Monter la garde sur les médias sociaux- Altimeter 2012 (traduction Gootenberg)

Alan Webber

Avec Charlene Li et Jaimy Szymanski

Traduction française de François Ramaget (Gootenberg)

Avec les contributions de 42 experts des médias sociaux

Monter la garde sur les Médias Sociaux

De la Nécessité de Gérer le Risque Média Social

9 Août 2012

Version française : Octobre 2012

Attribution - Pas d'Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 non transposé (CC BY-NC-SA 3.0) © 2012 Altimeter Group

2

Résumé

Les médias sociaux sont la boîte de Pandore moderne: Ils ont connu une ascension fulgurante comme instrument d’interaction et de collaboration avec les clients, mais ils ont aussi révélé leur « côté sombre », en soumettant les entreprises à de nouveaux types de

risques. Près de deux tiers des entreprises interrogées indiquent que les médias sociaux constituent un risque significatif ou critique pour la réputation de leur marque. Pourtant 60% des entreprises ne forment jamais leurs employés à leur politique de médias sociaux - ou bien

le font uniquement à l'embauche. De plus, 43% des entreprises emploient moins d'une personne à temps plein pour la gestion des risques

liés aux médias sociaux.

Pour préserver la réputation de leur marque, protéger leurs informations et leur propriété intellectuelle, et limiter les actions en justice, les organisations ont besoin d'être plus proactives dans la gestion des risques liés aux médias sociaux. Pour mettre en place un processus

efficace de gestion des risques des médias sociaux, les entreprises doivent faire porter leurs efforts sur: 1) l'identification des risques des médias sociaux; 2) l’évaluation et la hiérarchisation des risques par rapport à leurs ressources limitées; 3) la réduction et la gestion de

ces risques afin de minimiser leur impact sur l'organisation; et 4) l’évaluation du risque en regard de leurs efforts pour les limiter.

Méthodologie

Pour ce rapport, Altimeter Group a mené des études quantitatives et qualitatives en combinant un sondage en ligne, des entretiens qualitatifs, et l’analyse d’informations publiques. En particulier, mentionnons:

L’Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux, lancée cette année et destinée à mise à jour annuelle, incluant un sondage en ligne et une évaluation organisationnelle de la gestion des risques des médias sociaux. Pour 2012, nous

avons interrogé 92 professionnels de secteurs et profils divers, qui, dans leurs rôles actuels, ont indiqué que la gestion des risques des sociaux médias était leur fonction principale ou une partie importante de leurs responsabilités professionnelles.

Des entretiens qualitatifs auprès de 36 entreprises. Les interviewés occupaient les fonctions suivantes: directeurs des médias sociaux,

compliance officers (responsables de conformité), avocats, responsables de la sécurité, gestionnaires de risques des médias sociaux, et

cadres dirigeants de sociétés impliquées dans la veille des réseaux sociaux, agences et utilisateurs finaux.


3

Table des Matières

Les Médias Sociaux recèlent souvent des risques non reconnus .................................................................................................. 4

Définir les types de risques attachés aux Médias Sociaux ............................................................................................................. 4

Les plateformes les plus populaires sont aussi les plus risquées. ................................................................................................ 5

Mettre en place une procédure de gestion du risque social .......................................................................................................... 7

Étape 1: Identifier les risques. .......................................................................................................................................................... 8

Étape 2: Évaluation des risques. ..................................................................................................................................................... 10

Les composantes d'un Processus d'évaluation des risques des médias sociaux ......................................................................... 10

Etape 3: Gérer et limiter. ................................................................................................................................................................ 13

1) Créer un Cadre de Décision ........................................................................................................................................................ 13

2) Mettre en place la Gouvernance appropriée ............................................................................................................................. 14

3) Se Doter de Ressources Dédiées ............................................................................................................................................... 16

4) Protéger la Société et les employés avec un ensemble de règles. .......................................................................................... 17

5) Former les Employés à connaître les limites ........................................................................................................................... 20

6) Déployer des Outils Appropriés ................................................................................................................................................ 20

Etape 4: Surveiller et Evaluer ......................................................................................................................................................... 21

Prochaine Etape : Sortez du sable la tête de votre Organisation ................................................................................................. 23

Contributeurs ................................................................................................................................................................................. 24

A PROPOS DE NOUS ........................................................................................................................................................................ 28


4

Les Médias Sociaux recèlent souvent des risques non reconnus

Aujourd’hui, les organisations sautent massivement dans le train en marche des médias sociaux. Aux États-Unis, plus de 80% des

entreprises ont une présence sur Facebook, et 45% d’entre elles sont actives sur Twitter1 Au niveau mondial, environ 16% des entreprises utilisent les médias sociaux pour interagir et communiquer avec leurs clients, selon l’étude IBM 2012 Global CEO Study, et ce nombre

devrait tripler d'ici trois à cinq ans2 .De plus en plus d’organisations utilisent les médias sociaux pour atteindre et interagir avec leurs clients et leurs clients potentiels.

Les médias sociaux peuvent ressembler à une panacée, mais ils ne sont pas le paradis. Imaginez l’appel de 1h35 (du matin) vous informant que votre nouveau produit, qui devait sortir la semaine prochaine, fait l’objet d’une fuite à cause d’images publiées sur Flickr. Ou l'appel de

17 heures vous annonçant que les autorités de contrôle seront dans votre bureau le lendemain matin première heure à cause du tweet envoyé à un client par l’un de vos représentants du service client. Ce ne sont pas des exemples hypothétiques, mais quelques-uns des

incidents réels qui ont affectés des entreprises l'année dernière – et qui tiennent en éveil les directeurs des médias sociaux, les directeurs marketing, les responsables de la conformité, et d'autres responsables en entreprises, qui se demandent si cela pourrait

arriver à leur organisation.

Les entreprises sont souvent conscientes des risques à un certain niveau, mais au lieu de prendre des mesures concrètes spécifiques,

elles croisent les doigts en espérant qu’elles pourront esquiver le coup. Le résultat: un nouvel aspect du risque est introduit dans l'équation de l’entreprise – le risque des médias sociaux3. Altimeter définit le risque des médias sociaux comme:

La probabilité d’occurrence d’un événement négatif survenant sur les médias sociaux (multipliée par)

L'impact de cet événement négatif s’il se produisait

Définir les types de risques attachés aux Médias Sociaux

Pour connaître le point de vue des organisations sur les risques des médias sociaux, nous avons interviewé 33 personnes impliquées dans

les médias sociaux et la gestion des risques induits. Nous avons également interrogé 92 professionnels ayant déclaré que la gestion des risques des sociaux médias était leur fonction principale ou une partie importante de leurs responsabilités. Nous avons constaté dans la

plupart des entreprises que, si les médias sociaux sont perçus comme un atout précieux dans des domaines tels que le marketing, le support client, l'engagement client, et le travail collaboratif, ils sont aussi perçus comme présentant des risques potentiellement

significatifs dans des domaines tels que la réputation de la marque, la productivité des employés, et la protection contre les logiciels malveillants (voir Figure 1.1).

Plus précisément, nous avons constaté que les quatre plus grands risques induits par les médias sociaux sont4:

1. Les dommages à la réputation de la marque. Lors de notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias

Sociaux, 66% des 52 entreprises interrogées nous ont dit que les médias sociaux représentent un risque significatif ou critique pour la réputation de l'organisation. L’atteinte à la réputation de la marque peut entraîner une perte de confiance ou de

crédibilité de l'organisation. Par exemple, le tweet de Kenneth Cole en Février 2012 sur le soulèvement en Egypte: «Des millions de personnes sont en effervescence au #Caire. La rumeur dit qu'ils ont entendu que notre collection printemps était désormais

disponible en ligne sur http://bit.ly/KCairo - KC "a alors causé des dommages importants à la marque.

2. La divulgation de renseignements confidentiels. Que ce soit accidentellement ou par malveillance, par leur nature

même, les médias sociaux peuvent faciliter la divulgation involontaire d'informations. Les entreprises sont constamment préoccupées par la fuite d'informations confidentielles, que ce soit des indications sur leurs profits ou des changements dans

leur personnel clé. Lors de notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux, 32% des 52 entreprises interrogées nous ont dit que les médias sociaux constituaient un risque critique ou significatif de divulgation de

renseignements confidentiels. Par exemple, Morphis Gene, l'ancien directeur financier de Francesca’s Holdings (une société cotée du secteur de la mode) a été congédié après avoir tweeté des informations confidentielles telles que « Réunion du Conseil

". Bons chiffres = conseil heureux »et« roadshow terminé. $ 275 millions d'actions secondaires vendues J’ai gagné mon salaire

cette semaine5. "

3. Les violations juridiques, de la réglementation et de la conformité. Alors que les autorités travaillent avec le secteur

privé à reformuler les règles régissant les médias sociaux, des entreprises appartenant à des secteurs fortement encadrés


5

veulent s'engager sur les médias sociaux sans transgresser les lois ni les règlementations. Ainsi, les régulateurs ont condamné

la société australienne Allergy Pathway à une amende en raison de témoignages trompeurs rédigés par ses fans sur Facebook et Twitter, même si Allergy Pathway n'en est pas l’auteur6. C'est la raison pour laquelle 30% des 52 entreprises interrogées

dans notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux ont indiqué que les risques juridiques, réglementaires et de conformité liés aux médias sociaux sont pour eux critiques ou significatifs, tandis que 25% jugent ce

risque modéré.

