SlideShare une entreprise Scribd logo

Communication de crise après une attaque

Hewlett Packard Enterprise Business Value Exchange
Hewlett Packard Enterprise Business Value Exchange

Lorsqu’une crise relative à la cyber-sécurité survient, plusieurs erreurs sont souvent commises. Parmi les plus fréquentes on retrouve la non préparation d’un plan de communication de crise ou la réalisation d’un plan non adapté aux crises en cas de faille de sécurité.

Internet
1  sur  5
Télécharger pour lire hors ligne
Voici un scénario extrêmement fréquent : Vous êtes un responsable métier ou informatique et vous apprenez (probablement de sources extérieures à votre entreprise) que des cyber-pi- rates ont compromis les systèmes de votre organ- isation. Vous ne connaissez pas encore la gravité de la faille de la sécurité, mais il est grand temps d’activer votre plan de communication de crise. Sauf que vous ne disposez pas de plan. Ou bien, vous ne avez un, mais il ne couvre pas les crises relatives à la cyber-sécurité. Dans les deux cas, vous êtes seul. Les experts en matière de sécurité déclarent que même les organisations les mieux préparées aux attaques sont souvent très mal préparées lorsqu’il s’agit de communiquer avec les parties prenantes en interne et en externe pendant et après les cyber attaques. Ils sont alors obligés d’intervenir dans l’urgence pour reprendre le contrôle lors d’une crise. La principale raison est qu’ils ne travaillent pas suffisamment avant la faille de la sécurité. “La plus grosse erreur que j’ai vu de la part des entreprises est qu’elles ne disposent pas de plan de communication de crise en place,” déclare Vitor De Souza, vice-président des communica- tions globales pour FireEye Inc., une entreprise leader en matière de cyber-sécurité mondiale. L’observation de De Souza est reprise dans une enquête de février 2016 menée par MIT Tech- nology Review Custom en partenariat avec les services de sécurité FireEye et Hewlett Packard Enterprise (HPE). 44 % des 225 responsables métier et informatiques interrogés déclarent que leurs organisations ne disposent pas de plan de communication de crise en place en matière de cyber-sécurité ; et 15 % ne savent pas s’ils dispo- sent de tels plans. Une erreur similaire : se fier à un plan de com- munication de crise qui cible d’autres types d’urgences (incendies, coupures d’électricité, catastrophes naturelles). Ce genre de plan ne tient pas compte du mode de communication relatif aux problèmes concernant les informations et les failles de la sécurité, telles que l’accès de cyber-criminels à des données personnelles ou à la propriété intellectuelle. Les cyber attaques sont plus difficiles à gérer que les incendies et beaucoup plus compliquées à expliquer au public. “En cas d’incendie dans un immeuble, il existe une ou deux issues, mais en matière de cyberespace, il existe de nombreux scénarios. Vous devez savoir à quoi vous allez faire face.” Précise De Souza. Communication de crise après une attaque S’il existe un domaine sur lequel les organisations buttent lorsqu’elles sont confrontées à des failles de la sécurité, c’est la communication avec les parties prenantes. Ce travail commence bien avant que les cybercriminels rappliquent. 44%Pourcentage de responsables métier/ informatiques interrogés qui pensent que leurs organisations manquent de plans de communication de crise en matière de cyber-sécurité 15%Pourcentage de responsables métier/ informatiques interrogés qui ne sont pas convaincus du fait que leurs organisations disposent de plans de communication de crise en matière de cyber-sécurité Source: Cybersecurity Challenges, Risks, Trends and Impacts Survey, MIT Technology Review Custom en partenariat avec les services de sécurité Hewlett Packard Enterprise et FireEye Inc., 2016 1 Le défi de la cyber-sécuritéMIT Technology Review Custom par MIT Technology Review Custom en partenariat avec les services de sécurité Hewlett Packard Enterprise et FireEye Inc.
“En tant qu’individus dans un immeuble, lorsque nous sentons une odeur de fumée ou lorsque nous voyons des flammes, nous nous sentons habilité à actionner l’alarme.” Déclare Andrzej Kawalec, directeur technologique des services de sécurité HPE. Une alarme incendie active des plans d’inter- vention d’urgence et de communication de crise d’une manière assez simple, mais, selon Kawalec, ce n’est pas le cas avec des incidents relatifs à la cyber-sécurité, pour deux raisons. Tout d’abord, les failles de la sécurité sont souvent signalées d’abord par des étrangers, prenant les organisations par surprise. En 2015, 53 % des inci- dents pris en charge par Mandiant, une société de FireEye, ont été d’abord signalés aux entreprises par des sources externes : clients, partenaires, fonctionnaires de police, journalistes ou les pirates eux-mêmes. “Elles se trouvent immédiatement dans une situation très réactive, avec un degré d’incertitude élevé.” Remarque Kawalec. Ensuite, les failles de la sécurité surviennent sou- vent sur une longue période de temps. Le nombre moyen de jours que des pirates informatiques ont passé dans des réseaux avant d’être détectés en 2015 était de 146 jours, selon le rapport Mandi- ant M-Trends 2016. “Si l’attaque est détectée le cinquième jour, les dégâts sont déjà très impor- tants.” Annonce Kawalec. Mais parfois, les failles de la sécurité sont détectées après des mois, ou même des années. Plus le retard de détection est élevé, plus la crise est difficile à gérer, et plus l’explication est compliquée à donner aux publics touchés. Les