Month: December 2023

En février 2022, débute la guerre entre la Russie et l’Ukraine. La guerre est de retour en Europe et de nombreux acteurs s’expriment sur le sujet. C’est LE sujet qui occupe le terrain médiatique des mois entiers.

Bien sûr, le sujet de la guerre est avant tout un domaine réservé aux États, aux gouvernements. Mais les entreprises ont été également “embarquées”. La pression des opinions publiques et cercles de pensées a contraint ou a voulu contraindre les entreprises à prendre position POUR ou CONTRE la Russie.

Ainsi, des appels au boycott ont été lancés contre les hypermarchés Auchan. L’entreprise Nike avait subi les mêmes pressions lorsque le scandale du traitement infligé aux Ouïghours par la Chine avait explosé.

Récemment, l’escalade de violences observée depuis  le 7 octobre 2023 dans le conflit Israélo-Palestinien a vu fleurir un fort mouvement de blacklisting et de boycott de marques.

Phénomène déjà implanté durablement aux États-Unis, cette relation d’exigence et de responsabilité des marques face à l’opinion publique se retrouve de plus en plus en France.

Pourquoi les marques se retrouvent-elles dans cette situation ?

Comme l’illustre précisément Raphaël Llorca, expert en communication et en science du langage, dans son livre Le Roman National des Marques, les personnalités politiques ont de plus en plus de mal à mobiliser un roman national. Ils sont en perte de vitesse lorsqu’il faut raconter la France ou les Français, ou à mettre en place un système de valeur rassembleur.

Phénomène complexe et multi-causal, leur perte de vitesse laisse un espace vide comblé par divers acteurs, dont les marques et les entreprises privées.

Démonstration également par le Baromètre Edelman de la confiance  2023 : la population française accorde plus de crédits aux entreprises pour lesquelles elle travaille qu’aux élites politiques pour lesquelles elle a pourtant voté. L’étude statistique montre également qu’on attend de l’entreprise une prise de position et un engagement.

Si nous souhaitons comprendre la position subtile que les marques occupent aujourd’hui dans notre société, nous devons analyser la consommation de la population, et la place que nous donnons aux marques au quotidien.

Considérer les marques comme étant seulement un acteur économique serait une erreur.  En 1979, l’économiste Baron Isherwood et l’anthropologue Mary Douglas étudient dans The World of Goods, la consommation de plusieurs classes sociales aux États-Unis. Ils observent rapidement des comportements qui ne sont pas économiquement rationnels.

Selon les auteurs, les biens de consommation portent une symbolique culturelle. La consommation n’est donc plus seulement une transaction économique mais un acte social, culturel, permettant de se positionner, en opposition ou en conformité de certain groupes sociaux, politiques ou religieux.

La multiplication de la concurrence et la mondialisation de l’économie poussent les marques à se différencier sur d’autres terrains. Elles doivent incarner des idées, voire des “combats”, afin de remporter la bataille de l’opinion publique.

Partant de ce principe il est évident que les marques portent un récit, un ensemble de symboles permettant au consommateur de faire son choix en fonction de l’attachement perçu au système de valeur porté par l’entreprise.

Un écart de la marque à ce sens éthique entraine inévitablement un fort sentiment de trahison chez les consommateurs. Pire, faire défaut à cette éthique pour une raison économique, financière, ne fera qu’accentuer cette réaction négative.

Cherchant peut-être une forme de confirmation de l’adéquation entre le système de valeur promu par la marque et les siennes, la population demande de plus en plus aux entreprises de se positionner sur des sujets d’actualité.

Aujourd’hui l’éthique de marque surpasse, pour certains produits, la qualité brute. Une entreprise avec un système de principes moraux fiable est respectée, soutenue et détient un fort potentiel d’attraction de nouveaux talents.

Comment prendre position en temps de guerre ?

Dans cette situation, prendre position est un exercice délicat pour les entreprises, qui peut rapidement mener à une crise de réputation.