4. Le vol ou détournement d'identité. Malheureusement, le vol ou le détournement, par malveillance, de l’identité d’une

personne est aujourd’hui un fait divers répandu. Et, de plus en plus fréquemment ce sont les identités d’organisations qui sont

détournées sur des plateformes de médias sociaux, incluant la falsification de pages Facebook ou de fils Twitter pour fournir de fausses informations ou se livrer à d’autres actions malveillantes. Par exemple, des pages Facebook, des annonces publicitaires

créées par les utilisateurs et des tweets – tous hostiles à la marque - ont été récemment utilisés contre Royal Dutch Shell à propos de ses forages dans l’Artique7.La campagne, qui aurait été exécutée par Greenpeace, inclut un site Web crédible, la

possibilité donnée aux utilisateurs de créer de fausses publicités, et une fonctionnalité de partage sur les médias sociaux pour diffuser le hoax. Les craintes de détournement de marque et de vol d'identité traditionnel ont conduit 25% des 52 entreprises

interrogées dans notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux à-dire qu'ils estimaient que ce risque était critique ou significatif.

Les plateformes les plus populaires sont aussi les plus risquées.

Alors que les entreprises sont conscientes du risque créé par les médias sociaux et de son augmentation, ce risque n'est pas égal sur toutes les plateformes. Les différentes plateformes offrent différents niveaux d’audience, différents types d'engagement, et différents

niveaux d'interaction. Lorsqu'on les questionne sur ces plateformes, les organisations considèrent qu’une partie significative du risque est lié à quelques-unes seulement des plates-formes principales (voir la figure 1.2).

Figure 1.1: L’atteinte à la réputation de la marque est le plus grand risque «Dans les domaines suivants, quel niveau de risque représentent actuellement les médias sociaux pour votre

entreprise?"

Nota: Les pourcentages des réponses peuvent ne pas totaliser 100%, en raison d’arrondis.

Base: 52 de 61 répondants pour qui la gestion des risques des sociaux médias est leur principale ou une partie importante de leur responsabilité.

Source: “Monter la Garde sur les Réseaux Sociaux: De la Nécessité de Gérer le Risque Média Social,” Altimeter Group (9 août, 2012)


6

Figure 1.2: Les plates-formes sociales les plus courantes sont les principales sources de risques "Quels degrés de risques pour votre entreprise attribuez-vous aux réseaux sociaux suivants ? »

Nota: Les pourcentages des réponses peuvent ne pas totaliser 100%, en raison d’arrondis.

Base: 41 de 61 répondants pour qui la gestion des risques sociaux médias est leur principale responsabilité ou une partie importante de leur responsabilité.


Plus précisément, les entreprises nous ont dit que:

Les Plates-formes de plus forte audience constituent le plus grand risque potentiel. Quand il s'agit d’évaluer les

principales sources de risque, les gestionnaires des risques ne vont pas chercher plus loin que les trois grands médias -

Facebook, Twitter et YouTube. 65% des 41 entreprises interrogées dans notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux, nous ont dit que Facebook constituait pour eux un risque modéré ou significatif, 60% pensent la même chose

de Twitter, et 43% de YouTube et des autres sites de partage vidéo. De toutes les plateformes de médias sociaux, ces trois médias l’emportent en termes de portée, de visibilité et de taux d’adoption par les consommateurs, ce qui contribue à un niveau

plus élevé de risque. Mais il y a d'autres facteurs, tels que la fréquence de changement de la plateforme et le manque de contrôle de la plateforme par la marque. Par exemple, plusieurs entreprises interviewées nous ont dit que les fréquents changements de

politique de confidentialité sur Facebook les exposaient à un risque accru jusqu'à ce que l’entreprise ait eu l'occasion d'évaluer la politique et de s’adapter en conséquence.

Le manque de contrôle est une source significative de risque. A propos des blogs de tiers et de leurs commentaires,

47% des 41 entreprises interrogées dans notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux nous ont indiqué que ces plateformes sont une source de risque modéré ou important. Ces blogs de tiers et leurs commentaires résident

en dehors du champ de contrôle de l'organisation et sont des lieux où les individus et les groupes peuvent exprimer librement leur opinion sur une organisation, avec peu de répercussions. Mais, dans certains cas, ces blogs peuvent avoir des retombées

importantes sur des groupes de clients clés pour une marque. Un bon exemple est celui de la crise social media provoquée par Heather Armstrong (@ Dooce sur Twitter) pour Whirlpool, où cette "maman blogueuse" insatisfaite s'est avérée être très

influente dans le premier cercle des clients de la marque8.


7

Mettre en place une procédure de gestion du risque social

Les organisations ont des ressources limitées. Si l’on ne comprend pas qu’il existe différents niveaux de risque des médias sociaux, il est impossible de définir les risques prioritaires et d’allouer les ressources nécessaires à leur contrôle et leur limitation. Les organisations

peuvent choisir de passer du mode réactif au mode proactif. Le meilleur moyen pour une organisation de devenir proactive et de réduire l'impact de la crise liée aux médias sociaux est d'avoir mis en place une procédure de gestion du risque social. La gestion du risque social

media est une procédure d'évaluation des compromis, essentiellement une analyse coûts-avantages, puisqu’elle traite les risques par ordre de priorité. Nous avons identifié quatre étapes distinctes dans la gestion des risques liés aux médias sociaux (voir la figure 2).

Figure 2: La Boucle IARE de Gestion des risques

(Légende : Identifier – Apprécier – Réduire – Evaluer)

Cette procédure, une fois établie, doit devenir un cycle dans lequel l'organisation fait un effort systématique pour évaluer continuellement les risques liés aux médias sociaux auxquels elle est confrontée et les réponses appropriées. Dans le détail, les quatre étapes de gestion

du risque social de sont les suivantes:

Identifier les risques. La première étape consiste à identifier les risques potentiels qui peuvent se manifester au travers

des médias sociaux. Ce peuvent être des risques créés par le canal social, tels qu’une campagne négative menée par une organisation militante, ou le risque que le canal social n’amplifie une situation ou un incident. Presque toutes les entreprises à

qui nous avons parlé utilisent une plate-forme d’écoute, comme Radian6 ou Crimson Hexagon, en tant que moyen d'identifier les

risques potentiels des médias sociaux. Mais au-delà de l'écoute, d'autres entreprises ont aussi recours à des sessions de brainstorming, où elles examinent les crises récentes sur les médias sociaux et affectant les marques - et évaluent ensuite si

ces mêmes scénarios pourrait les concerner.


8

Apprécier les risques. Lors de cette étape, les organisations apprécient, évaluent et hiérarchisent les risques selon leur

probabilité et leur impact potentiel. Au niveau de base, on peut se contenter d’une analyse qualitative, mais à un niveau plus avancé cela devrait être une analyse quantitative. La plupart des entreprises interrogées utilisent un processus d'évaluation

très court terme et sur mesure: fondamentalement, elles ne commencent à évaluer un risque que quand il commence à se manifester et elles n’utilisent ensuite qu’un simple processus qualitatif. D'autres entreprises dans les industries plus

réglementées utilisent une procédure plus structurée d'évaluation des risques, incluant la segmentation du risque, l'attribution

d'un ensemble de valeurs pour chaque risque et leur probabilité de manifestation, puis la hiérarchisation de ces risques sur la base de l'évaluation.

Gérer et limiter. Dans cette étape, les organisations mettent en œuvre des mesures de limitation, de gestion et de contrôle, en commençant par l'inventaire des outils de gestion et de contrôle déjà en place. Presque toutes les entreprises interrogées pour

notre enquête employaient une ou plusieurs stratégies de limitation du risque, incluant des règlements intérieurs (policies), des technologies de vérification de la conformité et la formation de leurs employés. Ainsi, Dell fait un solide effort de formation aux

médias sociaux qui permet aux employés de devenir des défenseurs de Dell sur les médias sociaux.

