Le rôle des RSSI dans la gestion de communication post-cyberattaque

Les réponses aux récentes cyberattaques suggèrent que les entreprises peuvent avoir du mal à faire passer le bon message au milieu d'un incident. Bien que la gestion de la communication autour d'un incident ne soit pas du ressort direct du RSSI, la mise en place d'un plan de communication est un élément essentiel de la cyberpréparation. « La communication est un élément essentiel d'une bonne stratégie cyber, et elle doit être préparée et pratiquée dans les organisations avant qu'un incident ne se produise », explique Eden Winokur, responsable cyber chez Hall & Wilcox, qui aide notamment les entreprises à gérer les cyberincidents.

Le conseil d'Eden Winokur est de pécher par excès de transparence, tout en veillant à l'exactitude lorsqu'il s'agit de répondre à un cyberincident. « La cybersécurité n'est pas seulement un risque informatique. C'est vraiment un risque d'entreprise, et un élément clé de la cyberpréparation comprend une stratégie de communication au sein de l'organisation et avec les parties prenantes externes ». S'il s'agit d'un incident important, il est vital de s'engager avec des personnes qui ont une expérience spécifique dans la gestion des cyberattaques. « Nous recommandons souvent de faire appel à des experts pour aider les entreprises à comprendre les implications de leurs communications et la façon dont certaines choses seront reçues par le public ou les médias », note Mme Winokur.

Etablir un plan détaillé

Bien que les associations ou les gouvernements ne fournissent que peu de conseils officiels sur l'élaboration d'un plan de communication, l'équipe de communication, en collaboration avec la direction générale, le service juridique et l'équipe du RSSI, doit participer à l'élaboration de la réponse. Elle doit tenir compte des obligations de divulgation prévues par les réglementations sur la protection de la vie privée, les sociétés cotées en bourse et les organismes d'application de la loi. Eden Winokur recommande de commencer par analyser et enregistrer toutes les parties prenantes pertinentes de l'organisation, internes et externes, et de tenir ce registre à jour au fur et à mesure que les choses changent.

« Nous recommandons également aux entreprises de passer en revue leurs principaux contrats et de comprendre quelles sont leurs obligations en matière de communication avec les clients ». Les déclarations préparées qui ont déjà été approuvées peuvent être adaptées rapidement et jetteront les bases d'une réponse organisée. « Il doit y avoir des modèles qui peuvent être adaptés à la question spécifique en jeu », poursuit Eden Winokur. Ces modèles peuvent être envoyés aux employés, au gouvernement, aux parties prenantes, aux clients, sur le site web et à tout autre endroit où cela peut être nécessaire.

Ne pas précipiter la communication avec les parties prenantes après l'incident

Lorsque des cyberincidents se produisent pour la première fois, l'envie de rassurer, voire de contenir l'incident, est forte. Mais le besoin de précision est primordial, prévient Andrew Moyer, vice-président exécutif et directeur général de Reputation Partners, qui gère les communications de crise. « Vous voulez être le premier à planter le drapeau narratif », dit-il. Si les entreprises prennent de l'avance et publient des déclarations définitives, basées sur ce qu'elles ont compris à un moment donné, pour ensuite se rétracter ou changer d'avis, le désastre peut être encore plus grand. Soudain, un cyberincident se transforme en une véritable crise de relations publiques. Si les choses changent, comme elles ont tendance à le faire, cela peut soulever des questions quant à la crédibilité de l'organisation. « Ce que vous ne voulez pas faire, c'est dire quelque chose avec une telle spécificité que vous risquez de devoir revenir en arrière et de perdre votre crédibilité », explique M. Moyer.

