuis cet accident, la crise politique continue de se cristalliser en Grèce.

Selon les premiers constats de la RAS (régulateur grec des chemins de fer), de sérieux manquements ont été observés en termes de sécurité et de gestion du réseau ferroviaire. En ce qui concerne la formation inadéquate des employés OSE : personne n’est en mesure de confirmer que le chef de gare a achevé sa formation théorique et pratique. La RAS décide de prendre des mesures « d’urgence en raison d’indications sérieuses de violation de la législation ferroviaire, ce qui constitue une menace sérieuse pour la sécurité publique ». La directrice de la RAS avait déjà tiré la sonnette d’alarme sur le mauvais état du réseau ferré et le manque de personnel en janvier dernier. La RAS avait infligé une amende de 300.000 euros à Hellenic Train pour ne pas être intervenus alors que 800 passagers ont été bloqués dans des trains au cours de la vague de froid de l’hiver 2022.

Alstom est également mis en cause dans l’affaire de la conduite des travaux ferroviaires grecs. Mediapart a publié une série d’articles sur les retards observés des travaux ferroviaires grecs, dont la Commission Européenne du ministère des finances avait révélé les failles.

Enfin, mardi 16 mai, le Premier ministre Grec et d’anciens membres du gouvernement et d’autres responsables de chemins de fer ont été visés par une plainte. Elle a été déposée par un collectif de familles de victimes de l’accident, le « Collectif des personnes touchées par l’accident de Tempé ». A cinq jours des élections législatives, le Premier ministre dénonce une instrumentalisation de ces élections.

Industrialisation de la manipulation de l’information grâce l’intelligence artificielle : repenser l’analyse des mouvements d’opinion.

L’information est une arme puissante utilisée par de nombreux acteurs. L’enquête story killers¹ portant sur des entreprises spécialisées dans la diffusion de fausses informations dans les grands médias en est une des démonstrations. Les Fake news, les deep fakes ou plus généralement la manipulation de l’information pour servir des objectifs politiques ou économiquessont maintenant courantes. Dans ce contexte, la démocratisation de l’utilisation de l’intelligence artificielle peut permettre une industrialisation des campagnes d’opinion manipulées.

Comment les grandes entreprises peuvent-elles identifier ces faux mouvements ? Comment peuvent-elles réagir ?

Nous vous en parlions il a quelques mois, l’astroturfing est un véritable outil de manipulation.

Depuis la naissance des réseaux sociaux et en particulier du web conversationnel tout a chacun peut s’exprimer et participe à la fabrication de l’opinion. Jusqu’ici la manipulation était opérée par des individus servant des intérêts plus ou moins louables. Le Parti des 50 centimes en République Populaire de Chine est la plus grande communauté d’astroturfers du monde. Elle comptait 300 000 membres en 2008. Le nom du parti des 50 centimes fait référence aux 50 centimes de Yuan que gagnent les membres pour chaque message posté.

Bing Liu, un expert en data mining de l’université de l’Illinois aux États-Unis, estime qu’un tiers des commentaires sur Internet sont faux et servent à créer une image positive d’une marque, qu’ils soient postés manuellement ou par des « bots ». Différencier les messages postés par de véritables comptes appartenant à des personnes et par de faux profils devient de plus en plus difficile.

Par conséquent, les véritables mouvements populaires s’en retrouvent affaiblis ou utilisés.

En effet, l’astroturfing n’a pas pour objectif de construire un mouvement d’opinion de toute pièce mais bien de prendre comme fondement une réalité sociale et/ou sociétale. On peut citer les campagnes L214 qui se fondent sur des idées politiques partagées dans la société. Dans le cadre de ces campagnes, on observe plusieurs tweets qui sont des exacts copiés-collés les uns des autres. Ces contributions permettent de faire du volume et de capitaliser sur les revendications sociétales préexistantes. Bien-être animal, écologie, modèles d’agriculture plus soutenable sont autant de sujets de plus en plus présents dans le débat public. Les campagnes de L214 capitalisent donc grâce à l’astroturfing au profit notamment des start-up de création de viande in-vitro ou des industriels du soja basés aux États-Unis. Les effets ne sont pas immédiats mais la stratégie est pensée sur le long terme et vise à préparer les sociétés à de nouveaux modes de consommations.

