Que peut-il arriver de pire à un groupe spécialisé dans la fabrication de cartes SIM pour téléphones mobiles? Voir son système de sécurité piraté avec pour conséquence l’accès à des données personnelles des utilisateurs de téléphones portables. C’est le scénario qu’a en partie connu le groupe franco-néerlandais Gemalto, qui se présente pourtant comme le leader mondial de la sécurité numérique. Autant le dire d’emblée, Gemalto s’en sort bien. Pourtant au-delà du risque d’une image écornée, c’est bien son cœur de métier et la pérennité du groupe qui ont pu se trouver menacés. Retour sur une folle semaine qui donne l’occasion de rappeler quelques grands principes de communication de crise.

Vendredi 20 février 2015, le site américain The Intercept, celui-là même qui avait publié les révélations d’Edouard Snowden sur les pratiques intrusives des services secrets américains, publie un article sur un vol de quantités « sidérantes » de cartes SIM auprès des réseaux informatiques de fabricants tels que Gemalto ou Giesecke & Devrient. Cette opération aurait permis d’intercepter à leur insu les communications des utilisateurs de ces cartes.  A la manœuvre, la NSA, l’agence de sécurité américaine et son homologue britannique, le GCHQ.

Faille de sécurité, vol de données massives, groupes internationaux et services secrets : tous les ingrédients sont réunis pour un effet boule de neige médiatique garanti. Et si les faits sont avérés, la messe est presque dite pour les groupes visés.

On imagine aisément l’onde de choc à laquelle ces groupes ont dû se préparer pour réagir instantanément. A commencer par Gemalto, leader du secteur de la fabrication de cartes SIM avec quelque 2 milliards d’unités produites chaque année qui se retrouve de fait en première ligne.

Règle n°1 – Réagir rapidement, prendre la mesure de la situation

Quelques heures après la publication de l’article et les premiers appels de journalistes auprès de Gemalto pour avoir confirmation de ces informations, le groupe réagit par voie de communiqué de presse, affirmant prendre le problème « très au sérieux ».

L’affaire, à ce stade, est en effet sérieuse et l’entreprise ne dispose pas de suffisamment d’éléments de preuve pour infirmer ces informations. Il s’agit ici de montrer que l’on a pris connaissance du problème sans toutefois détenir toutes les informations, tout en précisant qu’il s’agit d’une situation exceptionnelle ne visant pas uniquement Gemalto. L’entreprise rappelle notamment que « beaucoup d’attaques informatiques (ont été) menées par des Etats ces derniers temps. »

Gemalto doit en priorité rassurer d’abord ses propres clients c’est-à-dire les 450 opérateurs de téléphonie parmi lesquels Orange, Bouygues Telecom mais aussi Verizon, ATT qui tous se fournissent auprès de l’entreprise et bien évidemment les utilisateurs de téléphones mobiles. Parmi les autres interlocuteurs, les pouvoirs publics vont avoir leur mot à dire, les actionnaires de Gemalto et les analystes financiers également, l’entreprise étant cotée au CAC 40. Sans oublier les équipes de Gemalto qui vivent la situation de l’intérieur et qui lisent la presse.

Règle n°2 – Agir et imposer son propre calendrier

Le weekend aidant, Gemalto mène de premières investigations pour mesurer l’ampleur du problème et reprend la parole dès le lundi. Le groupe s’engage sur deux choses : d’une part, il va présenter le résultat de ses conclusions deux jours plus tard lors d’une conférence de presse. D’autre part, il dispose déjà de premières informations indiquant que la sécurité de l’ensemble de ses produits (cartes SIM, cartes bancaires, passeports) n’est pas compromise. Il souligne à l’attention des marché financiers que si perte d’argent il doit y avoir, celle-ci ne sera pas significative. D’ailleurs, si le titre avait perdu du terrain lors de la publication de l’article de The Intercept, la baisse sera par la suite moins brutale, voire limitée.

Règle n°3 – Apporter des réponses concrètes, ne laisser planer aucun doute

Chose promise, chose due : 5 jours après les révélations, l’entreprise présente, le mercredi 25 février, ses conclusions devant un parterre fourni de journalistes. On y trouve les sites spécialisés en informatique, les journaux économiques mais aussi les télés et les radios. Preuve que même une entreprise BtoB – donc par définition moins connue du grand public- peut se retrouver sous les feux des projecteurs si les conséquences potentielles se répercutent sur les consommateurs notamment.

Avant la présentation à la presse, s’est posée l’inévitable question : quel porte-parole pour apporter des réponses forcément techniques mais qui devront convaincre des publics différents ? Gemalto fait le choix d’un trio. La présence d’Olivier Piou, directeur général du groupe est à la fois naturelle et incontournable : sans être omniprésent, il intervient régulièrement dans les médias lors d’annonces du groupe. Plus important encore dans le cas présent, il porte la stratégie de Gemalto et doit donc convaincre de la solidité et la pérennité du groupe. Il est entouré du directeur de la sécurité et du vice-président en charge des produits et service.

Ils vont répondre point par point à toutes les questions soulevées par l’article. Sans entrer dans le détail du rapport mis en ligne sur le site de Gemalto, la philosophie générale peut être résumée ainsi : oui des intrusions ont eu lieu mais elles n’ont pas affecté les réseaux internes de Gemalto, excluant ainsi tout vol de données et d’espionnage des communications qui n’auraient concerné de toute façon que les réseaux 2G. La majorité des cartes fonctionnant aujourd’hui sous réseau 3G et 4G, le problème se trouvait ainsi fortement circonscrit. La grande majorité des articles parus a repris cette trame argumentaire.

Règle n°4 – Le problème résolu ou sous contrôle, montrer que la vie continue

La rapidité de réaction, la teneur et la densité des explications ont semble t-il permis de rassurer l’ensemble des acteurs. Les articles parus depuis demeurent factuels.

L’entreprise elle-même semblait rassurée et a souhaité montrer, non sans une certaine dose d’humour (involontaire ?), que la vie continuait. L’un des derniers tweets du compte officiel de Gemalto proposait, le 27 février dernier, des endroits où boire un verre une fois une grosse journée de travail terminée (en fait, un tweet en lien avec le salon professionnel Mobile World Congress qui se tient début mars à Barcelone) !

Règle n°5 – Anticiper !

Si Gemalto s’en sort avec les honneurs, l’entreprise le doit vraisemblablement à plusieurs facteurs.

• D’abord, elle avait probablement identifié ce type de situation comme faisant partie des « worst case scenarii » ou scénarii noirs. Il faut rappeler que si une crise est un événement exceptionnel et imprévisible au moment où elle se déclenche, il est possible d’anticiper au mieux ces situations par un audit préalable des risques et la définition de procédures simples de gestion de crise permettant notamment de préparer les premières actions à mettre en œuvre et de premiers éléments d’information à communiquer rapidement.
• En appliquant les règles que nous venons de rappeler, Gemalto a contribué à rassurer ses différentes parties prenantes. Au-delà du fond en effet, il est toujours primordial de montrer que l’entreprise fait cas du problème posé et prend ses responsabilités, y compris au début avec une position d’attente.
• L’affaire ne semblait pas aussi grave que le laissait penser de prime abord l’article de The Intercept. Encore fallait-il le prouver et le faire savoir.

Bref, un cas d’école jusqu’ici parfaitement exécuté face à une situation pourtant de nature à fragiliser tant l’activité et l’image que l’avenir d’une organisation à l’échelle planétaire.