Surveiller et évaluer. Le paysage des risques liés aux médias sociaux est en état de changement perpétuel. C’est pourquoi les

organisations devraient régulièrement réviser et évaluer leurs programmes de contrôle des risques des médias sociaux, mettre à jour l’inventaire de ces risques et mettre en place de nouvelles mesures de limitation et de contrôle.

Étape 1: Identifier les risques.

La première étape dans la gestion des risques des médias sociaux est d'identifier les catégories de risques auxquels votre organisation

est confrontée. Eddie Schwartz de RSA, la division sécurité d'EMC, l’a résumé très succinctement: "Vous ne pouvez pas utiliser la méthode « traquer et répondre », comme approche de la gestion des risques des médias sociaux. Il s’agit de prendre l’initiative et de repérer où

sont vos faiblesses, quelles sont les menaces et qui sont vos adversaires -. Et de façon proactive " Comprendre comment on peut classer les risques des médias sociaux permet de les évaluer plus efficacement, de les gérer et d’y

répondre. Nous les avons répartis en quatre grandes catégories, basées sur la façon dont, s’ils se perpétuaient, ils affecteraient l’organisation. Ces quatre catégories sont les suivantes:

Réputation de l’organisation. Les atteintes à la réputation de la marque peuvent causer une perte de confiance ou de crédibilité qui peut entraîner une perte financière potentielle ou réelle. Par exemple, le tweet de la boutique de vêtements en

ligne www.CelebBoutique.com , «# Aurora est tendance, c’est clair avec notre robe #Aurora inspirée par Kim K», peu de temps après la fusillade mortelle dans un cinéma d’Aurora, Colorado, se traduira probablement en ventes manquées pour cette

société.

Violations de réglementation et de conformité. Les risques réglementaires et de conformité sont les risques qu’une organisation postant un message sur un média social puisse violer une réglementation gouvernementale, ce qui pourrait

entraîner des sanctions financières et / ou d’autres sanctions. Par exemple, la Federal Drug Administration (FDA) a réprimandé Novartis pour son utilisation du widget de partage sur sa page Facebook consacrée à la la promotion de son médicament

Tasigna, ce qui constitue une violation des règles de publicité de la FDA9.

Risque juridique et de respect de la vie privée. Les risques juridiques et de confidentialité sont ceux encourus par une organisation qui ne prendrait pas une mesure - comme celle d’assurer efficacement la protection de renseignements

personnels - ce qui pourrait causer un préjudice à un tiers. Souvent, les risques liés aux employés et aux ressources humaines

ou les problèmes de confidentialité, comme la divulgation d’informations personnelles confidentielles, tombent dans cette catégorie. Ainsi, lorsque le Dr Alexandra Thran a posté sur Facebook des messages à propos des patients qu'elle voyait lors de

sa formation clinique, mais n'a pas affiché leurs noms ni d'autres informations permettant leur identification, elle a pensé bien faire. Mais un tiers a été en mesure de savoir qui était l'un des patients, en se basant sur les blessures mentionnées dans ces

messages, et le Dr Thran a été congédié pour avoir violé la confidentialité des patients10.

http://www.celebboutique.com/


9

Risque Opérationnel. Les risques opérationnels sont les risques susceptibles de compromettre l'ensemble des opérations et de la

sécurité d'une organisation. Les risques opérationnels peuvent être subdivisés en cinq sous-catégories: 1) diminution de la productivité des employés, 2) diffusion d'informations confidentielles ou relevant de la propriété intellectuelle, 3) introduction de

logiciels malveillants dans un système informatique via un lien sur une plate-forme sociale, 4) attaque directe envers les employés et la direction, résultant d’une campagne sur les médias sociaux , 5) discontinuité des activités de l’entreprise sur ses canaux digitaux

principaux, comme une plateforme e-commerce.

Aucun risque n’entre dans une seule catégorie, car chaque incident qui se manifeste revêt des caractéristiques uniques qui dépassent les

frontières de la classification. Ainsi, la divulgation accidentelle d’informations privées sur ses clients par une société de services financiers constituerait-elle d’abord un risque opérationnel avant de devenir un risque réglementaire sitôt que l'incident sera signalé à

l'organisme de réglementation approprié. Elle deviendra alors un risque de réputation pour l’organisation lorsque la perte de données deviendra publique, et se transformera enfin en risque juridique si l'un des clients dont les données ont été violées décide de porter

plainte.

L’identification de la menace issue des médias sociaux est un processus continu et permanent, unique à chaque organisation. Ceci étant dit, les organisations les plus avancées parmi celles que nous avons interrogées ont adopté une approche à deux niveaux, basée à la fois

sur l’examen des risques en continu et par palier, avec un examen régulier, hebdomadaire ou mensuel et un examen plus profond sur une base trimestrielle à annuelle. Pour identifier les risques potentiels des médias sociaux, les entreprises les plus avancées utilisent une

combinaison des activités suivantes.

1. Revoir l’historique. Comme une entreprise l'a souligné, les risques des médias sociaux, à l'instar d'autres risques, ont

tendance à suivent des modèles. Dès lors, une façon d'identifier les risques des médias sociaux est d'examiner comment l’entreprise a déjà subi, par le passé, des impacts négatifs par le biais des canaux traditionnels et sociaux.

2. Examiner ce qu’on entend. Beaucoup d’entreprises cherchent en permanence, sur l'ensemble de leurs plates-formes d'écoute,

les signes d’émergence de nouveaux risques - et classent ces risques comme immédiats ou à long terme. Les risques immédiats sont traités dans un processus de gestion de crise, et les risques de niveau inférieur à long terme sont traités dans

le processus d'évaluation des risques.

3. Apprendre des autres. Il y a en permanence des crises et des incidents provenant des médias sociaux, et chacun de ces

événements est une excellente occasion d'apprentissage pour les entreprises. L’une des sociétés à qui nous avons parlé

emploie une équipe pluridisciplinaire qui fait une analyse hebdomadaire des nouvelles, à la recherche d'études de cas et de risques nouvellement identifiés qui sont ensuite injectés dans leur processus d'évaluation des risques.

4. Créer une bibliothèque des risques des médias sociaux. Plusieurs des entreprises interrogées créent ou ont créé une bibliothèque ou une liste des risques potentiels - similaire à ce qu’Intel a créé avec sa « bibliothèque Intel des menaces » et la

mettent à jour dès qu'ils sont identifiés11.

5. Examiner les risques d'activités nouvelles. Chaque fois qu'une équipe ou division d'une entreprise souhaite lancer une nouvelle activité sur les médias sociaux, cette activité devrait être revue en termes d’exposition à de nouveaux risques. Par

exemple, lorsque le service clients d'une grande entreprise de services financiers a voulu lancer un nouveau programme de service client via les canaux sociaux, l'activité a été examiné de près au titre des risques potentiels.

6. Examiner les risques de modification de la plate-forme. Enfin, les plates-formes sont en constante évolution, et les

entreprises qui, essentiellement, «louent de l'espace sur ces plates-formes publiques», comme une entreprise nous l’a dit, doivent examiner les risques potentiels de ces changements. Les entreprises que nous avons interrogées ont mentionné

quelques-uns des changements des plates-formes les plus populaires, qui modifient leur exposition au risque, incluant les changements dans les politiques de confidentialité, les changements dans les politiques de conservation des données, et les

modifications dans la fonction réelle de la plate-forme elle-même (par exemple, lorsque Facebook a introduit sa Timeline).


10

Étape 2: Évaluation des risques.

Beaucoup d'entreprises ne savent pas à quel niveau de risque lié aux médias sociaux elles s’exposent, parce qu'elles n'évaluent pas régulièrement et ne quantifient pas les risques des médias sociaux. Nous avons constaté que 56% des 39 entreprises que nous avons

interrogées dans notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux évaluent régulièrement les risques des médias sociaux (voir figure 3). Dans nos entretiens, les entreprises ont exprimé de nombreuses raisons de ne pas évaluer régulièrement

les risques des médias sociaux, mais les raisons les plus courantes étaient un manque de ressources pour accomplir cette tâche.

Figure 3: La moitié des entreprises évaluent les risques

« Votre entreprise évalue-t-elle actuellement ses risques liés aux médias sociaux »

Base: 39 de 61 répondants pour qui la gestion des risques des sociaux médias est une responsabilité principale ou importante.


Les composantes d'un Processus d'évaluation des risques des médias sociaux

Une évaluation des risques des médias sociaux est un processus structuré pour l'évaluation objective et la détermination du niveau de risque ou d'exposition auquel une organisation est spécifiquement confrontée, par rapport à une menace identifiée ou son apparition

éventuelle. Le risque social media est formé des deux composantes principales que sont la probabilité et l'impact, et ces deux composantes doivent être examinées dans le cadre d'une méthodologie d'analyse afin de bien évaluer la gravité d'un événement potentiel

(voir figure 4).