Alors, en quoi l’intelligence artificielle a-t-elle à voir avec de telles campagnes ? Avec l’intelligence artificielle, on passerait d’une activité de manipulation artisanale à une activité industrielle.

Dans ce contexte, les entreprises doivent être d’autant plus attentives et devraient se doter d’outils performants permettant d’identifier ce type de pratique. Analyser les réseaux sociaux avec des critères quantitatifs ne suffit plus. Une analyse qualitative est essentielle afin de comprendre les forces en présence, les communautés mobilisées et les cibles potentielles de l’astroturfing pour adapter la stratégie en conséquence et identifier ses vrais faux ennemis.

Lors de la propagation de fausses informations, il convient de rectifier au plus vite, à un moment où vous êtes encore crédible pour le faire. Lors d’une campagne de propagande, la réactivité va ici aussi être la clé pour remettre les faits au centre du débat.

Grâce à une analyse fine des cartographies de conversation et des « bots », une stratégie réactive peut être mise en place plus rapidement et contrer les feux naissants sur les réseaux sociaux.

---

¹ Pendant des mois, une centaine de journalistes internationaux ont enquêté sur les opérations d’influence en ligne et sur la manipulation des réseaux sociaux par des entreprises spécialisées. Ces « mercenaires » de l’information ont été utilisé dans le cadre de campagnes politiques par exemple.

Se préparer aux menaces cyber nécessite toujours d’investir, ce qui signifie être parfois vu comme un centre de coûts, alors que les répercussions positives ne sont pas toujours immédiates. Autrement dit, investir dans la cybersécurité, comme dans la sûreté d’une manière générale, n’apporte pas de bénéfice immédiat. Ce qui n’aide pas toujours à ce que les mesures décidées soient suivies d’effet.

Cependant, le risque est bien réel. Lors d’une attaque, les impacts, notamment réputationnels et financiers, sont directs et dévastateurs. Face à une menace informatique croissante et en mutation, l’anticipation et la prévention sont primordiales. Qui veut la paix prépare la guerre. Rechercher à améliorer sa résilience devient plus qu’une nécessité. La menace est en hausse continue : l’ANSSI a eu connaissance de 1082 intrusions avérées dans les Systèmes d’Information en 2021, contre 786 en 2020. Il est, de fait, nécessaire de prévoir des mécanismes de gestion de crise en amont pour se préparer à toutes les éventualités. Toutes les entreprises seront, un jour ou l’autre, confrontées à une crise cyber.

Nous faisons face, hélas, à une amélioration constante des capacités des acteurs malveillants, à une professionnalisation de plus en plus poussée. Le ciblage reste quant à lui assez large, et touche autant le secteur public que privé, avec les PME comme premières exposées. Les objectifs visés étant très différents. Cependant, pour qu’une menace cyber soit réelle, il faut d’une part qu’une vulnérabilité soit exploitable et d’autre part que l’attaquant ait un intérêt à attaquer. Les motivations sont souvent multiples : elles peuvent être fondés sur la curiosité (le but in fine n’est pas de voler mais de tester les mesures de sécurité d’un organisme), sur le prestige, sur l’espionnage, sur la nuisance (la vengeance), pour la propagation d’une idéologie (initié par un groupe de personnes, comme les Anonymous) ou encore l’extorsion de fonds.

Les attaques à finalité lucrative et crapuleuse sont les plus récurrentes. Cependant, il ne faut pas pour autant omettre l’espionnage industriel et économique qui reste la première motivation des attaques. Certaines puissances étatiques sont parfois à la manœuvre. Entre Ransomware (cybermenace la plus répandue où les données sont prises en otage et les pirates demandent une rançon), Phishing (l’envoi de courriels usurpant l’identité d’acteurs privés ou publics pour obtenir des informations), fuite de données et attaques DDOS (Distributed Denial Of Service Attack – il s’agit de l’envoi de milliers de données en même temps vers une cible pour rendre son serveur inaccessible), les attaques se multiplient.

De grandes cyberattaques ont marqué des tournants dans le domaine du cyberspace et dans la société en général.