questions posées à la suite d’une faille de la sécurité, notamment pourquoi a-t-il fallu tout ce temps pour découvrir la faille et pourquoi cela s’est-il produit, sont potentiel- lement beaucoup plus dommageables pour la réputation d’une entreprise que celles générale- ment posées après un incendie ou une autre catastrophe naturelle. Même dans ce cas, selon Kawalec et d’autres experts, il est très important d’informer les parties prenantes à la suite d’une faille de la sécurité. “Le pire sont les rumeurs et les conjectures.” Déclare Kawalec. “Créez un cadre pour répondre aux questions de façon honnête et avec intégrité. Soyez transparent en ce qui concerne ce que vous savez et ce que vous ne savez pas.” Communiquer continuellement et de haut en bas Chris Leach, chef technologue pour les services de sécurité HPE et ancien responsable de la sécurité des systèmes d’information (CISO) pour une plus grande entreprise, est d’accord. Il recommande de “communiquer en amont et en aval et communiquer continuellement.” “Intégrez ce que vous savez pour inspirer la confiance du fait que vous, en tant qu’entreprise, prenez en charge le problème et protégez les données.” Le cas échéant, agissez : “Par exemple, dites : “nous allons résoudre cela en” et remplissez le vide.” Promettez des mises à jour lorsqu’il y a d’avantage d’informations à partager. Cependant, Leach recommande de partager les informations selon le principe du “besoin d’en connaître” : “Nous ne communiquons pas généralement toutes les informations d’une faille de la sécurité à tous les employés.” Dit-il. “Nous ne partageons que ce qui est nécessaire pour être sûr qu’ils sont confiants du fait que nous prenons les choses en main. Ce sont les informations qu’ils peuvent et doivent partager avec leurs clients.” Dans le même temps, il est important de pren- dre en compte les inquiétudes des employés concernant la sécurité de leurs propres données personnelles, déclare Kawalec. En règle générale, les employeurs détiennent des données sensibles sur les employés : salaire, adresse, expérience professionnelle, rendement au travail et autres données personnelles. Pour cette raison, selon Kawalec, “vos employés doivent avoir le sentiment “Une faille de la sécurité n’est pas un problème informatique. C’est un problème économique. L’équipe de direction doit être interactive. Préparez-les. Une fois cela fait, vous disposez d’un partenaire, un allié, pour prendre en charge le défi.” — Vitor De Souza, Vice Président des communications globales, FireEye Inc. 53%Pourcentage de failles de la sécurité découvertes provenant de sources externes, telles que notamment services de police, médias, clients, fournisseurs ou même les pirates eux-mêmes Source: M-Trends 2016 Report, Mandiant, une société FireEye 2 Le défi de la cyber-sécuritéMIT Technology Review Custom
que vous communiquez avec eux et de compren- dre de quoi il en retourne.” Les trois experts insistent sur l’importance d’im- pliquer les hauts dirigeants de l’entreprise dans le plan de communication de crise et non seulement pendant une cyber attaque, mais également bien avant. “Une faille de la sécurité n’est pas un problème informatique.” Déclare De Souza. “C’est un problème économique. L’équipe de direction doit être interactive. Préparez-les. Une fois cela fait, vous disposez d’un partenaire, un allié, pour prendre en charge le défi.” En outre, les entreprises intelligentes embras- sant le parcours de la transformation numérique considèrent le plan de communication de crise en matière de cyber-criminalité comme un travail en cours, et le mettent à jour pour refléter l’évolution sans fin des nouvelles menaces. Voici un exem- ple de menace émergeante : un “ransomware” (ou rançongiciel) pour lequel un pirate restreint l’accès à un système informatique jusqu’à ce qu’une entreprise verse une somme rondelette à la suite d’un chantage. Lors d’un incident notable, en février 2016, une attaque ransomware a bloqué l’accès des employés aux systèmes informatiques du Hollywood Presbyterian Medical Center de Los Angeles. Les cyber-pirates ont demandé à l’hôpital de verser l’équivalent de 17 000 $ via le système de monnaie virtuelle Bitcoin pour obtenir la clé de déchiffrement afin de déverrouiller les systèmes. “Dans le but de restaurer le bon fonctionnement des opérations, c’est ce que nous avons fait.” Ecrit le président et PDG de l’hôpital, Allen Stefanek dans une lettre posté sur le site Web de l’hôpital. La lettre de Stefanek faisait remarquer que la cyber attaque de Hollywood Presbyterian n’avait pas compromis les soins aux patients et que, en ce qui concerne l’hôpital, les pirates n’avaient jamais eu accès aux informations des employés ni des patients. Mais le concept de la rançon perturbe les équipes dirigeantes dans d’autres organisations du monde entier. “Que se passe-t-il si vos systèmes tombent en panne car quelqu’un vous demande de payer 1,5 millions de $ ?” Demande De Souza. “Etes-vous prêt à faire face à cela ?” De même : Qu’en direz-vous, et votre plan de communication de crise prend-t-il en compte ce scénario ? Construire des bases solides Bien entendu, les plans de communication de crise varient largement d’une entreprise à l’autre. Néanmoins, les experts proposent quelques recommandations visant à établir un cadre de communication de crise efficace : • Créer une équipe de communication poly- valente. “Nous avions une personne des RH. Nous avions des personnes des services des communications et juridique et quelqu’un de l’équipe