- Gestion de crise : comment répondre à une intrusion informatique
- Commencez par rassembler une équipe de gestion de crise.
- Apporter des améliorations suite à une violation de sécurité informatique
- Communiquez fréquemment et de manière transparente.
- Votre équipe de gestion de crise est-elle au complet ?
- Les réseaux sociaux peuvent vous aider
- Retour à la normale et prévention
- Les RP et les dirigeants doivent se rendre compte de l'importance d'avoir un plan de gestion de crise
Gestion de crise : comment répondre à une intrusion informatique
Au cours des dernières années, de nombreuses entreprises, banques et gouvernements se sont rendu compte qu’ils devaient faire de la sécurité informatique une priorité. Il y a eu 783 violations de sécurité de données rapportées aux États-Unis en 2014, soit une augmentation de 27,5 % par rapport à 2013, selon un rapport publié par Identity Theft Resource Center (Centre de ressources sur le vol d’identité, ou ITRC). Une violation de sécurité représente une menace immédiate de l’intégrité d’une organisation et doit faire l’objet d’une attention particulière.
Pour les professionnels des relations publiques et de la communication, se préparer à une violation de sécurité nécessite de se former sur les cyberattaques et la meilleure manière d’y faire face. L’informatique ne représente qu’une partie de la solution. Les professionnels de la communication de crise et des relations publiques ont un rôle important à jouer pour permettre à l’organisation de surmonter cette épreuve, s’assurer que le service informatique et les cadres dirigeants s’efforcent de répondre aux inquiétudes du public, redorer l’image de la marque, etc. Tout doit commencer par un plan de gestion de crise afin d’anticiper.
Pour concevoir et adapter un plan de gestion de crise, il faut bien comprendre en quoi une violation de la sécurité d’une entreprise diffère des autres types de crises. L’une des principales différences est la dépense engendrée. Le coût moyen d’une violation de sécurité est de 5,85 millions de dollars pour l’organisation, selon une étude de 2014 commissionnée par IBM et le Ponemon Institute rappelle Florian Silnicki, expert en communication de crise et fondateur de l’agence LaFrenchCom.
Il y a un coût financier pour toutes les parties concernées. Les victimes du piratage, c’est-à-dire les personnes dont les informations ont été volées, auront peut-être à déplorer une perte d’argent, payer pour la mise en place de nouvelles mesures de sécurité et de nouveaux rapports de solvabilité. Les organisations touchées devront éventuellement payer les services de personnes supplémentaires recrutées pour gérer la crise (c.-à-d. des comptables, avocats, spécialistes informatiques, etc.), la compensation des victimes, la communication, les actions entreprises pour reconstruire l’image de marque et l’amélioration de la sécurité, entre autres. Le coût variera en fonction de l’ampleur du piratage, du nombre de victimes, du secteur économique de l’organisation et de la taille de celle-ci.
En dépit de l’augmentation du nombre de violations de sécurité informatique, en 2014, plus de 25 % des entreprises n’avaient pas d’équipe ou de plan de réponse en place pour gérer un piratage informatique.
Les piratages sont aussi des crises très sensibles du fait de la nature des informations compromises. Il s’agit souvent des données de cartes bancaires, de numéros de sécurité sociale ou d’autres informations personnelles. Les violations de sécurité peuvent être difficiles à gérer, car bien souvent elles ne sont pas immédiatement visibles. Il peut se passer des semaines voire des mois avant que quelqu’un s’en rende compte, comme dans le cas de Home Depot en 2014. À l’inverse, le commentaire déplacé d’un PDG se remarque immédiatement. Ce manque de visibilité complique encore la situation.
En résumé, une violation de sécurité informatique représente une menace différente des autres crises. Les professionnels de la communication et des relations publiques ainsi que les techniciens IT continuent à travailler pour déterminer les meilleures pratiques pour gérer un piratage, et un plan de gestion de crise est nécessaire.
Commencez par rassembler une équipe de gestion de crise.
