Cyberattaque : la communication de crise de Voyageurs du Monde se heurte au mur de la réalité
Le 18 mai, le groupe Voyageurs du Monde reconnaissait être victime d’une cyberattaque, « subie dans la nuit du 15 au 16 mai ». Mais il s’avançait un peu trop à déclarer que « à ce jour, aucune donnée de nos clients n’a été dérobée ».
Le 17 mai 2023, Voyageurs du Monde révélait dans un communiqué de presse, une « information réglementaire » : il avait « subi dans la nuit du 15 au 16 mai, une cyberattaque ».
« Immédiatement », peut-on lire, une cellule de crise a été « constituée pour déployer toutes les actions nécessaires. L’attaque est circonscrite et nous avons coupé les accès internet afin de permettre aux équipes de travailler à l’analyse de la situation en vue d’une reprise progressive de l’activité envisagée à partir du début de la semaine prochaine avec l’utilisation de nos back-up ».
Et puis dans le même temps, « nos équipes, entourées d’experts en cybersécurité, ont lancé des investigations, et ont renforcé la sécurité de notre système d’information afin d’éviter de nouveau ce genre d’incident ».
Surtout, Voyageurs du Monde l’affirmait : « à date, aucun élément ne permet de nous indiquer que des données de nos clients ont été dérobées ». Le lendemain, sur Twitter, le groupe adoptait une formulation plus rassurante et plus affirmative encore : « à ce jour, aucune donnée de nos clients ou de paiement n’a été dérobée ».
Las, le 28 mai au matin, la cyberattaque a été revendiquée sur le site vitrine de la franchise LockBit. Elle est assortie de deux archives compressées d’un total de près de 17 Go. Et les cybercriminels assurent disposer là des copies de passeport de « plus de 10 000 clients ». De quoi douloureusement contredire les affirmations de Voyageurs du Monde.
Ici, le tour opérateur s’est inscrit dans une logique de communication parmi les plus risquées dans une telle situation. Il a de toute évidence minimisé, en assurant qu’aucune donnée des clients n’avait été volée.
Mais Voyageurs du Monde a aussi affiché une posture d’organisation contrôlant la situation, en indiquant que « nul n’est à l’abri de ce nouveau genre de guerre virtuelle et nous nous étions préparés à ce que cela arrive un jour », pour mieux pouvoir parler de « cyberattaque circonscrite »… moins de 72 h après l’avoir subie.
En toute vraisemblance, le 17 mai, l’implication du rançongiciel LockBit avait déjà été établie. Ce qui permettait de conclure qu’il y avait probablement eu vol de données. Mais la victime ne disposait peut-être pas des traces réseau nécessaires pour le déterminer – comme beaucoup de victimes.
Peut-être Voyageurs du Monde aurait-il été mieux inspiré de jouer la prudence avec un message tel que : « à date, nous ne disposons pas des éléments nécessaires pour déterminer si des données de nos clients ont été volées, ni la nature et la quantité de celles qui auraient pu l’être ».