Facteur aggravant de cette situation, la polarisation de la société rend chaque prise de position d’autant plus sensible.  Se positionner sur un sujet d’actualité, implique de se mettre à dos l’autre partie de l’opinion publique. Il[EH1]  faut donc parfaitement connaître sa cible, son marché, son positionnement préexistant afin d’anticiper les conséquences de cette prise de position.

Lors de l’invasion de l’Ukraine par la Russie en février 2022, la Russie est apparue aux yeux de l’occident comme l’ennemi et l’Ukraine comme la victime. La réaction attendue des marques par l’opinion publique était d’exprimer le même jugement.

LVMH, Coca-Cola ou Starbucks, par exemple, ont rapidement condamné la Russie et ont décidé de cesser toute activité dans le pays.

Le constructeur automobile Renault quant à lui, a été pointé du doigt par de multiples acteurs pour avoir maintenu son activité en Russie, sans communiquer ni prendre parti.  Le groupe a fini par vendre ses actions locales à l’État Russe, engendrant, en plus d’une importante perte financière, une dégradation de sa réputation.

Autre exemple, le groupe Mulliez (Auchan, Décathlon et Leroy Merlin). Alors que l’ensemble des marques de grande distribution arrêtent leurs activités en Russie, le groupe continue son activité et ne se positionne pas sur le conflit. L’opinion publique ne comprend pas ce silence et commence une campagne de dénonciation du groupe. Sur les réseaux sociaux, une campagne de détournement à visée humoristique de l’image des marques du groupe voit le jour.  

Avec ces quelques exemples, on pourrait penser que l’opinion publique attend des entreprises qu’elles cessent toutes activités sur place. Mais ce n’est pas si simple.

Ce qui leur est principalement reproché, c’est leur refus de prendre parti, de communiquer et de justifier leur décision, faisant passer, aux yeux de l’opinion publique, les résultats économiques avant toute autre considération.

Certaines marques et entreprises ont décidé de maintenir leurs activités en Russie, mais ont préservé leur réputation en communicant rapidement et en toute transparence.

Le groupe Véolia a décidé de maintenir son activité en Russie. Cela n’a pas empêché le groupe de communiquer un soutien fort à leurs salariés sur place, à se positionner sur le conflit et à expliquer les raisons du maintien de son activité. La marque a préservé sa réputation.

Le groupe Danone a lui aussi rapidement communiqué sur les raisons du maintien de son activité, et présenté son soutien et de protection aux salariés présents dans des zones à risques. De la même manière sa réputation a été préservée.

La manœuvre n’en reste pas moins risquée. Un facteur important à prendre en compte lors de la construction d’une stratégie de positionnement est le timing. Une prise de position peut se retourner contre la marque, si elle se fait trop tardive (comme Renault), elle paraîtra maladroite ou forcée. Si elle est précipitée, due à une mauvaise évaluation des risques, cela peut mener à la création d’un fort sentiment de rejet de la part de l’opinion, une charge émotionnelle altérant le jugement, menant le reste de la concurrence à se positionner différemment. Un facteur important de la réussite de l’opération est le choix du porte-parole. Qui au sein de l’entreprise est capable d’incarner le message de l’entreprise et par quel canal ?

Il est donc d’une importance capitale pour la marque de garder son authenticité. Une position ambiguë sur un sujet de guerre peut être particulièrement destructeur pour la réputation d’une entreprise.  

Enfin, il est bon de rappeler l’importance de comprendre le contexte avant de prendre position. Si pour le cas de l’invasion de l’Ukraine par la Russie avait l’avantage d’avoir un ennemi désigné par la majorité des gouvernements occidentaux, il est bien plus difficile de prendre position sur un sujet comme le conflit Israélo-Palestinien et aucune marque présente dans les pays arabes et en Israël ne s’y risque.

---

Face aux cyberattaques, toutes les entreprises sont concernées, quels que soient leur secteur d’activité et leur taille : en France, on dénombre près de 330 000 attaques réussies en 2022 sur des PME et 17 000 contre les grands groupes et ETI. Pourtant, une majorité de dirigeants se pensent protégés par une sensibilisation que plus personne n’écoute et par des protections technologiques créées par ceux qui les piratent.