Celle-ci doit comporter des cadres dirigeants et décisionnaires, comme le PDG, le Directeur informatique, le Directeur financier et l’équipe de communication/des RP. L’un des dirigeants de l’entreprise devra être le porte-parole auprès des médias. Il devra être briefé sur son rôle. Il doit être sympathique, avoir de solides compétences interpersonnelles et disposer de suffisamment de connaissances dans les domaines de l’informatique, la finance et les affaires pour répondre aux parties prenantes. Pour devenir un bon communicant, il est recommandé de faire appel au média-training.
L’équipe de communication et de RP a un rôle essentiel à jouer au sein de l’équipe de gestion de crise. Les employés des RP et les consultants en gestion de crise peuvent faire partie de l’équipe de RP. Les rôles doivent être clairement assignés, notamment pour les relations avec les médias, l’aide à l’équipe RH et les conseils au PDG.
L’informatique est cruciale pour que l’équipe soit efficace. Décidez si vous ferez appel uniquement aux employés du service informatique ou bien si vous recruterez des consultants, ou les deux. Il serait judicieux de disposer d’un technicien informatique spécialisé dans la cybersécurité. L’équipe de gestion de crise devra compter le directeur des RH dans ses rangs. Son rôle est de tenir les employés informés et de répondre à leurs questions.
L’équipe pourra aussi comporter des comptables et juristes. Chaque organisation est unique et aura des besoins particuliers. Par exemple, les petites entreprises devront peut-être davantage faire appel à des intervenants extérieurs. Si vous optez pour cette solution, vérifiez lors de la phase de préparation si ces intervenants sont adaptés à votre entreprise. Demandez des devis ainsi que leurs coordonnées et disponibilités en temps de crise. Vérifiez si leur manière de travailler correspond à votre culture d’entreprise.
Puis, passez en revue les informations et déterminez lesquelles sont les plus vulnérables. Faites une évaluation du cyberrisque et un inventaire de toutes les informations figurant dans vos systèmes informatiques. Elles sont toutes potentiellement en danger. Éliminez toutes les informations qui sont obsolètes ou hors de propos. Prévoyez de faire un audit de la sécurité des systèmes informatiques régulièrement et soyez attentif à tout ce qui vous semble anormal.
Apporter des améliorations suite à une violation de sécurité informatique
Si votre organisation a récemment été victime d’un piratage, elle doit maintenant mettre en œuvre les démarches nécessaires pour se reconstruire. Plus que jamais, l’organisation doit s’efforcer de gérer au mieux la problématique des cyberattaques.
La meilleure chose à faire est d’en apprendre le plus possible pour ne pas refaire les mêmes erreurs.
Voici quelques points à prendre en compte :
■ Passez en revue la politique de sécurité informatique. Faites régulièrement des évaluations du niveau de sécurité, mettez souvent à jour vos logiciels et assurez-vous que chaque employé respecte la règlementation informatique.
■ Sensibilisez vos employés. Apprenez à vos employés à identifier les tentatives d’hameçonnage et autres risques, proposez plus de formations sur la sécurité informatique via des tutoriels en ligne et d’autres outils de formation gratuits, et entrainez-vous à gérer ce genre de situation via des exercices de simulation.
■ Donnez toute son importance à la communication interne. Faites venir des spécialistes de la communication ou faites appel à des professionnels des RP en interne pour développer la communication entre les employés à tous les niveaux, notamment entre les cadres et l’équipe informatique. Instituer une communication régulière entre eux permet de réduire les risques qu’un piratage passe inaperçu.
■ Réévaluez votre plan de gestion de crise. Réévaluez tous les six à douze mois le plan de gestion de crise de votre organisation face à une violation de sécurité informatique. N’hésitez pas à accroitre vos capacités de sécurité, à revisiter vos tactiques de communication, à désinstaller des systèmes de protection obsolètes et à tirer parti des leçons apprises par d’autres entreprises.
