Lorsqu’une crise relative à la cyber-sécurité survient, plusieurs erreurs sont souvent commises. Parmi les plus fréquentes on retrouve la non préparation d’un plan de communication de crise ou la réalisation d’un plan non adapté aux crises en cas de faille de sécurité.
1. Voici un scénario extrêmement fréquent : Vous
êtes un responsable métier ou informatique
et vous apprenez (probablement de sources
extérieures à votre entreprise) que des cyber-pi-
rates ont compromis les systèmes de votre organ-
isation. Vous ne connaissez pas encore la gravité
de la faille de la sécurité, mais il est grand temps
d’activer votre plan de communication de crise.
Sauf que vous ne disposez pas de plan. Ou bien,
vous ne avez un, mais il ne couvre pas les crises
relatives à la cyber-sécurité.
Dans les deux cas, vous êtes seul. Les experts
en matière de sécurité déclarent que même les
organisations les mieux préparées aux attaques
sont souvent très mal préparées lorsqu’il s’agit
de communiquer avec les parties prenantes en
interne et en externe pendant et après les cyber
attaques. Ils sont alors obligés d’intervenir dans
l’urgence pour reprendre le contrôle lors d’une
crise. La principale raison est qu’ils ne travaillent
pas suffisamment avant la faille de la sécurité.
“La plus grosse erreur que j’ai vu de la part des
entreprises est qu’elles ne disposent pas de plan
de communication de crise en place,” déclare
Vitor De Souza, vice-président des communica-
tions globales pour FireEye Inc., une entreprise
leader en matière de cyber-sécurité mondiale.
L’observation de De Souza est reprise dans une
enquête de février 2016 menée par MIT Tech-
nology Review Custom en partenariat avec les
services de sécurité FireEye et Hewlett Packard
Enterprise (HPE). 44 % des 225 responsables
métier et informatiques interrogés déclarent que
leurs organisations ne disposent pas de plan de
communication de crise en place en matière de
cyber-sécurité ; et 15 % ne savent pas s’ils dispo-
sent de tels plans.
Une erreur similaire : se fier à un plan de com-
munication de crise qui cible d’autres types
d’urgences (incendies, coupures d’électricité,
catastrophes naturelles). Ce genre de plan ne
tient pas compte du mode de communication
relatif aux problèmes concernant les informations
et les failles de la sécurité, telles que l’accès de
cyber-criminels à des données personnelles ou à
la propriété intellectuelle.
Les cyber attaques sont plus difficiles à gérer
que les incendies et beaucoup plus compliquées
à expliquer au public. “En cas d’incendie dans un
immeuble, il existe une ou deux issues, mais en
matière de cyberespace, il existe de nombreux
scénarios. Vous devez savoir à quoi vous allez
faire face.” Précise De Souza.
Communication de crise
après une attaque
S’il existe un domaine sur lequel les organisations buttent
lorsqu’elles sont confrontées à des failles de la sécurité, c’est la
communication avec les parties prenantes. Ce travail commence
bien avant que les cybercriminels rappliquent.
44%Pourcentage de
responsables métier/
informatiques interrogés
qui pensent que leurs
organisations manquent
de plans de communication
de crise en matière de
cyber-sécurité
15%Pourcentage de
responsables métier/
informatiques interrogés
qui ne sont pas
convaincus du fait que
leurs organisations
disposent de plans de
communication de crise en
matière de cyber-sécurité
Source: Cybersecurity Challenges,
Risks, Trends and Impacts Survey,
MIT Technology Review Custom
en partenariat avec les services de
sécurité Hewlett Packard Enterprise
et FireEye Inc., 2016
1
Le défi de la cyber-sécuritéMIT Technology Review Custom
par MIT Technology
Review Custom en
partenariat avec les
services de sécurité
Hewlett Packard
Enterprise et FireEye Inc.
