Comment gérer sa communication de crise cyber ? 

À l’ère du digital, individus ou entreprises, nous sommes tous menacés par les attaquants cyber. 🆘 Zsspschht… c’est le bruit que pourrait bien faire votre système informatique interne en cas de crise attaque. Pour éviter le pire, la team We Are COM est allée prendre conseil auprès de l’expert en matière de cyber sécurité, Baptiste Sorin, Chef adjoint de la division communication de l’ANSSI – l’Agence nationale de la sécurité des systèmes d’information. 🙌 

Tout comme la gestion de crise classique, bien connue des communicants, la gestion de crise cyber à ses spécificités. De quelle manière anticiper, et le cas échéant, gérer une crise cyber ? Quelles sont les bonnes pratiques de communication en matière de cybersécurité ? L’atelier du Club We Are COM vous livre son plan de contre-attaque cyber !🛡 

Parole de l’expert

Baptiste Sorin,

Chef adjoint de la division communication de l’ANSSI

Bonjour Baptiste, pour commencer pouvez-vous nous en dire davantage sur l’ANSSI ? 

L’Agence nationale de sécurité des systèmes d’information est l’autorité française en matière de cybersécurité et de cyberdéfense. Plus précisément, nous sommes un service du Premier ministre, rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN). Notre agence, créée en 2009, compte environ 600 agents aux profils extrêmement variés, des experts techniques en sécurité informatique mais aussi dans le domaine des relations internationales, du juridique, de la communication, etc. 

En termes de cibles, nous accompagnons les Opérateurs d’importance vitale (OIV), les Opérateurs de services essentiels (OSE) et plus généralement toutes les administrations françaises. Ce sont des organisations, du secteur public comme du privé, pour lesquelles une cyberattaque pourrait nuire à la capacité de survie de la Nation ou avoir un impact significatif sur le fonctionnement de l’économie ou de la société. Aussi, nos missions consistent à connaitre, partager, accompagner et défendre ces institutions face à aux cybermenaces.

Justement, quel est l’état de cette menace cyber ? 

En 2021, le nombre d’intrusions s’élevait à 1082, tandis que l’année précédente, nous en avons recensé 786. Les attaques cyber peuvent être lancées à des fins lucratives, à des fins d’espionnage économique ou encore dans une volonté de déstabilisation. Plus concrètement, au cours de l’année 2021, nous avons mené 17 opérations de cyberdéfense. 

En matière de communication, nous nous adressons aux OIV, OSE et à l’administration mais aussi à un public plus large, car étant tous connectés, nous sommes tous concernés par le risque cyber. 

Quels sont les fondamentaux de la communication de crise cyber ? 

Il est essentiel de garder à l’esprit qu’une bonne communication de crise cyber ne garantit en rien que tout se passera bien. En revanche, une mauvaise communication garantit à coup sûr que tout se passera mal. Avant tout, et cela est vrai quelle que soit la typologie de crise, il est important de ne jamais mentir. On peut ne pas tout dire à chaque instant, mais il ne faut absolument pas mentir. La transparence est de mise, même si celle-ci doit être maitrisée. 

Le tempo importe également, les messages doivent être bien calibrés, dans un temps défini. J’ajouterai qu’en cas de crise, l’organisation doit impérativement s’exprimer. Si elle ne le fait pas, d’autres le feront à sa place. Enfin, rappelez-vous que la première impression est la plus importante, c’est sur cette dernière que tout se joue en matière d’image et de réputation. Dans une gestion de crise, une première impression positive marquera définitivement le déroulé de la crise. D’ailleurs, dans l’univers de la cybersécurité, il est souvent moins évident de prendre la parole rapidement. Une attaque informatique demande davantage de temps, pour comprendre le caractère et la provenance d’une intrusion et pour évaluer l’étendue des dégâts. Néanmoins, la transparence reste une fois de plus primordiale, il s’agit dans un premier temps de s’exprimer de manière factuelle sur la situation que l’entreprise traverse et les moyens mis en œuvre pour remédier au problème.

