Cyberattaque et communication de crise

Comment gérer la communication de l’entreprise qui subit une cyberattaque ?

Communication corporate

Hotwire

Hotwire est une société internationale de conseil en communication spécialisée dans les nouvelles technologies.

Désormais, la question n’est plus de savoir si une entreprise sera victime d’une cyberattaque, mais de savoir quand elle aura lieu. Et si elles sont aujourd’hui partie intégrante du quotidien, le nombre d’attaques par rançongiciel signalé à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) semble pourtant légèrement diminuer. En revanche, si une chose ne change pas, c’est bien l’impact qu’elles peuvent avoir sur votre entreprise, qu’il s’agisse de réputation ou même de pérennité. C’est pourquoi, il est important d’inclure dans votre stratégie de communication, un volet dédié à ce type de communication de crise, et surtout, de vous faire conseiller et accompagner. 

De l’importance d’alerter 

Les entreprises étaient souvent réticentes pour communiquer en cas d’attaque cyber. Pourtant, depuis son entrée en vigueur en mai 2018, le RGPD (Règlement Général sur la Protection des Données) oblige toute entreprise victime d’attaque, ou de tentative, à alerter les autorités et toutes les personnes concernées dans les quarante-huit heures suivant la découverte. Auquel cas, elle risque une amende pouvant s’élever à 20 millions d’euros. De plus, il ne faut pas oublier que désormais, l’indemnisation de la part d’un assureur en cas de paiement de rançon n’est plus automatique : la Loi Lopmi (Loi d’Orientation et de Programmation du Ministère de l’Intérieur) déclare que « Le remboursement est désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. »  

Une attaque, ou tentative, peut avoir de graves répercussions sur la pérennité d’une entreprise. En effet, lors d’une intrusion malveillante, les serveurs sont bloqués et les données sont souvent cryptées et donc rendues inutilisables. Toute activité se voit alors interrompue pendant un temps indéterminé. Et parce que la vie d’une entreprise implique équipe internes, clients, partenaires ou encore actionnaires, il est important de communiquer à l’issue de ce type d’événement. Car si pour certaines, admettre que l’on est victime d’une cyberattaque revient à dire que l’entreprise a des faiblesses, d’autres font le choix de parler et sauver ainsi leur réputation.  

Quelques conseils pour mener à bien sa gestion de crise 

Afin d’éviter toute fuite ou déformation d’information, l’entreprise doit réagir vite, mais aussi en respectant quelques règles ! 

Une communication de crise liée à une cyberattaque ne se gère pas comme une communication de crise classique. Et cela commence par l’implication des équipes internes. En effet, cette campagne ne doit surtout pas se limiter à seule l’équipe communication. Elle doit impérativement faire intervenir la Direction Générale, le Service Juridique et l’équipe du RSSI (Responsable de la Sécurité des Systèmes d’Information), chacun ayant un rôle bien précis. En effet, tour à tour, il faudra confirmer l’attaque, les premiers impacts, les solutions de secours mis en place, et une estimation du temps de traitement nécessaire pour relancer l’activité. Vous pouvez vous assurer d’avoir un discours clair que vous pourrez adapter en fonction de vos cibles, en impliquant les différentes équipes.

En convoquant vos équipes, déterminez qui sera le porte-parole dédié et réfléchissez déjà aux éléments de réponses qu’il faudra préparer.  

Enfin, parce qu’il est impératif d’alerter les autorités dans les plus brefs délais, n’oubliez pas de vous rapprocher de la CNIL, en cas de fuite de données personnelles, et de l’ANSSI.  

Faute avouée, à demi pardonnée : Prenez la parole 

Si elles ont tout intérêt à communiquer, les entreprises doivent cependant le faire intelligemment.  

Avant de prendre la parole publiquement, déterminez ce que vous souhaitez dire et sous quelle forme. Pour cela, commencez par un état des lieux clair et précis établi avec l’équipe du RSSI : Subissez-vous une attaque ou d’une tentative ? Quelle en est la cause : une erreur interne, une intrusion … ? Quelles sont les données concernées ? Sous quel délai l’activité pourra être relancée ? Quelles conséquences et pour qui ?  

Déterminez avec l’équipe juridique ce qui sera mis en place pour les victimes, et s’il est déjà possible de communiquer. N’oubliez pas que l’important est d’être le plus transparent et le plus rassurant possible : traduisez tous les discours techniques afin qu’ils soient compris par le plus grand nombre !  