2. “En tant qu’individus dans un immeuble, lorsque
nous sentons une odeur de fumée ou lorsque nous
voyons des flammes, nous nous sentons habilité
à actionner l’alarme.” Déclare Andrzej Kawalec,
directeur technologique des services de sécurité
HPE. Une alarme incendie active des plans d’inter-
vention d’urgence et de communication de crise
d’une manière assez simple, mais, selon Kawalec,
ce n’est pas le cas avec des incidents relatifs à la
cyber-sécurité, pour deux raisons.
Tout d’abord, les failles de la sécurité sont souvent
signalées d’abord par des étrangers, prenant les
organisations par surprise. En 2015, 53 % des inci-
dents pris en charge par Mandiant, une société de
FireEye, ont été d’abord signalés aux entreprises
par des sources externes : clients, partenaires,
fonctionnaires de police, journalistes ou les pirates
eux-mêmes. “Elles se trouvent immédiatement
dans une situation très réactive, avec un degré
d’incertitude élevé.” Remarque Kawalec.
Ensuite, les failles de la sécurité surviennent sou-
vent sur une longue période de temps. Le nombre
moyen de jours que des pirates informatiques ont
passé dans des réseaux avant d’être détectés en
2015 était de 146 jours, selon le rapport Mandi-
ant M-Trends 2016. “Si l’attaque est détectée le
cinquième jour, les dégâts sont déjà très impor-
tants.” Annonce Kawalec. Mais parfois, les failles
de la sécurité sont détectées après des mois, ou
même des années. Plus le retard de détection
est élevé, plus la crise est difficile à gérer, et
plus l’explication est compliquée à donner aux
publics touchés. Les questions posées à la suite
d’une faille de la sécurité, notamment pourquoi
a-t-il fallu tout ce temps pour découvrir la faille
et pourquoi cela s’est-il produit, sont potentiel-
lement beaucoup plus dommageables pour la
réputation d’une entreprise que celles générale-
ment posées après un incendie ou une autre
catastrophe naturelle.
Même dans ce cas, selon Kawalec et d’autres
experts, il est très important d’informer les parties
prenantes à la suite d’une faille de la sécurité.
“Le pire sont les rumeurs et les conjectures.”
Déclare Kawalec. “Créez un cadre pour répondre
aux questions de façon honnête et avec intégrité.
Soyez transparent en ce qui concerne ce que vous
savez et ce que vous ne savez pas.”
Communiquer continuellement
et de haut en bas
Chris Leach, chef technologue pour les services
de sécurité HPE et ancien responsable de la
sécurité des systèmes d’information (CISO) pour
une plus grande entreprise, est d’accord.
Il recommande de “communiquer en amont et en
aval et communiquer continuellement.” “Intégrez
ce que vous savez pour inspirer la confiance du
fait que vous, en tant qu’entreprise, prenez en
charge le problème et protégez les données.”
Le cas échéant, agissez : “Par exemple, dites :
“nous allons résoudre cela en” et remplissez le
vide.” Promettez des mises à jour lorsqu’il y a
d’avantage d’informations à partager.
Cependant, Leach recommande de partager
les informations selon le principe du “besoin
d’en connaître” : “Nous ne communiquons pas
généralement toutes les informations d’une faille
de la sécurité à tous les employés.” Dit-il. “Nous
ne partageons que ce qui est nécessaire pour être
sûr qu’ils sont confiants du fait que nous prenons
les choses en main. Ce sont les informations qu’ils
peuvent et doivent partager avec leurs clients.”
Dans le même temps, il est important de pren-
dre en compte les inquiétudes des employés
concernant la sécurité de leurs propres données
personnelles, déclare Kawalec. En règle générale,
les employeurs détiennent des données sensibles
sur les employés : salaire, adresse, expérience
professionnelle, rendement au travail et autres
données personnelles. Pour cette raison, selon
Kawalec, “vos employés doivent avoir le sentiment
“Une faille de la sécurité n’est pas un
problème informatique. C’est un problème
économique. L’équipe de direction doit être
interactive. Préparez-les. Une fois cela fait,
vous disposez d’un partenaire, un allié, pour
prendre en charge le défi.”