11

Figure 4: Les Composantes de Probabilité et d’Impact pour Evaluer le Risque Média Social

Composante Sous-composante Probabilité. La Probabilité est la première composante

du risque média social et elle est la probabilité d’occurrence de l’événement.

Catalyseur. Ce paramètre détermine s’il existe un catalyseur pouvant déclencher

l’action d’individus ou de groupes représentant un risque. Il répond à une question simple : Y-a-t-il quelque chose qui pourrait pousser les gens à agir ? Certains risques

des Médias Sociaux sont activés par un catalyseur déterminé, tels que le rappel d’un

produit ou une grande annonce d’actualité. D’autres risques des médias sociaux, tels que l’introduction d’un logiciel malveillant ou la diminution de productivité des

employés surviennent sous l’influence de catalyseurs plus mineurs et moins bien définis. Par exemple, un consommateur favorable à la cause de l’environnement peut

être motivé à signer des pétitions et envoyer des emails, mais il ne se joindra pas à une campagne sur les médias sociaux contre une grande entreprise avant qu’il y ait un

catalyseur qui le pousse à l’action.

Opportunité.

Ce paramètre d’opportunité détermine la capacité de propagation du canal.

L’opportunité est d’abord liée à l’accessibilité du canal – S’agit-il d’une plateforme publique comme Facebook ou s’agit-il d’un espace fermé comme un réseau social

d’entreprise? Ensuite, le média social est social, et l’un des aspects clés est la possibilité de viralité. L’opportunité mesure aussi la possibilité que le risque génère

une audience croissante.

Motivation. Le critère de Motivation mesure la motivation sous-jacente d’un acteur du

risque. Par exemple, un consommateur qui veut juste faire réparer son lave-vaisselle

et sent que le service client ne l’écoute pas est très différent d'un employé qui révèle accidentellement des informations confidentielles..

Impact. L’Impact est la seconde composante du risque Média Social et il fait référence à l’effet ou aux

conséquences attendues (souvent négatives) d’un

événement. L’impact est souvent représenté sous la forme de perte financière.

Réputation. Réputation signifie souvent chiffre d’affaires, ce composant mesure donc l'impact estimé de la perte de réputation, principalement mesurée par la perte de

clients actuels et futurs - ou la perte de ventes. Cela peut se refléter dans la perte de

fans sur les médias sociaux, un changement important du trafic Web, une baisse du taux de recommandation net (Net Promoter Score), ou d'autres mesures.

Disponibilité. La Disponibilité mesure l'impact du risque sur la capacité de

l'organisation à servir ses clients. Par exemple, si les canaux sociaux sont vos premiers canaux marketing, beaucoup de bruit négatif sur ce canal réduira votre

capacité de commercialisation. Un autre exemple est celui d’un canal social consacré au service client, inondé de commentaires négatifs au lieu de vraies demandes

clients. Cela pourrait rendre ce canal indisponible pour les clients.

Juridique / conformité. Le risque juridique, réglementaire et de conformité a

souvent un impact beaucoup plus réel et plus tangible puis beaucoup d'autres, non

seulement en raison des dommages financiers potentiels, mais aussi en raison des sanctions et des complications que les organismes de régulation et les poursuites

judiciaires peuvent faire subir à une entreprise. Par exemple, Lalit Modi, Président et commissaire de la Indian Premier League la ligue professionnelle de cricket indienne,

a dû payer plus de 1,5 millions de dollars en amendes et frais de justice pour avoir accusé sur Twitter un joueur de cricket de matches truqués.



12

La méthodologie d'évaluation des risques des médias sociaux utilisée par certaines des entreprises interrogées est semblable à beaucoup

d'autres méthodologies d'évaluation des risques. Elle met l'accent sur la compréhension et l'estimation de la probabilité d'un événement menaçant et son impact si l'événement se produit. A partir de là, les risques peuvent être évalués et des moyens mis en œuvre pour

réduire le risque et en gérer l'impact. Les quatre étapes sont les suivantes:

1. Estimer le taux de probabilité d'un événement particulier. Le premier composant de cette étape est d'évaluer la probabilité

qu'un événement identifié se produise, avec un score souvent basé sur l'expérience. Pour certaines entreprises, il suffira simplement de classer chaque risque en risque de faible probabilité, probabilité moyenne ou probabilité élevée. Une approche

plus sophistiquée consistera à utiliser une notation quantitative basée sur un certain nombre de facteurs de risque, tels que le

lancement d'un nouveau produit, une attention récente des médias pour l’entreprise, ou son ciblage par une organisation militante. A titre d’exemple, une organisation pourra évaluer la probabilité d'un risque sur la réputation de sa marque comme un

événement se produisant deux fois par mois, mais elle estimera que le développement d’un risque juridique ne puisse se produire qu’une fois tous les deux ans.

2. Évaluer l'impact potentiel sur l'organisation. Encore une fois, en se basant sur l'expérience et la compréhension de

l'organisation et du marché, il s’agit de déterminer ce qui pourrait arriver. Définissez clairement les impacts potentiels de

l'événement en termes de marque, de marché, de finances et de clients. Il peut s’agir d’un simple classement de chaque événement potentiel selon son impact, faible, moyen ou élevé – ou d’un système aussi complexe que l'application d'une notation

quantitative basée sur un certain nombre de facteurs composant l'impact.

3. Classer les risques. Ensuite, en se basant sur la probabilité et l'impact potentiel d'un événement, il s’agit de classer les

événements à risque identifiés. L'approche la plus courante consiste à placer les événements sur une matrice, avec la probabilité en abscisse et l'impact en ordonnée en fonction de l'échelle ou du score, comme dans la figure ci-dessous (voir

figure 5). Par exemple, si l'événement A a une probabilité haute, mais seulement un impact faible, il sera traité dans le cadre du groupe des événements à risque modéré. Si deux événements sont dans le même groupe de risque, l'événement avec la plus

forte probabilité devra être classé au-dessus de l'événement avec le plus d'impact. Par exemple, si un événement a une probabilité faible et un impact sévère, par rapport à un événement avec une forte probabilité et un impact moyen, le second

événement sera traité avec une priorité plus élevée.

4. Prioriser les efforts et les ressources pour gérer et réduire les risques. En se basant sur le classement des événements

à risque potentiels, les organisations devraient prioriser les ressources avec deux objectifs: soit réduire la probabilité des risques prioritaires par la mise en œuvre de contrôles et des mesures de réduction, soit minimiser l'impact négatif de tels

incidents.


13

Figure 5: Exemple d’une Matrice de Risques Social Media


Etape 3: Gérer et limiter.

Après avoir identifié et évalué le risque, qu’allez vous faire ? Les entreprises peuvent gérer et limiter le risque au travers des six points suivants :

1. Créer un cadre de décision.

2. Mettre en place la gouvernance appropriée

3. Se doter de ressources dédiées

4. Protéger l’entreprise et ses employés par un ensemble de règles

5. Former les employés à connaître les limites

6. Déployer les outils appropriés.

1) Créer un Cadre de Décision

La première étape est d’utiliser un arbre décisionnel de contrôle du risque afin d’évaluer systématiquement et complètement les contrôles

mis en place face aux risques et d’en réduire alors l’impact (voir Figure 6). Réduire la probabilité d’un risque revient à déterminer si ce risque peut être directement contrôlé, ou si les facteurs qui le constituent peuvent être limités. A l’inverse, réduire l’impact d’un risque

revient à s’assurer que des procédures de contrôle de crise appropriées sont en place pour minimiser ses effets négatifs.


14

Figure 6: Exemple de Procédure pour Gérer et Limiter le Risque

Source: “Guarding the Social Gates: The Imperative for Social Media Risk Management,” Altimeter Group (Aug. 9, 2012)

2) Mettre en place la Gouvernance appropriée

La seconde composante d’une bonne gestion du risque social media est d’avoir en place les compétences et procédures appropriées. Nous

avons constaté que dans environ 50% des entreprises interrogées, l’équipe social media est prioritairement responsable quand il s’agit

de la gestion du risque (voir Figure 7)


15

Figure 7: L’Equipe Social Media est Fréquemment en Charge de la Gestion du Risque Social

“Quelles fonctions dans votre organisation jouent-elles un rôle dans la gestion du risque Social Media?”

Base: 39 de 61 répondants pour qui la gestion des risques des sociaux médias est une responsabilité principale ou importante.