Ensuite, vous devez lancer une enquête interne et décider d’éventuelles sanctions à prendre. La responsabilité d’effectuer l’enquête technique incombe à l’équipe informatique, mais les RP doivent être tenues au courant des évolutions de l’enquête. Pour progresser, il est nécessaire de trouver la cause de la faille de sécurité. Ne partez pas du principe qu’une violation de sécurité informatique est le résultat de l’action d’un pirate informatique ou d’une intervention étrangère.
Étudiez toutes les possibilités, y compris un programme ou logiciel malveillant ou la négligence d’un employé.
Puis, décidez en amont quand et comment vous allez gérer les différentes parties concernées. Le timing est très important quand vous diffusez des informations sur une faille informatique. Identifiez qui sont les personnes touchées et décidez comment vous adresser à eux.
Communiquez fréquemment et de manière transparente.
Toutes les parties concernées doivent être prises en compte dans votre plan de gestion de crise. Les victimes peuvent aller des employés aux actionnaires, en passant par les consommateurs et les clients. La manière de partager l’information dépendra du type de public ciblé. Les victimes doivent être parmi les premiers informés. Déterminez dès la phase de préparation comment informer les différents publics. Par exemple, un message individuel envoyé par courrier ou par e-mail aux victimes sera généralement considéré comme plus efficace et plus approprié.
Il faut informer les employés du problème. En effet, ils sont les ambassadeurs de la marque. Il peut cependant être difficile de trouver un équilibre entre la transparence et la nécessité de garder l’information confidentielle pour éviter d’empirer le risque de fuite ou de vol de données, donc assurez-vous d’avoir un plan en place.
Votre équipe de gestion de crise est-elle au complet ?
La première étape, pour formuler un plan de gestion de crise de sécurité informatique, est d’assembler une équipe de gestion de crise. Le rôle de l’équipe est de coopérer et décider comment assurer au mieux les activités de l’entreprise, en interne, et en externe, au cours d’une crise. On peut considérer ce groupe comme l’équipe prodiguant les premiers secours. La préparation et l’entrainement sont cruciaux pour avoir une équipe compétente. Qui doit faire partie de cette équipe ?
■ Des cadres dirigeants : la présence de dirigeants décisionnaires comme le PDG, le Directeur informatique, le Directeur financier est nécessaire pour pouvoir prendre des décisions. De plus, ils connaissent parfaitement l’organisation.
■ Des spécialistes de la gestion de crise et professionnels des RP : ces personnes sont probablement les plus expérimentées dans tout ce qui est lié à la gestion de crise. Leurs conseils seront utiles pour toutes les décisions ayant trait à la communication, notamment comment s’adresser au public, la formation du porte-parole, le processus à suivre pour restaurer l’image de marque, etc.
■Le porte-parole auprès des médias : quelle est la personne la mieux qualifiée pour s’adresser au public et aux médias ? Ce sera généralement le PDG, mais il est bon de disposer d’une deuxième option. Cette personne doit parfaitement connaitre les activités de l’entreprise, son infrastructure informatique et ses finances et doit avoir d’excellentes compétences en communication interpersonnelle.
■ L’équipe informatique : le service informatique est indispensable pour remédier aux failles de sécurité. Choisissez entre faire appel uniquement à une équipe en interne ou à des prestataires extérieurs. Il pourra être particulièrement utile de s’adjoindre les services d’un spécialiste de la sécurité informatique.
■ Le Directeur des RH : ne négligez pas vos employés lors d’une crise. Les RH répondront aux questions des employés et les tiendront informés pendant toute la durée de la crise.
■ Des juristes : constituez une équipe d’avocats et consultants bien en amont.
■Des comptables : ils évalueront le coût de la violation des données et détermineront comment l’entreprise pourra régler ses dépenses, notamment la compensation des victimes, les frais juridiques, les amendes éventuelles, la rémunération des prestataires extérieurs, les logiciels de sécurité supplémentaires, etc.
Décidez comment alerter le grand public. Après avoir commencé par informer les personnes concernées, vous pouvez utiliser les réseaux sociaux pour informer le grand public. Pensez à publier des communiqués de presse ou bulletins d’information sur le site Internet de l’entreprise et décidez si une conférence de presse s’impose. Tenez le public au courant en partageant les nouvelles informations dès qu’elles sont disponibles. Souvenez-vous que votre communication doit se caractériser par la fréquence et la transparence.
