Lorsqu’elles sont victimes d’une cyberattaque, certaines entreprises décident de ne pas, ou peu, communiquer sur le sujet. Pourtant, agences de sécurité nationales et CERT (Computer Emergency Response Team) encouragent à une communication aussi transparente que possible. L’objectif ? Améliorer la coopération générale face à la cyber-criminalité et rassurer le tissu économique. Mais alors, pourquoi la communication est-elle parfois tabou ? Faut-il oui ou non communiquer ? Et envers qui ?
Quand il est question de communication de la part des victimes de cyberattaque, l’exemple de celle de Norsk Hydro est saisissant. En 2019, cet industriel norvégien est victime d’un ransomware qui paralyse plusieurs usines de production et une partie de ses services de communication. La société décide tout de même d’être transparente et ouvre, dès le lendemain de l’attaque, une page publique dédiée à sa communication de crise sur son site Internet. Celle-ci est régulièrement mise à jour. Dans les mois qui suivent la crise, les médias évoquent alors Norsk Hydro comme un exemple à suivre dans la communication de cyberattaque.
Pourquoi certaines entreprises choisissent la discrétion ?
Ce cas d’école est aujourd’hui encore cité en exemple, du point de vue de la gestion de crise. Comment dès lors expliquer que certaines victimes préfèrent au contraire se montrer plus discrètes ?
« Pour une entreprise, admettre avoir été victime d’une cyberattaque est naturellement difficile », explique Yannick Duvergé, CEO et fondateur d’Exemplary, société spécialisée dans la communication de crise. « Cela revient à admettre avoir des faiblesses ce qui peut avoir de lourdes conséquences sur le business. » Pour des enjeux d’image de marque, et de business donc, il est courant de voir des stratégies visant à masquer ou minimiser les conséquences d’une attaque. Autre argument en défaveur de la communication : la crainte de créer un effet d’aubaine. D’autres individus mal intentionnés pourraient effectivement profiter du délai entre la découverte de la cyberattaque et le patch corrigeant la faille logicielle exploitée pour commettre à leur tour un certain nombre de méfaits. Il est donc primordial de mesurer le niveau de détails techniques communiqués publiquement, tant pour véhiculer un message intelligible que pour protéger l’entreprise victime, explique Stéphanie Ledoux, fondatrice et CEO d'Alcyconie, un cabinet de gestion et communication des crises cyber. « Si c’est une faille logicielle qui a été exploitée, communiquer auprès des confrères du secteur peut aussi permettre d’éviter que l’attaque ne touche d’autres organisations utilisant le même logiciel ».
Pour une entreprise, admettre avoir été victime d’une cyberattaque est naturellement difficile. Cela revient à admettre avoir des faiblesses ce qui peut avoir de lourdes conséquences sur le business.
Yannick Duvergé, CEO et fondateur d’Exemplary
En parallèle, les textes législatifs encadrent une partie des prises de parole des entreprises – dont certaines peuvent être contraintes de ne pas communiquer. Dans le cas des affaires judiciarisées, « il est fréquent que les entreprises ne puissent pas appliquer leur plan de communication de crise au rythme où elles l’entendent, le temps pour les enquêteurs de faire leur travail » rappelle Pierre-Yves Hentzen, CEO de Stormshield. Du côté des entreprises critiques, qu’elles soient Opérateurs d’importance vitale (OIV) à l’échelle française ou Opérateurs de services essentiels (OSE) à l’échelle européenne, elles sont tenues à un protocole de communication stricte. D’un autre côté, d’autres textes de loi imposent aux entreprises une certaine communication, non pas publique cette fois, mais pour informer les autorités compétentes de la cyberattaque subie. Ainsi, l’article 33 du règlement général sur la protection des données (RGPD) oblige les sociétés manipulant les données à caractère personnel des citoyens européens à suivre les protocoles d’alerte en vigueur dans les pays où elles opèrent ; à commencer par « notifier l’autorité de contrôle d’une violation de données à caractère personnel ». L’entreprise victime de la cyberattaque doit alerter les autorités au plus tard 72 heures après avoir découvert l’exfiltration des données. En outre, l’article 34 du même RGPD oblige ces entreprises à informer les personnes concernées par une fuite d’informations. Toutefois, le délai de communication est imprécis et reste à l’appréciation de l’entreprise victime de la cyberattaque et/ou des autorités judiciaires en cas d’enquête. Données personnelles, sensibles, critiques ou encore vitales ; le vocabulaire peut aussi introduire une certaine confusion. Quoi qu’il en soit, Stéphanie Ledoux rappelle que « ces entreprises sont souvent tenues contractuellement d’informer leurs parties-prenantes ou clients. C’est pourquoi il est important d’être accompagné d’un service juridique compétent pour savoir exactement ce qu’il convient de faire ou dire selon la situation ».
Ces entreprises sont souvent tenues contractuellement d’informer leurs parties-prenantes ou clients. C’est pourquoi il est important d’être accompagné d’un service juridique compétent pour savoir exactement ce qu’il convient de faire ou dire selon la situation.
