À Angers, la com interne en première ligne après la cyber-attaque
Victimes d’une attaque informatique début 2021, les services de la ville et de la métropole d’Angers se sont retrouvés paralysés du jour au lendemain. En première ligne pour informer le personnel de l'évolution de la situation, expliciter les décisions et maintenir le lien, les cinq agents de la communication interne doivent eux aussi travailler sans informatique. Organisation, outils et stratégies : Éric Fauconnier, directeur communication interne, nous raconte comment ils ont géré la crise.
L’attaque débute dans la nuit du vendredi 15 janvier au 16 janvier. Via un accès à un bureau à distance, les pirates s’introduisent dans le système informatique, y copient un logiciel malveillant, déclenchent l’attaque et le chiffrement des données. 100 % des serveurs et 10 % des postes de travail sont touchés.
« Dès le samedi, l’astreinte des informaticiens intervient pour la déconnexion du réseau et des sauvegardes, la coupure des liens internet et des liaisons entre postes de travail et serveurs, et l’isolement de l’annuaire », explique Éric Fauconnier, venu partager son retour d'expérience lors des dernières Rencontres de la communication interne.
La collectivité sollicite des spécialistes extérieurs, l’Autorité nationale de sécurité des systèmes d’information (Anssi), et un partenaire privé pour être accompagnés très vite dans la méthode. Le dimanche, un PC de crise en présence du maire, du DGS et des DGA, du DSI, et des dircom externe et interne, dresse un état des lieux de l’étendue des dégâts et acte une posture collective de communication : pragmatisme et transparence en interne et externe. Un sms est envoyé à 400 cadres internes et une affiche donnant la consigne de ne pas ouvrir les ordinateurs est apposée sur les sites.
Communiquer sans informatique
Papier et téléphonie. Le service communication interne s’appuie sur ces deux moyens pour expliquer la crise et les premières décisions aux agents. « Victimes » comme les autres de l’attaque, les communicants doivent eux aussi travailler sans informatique. « Nos outils habituels étant inutilisables, nous avons privilégié l’oralité et la proximité… en respectant les règles sanitaires. » Gérer la crise dans la crise. Dès la première semaine, un numéro d’appel dédié est mis en place avec deux agents de la com interne et un de la DSI (direction des systèmes informatiques) pour répondre aux questions.
Porte d’entrée pour les agents, la com interne est présente dans les groupes de crise. En plus du PC de crise, auquel participe le dircom interne, une cellule de crise « ressources » se déroule chaque soir pendant un mois avec le DGA ressources, la DRH, la DSIN (direction des systèmes informatiques et numériques) et la com interne. « Des points réguliers sont organisés entre les équipes com interne et DSIN, avec un “référent” désigné à la DSIN pour élaborer des contenus informatifs et les décliner sur nos supports. »
Communiquer utile sur des sujets techniques
Cette collaboration étroite entre informaticiens et communicants est primordiale pour relever un challenge : expliquer à tous des concepts techniques parfois complexes. La com interne travaille sur la pédagogie et le déjargonage, et s’appuie sur la redondance des messages et l’utilisation de différents supports complémentaires quand cela est possible (papier, intranet, tutos, infographies…). Calendrier, échéances, étapes à franchir… sont utilisés pour donner de la lisibilité et rassurer les agents.
La direction générale assure également un lien régulier avec les directeurs et directrices de service. En janvier, elle organise plusieurs fois par semaine une réunion pour informer avec pédagogie sur la priorisation des interventions et l’état de l’évolution des remédiations. Un lien régulier qui poursuit, au-delà de l’information, un objectif managérial : « Expliquer pour susciter la compréhension, éviter la cacophonie, dédramatiser et “protéger” nos informaticiens sous tension », complète le dircom.
