Les cyberattaques sont non-seulement inévitables, mais elles en posent plus simplement une menace pour les grandes entreprises ou les organisations publiques. Au Québec, des institutions d’enseignements, des PME, des cliniques et hôpitaux et même des OBNL ont récemment été ciblés

La question n’est donc plus de savoir «si» votre organisation sera ciblée, mais bien «quand» elle le sera et d’évaluer si vous avez la capacité d’y réagir. Il est fondamental de se préparer adéquatement à un incident et de mettre en place des processus afin d’augmenter la capacité de réponse et d’adaptation des organisations quand elles feront face à une attaque. C’est le concept de cyber résilience.

La cyber résilience se base habituellement sur les mêmes piliers que la cybersécurité: le juridique, pour éviter ou limiter les poursuites en lien avec les conséquences d’un incident, le service des technologies de l’information, chargé de restaurer les systèmes et de prévenir les prochaines vagues d’attaques et l’équipe des opérations, qui travailleront à maintenir la mission pendant la tempête.

Quelle que soit la taille de votre organisation, il est également impératif d’impliquer votre équipe de communication ou votre agence de relations publiques le plus tôt possible.

Pourquoi faire appel aux communicateurs lors d’un incident de cybersécurité ?

• Pour assurer la coordination de la cellule de crise
  Un incident lié à la cybersécurité est généralement suivi de la mise en place d’une cellule de crise hors-norme. En plus de la haute-direction, du service TI et du contentieux, d’autres joueurs extérieurs s’ajoutent à la table, des avocats, des assureurs, des banquiers, des représentants des forces de l’ordre et parfois même un négociateur pour la rançon. Chacun aborde l’incident et les risques qui en découlent de son point de vue : impact sur les opérations, risques de poursuites, coûts ou pertes de revenus. L’expert en communication peut aider à arrimer les visions de tous ces intervenants et agir comme un facilitateur qui aura un seul intérêt dans sa mire : protéger la réputation de votre organisation et veiller à la continuité des affaires.
• Pour mitiger l’impact de l’incident auprès des parties prenantes
  Une cyberattaque a systématiquement des impacts sur de nombreuses parties prenantes de l’entreprise, quelle que soit sa taille ou son modèle d’affaires : employés stressés et soudainement débordés par des bouleversements opérationnels, clients qui perdent confiance et choisissent un autre fournisseur, investisseurs qui retirent leurs billes ou partenaires qui remettent en cause la relation. De plus, certains cas imposent des communications proactives aux autorités réglementaires. Ces parties prenantes ne peuvent tout simplement pas être négligées.
• Pour être prêt quand la crise deviendra publique
  Vous avez tout intérêt à impliquer des experts en communications dès la découverte de l’incident, car vos ennuis peuvent se retrouver dans l’espace public très rapidement. Sur le plan des communications, vous n’avez plus le contrôle de l’agenda: quelques messages de clients insatisfaits sur les médias sociaux suffiront à mettre la puce à l’oreille des journalistes spécialisés par exemple. Il arrive même parfois, en particulier dans des attaques visant une rançon, que les pirates organisent eux-mêmes la fuite auprès des médias afin d’ajouter de la pression sur une organisation.
• Prévoir la stratégie de communication au-delà de la crise
  Quand votre organisation sera sortie de la crise, il y aura beaucoup à faire pour rétablir la confiance des parties prenantes et veiller à ce que l’image et la réputation corporative ne soient pas affectées durablement ou profondément… un boulot sur mesure pour des professionnels des relations publiques!

Bien choisir son partenaire d’affaires en cyber résilience
Une pénétration de système, une attaque par déni de service (DoS/DDoS), un rançongiciel, une interception ou un vol de données ne demandent pas la même réponse sur le plan des TI. Ces incidents fort différents ne commandent non plus pas la même stratégie sur le plan des communications et des relations avec les parties prenantes. Il est donc primordial de choisir un partenaire qui dispose d’experts maitrisant les enjeux de cyber résilience et ayant de l’expérience dans ce type très particulier de gestion de crise. Cela est particulièrement vrai pour les enjeux liés au vol ou à la perte de renseignements personnels, qui tombent sous le coup des nouvelles dispositions de la Loi 25, notamment en ce qui concerne les déclarations obligatoires.

Sébastien Fassier est vice-président chez TACT, une agence membre A+ de l’Alliance des cabinets de relations publiques du Québec.