Comment communiquer lorsqu’on est victime d’une cyberattaque ?

Dans une époque où les cyberattaques se multiplient et deviennent de plus en plus sophistiquées, les victimes font face à un exercice délicat : celui de la communication. En effet, il est important de se poser la question faut-il communiquer ? Si oui, quand et comment ? La communication doit avoir pour objectif d’informer et rassurer les personnes concernées. Il faut donc utiliser les bons mots et préparer sa communication de crise en amont afin de ne pas être pris de cours.

Au-delà de l’impact technique ou métier d’une attaque, il faut prendre en compte l’impact de la révélation de la faille exploitée.  L’exploitation d’une vulnérabilité par un pirate est toujours un événement embarrassant, que les entreprises touchées peinent à assumer. Certaines adoptent alors la politique de l’autruche, pour éviter les conséquences d’une communication défavorable : baisse de confiance, perte de part de marché, développement des concurrents etc.

Réagir ou non ? quelles sont les tactiques adoptées par les sociétés

Dans le cadre des sociétés françaises, plusieurs cas peuvent servir d’exemples :

Prenons tout d’abord l’exemple de l’entreprise de distribution de matériaux Saint-Gobain. Touchée par l’attaque NotPetya (un rançongiciel ou ransomware ayant affecté des dizaines d’entreprises dans le monde) en juin 2017, l’entreprise a adopté une stratégie assez particulière de communication, ou plutôt de non-communication et de menace contre les salariés  (interdiction pour  lescollaborateurs français de divulguer la moindre information, sous peine de sanction).

Altran, tout récemment touché par une attaque sur son système d’information, est également resté très discret.

A l’étranger, voici l’exemple le plus frappant : Equifax, la plus ancienne des trois plus grandes agences d’évaluation du crédit aux Etats-Unis, également spécialiste de la protection des données. En 2017, le groupe a été victime d’une intrusion exposant les données privées d’environ 143 millions de ses clients. Beaucoup d’informations personnelles sont tombées dans les mains de cyber criminels : noms, adresses, dates de naissance, numéros de sécurité sociale, permis de conduire et même pour certains, numéros de cartes bancaires !

La cyberattaque, découverte le 29 juillet 2017, avait débuté plus de deux mois plus tôt et n’a été communiquée que le 7 septembre. Ce laps de temps a aidé les trois dirigeants à vendre leurs actions. Cependant, en contrepartie suite à cette annonce, l’action Equifax a immédiatement chuté de 13% et beaucoup de clients ont été choqués de l’évènement.

A contrario, certaines organisations jouent la transparence et semblent avoir réussi à merveille le difficile exercice de la communication de crise.

Anthem, par exemple, une des plus importantes compagnies d’assurance santé aux Etats-Unis, a subi une cyberattaque le 27 janvier 2015, découlant sur la divulgation de plus de 80 millions de données personnelles. Cette cyberattaque est le plus gros piratage de données médicales de l’histoire des USA. Suite à cet incident, Anthem donna des réponses rapides et adaptées. En effet, l’annonce accompagnée d’une série de mesures furent dévoilées le 4 février, soit 7 jours après la découverte de la faille.

Aujourd’hui, un tel exemple de communication devrait devenir la norme, par la force de la loi. C’est déjà le cas aux États-Unis ou il est imposé par certaines normes (PCI-DSS), et désormais la RGPD. En effet, la certification mondiale PCI-DSS assure la sécurité des données (cartes et données bancaires) traitées. Dans le cas d’une cyberattaque, la certification impose à l’entreprise attaquée de se référer à la législation de son pays. A contrario, les émetteurs de cartes bancaires (Mastercard, VISA etc.) obligent les sociétés touchées par une cyberattaque à les informer.

Gestion de crises : des changements notoires

Nous pouvons expliquer la mutation de la gestion de crise grâce à deux raisons principales :

–         Face à la multiplication des cas d’attaque et une sensibilisation plus forte du public à ce danger, communiquer permet à l’entreprise de démontrer qu’elle s’est armée contre ce type de risque et que sa réaction a été exemplaire. C’est bien la confiance et l’optimisation de la réputation de l’entreprise qui seront ici recherchées ;

–         La mise en place de la RGPD (Règlement Général de la Protection des Données) effective depuis mai et entre autres ses articles 33 et 34.  Le nouveau règlement européen sur la protection des données « imposera une information détaillée aux autorités de contrôle dans les 72 heures qui suivent la découverte du problème, et dans les meilleurs délais à chaque personne physique concernée s’il y a un risque élevé d’atteinte à leurs droits ».

En clair, réactivité et transparence sont les maîtres mots pour gérer la communication de crise.  Le RSSI doit travailler main dans la main avec la direction de la communication pour diffuser une communication positive et efficiente de nature à consolider l’entreprise.

Une communication de crise inadéquate peut avoir des effets dévastateurs sur les relations d’une entreprise avec ses actionnaires et parties prenantes, sur l’image de la marque et, au bout du compte, sur les résultats financiers. la vigilance doit donc être mise sur l’utilisation de termes simples et compréhensibles par tous, sur la proposition de mesures d’amélioration de la sécurité, et sur la réactivité concernant la prise de parole, dans le but d’éviter la propagation de rumeur.

Aujourd’hui, la communication peut aussi permettre de combattre les attaques informatiques. En effet, des entreprises du même secteur ont souvent des architectures informatiques similaires. Dans ce contexte, communiquer permet d’alerter les entreprises assimilables afin d’accroitre leurs précautions  et de lutter ainsi collectivement contre les cybercriminels.