Cyberrisques – Emmanuelle Hervé, du cabinet EH&A Consulting – 28 août 2023

Partez du principe que votre entreprise sera victime d’une cyberattaque d’ici cinq ans et qu’il faut s’y préparer. Un constat qui peut sembler alarmant mais qui reflète une réalité bien prégnante. Depuis l’entrée en vigueur du RGPD en 2018, l’entreprise est devenue « schizophrène ». Elle est, d’une part, victime d’une cyberattaque et, d’autre part, coupable aux yeux de la loi de ne pas avoir su protéger les données qui lui ont été confiées. La conjoncture, marquée par le télétravail et son lot d’appareils connectés, offre plus de flexibilité aux collaborateurs. Elle augmente cependant la vulnérabilité face aux cyberattaquants. La cybersécurité ne se limite pas à la technologie. Elle intègre en effet des aspects humains et organisationnels. Ainsi, la seule certitude pour l’entreprise, malgré tous les efforts qu’elle consent pour se protéger, est d’être confrontée à une cyberattaque, un jour. Nous avons tous été surpris de la cyberattaque qui a paralysé Sopra Steria, fin octobre 2020. Nous avons été sidérés d’apprendre que les gouvernements, les armées, étaient victimes de cyber-assauts. L’attaque la plus importante contre un Etat ne date pas d’hier : en 2007, l’Estonie doit faire face à une cyberattaque massive contre ses sites gouvernementaux en provenance de Russie. Depuis, l’OTAN a installé son Centre d’Excellence et de Coopération en Cyber défense à Tallinn. Il serait alors arrogant de penser que nos organisations privées puissent être épargnées. Il est donc primordial de s’entraîner et de se préparer à affronter les défis d’une cyberattaque. Les chiffres parlent d’eux-mêmes : l’assureur Hiscox annonce 75% de déclaration de sinistre en moins chez les assurés ayant suivi une formation.

Quel plan d’action ?

En premier lieu, s’assurer qu’en cas de cyberattaque, la cellule de crise stratégique de l’entreprise se mobilisera et ne sera pas cantonnée à une résolution opérationnelle. Il conviendra alors d’échafauder un plan de crise adapté à ce scénario très particulier. Une fois le processus lancé, les personnes en charge des fonctions en cellule de crise devront apprendre à se servir des outils du plan. Elles devront ensuite s’entraîner pour acquérir la fameuse « action réflexe » sans laquelle le processus reste un vœu pieux. La communication de crise se prépare également en amont. Ce n’est pas au milieu du gué qu’il faudra débattre de la posture à avoir, informer les parties prenantes, ou pas, que nous sommes cyberattaqués. En cas de demande de rançon, faut-il admettre qu’il y en a une ? Que dire aux collaborateurs, aux clients, aux partenaires ? Mais aussi comment leur dire, quand nous n’avons plus accès aux courriels voire au téléphone ? Tout cela s’anticipe et se prépare.

Et le jour J ?

En cas d’attaque, la gestion de crise doit être mobilisée sans tarder. Les erreurs les plus coûteuses sont souvent commises dans la première heure, d’où l’importance d’un processus solide et préparé en amont. Les facteurs anxiogènes sont déjà présents :  la dimension cybersécurité vient rajouter son lot de complications. En effet, le COMEX peut éprouver des difficultés à comprendre la situation, se reposant alors sur la fonction du RSSI en lui infligeant une forte pression. Comment prendre une bonne décision et tenir sur le long terme dans ce genre de situation ? Une cyberattaque, comme toute situation en gestion de crise, est singulière. Les fonctions des SSI et des DSI vont être fortement mobilisées pour remettre en marche, voire reconstruire les systèmes informatiques. La présence d’un officier de liaison entre la cellule stratégique et la cellule IT apparaît ici nécessaire pour éviter de submerger les opérationnels. Mais aussi pour communiquer de manière claire dans les deux sens sur l’avancement du rétablissement du système et sur les besoins de la cellule stratégique.

