Depuis plus d’une décennie, nous confions nos données au web, nous nous exposons, en tant qu’individu, entreprise, grande organisation. Dans un monde où tout commence à devenir immatériel, les paiements, les flux d’informations, tout peut potentiellement être attaquable : du portefeuille, à l’image même. Et les droits interne et international ont bien des difficultés à faire face aux problèmes que pose le numérique. Il n’a pas de frontière, toute présence se révèle donc un risque potentiel. La menace peut autant provenir de l’intérieur que de l’extérieur, les salariés n’étant bien souvent pas assez formés à l’exploitation des outils permettant de contrer les risques informatiques, et aux règles élémentaires de sécurité informatique ; la culture d’entreprise n’est pas assez forte sur ces aspects.
Pourquoi devriez-vous porter une attention particulière à la Cybersécurité : « une attention et un engagement de tous les instants. » [FireEye]
Ce que nous observons tout d’abord, c’est le manque de culture de la cybersécurité dans notre société, même si on lui accorde de plus en plus d’importance, « le déni du risque » dans les entreprises est encore bien présent pour Frans Imbert-Vier, PDG de l’agence Ubcom.
En premier lieu, cela n’arrive qu’aux autres ; en second lieu qu’une attaque fasse la une de la presse n’arrive que quelques fois dans une année.
Pourtant, chaque jour, des entreprises sont victimes de la cybercriminalité. En réalité, il est facile pour des groupes expérimentés de pirates informatiques spécialisés dans le ransomware notamment – « structurés comme des mafias » pour reprendre les mots de M. Imbert-Vier –, ou pour de simples individus ayant des connaissances sur les malwares ou encore le phishing, d’organiser une attaque avec peu de moyens. Il est donc d’une importance vitale pour les entreprises de se prémunir contre ce fléau et de penser aux stratégies de communication à adopter en cas d’attaque.
Les conséquences d’une cyberattaque : plusieurs cas emblématiques
• Le cas de Target « Data breach »
Nous pouvons pour un premier exemple remonter jusqu’en 2013 avec une attaque survenue en pleine période de fêtes de fin d’année, et une réaction d’entreprise tristement reconnue aujourd’hui comme étant un « cas d’école ».
Entre le 15 novembre et le 17 décembre, l’enseigne de grande distribution américaine Target est victime d’une attaque d’ampleur. Une brèche dans le système de sécurité a permis aux pirates de voler plus de 40 millions de données bancaires et 70 millions de données personnelles. Pour donner une idée de grandeur plus parlante, un tiers des Américains a été touché par cette attaque, pendant les fêtes. Début 2014, suite aux investigations de l’agence Reuters, on apprend que VISA Inc avait mis en garde les grandes enseignes contre les nouvelles stratégies des hackers. VISA Inc avait même donné les moyens à celles-ci pour s’en prémunir. Reuters nous a également appris, que ce n’est autre qu’un blogueur, Brian Krebs – spécialiste en cybersécurité –, qui a signalé la brèche suite à une probable fuite en interne. La réaction des investisseurs, puis du grand public a mis l’enseigne au pied du mur, la forçant à révéler l’ampleur de l’attaque. Plusieurs mois après l’attaque, un communiqué de Target annonce un changement de gouvernance. Par ailleurs, l’entreprise se dit confiante, exprime sa volonté d’entreprendre de véritables « transformations » pour l’avenir et rappelle ces ambitions.
La communication tardive a provoqué une réaction en chaîne dépréciant l’entreprise, désormais connue pour être « laxiste » en matière de sécurité. Par ailleurs, le cas de Target illustre parfaitement l’enchainement des scénarios d’évolution défavorables après une attaque. Voici pourquoi :
En premier lieu, l’attaque grève le budget de l’enseigne, qui doit à grands frais se doter des meilleurs experts techniques pour colmater la faille. Elle doit également financer les frais de notification, les amendes, et le procès. Pratiquement dans le même temps, les médias s’emparent de cette information et alarment la clientèle ; l’enseigne est discréditée.
