Cybercrime & piratage: Avis de tempête sur la réputation des entreprises !

Il ne s’écoule quasiment plus une journée sans que quelque part dans le monde, une entreprise ou une marque ne se retrouve sous le feu d’une attaque informatique malveillante avec des conséquences plus ou moins graves. Récemment, c’est le moteur de recherche du site de l’enseigne de bricolage Castorama qui s’est ainsi vu détourner de ses fonctions originelles pendant quelques heures par des pirates numériques. En dépit de la récurrence et de l’amplitude croissante de ce phénomène, bon nombre de sociétés continuent de circonscrire l’enjeu à des questions d’ordre informatique et financière. C’est oublier un peu vite que la réputation est également fortement chahutée. Plusieurs études montrent que la confiance des consommateurs s’érode à mesure que les failles de sécurité se multiplient. Personne n’est épargné et les communicants seraient bien inspirés de s’en préoccuper avant même que la crise n’éclate. Sinon, le risque augmente de voir l’image de l’entreprise durablement écornée

« Chez Casto y’a tout ce qu’il faut » chantait le slogan de Castorama pendant de longues années, y compris des jeux de mots rigolos (ou pas) depuis le 8 juin dernier. Les internautes ont effectivement eu la surprise de constater que le moteur de recherche du site Web de l’enseigne partait dans un delirium informatique et sémantique d’un goût plus ou moins douteux dès lors qu’on tapait une requête aussi classique que « marteau », « perceuse », « scie », etc. L’affaire a évidemment fait s’esclaffer les réseaux sociaux et les community managers. Elle a aussi contraint Castorama à temporairement couper l’accès à son site pour mettre un terme à ce piratage qui fait désormais l’objet d’une enquête judiciaire pour déterminer les causes exactes. Si l’entreprise s’en tire cette fois à moindre mal avec un retour à la normale dès le lendemain et un mot d’excuse habilement troussé, il n’en demeure pas moins que la malveillance informatique devient un enjeu réputationnel à ne pas négliger. Or sur ce terrain, la prise de conscience tarde quelque peu à opérer malgré les avatars à répétition qui frappent indistinctement petites et grandes marques.

Un enjeu réputationnel de premier ordre

Hacking 2 - Linkedin passwordQu’il s’agisse d’une offensive par déni de service distribué (plus connue sous l’acronyme DDoS) pour faire tomber un serveur, d’une prise de contrôle des contenus des pages d’un site ou d’un compte sur un réseau social ou d’une intrusion frauduleuse avec à la clé, un vol de données sensibles, les scénarios de crise prolifèrent à l’heure où la connectivité digitale s’impose comme l’épine dorsale des activités des entreprises et des usages des consommateurs. Pire, l’affaire peut rebondir longtemps après et polluer à nouveau la réputation d’une entreprise. En mai dernier, c’est le réseau social professionnel Linkedin qui en a d’ailleurs fait l’amère expérience. Victime en 2012 d’un piratage massif de mots de passe et d’identifiants de ses utilisateurs, celui qui vient d’intégrer le giron de Microsoft s’est de nouveau retrouvé sous pression médiatique avec sur le Dark Web, la mise en vente de bases de données et de fichiers issus de ce fric-frac informatique par des pirates du Web. Le sujet a fait grand bruit car à l’époque, Linkedin avait plutôt minoré l’ampleur en entretenant le flou concernant le nombre exact de comptes utilisateurs dérobés.

Cinq ans plus tard, les communicants ont à nouveau dû monter au créneau sur le blog officiel de la société pour admettre « ne pas savoir combien de mots de passe ont alors été récupérés. Nous avons appris hier qu’un jeu de données supplémentaire qui porterait supposément sur plus de 100 millions de comptes et proviendrait du même vol de 2012, aurait été mis en ligne. Nous prenons des mesures immédiates pour annuler ces mots de passe et allons contacter nos membres. Nous n’avons pas d’éléments qui nous permettent d’affirmer que ce serait le résultat d’une nouvelle faille de sécurité » (1). Comme explication convaincante, on a connu des discours un peu plus charpentés et rassurants à l’intention des abonnés du service !

