La communication de crise, le défi à anticiper pour faire face à la menace cyber
Impacts opérationnels et financiers, perte de confiance, atteinte réputationnelle à l’image de l’entreprise… Tels sont les enjeux d’une crise cyber qui dépassent, par leur nature, la seule responsabilité des ingénieurs sécurité. Tous les retours d’expérience des organisations ayant eu à faire face à une attaque cyber vont d’ailleurs dans le sens de la transversalité des problématiques rencontrées. Alors quand la crise survient, la communication devient vitale pour tenter de la surmonter.
Orange Cyberdefense est aujourd’hui le premier prestataire de services de cybersécurité à proposer un accompagnement sur mesure reconnu par l’ANSSI : anticipation, identification, protection, détection et réaction. La maîtrise de la temporalité et la bonne posture à adopter sont les clefs d’une communication de crise cyber optimale. C’est ce que nous expliquent en détails Romain Naïm et Daphné Chauvel, experts en gestion et communication de crise cyber. Mobilisés par une crise aigüe, survenue trois jours plus tôt chez un client, ils témoignent.
Selon Romain Naïm, « face à une attaque cyber, la stratégie de communication est essentielle. Il est primordial de garder à l’esprit que la perte de confiance des parties prenantes peut davantage isoler l’organisation touchée. Si l’entreprise n’est pas en mesure de rassurer ses clients et ses fournisseurs, ils pourront, par mesure conservatoire, se prémunir du risque de manière abrupte en mettant en quarantaine le système d’information de la société touchée par la cyberattaque ».
Alors quand déclencher et comment construire le volet communication de crise lors d’une attaque informatique ?
Daphné Chauvel : Dès le début de la crise. Mais ce n’est pas qu’un sujet technique, cela concerne toute l’entreprise. Les organisations nous appellent pour les accompagner dans la gestion de crise à chaud et elles posent systématiquement ces questions : « En termes de communication, qu’est-ce qu’on fait ? À qui parler ? Quand ? ».
Romain Naïm : Lorsqu’on ne peut plus tenir ses engagements commerciaux ni ses niveaux de services, il est essentiel de ne pas être pointé du doigt. Mais si on communique à temps, de manière transparente, on sera soutenu par sa communauté. Une crise cyber, c’est particulier parce que la dimension technique est mal comprise, on sort les clients de leur zone de confort, on n’est plus sur des problématiques industrielles ou des problématiques métier. Notre valeur ajoutée c’est d’accompagner les organisations à articuler leur stratégie et les bons éléments de langage selon les parties prenantes identifiées. Chez Orange Cyberdefense, nous travaillons main dans la main avec le CSIRT [1]. Il qualifie la crise et nous en traduisons les impacts.
L’enjeu central, c’est donc la confiance ?
Romain Naïm : Oui, l’enjeu réputationnel rejoint l’enjeu opérationnel. On peut être très bon sur l’opérationnel et réussir rapidement à sécuriser le système d’information, mais le fait que le client n’ait pas été prévenu déclenche une crise de confiance.
Mais qui dit crise, dit réactivité. Il faut agir très vite… Comment procédez-vous ?
Daphné Chauvel : Chez Orange Cyberdefense, le coordinateur de gestion de crise cyber va analyser la situation dans sa globalité et évaluer l’ensemble des besoins. S’il y a un besoin en termes de communication, il faut aller vite. On va réaliser une cartographie des parties prenantes concernées afin d’identifier tous les acteurs qui gravitent autour de l’organisation. L’objectif, c’est préserver la confiance pour éviter un dommage à la marque. C’est pour cela que l’on construit une stratégie et un plan de communication de crise cyber et que l’on met en place une timeline avec des actions à réaliser, jour après jour.
Vous parlez de réputation… mais ce n’est pas de la faute de l’entreprise si elle est victime d’une attaque !
Romain Naïm : Les organisations ne sont évidemment pas responsables des attaques qu’elles subissent. Cependant, il peut leur être reproché d’avoir minimisé le risque cyber, ou bien de ne pas avoir mis suffisamment de moyens de prévention en place pour s’en prémunir.
La protection des données personnelles et sensibles est par exemple une obligation réglementaire à laquelle aucune organisation ne devrait déroger.
La bonne posture à adopter doit être décidée au cas par cas en considérant la nature de l’attaque, les impacts qui en résultent, les exigences industrielles, le niveau d’importance des services (critiques voire vitaux lorsqu’il s’agit du système de santé), ou encore les données qui sont compromises.
Dès le début de la crise, il faut mesurer et prendre en compte ce volet communication. Une crise cyber, c’est très particulier : la temporalité, le langage, la façon de procéder, les autorités impliquées, les aspect règlementaires…
Daphné Chauvel
On parle beaucoup de transparence… mais est-ce qu’il faut tout dire ? Qu’est-ce que l’on dit ? Qu’est-ce que l’on ne dit pas ?
