Votre entreprise est victime d’une cyberattaque ? Appelez (aussi) votre agence de relations publiques !

La communication stratégique au service de la cyber résilience des organisations

Octobre est le mois de la cybersécurité et la Chambre de commerce du Montréal métropolitain (CCMM) organisait récemment un Forum stratégique sur le sujet. Tous les intervenants présents reconnaissaient que l’ingéniosité et la capacité d’adaptation des pirates, certains financés par des organisations aux moyens quasi-illimités ou même des puissances étrangères, rendent les cyberattaques… inévitables!

En substance, ces experts s’entendaient pour dire que la technologie de pointe, la formation des employés (souvent le maillon faible de la cybersécurité) et autres protections, bien qu’incontournables, ne suffisent pas.
Et parce que le risque zéro n’existe pas, il est fondamental de se préparer adéquatement à un incident et de mettre en place des processus afin d’augmenter la capacité de réponse et d’adaptation des organisations
quand elles feront face à une attaque.

C’est le concept de cyber résilience.

La cyber résilience se base habituellement sur les mêmes piliers que la cybersécurité : le juridique, pour éviter ou limiter les poursuites en lien avec les conséquences d’un incident, et l’équipe des technologies de l’information, chargée de restaurer les systèmes et de prévenir les prochaines vagues d’attaques.

Quelle que soit la taille de votre organisation, il est également impératif d’impliquer votre équipe de communication ou votre agence de relations publiques le plus tôt possible.

• Pour assurer la coordination de la cellule de crise
  Un incident lié à la cybersécurité est généralement suivi de la mise en place d’une cellule de crise hors-norme. En plus de la haute-direction, du service TI et du contentieux, d’autres joueurs extérieurs s’ajoutent à la table, des avocats, des assureurs, des banquiers, des représentants des forces de l’ordre et parfois même un négociateur pour la rançon. Chacun aborde l’incident et les risques qui en découlent de son point de vue : impact sur les opérations, risques de poursuites, coûts ou pertes de revenus. L’expert en communication peut aider à arrimer les visions de tous ces intervenants et agir comme un facilitateur qui aura un seul intérêt dans sa mire : protéger la réputation de votre organisation et veiller à la continuité des affaires.
  
  
• Pour mitiger l’impact de l’incident auprès des parties prenantes
  Une cyberattaque a systématiquement des impacts sur de nombreuses parties prenantes de l’entreprise, quelle que soit sa taille ou son modèle d’affaires : employés stressés et soudainement débordés par des bouleversements opérationnels, clients qui perdent confiance et choisissent un autre fournisseur, investisseurs qui retirent leurs billes ou partenaires qui remettent en cause la relation. De plus, certains cas imposent des communications proactives aux autorités réglementaires. Ces parties prenantes ne peuvent tout simplement pas être négligées.
  
  
• Pour être prêt quand la crise deviendra publique
  Vous avez tout intérêt à impliquer des experts en communications dès la découverte de l’incident, car vos ennuis peuvent se retrouver dans l’espace public très rapidement. Sur le plan des communications, vous n’avez plus le contrôle de l’agenda : quelques messages de clients insatisfaits sur les médias sociaux suffiront à mettre la puce à l’oreille des journalistes spécialisés par exemple. Il arrive même parfois, en particulier dans des attaques visant une rançon, que les pirates organisent eux-mêmes la fuite auprès des médias afin d’ajouter de la pression sur une organisation.
  
  
• Prévoir la stratégie de communication au-delà de la crise
  Quand votre organisation sera sortie de la crise, il y aura beaucoup à faire pour rétablir la confiance des parties prenantes et veiller à ce que l’image et la réputation corporative ne soient pas affectées durablement ou profondément… un boulot sur mesure pour un professionnel des relations publiques!

Une pénétration de système, une attaque par déni de service (DoS/DDoS), un rançongiciel, une interception ou un vol de données ne demandent pas la même réponse sur le plan des TI. Ces incidents fort différents ne commandent non plus pas la même stratégie sur le plan des communications et des relations avec les parties prenantes. Il est donc primordial de choisir un partenaire qui dispose d’experts maitrisant les enjeux de cyber résilience et ayant de l’expérience dans ce type très particulier de gestion de crise. Cela est particulièrement vrai pour les enjeux liés au vol ou à la perte de renseignements personnels, susceptibles de tomber sous le coup des nouvelles obligations créées par la récente adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, le très attendu « PL 64 ».

Les experts de TACT gèrent chaque semaine des crises liées à des incidents de cyber résilience. Faites appel à eux pour améliorer votre préparation et votre capacité de réponse, notamment par l’intégration de ces enjeux à votre plan de communication, des séances de formation ou de la simulation de gestion de crise.