Communication de crise en matière de cybersécurité : comment agir ?

Auteurs

Jennifer Gregory

Cybersecurity Writer

Les experts en cybersécurité expliquent aux entreprises que la question n’est pas de savoir si elles vont devenir la cible d’une cyberattaque, mais quand. Souvent, en termes de réponse, la préparation se concentre sur les aspects techniques, c’est-à-dire comment interrompre la violation, récupérer les données et rétablir l’activité en ligne. Bien que ces tâches soient critiques, de nombreuses entreprises négligent un élément clé de la préparation de la réponse : la communication de crise.

La réputation d’une marque étant souvent sérieusement affectée, une cyberattaque peut avoir un effet désastreux sur la réussite et le chiffre d’affaires futur de l’entreprise. Pourtant, une communication de crise efficace permet d’accroître la confiance des clients dans la capacité de votre entreprise à récupérer et à gérer le problème. En préparant votre communication de crise avant un incident, puis en respectant un plan parfaitement établi, vous pourrez aider votre entreprise à traverser cette tempête.

Planifier votre communication de crise en matière de cybersécurité

Une communication de crise réussie commence bien avant qu’un incident de cybersécurité ne se produise. Certaines entreprises intègrent la communication de crise en matière de cybersécurité dans leur plan global de reprise après sinistre ; d’autres préfèrent un plan autonome.

Melanie Ensign est la fondatrice et occupe la fonction de PDG au sein de Discernible, un centre d’excellence en communication multidisciplinaire dédié aux équipes chargées de la sécurité, de la confidentialité et des risques. Selon elle, de nombreuses entreprises délaissent la sécurité jusqu’au jour où un problème survient, puis prises dans un environnement défavorable, elles tentent de s’en tirer en invoquant le bénéfice du doute.

« Lorsque je travaille avec des clients, je leur demande la chose suivante : si quelque chose arrivait demain, qu’aimeriez-vous pouvoir dire ? Que souhaiteriez-vous pouvoir dire en réponse à cet incident ? », déclare Mme Ensign. « Ils me parlent de l’image qu’ils veulent renvoyer en tant qu’entreprise, des valeurs et caractéristiques qu’ils souhaitent exprimer. Nous nous efforçons ensuite de rendre toutes ces choses vraies, car si ce n’est pas vrai, nous ne pouvons pas le dire. »

Voici trois clés pour poser les bases indispensables à une gestion de crise réussie.

1. Créer une cellule de communication de crise

Mettez en place une équipe d’employés responsables de la collaboration pour toute l’entreprise et de la gestion de toutes les communications en cas d’attaque. Cela permet de s’assurer que la communication ne passe pas entre les mailles du filet et de limiter la diffusion de fausses informations. Créez une équipe qui inclut des membres de l’entreprise impliqués dans la réponse aux cyberincidents, notamment le services juridique, la cybersécurité, la direction générale et les relations publiques.

2. Créer un plan de communication de crise

Une fois la cellule constituée, l’une des premières priorités est de détailler toutes les tâches et de déterminer qui sera responsable de toutes les communications après un incident de cybersécurité. Mme Ensign affirme qu’il est important de mettre d’accord à l’avance tous les principaux décideurs exécutifs, car sans cela ils risquent d’élaborer leur propre plan en raison du stress créé par l’incident. Elle affirme également qu’un plan est essentiel pour fournir un protocole si un décideur clé n’est pas disponible pendant une attaque, et pour qu’un autre responsable puisse facilement le remplacer.

Comme les cyberattaques peuvent prendre des formes diverses, du ransomware à la violation de données, le plan doit identifier le plus grand nombre possible de scénarios et détailler une ébauche appropriée pour chacun d’entre eux. Le plan doit également inclure des points de communication avec les autres services, ainsi que les canaux utilisés, y compris les e-mails, le site Web et les réseaux sociaux.

« Vous devez être en mesure de prouver aux régulateurs que vous aviez un plan et que vous l’avez suivi. Parfois, vous devrez peut-être vous écarter du plan. Nous apprenons des choses au travers d’incidents au cours desquels nous devons ajuster notre plan parce que ce n’était pas exactement ce dont nous avions besoin, et un plan permet de justifier tous ces écarts », explique Mme Ensign.

3. Effectuer des simulations de violation de sécurité pour toute l’équipe

Bien que de nombreuses entreprises organisent des simulations de réponse aux cyberattaques avec l’équipe technique, il est également nécessaire d’inclure la communication de crise dans la simulation. Parce qu’une véritable attaque est très stressante pour tous les membres de l’entreprise, ainsi que pour les parties prenantes extérieures, savoir réagir permet de réduire les tensions, l’anxiété et les erreurs potentielles.