Des deux maux, il faut choisir le moindre : Travaillez votre discours 

Votre campagne doit être réfléchie, c’est-à-dire, faite au bon moment ! 

Certes il faut agir vite, mais se précipiter dans les déclarations pourrait au contraire aggraver les choses. C’est pourquoi, une fois l’état des lieux effectué, déterminez à vous voulez vous adressez et donc sous quelle forme. Prévoyez-vous un communiqué de presse diffusé et publié sur votre site, une campagne d’emailing, ou une communication via vos réseaux sociaux ? Quel message faites-vous passer ? Des affirmations, des suppositions, des excuses ?  

Préparez tous vos éléments de réponses. Le porte-parole doit être préparé afin de répondre au mieux à chaque question, surtout face aux médias. De même, si vous intervenez sur les réseaux sociaux, préparez les équipes, car aucun commentaire ne pourra être laissé sans réponse au risque d’être détourné.  

Pensez calendrier ! Dans quel ordre et à quelle date allez-vous communiquer ? Allez-vous contacter tout le monde en même temps ? Pensez proactivité, et mettez-vous à la place de ceux qui vont réceptionner votre message, anticipez les réactions.  

Organisez aussi vos prises de parole : faites-vous une seule déclaration pour tous, ou envisagez-vous des mises à jours de vos messages régulières ?  

N’oubliez pas que si l’attaque implique une enquête judiciaire, certains éléments de réponse pourraient devenir confidentiels.  

Après la pluie 

Pour finir, envisagez l’après crise.  

D’où vient cet incident ? Où en est l’enquête ? Si vous disposez de nouveaux éléments, préparez des updates qui viendront rassurer vos interlocuteurs.  

Parce qu’une crise ne se termine pas toujours de façon positive, songez aux recours en justice qui pourraient venir de vos victimes, et aux déclarations publiques que vous pourriez faire.  

La gestion de crise liée à une cyberattaque diffère d’une communication de crise classique. C’est pourquoi il est recommandé de se faire accompagner par son agence de communication qui sera en mesure de renforcer la stratégie mise en place via son expertise et son regard extérieur sur la situation.

Bonus  

Votre entreprise vient d’être victime d’une tentative d’intrusion. Dans la précipitation, vous avez listé tout ce à quoi vous devez penser dans l’urgence. Êtes-vous bien sûr d’avoir pensé à tout ? Vérifiez la liste ci-dessous. Si vous la pensez correcte et bien complète, c’est que vous êtes prêt ! Mais attention, rien n’est sûr .

En amont de ma communication  

  • Réunion de crise avec l’équipe communication interne 
  • Je réunis toutes les informations importantes : L’entreprise a-t-elle subi une attaque ou une tentative ? Quelle est la cause de cet événement : une erreur interne, une intrusion … ? Quelles sont les données concernées ? Quelle sauvegarde existe-t-il à date ? Sous quel délai l’activité sera être relancée ? Quelles conséquences et pour qui ? 
  • À qui s’adresse mon discours : Collaborateurs internes, investisseurs, actionnaires, partenaires commerciaux, clients, utilisateurs 
  • Quelle est la portée de mon message : cette attaque ou tentative ne vise que mon activité en France ? Ou bien touche-t-elle aussi l’international ? 
  • Quelle forme vais-je donner à mon discours : un communiqué de presse posté sur le site de l’entreprise, un discours public du porte-parole (mais au fait, qui est mon porte-parole ?), une newsletter, un post sur les réseaux sociaux de l’entreprise, une diffusion auprès de la presse 
  • Quel calendrier : une seule déclaration et j’attends que tout se tasse ou est-ce que je prévois une mise à jour régulière ?  

Le jour J 

  • Je diffuse mon communiqué de presse 
  • Je diffuse mon emailing 
  • Je poste sur mes réseaux sociaux 
  • J’organise une conférence de presse  

En sortie de crise 

  • Ai-je de nouveaux éléments à partager ? Si oui, j’informe mes interlocuteurs. 
  • Je prépare l’après ? Mon entreprise risque-t-elle un procès ? Si oui, j’anticipe ma communication 

Article écrit par Flore Dutronc

Nos dernières news