Les cyberattaques devenant de plus en plus régulières chaque année, le grand public a un certain niveau de compréhension, voire d'attente, quant aux incidents qui se produisent. Par conséquent, Andrew Moyer pense que les gens sont plus à l'aise avec des déclarations nuancées, de sorte que « vous ne vous mettez pas dans un coin absolu ». Au lieu de viser des chiffres exacts, par exemple, il recommande d'utiliser un langage qui inclut « des termes d'échelle relative tels que 'Nous sommes conscients qu'il s'agit d'un nombre limité de personnes touchées' plutôt que 'nous pensons qu'il s'agit de 1 000 personnes' ». Toute personne en position de première ligne a besoin d'un signe d'alerte précoce que quelque chose s'est produit et d'une ligne directe avec les décideurs pour soulever la question de savoir quand il est nécessaire d'activer le plan de crise. « Il est essentiel, dans le cadre de toute stratégie de communication, de s'assurer que vous êtes précis et de reconnaître si une enquête est en cours, et de faire cette déclaration encore et encore. Il s'agit en partie d'élaborer ces documents sous forme de modèles dès le début, afin que les personnes concernées les examinent et les approuvent. Et vous pouvez avancer un peu plus vite », explique M. Moyer.

S'assurer de l'existence d'un bon plan de communication

Un plan de communication existant aura cartographié le flux d'informations pour s'assurer que les bonnes personnes sont informées assez rapidement pour s'organiser et diffuser l'information afin que tout le monde reçoive un message cohérent. Il peut établir l'équipe de réponse à la crise, qui comprend le RSSI, le responsable de la communication et les RH, s'il s'agit d'une violation interne. L'objectif est de faire en sorte que chacun comprenne son rôle et sa responsabilité dans cette réponse particulière, ainsi que la préférence de l'organisation pour l'équilibre entre rapidité et précision.

Cependant, la force d'un plan dépend de sa mise à l'épreuve. « La révision vous donne la possibilité d'évaluer régulièrement vos risques. Y a-t-il de nouveaux risques auxquels nous n'avons pas pensé l'année dernière et contre lesquels nous devons nous préparer ? Y a-t-il des lacunes et des vulnérabilités que nous pouvons corriger ? » Disposer d'un plan entièrement élaboré, c'est éviter le problème de se fier à la mémoire collective de l'organisation sur la façon de gérer les crises. « Cela permet également de s'assurer que si vous êtes la personne qui possède toutes ces connaissances institutionnelles, et que vous partez à la retraite ou que vous partez, il y a quelque chose vers quoi se tourner en cas de violation », ajoute Andrew Moyer.

Le recours au conseil externe, un atout dans la gestion de crise

En matière de cybersécurité, il y a une liste d'éléments à prendre en compte, notamment les exigences de notification aux niveaux national, local, fédéral et international, les dispositions contractuelles avec les partenaires ou les clients, etc. C'est pourquoi M. Moyer recommande de disposer d'un conseil externe et d'un service de communication de crise en numérotation rapide. « Le fait d'avoir ces relations établies à l'avance vous permet d'agir plus rapidement sur le moment ». Il peut également arriver que l'on doive mettre un frein à la communication parce qu'elle peut potentiellement aggraver la situation. Les conseils en communication externe sont alors utiles. « Ils peuvent évaluer des critères clés pour décider si vous devez changer votre posture, de plus réactive à plus proactive. Devons-nous changer le message ou le récit que nous diffusons ? » poursuit Andrew Moyer.

Pour les RSSI, Andrew Moyer recommande de mettre en place un bon plan opérationnel et de le communiquer en interne aux autres parties prenantes, tout en comprenant comment leur réponse opérationnelle s'intègre dans une réponse de communication. C'est une voie à double sens. « Ainsi, les responsables de la communication comprennent la réponse opérationnelle et l'équipe de réponse opérationnelle - les RSSI - comprend ce à quoi la réponse de communication doit ressembler », explique-t-il. « Il s'agit de les encourager à établir ce lien entre ces fonctions, si ce n'est pas le cas actuellement ». « Il ne s'agit pas de surcharger de communications une personne qui se concentre sur une réponse opérationnelle critique ; il s'agit simplement de s'assurer que le flux d'informations, la structure et le processus en place dans une organisation permettent d'avoir les meilleures chances que cela se produise ».