Une bonne communication de crise cyber ne garantit en rien que tout se passera bien. En revanche, une mauvaise communication garantit à coup sûr que tout se passera mal.

Quelles sont, d’après vous, les spécificités des crises cyber ? 

En gestion de crise, chaque domaine à ses spécificités et celui de la cybersécurité n’y échappe pas. La cybersécurité est régie par des codes qui lui sont propres, auxquels les communicants doivent s’adapter. 

Tout d’abord, le cyber est un domaine technique et sensible, qui nécessite une certaine maitrise de codes et de termes. Dans le guide de l’ANSSI, « Anticiper et gérer sa communication de crise cyber », nous mettons d’ailleurs à disposition un glossaire qui répertorie des éléments de langage techniques. L’objectif est d’apporter des informations, soit techniques, soit vulgarisées, en fonction des cibles auxquelles on s’adresse. Afin d’être accompagné au mieux sur ces sujets, le communicant doit entretenir un lien fort avec l’équipe en charge de la sécurité des systèmes d’information.

L’engouement pour ce sujet, qui est de plus en plus d’actualité, constitue également une spécificité des crises cyber. Il n’existe pas un mois, où les attaques informatiques ne font pas la une des médias. La viralité de ce type de phénomènes est extrêmement forte, puisqu’il touche une entité au cœur, mettant sa réputation et ses activités à mal. Dans le cas d’attaques médiatisées, il est même fréquent que la sphère politique s’en empare, pour évoquer son attribution. Au sein de l’ANSSI, nous ne traitons pas les sujets d’attribution, qui sont éminemment complexes et politiques. Nous restons concentrés sur l’assistance technique et la défense des victimes. 

Par ailleurs, cet attrait pour le domaine cyber entraine un effet de communauté. De nombreux experts s’expriment sur les cyberattaques lorsqu’elles ont lieu. L’importance de la transparence est encore une fois capitale, puisque de plus en plus d’internautes disposant de compétences techniques prennent la parole sur les réseaux sociaux. Aujourd’hui, il existe encore trop peu de communicants spécialisés dans ce domaine ou du moins sensibilisés et formés sur ces problématiques. 

Enfin, la cybersécurité est un sujet transverse doté d’un spectre large. En effet, les enjeux sont à la fois politiques, juridiques et économiques. Ils concernent tout le monde, du simple individu jusqu’au grand groupe du CAC40, en passant par les PME, les start-ups et les collectivités territoriales. 

Un incident cyber n’est par essence ni prévisible, ni anodin. Lorsque l’entité fait face à un DDoS (Distributed Denial of Service), une attaque qui vise à rendre indisponible un système, par l’envoi de multiples requêtes, la communication de crise est relativement facile à gérer. Il s’agit d’expliquer les causes de cette indisponibilité, tout en rassurant son public sur la mobilisation des équipes en charge du problème.

Or, ce cas d’apparence simple à gérer, peut se révéler plus complexe en fonction du contexte. Par exemple, si un dirigeant politique prend la parole sur le sujet, il est susceptible d’apporter de la confusion à la situation, rendant tout de suite la communication de crise plus délicate. 

Au cours de la crise sanitaire, une plateforme d’école à la maison avait été mise en place pour les élèves confinés. Le jour de son lancement, cette dernière a vite été indisponible, du fait du nombre considérable de connexions instantanées. Dans le contexte d’une crise sanitaire et du confinement, où tout s’emballait très vite, cet incident initialement anodin, est vite devenu complexe à gérer. En d’autres termes, un contexte de multi-crises peut donner une ampleur ou tonalité toute autre à une situation, qui semblait pourtant simple. 

La viralité des crises cyber est extrêmement forte, puisqu’elle touche une entité au coeur, mettant sa réputation et ses activités à mal.

De quelle manière organiser le rôle de chacun lorsqu’une crise cyber éclate ? 