La découverte du Ver Stuxnet en 2010 au sein d’installations nucléaires iraniennes qui avait pour but d’espionner au profit des Etats-Unis et d’Israël et de saboter les systèmes industriels. Cette attaque a démontré le pouvoir d’un logiciel malveillant de potentiellement déclencher un conflit mondial.

En 2017, le tristement célèbre » logiciel Wannacry a impacté plus de 300 000 appareils dans plus de 150 pays, et a duré plus de 4 jours. Des infrastructures indispensables ont même été infectées. Ce fut l’un des ransomware les plus dévastateurs, les préjudices s’élèvent à plusieurs milliards de dollars de dégâts selon les estimations d’Europol.

Not Petya a aussi constitué une des attaques informatiques des plus couteuses de l’histoire. L’impact financier mené au niveau mondial contre toutes les entreprises a été chiffré par l’entreprise Française Saint-Gobain à hauteur de 250 millions d’euros. La cyberattaque mondiale a infecté majoritairement l’Ukraine puis s’est répandue au sein de milliers d’entreprises européennes. Ce Ransomware était plutôt destiné à effacer les données et les écraser qu’à réclamer une rançon.

Maîtriser le risque numérique, pour éviter une crise cyber de grande envergure susceptible de paralyser tous les systèmes informatiques d’une entreprise, apparaît fondamental. Les attaques se multiplient et touchent tousles domaines : autrement dit une attaque cyber est aujourd’hui quasiment inévitable. Préparer un plan de gestion de crise à froid est dès lors essentiel. Demain, l’organisation responsable, résiliente et génératrice de confiance pour ses clients sera celle qui capable de maîtriser, d’affronter et de se relever d’une crise cyber.

Le directeur de la cellule de crise est en général le plus gradé : cela va souvent avec le mandat social. Il ou elle est ainsi responsable au sens juridique si la gestion de la crise venait à être remise en cause.

Il occupe un rôle central : il décide de l’armement de la cellule de crise et de sa fermeture. Il choisit la stratégie de réponse à mettre en œuvre, les objectifs et les priorités. Il a la charge de protéger la réputation de l’organisation. Il définit également les KPI (Key Performance Indicator), c’est-à-dire « on aura réussi cette gestion de crise si ». Le directeur doit être capable de prendre des décisions et d’agir face à l’urgence et au stress. Il garde du recul et veille à combattre les biais cognitifs.

Sa principale responsabilité est l’anticipation. Il forme un binôme avec le coordinateur (voir notre article précédent : https://www.eha-consulting.com/le-coordinateur-de-crise/ ) qui a la charge de sa mise en œuvre. Les scénarios sont d’abord travaillés en commun, lors d’une réunion de réflexion de groupe, puis chaque membre doit travailler les scénarios de son domaine d’expertise. Ce binôme permet d’assurer l’intérim en cas de vacance de la fonction directeur, car le coordinateur, tel la tour de contrôle ne quitte pas la cellule de crise.

Le directeur de la cellule de crise, est aussi porte-parole et représente l’organisation devant les parties-prenantes clés (médias et les autorités) il doit donc pouvoir quitter la cellule sans perturber son fonctionnement.

Les autres membres de la cellule de crise, tout comme l’organisation, doivent avoir confiance en lui. Sa personnalité a un impact sur la libre expression des autres fonctions de la cellule, il doit rassembler les équipes. L’empathie du directeur est un atout : l’opinion de chacun doit pouvoir s’exprimer avant la prise de décision, et ainsi mettre à profit l’intelligence collective de l’ensemble de la cellule de crise
En revanche, au moment de la prise de décision, les acteurs doivent s’aligner et mettre en œuvre.

Il incombe à chaque membre de la cellule de crise de prendre en compte les décisions prises et de cesser de les questionner. Le directeur ne « fait rien » : il « fait faire ». L’équipe de crise doit être solidaire, derrière son chef.
C’est au moment du RETEX que les membres pourront donner leur avis de nouveau sur la décision qui a été prise. Ce moment, post crise, est nécessaire pour tirer les leçons de la crise vécue, et capitaliser l’expérience commune, c’est le directeur de la cellule de crise qui doit s’assurer que le retex est conduit.

Rencontre insolite :

L’intelligence collective et le « leader facilitateur », deux facteurs de réussite d’une gestion de crise.