L’événement entraîne la démission du CEO Gregg Steinhafel, quelques mois après l’attaque. Il est accusé de n’avoir pas réagi suffisamment rapidement après la découverte du piratage, et n’avoir pas pris les mesures appropriées et jugées nécessaires. Il rejettera ses accusations.
« Depuis le début de cette histoire de vol massif de données, je me suis engagé à ce que Target se transforme en une meilleure compagnie tournée plus que jamais dans la satisfaction client. »
Lettre adressée au conseil d’administration de Target.
Les concurrents se sont servis de l’emballement médiatique pour récupérer ses clients. En outre, le bilan humain et financier de cette attaque se révèle très lourd pour Target, son image est durablement entachée, en témoignent encore aujourd’hui les nombreux tweets sur cette affaire.
• Le cas TalkTalk
Deux ans après le « Data Breach », une autre cyberattaque d’ampleur touche l’opérateur de téléphonie mobile britannique TalkTalk. Il admet alors (pour la troisième fois) qu’il vient d’être victime d’un vol de données. Selon ses services, 150 000 de ses abonnés auraient été touchés. Si l’incident n’est pas considéré comme « une vaste attaque », les conséquences seront tout aussi lourdes. Pourquoi ? Les pirates informatiques ayant commis ce vol sont… des adolescents. Toute communication sur l’intrusion est vaine, le simple profil des hackers a infligé à l’opérateur une lourde perte en crédibilité.
• Le cas d’Altran
Mi-janvier 2019, l’entreprise de conseil en ingénierie procède à la déconnexion de tous ses serveurs suite à une attaque. Il est intéressant d’observer son temps de réaction. Il lui a fallu quatre jours pour admettre officiellement l’incident. Le 28 janvier, l’entreprise diffuse finalement un communiqué, qui reste laconique :
« Nous avons mobilisé des experts techniques et d’investigation indépendants mondialement reconnus, et l’enquête que nous avons menée avec eux n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. Notre plan de rétablissement se déroule comme prévu et nos équipes techniques sont pleinement mobilisées ».
Il peut être qualifié de classique, de laconique, mais il témoigne surtout d’un déni de la part de l’entreprise. Il évoque seulement l’intervention « d’experts », alors que finalement, une dizaine de jours après l’attaque, la société tournera toujours au ralenti, ce qui bien entendu, inquiétera ses clients au nombre desquels Safran, la SNCF, et bien d’autres. Avec une communication opaque, les clients peuvent ainsi s’imaginer que l’attaque est bien plus importante que celle dont ils ont connaissance.
Que retenir de ces réactions et de la communication des entreprises après ces attaques ?
Tous les domaines d’activité peuvent être touchés, et bien évidemment, selon le profil des pirates, l’entreprise visée, l’ampleur de l’attaque, la cible précise, voici quelques erreurs notables que nous pouvons relever dans les communiqués :
- Absence de communication spontanée : l’entreprise s’exprime parce qu’elle y est contrainte. Généralement, la fuite, ou même l’attaque, provient de l’interne (des employés qui en parlent à leurs amis, etc.), ou de blogueurs experts dans le domaine, entachant encore plus l’image de l’entreprise qui a donc voulu au départ, taire l’affaire. Les blogueurs spécialisés dans le cyber sont à suivre avec attention, ils sont reconnus, peuvent avoir les informations les premiers et sont parfois même en contact direct avec les pirates. Dans le paysage cyber français, on pourrait parler de Zataz.
- Emploi de mots susceptibles de minimiser l’importance de l’événement pour le client (dans l’hypothèse où l’entreprise communique) ; ainsi, on note souvent la répétition de vocables tels que « aucun », « simple incident », « n’a pas », comme si une attaque était négligeable. Dans le cas de Ramsay Générale de santé : « L’attaque handicape le travail mais n’a pas d’impact sur les patients ». Pourtant, si le travail des employés est perturbé, les patients peuvent être impactés d’une certaine manière, ou légitimement inquiets…
- Généralement, quelques éléments chronologiques sont fournis, mais le manque de transparence, une communication prosaïque, sont manifestes ; et des questions demeurent, la durée de l’intrusion par exemple, le volume de données subtilisées, mais aussi le flou quant au rétablissement des services.