Hacking 2 - cyber-attackTrès récemment, l’éditeur de solutions de sécurité informatiques Kaspersky Lab et l’institut d’études B2B International ont justement publié une nouvelle étude portant sur l’impact de ces attaques. L’analyse portait en particulier sur les attaques de type DDoS qui visent à paralyser et rendre inopérants les systèmes d’information d’une entreprise en les inondant de requêtes fictives en ligne.

Outre les conséquences techniques et financières qui doivent être traitées, il s’avère que cette menace laisse également des traces non négligeables en matière de réputation. 37% des 5000 entreprises interrogées (2) admettent que celle-ci en a lourdement pâti auprès de leurs propres clients, avec pour nombre d’entre elles la perte de certains clients inquiets de subir à leur tour des dommages collatéraux.

Autre éditeur de solutions logicielles anti-cybercrime, FireEye a dévoilé en avril 2016 une enquête qui vient faire écho à ce constat où confiance et réputation sont battues en brèche par ces opérations de hacking. De cette enquête réalisée auprès de 1000 consommateurs français (3), il ressort notamment que 38% d’entre eux déclarent que les cyberattaques de grande ampleur survenues en 2015 ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées. 30% jugent même que ces cyberattaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats. 21% vont jusqu’à considérer que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise. En filigrane, il s’agit donc bien de crise de confiance ouverte et de réputation entamée. Un point qu’il convient par conséquent d’intégrer en amont dans les stratégies de communication et surtout sans penser que ce genre d’attaques n’est réservé qu’aux autres.

Tout le monde est concerné

Hacking 2 - Piratage-chez-OrangeSi des secteurs sont de toute évidence plus à risques que d’autres (comme par exemple les banques, l’e-commerce, les assurances, la santé qui manipulent une masse conséquente de données ultra-sensibles), personne en revanche ne peut s’estimer à l’abri d’une crise informatique, ni s’en remettre uniquement aux prérogatives du seul service informatique pour ériger des murs et maintenir la confiance. Pour s’en convaincre, il suffit de se remémorer quelques exemples divers et variés qui soulignent avec acuité l’ampleur du défi et combien la réputation peut vite tourner à l’aigre. En janvier 2014, l’opérateur télécoms français Orange a ainsi été victime d’un piratage avec un vol des données personnelles touchant 800 000 abonnés. Sur le coup, personne n’en saura rien hormis une poignée de décideurs et collaborateurs d’Orange. L’histoire fuitera publiquement sous la pression du scoop dévoilé par le site techno PC INpact deux semaines plus tard, l’un des journalistes du site ayant reçu un discret courriel d’avertissement de l’opérateur à propos du problème rencontré. Si PC Inpact n’avait pas mis la main sur cette information capitale, les équipes d’Orange auraient-elles continué à jouer la discrétion ? Toujours est-il que cette faille tombait en plus au mauvais moment. En novembre 2013, l’opérateur avait justement organisé une conférence publique au cours de laquelle il avait largement mis en avant le sujet de la sécurité informatique et de la protection de la vie privée sur Internet comme priorité absolue du groupe pour ses clients. Autant dire qu’un tel cambriolage en ligne vient complètement percuter le discours corporate et commercial et de fait, ébrécher la confiance de ce même client envers la marque. Ceci d’autant plus que cette dernière sera à nouveau victime d’un larcin virtuel en mai 2014 avec cette fois 1,3 millions de personnes touchées.

Hacking 2 - Target+Data+Theft1D’autres grosses entreprises ont été affectées de manière similaire comme la chaîne de distribution américaine Target fin 2013. L’affaire suscitera un vif émoi car ce sont les données contenues dans près de 110 millions de cartes de fidélité qui ont été dérobées par des pirates informatiques. L’entreprise avait pourtant réagi au quart de tour en communiquant aussitôt et en mettant en place un service support exceptionnel pour les clients potentiellement lésés. Seulement voilà, c’était sans compter les révélations que l’enquête ouverte dans la foulée allait mettre à jour. Target avait largement négligé des avertissements antérieurs et répétés au sujet de la vulnérabilité de son système informatique de cartes clients. Six mois plus tard, le PDG présentera alors sa démission et l’entreprise sera poursuivie en justice par plusieurs clients.