Si tu veux la paix, prépare la guerre

Ainsi, la cybersécurité est une lutte permanente qui nécessite une vigilance constante, une culture d’entreprise, une bonne préparation et des technologies de pointe. L’enjeu est de taille. Il s’agit de la sécurité de nos données, de celles de nos collaborateurs et donc de celle de l’entreprise Celles-ci peuvent-être très sensibles. Les victimes n’hésiteront donc pas à fustiger l’entreprise pour son incapacité à protéger les données confiées. A l’ère de la guerre numérique, les conséquences d’une cyberattaque sont lourdes sur les plans financier, humain et réputationnel. Ces crises s’installent dans la durée et laissent des séquelles. Il est donc plus que jamais nécessaire d’affronter l’idée qu’il faut s’y préparer. Cliquer sur l’image pour lire l’article sur InCyber!

https://incyber.org/cyberattaque-crise-enjeu-majeur-et-probabilite-forte/

La cybersécurité est un enjeu majeur pour les entreprises de toutes tailles : les attaques se multiplient et les attaquants sont de plus en plus performants.

Lors de la cyber attaque de janvier 2020, le cabinet EH&A avait accompagné la direction générale de Bouygues Construction pour comprendre les enjeux de cette crise et s’y préparer.

Nous n’étions pas dans le cœur du réacteur opérationnel IT, notre mission était stratégique mais à la lumière de la multiplication des cyber-attaques et leurs difficultés croissantes, nous avons souhaité recueillir et partager la vision du responsable de la sécurité des systèmes d’information (RSSI) de l’époque, Thomas DEGARDIN, qui a gentiment accepté de nous répondre.

• Aujourd’hui vous êtes Coordinateur Cybersécurité du groupe Bouygues, quelles sont vos missions lors d’une crise cyber ?

« J’ai trois grandes missions sur cette activité, avec une première mission de synergie entre les six métiers du groupe Bouygues, qui sont très différents. Mon but est d’animer les différentes instances au sein de cette communauté cyber, trouver des chantiers communs ou encore aider mes collègues RSSI à prendre du recul. J’ai occupé cette fonction [RSSI n.d.l.r.] pendant 5 ans au sein de Bouygues Construction et je peux, grâce à cela, les aider à voir ce qu’il se passe ailleurs. Ma deuxième mission est d’animer la communauté “BYTECH Cyber”, qui rassemble environ 300 collaborateurs de Bouygues travaillant sur des sujets de cybersécurité en coordonnant les temps forts de cette communauté. Enfin, la troisième mission est de représenter le Groupe dans les différentes instances ou assemblées parlant de cybersécurité, que ce soit côté assurances, ou dans différentes communautés d’intérêts autour de ces sujets. »

• Vous parlez de synergie entre les différents métiers du Groupe, comment faites-vous pour créer des ponts entre les différentes fonctions ?

« Il existe depuis longtemps un comité sécurité informatique Groupe qui réunit tous les RSSI tous les mois. C’est un lieu qui nous permet d’échanger et d’identifier des chantiers transverses. Chaque RSSI est investi et très compétent dans son métier, il avance sur sa feuille de route et ses risques sont très différents de ceux des autres. J’agis comme entremetteur entre les différents métiers. Si un métier travaille sur un sujet et qu’un autre se pose des questions dessus, je les mets en relation. Si le sujet intéresse plusieurs RSSI, une démarche Groupe peut être mise en place. »

• En cas de crise cyber, quelles sont vos missions ?

« Fort heureusement, depuis ma prise de fonction en début d’année, nous n’avons pas connu de crise majeure au sein du Groupe donc ça ne s’est pas révélé [rire n.d.l.r.]! Mais pour faire le parallèle avec ce que j’ai vécu en janvier 2020, quand vous êtes RSSI d’un Métier, quand vous êtes au pilotage d’une crise à réfléchir à comment contenir la cyberattaque, comment reconstruire ou redémarrer sans prendre trop de risques, vous êtes déjà tellement absorbé par ces sujets qu’il est compliqué de sortir de l’activité urgente pour aller communiquer et échanger avec le reste du Groupe ou avec l’extérieur. C’est là où j’interviens en tant que coordinateur. Je suis un peu un aide de camp pour le RSSI en cas de crise. Je récupère les informations pour les diffuser au sein du Groupe, notamment en partageant les indicateurs, en faisant des points de situation (état des lieux). L’objectif est de donner de l’air au RSSI et lui permettre de se concentrer sur la gestion de la crise. Je suis un soutien, au service du RSSI Métier en temps de crise : mon rôle n’est pas de diriger la cellule de crise mais de le soutenir et l’assister.»

