www.belgium.be Logo of the federal government

La communication de crise en cas de cyberattaque

La question n’est pas de savoir « si » vous serez un jour victime d’une cyberattaque, mais plutôt « quand » cela vous arrivera. Mieux vaut donc s’y préparer comme il se doit. Voici nos recommandations pour une communication de crise lors d'une cyberattaque.

 

Avant l'incident

ÉTAPE 1 : Dresser une analyse des risques

Identifiez et décrivez les cyberattaques risquant de toucher votre entreprise ou organisation et les répercussions qu’elles engendreraient pour la continuité du service ou de la production. Les attaques les plus courantes sont :

  • Une attaque de type « ransomware »

Un ransomware est un virus qui s’installe sur un appareil à l’insu de son propriétaire. Le « rançongiciel » prend en otage (et crypte) l’appareil et les fichiers et exige une rançon.

  • Une attaque de type DDOS

En lançant une attaque de type DDOS ou une attaque « Distributed-Denial-Of-Service », les cybercriminels essaient de mettre hors service un serveur Internet en le surchargeant d’un très grand nombre de demandes de pages. Une attaque de type DDOS en tant que telle ne présente pas spécialement de danger, mais c’est une ruse largement utilisée par les cybercriminels pour dissimuler une autre attaque ou comme moyen de pression supplémentaire lors d’une attaque de type « ransomware », par exemple.

  • Un virus sur le réseau
  • L’escroquerie, dont la fraude au CEO par exemple
  • Une fuite de données, une infraction à la législation RGPD…

ÉTAPE 2 : Documenter et organiser

Consultez le plan de crise ou le plan de gestion des incidents de cybersécurité de votre entreprise ou organisation. Vérifiez si la communication de crise y est reprise et, si oui, de quelle façon. Le plan contient-il au moins les éléments suivants ?

  • Une liste des contacts pour l’assistance (sur papier) : à qui pouvons-nous faire appel en cas d’incident ?
  • Une liste des contacts des collaborateurs, parties prenantes, partenaires et de la presse (sur papier) : qui devons-nous informer de l’incident ?
  • Un récapitulatif des canaux de communication pouvant être utilisés en cas de cyberattaque (donc aussi les canaux hors ligne).
  • Un récapitulatif des messages principaux : pour une série de cyberattaques très fréquentes, vous pouvez préparer un bref message à mobiliser en cas de cyberattaque.
  • Une répartition des tâches, une énumération des différents rôles en cas de cyberincident et des tâches assignées à chaque rôle.

Management / équipe de crise

Service de communication / porte-parole

Service juridique / coordinateur du plan d’urgence / responsable de la sécurité / DPO

  • Évaluer la cyberattaque
  • Gérer la crise
  • Assurer la continuité de l’organisation
  • Faire un retour à l’intention du service de communication
  • Valider les messages destinés à la communication
  • Les modalités du rôle de porte-parole sont à déterminer à chaque incident, en fonction de l’ampleur/de la menace/du caractère sensible/du thème
  • Rassembler des informations
  • Conseiller l’équipe de crise
  • Se charger de la rédaction (adapter le message aux différents groupes cibles et canaux)
  • Gérer les canaux de communication : envoi des e-mails/publication web/Twitter…
  • S’occuper de la presse, l’informer, la rediriger ou lui répondre directement
  • Assurer un accompagnement dans le suivi du plan d’urgence et des scénarios d’incidents
  • Effectuer une évaluation permanente des actions par rapport au cadre légal et aux missions légales
  • Fournir des conseils juridiques à la cellule de coordination
  • Assurer le suivi et la coordination de la communication d’informations classifiées et des données à caractère personnel
  • Prendre les contacts avec l’autorité de protection des données

 

ÉTAPE 3 : Mettre le plan à l’épreuve

Chaque entreprise ou organisation devrait organiser au moins une fois un exercice de cyberincident. Veillez à impliquer dans cet exercice le service de communication ou le responsable de la communication.