Stéphanie Ledoux, fondatrice et CEO d’Alcyconie
Mais si ces éléments peuvent expliquer le silence de certaines entreprises, les experts s’accordent toutefois pour souligner que la communication en cas de cyberattaque est une nécessité.
Pourquoi les experts recommandent une communication de crise transparente ?
Stéphanie Ledoux présente ainsi la communication comme « un instrument tactique au service de la gestion de crise ». Si elle est effectuée de manière efficace, elle participe grandement à une résolution positive, comme le souligne le cas d’Anthem. Le 27 janvier 2015, cette assurance maladie américaine (l’une des plus grandes du marché aux USA), est victime d’une cyberattaque. Le 4 février, la société déploie ses premières communications publiques : elle y admet avoir été victime d’une « action ultra sophistiquée ». Et pire : les données de plusieurs dizaines de millions de clients sont tombées entre les mains des cyber-criminels. Dans les jours qui suivent, Anthem adresse des messages personnalisés à tous les clients concernés en leur conseillant les actions à mener. Alors que la situation pourrait être catastrophique pour l’image de la société, la stratégie déployée par Anthem, à l’instar de celle de Norsk Hydro, est régulièrement prise en exemple pour son sérieux et sa transparence.
Les effets positifs et durables d’une approche transparente de la communication de crise s’expliqueraient en grande partie par une meilleure acculturation du grand public. Si par le passé ce dernier pouvait incriminer les entreprises victimes de cyberattaques, ce ne serait plus le cas car « il sait que les cyberattaques sont de plus en plus courantes et peuvent atteindre toutes les entreprises, même les plus préparées », explique Sébastien Viou, Directeur Cybersécurité Produit & Cyber-Évangéliste chez Stormshield. Face à la médiatisation d’un cas de cyberattaque, le premier réflexe du public serait davantage de chercher à « en savoir plus sur la manière dont l’entreprise gère la crise et fait face à ses difficultés, analyse Stéphanie Ledoux. Il n’est plus dupe. Lorsqu’une société tente de dissimuler les effets d’une cyberattaque, cela l’alerte d’autant plus ». Ne pas communiquer par peur de subir les foudres de l’opinion publique serait donc devenu un non-sens.
Le grand public sait que les cyberattaques sont de plus en plus courantes et peuvent atteindre toutes les entreprises, même les plus préparées.
Sébastien Viou, Directeur Cybersécurité Produit & Cyber-Évangéliste chez Stormshield
De son côté, Pierre-Yves Hentzen souligne le fait que la plupart des arguments en défaveur de la communication transparente ont pour dénominateur commun la peur, en particulier celle de nuire à ses relations commerciales. Or, « c’est précisément à cela que sert la communication de crise : rassurer. Selon la situation l’entreprise n’est pas obligée d'alerter tout de suite le public, mais elle se doit de rassurer ses collaborateurs, ses parties-prenantes et ses clients ! Les conséquences de la crise peuvent-être toutes aussi importantes pour eux, et nier ce fait sera probablement plus dommageable pour la réputation de l’entreprise attaquée ».
Rappelons que l’ANSSI considère que nuire à l’image de marque d’une entreprise est l’une des quatre principales motivations des cyberattaques. L’agence française confirme ainsi que les cyberattaques les plus courantes « visent essentiellement à porter atteinte à l’image de leur cible ». Par ailleurs, Sébastien Viou rappelle qu’après leurs méfaits, « il n’est pas rare que les cyber-criminels effectuent des actions de communication sur les réseaux sociaux pour promouvoir le patrimoine de données qu’ils souhaitent revendre sur le darknet et/ou endommager l’image de marque de la victime ». De fait, l’entreprise aura beau s’évertuer à masquer ou minimiser l’impact de la cyberattaque qu’elle subit, il est fort probable que quelqu’un se chargera de faire fuiter l’information pour elle. « Mieux vaut adopter immédiatement une posture transparente pour démontrer que l’on occupe le terrain ; que l’on ne fuit pas », conclut Stéphanie Ledoux.
Comment communiquer pendant la cyberattaque ?
Pour les entreprises qui souhaitent communiquer, reste à savoir comment procéder. Le premier conseil « est d’agir vite » rappelle Yannick Duvergé. Comme nous l’évoquions précédemment, l’entreprise doit considérer que tôt ou tard des informations vont fuiter. Or, si la communication de l’entreprise est précédée de rumeurs plus ou moins concrètes, les effets peuvent être dévastateurs sur la confiance qu’accorde le public à la marque. Entre novembre et décembre 2013, l’entreprise américaine Target est victime d’une cyberattaque qui aboutit à la propagation sur le Web des coordonnées bancaires d’une dizaine de millions de clients. L’entreprise préfère ne pas communiquer. Pas de chance : une source extérieure est la première à informer le public. Cette stratégie vaut à Target d’être accusée d’avoir dissimulé l’attaque et ses conséquences potentielles pour le public. Les effets sur l’image de marque sont désastreux, et la perception des consommateurs atteint son plus bas niveau historique. D’après Sébastien Viou, les informations communiquées par des sources « externes » à l’entreprise, sont de plus en plus souvent le fait des cyber-criminels. « Ils y voient un moyen de contraindre les entreprises victimes à verser des rançons (dans le cas d’attaques par ransomware par exemple), ou à faire la publicité des données subtilisées auprès d’éventuels acquéreurs. » Pour éviter de subir le même sort que Target, il est donc recommandé aux entreprises de communiquer les premières. Un principe souvent intitulé « stealing thunder » : la communication des entreprises doit couper l’herbe sous le pied des cyber-criminels.