informatique,” explique Leach pour décrire l’équipe de communication de crise en matière de cyber-sécurité dans son ancienne entreprise. En fonction du type de faille de la sécurité, l’équipe centrale faisait parfois venir d’autres spécialistes en interne. “Ainsi, l’équipe pouvait inclure un spécialiste du stockage ou un spécialiste d’un secteur d’activité d’une autre région dans le monde.” Explique-t-il. • Etablir une structure de direction claire. “Lorsque les choses arrivent, elles arrivent vite.” Déclare De Souza. “Le réseau de communication doit être bien défini, avec un propriétaire à l’aise avec ses responsabilités.” • Parler d’une seule voix. Ceci ne signifie pas nécessairement utiliser un seul porte-parole. Mais plutôt garantir que toutes les personnes habilitées à parler avec les parties prenantes partagent le même discours. “Dans le cadre de toutes nos communications, il n’y avait que deux ou trois personnes autorisées à parler au “Le pire sont les rumeurs et les conjectures. Créez un cadre pour répondre aux questions de façon honnête et avec intégrité. Soyez transparent en ce qui concerne ce que vous savez et ce que vous ne savez pas.” — Andrzej Kawalec, directeur technologique des services de sécurité Hewlett Packard Enterprise 3 Le défi de la cyber-sécuritéMIT Technology Review Custom
nom de la société.” Rappelle Leach. Il recom- mande de former correctement ces porte- paroles au niveau des médias, et encore une fois, bien avant qu’elles aient besoin d’utiliser ces compétences. • Disposer de plate-formes de communication prêtes à l’emploi. “Les gens ne sont pas habitué à gérer une crise à la vitesse de Twitter.” Dit Kawalec. Si la faille devient pub- lique, mettez un site Web dédié en ligne le plus vite possible. Configurez des canaux bilatéraux de sorte que les parties prenantes (employés, clients, partenaires, médias et autres) puissent contacter la société pour obtenir des informa- tions ou poser des questions. • Pratiquer, pratiquer, pratiquer. De Souza recommande d’exécuter des “exercices sur table”, répétés régulièrement et impliquant des stratégies de communication pour répondre aux différents types de cyber attaques. A quelle fréquence ? Souza explique que dans les exemples les plus probants qu’il a vu, les organisations lançaient des exercices tous les trimestres, incluant l’équipe de direction et l’équipe de communication de crise. Selon lui, “vous devez vous assurer que le plan de communication est opérationnel et que vous pouvez réellement l’utiliser.” Rechercher une expertise en externe Bien entendu, de nombreuses entreprises manquent de ressources internes nécessaires pour créer, exécuter et mettre à jour continuel- lement des plans de communication de crise, en particulier compte tenu de la grande diversité de scénarios des cyber attaques potentielles. Dans ces cas, il est utile de se tourner vers des partenaires externes avec une forte expérience dans la mise en œuvre de projets et de meilleures pratiques de communication de crise. Un exemple : Les services de sécurité HPE et FireEye, ayant fourni une réponse aux incidents, une évaluation des compromis et des offres de détection des menaces à des milliers de clients dans le monde et offrant également de nombreux conseils éprouvés sur la planification de la communication de crise. “Il est clair qu’il est impossible de contrôler le cycle de communication sans avoir travailler à l’avance.” Remarque Kawalec. “Par conséquent, avec le temps, il est possible de développer avec vous, ou pour vous, un plan de réponse à la crise très bien pensé avec différents projets et scénar- ios. Nous l’utilisons comme manuel de formation que vos équipes peuvent utiliser pour fonctionner en temps réel.” De cette façon, lorsque l’inévitable survient, les organisations sont bien préparées pour faire face, déclare Kawalec. “Dans le feu de l’action, vous savez quoi dire et comment le dire. Vous savez comment articuler différents messages devant différents publics. Vous pouvez prendre le con- trôle de la situation et communiquer à son sujet.” Pour en savoir plus sur la transformation numérique et la cyber-sécurité, explorez ce site Web de ressources HPE-FireEye. Pendant une cyber crise, parlez d’une seule voix. Ceci ne signifie pas nécessairement utiliser un seul porte-parole. Mais plutôt garantir que toutes les personnes habilitées à parler avec les actionnaires partagent le même discours. 4 Le défi de la cyber-sécuritéMIT Technology Review Custom
A propos de MIT Technology Review Custom Avec plus de 115 années d’expérience dans le journalisme spécialisé en technologie, MIT Technology Review Custom relève de l’entreprise multimédia mondiale MIT Technology Review qui crée et distribue du contenu personnalisé. Nos solutions clé en main englobent l’expertise en matière d’écriture, d’édition et de conception, ainsi que de multiples options pour le soutien promotionnel. En étroite collaboration avec les clients, notre personnel expérimenté dans la rédaction personnalisée développe un contenu très varié, pertinent et de haute qualité, qui est ensuite livré aux clients quand et où ils en ont besoin : au format numérique, imprimé, en ligne ou en personne. Tout ce que nous faisons est personnalisé pour répondre aux objectifs marketing des clients et les positionner comme des leaders d’opinion en adéquation avec l’autorité compétence pour cette technologie. www.technologyreview.com/media Copyright © 2016, MIT Technology Review. Tous droits réservés. 5 Le défi de la cyber-sécuritéMIT Technology Review Custom