Enfin, assurez-vous que les dirigeants travaillent avec les comptables et juristes pour gérer les finances et les poursuites possibles. Les comptables doivent calculer et anticiper les coûts, notamment la rémunération des prestataires extérieurs, le logiciel de sécurité informatique, la compensation des victimes, les amendes, les campagnes pour restaurer l’image de la marque, etc.
Les réseaux sociaux peuvent vous aider
Les réseaux sociaux, quand ils sont utilisés avec discernement, peuvent être extrêmement utiles dans ce type de contexte. Comme le savent les professionnels des RP, ils peuvent permettre de toucher de très nombreuses personnes. Utilisez-les de manière stratégique lors d’une violation de sécurité informatique. Ils doivent servir à diffuser de nouvelles informations et à s’excuser, ainsi que pour aiguiller le public vers le site Internet pour les communiqués de presse et bulletins d’informations.
Ils permettent aussi d’avoir un vrai dialogue, et non une communication dans un seul sens. Les consommateurs/clients et le public peuvent dialoguer directement avec l’organisation via Facebook et Twitter. Utilisez les réseaux sociaux pour résoudre des problèmes et répondre aux questions. Vous devrez faire un suivi étroit des activités sur les réseaux sociaux et répondre aux commentaires au plus vite. Soyez prêt à être confronté à des consommateurs en colère, qui étaleront le problème au grand jour. Quand ils sont bien utilisés, les réseaux sociaux peuvent grandement contribuer à la remise sur pied de l’organisation. Ils représentent un espace où le public peut trouver des informations et alimentent la confiance.
Retour à la normale et prévention
Dernière étape du plan de gestion de crise, l’organisation doit gérer le retour à la normale et prévenir les futures violations de sécurité informatique. La première des priorités doit être de regagner la confiance du public. Cela commence par trouver des moyens d’aider les personnes affectées. Décidez de l’aide qui sera accordée, comme un rapport de solvabilité gratuit ou une compensation pour les pertes financières. Proposez d’organiser un tutoriel gratuit sur la sécurité informatique, notamment sur les moyens de prévenir le vol d’identité. Continuez à dialoguer sur les réseaux sociaux et à publier régulièrement des bulletins d’information.
Puis, l’organisation doit passer à la partie analyse et prévention. Une fois la cause déterminée, discutez avec le service informatique sur la manière de prévenir de tels problèmes à l’avenir. Effectuez des tests de vulnérabilité régulièrement. Si vous détectez la moindre chose inhabituelle, faites une vérification immédiate. Ensuite, évaluez le coût total de la violation informatique et vérifiez comment l’organisation va pouvoir régler les factures. Enfin, réexaminez votre plan de gestion de crise et faites les changements nécessaires. Y a-t-il de meilleurs moyens de gérer une crise liée à une violation de sécurité informatique à l’avenir ? Les technologies changent perpétuellement, et les mesures de protection qui semblaient adaptées hier peuvent très vite devenir largement insuffisantes. Essayez de tirer les leçons des problèmes rencontrés par d’autres organisations. Révisez votre plan de gestion de crise liée à une violation de sécurité informatique tous les six à douze mois.
Les RP et les dirigeants doivent se rendre compte de l’importance d’avoir un plan de gestion de crise
En dépit de l’augmentation du nombre de violations de sécurité informatique, en 2014, plus de 25 % des entreprises ne disposaient pas d’équipe ou de plan pour gérer un piratage informatique, selon un sondage effectué par le Ponemon Institute. Les RP et les dirigeants doivent se rendre compte de l’importance d’avoir un plan de gestion de crise. Quel que soit le secteur dans lequel vous travaillez, les RP doivent développer leurs connaissances pour pouvoir donner de bons conseils en cas de violation de la sécurité informatique. De nombreux problèmes peuvent émerger lors d’une crise, mais l’idéal est d’être prêt.