Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Guerre et Paix : Quelles stratégies de communication en matière de Cybersécurtié

novembre 2020 par Serge BRAMI, Gobal Security Mag

L’Observatoire du FIC tenu le 28 octobre en visioconférence et présidé par le Général Marc Watin Angouard, a exploré les différentes stratégies de communication corporate en période de « paix » ou en cas d’attaque cyber. Lors de la table ronde animée par :
• Christian Poyau, président de la commission transformation numérique du MDEF, et président de Mircropole
• Stéphanie Ledoux, fondatrice du cabinet en gestion de crise Alcyconie
• Pierre-Marie Lore, CISO de la RAPT
• Sylvain Faure : associé chez Avisa Partner, et responsable de communication de la campagne aux élections présidentielle de 2017 d’Emmanuel Macron.

Les thèmes suivants ont été abordées : Communiquer sur sa résilience Cyber est-il un avantage concurrentiel ? Comment communiquer lors d’une attaque ? Quel exemple de gestion de crise en cas d’attaque ? S’affirmer cyber-secure est-il un avantage concurrentiel ?

Pour Stéphanie Ledoux, la stratégie de communication doit être adaptée à l’activité de l’Entreprise.
Communiquer sur la sécurité cyber de ses produits est un atout pour les sociétés commercialisant des solutions High Tech du type IOT, domotique, voiture autonome connectée, Cloud etc. C’est au cœur de l’argumentaire. L’enjeu est de rassurer les clients, les consommateurs. Il faut expliquer que le produit répond aux attentes, voire aux exigences un jour obligatoires en matière de sécurité.
En revanche pour des entreprises qui commercialisent des produits ‘conventionnels’ comme des assurances, des services bancaires… communiquer largement sur la cyber sécurité est à contre effet. Cela va inquiéter les clients et attirer les malveillances. Par contre communiquer sur des Bug Bounty en visant une catégorie de la population qui deviennent des influenceurs, peut faire partie de la stratégie. Les entreprises devraient donc établir une charte cyber, comme elles ont établies une charte éthique ou RSE.


Selon Christian Poyau, la situation est différente entre PME et Grand groupe car les moyens ne sont pas les mêmes.
Les grandes entreprises distinguent le RGPD et la Cyber sécurité.
Pour le RGPD, elles doivent communiquer sur leur conformité aux réglementations, même dans les rapports obligatoires.

Pour la Cybersécurité, la communication corporate est discrète, prudente. Les grandes entreprises sont conscientes des risques et se préparent du mieux possible. Elles savent que la protection n’est jamais parfaite et qu’une attaque est inéluctable... Il y a quelques années le fait de subir une attaque cyber contribuait à la volatilité du cours de l’action. Aujourd’hui, le fait d’être attaqué est moins sensible, ce qui est regardé, c’est la manière de gérer l’attaque.
En revanche, pour les réponses aux grands appels d’offre publics ou privés, le sujet Cyber monte à une vitesse exponentielle. La communication doit être très travaillée. Si la note Cyber de la réponse n’est pas bonne, l’entreprise peut être éliminée.

Les PME sont loin de ce sujet. La majorité n’a pas les outils pour traiter ce risque. Elles ne communiquent pas dessus. Elles ne sont pas préparées. La cyber est un dossier qui s’ajoute à tous les autres. Pour la réponse aux grands appels d’offre, les PME s’associent. Des filières se mettent en œuvre pour adresser le sujet.


Pour Pierre-Marie Lore, la RATP communique modérément en étant cohérente avec la réalité en matière de cybersécurité. En tant que groupe de transport avec délégation de service public, la RATP doit rassurer sur la sécurité de ses passagers et la sécurité des données confiées. La RATP communique vers ses clients, les collaborateurs, le top management. La communication sur la Cyber relève de la stratégie d’entreprise. La cyber n’est pas un produit c’est un process qui s’inscrit dans la chaine de valeur, s’appréhende de façon collective. La RATP ne fait pas de "cyber washing". Elle tient ce discours avec humilité. La RATP est aussi un groupe international et des clients à l’étranger auditionne le CISO pour comprendre comment la RATP était organisée en matière de sécurité informatique

Par ailleurs, les OIV et les OSE ont obligation de limiter leur communication et d’informer les autorités institutionnelles. Ils doivent s’y préparer correctement Comment communiquer en cas d’attaque ?