Recommandé

Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Hewlett Packard Enterprise Business Value Exchange
 
Engaging the Travel Consumer
Engaging the Travel ConsumerEngaging the Travel Consumer
Engaging the Travel Consumer
Hewlett Packard Enterprise Business Value Exchange
 
Communication de crise
Communication de criseCommunication de crise
Communication de crise
Nadia Kabbaj
 
Time for co-operation
Time for co-operationTime for co-operation
Time for co-operation
Hewlett Packard Enterprise Business Value Exchange
 
Communication de crise: Fortis
Communication de crise: FortisCommunication de crise: Fortis
Communication de crise: Fortis
anthonyd1
 
Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...
Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...
Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...
Corinne Weisgerber
 
Les 10 tendances de la communication interne et RH
Les 10 tendances de la communication interne et RH Les 10 tendances de la communication interne et RH
Les 10 tendances de la communication interne et RH
quel progrès ! - NETCO GROUP
 
Rapport harris baromètre de la com corporate uda.em - 2016 -
Rapport harris baromètre de la com corporate uda.em - 2016 -Rapport harris baromètre de la com corporate uda.em - 2016 -
Rapport harris baromètre de la com corporate uda.em - 2016 -
union_des_annonceurs
 

Recommandé

Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Hewlett Packard Enterprise Business Value Exchange
 
Engaging the Travel Consumer
Engaging the Travel ConsumerEngaging the Travel Consumer
Engaging the Travel Consumer
Hewlett Packard Enterprise Business Value Exchange
 
Communication de crise
Communication de criseCommunication de crise
Communication de crise
Nadia Kabbaj
 
Time for co-operation
Time for co-operationTime for co-operation
Time for co-operation
Hewlett Packard Enterprise Business Value Exchange
 
Communication de crise: Fortis
Communication de crise: FortisCommunication de crise: Fortis
Communication de crise: Fortis
anthonyd1
 
Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...
Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...
Social Media as a Crisis Communication Tool during the Icelandic Volcano Erup...
Corinne Weisgerber
 
Les 10 tendances de la communication interne et RH
Les 10 tendances de la communication interne et RH Les 10 tendances de la communication interne et RH
Les 10 tendances de la communication interne et RH
quel progrès ! - NETCO GROUP
 
Rapport harris baromètre de la com corporate uda.em - 2016 -
Rapport harris baromètre de la com corporate uda.em - 2016 -Rapport harris baromètre de la com corporate uda.em - 2016 -
Rapport harris baromètre de la com corporate uda.em - 2016 -
union_des_annonceurs
 
To Accelerate IT Innovation, Think like a Rocket Scientist
To Accelerate IT Innovation, Think like a Rocket ScientistTo Accelerate IT Innovation, Think like a Rocket Scientist
To Accelerate IT Innovation, Think like a Rocket Scientist
Hewlett Packard Enterprise Business Value Exchange
 
Manufacturing Forum 2016
Manufacturing Forum 2016Manufacturing Forum 2016
Manufacturing Forum 2016
Hewlett Packard Enterprise Business Value Exchange
 
Connecting the manufacturing industry
Connecting the manufacturing industryConnecting the manufacturing industry
Connecting the manufacturing industry
Hewlett Packard Enterprise Business Value Exchange
 
Getting to your hybrid future
Getting to your hybrid futureGetting to your hybrid future
Getting to your hybrid future
Hewlett Packard Enterprise Business Value Exchange
 
Technology rethink for next generation loyalty programmes
Technology rethink for next generation loyalty programmesTechnology rethink for next generation loyalty programmes
Technology rethink for next generation loyalty programmes
Hewlett Packard Enterprise Business Value Exchange
 
Hewlett Packard Enterprise Connected Manufacturing Brochure
Hewlett Packard Enterprise Connected Manufacturing Brochure Hewlett Packard Enterprise Connected Manufacturing Brochure
Hewlett Packard Enterprise Connected Manufacturing Brochure
Hewlett Packard Enterprise Business Value Exchange
 
FSI Key Propositions
FSI Key PropositionsFSI Key Propositions
FSI Key Propositions
Hewlett Packard Enterprise Business Value Exchange
 
The Path to Self-Disruption
The Path to Self-DisruptionThe Path to Self-Disruption
The Path to Self-Disruption
Hewlett Packard Enterprise Business Value Exchange
 
Happy Employees Lead to Happy Customers
Happy Employees Lead to Happy CustomersHappy Employees Lead to Happy Customers
Happy Employees Lead to Happy Customers
Hewlett Packard Enterprise Business Value Exchange
 
How to Deliver Value "Beyond the Pill"
How to Deliver Value "Beyond the Pill"How to Deliver Value "Beyond the Pill"
How to Deliver Value "Beyond the Pill"
Hewlett Packard Enterprise Business Value Exchange
 