- Facteur humain souvent sous-estimé. Les internautes aujourd’hui connaissent le risque majeur que présente le numérique. Il faut donc plus de résilience, plus de transparence. Une cyberattaque induit de multiples rebondissements délétères : des démissions, un mécontentement ressenti par plusieurs parties prenantes, des pertes de ressources humaines et financières.
- Il est enfin fondamental de penser à l’interne. Vos employés sont inquiets, ils n’ont plus accès à leurs outils, ne savent peut-être pas s’ils vont être payés, s’ils vont devoir poser leurs congés etc. suivant l’ampleur de l’attaque.
Mais alors, quelles stratégies adopter ?
La stratégie à adopter est bien entendu différente selon les cas, mais que ce soit une atteinte à la réputation, une perte de confiance des clients, de ses employés etc. voici quelques recommandations à prendre en compte :
- Ne pas se laisser aller au déni :
o La crise va durer longtemps
o Une gestion de crise opérationnelle ou technique, qui n’implique que l’IT n’est pas suffisante (rétablir les serveurs, récupérer les données, etc., constitue bien sur l’urgence, mais cela ne suffit pas)
o Les attaques cyber occasionnent des crises multiformes (réputation, juridique (loi RGPD), RH, scandale de type compliance, etc.)
- Prendre l’initiative de diffuser un communiqué rapidement :
si possible avant que des internautes, blogueurs ou journaux relayent l’information. Ce dernier doit être clair, résumant la situation avec le plus de transparence possible. Ne pas laisser le vide et la parole aux nombreux articles, aux interrogations, aux réactions.
- Des updates sont toujours appréciables :
elles démontrent la volonté de l’entreprise de tenir au courant ses clients, ses actionnaires, des évolutions de la situation jusqu’au retour à la normale des systèmes, et de l’activité. Cette manœuvre permettra de maintenir un relationnel avec les différents acteurs, pour « occuper le terrain », et peut contribuer à entretenir la confiance qu’ils accordent à votre structure.
- Cartographier ses parties prenantes et anticiper les risques potentiels !
o En interne : penser que les employés se posent peut-être des questions sur les données volées (mes données personnelles sont-elles sauves ?). Penser également à les rassurer sur la question de la pérennité de l’entreprise et de leur place au sein de cette structure. Penser à l’anxiété que peut provoquer la perte des outils de travail (agenda, boites mails, etc.).
Ici, le cas de Saint-Gobain est intéressant. En juin 2017, la structure a subi une attaque par le groupe NotPeyta depuis une filiale en Ukraine. Des milliers de données ont été cryptées, les réseaux ont dû être suspendus, entraînant une perte de chiffre d’affaires de 220 millions d’euros. L’attitude du groupe en interne pour gérer cette crise doit être regardée de plus près. Le président s’est notamment attelé à rassurer ses collaborateurs et s’est montré très présent, en communiquant régulièrement sur la situation et sur la reprise de l’activité. Cet engagement a suscité un véritable team building, un engagement de la part des collaborateurs qui n’étaient pas habitué à cette communication. C’était également un moyen d’encadrer les informations – certifiées ou non – que pouvaient émettre les nombreuses parties prenantes internes. « « je compte sur vous, il faut servir nos clients, je vous tiens au courant, faire attention à ne pas propager des rumeurs, etc, ne pas poster les écrans noirs. »
o L’objectif : éviter les RPS, la fuite de talents, la démotivation, la perte de productivité…
o En externe : penser aux clients, aux fournisseurs, aux sous-traitants et prestataires. Penser à leurs inquiétudes (ai-je été contaminé par le virus ? mes données ont-elles été volées ? comment vais-je être payé ? etc.)
o L’objectif : ne pas s’aliéner de parties prenantes, ne pas perdre de clients ou de contrats, travailler sa social license to opperate.
- Ne pas sous-estimer le facteur humain dans une crise :
remercier ses employés qui œuvrent pour le rétablissement de la situation et qui doivent gérer une situation anxiogène : faire face à une potentielle perte de confiance de la clientèle peut s’avérer compliqué. De même, il est très important de faire preuve d’empathie envers des clients qui se retrouvent lésés, notamment en cas de vol de données ; il faut rassurer, voire parfois présenter des excuses.