Même si l’équipe Social media est souvent pilote en termes de gouvernance sur la gestion du risque social media, il ne devrait

pas être le seul département impliqué. Un fournisseur de solutions avec qui nous nous sommes entretenus nous a dit avoir des clients chez qui la gestion du risque social media remonte au Juridique, pour des raisons d’archivage et de preuve

électronique, puis jusqu’à la direction financière.

Il y a un grand nombre de configurations possibles car les médias sociaux et le risque attaché affectent une large partie de toute

organisation. Depuis les problèmes internes, tels que la formation et le contrôle assurés par les RH, jusqu’aux questions de sécurité informatique gérées par le département IT, un grand nombre de départements peuvent avoir une expertise utile dans la gestion du risque

social media. Un entreprise interrogée l’a ainsi formulé : « Les départements RH; juridique et IT fournissent une orientation essentielle sur l’infrastructure nécessaire à tout programme social media. ». Bien que toutes les organisations soient différentes, Altimeter Group a

identifié six composantes organisationnelles clés qui devraient être impliquées dans la gestion du risque social media (voir Figure 8).


16

Figure 8: Six Composantes Organisationnelles Clés dans la gestion du Risque Social Media

Composante organisationnelle Rôle Marketing Le département marketing est le département le plus fréquemment

en charge des programmes social media, et, en tant que tel, il joue un rôle clé dans le contrôle de l’organisation de la présence de la

marque sur les médias sociaux. Dans la plupart des organisations, il est aussi responsable de la gestion du risque social media.

Ressources Humaines Les RH sont critiques pour la gestion du risque social media, parce qu’ils sont souvent responsables de la gestion et du contrôle de

l’usage des médias sociaux par les employés.

Légal et Conformité Le département Légal a généralement la responsabilité d’instaurer

des règles juridiques sur l’usage des médias sociaux. Dans les secteurs réglementés, les responsables de la conformité légale

veillent à ce que les programmes social media respectent les règles édictées par l’organisme de surveillance.

Technologie et Systèmes d’Information L’Informatique est responsable des plateformes hébergées dans

l’entreprise, de la sécurité de l’information et de la prévention des pertes de données.

Communications et RP Les départements de la Communication et des Relations Publiques sont souvent responsables de l’organisation de la communication de

marque et de la communication de crise en cas d’incident.

Sécurité et Gestion du Risque La Sécurité et la Gestion du Risque sont des fonctions plus

traditionnelles qui commencent d’être impliquées dans la gestion du risque social media en raison du rôle des média sociaux dans la

sécurité physique traditionnelle (par exemple, dans le cas d’intrusion basée sur le social engineering).


Par exemple, une entreprise que nous avons interrogée organise des réunions trimestrielles de gouvernance avec un groupe incluant des

représentants du marketing, de la communication, du juridique, de l’informatique et des RH. D’autres organisations sont plus souples dans leur approche. Ainsi, une entreprise n’avait pas de structure spécifique pour la gestion du risque social media, mais s’appuyait sur des

réunions hebdomadaires entre le stratège social et un représentant du département juridique pour s’assurer que leurs activités étaient

conformes aux politiques de l’entreprise.

3) Se Doter de Ressources Dédiées

Un autre point clé est la quantité de ressources que l’entreprise est désireuse de dédier à la question du risque social media. Dans la plupart des entreprises, on compte entre un et trois employés, qui, par leurs fonctions, aident l’organisation à traiter le risque social

media. Dans notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux, 43% des 39 entreprises interrogées dédient

moins d’une personne à temps plein à la gestion du risque social media, et 31% emploient entre un et cinq équivalents temps plein.


17

Certaines entreprises considèrent plus sérieusement les risques des médias sociaux et se dotent de ressources. Par exemple, DuPont et

Intel emploient un à deux équivalents temps plein, dont au moins une personne à temps complet, pour la gestion des risques des médias sociaux, chargés d’identifier, évaluer et gérer les risques, en complément des employés impliqués à temps partie dans le programme de

gestion des risques.

Pour déterminer quelles ressources sont nécessaires, vous pouvez reproduire les étapes suivies par les entreprises ayant plus de

maturité dans les processus de gestion de ces risques:

1. Identifier le besoin de ressource pour la gestion des risques des médias sociaux en vous basant sur le processus d'évaluation des risques décrits ci-dessus.

2. Déterminer le temps nécessaire pour gérer le processus en vous basant l'évaluation des risques et les niveaux actuels de ressources.

3. Déterminer quelles compétences et technologies sont nécessaires et lesquelles peuvent être «externalisées» tant à l'intérieur

qu'à l'extérieur de l'organisation.

4. Recourir aux embauches, à la promotion interne, ou la mutation pour mettre la ressource en place.

4) Protéger la Société et les employés avec un ensemble de règles.

La quatrième composante d'une bonne gestion des risques des médias sociaux est d'avoir mis en place des « barrières » ou des règles appropriées 12 Traditionnellement, les politiques relatives aux médias sociaux, d'un point de vue de gestion du risque, sont principalement

axées sur une chose - minimiser les risques pour l'organisation. Mais comme souvent, minimiser ce risque suppose un compromis. Si les

organisations essaient de trop minimiser le risque, elles le font au détriment de l'objectif principal des médias sociaux - être social. Les politiques doivent donc définir ce qui est interdit et comment s’engager d'une manière qui minimise les risques.

S’agissant des politiques de médias sociaux en vigueur dans les entreprises, la plus répandue est la politique de respect de la vie privée (Privacy Policy) (voir figure 9.1), avec 59% des 34 entreprises interrogées dans notre Enquête Altimeter 2012 sur la Gestion des Risques

des Médias Sociaux indiquant qu'elles avaient une politique en place. Ces politiques de respect de la vie privée s'appuient souvent sur les politiques numériques mises en place pour les interactions via les sites Web et le courrier électronique. Parmi les autres règles mises en

place par la plupart des entreprises figurent des règles s’appliquant à l'usage personnel des médias sociaux par les employés (56%), des règles portant sur la divulgation, la confidentialité, et les règles éthiques (53%), et des règles portant sur l'utilisation des médias sociaux

d'entreprise (50% ). Pour les entreprises disposant une politique de médias sociaux, nous constatons que la plupart sont mises à jour moins d’une fois par an

(voir Figure 9.2). Une bonne pratique exposée par certaines des sociétés interrogées consiste en la révision et la mise à jour de la politique de médias sociaux deux fois par an, pour suivre le rythme de l'évolution technologique.


18

Figure 9.1: La Politique de Respect de la Vie Privée est la Politique Social Media la plus répandue

« Quelles politiques spécifiques aux médias sociaux - ou quelles politiques les incluant ou leur servant de référence -

sont en place dans votre entreprise ? »

Légende : Politique de respect de la vie privée (Privacy Policy) - Règles s’appliquant à l'usage personnel des médias sociaux par les

employés - Règles portant sur la divulgation, la confidentialité, et les règles éthiques - Règles portant sur l'utilisation des médias sociaux

d'entreprise - Politique communautaire s’appliquant aux clients, partenaires et prospects - Politiques spécifiques à des canaux (ex. Twitter, LinkedIn et YouTube) - Politique de commentaires - Nous n’avons pas de politique propre aux médias sociaux - Autres types de

règles Social Media Base: 34 de 61 personnes interviewées pour qui ont pour responsabilité principale ou significative la gestion du risque social media


Figure 9.2: Les Politiques Social Media ne sont pas fréquemment mises à jour

“Avec quelle fréquence ces règles sont-elles mises à jour?”

(Légende : Moins d’une fois par an - Une fois par an - Une fois par trimestre - Une fois par mois) Base: 34 de 61 personnes interviewées pour qui ont pour responsabilité principale ou significative la gestion du risque social media



19

Bien qu’il y ait de nombreux types de politiques de médias sociaux, la plupart peuvent être rangées dans trois catégories (voir Figure 9.3).

Ces catégories peuvent – et doivent – se chevaucher dans leur mise en œuvre. Une bonne politique de médias sociaux doit réussir l’équilibre entre la minimisation du risque et le partage de responsabilité entre l’organisation et les tiers.

Figure 9.3: Les 3 Catégories Principales de Politiques de Médias Sociaux

Catégorie Explication Exemple de règles Politique de Participation Les politiques de participation sur les

médias sociaux définissent les tactiques de participation des

individus et des groupes dans les communautés formelles et

informelles.

Vie Privée: (Règle) déterminant comment

l’organisation utilisera l’information qu’elle recueille

sur les medias sociaux.

Participation des Employés: (Règle) établissant quels

employés sont autorisés à participer aux médias sociaux pour le compte de l'organisation et ce qu'ils

doivent faire et ne pas faire.

Communauté: (Règle) détaillant les objectifs partagés avec une communauté formelle, qui est autorisé à

participer à une communauté formelle, et les limites de la participation au sein de cette communauté.