 

Pendant l'incident

Pendant un incident, une bonne communication est cruciale pour ne pas perdre de temps et limiter l’atteinte à votre réputation.

Respectez cet ordre de priorité dans votre communication. Informez successivement :

  1. Vos collaborateurs
  2. Vos parties prenantes
  3. Vos partenaires
  4. Vos clients
  5. La presse

Dès que vous faites une communication à vos collaborateurs, vous devez également informer au plus vite les autres parties. Il est en effet illusoire d’imaginer que les collaborateurs traiteront l’information en toute confidentialité. En d’autres termes, l’information fuitera vite au-delà de votre organisation.

Si des données personnelles risquent d’avoir été volées ou d’avoir fuité, vous devez prendre contact avec l’autorité de protection des données.

Déterminez les messages :

  • Envisagez de communiquer de façon proactive. Avant même que l’incident ne « fuite », vous pouvez en principe déjà communiquer. Ce principe porte le nom de « stealing thunder ». Vous diffusez vous-même la (mauvaise) nouvelle avant que la presse ne s’empare du sujet et construise son propre récit. En communiquant de façon proactive, vous avez toutes les chances de pouvoir garder la main sur la communication.
  • Élaborez immédiatement un message de garde. Communiquez les éléments suivants :
    • « We know » : nous avons connaissance des faits.
    • « We do » : nous nous chargeons désormais des éléments suivants, nous travaillons à une solution.
    • « We care » : nous prenons l’incident très au sérieux, nous montrons de l’empathie.
    • « We are sorry » : nous regrettons l’incident, nous présentons nos excuses.
    • « We’ll be back » : nous précisons quand nous reviendrons avec un complément d’informations. 
  • Déterminez les messages principaux
    • Que s’est-il passé ?
    • Comment cela a-t-il pu se passer ?
    • Qui en était responsable ?
    • Quelles sont les conséquences ? Pour les collaborateurs, les clients, les partenaires…
    • Que faisons-nous pour remédier aux dégâts occasionnés ? De quelle solution disposons-nous ?
    • Que ferons-nous pour éviter cela à l’avenir ?

Déterminez le ton :

  • Présentez des excuses si l’incident fait des victimes ou si une faute a été commise.
  • Ne soyez pas sur la défensive, mais montrez bien ce qu’a fait votre organisation pour éviter l’incident ou y remédier au plus vite.
  • Il n’y a pas à avoir honte, vous êtes victime de criminels et cela peut arriver à tout le monde.
  • Ne réagissez pas de façon agressive aux questions accusatrices, pointez plutôt les « enseignements tirés ».
  • « No comment » : l’absence de réaction aux questions est un message en soi, souvent interprété comme « ils ont dû commettre une faute » ou « ils doivent avoir quelque chose à cacher ».

Choisissez un porte-parole. Conseils pour les porte-paroles :

  • Montrez de l’empathie.
  • Ne mentez pas.
  • Faites preuve de transparence.
  • Anticipez les questions difficiles et préparez-les.
  • Utilisez les ficelles du métier pour toujours en revenir au message principal.
  • Soyez clair et concis.
  • Évitez le jargon spécialisé / le jargon informatique.

Embûches

  • En cas de cyberattaque, vos principaux canaux de communication risquent d’être indisponibles : intranet, e-mail, site Internet. Réfléchissez à l’avance à des canaux alternatifs pour atteindre les différents groupes cibles.
  • Si la cyberattaque fait l’objet d’une enquête judicaire, il se peut que vous deviez traiter les informations avec la plus grande prudence. Mais ne vous servez pas de cette excuse pour ne pas communiquer du tout ou ne pas communiquer en toute transparence.
  • L’attribution d’une cyberattaque : soyez toujours prudent avant de désigner un auteur potentiel de l’attaque. Il est toujours très difficile à déterminer pour les cyberattaques.

Après l’incident

Une organisation qui prend l’initiative de partager les enseignements tirés d’un incident dans une publication, un blog, une conférence ou une journée d’étude témoigne d’une grande maturité. 

Plus d'info