Romain Naïm : Il y a des informations confidentielles qu’il n’est pas possible de communiquer, par exemple les vecteurs de l’attaque ou encore ses spécificités… Les pirates informatiques sont souvent encore à l’œuvre au cours d’une crise cyber, donc on ne peut pas se permettre de révéler des vulnérabilités sur un système déjà compromis.
Est-ce qu’il faut maintenir le même niveau d’information pour tout le monde ?
Daphné Chauvel : Oui tout à fait ! Ce qui est capital tout d’abord, c’est d’identifier les bons éléments de langage, et là il faut faire un effort de vulgarisation. Nous devons sortir du jargon cyber pour parler à tout le monde. Ces éléments de langage doivent être identiques pour toutes les parties prenantes. Les collaborateurs doivent entendre les mêmes choses que les clients. Il ne doit pas y avoir de confusion ou de mauvaise information transmise, c’est très important.
Il y a ce que l’on dit ou que l’on ne dit pas, mais il y a aussi la question de savoir quand on le dit ? Dans l’urgence de la crise, le danger c’est d’en dire trop, trop tôt…
Romain Naïm : Tout à fait. Il faut trouver les bonnes choses à dire, comment les dire, à qui, mais surtout au bon moment. La communication, ça prend du temps. Et là, on n’en a pas. On doit communiquer dès les premiers instants, mais en ayant en tête le scénario du pire. Dans la crise que nous traversons aujourd’hui, notre client ne sait pas s’il va pouvoir reconstruire ses outils informatiques d’ici quelques jours et donc reprendre sa production. Nous devrons statuer sur ce qui doit être dit à ses clients rapidement. Est-ce que les activités peuvent reprendre ? On doit se préparer à tous les scénarios possibles. Dès que l’on aura une indication claire, on fera partir la bonne information. En revanche, communiquer pour communiquer n’a pas de sens. Et dans le même temps, un message qui arrive trop tard est inaudible. C’est là toute la difficulté de l’exercice.
Pouvez-vous nous donner un exemple de communication de crise cyber bien maîtrisée ?
Romain Naïm : Une crise cyber arrive très vite en phase aigüe puisque les systèmes d’information ne marchent plus. Il faut intervenir dès cet instant auprès de toutes les parties prenantes. Ce qu’on est en train de vivre au moment où je vous parle. Nous sommes au quatrième jour de la crise. Cette entreprise nous a sollicités tout de suite, le jour-même de l’attaque. Les commandes des clients ne peuvent plus être honorées, aucune nouvelle commande ne peut être prise. Nous avons recommandé une approche transparente et pro-active. Le résultat, ce sont des retours positifs, de la part des clients comme des partenaires, trois jours à peine après le déclenchement de la crise. Les clients étaient prévenus le jour-même et leurs retours étaient pleins de compassion. Nous continuons d’informer tout le monde régulièrement, notamment sur les délais de reprise. Et nous pouvons considérer que le risque de perte de confiance s’est considérablement amoindri en l’espace de quelques jours.
Parlons de l’avant-crise : préparation et anticipation de la communication sont les maîtres mots. Quelles sont les mesures de prévention en termes de communication de crise cyber ?
Daphné Chauvel : La rationalisation des processus de communication est essentielle pour maintenir les délais en cas de cyberattaque. Nous conseillons à nos clients d’avoir un outillage approprié en prévention. On ne mesure pas toujours le stress qu’une attaque peut produire au sein d’une entreprise, notamment en cas de fuite de données. Il est rassurant de pouvoir s’appuyer sur un plan de communication de crise cyber lorsqu’une attaque survient. « S’entraîner » au risque cyber est également important, notamment au travers d’exercices de gestion de crise avec des pressions médiatiques simulées, des rédactions de communiqués pour l’interne et l’externe…
Bâtir une communication de crise cyber en amont devrait donc devenir une priorité pour les entreprises !
Daphné Chauvel : Oui ! Les organisations victimes d’attaques cyber attendent souvent trop longtemps avant de considérer l’ensemble des impacts sur la réputation et une dégradation de la confiance. Elles se rendent compte de l’utilité de l’accompagnement par des experts dans un moment de stress comme celui-là. Il est donc essentiel pour chaque organisation, au vu du risque cyber de plus en plus élevé, d’être équipée d’un outillage en amont et de s’entraîner à gérer la communication de crise cyber.
Sur le même sujet
[Webinar à la demande] Gestion de crise cyber : quelle stratégie mettre en place ?
[Webinar à la demande] Gestion de crise cyber : quelle stratégie mettre en place ?
9th of Nov
19 septembre 2023
4 octobre 2023