Robert de Quelen, expert en matière de leadership et d’organisation et auteur du livre Travailler autrement avec l’intelligence collective, paru aux éditions Leduc, a partagé avec nous sa vision de la gestion de crise. L’intelligence collective et la notion de « leader facilitateur » ont été identifiés comme deux clés essentielles.

Instaurer la confiance au sein de la cellule de crise :

La diversité d’opinion est primordiale au sein d’une cellule de crise afin de s’assurer d’avoir envisagé chaque situation et de limiter les biais cognitifs. Cette diversité peut se développer seulement si les membres de la cellule de crise ont établi un climat de confiance entre eux.

Savoir que l’on peut s’appuyer sur les capacités de ses collègues, choisis pour leur expertise dans leurs domaines respectifs, est une des clés pour un fonctionnement fluide de la cellule de crise. De plus, il est important de respecter le cadre des processus de résolution de la crise, en suivant les étapes établies par le plan de crise. L’objectif est de se concentrer sur la problématique à résoudre en dépassant les « jeux d’ego » et de positionnement. Après la phase de diagnostic dans laquelle on encourage la divergence des points de vue, on va mettre en place une hybridation des idées, combinant les hypothèse/suggestions des divers membres de la cellule. On évite ainsi les angles morts et on dépasse les biais cognitifs tels que l’excès d’optimisme (ou de pessimisme) pour une appréciation plus réaliste de la situation. Ces mécanismes d’intelligence collective assurent un fonctionnement optimal de la cellule de crise.

Par ailleurs, il existe une méthode efficace afin de faire participer tous les membres de l’équipe de gestion de crise en gommant les différences de personnalité ou de statut : le tour de table silencieux. Ce mode de réflexion, mis en place par le directeur, permet à chacun de s’exprimer à son tour, dans un ordre rigoureux, sans être influencé par les autres (surtout s’ils bénéficient d’une plus haute autorité hiérarchique ou morale). Le directeur pose une question sur la manière de résoudre une problématique de la crise en cours et chaque membre de la cellule y répond par écrit. Cette méthode présente l’avantage de donner la parole à tout le monde équitablement et surtout d’éviter les bavardages inutiles.

L’intelligence collective :

D’après Robert de Quelen, l’intelligence collective se définit comme « ce qui se passe lorsque les conditions sont réunies pour qu’un groupe crée plus de valeur ensemble que chacun des individus qui le composent n’en produirait séparément. 1+1=3 ». L’auteur évoque en particulier deux principes : l’avocat du diable et la distinction entre la personne et le rôle.

L’avocat du diable est une technique destinée à éliminer les biais cognitifs. Une personne est spécifiquement désignée pour repérer et indiquer les points faibles d’un raisonnement. Sa mission est aussi d’imaginer les pires situations d’évolution de la crise. Dans l’idéal, à chaque tour de table, une personne différente prend ce rôle de sceptique, de briseur de consensus. Cela permet de vérifier la solidité de l’argumentation. Une précaution indispensable lorsque l’on travaille l’anticipation.

La distinction entre la personne et le rôle est également essentielle, et très difficile. Dans le cas de l’avocat du diable, elle rend acceptables ses remarques car en les exprimant, il ne fait que jouer son rôle avec professionnalisme. On ne peut plus les écarter comme autant d’opinions personnelles. Le fait de jouer ce rôle chacun son tour donne aux membres de la cellule de crise l’occasion de s’entraîner à considérer la situation sous divers points de vue. Cela fait donc partie du processus cognitif. De plus, la distinction entre la personne et le rôle permet aux membres de la cellule de crise de se remplacer les uns les autres si nécessaire, en s’appuyant sur les fiches descriptives du rôle, par exemple en cas d’absence d’un membre.

Ainsi, si l’un des membres de la cellule a le rôle de responsable communication, il pourra également assumer le rôle de l’historien en attendant que ce dernier arrive. Cette flexibilité basée sur les processus est une partie intégrante de l’intelligence collective.

Ce processus de réflexion commun doit avoir été appris et pratiqué en amont grâce à des formations et des exercices. Les retours d’expériences réalisés ensuite par un tiers sont également primordiaux afin de pouvoir reproduire les processus qui ont été efficaces.

