Le rugby pour les nuls

“Le football, c’est prétendre 90 minutes durant que vous êtes touché, alors que le rugby, c’est prétendre pendant 80 minutes que vous ne l’êtes pas.” J’ai l’impression que nombre d’entreprises jouent au rugby.

“Le football, c’est prétendre 90 minutes durant que vous êtes touché, alors que le rugby, c’est prétendre pendant 80 minutes que vous ne l’êtes pas.” J’ai l’impression que nombre d’entreprises jouent au rugby.

Elles se trouvent clairement en phase de dénégation. Ont-elles déjà été victime d’une cyber-attaque? Y a-t-on déjà volé massivement des données? Heartbleed a-t-il ouvert leurs systèmes à divers actes de piratage? Peu d’entreprises osent en parler. Et pourtant, la sécurité, c’est une question de confiance. Il s’agit d’un sentiment de sûreté, souvent d’une perception donc. Or la perception repose sur des impressions, sur ce que les gens disent autour de vous, sur ce que vous lisez et voyez, ce que vous sentez ou ressentez. La communication, je parle de la bonne communication, est ici essentielle.

Quelque chose que beaucoup d’entreprises doivent encore apprendre. La communication de crise, c’est aussi de la communication. Les crises peuvent cependant être évitées. Non seulement par une communication ouverte vers le monde extérieur, mais aussi et surtout en interne. La protection des données devrait être inscrite dans l’ADN de toute entreprise: du directeur et de chaque collaborateur, surtout à présent que la numérisation s’emballe et touche à tout. Les smartphones, tablettes, montres, lunettes, voitures, etc. intègrent désormais leur composant numérique. Et il est certain que si la sécurité avait été en son temps une priorité, la voiture n’aurait peut-être jamais été inventée ou autorisée. Aujourd’hui, les crash-tests sont devenus un élément essentiel avant le lancement des nouvelles voitures.

Il est dès lors significatif que le patron de la chaîne américaine de supermarchés Target doive démissionner. Le CEO et président Gregg Steinhafel a en effet dû jeter l’éponge après 35 années d’activité chez le géant. Précédemment, c’est le chief information officer qui avait été licencié. C’est que fin novembre, des pirates avaient réussi à s’emparer des données de 40 millions de cartes de crédit et de 70 millions de clients. Ces derniers ne l’ont pas accepté et se sont retournés contre la chaîne commerciale. Durant la période de fin d’année, les ventes ont régressé de 4%. Target a entre-temps averti qu’elle n’atteindrait pas le bénéfice prévu.

Une plainte en justice a été déposée, parce que Target a omis de prendre les mesures de sécurité nécessaires. Sachez que ce cas risque de faire jurisprudence à l’avenir. Non seulement Target a ignoré les avertissements à propos de la brèche (la phase de dénégation), mais elle a aussi particulièrement mal communiqué. Uniquement au compte-gouttes et sous la pression des médias. Ce n’est qu’à la mi-mars qu’elle reconnut avoir observé des signaux relatifs à des cyber-tentatives mal intentionnées. L’équipe de sécurité devait en effet avoir reçu quotidiennement des centaines de messages provenant du système de sécurité FireEye propre à l’entreprise, un investissement de quasiment 1,5 million €.

Voilà qui démontre que les entreprises soit se distingueront grâce à la sécurité de leurs données, soit disparaîtront à cause d’une protection déficiente. Les fuites de données à la SNCB ou les énormes problèmes de sécurité chez Belgacom ont eu un sérieux impact sur leur image respective. Si les clients n’ont plus confiance, ils se détourneront et opteront pour une alternative. Cela vaut pour les banques, les compagnies d’assurance et d’autres institutions financières, mais aussi toujours davantage pour toutes les entreprises qui effectuent d’une manière ou d’une autre des transactions en ligne. Le rugby est un sport violent, mais le fair-play y est de mise. On ne proteste pas quand l’arbitre siffle une faute. Or l’arbitre, c’est vous.