Comment communiquer en cas de cyberattaque ?

Comment doit se comporter un dirigeant d’entreprise dans le cas d’une cyberattaque ? Doit-il la dissimuler ou au contraire, faire une communication publique pour rassurer ses clients et partenaires ? Il est recommandé de gérer une cyberattaque au même titre qu’une crise et ainsi, de prévoir une communication de crise. Découvrez les différentes réactions possibles face à une crise cyber et nos recommandations pour vous préparer au mieux en amont et pendant une cyberattaque.

Si certaines entreprises préfèrent la discrétion …

Pour certaines entreprises, il est difficile d’admettre une vulnérabilité, parce que montrer ses faiblesses peut être synonyme d’amateurisme et n’est généralement pas gage de confiance. Plusieurs raisons peuvent expliquer cette envie de cacher une cyberattaque au sein de sa société.

La première, évidente : le souhait de maîtriser son image de marque et par conséquent, de ne pas communiquer sur l’attaque en cours car cela ternit son image. La seconde pourrait être la peur de créer un effet d’aubaine en alertant des individus mal intentionnés qui pourraient à leur tour vous attaquer.

En cas de crise, mieux vaut communiquer un message clair plutôt que de ne rien dire et risquer des fuites qui auraient des conséquences plus néfastes, voire désastreuses. En communiquant, on ne laisse pas de place aux mauvaises interprétations et on maitrise davantage son image. Nul n’étant à l’abri d’une cyberattaque, il n’y a pas de honte à l’avouer ; les clients apprécieront d’autant plus votre honnêteté.

Il est recommandé de mettre en place une communication de crise cyber 

Anticiper la crise

Le service communication et l’IT de l’entreprise doivent se rencontrer en amont pour comprendre leurs enjeux et ainsi être mieux préparés lors de la survenue d’une crise. Avec tous les acteurs impliqués dans la gestion de crise, ils créent une cellule de crise et anticipent des scénarios de crise réalistes avec les réponses potentielles à apporter. La cellule conçoit alors en amont une stratégie de communication de réponse. Elle prévoit la constitution et la mise à jour régulière d’une boîte à outils « communication de crise cyber » incluant :

• une stratégie de communication de crise
• des outils de pilotage tels qu’un fichier presse et les codes de connexion utilisateurs
• un glossaire des principaux éléments de langage sur des sujets sensibles

Les équipes de la cellule de crise sont régulièrement formées pour tester leur résilience face à une potentielle attaque. Elles effectuent des exercices en situation afin de se préparer et de s’améliorer en cas de réelle attaque.

Réagir pendant la crise

Lors d’une cyberattaque, la cellule de gestion de crise doit être mobilisée en urgence pour concerter ses membres et réagir au plus vite. L’équipe réalise une analyse des risques et bénéfices et prévoit de communiquer ou non en fonction des faits et du contexte de la situation. Ne pas communiquer peut aussi être un choix réfléchi. Une fois les risques analysés, il est important de préparer les messages à adresser aux différents publics et les adapter. Le vocabulaire et le ton employés sont à choisir avec soin ; l’idée étant d’utiliser un ton sérieux et rassurant pour éviter un effet anxiogène.

Une fois ces éléments établis, il est important de coordonner la communication de l’entreprise afin d’émettre un message clair et cohérent. Ne doivent pas être oubliés dans ces communications : la direction générale, les équipes techniques, celles en contact avec des interlocuteurs externes ainsi que toutes les parties prenantes identifiées. Il est important de définir un nombre restreint de personnes dédiées à la communication institutionnelle puisque de là vont découler la communication interne et la communication externe.

Il est de bon ton de prévenir en premier lieu ses collaborateurs et de leur indiquer les éléments qu’ils peuvent communiquer afin d’avoir une communication homogène. En cas de sollicitation par une personne extérieure à l’entreprise, ils sauront quoi répondre. Tous les messages doivent être coordonnés et cohérents. Enfin, vous pouvez aussi saisir l’occasion de cette crise pour améliorer votre communication, sensibiliser vos collaborateurs et mieux être à même d’affronter une future attaque.

Le guide de l’ANSSI vous apporte conseils et recommandations afin d’anticiper et gérer la communication de crise de votre entreprise. Vous pourriez aussi être intéressé par cet article pour savoir comment réagir face à une cyberattaque.

Avantages de la gestion de crise

Les experts recommandent de communiquer plutôt que de dissimuler. Géré efficacement et en toute transparence, l’incident pourrait alors être mieux assimilé et accepté par les victimes. Alors que s’il est intentionnellement dissimulé, les clients peuvent se sentir dupés et ne plus vouloir faire confiance à l’institution.

Et que dit la loi ?

Le Règlement Général sur la Protection des Données (RGPD) oblige toutes les sociétés qui manipulent des données à caractère personnel des citoyens européens à :

• notifier l’autorité de contrôle d’une violation de données au plus tard 72 heures après l’avoir constatée
• informer les personnes concernées par ces fuites de données, sans préciser le délai.

En conclusion, il est fortement recommandé de communiquer à ses différents publics en cas de cyberattaque et de créer une cellule de crise en amont afin d’être mieux préparé. Les buts de la communication de crise sont de rassurer et de réduire les risques. Même si nul ne peut être totalement préparé à une cyberattaque, des entrainements réguliers et une coordination des équipes permettront d’agir plus rapidement et efficacement dans l’urgence.

Contacter un expert en cybersécurité

Crédit Photo : Canva