Le leader facilitateur :

La posture de leader facilitateur a plusieurs avantages pour le directeur de la cellule de crise. Il lui permet de limiter ses propres biais cognitifs en partageant sa réflexion avec son équipe. Cela ne signifie pas pour autant que la décision finale est collégiale. Le directeur reste in fine responsable de la décision. La façon d’envisager le management d’une cellule de crise ne remet pas en cause la manière dont la décision est prise, mais la façon dont elle est préparée.

Le rôle de leader facilitateur permet également de maximiser l’intelligence collective. Le directeur devient alors le médiateur de la cellule pour laisser tous les membres présents partager leurs réflexions, leurs points de vue. Il est important dans ce cas que le directeur prenne la parole en dernier lors des tours de table pour que chacun puisse discuter librement sans être influencé par l’opinion du manager. C’est un point clé pour optimiser la méthode de l’intelligence collective dans le cadre d’une cellule de crise.

Enfin, le modèle de leader facilitateur est bien plus efficace aujourd’hui alors que les crises se succèdent. En effet, un incident peut facilement avoir des conséquences sur la réputation de l’entreprise, dans le domaine juridique ou financier. Les polycrises rendent difficile voire impossible une prise de décisions efficiente par une seule et même personne, d’où l’intérêt de la combinaison des membres de la cellule de crise.

L’expertise des membres de la cellule de gestion de crise est certes importante, mais son management est une partie intégrante de sa réussite. La combinaison de l’intelligence collective et du « leader facilitateur » permet donc une résolution de crise efficace en maximisant la réflexion des membres de la cellule. Le directeur de la cellule de crise peut dès lors prendre la meilleure décision grâce à une réflexion collective tout en limitant les biais cognitifs.

Biographie de Robert de Quelen :

Il est l’auteur de deux livres : Alice au pays des projets, publié en 2017 aux éditions Afnor et Travailler autrement avec l’Intelligence collective, publié en 2021 aux éditions Leduc, collection Alisio.

Adoptée le 28 novembre 2022, la directive place les entreprises européennes en chef  de file des problématiques RSE. Une responsabilité supplémentaire mais qui peut  également leur permettre de se différencier par leur exemplarité. 

D’abord conscrit à la « soft law», le devoir de vigilance est entré dans la loi en France  en 2017 et entre aujourd’hui dans les textes européens. TotalEnergies, Suez, Lafarge le  savent bien : le tribunal qui juge les entreprises est d’abord médiatique. Dans ce  procès, pas d’avocat ni de juge. La présomption d’innocence est rarement de rigueur.  Accusations vraies ou fausses, il est toujours difficile de reblanchir son image une fois  que celle-ci a été traînée dans la boue. Depuis décembre 2022, la législation  européenne a évolué et permet d’amener le procès médiatique sur le terrain judiciaire.  Avec un accueil positif quasi unanime lors de sa présentation au Parlement européen,  la nouvelle directive européenne relative au devoir de vigilance des entreprises entre  en vigueur. Elle s’applique aux entreprises européennes et étrangères qui opèrent en  Europe. La loi vient avec une portée extraterritoriale : elle s’applique non seulement  aux entreprises européennes mais aussi à ses fournisseurs, et autant que faire se peut,  aux fournisseurs de ses fournisseurs. Objectif de la loi ? Prendre en compte l’ensemble  de la chaîne de valeur et permettre une homogénéisation des bonnes pratiques.  

Un durcissement de la loi française 

Concrètement, les entreprises devront identifier, traiter et rendre compte des risques  environnementaux et sociaux que présentent leur modèle économique et leurs  activités. Cela permettra d’établir des règles égales en matière de concurrence, au  moins au niveau européen, et d’offrir une plus grande transparence vis-à-vis des  consommateurs. Si la loi française était déjà solide en la matière, la directive  européenne va plus loin et est plus contraignante. Non seulement le nombre  d’entreprises concernées est plus élevé, mais il s’applique à l’ensemble des relations  de l’entreprise et pas uniquement aux filiales et aux sous-traitants. Dans le viseur de la  directive, trois secteurs : l’industrie textile, l’industrie extractive et l’agriculture. Le  choix n’est pas anodin. Les entreprises du secteur extractif et textile sont  régulièrement mises en cause par les ONG et se retrouvent tout aussi régulièrement  en gros titres des journaux. La directive pourrait alors toucher 13 000 entreprises  européennes et 4 000 entreprises étrangères. Si les PME ne rentrent pas dans le cadre  de la loi au sens strict, elles seront tout de même affectées en tant que partenaires des  entreprises concernées. 

