Une communication de crise transparente est conseillée par l’ANSSI, les CERT (Computer Emergency Response Team) et d’autres acteurs de la cybersécurité. Il importe d’abord d’informer les collaborateurs de l’entreprise pour mieux organiser la riposte et d’avertir les agences de sécurité.
En avril 2019, Fleury Michon a subi une attaque de grande ampleur entrainant un arrêt de production de 3 jours et une période de crise de 12 jours. La même année, Norsk Hydro, groupe norvégien spécialisé dans le traitement de l’aluminium, fut victime d’un ransomware paralysant plusieurs usines de production. Ces deux entreprises comme certaines autres ont choisi de communiquer publiquement sur ces incidents de sécurité. Aujourd’hui les clients, les fournisseurs et le grand public admettent la réalité des cyberattaques et les dégâts en termes d’image ne sont pas aussi étendus qu’auparavant. Mais les réticences à communiquer perdurent.
« Pour une entreprise, admettre avoir été victime d’une cyberattaque est naturellement difficile », explique Yannick Duvergé, CEO et fondateur d’Exemplary, société spécialisée dans la communication de crise. « Cela revient à admettre avoir des faiblesses ce qui peut avoir de lourdes conséquences sur le business. »
D’autre part, les entreprises craignent un effet d’aubaine. A savoir, la mise à profit par les délinquants numériques du délai entre la découverte de la cyberattaque et les correctifs corrigeant la faille logicielle exploitée, pour se livrer à des actions malveillantes.
A noter également, la contrainte législative qui interdit aux sociétés de communiquer pendant le travail des enquêteurs. Dans le cas des affaires judiciarisées, « il est fréquent que les entreprises ne puissent pas appliquer leur plan de communication de crise au rythme où elles l’entendent, le temps pour les enquêteurs de faire leur travail » rappelle Pierre-Yves Hentzen, CEO de Stormshield.
Les bénéfices d’une communication transparente
En 2013, Target, entreprise américaine dans la grande distribution, est victime d’une cyberattaque avec la propagation sur le Web des coordonnées bancaires d’une dizaine de millions de clients. L’entreprise préfère ne pas communiquer mais une source extérieure est la première à informer le public. Une stratégie qui vaut à Target d’être accusée d’avoir dissimulé l’attaque avec des effets sur l’image de marque désastreux. Selon cet article de Stormshield, éditeur français de logiciels de sécurité informatique, mieux vaut pour les entreprises de communiquer les premières afin de « couper l’herbe sous le pied des cybercriminels »
Après la cyberattaque, certaines entreprises dressent un bilan détaillé. Ce type de communication a le mérite de permettre à d’autres de bénéficier de ces retours d’expérience. Sébastien Viou, Directeur Cybersécurité Produit chez Stormshield explique ainsi que des acteurs de la cybersécurité comme Stormshield s’intéressent tout particulièrement aux rapports détaillant les processus de cyberattaques et les indices de compromissions des solutions incriminées.
Les entreprises qui communiquent a bon escient sur les actions de remédiation effectuées et tirent parti de leur expérience de crise, peuvent en ressortir renforcées. A condition que les dommages restent dans une certaine limite …