Une attaque aux multiples impacts à gérer en interne
- La gestion de la paie de janvier et février
- Le télétravail fortement perturbé, avec des logiciels métiers qui ne sont plus accessibles à distance : une campagne 2021 décalée
- Des applis inaccessibles pour travailler : certains agents dans l’incapacité de faire leur travail habituel avec un effet démotivation à accompagner
- Des priorités à arbitrer : des contents et des mécontents
- Une adaptabilité nécessaire à tous les niveaux
- Des centaines de situations différentes selon les métiers et les postes
Valoriser l’agilité des services et des agents
Les informaticiens de la collectivité, déjà fortement sollicités pour permettre la continuité de service en raison de la crise, se retrouvent face à des services en attente du rétablissement de leurs outils de travail. « Vous êtes entre le marteau covid et l’enclume cyber-attaque », leur diront les élus qui leur témoignent leur soutien. La communication sur la cyber-attaque donne à voir ce soutien et valorise la mobilisation des techniciens tout comme celle de l’ensemble des agents, dont l’agilité permet d’assurer le service à 90 %. Un recours au système D valorisé également en com externe : « Nous nous sommes appuyés sur les réseaux sociaux car le site internet etait hors service. Brut est venu réaliser une vidéo qui montre une partie de ce qui a été mis en place. »
La communication interne doit aussi être celle de la médiation et du temps long
« Les informaticiens ont fait face au syndrome des pompiers », explique Éric Fauconnier. « Ils reçoivent des remerciements et de la compréhension des agents, pendant les deux premiers mois. Plus le temps passe, plus l’impatience émerge. Les collègues deviennent moins compréhensifs et plus agressifs, face à des informaticiens “fatigués” qui font ce qu’ils peuvent. Notre travail a été aussi d’expliquer la notion de temps long. »
Des supports mixant utilité, accessibilité et simplicité
Pour informer et valoriser, le service communication se sert d’une version simple du journal papier retrouvée sur un InDesign non connecté pour réaliser une newsletter papier. « Co-écrite avec nos informaticiens et le DGA ressources internes, elle est diffusée à tous les agents sur leur lieu de travail, une fois par semaine pendant le premier mois, puis pour ponctuer les étapes de la remédiation. »
Autre solution mise en place sans outil informatique, quelques jours seulement après la cyber-attaque : le podcast téléphoné. Un message court (5 minutes maximum) enregistré à plusieurs voix est diffusé à partir d’un smartphone dont le numéro est communiqué aux agents via la newsletter. Six numéros seront proposés dans les deux premières semaines de la crise.
Quand l’intranet a de nouveau fonctionné, un espace dédié accessible dès le haut de la page d’accueil a été mis en ligne avec des contenus sur la cyber-attaque : FAQ, infos pratiques et techniques, tutos, vidéos, tableau de bord des applis, contenu valorisant les équipes.
Réactivité et ajustement
« Le service communication a dû constamment ajuster le contenu de ces supports en fonction de l’écoute du terrain et en assurant la cohérence des infos descendantes (directeurs/managers/agents) », explique le dircom. « La newsletter est modifiée jusqu’au dernier moment du bouclage et l’espace intranet mis à jour en fonction des décisions prises et des chantiers engagés. »
Communiquer dans la durée
« L’attaque a eu lieu mi-janvier et nous sommes toujours dans la crise », expliquait Éric Fauconnier en juin lors de son intervention aux Rencontres de la com interne. « Ça va être “très long” avant de trouver un fonctionnement normal : la remédiation se poursuit. Nous ne sommes pas encore prêts pour une stratégie de communication sur la sécurisation du système d’information. Nous y travaillons en informant et sensibilisant régulièrement sur des sujets précis et en prenant en compte le ressenti quant aux nouvelles mesures de sécurisation du SI (double authentification ; accès limité à internet en mode réseau et fonctionnement “double bulle”). Avec un enjeu : bien situer le curseur entre hyper-sécurisation et dynamique de com interne. »
Com interne et cyber-attaque : comment anticiper ?
Le retour d'expérience d'Angers montre combien le rôle de la communication interne est prépondérant en cas d'attaque informatique. Comment les collectivités, cibles privilégiées des pirates informatiques, peuvent-elles s’y préparer et animer une culture interne du risque ? Quels liens le communicant public doit-il animer avec la DSI ? Quels outils techniques ou numériques mettre en place en amont ou dans la gestion de crise ? Et quand on n’a plus accès aux serveurs et à internet, quelle communication peut-on anticiper ?
Anne-Charlotte Brou, cheffe du bureau relations presse et communication de crise de l’Agence nationale de la sécurité des systèmes d'information (Anssi), et Guillaume Poupard, directeur général de l'Anssi,, sont venus donner des pistes aux communicants lors d'un atelier au Forum Cap'Com de Rennes, jeudi 9 décembre.