Des coûts, des risques et une opportunité  

Concrètement, les mesures à prendre sont inéluctablement synonymes de coûts  directs pour l’entreprise, dans le cadre de la création de services dédiés ou de  formation. Le nonrespect de ces nouvelles règles s’accompagnera d’amendes infligées  par les autorités administratives nationales désignées par les États membres. Leurs  modalités restent encore à déterminer. Cependant, en se calquant sur la législation  française, on peut s’attendre à un montant pouvant aller jusqu’à 30 % du chiffre  d’affaires annuel de l’entreprise, selon la gravité. De plus, si la directive va permettre  une harmonisation de la législation au niveau européen et un lissage en matière de  concurrence au sein du marché unique, c’est l’ensemble des entreprises européennes  qui sera soumis à des distorsions de marché en matière de concurrence, sur les  marchés asiatiques et africains notamment. En effet, les entreprises étrangères,  turques et indiennes, pour ne citer qu’elles, ne s’encombrent pas des mêmes  considérations. Au motif du respect de la directive, certains appels d’offres ne seront  plus envisageables pour les vertueuses entreprises européennes.  

L’opportunité de la vertu  

D’un autre côté, devenir irréprochable au sens de cette directive est une opportunité.  En travaillant sur leurs obligations et engagements sociaux, les entreprises  européennes se donnent la possibilité de faire de cette différence un facteur de  préférence. Et c’est déjà le cas dans d’autres domaines. À titre d’exemple, les  engagements de l’Union européenne concernant la protection des données font des  entreprises issues du marché unique des partenaires dignes de confiance. Au sein des  marchés émergents, les entreprises européennes bénéficient alors d’un avantage  concurrentiel notable par rapport à la Chine, les États-Unis, la Russie, l’Inde ou la  Turquie. 

S’engager, oui, baisser la garde, non  

Être vertueux aux yeux de la loi n’est malheureusement pas suffisant. Une entreprise  aujourd’hui « irréprochable », ne l’a peut-être pas toujours été. Il lui faudra gérer son  historique. Changements de gouvernance et évolutions de pratiques n’effacent  malheureusement le passé. C’est justement lorsque le robinet est coupé à ceux qui  profitaient d’un fonctionnement « à l’ancienne » qu’elles peuvent ressurgir. De plus,  certaines entreprises étrangères n’hésiteront pas à utiliser la loi afin de fragiliser les  positions de leurs concurrents européens. Les combines, qui allient lanceur d’alerte  pas si impartial, très bien payé, et ONG, bras armé d’un gouvernement, étaient déjà  monnaie courante, et le resteront. En d’autres termes, l’ombre de la crise plane  toujours. Il est important pour les entreprises de comprendre leur environnement et  les risques liés, pas seulement financier, mais sociaux, culturels et économiques. Sur  les sujets les plus sensibles, il faut que les entreprises adoptent une position franche, aient la capacité de l’expliquer et de présenter les mesures prises pour faire face à ces  sujets.

Cinq grandes obligations  

• Recenser les incidences potentielles négatives de leur activité puis mettre en place  les mesures nécessaires pour atténuer ces mêmes incidences  
• Publier annuellement un rapport public faisant état en toute transparence du  respect des obligations de vigilance des entreprises  
• Mettre en place une procédure d’alerte accessible par l’ensemble de la chaîne  d’approvisionnement  
• Indiquer leurs engagements de réduction des émissions de CO2, pour les  entreprises au chiffre d’affaires supérieur à 150 millions d’euros  
• Délai d’exécution : 27 novembre 2025, soit trois ans après l’entrée en vigueur de  la directive.