The Path to Self-Disruption
The Path to Self-DisruptionThe Path to Self-Disruption
The Path to Self-Disruption
Hewlett Packard Enterprise Business Value Exchange
 
HPE Security Report 2016
HPE Security Report 2016HPE Security Report 2016
HPE Security Report 2016
Hewlett Packard Enterprise Business Value Exchange
 
Realising Potential - The Dandelion Program
Realising Potential - The Dandelion ProgramRealising Potential - The Dandelion Program
Realising Potential - The Dandelion Program
Hewlett Packard Enterprise Business Value Exchange
 
FinTech Innovation Model 2015
FinTech Innovation Model 2015FinTech Innovation Model 2015
FinTech Innovation Model 2015
Hewlett Packard Enterprise Business Value Exchange
 
Get Prepared
Get PreparedGet Prepared
Get Prepared
Hewlett Packard Enterprise Business Value Exchange
 
Awareness is only the first step
Awareness is only the first stepAwareness is only the first step
Awareness is only the first step
Hewlett Packard Enterprise Business Value Exchange
 
Time for co-operation
Time for co-operationTime for co-operation
Time for co-operation
Hewlett Packard Enterprise Business Value Exchange
 
Personalize the Travel Experience - and Gain Insights
Personalize the Travel Experience - and Gain Insights Personalize the Travel Experience - and Gain Insights
Personalize the Travel Experience - and Gain Insights
Hewlett Packard Enterprise Business Value Exchange
 
Plan for the Worst; Fight for the Best
Plan for the Worst; Fight for the BestPlan for the Worst; Fight for the Best
Plan for the Worst; Fight for the Best
Hewlett Packard Enterprise Business Value Exchange
 
BVEx Research: Open Data Unlocked
BVEx Research: Open Data UnlockedBVEx Research: Open Data Unlocked
BVEx Research: Open Data Unlocked
Hewlett Packard Enterprise Business Value Exchange
 

Contenu connexe

Plus de Hewlett Packard Enterprise Business Value Exchange

Plus de Hewlett Packard Enterprise Business Value Exchange (20)

To Accelerate IT Innovation, Think like a Rocket Scientist
To Accelerate IT Innovation, Think like a Rocket ScientistTo Accelerate IT Innovation, Think like a Rocket Scientist
To Accelerate IT Innovation, Think like a Rocket Scientist
 
Manufacturing Forum 2016
Manufacturing Forum 2016Manufacturing Forum 2016
Manufacturing Forum 2016
 
Connecting the manufacturing industry
Connecting the manufacturing industryConnecting the manufacturing industry
Connecting the manufacturing industry
 
Getting to your hybrid future
Getting to your hybrid futureGetting to your hybrid future
Getting to your hybrid future
 
Technology rethink for next generation loyalty programmes
Technology rethink for next generation loyalty programmesTechnology rethink for next generation loyalty programmes
Technology rethink for next generation loyalty programmes
 
Hewlett Packard Enterprise Connected Manufacturing Brochure
Hewlett Packard Enterprise Connected Manufacturing Brochure Hewlett Packard Enterprise Connected Manufacturing Brochure
Hewlett Packard Enterprise Connected Manufacturing Brochure
 
FSI Key Propositions
FSI Key PropositionsFSI Key Propositions
FSI Key Propositions
 
The Path to Self-Disruption
The Path to Self-DisruptionThe Path to Self-Disruption
The Path to Self-Disruption
 
Happy Employees Lead to Happy Customers
Happy Employees Lead to Happy CustomersHappy Employees Lead to Happy Customers
Happy Employees Lead to Happy Customers
 
How to Deliver Value "Beyond the Pill"
How to Deliver Value "Beyond the Pill"How to Deliver Value "Beyond the Pill"
How to Deliver Value "Beyond the Pill"
 
The Path to Self-Disruption
The Path to Self-DisruptionThe Path to Self-Disruption
The Path to Self-Disruption
 
HPE Security Report 2016
HPE Security Report 2016HPE Security Report 2016
HPE Security Report 2016
 
Realising Potential - The Dandelion Program
Realising Potential - The Dandelion ProgramRealising Potential - The Dandelion Program
Realising Potential - The Dandelion Program
 
FinTech Innovation Model 2015
FinTech Innovation Model 2015FinTech Innovation Model 2015
FinTech Innovation Model 2015
 
Get Prepared
Get PreparedGet Prepared
Get Prepared
 
Awareness is only the first step
Awareness is only the first stepAwareness is only the first step
Awareness is only the first step
 
Time for co-operation
Time for co-operationTime for co-operation
Time for co-operation
 
Personalize the Travel Experience - and Gain Insights
Personalize the Travel Experience - and Gain Insights Personalize the Travel Experience - and Gain Insights
Personalize the Travel Experience - and Gain Insights
 
Plan for the Worst; Fight for the Best
Plan for the Worst; Fight for the BestPlan for the Worst; Fight for the Best
Plan for the Worst; Fight for the Best
 
BVEx Research: Open Data Unlocked
BVEx Research: Open Data UnlockedBVEx Research: Open Data Unlocked
BVEx Research: Open Data Unlocked
 

