Retour
Gestion des risques - Loyco | publié par Loyco | 27.10.2022

Cybernews: la communication en gestion de crises cyber

Suite au lancement de la Cyber Risk Clinic en mai dernier, nous donnons la parole à plusieurs expert·e·s du domaine cyber, actif·ve·s au sein de cette nouvelle structure. Dans cette série de «cyber news», ils·elles décryptent pour vous les enjeux liés à ces risques particuliers et partagent des cas concrets de cyberattaques, rencontrés dans leur pratique professionnelle.

Pour le troisième épisode de cette série consacrée aux risques cyber, nous avons posé quelques questions à deux consultant·e·s séniors, Virginie Besserie-Bonjour et Toomas Kull, du Cabinet Privé de Conseils SA, un cabinet indépendant et généraliste de communication et partenaire de la Cyber Risk Clinic. Ils·elles reviennent pour nous sur les questions de communication en période de crise dont les crises cyber font partie.

5 questions sur la communication de crise en cas d’attaques cyber

Est-ce qu’il existe une typologie de client·e·s qui font appel à CPC pour des questions de communication en gestion de crise?

Nous travaillons avec des entreprises de toutes tailles et tous secteurs, de la multinationale à la start up. Personne n’est à l’abri de potentielles attaques liées à la réputation, lorsqu’il s’agit de cyberattaques et de violations de données, toutes les organisations peuvent être touchées. Aujourd’hui, les informations les plus précieuses sont pour la plupart numérisées et donc plus facilement transférables et accessibles, ce qui fait une grande différence dans la gestion d’une crise et de la communication qui y est liée.

Aussi, nous ne conseillons pas uniquement des entreprises. La menace réputationnelle vise parfois directement les membres de la direction (par exemple le CEO ou président·e). Il peut en effet arriver que les dirigeant·e·s d’une entreprise se fassent voler leurs données personnelles et que celles-ci soient utilisées à des fins de chantage plus global.

Comment accompagnez-vous vos client·e·s?

Nous travaillons avec nos client·e·s de deux manières:

  • En mettant l’accent sur la préparation et l’anticipation en prévision d’une éventuelle crise. Et ce, grâce aux développements de plans, de processus et en formant une équipe interne avec une expertise forte en matière de communication de crise;
  • En fournissant une assistance en direct pour la communication en cas de crise, suspectée ou réelle.

En cas de crise, est-il toujours préférable de communiquer de manière proactive?

Bien qu’expert·e·s en communication, et suivant le type de crise, nous ne conseillons pas systématiquement de communiquer. Notre priorité est la protection de la réputation de nos client·e·s. Parfois, cela signifie attendre pour communiquer au bon moment, ou ne pas communiquer du tout, ou seulement à une petite sélection de parties prenantes. En revanche, en matière de violation de la sécurité des données, un devoir de communication est fixé dorénavant par la nouvelle loi fédérale sur la protection des données, nLPD (art. 24).

Lors d’une cyberattaque, est-il suffisant d’avoir quelques déclarations prêtes à l’emploi?

Notre conseil principal est que les paroles doivent toujours refléter les actes et vice-versa. En effet, il est très important d’être en mesure d’exprimer et de démontrer que l’entreprise ou la personne touchée a fait tout son possible pour empêcher qu’un incident ne se produise. Une fois que la crise est avérée, tous les moyens doivent être mis en œuvre pour y remédier. Cela doit être authentique et vrai. Le pire qui puisse arriver est que le même incident se produise deux fois.

Quels sont les principaux défis que vous rencontrez dans la communication de crise?

Lorsqu’un cyber incident est découvert pour la première fois, nous avons peu de détails sur ce qui s’est passé exactement, la portée, l’impact, etc. Les défis initiaux consistent donc à:

  • Déterminer ce qui peut être communiqué à ce stade;
  • Et gérer les attentes des parties prenantes.

Dans cette situation, le travail préparatoire et une relation de confiance avec les parties prenantes peuvent être décisifs.

Si l’incident est médiatisé, le principal défi est alors d’empêcher la spéculation, de s’attaquer aux fausses allégations en devenant une source fiable de référence pour les journalistes.

Cas concret de cyberattaque

Gestion de la communication de crise d’une entreprise victime d’une attaque cyber

Nous avons été contactés par une entreprise suisse qui possède cinq sites de production en Europe. Elle venait de recevoir une demande de rançons pour vols de données et mainmise sur le système informatique. L’entreprise avait déjà mis hors ligne des parties du système informatique et était en train de réinitialiser les parties touchées. Les opérations de tous les sites européens devaient être hors ligne pendant au moins 24 heures pendant que l’enquête interne se poursuivait.

Une fois ce constat fait, nous nous sommes rapidement familiarisés avec l’entreprise et ses opérations. Nous avons rédigé dans la première heure une déclaration pouvant facilement être adaptée à chaque zone géographique. À l’aide de TalkWalker, nous avons mis en place une surveillance des médias et des médias sociaux afin de détecter toute fuite dans le domaine public.

Le lendemain, un journaliste a découvert cette probable cyberattaque. Sur la base des derniers développements, nous avons rapidement adapté la déclaration en mettant à jour les étapes attendues et communiqué la date à laquelle l’entreprise serait à nouveau pleinement opérationnelle. Lorsque les journalistes ont publié leur article, notre déclaration les a rassurés et a démontré que l’entreprise contrôlait la situation. Nous avons continué à surveiller les médias sur ce marché et l’incident a reçu une couverture médiatique supplémentaire. Nous avons alors contacté le journaliste pour apporter des corrections factuelles à son article.

Nous avons travaillé avec l’entreprise pour rédiger et réviser les messages clés pour les communications internes, ainsi qu’une lettre qui a été envoyée aux client·e·s et aux fournisseurs.

Après quatre jours, l’entreprise a pu reprendre ses activités. Nous avons alors identifié aux côtés de l’entreprise quels étaient les apprentissages clés. Nous avons également défini ensemble une stratégie pour que l’entreprise soit mieux préparée à gérer ce type d’incident du point de vue communicationnel dans le futur.

 

Cabinet Privé de conseil SA est un partenaire de la Cyber Risk Clinic actif dans le pack de Gestion de Crise.

Nous sommes très heureux·euse·s de pouvoir compter sur eux. Leur aide précieuse en tant qu’expert·e·s en communication de crise permet à nos client·e·s d’affronter les situations critiques et sensibles lors de crise cyber. Que ce soit pour les relations médias, la rédaction des messages clés pour l’interne et l’externe, nos client·e·s peuvent compter sur leur expérience et leur professionnalisme pour les aider à communiquer de façon structurée et efficace et transformer les crises en opportunités stratégiques.

Pour rappel, le pack «Gestion de crise» de la Cyber Risk Clinic permet de déployer une équipe de support complète pour vous venir en aide rapidement et vous aider à gérer au mieux les 72 premières heures décisives en cas de cyberattaque. Le Groupe rapide d’intervention (GRI) se coordonne avec les responsables et partenaires (par exemple IT) de l’entreprise et se compose:

  • D’un·e représentant·e de Cyber Risk Clinic comme point de coordination global;
  • D’expert·e·s en cybersécurité;
  • D’un·e spin doctor pour la communication interne et externe;
  • D’une société de conseil juridique;
  • De Loyco en cas d’Assurance Cyber.

Plus d’informations

Edit : Depuis 2024, les services de Cyber Risk Clinic ont été intégrés aux prestation de Loyco. Voir les services Risques Cyber.

Votre contact

Lionel Ducommun: lducommun@loyco.ch / +41 78 805 16 13