Durant l’été 2015, c’est le site de rencontres adultères Ashley Madison qui subit une effraction informatique d’ampleur. Des hackers ont en effet fait main basse sur la quasi-totalité des informations personnelles de ses 37 millions de membres. Un dysfonctionnement qui fait mauvais genre pour le site qui avait justement fondé sa communication et bâti sa réputation sur la capacité à garantir l’anonymat le plus absolu pour les adeptes d’aventures hors mariage. Dans un premier temps, ce sont les pirates eux-mêmes qui mettent publiquement en ligne les fichiers et donc les noms des membres dont certains iront jusqu’à se suicider ou à démissionner de leur job, certains étant très haut placés dans des administrations d’Etat en particulier. Mais la crise n’en reste pas là puisqu’on découvre au passage une autre tricherie opérée par Ashley Madison. Sur les 37 millions d’inscrits, seulement 5 millions correspondent à des femmes (lesquelles ne paient pas pour s’enregistrer) et que les deux tiers sont de faux profils pour en fin de compter appâter le chaland masculin. Là aussi, le PDG trinque et aujourd’hui encore, Ashley Madison n’est pas tiré d’affaire.

On se réveille !

Hacking 2 - cyber-crimeOn pourrait multiplier à l’envi les cas cybercriminels où la réputation d’une société s’écroule ou reste entachée de défiance. Tous les éditeurs de logiciels de sécurité IT le confirment. Ce type de déboire est malheureusement appelé à perdurer et à s’amplifier. Raison de plus pour intégrer dès le départ une vigilance accrue de l’entreprise sur ce sujet en ne mobilisant pas seulement la direction informatique sur le sujet mais également les équipes marketing, communication et juridique. Il en va clairement de la pérennité de la valorisation économique de sa réputation et au final, de sa relation commerciale avec son écosystème. Or, si la confiance est rompue et la marque suspecte, la crise qu’un vol de données induit, devient mortifère. Un rapport établi par le cabinet d’audit Mazars au début de l’année 2016 montre que la prise de conscience avance mais de façon encore éparse et inégale. Si la perception et l’intégration du cyber-risque a progressé de 12 points en trois ans aux Etats-Unis (du fait notamment d’une législation plus contraignante pour les entreprises), le rythme est nettement moins alerte en Europe où le sujet ne gagne que 5 points sur la même période.

Pourtant, il devient vraiment urgent que les questions de cybersécurité fassent dorénavant partie intégrante des dispositifs de communication des entreprises et pas seulement lorsque la crise éclate mais en amont afin d’instaurer un contrat de confiance clair avec l’écosystème concernée. L’argument de la sécurité des données personnelles est devenu aujourd’hui fondamental du fait de la mise en réseau globale de tous les services en ligne. C’est même une exigence incontournable si l’on se réfère aux résultats de l’enquête de FireEye. 93% des personnes interrogées s’attendent à être informées dans les 24 heures si leur fournisseur de service est victime d’une attaque susceptible de compromettre leurs données. 71% des consommateurs sont désormais enclins à divulguer moins d’informations personnelles à leurs fournisseurs de produits et services. Enfin, 54% d’entre eux affirment qu’ils engageront des poursuites contre leurs fournisseurs si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyberattaque. Au-delà des brèches informatiques, c’est donc bien la réputation d’une entreprise et/ou de ses marques qui est clairement impactée.

Sources

– (1) – Benjamin Ferran – « Plus de 100 millions de mots de passe LinkedIn dans la nature » – Le Figaro – 18 mai 2016
– (2) – « Les attaques DDoS minent la réputation des entreprises et la confiance des clients » – InfoDSI.com – 5 juin 2016
– (3) – Rapport intégral de FireEye (en anglais) – Avril 2016
– (4) – Rapport intégral « Prévenir le cyber-risque pour les entreprises du secteur des médias » (en français) du cabinet Mazars – Janvier 2016