Politique Ethique Les politiques d'éthique définissent à

un niveau stratégique quels sont les bons et mauvais comportements sur

les médias sociaux.

Divulgation: (Règle) indiquant quel genre d'information

peut être diffusé, ce qui ne peut pas l’être, et dans quelles circonstances.

Code de conduite: (Règle) établissant le

comportement souhaité des employés et des clients, à la fois personnellement et professionnellement.

Politique Opérationnelle Les politiques opérationnelles

couvrent le risque et ses déclinaisons au-delà des médias sociaux.

Finalités organisationnelles des médias sociaux:

Cette politique précise les objectifs stratégiques de participation de l’organisation aux médias sociaux et ce

que les employés, clients et partenaires peuvent attendre de l'organisation.

Sécurité de l'information: (Règle) décrivant les

mesures de sécurité à prendre avec les différents médias sociaux.



20

5) Former les Employés à connaître les limites

Si vous avez établi une gouvernance du risque Social Media, avez mis en place de bonnes règles et principes, et avez un processus de mise à jour sur une base régulière ou selon les besoins, la prochaine étape est de vous assurer que les employés et les cadres sont

correctement et régulièrement formés. Altimeter Group a révélé qu'environ 60% des 35 entreprises interrogées dans notre Enquête Altimeter 2012 sur la Gestion des Risques des Médias Sociaux ne formaient jamais les employés sur les médias sociaux ou seulement lors

de l’embauche (voir figure 10). Compte tenu de l'évolution constante des médias sociaux et du risque qu’ils représentent pour l'organisation, les employés devraient recevoir une formation annuelle sur la politique et les processus d’entreprise en matière de médias

sociaux. Ceci peut être intégré à une formation existante sur le respect de la vie privée, une formation à la conformité ou à un cours avec un but spécifique.

Figure 10: Un Manque de Formation aux Règles d’Usage des Médias Sociaux

« Avec quelle fréquence les employés sont-ils habituellement formés aux règles en vigueur sur les médias sociaux »

(Légende : Seulement quand ils sont embauchés - Quand ils sont embauchés, puis une fois par an - Ils ne sont jamais formés aux règles de

médias sociaux) Base: 35 de 61 personnes interviewées pour qui ont pour responsabilité principale ou significative la gestion du risque social media


6) Déployer des Outils Appropriés

Enfin et surtout, il est essentiel d’avoir de bonnes technologies en place pour déployer et dimensionner la gestion du risque Social Media.

La mauvaise nouvelle: Il n'y a pas beaucoup d'outils technologiques actuellement conçus et dédiés à la cette gestion. La plupart des outils utilisés dans la gestion du risque Social Media sont des outils polyvalents ou des outils recyclés servant d’autres objectifs 13. Il ya trois

catégories d'outils généraux dans cet espace émergent: 1) des outils de suivi et d'écoute, 2) des systèmes de gestion des médias sociaux, et 3) des systèmes de conformité des médias sociaux (voir figure 11).


21

Figure 11: Catégories Clés d’Outils de Gestion du Risque Social Media

Catégorie Descriptif Outils Suivi (Monitoring) et Ecoute

Les plateformes de monitoring et d’écoute Social Media sont les outils que les

organisations utilisent pour écouter leurs clients sur les médias sociaux. Dans la

gestion du risque social, elles sont utilisées dans le même but, s’orientant vers l’écoute

de déclarations à risques émanant de clients et de fuites d’information interne par des

employés ou des partenaires.

Les options vont d’outils simples comme Google alerts and Facebook searches, ou des

outils d’écoutes plus avancés comme Salesforce Radian6 et Crimson Hexagon,

jusqu’à des produits d’analyse packagés comme SAS.

Gestion Social Media Les outils de gestion de médias sociaux sont utilisés par les organisations pour organiser,

gérer et automatiser leurs flux sur les médias sociaux, notamment la publication.

Du point de vue de la gestion des risques, certains de ces outils peuvent également

être utilisés pour gérer et contrôler les informations publiées par l'organisation. Par

exemple, certains outils peuvent analyser les messages sortant de l’entreprise sur les

médias sociaux et signaler les contenus inappropriés ou en violation des règles de

l'entreprise. Cela sera particulièrement

important pour les entreprises opérant dans un environnement très réglementé.

Cette catégorie inclue un vaste ensemble d’outils et technologies comme Actiance,

Awareness, Expion, Hearsay Social, Inc., Hootsuite, Social iQ Networks, Sprinklr,

SproutSocial, Syncapse, et d’autres.

Conformité Social Media Les outils de conformité Social Media aident les entreprises à se mettre en conformité

avec les règles internes et / ou les obligations de régulation extérieures.Ces

outils permettent par exemple l’archivage et l’audit de l’activité Social Media, et le

contrôle de l’activité des employés.

Cette catégorie d’outils inclue Actiance, Jive, Kronovia, Smarsh, Social iQ

Networks, SocialLogix, Socialware, et d’autres..


Etape 4: Surveiller et Evaluer

Les médias sociaux sont et resteront une dynamique, un espace en constante évolution dans un avenir prévisible. Ainsi, les efforts

d'identification, d'évaluation et de réduction des risques que vous avez fait la semaine dernière, le mois dernier, et l'année dernière ne seront pas tout à fait applicables aux risques auxquels vous êtes confrontés aujourd'hui ou demain. Vos efforts de gestion du risque Social

Media devront continuer à évoluer face à ces nouvelles menaces. Pour cela, concentrez-vous en permanence sur le suivi et l'évaluation des menaces en constante évolution et l'évaluation des efforts de réduction et de contrôle face à ces menaces.

L’évaluation des risques et les mesures de réduction du risque devraient être réexaminées sur une base régulière (tous les six mois ou tous les ans) afin de s'assurer qu'il continue d'y avoir une coordination entre les programmes d’évaluation et de réduction. Par exemple,

une entreprise que nous avons interrogée organise une séance mensuelle pour examiner les risques actuels, les risques émergents et l'efficacité des mesures de réduction et de contrôle.


22

En plus de ces revues régulières, l’évaluation des risques et les stratégies de réduction du risque devraient être revues ou mis à jour dans

les circonstances suivantes:

L’entrée dans nouveau canal. Lorsqu'une organisation prend la décision d’entrer sur un nouveau canal ou plate-forme social, une

évaluation des risques doit être effectuée en même temps que l'examen de la capacité des mécanismes en place à gérer les risques additionnels identifiés dans ce nouveau canal. Ainsi, un cabinet de services financiers avec qui nous avons parlé a mené une vaste

évaluation des risques avant de lancer un canal de service client basé sur les médias sociaux.

Émergence forte d'une nouvelle technologie. Chaque fois qu'une nouvelle technologie commence à émerger fortement avec une large adoption, une évaluation doit être effectuée afin de s'assurer que l'évaluation des risques est à jour et que les efforts de

réduction et de contrôle du risque couvrent cette nouvelle technologie. Par exemple, une entreprise nous a indiqué que, quand une plate-forme Social Media atteint 50 millions de clients potentiels, comme Google+ l’a fait, elle commence à l’inclure dans son

évaluation des risques. Même si la société ne prévoit pas d’adopter cette nouvelle technologie, l'évaluation des risques devrait être conduite sur la base de l’adoption (réelle ou potentielle) de la plate-forme par les clients de l'organisation.

Identification d'une nouvelle menace. Si une nouvelle menace apparaît, une évaluation des risques doit être menée pour cette nouvelle menace afin de s'assurer qu’un contrôle approprié et des stratégies de réduction sont bien en place.


23

Prochaine Etape : Sortez du sable la tête de votre Organisation

De bonnes pratiques de gestion des risques Social Media sont l’assurance que vous serez prêt à aborder, limiter et gérer les risques pour

les empêcher de se transformer en crises Social Media. Afin de garantir les chances de succès de votre processus de gestion des risques, il est nécessaire de procéder comme suit:

Faites du risque Social Media un problème de la direction de l’entreprise. La principale raison à la croissance continue des

crises Social Media et des situations où les médias sociaux contribuent à d'autres crises, c’est que la plupart des chefs

d'entreprise ne perçoivent pas les médias sociaux comme un risque, de la même manière que la plupart des dirigeants et des conseils d’administration n'ont pas perçu Internet comme un risque jusqu'à l’apparition du premier virus. Soyez proactif pour

porter le risque Social Media au niveau de la direction de l’entreprise, compte tenu de son potentiel d’impact significatif sur la valeur de l'entreprise. Ainsi, IBM considère le risque Social Media comme un problème relevant du conseil d’administration.14

Bien que certaines des tâches courantes puissent être déléguées, les dirigeants doivent être impliqués dans la prise de décision et le

contrôle. Faites prendre conscience de cette responsabilité en éduquant les principaux dirigeants (jusques et y compris le conseil d'administration) aux avantages et inconvénients des médias sociaux et à la nécessité pour eux d'être au courant de - et engagés dans - la

compréhension de ces deux aspects.

