whyframeshot - stock.adobe.com

Cyberattaque : les clés d’une communication de crise sereine

La tentation reste forte de chercher à minimiser l’incident, à enjoliver la situation, voire à la cacher purement et simplement. Mais trop d’exemples soulignent les limites d’un exercice qui peut s’avérer pénalisant à long terme.

Les chiffres sont plus qu’explicites : pour Cybermalveillance.gouv.fr, il y a eu au moins 1 077 entreprises, associations, administrations et collectivités victimes de ransomware en 2021, au 31 août, contre seulement… 166 cas connus ; un peu plus de 10 % donc. Comment expliquer ce décalage ? Au moins par la difficulté à communiquer sur les cyberattaques, quand bien même certains assurent ne pas avoir de problème à le faire parce que ce ne serait pas une « maladie honteuse », que « cela arrive à tout le monde ». Pour autant, communiquer juste semble encore difficile.

C’était le sujet d’une table ronde organisée lors du Forum International de la Cybersécurité (FIC), qui s’est déroulé début septembre à Lille. Sous l’impulsion de Caroline Moulin-Schwartz, déléguée technique du CRiP, j’y ai participé aux côtés de Stéphanie Ledoux, PDG d’Alcyconie, de Christophe Fichet, du cabinet Dentons, et de Guillaume Chéreau, d’Orange Cyberdefense. Alcyconie vient d’en publier un résumé. Un replay est prévu sur la chaîne YouTube du FIC. Dans l’attente, je vous livre mes conclusions issues du suivi de dizaines de cas depuis plus d’un an.

Travers n° 1 : garder le silence

En mai dernier, le spécialiste du stockage ExaGrid a cédé aux exigences du groupe Conti. Mais il s’était gardé ne serait-ce que d’évoquer l’incident. La question n’est pas de juger si l’équipementier a eu raison ou pas de payer la rançon. La question n’est pas là, d’autant plus que certaines victimes cédant au chantage sont réellement dans une situation désespérée.

Le problème est le silence, non seulement sur l’incident, mais également sur son origine, son étendue et les mesures prises en réponse. Le PDG d’ExaGrid s’est refusé à répondre publiquement à la moindre question à ce sujet. Mais il y a fort à parier que ses équipes commerciales ont été bien occupées à rassurer ses clients. Avec une communication appropriée, cette surcharge aurait pu leur être évitée. La confiance n’aurait pas été entamée et les équipes commerciales auraient pu se concentrer sur leur métier : signer de nouveaux clients.

Travers n° 2 : minimiser

Au printemps 2021 encore, le groupe Hobbs, maison mère de Dispeo, Colis Privé et Adrexo, a été attaqué par un ransomware. Initialement, la communication externe a été très limitée : il ne s’agissait que d’un « incident technique ». Un message dissonant avec la communication interne que les syndicats dévoilaient déjà.

On imagine sans peine ce qui a motivé cette approche : ne pas inquiéter ; ne pas générer de panique, auprès des clients directs comme des clients finaux – notamment les particuliers qui attendaient leurs colis.

Las, plus tard, Adrexo s’est avérée incapable d’honorer pleinement son engagement de distribution de la propagande électorale. La confiance était déjà entamée : lorsque l’entreprise s’est justifiée en mentionnant la cyberattaque, elle a largement été accueillie par l’incrédulité, au moins du côté du grand public. Les crises se sont ajoutées les unes aux autres.

C’était d’autant plus compréhensible qu’après quelques jours Colis Privé reconnaissait enfin avoir été touché par une cyberattaque, mais le message officiel assurait que celle-ci avait été « rapidement contenue ».

Travers n° 3 : enjoliver

« Rapidement contenue », cyberattaque « détectée »… La tentation est assurément grande d’afficher une posture d’organisation contrôlant la situation… quand bien même un ransomware détone, si le chiffrement est déclenché, parler de détection est assurément abusif : cela relève plus de la découverte malencontreuse que de la détection préventive. Quant au « rapidement contenue », l’expression est à lire comme « nous avons déconnecté les systèmes au plus vite ».

Tenter d’apparaître en position de maîtrise (de la situation), lorsque l’on ne communique dessus qu’après sa découverte par le public, des clients ou des journalistes, ou sa revendication par les attaquants, ce n’est pas très convaincant.

Il y a longtemps que ces messages ne leurrent pas ceux qui comprennent comment se déroulent les attaques avec ransomware. À mesure que s’en étend la connaissance, ils s’avèrent de moins en moins audibles. Surtout, lorsque sont découverts des indices éclairant sur la chronologie de la cyberattaque, les efforts de communication s’effondrent. Comme ce fut le cas pour Sopra Steria, à l’automne 2020. Et là, le risque est encore d’entamer la confiance.

La clé ? La sincérité

Il existe une chance (ou un risque, selon la perspective) que les échantillons et autres marqueurs techniques de l’attaque soient découverts et viennent soit révéler l’attaque, soit contredire la belle histoire que l’on a essayé de raconter lorsqu’elle est survenue afin d’essayer de faire bonne figure. Et l’histoire montre (trop) souvent que cette belle histoire peut aisément se retourner contre celui qui la raconte, et abîmer après coup la confiance.

De mon point de vue, une « bonne » communication de crise en cas de cyberattaque est simplement une communication sincère, celle qui donne aux journalistes, au public et aux partenaires, le sentiment qu’on n’essaie pas de les mener en bateau. Une communication qui donnera envie à chacun d’adresser ses meilleurs vœux et ses encouragements à des équipes qui seront sur le pont pendant plusieurs semaines, et de les laisser travailler sereinement. Voire de leur apporter toute l’aide possible.

Car lorsque la confiance est préservée, il est fréquent que tout son écosystème se mobilise autour de la victime de cyberattaque, pour la supporter concrètement dans l’épreuve qu’elle traverse. Et ça, avec la mobilisation des équipes internes et celle d’anciens collaborateurs parfois, c’est une belle histoire à raconter.

Pour approfondir sur Gestion de la sécurité

Close