Cyberattaques : best practices de communication de crise

Stéphanie LEDOUX, CEO Alcyconie, participait ce jeudi 9/9/21 à la table-ronde « Cyberattaques : best practices de communication de crise », organisée dans le cadre du #FIC2021, aux côtés de Valéry Marchive (LeMagIT), Christophe Fichet (Dentons) et Guillaume Chéreau (Orange Cyberdéfense). 

Vous n’avez pas pu y assister ? Vous n’avez pas la patience d’attendre le replay sur la chaîne Youtube du FIC ou de lire l’article de Valery Marchive ? Voici un résumé de l’intervention de Stéphanie !

En cas de crise, à quel moment la société Alcyconie est-elle mobilisable ?

La société est mobilisable à tout moment dans le cadre de notre astreinte 24/7. Mais nous distinguons 3 cas de figure, 3 temporalités différentes : 

  • Nous pouvons être mobilisés dès les premiers instants de la crise et travailler de concert avec l’ensemble des équipes pour définir une réelle stratégie et des orientations opérationnelles rapidement. Cette solution est évidemment la plus confortable et permet d’apporter rapidement une réponse opérationnelle efficiente. Il s’agit bien souvent des organisations avec lesquelles nous collaborons déjà, ou encore des entreprises qui ont conscience que des services tels que les nôtres, que ceux d’OCD existent.
  • Certaines organisations nous contactent quelques heures après, face au constat que la situation s’envenime, ou encore face à une pression grandissante, qu’elle soit médiatique, qu’elle vienne des clients ou encore de l’interne. Ces clients nous contactent souvent sur recommandations de leur assureur, d’un service de l’état ou de leur Prestataire de Réponse à Incidents (PRIS). 
  • Le troisième cas de figure est le moins souhaitable. Nous sommes appelés plus tardivement et la communication est déjà bien souvent amorcée. Dans cette situation, nous intervenons vraiment en mode pompier. Il convient de sauver les meubles, de rattraper le coup. 

Quel est le meilleur profil pour un pilote de cellule de crise ?

Face à une crise d’origine cyber, nous recommandons très rarement que ce soit le RSSI qui pilote la crise. C’est un poste clé de la gestion de crise qui a suffisamment à gérer au niveau technique, avec les autorités ou avec les équipes de forensic. 

Le choix du directeur de crise va dépendre de l’organisation, des compétences métiers et de la personnalité de chacun. L’idéal serait de choisir une personne pragmatique, en capacité de fédérer et de pouvoir agir très rapidement. Cette personne doit également avoir la légitimité suffisante en interne et être en capacité de prendre des décisions. Il peut s’agir d’un directeur des opérations, d’un directeur technique, ou encore d’un DRH…

Quels sont vos principaux interlocuteurs dans l’entreprise ? 

  • Sur le volet pilotage de la crise, nous collaborons étroitement avec les RSSI / DSI, le DPO, le CODIR et la cellule de crise décisionnelle, incluant un juriste et un pilote de crise. 
  • S’agissant de la communication, nous fonctionnons bien souvent avec un trinôme composé du RSSI, du communicant et du juriste. Il s’agit de la meilleure des configurations pour communiquer sur ces crises bien singulières et techniques que sont les crises cyber.  

Quelles sont les premières mesures que vous mettez en place en termes de communication ? 

Avant toute chose, il convient de baliser 3 aspects : 

  • Quelles OBLIGATIONS devons-nous remplir ? RGPD, réglementations spécifiques, obligatoires contractuelles… 
  • À quelle MENACE faisons-nous face : quels opérateurs ? s’agit-il d’un rançongiciel ? ce groupe a-t-il déjà frappé ? À ce stade, nous collaborons étroitement avec les équipes de CTI (Cyber Threat Intelligence),
  • Et enfin, vers QUI devons-nous communiquer ? Nous ne le dirons jamais assez, mais l’interne est encore trop souvent le parent pauvre de la communication de crise.  

S’il y a un principe à retenir, c’est qu’il faut rapidement occuper le terrain de la communication, se positionner comme une source fiable. Mais en aucun cas partir tête baissée, sans se questionner et sans prendre quelques minutes de recul sur la situation. 

Il est fortement recommandé d’anticiper cette partie, de cartographier en amont de la crise les cibles de communication. Cela permet de gagner du temps en situation dégradée, de réduire le stress et les biais cognitifs que cette situation peut engendrer.

Faut-il être transparent dans la communication de crise ?

Il est certain que l’on recommande généralement la transparence mais il ne faut pas confondre transparence et « tout dire ». Communication de crise doit rimer avec maîtrise : maîtriser ce que l’on partage sur la crise. C’est à dire distiller l’information en cohérence avec les investigations et le pilotage global de la crise. En plus de veiller à ne transmettre aucune information aux attaquants, comme cela arrive encore malheureusement.  

Découvrir le cas de Techotel.

Si on ne devait garder qu’un conseil à appliquer obligatoirement dans votre domaine, quel serait-il ?

Se préparer, au maximum, pour gommer les zones d’incertitude. Elles seront déjà très nombreuses en crise et surtout casser les tabous qui entourent la communication de crise cyber. Elle doit être vue comme l’une des dimensions de la gestion de crise, ni plus, ni moins. Elle occupe une place stratégique dans la gestion de crise mais ne doit pas prendre l’ascendant sur le pilotage des évènements. 

Gardez-bien à l’esprit que qu’il ne faut pas tout dire mais que tout ce qui est dit doit être avéré, sincère et honnête ! 

Partagez cet article :
Facebook
Twitter
LinkedIn
Reddit
WhatsApp
Email