Tirez les leçons des crises passées. Que ce soit au sein de votre organisation ou d'une autre, il ya une nouvelle crise Social

Media chaque semaine, et ces crises fournissent souvent de grandes études de cas potentiels sur ce qu’il convient de faire et ne pas faire en matière de gestion des risques. Choisissez une crise, faites des recherches de fond pour mieux comprendre ce qui

a amené cette crise et comment l'organisation a répondu, puis amusez vous à traiter la crise comme si elle s’était produite dans votre organisation. Commencez par vous demander: En quoi votre organisation aurait-elle réagi différemment? En quoi

votre organisation aurait-elle répondu de la même manière? Quels sont les processus, les outils et les règles qui auraient servi? Et si cela était arrivé de toute façon, comment auriez-vous pu en minimiser l'impact?

Passez en revue vos propres réponses. La plupart des organisations que nous avons interviewées nous ont dit être confrontées à une ou deux importantes crises Social Media sur une base annuelle. Ces événements constituent un grand

laboratoire d'apprentissage. Après avoir traité une crise Social Media réelle ou potentielle, menez une analyse a posteriori en répondant aux questions suivantes:

o Qu'est-ce qui s'est réellement passé?

o Quels ont été les principaux facteurs qui ont mené à l'événement?

o Lequel de ces facteurs pourrions-nous influencer?

o Lequel de ces facteurs pourrions-nous contrôler?

o Cet événement était-il prévisible? Si c'est le cas, l’avions-nous prévu? Si nous ne l'avions pas prévu, pourquoi?

o Qu’est ce qui a fonctionné dans la réduction du risque? Qu'est-ce qui n’a pas fonctionné ?

o Que devons-nous changer maintenant?

Testez par des exercices basés sur des scénarios. La seule façon de savoir si votre programme de gestion des risques Social Media fonctionne est de le tester. Une des meilleures façons de le tester est d'exécuter des exercices basés sur des

scénarios ou de simuler des scénarios de risque différents. Ceux-ci devraient se faire sur une base régulière (de chaque trimestre à chaque année) et impliquer les différents niveaux et départements de l'organisation. Ainsi, un exercice de base peut

impliquer la capacité de l'équipe de veille à reconnaître différents risques. Un exercice plus compliqué et plus vaste impliquerait

l'exécution de l'ensemble du programme de gestion des médias sociaux jusqu’au PDG à travers un exercice multi-facettes de crise et de gestion des risques.


24

Contributeurs

Ce rapport inclue les contributions d’influenceurs et de fournisseurs de solutions qui ont é é interviewés ou briefés par A ltimeter Group au cours de

cette recherche. Les contributions à ce document ne signifient pas l’approbation complète de ce rapport par les sociétés listées ci-dessous.

Marques (17)

AAA, Kim Snedaker, Social Media Strategist AAA Club Partners

Cisco, Lasandra Brill, Senior Manager Global Social Media

Dell, Liz Bullock, Director Social Media & Community

Dell, Ryan M. Garcia, Legal Director Social Media

Dell, Richard Margetic, Director Global Social Media

DuPont, Heather Read, Social Media Issues & Crisis

DuPont, Gary Spangler, Corporate eMarketing Manager at DuPont

IBM, Gadi Ben-Yehuda, Social Media Director for The Center for the Business of Government

Intel, Rick Reed, Issue & Crisis Manager

Red Cross of America, Wendy Harman, Social Media Director

The Weather Channel, Renee Willet, Manager Social Media Marketing

Toyota, Florence Drakton, Social Media Manager

Toyota, Kimberley Gardiner, National Digital Marketing & Social Media Manager

WellPoint, Jonathan Blank, Manager of Social Media

Wells Fargo, Ed Terpening, Vice President Social Media

Note: Deux marques ne sont pas listées pour raison de confidentialité.

Agences et Services aux Entreprises (12)

247 Laundry Service, Jason Stein, Founder & President

Big Fuel, Michoel Ogince, Director, Platform and Product Strategy

C7group, Jeff Marmins, CEO and Founder

Edelman, Michael Brito, SVP Social Business

Grant Thornton LLP, Lucino Sotelo, Head of Digital Marketing

Grant Thornton LLP, Jan Hertzberg, Managing Director Business Advisory Services

Hill+Knowlton Strategies, Andrew Bleeker, Worldwide Director of Digital

Ketchum, Jonathan Kopp, Partner and Global Director

KPMG, Sanjaya Krishna, Digital Risk Consulting Leader

KPMG, H. John Hair, Director KPMG Advisory Services

PricewaterhouseCoopers LLP, Jack Teuber, Managing Director Online Marketing

Weber Shandwick, David Krejci, Executive Vice President Social Media and Digital Communications

Fournisseurs de Solutions (13)

Actiance

Crimson Hexagon

Hearsay Social, Inc.

Kronovia

rPost

RSA (EMC)

Salesforce Radian6

SAS

Secure.me

Smarsh

Social iQ Networks

SocialLogix

Socialware

Remerciements Avec nos remerciements pour leur soutien à: Regina Denman, Asha Hossain, Cheryl Knight, Christine Tran, et Alec Wagner.


25

Notes 1 Une étude InSites Consulting portant sur plus de 1200 dirigeants d’entreprises mondiales a montré que 8 sociétés américaines sur 10 sont présentes sur Facebook,

45% ont un compte Twitter, 48% sont sur LinkedIn et 31% sur YouTube. Merci de vous référer à “Survey Shows 80% of Companies Use Facebook,” Vending Market

Watch, June 20, 2012; http://www.vendingmarketwatch.com/news/10732362/survey-shows-80-percent-of-companies-use-facebook Consulté le 22 juin 2012

2 Selon l’étude IBM « 2012 Global CEO » portant sur 1709 CEOs interviewés, 16% des entreprises utilisent les plateformes sociales pour s’engager avec leurs clients, un

chiffre qui devrait monter à 57% d’ici trois à cinq ans. Merci de vous referer à “Leading Through Connection: 2012 Global Chief Executive Study, IBM Institute for Business

Value”;

www.ibm.com/ceostudy2012/. Consulté le 22 juin 2012 3 Pour la plupart des organisations, le principal risque social est de ne pas participer à l’espace social. Même les entreprises les plus étroitement surveillées et les plus

conservatrices en sont venues à comprendre qu’elles font déjà l’objet de conversations, qu’elles choisissent ou non d’y participer, et qu’il vaut mieux y prendre part.

4 D’autres domaines posent des risques aussi élevés, mais ils sont plus spécifiques à certaines industries, certaines plateformes ou certains types de clientèle. Par

exemple, une entreprise travaillant beaucoup pour le gouvernement dans le secteur des services financiers a mené une enquête portant sur le profil d’une personne qui

cherchait à se connecter avec les membres clés d’un projet via LinkedIn. Cette personne utilisait des identités multiples et était originaire d’un pays asiatique. Il

s’agissait d’utiliser le canal d’un media social à des fins de social engineering pour pénétrer dans l’entreprise

5 Il est rare de voir des dirigeants commettre des erreurs sur les médias sociaux, mais ca peut arriver. Merci de vous référer à

“Facebook and Twitter Postings Cost CFO His Job,” The Wall Street Journal, May 15, 2012;

http://online.wsj.com/article/SB10001424052702303505504577404542168061590.html

Consulté le 23 Juillet , 2012.

6 Allergy Pathways a été poursuivie par la Commission australienne de la concurrence après que des fans aient posté des commentaires trompeurs en faveur de ses

produits sur Facebook, Twitter et d’autres canaux sociaux. Même si Allergy Pathways n’avait pas écrit ces posts, elle aurait dû savoir qu’ils étaient trompeurs et les a laissé s’afficher sur ses sites. Selon la cour, elle a joué le rôle d’éditeur et a été jugée responsable. Voir les conclusions de la Commission australienne de la concurrence

sur :

www.accc.gov.au/content/index.phtml/itemId/972417/fromItemId/142

7 L’attaque et le détournement de marques par des organisations activistes comme Greenpeace et d’autres est un phénomène qui devient fréquent. Merci de vous

référer à l’article de Asher Moses “Shell Social Media Oil Spill a ‘Coordinated Online Assassination’” in the Sydney Morning Herald, July 19, 2012;

www.smh.com.au/technology/technology-news/shell-social-media-oil-spill-a-coordinated-online-assassination-20120719-22bpe.html

Consulté le 26 Juillet 2012

8 En 2009, la bloggeuse mère de famille Heather Armstrong (dite Doce) a appelé le service client de Whirpool en raison de leur incapacité à réparer sa machine à laver

Maytag (filiale de Whirpool) presque neuve. En l’absence d’une réponse appropriée ou utile de la part de son interlocuteur ou de son superviseur, elle a eu recours à une

menace voilée en demandant au représentant du service client si Whirlpool savait ce qu’était Twitter et qu’elle avait plus d’un million de followers. La réponse de Whirpool ? A peu près « Et alors ? » Et, ainsi, Whirpool a manqué une occasion d’identifier et répondre à un risque potentiel pour ses marques qui aurait pu être atténué

par un bon service client.

