En matière de cybersécurité, la gestion de crise est souvent délicate en terme de communication. 😁 Elle nécessite du sang-froid, de l’organisation, de la méthode et une certaine forme de rigueur. Voici quelques pistes qui doivent guider toute entreprise confrontée à une cyberattaque, qu’elle soit mineure ou de grande ampleur. 💪 Mettre en place ces principes devraient éviter des erreurs de communication et empêchera de donner le sentiment de non-professionnalisme.
⏳ Cybersécurité : Avant tout, se tenir prêt !
La préparation est bien évidemment la meilleure défense. Une faille de sécurité est possible quel que soit le niveau de compétence de votre équipe informatique.
Il est donc essentiel de créer un plan de communication pour les menaces de cybersécurité et qui établisse des protocoles clairs sur la manière de réagir et d’informer le public et les parties prenantes.
La pire chose que vous puissiez faire pour votre marque une fois que la nouvelle d’une faille se produit, est de devoir vous démener pour savoir avec qui travailler pour comprendre le problème, qui communique à quel public et qui doit être mis dans la boucle.
Un bon plan de communication doit donc identifier les rôles de chacun, les procédures à suivre et les étapes essentielles à respecter. De plus, un plan de communication doit être un document partagé, révisé au moins une fois par an. Il est important que les équipes puissent s’entraîner à le mettre en œuvre dans des situations fictives. Enfin, il faut former les équipes à tous les outils de cybersécurité et toutes les règles impératives de communication internet en toute sécurité. La solution par exemple d’un VPN d’entreprise sera incontournable. Un essai gratuit de VPN vous permettra de déterminer si l’outil convient à vos besoins et pourra se déployer facilement.
🔎 Établir les faits
Lorsqu’une violation de données se produit, la première étape consiste à organiser une réunion dont le thème doit être « Que savons-nous ? ». Elle comprend les managers du service juridique, des relations publiques, de la sécurité, de l’informatique et de tout autre service concerné. Le but sera de collecter les faits, les informations vérifiables, afin de pouvoir communiquer de manière concrète et couper l’herbe sous le pied aux rumeurs toujours inévitables.
Il faudra ainsi essayer de déterminer comment la violation de données s’est produite. Quelles données ont été compromises ? Combien de personnes ont été touchées ? La faille de sécurité a-t-elle été corrigée ou la fuite de données stoppée ?
👉 Désigner une personne ou une entité unique pour la communication externe
Dès que la rumeur d’un incident de sécurité informatique commence à se répandre, il faut s’attendre à de nombreuses sollicitations externes (partenaires, presse, clients, associations de consommateurs, forces de l’ordre, régulateurs…).
Il est impossible que la communication soit alors effectuée de manière désordonnée et par n’importe quels interlocuteurs. Une équipe de communication doit être mise sur pied avec un interlocuteur unique auprès de la presse et des parties institutionnelles. Une équipe de réponse auprès des clients ou des consommateurs doit aussi être mise en place. Elle devra posséder un guide de réponses ainsi qu’un questionnaire précis pour recueillir des informations de la part de ces interlocuteurs. Il est, entre autres, vital de s’assurer que l’entreprise présente un message cohérent entre tous les canaux de communication.
✅ Vérifier les critères d’implication des autorités de justice ou de régulation
Une entreprise qui est touchée par une cyberattaque est vite confrontée à la question de l’implication des forces de l’ordre ou de diverses autorités de régulation (CNIL, fédération ou ordre professionnel, préfecture). Cela peut dépendre de la nature des risques, de l’étendue des dommages ou encore de la sensibilité dans l’opinion publique de telles attaques. Ce sont souvent des décisions délicates en termes de publicité négative, mais il ne faut jamais négliger cette évaluation. Dans bien des cas, ne pas impliquer ces autorités peut être perçu comme une dissimulation des faits et être qualifié de manquement à une obligation légale.
Le plan de cybersécurité établi en amont doit d’ailleurs comporter une grille d’évaluation de la sévérité de la faille informatique. Il doit proposer des critères pour aider à la décision.
👀 Surveiller les réseaux sociaux
Les réseaux sociaux sont bien sûr en cas de crise un canal de communication extrêmement important. Les internautes y viendront pour essayer de trouver de l’information, mais aussi pour partager leurs déboires ou leurs inquiétudes. Il est donc essentiel de dédier un community manager, voire une équipe ad hoc, pour gérer ces messages. Il s’agira de les prendre en compte et de leur adresser une réponse publique courtoise montrant votre intérêt et votre implication. Tout en les invitant à contacter de manière confidentielle en privé l’équipe dédiée à ce problème.
La surveillance des réseaux sociaux peut aussi servir d’analyse rapide du sentiment des clients. Enfin, toute la communication officielle de l’entreprise sur les réseaux sociaux au sujet de la crise devra aussi passer par l’équipe prévue à cet effet. En cas de situation grave, il est même conseillé de geler toutes les autres campagnes en cours sur les réseaux sociaux et pas seulement (promotions, publicités, etc).