- Penser aux canaux de communication disponibles :
o l’intranet est-il vraiment consulté ? vos bases de données sont-elles à jour ?
o les interlocuteurs habituels (RH, commerciaux, etc.) ont-ils été briefés pour aligner la communication ? ont-ils les ressources nécessaires pour faire face à l’afflux de questions ?
o les employés peuvent-ils être les ambassadeurs de l’entreprise ? si oui, leur avez-vous fourni assez d’éléments ?
- User de certains vocables avec prudence :
Une allégation telle que : « L’enquête est en cours et démontrera etc. » peut s’avérer gênante par la suite. Il arrive que l’enquête démontre justement que le groupe concerné par l’attaque ne prenait pas les mesures adéquates pour la protection de ses systèmes d’information. Le mieux reste d’accompagner le texte d’une description des mesures prises avant pendant et après la crise. Si enfin vous pouvez vous livrer à la plus grande transparence, n’hésitez pas à communiquer ce que vous savez.
- Penser au retour d’expérience :
Dans le cas de Saint Gobain, l’entreprise n’a pas hésité à revenir plusieurs fois sur cette attaque afin de montrer au grand public, aux clients, qu’elle en était sortie plus forte. Elle a notamment renforcé sa politique cyber défense pour réagir plus rapidement, détecter les failles en amont et identifier les risques, dans la plus grande résilience. Par ailleurs, elle organise régulièrement des tests pour sensibiliser l’ensemble des collaborateurs aux actes de cyber malveillance. Le directeur opérationnel du groupe, Claude Imauven, avait d’ailleurs déclaré « L’attaque du mois de juin nous a permis d’avoir une vision de ce que cela peut nous coûter au maximum… » . D’où l’importance de se préparer à toutes les éventualités aujourd’hui et de revenir sur cette expérience.
De même, le cas d’Airbus est notable. Fin janvier 2019, la compagnie a été victime d’une cyberattaque massive. Le communiqué de presse était exhaustif sur la description de l’attaque, ce qui a été volé et divulgué. « Des données à caractère personnel ont été consultées (…) essentiellement des coordonnées professionnelles et des identifiants informatiques d’employés d’Airbus en Europe ». Si ces déclarations peuvent inquiéter au premier abord, elles sont obligatoires, et peuvent donc aussi se révéler un moyen pour l’entreprise de démontrer toute sa transparence envers ses collaborateurs et clients. Le communiqué se termine par des mentions qui se veulent rassurantes pour tout le monde : « Aucun impact sur les activités commerciales ». Et l’évènement est qualifié « d’incident », on minimise donc son impact et on rappelle que ce n’est qu’un accident de parcours, ce qui ne devrait pas mettre en péril la confiance accordée à l’entreprise.
Sources :
• https://www.lemonde.fr/emploi/article/2019/12/11/le-turnover-des-salaries-penalise-la-securite-informatique_6022404_1698637.html#xtor=AL-32280270
• https://www.faceaurisque.com/2019/01/25/cybersecurite-barometre-2019-linquietant-constat-du-cesin-sur-les-cyberattaques/
• https://www.fireeye.fr/current-threats/what-is-cyber-security.html
• https://www.saint-gobain.com/sites/sgcom.master/files/03-07-2017_cp_va.pdf
• https://www.ticsante.com/story/4735/le-groupe-ramsay-generale-de-sante-victime-d-une-cyberattaque.html
• https://www.eurofins.com/mediacentre/safeharborstatement/?page=https://www.eurofins.com/media-centre/press-releases-2019/2019-06-03-8/
• http://www.eclaireursdelacom.fr/la-reputation-des-entreprises-menacee-par-les-cyberattaques/
• https://www.riskinsight-wavestone.com/2014/05/target-6-mois-tard-quel-retour-cyber-assurance/
• https://www.usinenouvelle.com/editorial/chez-saint-gobain-il-y-un-avant-et-un-apres-la-cyber-attaque.N651134