La communication de crise en cas de cyberattaque

ÉTAPE 1 : Dresser une analyse des risques

Identifiez et décrivez les cyberattaques risquant de toucher votre entreprise ou organisation et les répercussions qu’elles engendreraient pour la continuité du service ou de la production. Les attaques les plus courantes sont :

• Une attaque de type « ransomware »

Un ransomware est un virus qui s’installe sur un appareil à l’insu de son propriétaire. Le « rançongiciel » prend en otage (et crypte) l’appareil et les fichiers et exige une rançon.

• Une attaque de type DDOS

En lançant une attaque de type DDOS ou une attaque « Distributed-Denial-Of-Service », les cybercriminels essaient de mettre hors service un serveur Internet en le surchargeant d’un très grand nombre de demandes de pages. Une attaque de type DDOS en tant que telle ne présente pas spécialement de danger, mais c’est une ruse largement utilisée par les cybercriminels pour dissimuler une autre attaque ou comme moyen de pression supplémentaire lors d’une attaque de type « ransomware », par exemple.

• Un virus sur le réseau
• L’escroquerie, dont la fraude au CEO par exemple
• Une fuite de données, une infraction à la législation RGPD…

Consultez le plan de crise ou le plan de gestion des incidents de cybersécurité de votre entreprise ou organisation. Vérifiez si la communication de crise y est reprise et, si oui, de quelle façon. Le plan contient-il au moins les éléments suivants ?

• Une liste des contacts pour l’assistance (sur papier) : à qui pouvons-nous faire appel en cas d’incident ?

• Une liste des contacts des collaborateurs, parties prenantes, partenaires et de la presse (sur papier) : qui devons-nous informer de l’incident ?
• Un récapitulatif des canaux de communication pouvant être utilisés en cas de cyberattaque (donc aussi les canaux hors ligne).
• Un récapitulatif des messages principaux : pour une série de cyberattaques très fréquentes, vous pouvez préparer un bref message à mobiliser en cas de cyberattaque.
• Une répartition des tâches, une énumération des différents rôles en cas de cyberincident et des tâches assignées à chaque rôle.

Chaque entreprise ou organisation devrait organiser au moins une fois un exercice de cyberincident. Veillez à impliquer dans cet exercice le service de communication ou le responsable de la communication.

Pendant un incident, une bonne communication est cruciale pour ne pas perdre de temps et limiter l’atteinte à votre réputation.

Respectez cet ordre de priorité dans votre communication. Informez successivement :

1. Vos collaborateurs
2. Vos parties prenantes
3. Vos partenaires
4. Vos clients
5. La presse

Dès que vous faites une communication à vos collaborateurs, vous devez également informer au plus vite les autres parties. Il est en effet illusoire d’imaginer que les collaborateurs traiteront l’information en toute confidentialité. En d’autres termes, l’information fuitera vite au-delà de votre organisation.

Si des données personnelles risquent d’avoir été volées ou d’avoir fuité, vous devez prendre contact avec l’autorité de protection des données.

Déterminez les messages :

• Envisagez de communiquer de façon proactive. Avant même que l’incident ne « fuite », vous pouvez en principe déjà communiquer. Ce principe porte le nom de « stealing thunder ». Vous diffusez vous-même la (mauvaise) nouvelle avant que la presse ne s’empare du sujet et construise son propre récit. En communiquant de façon proactive, vous avez toutes les chances de pouvoir garder la main sur la communication.
• Élaborez immédiatement un message de garde. Communiquez les éléments suivants :
  • « We know » : nous avons connaissance des faits.
  • « We do » : nous nous chargeons désormais des éléments suivants, nous travaillons à une solution.
  • « We care » : nous prenons l’incident très au sérieux, nous montrons de l’empathie.
  • « We are sorry » : nous regrettons l’incident, nous présentons nos excuses.
  • « We’ll be back » : nous précisons quand nous reviendrons avec un complément d’informations. 
• Déterminez les messages principaux
  • Que s’est-il passé ?
  • Comment cela a-t-il pu se passer ?
  • Qui en était responsable ?
  • Quelles sont les conséquences ? Pour les collaborateurs, les clients, les partenaires…
  • Que faisons-nous pour remédier aux dégâts occasionnés ? De quelle solution disposons-nous ?
  • Que ferons-nous pour éviter cela à l’avenir ?

Déterminez le ton :

• Montrez de la sympathie lorsqu'il y a des victimes.

• Présentez vos excuses si une erreur a été commise.

• Ne soyez pas sur la défensive, mais montrez bien ce qu’a fait votre organisation pour éviter l’incident ou y remédier au plus vite.
• Il n’y a pas à avoir honte, vous êtes victime de criminels et cela peut arriver à tout le monde.
• Ne réagissez pas de façon agressive aux questions accusatrices, pointez plutôt les « enseignements tirés ».
• « No comment » : l’absence de réaction aux questions est un message en soi, souvent interprété comme « ils ont dû commettre une faute » ou « ils doivent avoir quelque chose à cacher ».

Choisissez un porte-parole. Conseils pour les porte-paroles :

• Montrez de l’empathie.
• Ne mentez pas.
• Faites preuve de transparence.
• Anticipez les questions difficiles et préparez-les.
• Utilisez les ficelles du métier pour toujours en revenir au message principal.
• Soyez clair et concis.
• Évitez le jargon spécialisé / le jargon informatique.

Embûches

• En cas de cyberattaque, vos principaux canaux de communication risquent d’être indisponibles : intranet, e-mail, site Internet. Réfléchissez à l’avance à des canaux alternatifs pour atteindre les différents groupes cibles.
• Si la cyberattaque fait l’objet d’une enquête judicaire, il se peut que vous deviez traiter les informations avec la plus grande prudence. Mais ne vous servez pas de cette excuse pour ne pas communiquer du tout ou ne pas communiquer en toute transparence.
• L’attribution d’une cyberattaque : soyez toujours prudent avant de désigner un auteur potentiel de l’attaque. Il est toujours très difficile à déterminer pour les cyberattaques.