La communication de crise cyber : vers un nouveau paradigme

La notoriété croissante de la cybersécurité, l’évolution des cybermenaces vers des attaques aux impacts plus visibles et les évolutions de la réglementation autour des données personnelles ont conduit à un véritable changement de paradigme dans la communication de crise cyber. Il se cristallise dans un conflit de temporalité entre :

  • la nécessaire reprise rapide des activités et le temps nécessaires aux investigations,
  • les obligations de notifier et communiquer et l’effet de sidération créé par une cyberattaque.

Il s’illustre par de nouveaux enjeux communicationnels :

  • la complexité à transmettre des messages simples sur un sujet à forte technicité,
  • le bon niveau de communication à adopter lorsque l’incertitude règne, 
  • la nécessité de coordonner sa communication vis-à-vis de publics aux attentes hétéroclites (salariés, autorités, médias, clients…) en assurant cohérence et crédibilité.

Le risque cyber, très présent dans le pilotage stratégique des entreprises, l’est aussi de manière croissante dans le paysage médiatique. Si ce changement de paradigme implique de nouvelles contraintes (techniques, règlementaires, communicationnelles) et voit émerger de nouvelles attentes des usagers, il constitue aussi une opportunité pour les organisations capables de prendre le virage de la communication de crise cyber. 

SUR QUELS ELEMENTS REPOSE CE NOUVEAU PARADIGME DE LA COMMUNICATION DE CRISE ?

Emergence des ransomware et visibilité des cyberattaques

  • La démocratisation des ransomware-as-a-service (RaaS) et l’explosion du big game hunting ont conduit à une augmentation drastique de ce mode opératoire. Ces attaques, paralysantes s’accompagnent souvent d’exfiltration et publication de données à des fins d’extorsion.
  • Ces attaques ont transformé le paysage médiatique des crises cyber qu’ils ont rendu visibles, via leur fort impact sur l’activité. Le nombre d’entreprises « contraintes » à communiquer a engendré une conscience collective sur l’ampleur de la cybermenace, la multitude et la variété des cibles concernées. Ils ont également donné matière à la création d’un cadre de référence d’évaluation de la communication de crise : minimisation de l’attaque, sur-communication, opportunité de mettre en avant sa résilience…
  • La publication de données sert un double objectif pécunier pour les hackers : monnayer les données publiées au marché noir et faire pression sur l’entreprise pour obtenir le paiement d’une rançon. En communiquant, les attaquants utilisent le levier médiatique pour faire aboutir leurs manœuvres. 
  • Les impacts métiers (arrêt des activités, perte de données…) rendent également nécessaire une communication accrue entre les fonctions RSSI, IT, PCA, RH… Communiquer envers les salariés et les métiers pour les tenir informés de la reprise d’activité nécessite un partage d’information régulier et compréhensible pour tous. 

Une prise de conscience collective sur les données personnelles et leur protection

  • L’évolution réglementaire autour de la protection des données personnelles et l’obligation de notification consécutive ont conduit à une communication accrue sur le sujet et, là aussi, à une visibilité croissante des cyber attaques.
  • La mise en application du RGPD et les notifications d’usagers sur la fuite de leurs données a créé un cercle vertueux, en sensibilisant davantage le grand public aux données personnelles et à leur valeur. 
  • Les délais de notification, courts (72h pour la CNIL), diffèrent également selon les pays, complexifiant la tâche des groupes multinationaux qui doivent se coordonner très rapidement pour harmoniser leur réponse.
  • Dans un paysage médiatique marqué par l’instantanéité (réseaux sociaux, information en continu…) le temps des investigations numériques s’inscrit en décalage. Il convient d’occuper le terrain pour montrer que l’entreprise est en maitrise et rassurer ses parties-prenantes. 
  • Dans la communication de crise, les juristes ne sont pas en reste. Or, retranscrire dans des termes juridiques des actions de cybermalveillance et organiser la notification sous 72h de milliers de personnes n’est pas toujours un exercice simple. 

Les cyberattaques, un sujet à fort potentiel médiatique 

  • Face à des journalistes sensibilisés et formés au sujet, voire spécialisés, l’approche journalistique ne se limite plus à une retranscription des déclarations de l’entreprise : il s’agit d’une véritable investigation. Si cela permet une couverture médiatique des cyberattaques moins unilatérale, le défi peut être de taille pour les équipes communication  
  • D’une problématique technique de niche, les cyberattaques font désormais partie de l’imaginaire et de la conscience collective, notamment via la figure du hacker. Celui-ci a fait son entrée dans la pop culture : séries pour adultes comme Mister Robot ou Bureau des Légendes mais aussi pour enfants, avec la sortie d’une série de dessins animés sur une héroïne résolvant des cyber-enquêtes annoncée par Ubisoft. 
  • La data n’est plus une notion abstraite ; elle concerne directement l’humain et peut avoir des conséquences dramatiques. Des hôpitaux déprogrammant des opérations et rendez-vous, la campagne de vaccination de la région de Rome paralysée par un ransomware… Des impacts concrets, visuels et surtout où se mêle une dimension particulièrement crisogène : l’humain.

COMMENT LES ENTREPRISES PEUVENT S’ADAPTER A CES NOUVELLES REALITES ?

Il convient tout d’abord de casser les tabous entourant le fait de subir une cyberattaque : ce que l’opinion publique et les parties-prenantes ne pardonnent plus, ce n’est pas d’être victimes d’une cyberattaque, c’est de ne pas savoir gérer, de faillir dans la réponse opérationnelle apportée. C’est précisément à cet enjeu que la communication de crise cyber doit s’attacher à répondre. Quelques conseils pour s’y préparer efficacement :  

  • Préparer opérationnellement les communicants pour satisfaire à son obligation de transparence tout en respectant le principe de précaution, pour permettre l’acquisition de réflexes sur des sujets très différents de leurs problématiques quotidiennes, ne pas être dépossédé des discours sur son entreprise et faciliter les échanges avec les journalistes d’investigation numérique.  
  • Maîtriser les médias privilégiés par les attaquants (Twitter, 4chan…) ou encore cartographier les médias spécialisés cyber permettront de ne pas laisser aux malfaiteurs la primauté de la communication et d’activer une veille plus tactique. 
  • Former les équipes de réponse à incident pour leur permettre d’identifier les informations clefs à transmettre aux métiers et la manière de le faire : la communication globale gagnera en fluidité.
  • Intégrer la CTI (Cyber Threat Intelligence) dans la définition de sa stratégie de communication de crise cyber : analyser la menace et comprendre à qui on a à faire permet d’éviter certains écueils, comme nier fermement un leak de données lorsqu’on fait face à un groupe d’attaquants bien connu pour les publier plusieurs mois après l’attaque.

Le triptyque préparation, formation, entraînement constitue une réponse pragmatique et efficace pour répondre à ces enjeux nouveaux auxquels les organisations se confrontent, étant entendu que l’anticipation de la communication de crise doit être pensée sur des scénarios précis et concrets (fuites de données personnelles, divulgation de de vulnérabilité critique…), notamment via des exercices de crise entraînant en profondeur les équipes communication.

Pour en savoir plus sur nos formations ou nos exercices et simulations de crise, contactez-nous à contact@alcyconie.com

Retrouvez cet article co-écrit par Claire Juiff et Stéphanie Ledoux dans le numéro #20 du magazine Cyberun dédié à la Communication.

Partagez cet article :
Facebook
Twitter
LinkedIn
Reddit
WhatsApp
Email