9 Le problème avec le widget de partage était qu’il ne fournissait pas une information complète aux consommateurs en ne partageant que les aspects positifs du

médicament et non les risques associés. Merci de vous référer à l’article de Mike Masnick

“FDA Tells Novartis That ‘Facebook Sharing’ Widget on its Site Violates Drug Ad Rules,” TechDirt, August 10, 2010;

www.techdirt.com/articles/20100806/15182710535.shtml Consulté le 24 Juillet 2012

10 La faute du Dr Tran n’était pas nécessairement dans le fait qu’elle postait son expérience sur Facebook mais qu’elle donnait assez d’information pour

qu’on puisse identifier les patients. Voir www.msnbc.msn.com/id/42652527/ns/technology_and_science-security/t/doctor-busted-patient-info-spill-

facebook/#.UBQatDGe7Sw

http://www.vendingmarketwatch.com/news/10732362/survey-shows-80-percent-of-companies-use-facebook

http://www.ibm.com/ceostudy2012/

http://online.wsj.com/article/SB10001424052702303505504577404542168061590.html

http://www.accc.gov.au/content/index.phtml/itemId/972417/fromItemId/142

http://www.smh.com.au/technology/technology-news/shell-social-media-oil-spill-a-coordinated-online-assassination-20120719-22bpe.html

http://www.techdirt.com/articles/20100806/15182710535.shtml

http://www.msnbc.msn.com/id/42652527/ns/technology_and_science-security/t/doctor-busted-patient-info-spill-facebook/#.UBQatDGe7Sw

http://www.msnbc.msn.com/id/42652527/ns/technology_and_science-security/t/doctor-busted-patient-info-spill-facebook/#.UBQatDGe7Sw


26

11 La bibliothèque Intel des agents de menaces (Intel Threat Agent Library) est une compilation de profils d’agents de menaces contre lesquels Intel et d’autres

entreprises peuvent se défendre. Selon le site Intel, le groupe d’évaluation de la menace IT a développé une référence normalisée pour les agents humains de menace qui représentent des menaces pour le système informatique et les autres actifs en matière d’information. Voir les ite et la bibliothèque sur

http://communities.intel.com/docs/DOC-1151

12 Charlene Li , fondateur de Altimeter Group, définit les différents types de politiques de médias sociaux, l'importance de la responsabilisation, et plus encore dans son

livre Open Leadership. Merci de vous référer à Charlene Li, Open Leadership, Jossey Bass, 2010.

13 Pour un regard approfondi sur les différents systèmes de gestion des medias sociaux, voir le document de Jeremiah Owyang, A Strategy for Managing Social Media

Proliferation, January 5, 2012 www.slideshare.net/jeremiah_owyang/smms-report-010412finaldraft

14 Jon Iwata, CMO de IBM, a indiqué lors du "IBM CMO CIO Leadership Exchange 2012 » du 6 Juin 2012.que les risques des médias sociaux sont

régulièrement examinés lors des réunions du conseil d’administration de l’entreprise

http://communities.intel.com/docs/DOC-1151

http://www.slideshare.net/jeremiah_owyang/smms-report-010412finaldraft


27

Open Research

Ce rapport de recherche indépendant a été financé à 100%par Altimeter Group. Ce rapport est publié sous le principe Open Research et est destiné

à faire avancer gracieusement l’industrie. Il est destiné à être lu, utilisé et partagé, si vous le faites, merci de l’attribuer à Altimeter Group.

Autorisations

La licence Creative Commons License est Attribution - Pas d'Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 Etats Unis

(Attribution-Noncommercial-Share Alike 3.0 United States) disponible sur http://creativecommons.org/licenses/by-nc-sa/3.0.Disclosure

Sa traduction en français par Gootenberg peut être utilisée dans les mêmes conditions selon http://creativecommons.org/licenses/by-nc-

sa/3.0/fr/

Divulgation

Votre confiance est importante pour nous, et c’est pourquoi nous croyons nécessaire d’être ouvert et transparent sur nos rela tions financières.

Avec votre permission, nous publions une liste de nos clients sur notre site web. Référez vous à notre site web pour en savoir plus.

www.altimetergroup.com/disclosure

Dégagement de responsabilité BIEN QUE LES INFORMATONS UTILISEES DANS CE RAPPORT AIENT ETE PRODUITES ET TRAITEES A PARTIR DE SOURCES REPUTEES FIABLES, AUCUNE GARANTIE EXPLICITE OU IMPLICITE N’EST DONNEE CONCERNANT L’INTEGRALITE, L’EXACTITUDE, LA PERTINENCE OU L’USAGE DE CES INFORMATIONS. LES AUTEURS ET CONTRIBUTEURS DES INFORMATIONS ET DONNEES NE PEUVENT ETRE TENUS POUR RESPONSABLES D’ERREURS OU OMISSIONS CONTENUES DANS CE DOCUMENT NI D’AUCUNE INTERPRETATION. TOUTE REFERENCE A UN PRODUIT SPECIFIQUE, OU FOURNISSEUR DE SOLUTIONS PAR SON NOM COMMERCIAL, SA MARQUE OU AUTRE, NE CONSITUE PAS NI N’IMPLIQUE SON APPROBATION, SA RECOMMANDATION OU LA PREFERENCE DES AUTEURS OU CONTRIBUTEURS ET NE DOIT PAS ETRE UTILISEE A DES FINS PUBLICITAIRES OU DE PROMOTION D’UN PRODUIT. LES OPINIONS EXPRIMEES ICI SONT SUJETTES A CHANGEMENT SANS PREAVIS.

http://creativecommons.org/licenses/by-nc-sa/3.0.Disclosure

http://creativecommons.org/licenses/by-nc-sa/3.0/fr/

http://creativecommons.org/licenses/by-nc-sa/3.0/fr/

http://www.altimetergroup.com/disclosure


28

A PROPOS DE NOUS

Alan Webber, associé Altimètre, analyste Alan Webber (@ alanwebber) est un analyste de l'industrie et actuellement Managing Partner de Altimeter Group. Les

recherches d’Alan et son travail pour les clients se concentrent sur la compréhension et la manière de tirer profit des disruptions, à l'intersection de l'organisation, de la culture et de la technologie. Alan publie quelques-unes de ses

conclusions sur son blog professionnel www.RoninResearch.org. Avant Altimeter, il était analyste principal chez

Forrester Research, où il a couvert l'expérience utilisateur B2B en ligne, l'engagement numérique et les technologies

de rupture au sein du gouvernement.

Charlene Li, fondateur et associé altimètre, analyste Charlene Li (@ charleneli) est fondateur de Altimeter Group et auteur du best-seller « Open Leadership » reconnu

par le New York Times. Elle est également le co-auteur du best-seller Groundswell, acclamé par la critique, nommé l'un des meilleurs livres de business en 2008. Elle est l'un des plus grands experts sur les médias sociaux et les

technologies, consultant et leader d’opinion indépendant reconnu sur le leadership, la stratégie, les technologies sociales, les médias interactifs et le marketing.

Jaimy Szymanski, chercheur Jaimy Szymanski (@ jaimy_marie) est chercheur pour Altimeter Group, où elle étudie et analyse la façon dont les

organisations peuvent utiliser efficacement les médias sociaux et d'autres technologies de rupture en vue d’un avantage concurrentiel. Elle a une expérience dans le consulting, le marketing de contenu, la recherche en médias

sociaux et le conseil.

Altimeter Group est une société de recherche et de conseil aide les entreprises et les secteurs à tirer parti des disruptions

Contact Altimeter Group

1875 S. Grant Street, Suite 680 San Mateo, CA 94402-2667

[email protected] www.altimetergroup.com

Opportunités de conseil Email: [email protected]

Traduction française :

François Ramaget

Gootenberg 11, rue du chevalier saint George

75008 Paris

www.gootenberg.fr [email protected]

http://www.roninresearch.org/

mailto:[email protected]

http://www.altimetergroup.com/

http://www.gootenberg.fr/

mailto:[email protected]