Actu
Gestion crise : Communiquez, Communiquez et encore Communiquez !
février 2016 par Marc Jacob
Le cabinet Pinsent Masons a organisé un séminaire dont le titre était « les entreprises à l’épreuve des attaques ». Afin de démontrer l’importance de la communication entre les équipes et de montrer les différentes à suivre, un jeu de rôle a été organisé dans lequel Maître Diane Mullenex, Associé du Cabinet Pinsent Masons jouait le rôle de la Présidente, Annabelle Richard avocat, Cabinet Pinsent Masons, celui du Directeur Juridique, Stéphane Omnes, Corporate Data Protection Officer DPO de Geko et ex-RSSI, Groupe ADEO était Responsable de la Sécurité des Systèmes d’Information et Jérôme Saiz, PDG de OPFOR Intelligence, ancien journaliste, auditeur de l’institut national des hautes études de la sécurité et de la justice ; était le Directeur de la Communication. Il semble au vu du cas que la communication doit être le maître mot de toute bonne gestion de crise.
Diane Mullex, Annabelle Richard, Jérôme Saiz et Stéphane Omnes
Lors de ce séminaire organisé par le cabinet Pinsent Masons, un jeu de rôle autour de gestion de crise a été organisé. Dans ce cas d’école une entreprise non s’est seulement c’est fait voler les données de ces clients mais a de surcroît subit une arnaque au Président…. Une cellule de crise est alors convoquée pour gérer cet incident :
Jérôme Saiz, le Directeur de la Communication, rapporte à son président qu’un journaliste l’a informé que des données personnelles de clients sont sur le net qu’elles sont diffusées sur les réseaux sociaux. Ainsi sur Twitter des informations circulent sans pouvoir être arrêté. Stéphane Omnes, le Responsable de la Sécurité des Systèmes d’Informations explique que cette information date d’hier et que ses équipes cherchent les sources de cette fuite. Il apprend à sa dirigeante que des connexions sur les serveurs à des heures inhabituelles ont été faites. Des données ont été aspirées à partir du compte mail du directeur commercial. Annabelle Richard, le Directeur Juridique, rappelle à sa dirigeante que l’on ne peut pas investiguer sa boite sans l’accord du directeur commercial. Après discussion avec ce dernier, il donne son accord pour que les équipes techniques puissent pratiquer à une opération de forensic sur son ordinateur portable et son ordinateur de bureau. La dirigeante rappelle qu’une charte informatique a été signée par l’ensemble du personnel et qu’à ce titre elle se demande pourquoi on a besoin de cet accord.
Au niveau de la communication, Jérôme Saiz propose d’informer les salariés et de leur préconiser la plus grande prudence lors des discussions avec la presse. Il faut aussi mettre un accent particulier avec les IRP.
On apprend par la suite que l’origine de la fuite c’est bien le compte du directeur commercial qui a été piraté…. Un vent de suspicion souffle sur ce dernier … n’y aurait-il pas un problème de concurrence du fait de la réponse à l’appel d’offre en cours…
Coup de théâtre, une arnaque au faux président est découverte et s’élève à 200.000 € viré sur un compte en Corée. Annabelle Richard informe la présidente que des contacts ont déjà été pris avec la banque pour stopper d’autres Virements et vérifier si celui-ci a été déjà validé.
La présidente rappelle qu’un VPN a été acheté et se demande pourquoi le directeur commercial s’est connecté sur une borne Wifi d’un hôtel.
Stéphane Omnes pour sa part estime qu’il y a de forte chance que ce directeur utilise le même mot de passe… De plus, comme tous les cadres à responsabilité, il a des privilèges élevés qui permettent donc une diffusion plus rapide des infections virale.
Face à cette crise le responsable communication propose de jouer la carte de la transparence. Il faut limiter la communication et être mesuré. Par ailleurs, Stéphane Omnes explique qu’un contrôle de la CNIL va sans doute être effectué.
La présidente se demande si les actions préconisées ne sont pas surdimensionnée. Elle propose de se mettre en rapport avec son assureur car une police a été souscrite pour se prémunir de ce type de dommages. Par contre Annabelle Richard préfère au préalable déposer une plainte directement auprès du Procureur de la République ou de la BEFTI, ou encore auprès des forces de polices compétentes. Stéphane Omnes explique que les données se trouvent hébergées dans un Data Center neutre qui se trouve à Saint-Denis. Donc c’est bien la BEFTI qui est compétente. Par contre, il rappelle que cette attaque a pu se diffuser car une vulnérabilité connue n’a pas été patchée.