•  En janvier 2020, lorsque vous étiez chez Bouygues Construction, l’entreprise a été la cible d’une cyberattaque majeure. Pouvez-vous nous en parler ?

« Bouygues Construction a été touché par une cyberattaque de type “cryptolocker” dans la nuit du 29 au 30 janvier 2020. A l’époque, Bouygues Construction, c’était un peu plus de 60 000 collaborateurs, 30 000 postes de travail et 3000 serveurs. La première décision a été de couper l’alimentation électrique du système d’information, pour enrayer la propagation du virus. Imaginez un réseau monde, plusieurs centaines d’applications majeures: tout cela à l’arrêt. Les équipes qui travaillaient sur ces systèmes ne pouvaient plus rien faire, ne pouvaient plus se connecter aux unités finances, traiter les fiches de salaires. On bascule alors en mode crise. On est fin du mois et il y a une priorité donnée par le COMEX : payer les salaires des collaborateurs.

Une cellule de crise opérationnelle côté DSI se monte, avec une codirection, pour tenir 24/7 car au début de la crise, c’est du non-stop. Se crée également une cellule décisionnelle au niveau comité de management de Bouygues Construction avec des interactions fréquentes entre les deux. Le rôle de la cellule décisionnelle était de donner les priorités de redémarrage pour que l’entreprise surmonte cette difficulté et elle laissait la cellule opérationnelle s’occuper des problématiques techniques.  

Au niveau équipe, la DSI avait été formée à la méthodologie AGILE, on s’est donc organisé en “streams”, avec des streams leaders qui n’étaient pas forcément des experts techniques mais qui avaient les sachants autour d’eux. La grande difficulté est l’ampleur de cette crise. Quand on commence, on ne sait pas trop ce qui nous tombe dessus. Au début, on est dans le flou, la première difficulté est de savoir ce qu’il se passe. Les autres difficultés apparaissent au fur et à mesure.

Il y a eu, de plus, une concomitance des crises. 6-7 semaines après le démarrage de cette crise informatique, la pandémie du COVID-19 a débuté. Il a fallu travailler à la résolution de la crise tout en étant confinés. Cela a ajouté des cellules de crise dans la crise. »

• Face à ce type de crise, quelle est selon vous la stratégie à adopter ?

« Je ne vais pas vous donner une stratégie magique parce qu’il n’y en a pas. Ça serait trop simple, on l’aurait tous et on serait tous sauvés.

Le point qui me semble primordial c’est d’enclencher des investigations, du forensic. Si la situation devait se représenter, nous referions sans hésiter ces analyses.

Si on ne sait pas ce qu’il s’est passé, c’est extrêmement compliqué voire impossible de redémarrer en toute confiance. Ne pas conduire ces investigations, c’est comme jouer à la roulette russe, prendre des décisions et croiser les doigts. Ça ne fonctionne pas. Il faut se faire aider.

Mais vous savez, je pense que l’on peut se préparer à tous les plans, ce sera toujours le plan+1 qui fonctionnera. Certains experts auront un avis, d’autres diront l’inverse. Chaque attaque est différente mais il faut savoir ce qu’il se passe précisément pour pouvoir agir en conséquence. A mesure que la crise se poursuit, l’enquête amène de nouveaux éléments qui permettent d’ajuster les actions, on s’adapte au fur et à mesure. La stratégie repose donc sur l’enquête. L’échange d’informations entre les cellules est la clé.

En ce qui concerne la communication de crise, si l’entreprise ne communique pas, les hackers le feront. Ils ont des services de communication eux aussi. Si vous ne parlez pas en premier, il faudra traiter la parole de la partie adverse. Cela prend plus de temps de démontrer qu’un hacker communique des informations incorrectes que d’annoncer en premier, ce que vous savez, ou ce que vous ne savez pas. Vous avez le droit de dire « pour l’instant on ne sait pas ». »

• Quels enseignements le Groupe a-t-il tiré de cette crise ? Cela a-t-il changé votre organisation ? Cela a-t-il changé la culture de la crise, en particulier cyber ? Avez-vous pris des mesures particulières pour éviter que ce type d’incident ne se reproduise ?