En cas de crise cyber, il est essentiel que chacun tienne un rôle précis. Imaginez-vous travailler au sein d’une entité, victime d’une cyberattaque. Lorsqu’un État, un concurrent ou un criminel s’en prend à votre organisation, deux scénarios médiatiques sont alors possibles en fonction du critère de visibilité. Si l’attaque a été détectée par le service informatique mais n’est pas visible, alors le communicant s’orientera plutôt vers de l’anticipation. Mais si l’attaque, ses conséquences ou l’attaquant sont visibles, le communicant travaillera en réaction face à une pression médiatique croissante.

Toutes les crises mettent en scène différents acteurs aux rôles bien définis. Il est primordial que la fonction communication soit intégrée à ce dispositif de gestion de crise dès le début et reste donc en contact permanent avec :

  • Les équipes cyber et IT, afin de comprendre en amont les enjeux cyber et d’être en mesure de rédiger des messages pour les différents publics cibles le plus rapidement possible en cas d’attaque.
  • La direction générale ou les ministres, pour les accompagner dans leurs prises de parole.
  • Les clients et les partenaires, pour les accompagner car eux aussi sont impactés par la crise, en termes de facturation, de disponibilité produit ou autre. 

Plus généralement, l’équipe communication a la mission de tenir informées l’ensemble des parties prenantes internes et externes : les acteurs réguliers, les autorités sectorielles, les médias, etc. La communication est garante de la cohérence du discours global dans le temps, en fonction de l’évolution de la situation. 

La communication est garante de la cohérence du discours global dans le temps, en fonction de l’évolution de la situation.

Et pour finir, quelles sont les bonnes pratiques de la communication de crise cyber ? 

#1 – La boite à outils de communication de crise cyber :

  • Anticipation : la stratégie de communication de crise doit s’anticiper. Même si chaque crise cyber nous réserve son lot de surprises, il est préférable de s’être préalablement penché sur les différents scénarios possibles. Cette stratégie établie en amont devra être vivante et évolutive tout au long de la crise. 
  • Éléments de langage : une réflexion sur les éléments de langage en amont vous permettra d’être plus à l’aise avec la situation et ainsi de communiquer plus simplement sur celle-ci.
  • Glossaire : il est utile de pouvoir se fier à des définitions claires et pédagogiques sur les sujets liés au domaine cyber. 
  • Carnet d’adresses : en interne comme en externe, munissez-vous d’un carnet d’adresses exhaustif de tous vos interlocuteurs.
  • Veille médiatique : une veille permet de rester à l’écoute et donc d’adapter sa stratégie, en fonction des rebondissements générés par la crise.
  • Fichier presse : la gestion de crise est facilitée lorsqu’un fichier de presse est disponible, enrichi de tous les contacts des journalistes spécialisés en cybersécurité. 
  • Questions presse : il est également crucial d’anticiper les questions que les journalistes pourraient poser. Cela vous permettra d’y répondre de la manière la plus juste possible. Effectuez ce travail en amont avec la personne en charge de la sécurité des systèmes d’information de votre entité. 

Tous ces éléments fondamentaux de communication de crise cyber sont à conserver précieusement sur votre réseau informatique interne, mais également sur une clé USB si l’attaque met hors service votre système d’information. J’ajouterai qu’une version papier peut-être véritablement utile, lorsque les ordinateurs ne sont plus accessibles. Concrètement, nous avons déjà observé des victimes obligées de communiquer par fax à la suite d’une cyberattaque

Il peut être également utile de mettre en place une procédure de récupération des mots de passe. Il n’est pas rare que tous les comptes d’une entreprise, en interne ou sur les réseaux sociaux, soient touchés par l’attaque. 

#2 – Pédagogie des prises de parole en externe :

  • Objectivité : il est important de rester objectif quant à la nature de l’attaque et ses impacts.
  • Réassurance : les termes anxiogènes n’ont pas leur place dans les prises de paroles, il est préférable de rassurer le public. Souvent, nous recommandons de ne pas parler de « cyberattaque », mais plutôt d’un « incident de sécurité ». 
  • Transparence : les investigations numériques et la remédiation prennent du temps, n’ayez pas peur de communiquer là-dessus. 
  • Information : en cas de fuite de données, informez les personnes concernées des risques encourus, et expliquez les moyens à mettre en œuvre pour s’en protéger. 