Points d’attention 

• Qui pourra saisir les tribunaux ? La directive européenne ne le précise pas, il faudra  attendre la transposition en droit national pour savoir si une victime, une  organisation de la société civile, un syndicat ou une autre personne morale pourra  introduire un recours au nom de la victime  
• Investiguer sa chaîne de valeur, surtout si elle est très diluée. Le fait générateur  incriminant peut souvent venir d’un fournisseur de rang trois ou deux

Le 15 décembre dernier, s’est tenu le colloque du Club des Directeurs de la Sécurité en Entreprise (CDSE) présidé par Stéphane Volant sur le thème « L’Entreprise à l’ère de la multi- crise ». Si les entreprises étaient largement représentées, notamment par les membres des directions sécurité-sûreté, les acteurs publics étaient également très présents, montrant ainsi l’importance du partenariat public-privé pour permettre à chaque organisation de faire face et de résister en cas de crise.

Si la définition de la crise peut différer d’un acteur à un autre, c’est principalement le cas compte tenu des périmètres, rôles et responsabilités de chacun. Mais les enjeux in fine sont toujours les mêmes : affronter au mieux la tempête, tenir bon, limiter les avaries et protéger les personnes.

Nous retenons notamment des interventions et tables rondes de ce colloque les points suivants.

En cas de crise majeure, une entreprise doit faire montre d’empathie, d’humanité, de responsabilité – ce que nos voisins anglo-saxons nomment accountability- tout en gardant à l’esprit qu’elle ne doit pas s’exposer inutilement juridiquement et médiatiquement. Ainsi, comme l’a rappelé Guillaume Pépy, ancien dirigeant de la SNCF, à propos du terrible accident de Brétigny-sur-Orge, dès lors qu’on dénombre des victimes, qu’il s’agisse de blessures physiques, morales et même financières, l’entreprise doit être présente, représentée et incarnée. La prise de parole de l’entreprise doit être préparée avec les équipes de communication et les juristes, bien sûr, mais elle doit être sincère. Cela se prépare, se travaille, on peut s’exercer grâce à des media-training de crise.

Un autre point a particulièrement retenu notre attention : les risques géopolitiques et sécuritaires demeurent hélas une réalité pour les entreprises, et pas uniquement en dehors des frontières françaises. Mais une attention plus spécifique encore devrait être portée aux risques socio-économiques. La crise énergétique, les prix des matières premières, en plus des autres conflits et tensions mettent déjà bon nombre d’entreprises en grande difficulté. Les conséquences risquent d’être nombreuses : dépôts de bilans, rachats opportunistes, plans sociaux…L’Humain doit être encore plus particulièrement pris en compte et les entreprises doivent se préparer à faire face à des conflits sociaux, des risques psycho-sociaux plus importants, des manifestations potentiellement violentes. Les organisations doivent pouvoir continuer à travailler malgré des équipes parfois en sous effectifs, des difficultés à recruter du personnel qualifié etc. Cela accroît le risque d’accident et de crise, et donc augmente les impacts potentiels pour les entreprises.

Ces dernières années ont vu la menace cyber augmenter : ce sujet est devenu médiatiquement intéressant, mettant en lumière le travail fait par les autorités et les entreprises, mais pouvant également donner des envies plus importantes aux attaquants. Les motivations de ces attaques sont nombreuses et variées : idéologiques, purement crapuleuses, à des fins d’instrumentalisation dans un contexte de guerre économique. Comme l’a rappelé Guillaume Poupard, ancien directeur général de l’ANSSI, en plus de la menace cyber, l’extraterritorialité de certaines lois viennent fragiliser encore plus les entreprises et nos « ennemis » ne sont pas uniquement ceux auxquels on pense… Face à ces menaces, il est urgent que les entreprises, et plus notamment les Comités Exécutifs et Comités de Direction, prennent pleinement conscience des enjeux et mettent en place tous les outils nécessaires. Une adresse email « deontologie@entreprise.fr » ne suffit pas, même si c’est un bon début.

Si vis pacem para bellum : il est urgent que les acteurs économiques, groupes du CAC 40 comme TPE-TPI, se préparent et s’entraînent régulièrement à gérer des situations complexes, difficiles, pouvant mettre en péril leur modèle économique, le cœur de leurs activités, leur réputation. S’il faut en priorité identifier et gérer les risques inhérents aux métiers de l’entreprise, les risques moins évidents, moins palpables ne doivent pas être minimisés. La pandémie de COVID-19 l’a montré : les entreprises ne peuvent pas ignorer un risque au prétexte que sa probabilité d’occurrence est faible.