Ce qu’il faut faire en cas de crise de cybersécurité

Une fois qu’une attaque de cybersécurité est identifiée, il est temps de mettre en œuvre votre plan de communication de crise. Comme les situations réelles varient souvent des plans et des émotions, il est essentiel de garder les points suivants à l’esprit à chaque étape.

1. Communiquer rapidement avec la plus grande transparence possible

Plus vous communiquez rapidement, moins il y aura de rumeurs et de spéculations. Dès que vous disposez des premières informations sur l’attaque et son impact, rédigez une déclaration liminaire expliquant clairement ce qui s’est passé et les changements éventuels apportés aux processus opérationnels. Si l’attaque était due à une erreur d’un(e) employé(e) ou de l’entreprise, assumez la responsabilité. Expliquez comment l’entreprise communiquera les mises à jour, par exemple via les réseaux sociaux ou une page Web dédiée, ainsi que la chronologie des mises à jour futures. La première communication doit également inclure toutes les mesures que les personnes potentiellement concernées doivent suivre, telles que la modification de leurs mots de passe ou la surveillance de leurs comptes.

2. Mettre en place un processus permettant aux consommateurs d’obtenir des informations supplémentaires

Expliquez aux clients concernés comment obtenir des informations supplémentaires concernant leur situation spécifique, par exemple via une ligne d’assistance téléphonique ou un e-mail dédié. Assurez-vous que ces canaux sont pris en charge en permanence et que les questions sont traitées rapidement. Après la récente violation de Change Healthcare, l’entreprise a mis en place un site Web dédié aux informations sur lequel figurait également un numéro d’urgence téléphonique.

3. Mettre à jour les communications de manière régulière

Une cyberattaque étant une situation évolutive, vous pouvez rétablir la confiance en restant en contact régulier avec toutes les parties concernées. En fournissant des mises à jour, vous faites savoir aux clients que vous prenez la situation au sérieux et que vous adoptez des mesures nécessaires. Change Healthcare a créé une page Web détaillée et mise à jour quotidiennement pendant la période de reprise qui présentait l’état de toutes les fonctions métier, ainsi que la date de restauration prévue pour chacune d’entre elles.

« Vos clients et les personnes touchées par l’incident s’y intéresseront bien plus longtemps que les médias », déclare Mme Ensign. « Même si les médias ne sont plus là, il est important de continuer à communiquer. »

4. Communiquer sur la façon dont l’organisation réduira les risques à l’avenir

Après l’attaque SolarWinds, l’entreprise a fait appel à Alex Stamos, ancien responsable de la sécurité de Facebook et Yahoo et professeur actuel à l’Université de Stanford, et Chris Krebs, ancien directeur de la Cybersecurity and Infrastructure Security Agency (CISA), en tant que consultants indépendants pour la reprise de SolarWinds, ce qui a renforcé la confiance dans la cybersécurité future de l’entreprise. SolarWinds a également apporté des changements significatifs à ses couches de sécurité pour réduire les risques futurs, qu’ils ont communiqués au public.

Mettez en place un plan de communication

Une cyberattaque comporte de nombreuses inconnues et constitue une situation complexe. En disposant d’un plan solide et d’une équipe pour gérer les communications, vous pouvez facilement apporter des modifications en fonction de la situation. Grâce à une communication de crise efficace, votre entreprise peut surmonter une cyberattaque et, grâce à votre réponse et votre communication, renforcer davantage la confiance de vos clients.

« Il est important d’avoir tous les plans de communication, programmes, actifs, documents et relations en place avant que quelque chose ne se produise », explique Mme Ensign. « Quand ce jour arrive, et nous savons tous qu’il arrive, vous avez tous ces éléments à votre disposition et vous pouvez vraiment réagir comme vous le souhaitez. »

Les consultants en gestion de cybercrise IBM® X-Force peuvent aider les équipes de communication à élaborer un protocole de communication de crise personnalisé et robuste, adapté aux cyberattaques majeures et aux préférences des scénarios de votre entreprise. L’équipe peut vous aider à intégrer le flux de communication dans votre plan de cybercrise ou à améliorer les plans obsolètes et à s’assurer qu’ils sont conformes aux normes actuelles du secteur. De plus, les consultants en gestion de cybercrise X-Force peuvent effectuer une simulation immersive qui inclura votre équipe de communication, aidant à créer une « mémoire musculaire » avant toute cybercrise potentielle.

Pour en savoir plus sur nos services de gestion de cybercrises, cliquez ici.

Maintenant que nous avons discuté de ce qu’il faut faire en matière de communication en cas de crise, découvrez notre article suivant dans cette série, Communication de crise : ce qu’il ne faut PAS faire.