La détection des incidents donne le ton des communications

La détection précoce n'est pas seulement essentielle pour limiter les dégâts, elle fait aussi partie intégrante de la gestion de la réponse. Paul Black, associé des services d'expertise judiciaire de KPMG et spécialiste de la réponse aux cyberincidents, explique que la façon dont les organisations découvrent qu'elles ont été victimes d'un incident peut déterminer la manière dont elles y répondent. Il arrive souvent que les organisations ne se rendent compte qu'il y a eu une violation que quelque temps plus tard, parfois lorsque leurs données commencent à apparaître sur le dark web. « Il y a souvent une réaction de panique et des communications de panique parce qu'il est assez courant pour les organisations d'apprendre d'un tiers, qu'il s'agisse d'un client ou d'un consommateur, ou même d'un concurrent, d'un organisme d'application de la loi ou d'un organisme de réglementation, que des données se trouvent sur le dark web. Elles ne peuvent donc pas nécessairement prendre les devants », explique M. Black.

S'ils parviennent à comprendre rapidement la cause profonde, cela ouvre la voie « pour s'assurer que les bonnes parties prenantes sont impliquées, que les bonnes notifications sont faites, que les données peuvent être gérées et que les communications avec les tiers peuvent être gérées de manière appropriée », ajoute-t-il. « L'élément de détection et de sensibilisation est en fait lié à l'élément de communication, car plus tôt vous êtes informé, mieux vous êtes en mesure de comprendre et de transmettre l'information. Et peut-être que ce lien n'a pas toujours été vraiment explicite dans l'espace de sécurité et pour les RSSI ».

Paul Black recommande aux entreprises d'utiliser leur cyberassurance lorsqu'elle couvre les relations publiques et la communication de crise. Cela peut aider à répondre aux incidents, notamment lors des discussions sur les « joyaux de la couronne » de l'organisation et sur la manière de gérer les obligations de divulgation. Dans certains cas, le moyen de communication peut faire partie du problème, comme dans le cas de la compromission du courrier électronique professionnel (BEC), et il peut donc être nécessaire de le fermer pendant un certain temps, ce qui ne fait qu'ajouter aux difficultés. Avant tout, il est essentiel de disposer d'une chaîne de commandement établie pour gérer les incidents, qui tienne compte de l'aspect communication interne et externe.

Simuler des scénarios d’attaque est la meilleure des préparations

Il faut également tenir compte du fait qu'à l'ère des communications numériques, il est aussi important de communiquer en interne que de divulguer en externe. « Ces choses peuvent être incroyablement sensibles. Il n'est peut-être pas approprié de communiquer en interne pour dire : « Nous avons subi une violation de données, nous enquêtons dessus », car le lendemain, cela pourrait faire la une des journaux », explique-t-il. M. Black encourage également les RSSI et les hauts responsables à prendre le temps de simuler des scénarios pour tester le plan d'intervention. « Il s'agit de faire transpirer les hauts dirigeants dans un scénario de cyberattaque, ce qui ne correspond pas nécessairement à un plan de réponse aux incidents préétabli », explique-t-il.

Il conseille aux RSSI de ne pas éviter les exercices difficiles et de se contenter d'une séance d'information par crainte d'embarrasser les hauts responsables de l'organisation. « C'est la pire chose à faire, car il faut mettre les gens sous pression en leur faisant vivre un scénario dans un environnement sûr. C'est comme ça que les incidents fonctionnent, c'est une pression immense ». « Le meilleur résultat, c'est si cette organisation repart avec 100 lacunes identifiées et que chacun a une liste de 20 points d'action qu'il doit corriger. Cela signifie que, collectivement, vous avez identifié les points sur lesquels les capacités de réponse ne sont pas à la hauteur, que vous pouvez y remédier et ensuite augmenter vos capacités », explique M. Black. « Les entreprises qui réagissent le plus efficacement ont pris le temps de se mettre au défi et de mettre à l'épreuve leurs dirigeants, et de tirer les leçons de ces exercices ».