Communication de crise après une attaque

  • 1. Voici un scénario extrêmement fréquent : Vous êtes un responsable métier ou informatique et vous apprenez (probablement de sources extérieures à votre entreprise) que des cyber-pi- rates ont compromis les systèmes de votre organ- isation. Vous ne connaissez pas encore la gravité de la faille de la sécurité, mais il est grand temps d’activer votre plan de communication de crise. Sauf que vous ne disposez pas de plan. Ou bien, vous ne avez un, mais il ne couvre pas les crises relatives à la cyber-sécurité. Dans les deux cas, vous êtes seul. Les experts en matière de sécurité déclarent que même les organisations les mieux préparées aux attaques sont souvent très mal préparées lorsqu’il s’agit de communiquer avec les parties prenantes en interne et en externe pendant et après les cyber attaques. Ils sont alors obligés d’intervenir dans l’urgence pour reprendre le contrôle lors d’une crise. La principale raison est qu’ils ne travaillent pas suffisamment avant la faille de la sécurité. “La plus grosse erreur que j’ai vu de la part des entreprises est qu’elles ne disposent pas de plan de communication de crise en place,” déclare Vitor De Souza, vice-président des communica- tions globales pour FireEye Inc., une entreprise leader en matière de cyber-sécurité mondiale. L’observation de De Souza est reprise dans une enquête de février 2016 menée par MIT Tech- nology Review Custom en partenariat avec les services de sécurité FireEye et Hewlett Packard Enterprise (HPE). 44 % des 225 responsables métier et informatiques interrogés déclarent que leurs organisations ne disposent pas de plan de communication de crise en place en matière de cyber-sécurité ; et 15 % ne savent pas s’ils dispo- sent de tels plans. Une erreur similaire : se fier à un plan de com- munication de crise qui cible d’autres types d’urgences (incendies, coupures d’électricité, catastrophes naturelles). Ce genre de plan ne tient pas compte du mode de communication relatif aux problèmes concernant les informations et les failles de la sécurité, telles que l’accès de cyber-criminels à des données personnelles ou à la propriété intellectuelle. Les cyber attaques sont plus difficiles à gérer que les incendies et beaucoup plus compliquées à expliquer au public. “En cas d’incendie dans un immeuble, il existe une ou deux issues, mais en matière de cyberespace, il existe de nombreux scénarios. Vous devez savoir à quoi vous allez faire face.” Précise De Souza. Communication de crise après une attaque S’il existe un domaine sur lequel les organisations buttent lorsqu’elles sont confrontées à des failles de la sécurité, c’est la communication avec les parties prenantes. Ce travail commence bien avant que les cybercriminels rappliquent. 44%Pourcentage de responsables métier/ informatiques interrogés qui pensent que leurs organisations manquent de plans de communication de crise en matière de cyber-sécurité 15%Pourcentage de responsables métier/ informatiques interrogés qui ne sont pas convaincus du fait que leurs organisations disposent de plans de communication de crise en matière de cyber-sécurité Source: Cybersecurity Challenges, Risks, Trends and Impacts Survey, MIT Technology Review Custom en partenariat avec les services de sécurité Hewlett Packard Enterprise et FireEye Inc., 2016 1 Le défi de la cyber-sécuritéMIT Technology Review Custom par MIT Technology Review Custom en partenariat avec les services de sécurité Hewlett Packard Enterprise et FireEye Inc.
  • 2. “En tant qu’individus dans un immeuble, lorsque nous sentons une odeur de fumée ou lorsque nous voyons des flammes, nous nous sentons habilité à actionner l’alarme.” Déclare Andrzej Kawalec, directeur technologique des services de sécurité HPE. Une alarme incendie active des plans d’inter- vention d’urgence et de communication de crise d’une manière assez simple, mais, selon Kawalec, ce n’est pas le cas avec des incidents relatifs à la cyber-sécurité, pour deux raisons. Tout d’abord, les failles de la sécurité sont souvent signalées d’abord par des étrangers, prenant les organisations par surprise. En 2015, 53 % des inci- dents pris en charge par Mandiant, une société de FireEye, ont été d’abord signalés aux entreprises par des sources externes : clients, partenaires, fonctionnaires de police, journalistes ou les pirates eux-mêmes. “Elles se trouvent immédiatement dans une situation très réactive, avec un degré d’incertitude élevé.” Remarque Kawalec. Ensuite, les failles de la sécurité surviennent sou- vent sur une longue période de temps. Le nombre moyen de jours que des pirates informatiques ont passé dans des réseaux avant d’être détectés en 2015 était de 146 jours, selon le rapport Mandi- ant M-Trends 2016. “Si l’attaque est détectée le cinquième jour, les dégâts sont déjà très impor- tants.” Annonce Kawalec. Mais parfois, les failles de la sécurité sont détectées après des mois, ou même des années. Plus le retard de détection est élevé, plus la crise est difficile à gérer, et plus l’explication est compliquée à donner aux publics touchés. Les questions posées à la suite d’une faille de la sécurité, notamment pourquoi a-t-il fallu tout ce temps pour découvrir la faille et pourquoi cela s’est-il produit, sont potentiel- lement beaucoup plus dommageables pour la réputation d’une entreprise que celles générale- ment posées après un incendie