Stratégie

Crises cyber : comment gérer la communication après l'attaque ?

Crises cyber : comment gérer la communication après l'attaque ?
Lors d'une cyberattaque, il est primordial que toutes les parties prenantes s'engagent dans une stratégie de communication commune et établie en amont. (Crédit : Unsplash)

Rien n'est plus mauvais pour une entreprise que d'être débordé en temps de crise. Les RSSI doivent anticiper en élaborant un plan de communication post-cyberattaque, qui informe précisément les parties prenantes et restaure la confiance au sein de l'entreprise.

PublicitéLes réponses aux récentes cyberattaques suggèrent que les entreprises peuvent avoir du mal à faire passer le bon message au milieu d'un incident. Bien que la gestion de la communication autour d'une crise ne soit pas du ressort direct du RSSI, la mise en place d'un plan de communication est un élément essentiel de la cyberpréparation. « La communication est un élément essentiel d'une bonne stratégie cyber, et elle doit être préparée et pratiquée dans les organisations avant qu'un incident ne se produise », explique Eden Winokur, responsable cyber chez Hall & Wilcox, qui aide notamment les entreprises à gérer les incidents de cybersécurité.

Le conseil d'Eden Winokur est de pécher par excès de transparence, tout en veillant à l'exactitude lorsqu'il s'agit de répondre à un cyberincident. « La cybersécurité n'est pas seulement un risque informatique. C'est vraiment un risque d'entreprise, et un élément clé de la cyberpréparation comprend une stratégie de communication au sein de l'organisation et avec les parties prenantes externes ». S'il s'agit d'un incident important, il est vital de s'engager avec des personnes qui ont une expérience spécifique dans la gestion des cyberattaques. « Nous recommandons souvent de faire appel à des experts pour aider les entreprises à comprendre les implications de leurs communications et la façon dont certaines choses seront reçues par le public ou les médias », note Mme Winokur.

Etablir un plan détaillé

Bien que les associations ou les gouvernements ne fournissent que peu de conseils officiels sur l'élaboration d'un plan de communication, l'équipe de communication, en collaboration avec la direction générale, le service juridique et l'équipe du RSSI, doit participer à l'élaboration de la réponse. Elle doit tenir compte des obligations de divulgation prévues par les réglementations sur la protection de la vie privée, les sociétés cotées en bourse et les organismes d'application de la loi. Eden Winokur recommande de commencer par analyser et enregistrer toutes les parties prenantes pertinentes de l'organisation, internes et externes, et de tenir ce registre à jour au fur et à mesure que les choses changent.

« Nous recommandons également aux entreprises de passer en revue leurs principaux contrats et de comprendre quelles sont leurs obligations en matière de communication avec les clients ». Les déclarations préparées qui ont déjà été approuvées peuvent être adaptées rapidement et jetteront les bases d'une réponse organisée. « Il doit y avoir des modèles qui peuvent être adaptés à la question spécifique en jeu », poursuit Eden Winokur. Ces modèles peuvent être envoyés aux employés, au gouvernement, aux parties prenantes, aux clients, sur le site web et à tout autre endroit où cela peut être nécessaire.

PublicitéNe pas précipiter la communication avec les parties prenantes après l'incident

Lorsque des cyberincidents se produisent pour la première fois, l'envie de rassurer, voire de contenir l'incident, est forte. Mais le besoin de précision est primordial, prévient Andrew Moyer, vice-président exécutif et directeur général de Reputation Partners, qui gère les communications de crise. « Vous voulez être le premier à planter le drapeau narratif », dit-il. Si les entreprises prennent de l'avance et publient des déclarations définitives, basées sur ce qu'elles ont compris à un moment donné, pour ensuite se rétracter ou changer d'avis, le désastre peut être encore plus grand. Soudain, un cyberincident se transforme en une véritable crise de relations publiques. Si les choses changent, comme elles ont tendance à le faire, cela peut soulever des questions quant à la crédibilité de l'organisation. « Ce que vous ne voulez pas faire, c'est dire quelque chose avec une telle spécificité que vous risquez de devoir revenir en arrière et de perdre votre crédibilité », explique M. Moyer.