Mais à qui adresser les premiers messages ? D’expérience, Pierre-Yves Hentzen estime qu’il est impératif de démarrer la phase communication de crise par les collaborateurs de l’entreprise. Il convient de les informer dans la mesure du possible, mais surtout d’adopter une posture rassurante quant à « l’état de l’entreprise et de leur avenir ». C’est aussi le moment idéal pour leur transmettre la conduite qui est attendue d’eux tout au long de la crise, notamment en matière de confidentialité. « Ils seront sollicités par la presse ou des acteurs extérieurs, et doivent se conformer au plan de communication établi. Les impliquer aide donc grandement dans la résolution positive de la crise. » De son côté, Stéphanie Ledoux souligne l’importance de « ne pas adopter une posture froide, technique, ou même culpabilisante » qui pourrait amplifier la honte que peuvent ressentir les collaborateurs ayant contribué malgré eux à la propagation de la cyberattaque. « Ils sont les premières victimes du cyber-criminel et tant qu’aucune preuve de manquement aux règles de sécurité n’est apportée, il convient de les traiter comme telles », complète Sébastien Viou. L’opinion des experts s’accorde avec les recommandations de l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et les différents CERT européens. Ces deux institutions conseillent de communiquer vers les différentes cibles dans cet ordre : collaborateurs, parties prenantes (ou actionnaires), partenaires économiques (et prestataires), clients, et enfin, presse.
Les collaborateurs seront sollicités par la presse ou des acteurs extérieurs, et doivent se conformer au plan de communication établi. Les impliquer aide donc grandement dans la résolution positive de la crise.
Pierre-Yves Hentzen, CEO de Stormshield
Reste toutefois à s’assurer de la qualité des informations transmises. Or il est très difficile dans les heures qui suivent la découverte d’une cyberattaque, de savoir précisément ce qu’il s’est passé, et donc de se projeter dans une action de communication sur le sujet. Selon le cas et la gravité de l’attaque, l’entreprise peut potentiellement disposer de l’aide des autorités compétentes. En France, l’ANSSI peut diligenter des enquêtes techniques afin d’aider les entreprises victimes à cerner les aspects de l’attaque. Est-ce à dire qu’aucun message ne peut être transmis tant que le modus operandi du cyber-criminel n’est pas connu ? « L’entreprise peut commencer par reconnaître l’attaque, sans pour autant s’étaler dans les conjectures. Elle peut aussi expliquer dans quelle mesure cela affecte son bon fonctionnement. Cela a le mérite d’être transparent et de montrer que la direction de l’entreprise fait face et prend ses responsabilités », explique Stéphanie Ledoux. Ce sentiment peut d’ailleurs être renforcé si la communication de l’entreprise est « incarnée par un cadre supérieur, ou même le dirigeant de la société », ajoute Yannick Duvergé. « Ce procédé humanise la communication. La relation de confiance avec le public s’établit donc beaucoup plus facilement. » Par ailleurs, si l’entreprise estime ne pas encore avoir la possibilité de communiquer à l’extérieur de son organisation, elle peut tout de même bénéficier de certaines entités et clubs privés comme les Clubs de la sécurité de l'information en réseau (Clusir). Ses membres se voient ainsi garantir un espace d’échange relativement confidentiel où l’enjeu est le partage de bonnes pratiques et d’expériences en matière de cybersécurité.
Et après la cyberattaque ? Plusieurs mois après une cyberattaque, certaines entreprises font un bilan détaillé de leurs mésaventures. Ce type de communication a le mérite de permettre à d’autres de bénéficier de ces retours d’expérience. Sébastien Viou explique ainsi que des acteurs de la cybersécurité comme Stormshield s’intéressent tout particulièrement aux rapports détaillant les processus de cyberattaques et les indices de compromissions des solutions incriminées : « cela nous permet d’être constamment à l’écoute de la réalité du terrain ». Par ailleurs, « si l’entreprise poursuit sa communication en s’intéressant cette fois-ci aux actions qu’elle a menées et à l’expérience qu’elle en retire, elle pourrait très bien en sortir valorisée », explique Yannick Duvergé. Cette approche plus transparente a permis à Target de se sortir de son marasme initial. L’année suivant l’attaque, la nouvelle direction met en branle de nombreux chantiers de cyber-résilience, dont le montant total s’élève à près de 17 millions de dollars. En informant constamment le public de ces évolutions, elle parvient à redorer son blason et finit le trimestre au même niveau qu’avant la cyberattaque.
Preuve que le public comprend, et peut même pardonner un défaut de sécurisation. Si tant est que la communication valorise les bons arguments.