« Tout à fait. Les trois mots souvent martelés par le DSI étaient : plus jamais ça. Plus jamais une crise avec une telle ampleur. Il est important de se reconstruire, de réorganiser. Cela a été une vraie prise de conscience et pas seulement du Groupe mais de moi aussi. La crise est une dose d’humilité XXL. Depuis cette crise, le sujet cyber a été saisi par la direction générale de façon encore plus précise, avec des suivis réguliers dans tous les Métiers du Groupe. »

• Vous êtes dans le milieu de la cybersécurité depuis 20 ans, quelles sont les évolutions que vous avez pu constater ? Quels sont les risques et les enjeux émergents ?

« Effectivement, il y a dans un premier temps l’évolution technologique. Il y a 20 ans j’avais un firewall et un antivirus. Le monde technique a bien évolué mais c’est finalement le rapport avec la menace qui a changé. C’est une course gendarme-voleur. Ce qui a changé, ce sont les attaquants, qui étaient peut-être à une époque, des adolescents en sweat à capuche dans un garage et qui sont maintenant de vraies organisations cybercriminelles très bien organisées avec des processus de recrutement, qui vont chercher les meilleurs, qui sont parfois spécialisées. Nous n’avons plus trois personnes en face de nous qui tentent de nous attaquer mais de vraies structures. Ils investissent du temps et de l’argent sur leurs attaques et doivent maximiser les résultats. Il faut vraiment prendre en compte cette évolution de la menace. De plus, l’approche traditionnelle qui consiste à se protéger tout seul ne suffit plus, il faut prendre en compte les fournisseurs et être dans une coopération étendue de toute la chaîne de production.»

• Le recours à l’intelligence artificielle (IA) dans l’aide à la prise de décision est de plus en plus étudiée dans le domaine de la gestion de crise. Quel est votre avis sur la question ?

« Il faut s’y préparer car ça arrivera. Il ne faut pas la mettre de côté en se disant que c’est dangereux, les attaquants s’en serviront. Sur des cas plus sensibles, il y a toujours besoin de l’intelligence humaine mais l’IA viendra sûrement aider. Je ne peux pas encore vous dire ce qu’elle va nous apporter mais je pense qu’il est important d’établir des limites sur ce que les collaborateurs peuvent faire ou ne pas faire avec. Comment embrasser cette révolution est notre questionnement actuel. Demain, elle viendra très certainement aider la prise de décision, il faudra l’évaluer à ce moment-là. Il ne faut pas l’interdire, il faut définir les règles du jeu. C’est un changement dans notre façon de faire, il faut accompagner ce changement qui est presque sociétal. »

• Si vous aviez des conseils à donner, quels seraient-ils ?

« Pour conclure, si l’on venait me demander comment gérer une crise, je dirais « ne reste pas tout seul ». Il faut s’entourer, aller chercher des renforts, de l’aide, des bonnes pratiques. Il ne faut pas hésiter : des gens sont prêts à aider, ils sont bienveillants. Il faut prendre soin des collaborateurs qui mènent un vrai combat. Il ne faut pas sous-estimer l’impact qu’une crise peut avoir sur le psychologique, ça laisse des marques. Il ne faut pas le négliger.

Nous avons été aidés, à tous niveaux. C’est intéressant d’avoir des gens qui ont l’expertise de la gestion de crise avec de bonnes pratiques vues ailleurs qui peuvent être transposées. La gestion de crise est un système qui n’existe pas, qu’il faut créer. Il faut donc être accompagné pendant, mais aussi en amont, pour se préparer, s’entraîner, se tester, pour avoir les premiers reflexes. C’est comme la marche, le plus dur est de faire le premier pas, après ça fonctionne, mais si on ne le fait pas, on tombe et on se fait mal. »