Actualités

Piratage informatique : les entreprises doivent préparer leur communication au pire


Warning: foreach() argument must be of type array|object, bool given in /homepages/13/d438486372/htdocs/wp-content/themes/lafrenchcom2020/templates/article/content.php on line 27

cybersécurité gestion de crise

La sécurité informatique, un risque réputationnel

Transparence et communication sont indissociables dans une crise.

Tous les spécialistes en gestion de crise et en relations presse le conseillent fortement : une entreprise victime d’un acte de piratage a tout intérêt à faire preuve de la plus grande transparence et à l’annoncer sur la place publique.

« La pire chose pour une entreprise serait de faire l’autruche et de ne pas communiquer dans pareille situation crisogène. » affirme Florian Silnicki, Président Fondateur de l’agence LaFrenchCom.

Les grandes banques souvent touchées par des piratages informatiques

Les institutions bancaires donnent l’exemple à ce chapitre, étant devenues, pour des raisons bien évidentes, des cibles de choix pour les pirates de tout acabit.

« Nous divulguons tout, tout de suite, lance un client de l’agence de communication de crise. Dès le moment où des clients sont touchés, nous agissons de façon très diligente y compris lorsqu’il y a des fuites de données, conformément aux RGPD. »

Interrogée, la banque ajoute : « Nous communiquons avec les clients concernés et informons les services policiers. Puis, nous diffusons l’information au grand public si nécessaire, pour lancer une alerte ou pour faire en sorte que les gens soient aux aguets. Il ne faut pas hésiter à communiquer, car c’est de cette façon que nous pouvons le mieux aider tout le monde et montrer à la fois notre transparence et notre mobilisation à lutter contre la crise afin de protéger la confiance que nos clients nous accordent. »

Le consultant en communication de crise interrogé est d’avis que les attaques informatiques contre les banques, bien que très diffusées par les médias, ne constituent que la pointe de l’iceberg.

« Il y a actuellement un éventail de menaces contre les systèmes des entreprises, que ce soit l’introduction d’un virus ou d’un logiciel espion, le vol, l’hameçonnage ou le piratage en passant par l’usurpation d’identité permettant l’arnaque au président. On se rappelle par exemple de la fraude dont a été victime le groupe Vinci faisant brutalement chuter le cours de son action. Les systèmes informatiques interviennent dans toutes les facettes d’une entreprise. Plus ils prennent de l’importance, plus l’entreprise est vulnérable », prévient l’expert en gestion de crise.

Plan de communication de crise proactive face au cyberattaques

L’agence de gestion de crise conseille donc la mise en place d’un plan de communication de crise en cas d’attaque informatique. Cette pratique devient, selon lui, de plus en plus répandue. « La communication de crise c’est une police d’assurance pour être en mesure de réagir rapidement », soutient l’expert en gestion de crise.

Le consultant en gestion de crise donne ainsi l’exemple d’une entreprise qui se ferait voler le contenu d’un serveur ou crypter des ordinateurs stratégiques via un ransomware, par exemple dont le but est de prendre en otage vos documents, pour cela, il chiffre vos documents. Les pirates tentent de faire en sorte qu’aucune solution de récupération autre que la leur ne soit possible afin de forcer l’entreprise et ses dirigeants à payer la rançon : « La plupart du temps, cette information finit par sortir dans les médias. Il vaut mieux être proactif. Si l’entreprise ne communique pas, le lien de confiance avec sa clientèle peut se briser », mentionne le spécialiste de la gestion de crise.

Les 4 critères de la gestion de crise informatique

L’agence de communication de crise a établi quatre critères à évaluer dans toute crise informatique, ce qui dictera la conduite à suivre par la suite.

L’entreprise atteinte doit tout d’abord analyser l’impact sur sa clientèle, notamment quant au potentiel de vol d’identité ou de répercussions sur leurs finances, particulièrement lors de fraudes financières.

Elle doit ensuite évaluer le nombre de personnes atteintes et, finalement, cerner le ou les groupes touchés (clients, partenaires, employés, fournisseurs, investisseurs).

Le quatrième élément dont il faut tenir compte est le niveau d’urgence qu’impose la situation.

« Il ne faut jamais cacher la vérité, souligne l’agence de communication de crise parisienne. La transparence est certainement la meilleure façon de faire pour garder la confiance des clients d’une entreprise. Cela ne veut pas dire pour autant créer une situation de panique. En tant qu’entreprise responsable, il faut des plans B dans tout. Les mots-clés sont transparence et communication. »

Savoir gérer la communication de crise face aux piratages informatiques

Les dossiers de piratage tombent à coup sûr dans la catégorie des situations de crise, d’où l’importance de posséder un plan de gestion de crise.

« Parfois, nous ne connaissons pas tous les aspects et les détails du problème. Le secret est alors de communiquer par étapes et de commencer au plus vite, soit après avoir évalué le mieux possible la situation », précise l’expert en communication sensible.

Une entreprise victime d’un pirate doit-elle automatiquement porter le dossier devant les médias au risque d’offrir une publicité trop grande à la crise traversée ?

« Tout dépend de l’importance de la crise, répond l’agence de communication de crise. Si celle-ci est clairement limitée à un nombre restreint de clients, ce n’est pas nécessaire. L’entreprise n’a qu’à communiquer directement avec ces derniers. Elle n’a pas besoin d’émettre un communiqué de presse. Par contre, si un nombre important de clients est touché, il faut informer tout le monde. C’est réellement une question d’ampleur. »

L’expert en communication de crise cite le cas d’une entreprise du domaine des services financiers qui s’est fait voler des ordinateurs qui contenaient des informations confidentielles et protégées sur d’importants clients. Après avoir rapporté le vol aux autorités policières, cette société a évalué avec l’agence de gestion de crise parisienne l’étendue potentielle des dégâts réputationnels.

Puisque le nombre de clients concernés était limité, la communication de crise a été faite sur une base individuelle, par une série d’appels téléphoniques quotidiens et des envois de courriels pour compléter les informations. Dans les 24 à 48 heures qui ont suivi, l’essentiel de l’aspect communicationnel de la gestion de cette crise avait déjà été réalisé.

La rapidité d’intervention est un facteur-clé de gestion de crise.