Les cyberattaques devenant de plus en plus régulières chaque année, le grand public a un certain niveau de compréhension, voire d'attente, quant aux incidents qui se produisent. Par conséquent, Andrew Moyer pense que les gens sont plus à l'aise avec des déclarations nuancées, de sorte que « vous ne vous mettez pas dans une impasse ». Au lieu de viser des chiffres exacts, par exemple, il recommande d'utiliser un langage qui inclut « des termes d'échelle relative tels que 'Nous sommes conscients qu'il s'agit d'un nombre limité de personnes touchées' plutôt que 'nous pensons qu'il s'agit de 1 000 personnes' ».

Par ailleurs, toute personne en première ligne lors d'une attaque a besoin d'un signe d'alerte précoce et d'une ligne directe avec les décideurs pour savoir quand il est nécessaire d'activer le plan de crise. « Il est essentiel, dans le cadre de toute stratégie de communication, de s'assurer de la précision de vos messages et de reconnaître si une enquête est en cours. Et il faut renouveler cette déclaration encore et encore. Il s'agit, pour partie, d'élaborer en amont des modèles de documents, afin que les personnes concernées les examinent et les approuvent. Ce qui vous permet d'avancer un peu plus vite lors d'une crise », explique Andrew Moyer.

S'assurer de l'existence d'un bon plan de communication

Un plan de communication devra aussi cartographier le flux d'informations pour s'assurer que les bonnes personnes sont informées assez rapidement et qu'elles reçoivent un message cohérent. Ce plan doit aussi définir l'équipe de réponse à la crise, qui comprend le RSSI, le responsable de la communication et les RH, s'il s'agit d'une violation interne. L'objectif est de faire en sorte que chacun comprenne son rôle et sa responsabilité dans ce moment particulier, ainsi que la préférence de l'organisation dans l'équilibre entre rapidité et précision.

Cependant, la force d'un plan dépend de sa mise à l'épreuve, donc de la capacité de l'organisation à le tester régulièrement. « Ces simulations vous donnent la possibilité d'évaluer régulièrement vos risques. Y a-t-il de nouveaux risques auxquels vous n'avez pas pensé l'année dernière et contre lesquels vous devez vous préparer ? Y a-t-il des lacunes et des vulnérabilités qu'il faut corriger ? » Disposer d'un plan entièrement élaboré, c'est éviter de se fier à la mémoire collective de l'organisation sur la façon de gérer les crises. « C'est aussi  s'assurer que, si vous êtes la seule personne qui possède toutes ces connaissances institutionnelles, et que vous partez à la retraite ou quittez l'organisation, il y a quelque chose vers quoi se tourner en cas de faille de sécurité », ajoute Andrew Moyer.

Le recours au conseil externe, un atout dans la gestion de crise

En matière de cybersécurité, il y a une liste d'éléments à prendre en compte, notamment les exigences de notification aux niveaux national, local et international, les dispositions contractuelles avec les partenaires ou les clients, etc. C'est pourquoi Andrew Moyer recommande de disposer d'un conseil externe et d'un service de communication de crise. « Le fait d'avoir ces relations établies à l'avance vous permet d'agir plus rapidement sur le moment ». Il peut également arriver que l'on doive mettre un frein à la communication parce qu'elle peut potentiellement aggraver la situation. Les conseils en communication externes sont alors utiles pour « évaluer des critères clés pour décider si vous devez changer de posture, de plus réactive à plus proactive. Et poser la question : devons-nous changer le message ou le récit que nous diffusons ? » poursuit Andrew Moyer.

Pour les RSSI, Andrew Moyer recommande de mettre en place un plan opérationnel et de le communiquer en interne aux autres parties prenantes, tout en comprenant comment leur réponse opérationnelle s'intègre au plan de communication. Dans une relation à double sens. « Ainsi, les responsables de la communication comprennent la réponse opérationnelle et l'équipe de réponse opérationnelle - la RSSI - comprend ce à quoi la réponse de communication doit ressembler, explique-t-il. Il s'agit de les encourager à établir ce lien entre ces fonctions, si ce n'est pas le cas actuellement, et non de surcharger de communications une personne qui se concentre sur une réponse opérationnelle critique. Il faut simplement s'assurer que le flux d'informations, la structure et les processus en place permettent d'avoir les meilleures chances de bâtir cette relation ».