Jérôme Saiz explique à la dirigeante la manière de communiquer en montrant que l’attaque commise a touché déjà plusieurs entreprises. De plus, Il faut montrer que l’entreprise est victime et qu’elle est très en colère car cela ce problème concerne ses clients. La communication doit montrer que les problèmes techniques ont été identifiés et qu’ils sont en cours de correction. Stéphane Omnes pour sa part informe la Présidente que les correctifs ont été déployés, que les mots de passe ont été changés....
La présidente demande si la RH a été contacté pour envisager des sanctions à l’encontre de ce Directeur. Annabelle Richard considère qu’il faut, soit, aller vite mais aussi respecter le droit et être prudent au niveau des sanctions. Il faut donc se donner du temps pour vérifier que toutes les actions menées ont bien été menées dans le respect du Droit. Effectivement, reprend Stéphane Omnes en expliquant que toutes les actions ont été menées dans le respect du droit. Il rappelle que le SOC qui a été mis au budget n’est pas encore opérationnel. Annabelle Richard intervient car elle n’a pas été informée qu’un tel outil de surveillance allait être en production. Elle rappelle qu’une information doit être faite auprès du personnel avant tout déploiement. Jérôme Saiz pour sa part demande à ce qu’un outil e-réputation soit acquis afin d’être informé avant la presse de toute atteinte à l’image. Stéphane Omnes rajoute que cet outil doit être couplé à un CERT.
L’assurance est un plus mais…
La présidente rappelle qu’un risque image avait été souscrit. Effectivement reprend Annabelle Richard ce risque est en principe couvert mais c’est pour cela qu’il faut prendre contact avec eux.
Jérôme Saiz explique qu’il serait important de savoir si des concurrents ont été touchés afin qu’il puisse le glisser dans des communications informelles avec des journalistes.
Quant au virement illicite, Stéphane Omnes explique qu’un fax de confirmation a été adressé à la banque. Ainsi, Annabelle Richard rebondi pour proposer de déposer une plainte pour faux et usage de faux.
La présidente demande à Stéphane Omnes si on a pu repérer les adresses IP de l’attaquant. Il explique qu’il est très difficile de le faire et même lorsqu’on peut le faire, on n’est pas sûr de l’origine. On ne peut que bloquer ces adresses mais surtout pas contre attaquer. Il vaut mieux laisser faire les forces de polices rappelle Annabelle Richard .
Pensez à gérer les demandes de clients via un call center dédié, une communication spécifique aux agents de sécurité…
Stéphane Omnes s’attend pour sa part à un afflux d’appels au service Clients pour exercer des droits de rectification. Ainsi, Annabelle Richard propose de mettre en place une cellule de gestion de crise et un call center dédié à la rectification des données au plus vite.
Stéphane Omnes fait le point des mesures prises le blocage de l’attaque, l’analyse forensic de l’attaque et il recommande d’accélérer la mise en production du SOC.
Annabelle Richard pour sa part explique qu’un contact est pris avec les avocats de l’entreprise pour rédiger un dépôt de plainte. Elle rappelle qu’il va falloir revoir la charte informatique.
Jérôme Saiz propose de communiquer avec la presse de façon mesurer et de former la présidente le plus rapidement possible à la communication. De plus, il faudra, après la crise faire un point de clôture et prendre les mesures techniques et organisationnelles pour parer les prochaines crises.
Attention à l’espionnage durant la crise
En conclusion, les intervenants rappellent qu’en cas de crise il faut éviter d’utiliser la messagerie de l’entreprise au risque d’être espionné par les pirates, afin d’éviter de passer par les équipements télécoms de l’entreprise. Jérôme Saiz pour sa part considère qu’il faut informer les vigiles de l’entreprise qu’ils vont être confrontés à des clients énervés et donc d’agir pour désamorcer la situation en les dirigeants vers la cellule de crise mise en place. Pour Stéphane Omnes, il faut aussi mettre en place une cellule de crise pour accueillir les agents de la CNIL.
Surtout ne pas payer en cas de demande de rançon
En cas de chantage en cours Annabelle Richard recommande de contacter la BEFTI qui vanité revint immédiatement sans prendre en compte le problème de compétence. Par contre, le conseil est de ne pas payer. Jérôme Saiz rappelle que des sociétés de négociateurs existent, elles sont d’ailleurs souvent en relation avec des sociétés d’assurances. Pour réduire les risques et les impacts il faut réunir les équipes d’experts internes et externes, ’informer les salariés. En outre, il explique qu’il faut se mettre en rapport avec les journalistes et les influenceurs sur le net pour désamorcer la crise. Il ne faut surtout pas tenter de contrôler les réseaux sociaux en essayant brutalement de faire enlever des informations. Il faut plutôt jouer sur l’empathie et la transparence.