#3 – Pédagogie des prises de parole en interne :

  • Réassurance : il est également important de rassurer l’interne, d’autant plus lorsque les collaborateurs risquent d’être contactés par les médias. Expliquez clairement la situation, tout en prenant soin de ne pas alarmer les parties prenantes.
  • Visibilité : en cas de fortes perturbations des activités, la visibilité sur les actions menées est de mise. Présentez aux collaborateurs la perspective du retour à la normal.

#4 – Vigilance sur les questions sensibles :

  • Prudence : la question de l’attribution d’une cyberattaque est délicate, complexe et très politique.. S’exprimer sur l’attribution d’une attaque peut amener une autre crise dans la crise.
  • Méfiance : si l’attaque est judiciarisée, limitez autant que vous le pouvez votre communication. 

#5 – Le guide “Anticiper et gérer sa communication de crise cyber” :

Munissez-vous de cette bible du communicant, qui vous accompagnera dans la gestion de votre communication de crise cyber. Ce manuel vous apportera tous les conseils pratiques nécessaires à l’anticipation et à la réaction, en cas d’attaque. 

Les Bonnes pratiques de la team We Are COM

La crise, quésaco ? 

La crise, hantise de tous les communicants, n’est autre qu’un événement majeur, aux conséquences potentiellement négatives pour le fonctionnement d’un secteur, d’une organisation, d’une entreprise, de ses dirigeants ou de ses collaborateurs. 

Qu’elle soit sanitaire, sociale, financière, juridique, éthique, technique ou encore de gouvernance, chaque crise est unique et apporte son lot de surprises aux communicants. Elle est capable d’endommager, voire même d’anéantir une réputation minutieusement construite au fil de longues années, en quelques minutes seulement.   

⚠️ De plus en plus, l’environnement dans lequel évolue l’entreprise amplifie les risques de crises : le temps de l’information s’est accéléré, l’environnement médiatique, en recherche constante d’infotainment, laisse de moins en moins de temps à la vérification des informations.  

Ajoutez à cela l’explosion des médias sociaux. Non seulement l’information devient consommable et jetable, mais les internautes peuvent désormais interpeler directement les entreprises et leurs dirigeants.  

Aussi, l’environnement global des entreprises a été bouleversé, laissant davantage de parts de voix aux parties prenantes. Dans le même temps, la défiance de l’opinion publique envers les gouvernements et les entreprises s’est amplifiée, tout comme la demande de transparence..  

Aussi, la question n’est pas de savoir si une crise risque de survenir, mais plutôt quand celle-ci va survenir. 🙏 Alors, pour garder la tête froide et relativiser, repensons à cette citation de Henry Kissinger, qui amuse la team We Are COM : « Il ne peut pas y avoir de crise la semaine prochaine, mon agenda est déjà plein. »  

Les bonnes pratiques

#1 – Se préparer à la crise 

📆 Dans un premier temps, il est essentiel de se préparer à la crise, en identifiant les risques potentiels et en mesurant leur probabilité de faire des dégâts. Durant cette phase initiale, toutes les questions sont bonnes à se poser, même les plus gênantes, afin de réaliser une cartographie effective des risques.  

Une fois cette phase de réflexion achevée, il est temps de se préparer de manière plus opérationnelle : élaborer une procédure de crise si elle n’existe pas encore, mettre en place des outils de veille média et social média, organiser une mini-cellule de crise à activer en cas de besoin et déterminer minutieusement le rôle de chacun (astreintes des équipes, prises de paroles, etc.). Et, afin d’optimiser votre préparation aux situations de crise, n’hésitez pas à multiplier les exercices de simulation.  

Enfin, se préparer à la crise c’est aussi élaborer des plans d’action pour les potentielles situations les plus critiques. Écrivez les messages clés, listez les questions et réponses qui vous pourraient vous être utiles et mettez à jour vos bases de données : contacts presse, ressources stratégiques, etc. 