ou une autre catastrophe naturelle. Même dans ce cas, selon Kawalec et d’autres experts, il est très important d’informer les parties prenantes à la suite d’une faille de la sécurité. “Le pire sont les rumeurs et les conjectures.” Déclare Kawalec. “Créez un cadre pour répondre aux questions de façon honnête et avec intégrité. Soyez transparent en ce qui concerne ce que vous savez et ce que vous ne savez pas.” Communiquer continuellement et de haut en bas Chris Leach, chef technologue pour les services de sécurité HPE et ancien responsable de la sécurité des systèmes d’information (CISO) pour une plus grande entreprise, est d’accord. Il recommande de “communiquer en amont et en aval et communiquer continuellement.” “Intégrez ce que vous savez pour inspirer la confiance du fait que vous, en tant qu’entreprise, prenez en charge le problème et protégez les données.” Le cas échéant, agissez : “Par exemple, dites : “nous allons résoudre cela en” et remplissez le vide.” Promettez des mises à jour lorsqu’il y a d’avantage d’informations à partager. Cependant, Leach recommande de partager les informations selon le principe du “besoin d’en connaître” : “Nous ne communiquons pas généralement toutes les informations d’une faille de la sécurité à tous les employés.” Dit-il. “Nous ne partageons que ce qui est nécessaire pour être sûr qu’ils sont confiants du fait que nous prenons les choses en main. Ce sont les informations qu’ils peuvent et doivent partager avec leurs clients.” Dans le même temps, il est important de pren- dre en compte les inquiétudes des employés concernant la sécurité de leurs propres données personnelles, déclare Kawalec. En règle générale, les employeurs détiennent des données sensibles sur les employés : salaire, adresse, expérience professionnelle, rendement au travail et autres données personnelles. Pour cette raison, selon Kawalec, “vos employés doivent avoir le sentiment “Une faille de la sécurité n’est pas un problème informatique. C’est un problème économique. L’équipe de direction doit être interactive. Préparez-les. Une fois cela fait, vous disposez d’un partenaire, un allié, pour prendre en charge le défi.” — Vitor De Souza, Vice Président des communications globales, FireEye Inc. 53%Pourcentage de failles de la sécurité découvertes provenant de sources externes, telles que notamment services de police, médias, clients, fournisseurs ou même les pirates eux-mêmes Source: M-Trends 2016 Report, Mandiant, une société FireEye 2 Le défi de la cyber-sécuritéMIT Technology Review Custom
  • 3. que vous communiquez avec eux et de compren- dre de quoi il en retourne.” Les trois experts insistent sur l’importance d’im- pliquer les hauts dirigeants de l’entreprise dans le plan de communication de crise et non seulement pendant une cyber attaque, mais également bien avant. “Une faille de la sécurité n’est pas un problème informatique.” Déclare De Souza. “C’est un problème économique. L’équipe de direction doit être interactive. Préparez-les. Une fois cela fait, vous disposez d’un partenaire, un allié, pour prendre en charge le défi.” En outre, les entreprises intelligentes embras- sant le parcours de la transformation numérique considèrent le plan de communication de crise en matière de cyber-criminalité comme un travail en cours, et le mettent à jour pour refléter l’évolution sans fin des nouvelles menaces. Voici un exem- ple de menace émergeante : un “ransomware” (ou rançongiciel) pour lequel un pirate restreint l’accès à un système informatique jusqu’à ce qu’une entreprise verse une somme rondelette à la suite d’un chantage. Lors d’un incident notable, en février 2016, une attaque ransomware a bloqué l’accès des employés aux systèmes informatiques du Hollywood Presbyterian Medical Center de Los Angeles. Les cyber-pirates ont demandé à l’hôpital de verser l’équivalent de 17 000 $ via le système de monnaie virtuelle Bitcoin pour obtenir la clé de déchiffrement afin de déverrouiller les systèmes. “Dans le but de restaurer le bon fonctionnement des opérations, c’est ce que nous avons fait.” Ecrit le président et PDG de l’hôpital, Allen Stefanek dans une lettre posté sur le site Web de l’hôpital. La lettre de Stefanek faisait remarquer que la cyber attaque de Hollywood Presbyterian n’avait pas compromis les soins aux patients et que, en ce qui concerne l’hôpital, les pirates n’avaient jamais eu accès aux informations des employés ni des patients. Mais le concept de la rançon perturbe les équipes dirigeantes dans d’autres organisations du monde entier. “Que se passe-t-il si vos systèmes tombent en panne car quelqu’un vous demande de payer 1,5 millions de $ ?” Demande De Souza. “Etes-vous prêt à faire face à cela ?” De même : Qu’en direz-vous, et votre plan de communication de crise prend-t-il en compte ce scénario ? Construire des bases solides Bien entendu, les plans de communication de crise varient largement d’une entreprise à l’autre. Néanmoins, les experts proposent quelques recommandations visant à établir un cadre de communication de crise efficace : • Créer une équipe de communication poly- valente. “Nous avions une personne des RH. Nous avions des personnes des services des communications et juridique et quelqu’un de l’équipe informatique,” explique Leach pour décrire l’équipe de communication de crise en matière de cyber-sécurité dans son ancienne entreprise. En fonction du type de faille