Connect with us

Technologie

Cinq conseils pour vous assurer que votre plan de communication de crise est prêt pour une cyberattaque

Published

on


Le 12 mai 2021, l’administration Biden a dévoilé un décret visant à améliorer les défenses de cybersécurité des États-Unis. L’approche vise à « améliorer ses efforts pour identifier, dissuader, protéger contre, détecter et répondre à ces actions et acteurs ».

C’est une bonne nouvelle, mais depuis lors, nous avons continué d’assister à des attaques débilitantes, de JBS à Kaseya. Les entreprises continuent de faire face à des menaces existentielles de cyberattaques et maintenant le conseil d’administration et la C-suite se retrouvent avec cette réalité inévitable: ce n’est pas si, mais quand votre entreprise fera face à une cyberattaque.

Et lorsqu’ils sont confrontés à cette réalité, le conseil d’administration et la direction se rendront rapidement compte que les cyberattaques sont très différentes des autres crises d’entreprise , ce qui nécessite une approche pragmatique et personnalisée pour communiquer avec toutes les parties prenantes lorsqu’une violation se produit.

Les questions les plus pressantes que le conseil d’administration et les autres cadres devraient se poser sont les suivantes :

  • En cas de cyberattaque, l’entreprise est-elle prête à se conformer aux exigences réglementaires en matière de rapports?
  • A-t-il réfléchi à la façon dont il communiquera avec les intervenants touchés au cas où les principaux canaux de communication auraient été compromis dans l’atteinte?
  • Comment l’entreprise devrait-elle réagir publiquement sans inciter davantage les acteurs de la menace à lui faire plus de ravages?

Vous trouverez ci-dessous cinq conseils de communication de crise que le conseil d’administration et la direction devraient prendre en compte lorsqu’ils réfléchissent à la stratégie globale de cybersécurité.

1. S’assurer qu’un membre senior de l’équipe des communications fait partie de l’équipe d’intervention en cas d’incident cybernétique

Chaque entreprise devrait avoir une équipe de réponse aux incidents cybernétiques (CIRT, ou parfois CSIRT) avec un cadre supérieur des communications inclus. Cela aidera à établir un pont entre les services informatiques, juridiques, les cadres supérieurs et les partenaires externes, et à faire en sorte que l’équipe des communications ait accès en temps opportun à des renseignements exacts au fur et à mesure que l’atteinte se déroule.

Avoir accès est la moitié de la bataille dans une crise cyber-spécifique et garantit des examens et des approbations en temps opportun des décisions et du contenu nécessaires pour que l’équipe puisse communiquer de manière transparente à l’interne et à l’externe tout au long de l’événement. Si le CIRT n’a pas de rôle officiellement défini pour un responsable des communications, la réponse de communication de l’entreprise en souffrira grandement.

2. N’incitez pas davantage les acteurs de la menace avec des communications indisciplinées

Si vous êtes membre du conseil d’administration ou que vous faites partie de la direction d’une entreprise qui se trouve au milieu d’une cyberattaque – en particulier une attaque de ransomware qui implique des négociations de rançon et des données volées – une priorité absolue est de s’assurer que toute communication est mesurée et attentive aux demandes spécifiques.

Tout message, qu’il soit transmis par e-mail, par un porte-parole de l’entreprise, sur les médias sociaux ou par communiqué de presse, doit trouver le juste équilibre pour répondre aux principales préoccupations des parties prenantes sans inciter davantage les acteurs de la menace.

Comment ou quand l’entreprise communique peut influencer les demandes de rançon, la durée et la gravité de l’attaque et la divulgation d’informations volées qui peuvent avoir des répercussions majeures sur la réputation de l’entreprise. Penser comme un acteur de la menace et savoir ce qui va et ne va pas les inciter davantage est primordial.

3. Restez toujours au courant des exigences de conformité et de déclaration

Il est essentiel que votre directeur des communications connaisse aussi bien les exigences en matière de conformité et de rapports en matière de cybersécurité que votre chef de la conformité. Qu’il s’agit de sociétés cotées en bourse ou de sociétés privées dans presque tous les secteurs, il existe une gamme d’exigences en matière de déclaration auxquelles les entreprises doivent se conformer qui diffèrent à l’échelle mondiale.

Par exemple, le règlement général britannique sur la protection des données exige que les organisations qui ont subi une violation de données à caractère personnel qui est « susceptible d’entraîner un risque élevé pour les droits et libertés des personnes », les personnes concernées doivent être informées « directement et sans retard injustifié ». Les incidents à déclaration obligatoire doivent également être divulgués au Commissariat à l’information dans les 72 heures.

Pendant ce temps, pour ceux qui opèrent aux États-Unis, une société cotée en bourse est tenue par la Securities Exchange Commission de déposer un formulaire 8-K pour « annoncer des événements majeurs dont les actionnaires devraient être informés ». Le défaut de le faire peut entraîner des amendes et d’autres mesures punitives.

D’autres exemples abondent. Pour les institutions financières, s’il est déterminé que les renseignements sur les clients sont mal utilisés ou violés, elles doivent en informer les organismes de réglementation, sous les auspices de la Loi Gramm-Leach-Bliley, dans un délai précis. Des conditions similaires existent au niveau de l’État.

Par exemple, les institutions financières basées à New York qui subissent une cyberattaque doivent suivre les protocoles de conformité décrits dans le Règlement sur la cybersécurité du Département des services financiers de New York.

4. La précision compte plus que la vitesse

Au milieu d’une cyberattaque, une réponse lente et inefficace pourrait s’avérer désastreuse pour la réputation d’une entreprise. La vitesse est importante, mais des informations inexactes et incomplètes causeront plus de dommages. Si l’infrastructure de communication de crise est déjà en place, combinée aux entités juridiques, de conformité, opérationnelles et informatiques appropriées, vos chances de communiquer avec précision sont mieux assurées.

5. Établir un système de communication basé sur le cloud pour atteindre les parties prenantes si les principaux canaux de communication sont désactivés lors d’une cyberattaque

Si vous présidez une entreprise qui utilise principalement le courrier électronique pour communiquer avec les employés, les clients ou n’importe qui, et que le courrier électronique est en panne en raison de la cyberattaque, il est essentiel de disposer de canaux de communication de sauvegarde pour diffuser les informations rapidement et efficacement. Les entreprises doivent envisager des plates-formes basées sur le cloud qui favorisent les communications unidirectionnelles et bidirectionnelles qui peuvent être activées en direct à tout moment.

Lorsque les canaux principaux deviennent sombres, l’entreprise ne peut pas se permettre le même sort et doit avoir des canaux de sauvegarde établis, afin de ne pas manquer un battement sur le front des communications.

Pour le conseil d’administration et la C-suite, les cyberattaques représentent une forme de crise ruineuse et en évolution rapide qui met en péril les marques et les parties prenantes. Et bien que les principes généraux de communication de crise soient pertinents, une cyberattaque est une bête totalement différente.

Les cinq conseils décrits ci-dessus aideront à renforcer le plan de communication de crise d’une entreprise en cas de cyberattaque, mais ils doivent également être intégrés à une stratégie de cybersécurité plus large. Sans cela, les entreprises contribueront à mettre en péril leur valeur, leur sécurité et leur réputation.

Ted Birkhahn est président de HPL Cyber, un spécialiste américain de l’image de marque, des communications et du marketing en matière de cybersécurité.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance