La gestion de crise cyber est une des principales préoccupations des équipes de Sécurité des Systèmes d’Information. Qu’il s’agisse de formaliser un Plan de Continuité d’Activité ou de réaliser des exercices de gestion de crise, toutes les Organisations matures ont largement avancé sur la question du « comment gérer la crise ».
Cependant, la gestion de crise cyber se résume-t-elle à des processus ? Peut-elle être vue comme un moyen de communication performant ?
Sur quoi cibler ma préparation en termes de communication de crise ?
Les attaques qui nécessitent une gestion de crise sont celle qui visent :
- Les activités vitales
- Le patrimoine informationnel vital
Par exemple une activité principale de l’entreprise ou qui lui donne sa raison d’être :
- Industriel : la ligne de production
- Assureur : le remboursement des prestations aux assurés
- Chaîne de télévision : la diffusion audiovisuelle
Une information qui donne une existence face aux concurrents :
- Coca-cola : la fameuse recette secrète
- Laboratoire pharma : les recherches sur des molécules non brevetées
- Distribution : la liste des clients
Recette secrète du Coca-Cola
Communication après l’incident
Vers qui faut-il communiquer ?
- CLIENTS
- Leurs services ne sont plus accessibles
- Leurs données confidentielles ont été divulguées
- ACTIONNAIRES
- Rentabilité de l’entreprise compromise
- Valorisation de l’entreprise et de ses actions en termes de risque d’image
- COLLABORATEURS
- Difficultés au-moins temporaires à gérer le surcroit d’activité généré par l’attaque
- Stress au travail
Exemples de communications de crise
- Activité : un des leaders des fournisseurs de téléphonie dans le Cloud
- Attaque : le logiciel installé sur les postes utilisateurs était compris de sorte à ce que les attaquants puissent voler des informations à distance sur tous les postes
- Réponse :
- Communication immédiate du CEO à la communauté avec excuses et marche à suivre : désinstaller, utiliser client WEB
- Communication approfondie dans les 24h pour explique l’orgine du problème, les corrections mises en œuvre et comment cela sera évité dans le futur / Post-mortem
- Publication d’un correctif provisoire dans les 8h et un définitif dans les 24h
- A nommé un cabinet de cybersécurité pour enquêter sur le sujet
- 3 mois de gratuité offerts + bonus apportés aux partenaires
- Résultat : la société 3CX fait preuve de réactivité, de transparence et montre à ses client une réaction professionnelle.
- Activité : entreprise de crédit
- Attaque : exposé les données personnelles de millions de personnes.
- Réponse :
- Publication immédiate d’un communiqué de presse,
- a offert des services de surveillance de crédit gratuits aux victimes potentielles
- a créé un site web dédié pour fournir des informations sur l’incident.
- Résultat :
- La transparence et la rapidité de la réponse d’Equifax ont été largement saluées, et l’entreprise a été en mesure de limiter les dommages à long terme à sa réputation.
- Activité : n°3 de la grande consommation aux USA
- Attaque : compromission des données de millions de clients.
- Réponse :
- a rapidement pris des mesures pour informer les clients concernés,
- a mis en place des mesures de sécurité supplémentaires pour prévenir de futures attaques.
- Mesures :
- Investissement dans de nouvelles technologies de sécurité
- Embauche un nouveau RSSI pour renforcer sa posture de sécurité.
- Résultat : Ces actions ont aidé à rétablir la confiance des clients dans l’entreprise et à limiter les dommages à sa réputation.
Ces exemples montrent que la transparence, la rapidité et l’efficacité de la réponse de l’entreprise à une cyberattaque sont essentielles pour limiter les dommages à la réputation de l’entreprise et rétablir la confiance des clients.
La recette d’une bonne communication de crise
La transparence, la rapidité et l’efficacité de la réponse de l’entreprise à une cyberattaque sont essentielles pour limiter les dommages à la réputation de l’entreprise et rétablir la confiance des clients.
71% des consommateurs ont prêts à pardonner une entreprise pour une erreur si elle :
- est rapidement corrigée
- fait l’objet d’une communication honnête
Etude de 2020 – Edelman
Paradoxalement, une crise bien gérée serait bénéfique pour l’entreprise en termes de réputation :
- +9,7% pour une crise bien gérée
- -11,7% pour une crise mal gérée
Etude menée par Weber Shandwick en 2021
Communiquer pendant l’incident
Objectifs
- Mobiliser les équipes et éviter la panique :
- Générer de la combativité et de l’effet de corps pour assurer ensemble la survie de l’organisation (ou des patients)
- Ne pas sur-réagir : des actions de correction mal dosées pourraient être plus grave que l’incident lui-même.
- Par exemple, déclencher un PRA avec déplacement des personnes pour une structure de 250 employés coute 75k€ en moyenne de l’expérience (frais, perte de productivité, cout du retour arrière),
- Prendre les bonnes décisions :
- Si une coupure génère de 24 à 48h d’indisponibilité, le déclenchement d’un PRA peut couter plus cher que l’incident lui-même
- Communiquer rapidement
- Attendu par les consommateurs pour pardonner la faute
- Savoir bien qualifier le problème / ne pas raconter n’importe quoiPouvoir qualifier l’ampleur des dégats
- Pouvoir s’engager sur un délai de résolution
Les trois temps de la communication de crise
- L’alerte
- communication d’urgence
Message d’attente factuel sur l’incident à communiquer rapidement, discours de responsabilité
- communication d’urgence
- La mise à jour des faits
- communication réfléchie et adaptée
Partage des faits et des impacts au fur et à mesure et uniquement les éléments structurants, réponse aux questions
- communication réfléchie et adaptée
- La clôture
- Communication à froid
rétrospective sur les évènements et partage des mesures prises pendant et après la crise
- Communication à froid