de la sécurité, l’équipe centrale faisait parfois venir d’autres spécialistes en interne. “Ainsi, l’équipe pouvait inclure un spécialiste du stockage ou un spécialiste d’un secteur d’activité d’une autre région dans le monde.” Explique-t-il. • Etablir une structure de direction claire. “Lorsque les choses arrivent, elles arrivent vite.” Déclare De Souza. “Le réseau de communication doit être bien défini, avec un propriétaire à l’aise avec ses responsabilités.” • Parler d’une seule voix. Ceci ne signifie pas nécessairement utiliser un seul porte-parole. Mais plutôt garantir que toutes les personnes habilitées à parler avec les parties prenantes partagent le même discours. “Dans le cadre de toutes nos communications, il n’y avait que deux ou trois personnes autorisées à parler au “Le pire sont les rumeurs et les conjectures. Créez un cadre pour répondre aux questions de façon honnête et avec intégrité. Soyez transparent en ce qui concerne ce que vous savez et ce que vous ne savez pas.” — Andrzej Kawalec, directeur technologique des services de sécurité Hewlett Packard Enterprise 3 Le défi de la cyber-sécuritéMIT Technology Review Custom
  • 4. nom de la société.” Rappelle Leach. Il recom- mande de former correctement ces porte- paroles au niveau des médias, et encore une fois, bien avant qu’elles aient besoin d’utiliser ces compétences. • Disposer de plate-formes de communication prêtes à l’emploi. “Les gens ne sont pas habitué à gérer une crise à la vitesse de Twitter.” Dit Kawalec. Si la faille devient pub- lique, mettez un site Web dédié en ligne le plus vite possible. Configurez des canaux bilatéraux de sorte que les parties prenantes (employés, clients, partenaires, médias et autres) puissent contacter la société pour obtenir des informa- tions ou poser des questions. • Pratiquer, pratiquer, pratiquer. De Souza recommande d’exécuter des “exercices sur table”, répétés régulièrement et impliquant des stratégies de communication pour répondre aux différents types de cyber attaques. A quelle fréquence ? Souza explique que dans les exemples les plus probants qu’il a vu, les organisations lançaient des exercices tous les trimestres, incluant l’équipe de direction et l’équipe de communication de crise. Selon lui, “vous devez vous assurer que le plan de communication est opérationnel et que vous pouvez réellement l’utiliser.” Rechercher une expertise en externe Bien entendu, de nombreuses entreprises manquent de ressources internes nécessaires pour créer, exécuter et mettre à jour continuel- lement des plans de communication de crise, en particulier compte tenu de la grande diversité de scénarios des cyber attaques potentielles. Dans ces cas, il est utile de se tourner vers des partenaires externes avec une forte expérience dans la mise en œuvre de projets et de meilleures pratiques de communication de crise. Un exemple : Les services de sécurité HPE et FireEye, ayant fourni une réponse aux incidents, une évaluation des compromis et des offres de détection des menaces à des milliers de clients dans le monde et offrant également de nombreux conseils éprouvés sur la planification de la communication de crise. “Il est clair qu’il est impossible de contrôler le cycle de communication sans avoir travailler à l’avance.” Remarque Kawalec. “Par conséquent, avec le temps, il est possible de développer avec vous, ou pour vous, un plan de réponse à la crise très bien pensé avec différents projets et scénar- ios. Nous l’utilisons comme manuel de formation que vos équipes peuvent utiliser pour fonctionner en temps réel.” De cette façon, lorsque l’inévitable survient, les organisations sont bien préparées pour faire face, déclare Kawalec. “Dans le feu de l’action, vous savez quoi dire et comment le dire. Vous savez comment articuler différents messages devant différents publics. Vous pouvez prendre le con- trôle de la situation et communiquer à son sujet.” Pour en savoir plus sur la transformation numérique et la cyber-sécurité, explorez ce site Web de ressources HPE-FireEye. Pendant une cyber crise, parlez d’une seule voix. Ceci ne signifie pas nécessairement utiliser un seul porte-parole. Mais plutôt garantir que toutes les personnes habilitées à parler avec les actionnaires partagent le même discours. 4 Le défi de la cyber-sécuritéMIT Technology Review Custom
  • 5. A propos de MIT Technology Review Custom Avec plus de 115 années d’expérience dans le journalisme spécialisé en technologie, MIT Technology Review Custom relève de l’entreprise multimédia mondiale MIT Technology Review qui crée et distribue du contenu personnalisé. Nos solutions clé en main englobent l’expertise en matière d’écriture, d’édition et de conception, ainsi que de multiples options pour le soutien promotionnel. En étroite collaboration avec les clients, notre personnel expérimenté dans la rédaction personnalisée développe un contenu très varié, pertinent et de haute qualité, qui est ensuite livré aux clients quand et où ils en ont besoin : au format numérique, imprimé, en ligne ou en personne. Tout ce que nous faisons est personnalisé pour répondre aux objectifs marketing des clients et les positionner comme des leaders d’opinion en adéquation avec l’autorité compétence pour cette technologie. www.technologyreview.com/media Copyright © 2016, MIT Technology Review. Tous droits réservés. 5 Le défi de la cyber-sécuritéMIT Technology Review Custom