Christian Poyau considère qu’une entreprise attaquée n’est plus soumise à l’opprobre. La réponse de l’Écosystème est différente. Il faut distinguer les entreprises dont le marché est BtoB et celles dont le marché est en BtoC.
• En BtoB , la communication spécifique. La société communique avec les RSSI de ses partenaires, fournisseurs, clients, les investisseurs et vers les autorités. La communication est aussi gérée en interne et vers le public.
• En BtoC, l’entreprise est face à une opinion publique, dont la réaction peut être irrationnelle. Les "fakes news" répandues dans les réseaux sociaux peuvent embraser le sujet.
• Dans tous les cas, la réaction face à une attaque n’est pas de la seule responsabilité du RSSI, mais nécessite de la transversalité. Le chef d’entreprise a la responsabilité d’organiser la collaboration nécessaire et de se préparer par une mise en situation, à l’aide de jeux de rôles par exemple. On se prépare psychologiquement, par des procédures et par la qualité de l’exécution. Par ailleurs le RGPD, art 33, 34 rend obligatoire d’informer les personnes dont les données semblent avoir été compromises.

Selon Stéphanie Ledoux : En cas d’attaque, chaque entreprise doit définir sa méthode : dans telle ou telle situation, que fait-on et avec qui, comment on communique et vers qui. Une entreprise qui communique bien est considérée comme mature. On explique en interne et en externe que l’entreprise est en ordre de bataille, qu’elle prend les bonnes dispositions. La communication doit être précoce, puis se maintenir dans la durée, dans la transparence sur des éléments factuels et établis, sans tout dire bien sûr. Même si on ne sait pas encore ce qui se passe, on explique qu’on mobilise les moyens, que l’on est front, on a déclenché un plan. Surtout on ne fait pas d’hypothèses qui pourraient être démenties par les évènements ou des fuites sur les réseaux sociaux. La communication ne doit pas mettre l’entreprise sous pression. Communiquer ce n’est pas inonder mais il ne faut pas laisser la chaise vide. Certaines entreprises qui veulent cacher l’attaque, ne savent pas comment la qualifier, (indisponibilité, panne système) ou minimisent les conséquences s’en repentent souvent.

Pierre Marie Lore estime qu’avant de communiquer, ils font bien qualifier les incidents. Il faudrait créer une échelle de gravité « officielle » comme pour les incidents nucléaires avec l’INES (International Nuclear Event Scale) . Il faut aussi comprendre l’intention du hacker : ransomware, espionnage technique, vols de données bancaires, personnelles, leaking... Et avoir une communication adaptée.

Sylvain Faure

Un témoignage de gestion de crise : L’attaque du SI du bureau de campagne d’Emanuel Macron en 2017

Sylvain Faure considère que les données des mouvements politiques ne sont pas d’une grande sensibilité (pas de données bancaires, pas de secret de fabrication). Les Cyber attaques dans des campagnes électorales veulent semer le doute chez les électeurs et montrer que le candidat ne mérite pas la confiance. Suite à l’attaque du SI du bureau de campagne d’Emmanuel Macron, les équipes ont réagi comme suite

1/ Qualification de l’attaque : voir ce qui a été volé comme par exemple des boites mail et fichier des donateurs... Evaluer les dommages, et adapter la communication au niveau du dommage. Il faut aussi comprendre l’intention des attaquants : ce n’est pas pareil si le hacker veut vous soutirer de l’argent, endommager votre réputation ou vous disqualifier pour les élections.
2/ Réparation des systèmes compromis
3/ Communication : vis-à-vis des électeurs, vers les donateurs, en interne.

Cela évite de paniquer. Une cyber attaque a un caractère mystérieux, ésotérique. Il faut anticiper les conséquences.

Si des données sensibles volées vont être diffusées, il faut très vite organiser une contrattaque, comme informer les médias en leur demandant de la modération.

Cependant, on ne pas entrer dans le déni, la minimisation ou la contextualisation car on va être confronté à une réalité que l’on voulait garder cachée. Une réputation peut être attaquée. Le travail doit être collectif et la confiance, la solidarité au sein de la cellule de crise est essentielle.




Voir les articles précédents

    

Voir les articles suivants