Comment communiquer en cas de cyberattaque ?

Les cyberattaques sont une réalité pour de plus en plus d’organisations de toute taille et toute industrie confondue. Ces attaques peuvent rapidement entraîner des impacts réputationnels directs et forts, notamment par une perte de confiance des partenaires (clients et fournisseurs) pouvant par effet domino aggraver davantage la situation.  

Si une fuite de données accompagne l’attaque, l’impact d’opinion devient alors un enjeu majeur et peut aller jusqu’à endommager la ou les marques de l’organisation. 

C’est pourquoi il est vital d’intégrer la Communication de crise cyber au sein du dispositif de gestion crise pour : 

• Accompagner les équipes en interne lorsqu’elles conseillent les parties prenantes impactées (collaborateurs, clients, fournisseurs, autorités, etc.) dans les meilleurs délais ; 

• Conserver ou regagner la confiance des partenaires ; 

• Préserver l’image de marque en adressant les impacts qui porteront atteinte à l’organisation par voie de réputation (médiatique, financière, juridique, etc.). 

Tout comme le déplore l’ANSSI, l’action des communicants passe au second plan alors que la stratégie de communication de crise doit être intégrée au dispositif de crise dès les premiers instants de la mobilisation d’une cellule dédiée. 

« On ne peut pas ne pas communiquer. » Paul Watzlawick – Ecole de Palo Alto. 

Comme le rappelait P. Watzlawick, théoricien des sciences de l’information et de la communication, la non-communication a du sens et les silences sont interprétés. Pour maîtriser sa communication de crise, il est essentiel d'être acteur et non spectateur pour être le porteur et garant des messages véhiculés. Mais que peut-on dire lorsque nous ignorons nous-même ce qu’il se passe exactement ?  

La communication de crise doit indiquer en premier lieu une posture. Il ne s’agit pas dans les premiers instants d’informer de manière précise mais d’indiquer une reconnaissance et une prise de responsabilité. Il est toujours préférable que les partenaires apprennent une mauvaise nouvelle venant de l’organisation touchée que par la rumeur ou par voie de presse. Par ailleurs, rassurer quant à la mobilisation des équipes pour rétablir les services dans les meilleurs délais est rarement quelque chose qu’il vaut mieux garder pour soit. 

La communication de crise doit répondre à des besoins stratégiques. Ces besoins sont généralement alignés avec les impacts opérationnels liés à la cyberattaque. La question n’est donc pas de savoir s’il faut communiquer, mais auprès de qui et comment. 

La communication de crise doit être en phase avec la stratégie de communication institutionnelle de l’organisation attaquée. L’interne et l’externe sont les principes fondamentaux de la communication institutionnelle, mais la réalité montre que les cibles sont nombreuses et que l’interne et l’externe peuvent être déclinés en une multitude de cibles différentes. Il s’agit de les identifier à l’aide d’une cartographie des parties prenantes et de définir qui est directement impacté, qui risque d’être impacté sur la durée et qui ne risque pas d’être impacté mais doit être pris en compte dans la stratégie de réponse pour éviter des impacts opérationnels à cause d’une perte de confiance (ex : fournisseur d’un service critique bloquant les flux de crainte d’une attaque par rebond). 

Pour chacune des typologies de cible identifiées, il convient d’attribuer un responsable de canal qui sera la voix de l’organisation pour ce type de partie prenante. 

Dans le cas d’une fuite de données, la responsabilité réglementaire de l’organisation est d’informer l’ensemble des victimes connues et potentielles. Cette obligation doit être l’opportunité de véhiculer les messages qui visent à rétablir la confiance des victimes et l’image de marque. 

Enfin, la presse peut s’emparer du sujet. Les investigations des journalistes peuvent être perçues comme une menace pour les organisations, mais si les médias ont été pris en compte dans la stratégie de communication de crise, il est alors possible de s’appuyer sur cette couverture médiatique pour véhiculer la posture de l’organisation. 