Se préparer à la crise

#2 – Gérer la crise 

💥 La crise a surgi, vient alors le temps si condensé de sa gestion. Rappelez-vous que lorsqu’une crise éclate, les deux premières heures sont les plus critiques et donc les plus décisives. Alors, redoublez d’efforts. Vérifiez la véracité des informations et de leurs implications, évaluez les risques, rédigez un brief synthétique de la situation, alertez votre chaîne hiérarchique, sollicitez votre agence RP, briefez vos porte-paroles, assurez-vous que tous les éléments de langage et documents de communication sont bien validés avant leur diffusion externe, communiquez rapidement une déclaration pour reconnaitre la crise et tenez un journal de bord de la crise en interne.  

Gérer la crise

#3 – Soigner sa sortie de crise 

🤕 La tempête est passée, il est temps de sortir la tête de l’eau et de faire le bilan ! Tout d’abord, ne négligez pas votre communication de sortie de crise, tenez informé l’interne sur la situation, remerciez les équipes et faites-leur entrevoir le retour à la normal. Lorsque c’est possible, communiquez également avec l’externe. Et durant les quelques jours, voire les semaines qui suivent, poursuivez le monitoring et le reporting.  

Enfin, tirez-en des leçons. Chaque crise nous apprend énormément, alors organisez des sessions de debriefing, rédigez une note « post-crise », listez les enseignements à tirer et les erreurs à ne surtout plus commettre. Et si besoin, revoyez vos procédures de crise.  

Soigner sa sortie de crise

Quelques cas pratiques de crise cyber

#1 – Twitter 🐦 

En juillet 2020, certains comptes Twitter de personnalités, de grandes entreprises américaines et de plateformes spécialisées dans le bitcoin ont été victimes d’un piratage massif. Les tweets frauduleux, incitant les internautes à envoyer des bitcoins à des adresses pirates, en leur promettant le double, ont rapidement été effacés. Toutefois, le site spécialisé Blockchain.com, qui comptabilise les transactions réalisées en crypto-monnaie, avait estimé le montant des pertes à près de 116 000 dollars.  

Cas Twitter

#2 – Samsung 📱 

C’est en 2022 qu’une crise a frappé Samsung. En effet, des hackers sud-américains du groupe Lapsus$ se sont emparés de près de 190 Go de données confidentielles de la marque de téléphonie. Les cyber-criminels auraient par la suite demandé une rançon au groupe sud-coréen qui, quant à lui, s’est empressé de déclarer que la fuite ne concernait qu’une partie du code source relatif aux smartphones Galaxy, mais n’incluait pas les informations personnelles des clients, ni des employés.  

Cas Samsung

#3 – Décathlon 🏀 

Enfin, à l’occasion du salon de la cybersécurité FIC 2022, la marque Decathlon a organisé une session de chasse aux lacunes pour sa plateforme e-commerce, par les équipes de hackers éthiques YesWeHack, le tout en live. C’est après plus de 30 heures de recherche, que les hackers ont révélé 27 vulnérabilités, dont 3 jugées critiques. Cet événement, organisé par les équipes de communication de Decathlon n’a engendré aucune perturbation de la production, les hackers ayant respecté les règles du programme, qui interdisaient d’effectuer des tests pouvant entraîner d’éventuelles interruptions de service. Bravo à l’équipe Décathlon pour cette initiative préventive en matière de communication de crise cyber ! 

Cas Décathlon

Rejoignez le Club We Are COM 

Le Club We Are COM permet aux professionnels de la communication de progresser ensemble lors de moments de partage de bonnes pratiques uniquement entre pairs, tous secteurs confondus. Objectif : une montée en compétences collective notamment grâce à un atelier chaque mois sur des cas concrets, des réponses aux grands défis de la COM, des rencontres avec des experts de renom, etc. Toujours des échanges en toute transparence et indépendance basés sur des retours d’expérience : 0% autopromotion, 100% conviction.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.