La multiplicité des cyberattaques, leurs impacts protéiformes sur l’activité des structures et le recours accru au télétravail ont conduit à une véritable prise en compte de la problématique cyber par les entreprises privées et organismes publics.
Aujourd’hui, la question n’est plus de savoir SI une structure va être touchée par une cyberattaque, ni QUAND elle le sera mais COMMENT sa réponse, autrement dit sa gestion de crise, sera articulée depuis la détection de l’attaque, jusqu’à l’investigation, la remédiation et la reprise d’activité.
1. Anticiper et se préparer : des atouts en gestion de crise cyber
Les cybermenaces ont évolué et ont donné lieu à des attaques aux impacts de plus en plus visibles et conséquents. Ne se limitant plus uniquement à exercer une pression sur l’activité des structures victimes, les cyberattaquants tendent également à jouer sur les leviers réputationnels notamment via les données personnelles et/ou sensibles traitées par les organisations. Il est ainsi courant d’observer dans l’actualité la quadruple peine d’entreprises victimes de rançongiciel : système d’information chiffré, chantage financier, fuite de données personnelles et impacts sur l’activité.
Face à une gestion de crise cyber : « plus la préparation est régulière, plus efficace sera la réponse ».
Les procédures de gestion de crise constituent une première ligne défensive, la sensibilisation des équipes une deuxième – notamment via l’introduction aux bonnes pratiques. Il est ensuite nécessaire d’éprouver ces connaissances lors d’exercices et simulations de crise afin de les transformer en réflexes. Ceux-ci s’adressent à différentes instances décisionnelles et opérationnelles (CODIR/COMEX, équipes juridique, communication, IT) et s’appuient sur des scénarios précis et concrets (attaques par ransomware, cyberfraudes, compromission des réseaux sociaux, etc.) en adéquation avec le contexte et les besoins de l’entreprise. La combinaison des formations théoriques et pratiques offrira une capacité de réaction optimisée en situation dégradée permettant de gagner ainsi de précieuses minutes le jour-j.
Le maintien en condition opérationnelle du dispositif de crise passe par sa mise à jour régulière selon l’évolution des risques cyber, de l’organisation et par la formation et l’entraînement régulier des ressources.
2. Communication préparée vaut mieux qu’absence déclarée
Face à des attaques de plus en plus médiatisées qui affectent tous les échelons de l’organisation, muscler sa communication de crise cyber est essentiel. Ce que l’opinion publique et les parties-prenantes ne pardonnent plus, ce n’est pas d’être victime d’une cyberattaque, c’est de ne pas savoir gérer, de faillir dans la réponse opérationnelle apportée et de dissimuler la réalité des choses. C’est précisément à cet enjeu que la communication de crise cyber doit s’attacher à répondre.
Cela est d’autant plus vrai en cas de ransomware rendant le SI chiffré et inopérant. À ce stade, les réseaux sociaux constituent un moyen efficace de toucher rapidement une vaste audience. Face à des canaux de communication « classiques » parfois inutilisables, complètement dissociés du système d’information de l’organisation, les réseaux sociaux constituent une alternative efficace pertinente à la messagerie ou au site Internet de l’organisation victime.
Par ailleurs, les attaques de type ransomware ont transformé le paysage médiatique des crises cyber qu’ils ont rendu visibles, via leur fort impact sur l’activité. Le nombre d’entreprises « contraintes » à communiquer a développé une conscience collective sur l’ampleur de la cybermenace, la multitude et la variété des cibles concernées. De plus, face à des journalistes sensibilisés et formés au sujet, voire spécialisés, l’approche journalistique ne se limite plus à une retranscription des déclarations de l’entreprise : il s’agit d’une véritable investigation. Si cela permet une couverture médiatique des cyberattaques moins unilatérale, le défi peut être de taille pour les équipes communication dont le travail est complexifié.
Enfin, outre la communication externe, le partage d’informations régulier et compréhensible de tous est également indispensable entre les différentes fonctions (RSSI, IT, PCA, RH, …) au sein des structures afin de les tenir informés de la reprise d’activité. Dans l’objectif de favoriser les échanges entre les différents acteurs de la structure, des formations dédiées à chaque équipes métiers sont accessibles pour leur permettre d’identifier les informations clefs à transmettre aux métiers et la manière de le faire, permettant ainsi que fluidifier la communication globale.