En mars, Norsk Hydro est victime d’une attaque informatique. Les autorités norvégiennes, la NNSA, identifieront le rançongiciel LockerGoga à l’origine de la déstabilisation de la production d’aluminium de l’entreprise à travers ses différents sites. Le programme malveillant a en effet dérouté les usines du Norvégien en s’étendant et chiffrant les différents systèmes informatiques industriels. En Norvège, Norsk Hydro est une composante essentielle du réseau énergétique national. Par chance, seule la production d’aluminium fut affectée par LockerGoga.
Presque deux mois avant Norsk Hydro, LockerGoga touchait Altran Technologies. Et si les séquelles de ce programme malveillant furent partagées par ces deux grands groupes cotés en bourse, la réaction de l’une et l’autre entreprise ont profondément différé. Altran a tardé à reconnaître qu’elle avait subi une attaque, quand Norsk Hydro a dépêché ses communicants pour rédiger des communiqués de presse, organiser une conférence de presse en ligne et même produire une vidéo d’employés et d’experts pour non seulement reconnaître l’attaque, mais également détailler le processus de réponse mis en place. Norsk Hydro a imaginé une sortie de crise sans équivalent par le passé pour une entreprise de cette taille. Dans son blog, publié par Zdnet, Frédéric Charles parle d’un cas d’école. Il écrit que l’entreprise a inventé une « communication régulière et exemplaire autour de cette attaque [qui] en fait un cas d’école ».
publicité
Face à LockerGoga, il y a deux écoles
Pour des entreprises cotées en bourse, l’intérêt n’est pas seulement, dans cette démarche, de donner raison aux experts et aux autorités en adoptant les bons comportements, mais aussi de s’adresser au marché. Ainsi, face au même programme malveillant, Altran et Norsk Hydro ont communiqué différemment en direction de leurs actionnaires pour maintenir la confiance sur leur cours d’action. Dans le cas de Norsk Hydro, un analyste financier juge auprès de Zdnet : « Avec des fondements solides et en adoptant une réaction appropriée et honnête qui, en conséquence n’entame pas la confiance des marchés, il n’y avait pas de raison que le cours d’une action soit durablement impacté ».
À la différence d’entreprises comme Facebook ou Uber, qui sont frappées au cœur de leur business lorsqu’elles subissent une attaque informatique, les groupes comme Norsk Hydro ne fondent pas la confiance qu’elles inspirent sur leur impénétrabilité informatique. Le Norvégien n’a pas pu produire autant d’aluminium qu’escompté sur une période donnée : c’est coûteux, mais ça n’entame pas sa valeur à long terme. A contrario d’une entreprise qui perdrait des données personnelles qui sont sa matière première et sa fin.
Par ailleurs, pour certains analystes financiers, la différence de traitement entre Altran et Norsk Hydro pourrait se lire sous ce prisme du rapport à leur actionnaire. « Attaquer Norsk Hydro ne modifie pas profondément ses capacités de production et sa marge de confiance client, car ce qui a été affecté par l’attaque est “peu sensible” dans la rentabilité de la marque. Le cas d’Altran est plus complexe étant donné qu’il s’agit d’un business beaucoup plus diversifié » confirme un analyste financier. Altran Technologies peut, en effet pâtir davantage de l’image d’une défaite à domicile : son activité de conseil en système d’information, jusqu’à un tiers de son chiffre d’affaires, est affectée par l’attaque. En outre, Altran a acquis en 2017 une entreprise spécialisée dans la cybersécurité, l’Anglais IRM.
Transparence pour tous, mais quelques limites
Du point de vue des marchés, toutes les réactions ne se valent donc pas et les cours pourraient réagir différemment à la transparence quasi absolue adoptée par Norsk Hydro si elle était appliquée, par exemple, par une entreprise pour lequel une cyberattaque signifierait davantage qu’une panne brève. Une analyse que ne partage pas Jérôme Notin, directeur général de Cybermaveillance.fr qui juge que : « tout finit par se savoir et une entreprise doit conserver la confiance de ses clients. Communiquer sur un incident vécu induit également de communiquer sur les mesures prises par la suite pour éviter que cela ne se reproduise, donc c’est très bénéfique. » Une position partagée par Alain Bouillé, RSSI de la Caisse des Dépôts et Vice-président du CESIN : « Il n’est pas du tout honteux d’avoir subi une cyberattaque. Cela arrive à ces gens très bien organisés et bien protégés. Il vaut mieux à mon sens une bonne communication bien orchestrée plutôt que de cacher la poussière sous le tapis ! » Pourtant, ce dernier concède également quelques limites à cette transparence, rappelant qu’il est plus simple de partager ces éléments dans des cercles fermés, afin de limiter l’exposition sur la place publique, et bien évidemment qu’il est « plus simple de communiquer sur ses turpitudes lorsque l’on n’est ni OIV ni OSE. »
La réaction de Norsk Hydro serait donc ainsi, à l’unanimité dans les milieux de la sécurité informatique, la meilleure réaction possible face à une cyberattaque. Un exemple de probité et d’honnêteté et peut-être même une première en matière de renversement du narratif : l’entreprise attaquée est devenue, par une vidéo virale mettant en scène ses employés, l’entreprise soudée et résiliente. Les autorités et les marchés ont répondu favorablement à cette décision. Pourtant il semble aventureux d’assurer que Norsk Hydro servira de modèle à toutes les entreprises de sa taille qui, malheureusement, considéreront peut-être leur cas singulier et ne souhaiteront pas affronter l’hostilité des marchés.
Le hasard du calendrier veut que, alors que Norsk Hydro communiquait avec une transparence exemplaire sur une attaque informatique, la société ait repris la production d’aluminium dans une de ses usines du Brésil. Celle-là même qui avait été épinglée par la justice brésilienne et les médias à cause des pollutions environnementales qu’elle produisait et qui sont, encore aujourd’hui, niées par Norsk Hydro. Chaque transparence a son destinataire, chaque risque, sa morale.
コメント