Communiquer lors d’une crise cyber
Mal négocier sa communication lors d’une crise peut nuire à l’image de marque de votre entreprise durant des années, cela s’applique également lors d’une crise cyber.
Prendre en compte l’environnement complexe d’une cyberattaque est le préalable à toutes communications afin d’être en capacité d’adapter ses messages. Les entités en charge du périmètre SI/IT de l’entreprise, tout en ayant les actions les plus transverses, n’ont pas toujours les bons réflexes en matière de communication interne lors d’une telle attaque.
Comme dans toutes situations où le fonctionnement de l’entreprise peut être impacté y compris sa pérennité, il faudra avant tout alerter, informer, rassurer mais surtout expliquer afin de donner du sens aux décisions qui seront prises.
Il sera nécessaire de préparer vos messages face aux questions que pourra se poser un public externe, telles que : « Cette cyberattaque était-elle prévisible ? Quelles mesures ont été prises pour faire face à la situation ? Est-ce que la sécurité informatique est à la hauteur des enjeux de l’entreprise ? Quel impact a eu cette attaque sur le système d’information ? Pouvez-vous garantir qu’il n’y a pas eu de fuites de données sensibles ? Que comptez-vous faire si la fuite de données est avérée ? … ».
Structurer sa communication de crise cyber évite le brouillage de ses messages. Pour cela il est nécessaire de respecter quelques grands principes permettant de maintenir ou restaurer la confiance de ses publics. Vraie colonne vertébrale de la communication de crise, ils se déclinent par la définition d’une stratégie que viendra cadrer un plan de communication adapté à vos procédures de gestion de crise cyber.
Cela passe aussi par la construction d’un discours assumé qui s’appuie sur un plan d’actions afin de tenir un langage d’actes. Toutes les actions mises en place, aussi louables et pertinentes qu’elles soient, si elles ne sont pas expliquées, n’auront jamais la portée qu’on pensait leur donner et finiront par semer le trouble dans l’esprit de ceux qui les reçoivent, d’où la nécessité de faire preuve de pédagogie dans ses messages tout particulièrement lors du traitement de sujets complexes.
Il ne faut pas chercher à se justifier, à démontrer que l’on n’est pas responsable y compris si l’on a mis en place toutes les actions préventives nécessaires. Il est préférable avant tout de privilégier une posture empathique. Cette posture peut sembler évidente, mais souvent difficile à adopter, notamment s’il est considéré que tout a été mis en œuvre pour protéger le SI de l’entreprise contre ce type d’attaque.
Un récit précis des faits et des actions en cours pour normaliser la situation doit également être diffusé auprès de public cibles (médias, collaborateurs, clients, partenaires commerciaux et investisseurs). Il faut toutefois se garder de trop communiquer sur sa résilience face aux cyberattaques afin d’éviter toutes formes de provocation vis-à-vis des cybercriminels. La durée moyenne de résolution d’une cyberattaque d’envergure est estimée à plus de 30 jours. Cette longue période doit être prise en compte car elle induit une communication sur la durée.
Concernant le vol ou la falsification de données personnelles, l’appréciation du risque et des conséquences pour les personnes concernées est un préalable à une communication de crise. Si les autorités doivent être informées sur le type d’attaque en cause, cela doit aller au-delà du simple devoir de déclaration pour assurer la réputation de l’entreprise.
La volonté et la capacité de l’entreprise à examiner ce qui s’est passé seront au cœur des rapports et de la communication avec les parties prenantes.