Le maître mot doit être la cohérence. Les écarts d’information entre les services qui pourraient se propager au sein de l’organisation ou auprès de ses parties prenantes est un vecteur de perte de confiance. Qui croire lorsque tout et son contraire est dit ? Les informations ne sont pas forcément fausses, elles peuvent être simplement dépassées… 

Il est important de centraliser la production des messages, des éléments de langage et argumentaires. Ces éléments doivent ensuite être déclinés par les responsables de canal qui sont en lien direct avec les cibles avant d’être validés par la cellule de crise en comité. Il est essentiel de maîtriser le processus de validation des communications pour éviter de perdre un temps précieux lorsque la posture de l’organisation est attendue. 

Il est donc nécessaire de s’appuyer sur une organisation robuste et, si possible, formalisée en amont de la crise pour faire face avec efficacité et surtout avec les bons outils. 

La stratégie de communication de crise cyber doit s’inscrire dans une temporalité précise. Il peut parfois s’écouler des jours, voire des semaines avant de pleinement comprendre l’ampleur de l’attaque. Et une fois le schéma d’attaque pleinement établi, la reconstruction du système d’information s’avère souvent être un chemin semé d’embûche et les délais de reprise sont repoussés en permanence. Enfin, il n’est pas dit que les données de l’organisation n’aient pas été exfiltrées par les attaquants, puis rendues publiques jusqu’à plusieurs mois après l’attaque. 

La typologie des crises cyber rend donc le timing de la communication délicat. Il est à la fois important de tenir ses partenaires informés pour maintenir la confiance, mais il est presque impossible de donner des engagements clairs sans devoir revenir dessus parce que la situation a changé du tout au tout. 

Il est important de toujours se référer à la stratégie pour définir le besoin de communiquer et d’aviser les parties prenantes tout en restant humble et prudent. L’excès d’optimisme pour une reprise d’activité rapide conduit trop souvent à des retours en arrière lors de crises cyber, ce qui risque de frustrer davantage les partenaires. 

Mais lorsque le besoin de communiquer se fait ressentir, il est généralement déjà trop tard pour commencer à travailler sur les éléments de langage. C’est un travail de longue haleine qui doit débuter dès la mobilisation de la cellule de crise. 

La transparence est l’élément essentiel à toute communication de crise, indispensable pour maintenir (ou rétablir) la confiance avec les parties prenantes concernées par la compromission. Les entreprises ont tout intérêt à communiquer de manière précise sur la nature, l’origine (rappelons que d’après un rapport de la société Verizon, 83 % des compromissions impliquent des acteurs externes), l’étendue et la gravité de la compromission (quelles données, quels systèmes sont concernés, par exemple), ainsi que sur les impacts potentiels de la compromission (à court, moyen et long termes).  

Sur cette étape, Orange Cyberdefense accompagne les entreprises dans le but de définir la formulation du processus de communication. Pour Romain Naïm « Dans le but d’éviter que la communication n’impacte l’entreprise victime en divulguant par exemple la présence de vulnérabilités, il est indispensable de définir qui dit quoi, à qui, comment et à quel moment. Il est essentiel que cette stratégie de communication soit alignée avec la stratégie opérationnelle. » 

Mais cette transparence ne doit pas se retourner contre l’organisation qui a eu le courage d’adopter cette posture. Il faut en effet être vigilant sur les informations divulguées pour ne pas révéler de vulnérabilités sur le système d’information qui est déjà rudement mis à l’épreuve. 

Il est préférable de se concentrer sur les impacts et les services qui sont rétablis au fur et à mesure que sur les causes exactes qui ont permis l’attaque. 

Si la communication n’a pas vocation à traiter les conséquences directes d’une cyberattaque, elle peut en revanche contribuer à en limiter certains effets de bord comme l’atteinte à la réputation de l’entreprise, par exemple. Factuelle, cohérente et ciblée, la communication a vocation à accompagner la réponse technique en cas de compromission. Élaborer un plan de communication à déployer en cas de compromission est aujourd’hui une pratique fortement recommandée. Comme l’explique l’ANSSI dans son guide la communication de crise, « une stratégie de communication de crise gagne à se construire à froid ». Les entreprises qui ont déjà réalisé un travail de préparation de leur communication de crise peuvent réagir plus rapidement et de manière plus efficace le jour où une compromission survient. 

Dans le cadre de son service de gestion de crise cyber, Orange Cyberdéfense aide les entreprises à bien se préparer, communiquer, détecter les compromissions et y réagir, puis à reconstruire et renforcer leurs infrastructures.