Vous en avez peut-être entendu parler : le 19 juillet 2024, une panne a touché des terminaux Windows partout à travers le monde, causant des perturbations dans des aéroports, des hôpitaux, des chaînes de télévision… Au total, 8.5 millions d’appareils sont touchés.
Des soupçons de cyberattaque émergent, mais il n’en est rien : la cause de la panne se trouve chez Crowdstrike, entreprise de cybersécurité américaine travaillant avec Microsoft. L’explication est risible : un employé négligeant a lancé une mise à jour défectueuse le vendredi soir avant de partir en weekend, et tous ceux qui l’ont installé ont été bloqués avec l’ « écran bleu de la mort ».
C’est donc un bel exemple de communication de crise, tant les conséquences ont été cataclysmiques pour l’entreprise (l’action de l’entreprise a plongé de 42%). Il est intéressant de décrypter les réactions des différents acteurs impliqués, et de faire des recommandations de bonnes pratiques dans de tels scénarios.
Reconnaître rapidement la crise
Lorsqu’une crise survint dans l’entreprise, l’une des pires choses à faire est de rester dans le déni et d’attendre que les choses se tassent. On est alors perçu comme incapable d’assumer la situation, ce qui est particulièrement préjudiciable pour l’image de marque. Dans le cas de Crowdstrike, l’énormité de la situation ne leur a pas laissé le choix, et ils ont communiqué en quelques heures seulement sur la panne qu’ils ont provoqué.
L’erreur du PDG : ne pas présenter ses excuses
Comme nous l’avons vu, le PDG George Kutz a rapidement posté un communiqué sur X, destiné à expliquer que l’incident n’était pas une cyberattaque et que les équipes sont mobilisées pour corriger le problème. Pourtant, quelque chose manque : des excuses. En effet, cet incident a eu de grandes répercussions négatives, il fallait donc en urgence reconnaître son erreur et demander pardon à toutes les personnes impactées. Kutz n’écrit pas un mot pour ces dernières, et donne plutôt l’impression d’essayer de se rattraper et de se justifier.
Ce post a donc naturellement été la cible de critiques, ce qui a poussé George Kutz à s’excuser dans une interview auprès de CNBC.
Apprendre de ses erreurs
Le PDG aurait mieux fait de réagir comme son chef de la sécurité, Shawn Henry. Ce dernier a commencé son post LinkedIn par reconnaître l’erreur et a présenté ses excuses. Il a su trouver les mots pour toutes les personnes affectées par la panne ce qui est une preuve d’empathie. Le post finit par un point essentiel en communication de crise : montrer qu’on peut apprendre de ses erreurs pour ne plus que cela se reproduise. L’entreprise doit montrer qu’elle s’est remise en question, et que malgré l’évènement néfaste elle reste digne de confiance. Mais ce point est à améliorer comme nous allons le voir par la suite.
Le besoin de transparence
Un des problèmes majeurs dans la communication de Crowdstrike est le manque de transparence. L’entreprise n’a pas été capable d’expliquer dans quel contexte la panne a eu lieu. Une question très récurrente sur les réseaux se rapporte aux tests. Comment se fait-il que la mise à jour n’ait pas été testée avant d’être lancée ? Quel sont les protocoles de Crowdstrike pour éviter ce genre de situation ? Même sur leur site, la réponse est introuvable. Or il est essentiel de communiquer clairement sur le sujet, car dans le cas contraire on peut imaginer assez facilement que l’histoire pourrait se répéter.
Si on élargit le sujet en prenant un peu de recul, certaines pratiques sont à bannir absolument dans un contexte de communication de crise.
Minimiser l’impact de la crise
Un réflexe qui peut se manifester facilement serait de minimiser la crise, dans une tentative désespérée de maintenir une bonne image. Ce serait une très mauvaise idée, car en plus d’être aveugle face à la situation, toutes les personnes impactées se sentent laissées pour compte et abandonnées par l’entreprise. Le manque de professionnalisme couplé à de la lâcheté est le meilleur moyen d’enterrer à tout jamais sa réputation.
Blâmer d’autres acteurs
Accuser des parties prenantes tels que des fournisseurs est tentant dans une crise, cela permet de s’alléger du poids de la responsabilité. Mais il serait bien plus sage d’être capable d’auto-critique, par exemple en reconnaissant que l’on n’a pas contrôlé correctement des pièces défectueuses envoyé par notre fournisseur. En étant solidaire dans une crise, on peut maintenir des bonnes relations durables avec nos parties prenantes. Le pardon public d’une erreur d’un partenaire compte toujours moins cher que devoir changer de fournisseur, c’est donc une option à envisager en cas de crise.
Manquer de préparation
Ce n’est pas parce qu’on n’a jamais connu de crise que l’on est à l’abri éternellement. Une confiance trop forte en nos propres capacités mène inévitablement en un manque de préparation. Une crise pouvant surgir de n’importe où, il faut toujours avoir un plan de prêt au cas où. Il faut avoir une approche proactive plutôt que réactive. Il est donc pertinent de définir clairement qui aura la charge de la communication interne et externe, et qui validera les messages avant leur envoi. Il faut aussi établir une liste de contact clés qui seront utiles pendant la crise : un journaliste au sein d’un grand journal ou une agence de communication rodée à l’exercice par exemple.
Pour finir, la gestion de crise est un exercice délicat, surtout lorsqu’il implique des perturbations d’une telle ampleur. L’exemple de Crowdstrike nous rappelle l’importance cruciale d’une communication rapide, honnête, et transparente. Reconnaître ses erreurs, s’excuser auprès des personnes impactées, et faire preuve d’empathie sont des éléments essentiels pour préserver la confiance des clients et des partenaires. Mais au-delà des excuses, l’entreprise doit démontrer qu’elle tire des leçons de cette expérience pour ne plus reproduire les mêmes erreurs à l’avenir.
Sources
Panne CrowdStrike : analyse d’une crise mondiale
Pourquoi Crowdstrike a planté 8,5 millions de terminaux Windows
Panne et paralysie mondiale : une mise à jour CrowdStrike provoque des bugs en cascade
6 leçons de la panne Crowdstrike faussement attribuée à Microsoft
Communication de crise : définition et bonnes pratiques (+ exemples)