— Vitor De Souza, Vice Président des communications globales, FireEye Inc.
53%Pourcentage de
failles de la sécurité
découvertes provenant de
sources externes, telles
que notamment services
de police, médias,
clients, fournisseurs ou
même les pirates eux-mêmes
Source: M-Trends 2016 Report,
Mandiant, une société FireEye
2
Le défi de la cyber-sécuritéMIT Technology Review Custom
3. que vous communiquez avec eux et de compren-
dre de quoi il en retourne.”
Les trois experts insistent sur l’importance d’im-
pliquer les hauts dirigeants de l’entreprise dans le
plan de communication de crise et non seulement
pendant une cyber attaque, mais également
bien avant. “Une faille de la sécurité n’est pas un
problème informatique.” Déclare De Souza. “C’est
un problème économique. L’équipe de direction
doit être interactive. Préparez-les. Une fois cela
fait, vous disposez d’un partenaire, un allié, pour
prendre en charge le défi.”
En outre, les entreprises intelligentes embras-
sant le parcours de la transformation numérique
considèrent le plan de communication de crise en
matière de cyber-criminalité comme un travail en
cours, et le mettent à jour pour refléter l’évolution
sans fin des nouvelles menaces. Voici un exem-
ple de menace émergeante : un “ransomware”
(ou rançongiciel) pour lequel un pirate restreint
l’accès à un système informatique jusqu’à ce
qu’une entreprise verse une somme rondelette à
la suite d’un chantage. Lors d’un incident notable,
en février 2016, une attaque ransomware a bloqué
l’accès des employés aux systèmes informatiques
du Hollywood Presbyterian Medical Center de
Los Angeles. Les cyber-pirates ont demandé à
l’hôpital de verser l’équivalent de 17 000 $ via le
système de monnaie virtuelle Bitcoin pour obtenir
la clé de déchiffrement afin de déverrouiller
les systèmes. “Dans le but de restaurer le bon
fonctionnement des opérations, c’est ce que nous
avons fait.” Ecrit le président et PDG de l’hôpital,
Allen Stefanek dans une lettre posté sur le site
Web de l’hôpital.
La lettre de Stefanek faisait remarquer que la
cyber attaque de Hollywood Presbyterian n’avait
pas compromis les soins aux patients et que, en
ce qui concerne l’hôpital, les pirates n’avaient
jamais eu accès aux informations des employés
ni des patients. Mais le concept de la rançon
perturbe les équipes dirigeantes dans d’autres
organisations du monde entier. “Que se passe-t-il
si vos systèmes tombent en panne car quelqu’un
vous demande de payer 1,5 millions de $ ?”
Demande De Souza. “Etes-vous prêt à faire face à
cela ?” De même : Qu’en direz-vous, et votre plan
de communication de crise prend-t-il en compte
ce scénario ?
Construire des bases solides
Bien entendu, les plans de communication de
crise varient largement d’une entreprise à l’autre.
Néanmoins, les experts proposent quelques
recommandations visant à établir un cadre de
communication de crise efficace :
• Créer une équipe de communication poly-
valente. “Nous avions une personne des RH.
Nous avions des personnes des services des
communications et juridique et quelqu’un de
l’équipe informatique,” explique Leach pour
décrire l’équipe de communication de crise en
matière de cyber-sécurité dans son ancienne
entreprise. En fonction du type de faille de la
sécurité, l’équipe centrale faisait parfois venir
d’autres spécialistes en interne. “Ainsi, l’équipe
pouvait inclure un spécialiste du stockage ou
un spécialiste d’un secteur d’activité d’une autre
région dans le monde.” Explique-t-il.
• Etablir une structure de direction claire.
“Lorsque les choses arrivent, elles arrivent vite.”
Déclare De Souza. “Le réseau de communication
doit être bien défini, avec un propriétaire à l’aise
avec ses responsabilités.”