La détection des incidents donne le ton des communications

La détection précoce n'est pas seulement essentielle pour limiter les dégâts, elle fait aussi partie intégrante de la gestion de la réponse. Paul Black, associé des services d'expertise judiciaire de KPMG et spécialiste de la réponse aux incidents cyber, explique que la façon dont les organisations découvrent qu'elles ont été victimes d'une attaque peut déterminer la manière dont elles y répondent. Il arrive souvent que les organisations ne se rendent compte qu'il y a eu une violation que quelque temps plus tard, parfois lorsque leurs données commencent à apparaître sur le dark web. « Se produit alors souvent une réaction de panique couplées à des communications mal maîtrisées, parce qu'il est assez courant pour les organisations d'apprendre d'un tiers - un client, un concurrent, un service de police ou un organisme de régulation - que leurs données se retrouvent sur le dark web. Elles ne peuvent donc pas nécessairement prendre les devants », explique Paul Black.

S'ils parviennent à comprendre rapidement la cause profonde de cette fuite de données, cela ouvre la voie « pour s'assurer que les bonnes parties prenantes sont impliquées, que les bonnes notifications sont faites, que les données peuvent être gérées et que les communications avec des tiers peuvent être effectuées de manière appropriée, ajoute-t-il. La partie détection et sensibilisation est en fait liée à la communication, car plus tôt vous êtes informé, mieux vous êtes en mesure de comprendre et transmettre l'information. Et peut-être que ce lien n'a pas toujours été vraiment explicite dans l'espace de sécurité et pour les RSSI ».

Paul Black recommande aux entreprises d'utiliser leur cyberassurance lorsqu'elle couvre les relations publiques et la communication de crise. Cela peut aider à répondre aux incidents, notamment lors des discussions sur les « joyaux de la couronne » de l'organisation (autrement dit, ses informations les plus sensibles) et sur la manière de gérer les obligations de divulgation des incidents de sécurité. Dans certains cas, le moyen de communication peut faire partie du problème, comme dans le cas de la compromission de la messagerie électronique professionnelle (BEC, Business email compromise). Une messagerie qu'il peut donc être nécessaire de fermer pendant un certain temps, ce qui ne fait qu'ajouter aux difficultés. Avant tout, il est essentiel de disposer d'une chaîne de commandement établie pour gérer les incidents, chaîne qui tienne compte de l'aspect communication interne et externe.

Simuler des scénarios d'attaque, la meilleure des préparations

Il faut également tenir compte du fait qu'à l'ère des communications numériques, il est aussi important de communiquer en interne qu'en externe. « Or ces sujets peuvent être incroyablement sensibles. Il n'est peut-être pas approprié de communiquer en interne pour dire : 'Nous avons subi une violation de données, nous avons lancé une enquête', car le lendemain, l'affaire pourrait faire la une des journaux », explique Paul Black. Et d'encourager les RSSI et autres dirigeants à prendre le temps de simuler des scénarios d'attaque pour tester le plan d'intervention. « Il s'agit de faire transpirer les plus hauts dirigeants des entreprises sur un scénario de cyberattaque qui ne correspond pas nécessairement à un plan de réponse préétabli », plaide-t-il.

Et d'alerter les RSSI qui se contenteraient d'une séance d'information de la direction générale par crainte d'embarrasser les plus hauts responsables de l'organisation. « C'est la pire chose à faire, car il faut mettre les gens sous pression en leur faisant vivre un scénario dans un environnement sûr. C'est comme ça que les incidents fonctionnent, les dirigeants vivent une pression immense. Le meilleur résultat, c'est quand une organisation ressort d'un exercice de simulation avec 100 lacunes identifiées et que chaque dirigeant se voit confier une liste de 20 actions à mener pour corriger ces manques. Cela signifie que, collectivement, vous avez identifié les points sur lesquels les capacités de réponse ne sont pas à la hauteur, que vous allez y remédier et rehausser votre niveau », explique Paul Black. Et de conclure : « les entreprises qui réagissent le plus efficacement sont celles qui ont pris le temps de se mettre à l'épreuve et de placer leurs dirigeants en situation, pour ensuite tirer les leçons de ces exercices ».

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    En matière de monitoring, avez-vous déployé des outils d’observabilité offrant une meilleure visibilité sur les environnements hybrides ?