• Parler d’une seule voix. Ceci ne signifie pas
nécessairement utiliser un seul porte-parole.
Mais plutôt garantir que toutes les personnes
habilitées à parler avec les parties prenantes
partagent le même discours. “Dans le cadre
de toutes nos communications, il n’y avait que
deux ou trois personnes autorisées à parler au
“Le pire sont les rumeurs et les conjectures.
Créez un cadre pour répondre aux questions
de façon honnête et avec intégrité. Soyez
transparent en ce qui concerne ce que vous
savez et ce que vous ne savez pas.”
— Andrzej Kawalec, directeur technologique des services de sécurité
Hewlett Packard Enterprise
3
Le défi de la cyber-sécuritéMIT Technology Review Custom
4. nom de la société.” Rappelle Leach. Il recom-
mande de former correctement ces porte-
paroles au niveau des médias, et encore une
fois, bien avant qu’elles aient besoin d’utiliser
ces compétences.
• Disposer de plate-formes de communication
prêtes à l’emploi. “Les gens ne sont pas
habitué à gérer une crise à la vitesse de
Twitter.” Dit Kawalec. Si la faille devient pub-
lique, mettez un site Web dédié en ligne le plus
vite possible. Configurez des canaux bilatéraux
de sorte que les parties prenantes (employés,
clients, partenaires, médias et autres) puissent
contacter la société pour obtenir des informa-
tions ou poser des questions.
• Pratiquer, pratiquer, pratiquer. De Souza
recommande d’exécuter des “exercices sur
table”, répétés régulièrement et impliquant des
stratégies de communication pour répondre
aux différents types de cyber attaques. A
quelle fréquence ? Souza explique que dans
les exemples les plus probants qu’il a vu, les
organisations lançaient des exercices tous
les trimestres, incluant l’équipe de direction
et l’équipe de communication de crise. Selon
lui, “vous devez vous assurer que le plan de
communication est opérationnel et que vous
pouvez réellement l’utiliser.”
Rechercher une expertise
en externe
Bien entendu, de nombreuses entreprises
manquent de ressources internes nécessaires
pour créer, exécuter et mettre à jour continuel-
lement des plans de communication de crise, en
particulier compte tenu de la grande diversité
de scénarios des cyber attaques potentielles.
Dans ces cas, il est utile de se tourner vers des
partenaires externes avec une forte expérience
dans la mise en œuvre de projets et de meilleures
pratiques de communication de crise. Un exemple
: Les services de sécurité HPE et FireEye, ayant
fourni une réponse aux incidents, une évaluation
des compromis et des offres de détection des
menaces à des milliers de clients dans le monde et
offrant également de nombreux conseils éprouvés
sur la planification de la communication de crise.
“Il est clair qu’il est impossible de contrôler le
cycle de communication sans avoir travailler à
l’avance.” Remarque Kawalec. “Par conséquent,
avec le temps, il est possible de développer avec
vous, ou pour vous, un plan de réponse à la crise
très bien pensé avec différents projets et scénar-
ios. Nous l’utilisons comme manuel de formation
que vos équipes peuvent utiliser pour fonctionner
en temps réel.”
De cette façon, lorsque l’inévitable survient, les
organisations sont bien préparées pour faire face,
déclare Kawalec. “Dans le feu de l’action, vous
savez quoi dire et comment le dire. Vous savez
comment articuler différents messages devant
différents publics. Vous pouvez prendre le con-
trôle de la situation et communiquer à son sujet.”
Pour en savoir plus sur la transformation
numérique et la cyber-sécurité, explorez ce site
Web de ressources HPE-FireEye.
Pendant une cyber crise, parlez d’une seule
voix. Ceci ne signifie pas nécessairement
utiliser un seul porte-parole. Mais plutôt
garantir que toutes les personnes habilitées
à parler avec les actionnaires partagent
le même discours.
4
Le défi de la cyber-sécuritéMIT Technology Review Custom