Cyberattaque : les clés d’une communication de crise sereine

Travers n° 1 : garder le silence

En mai 2021, le spécialiste du stockage ExaGrid a cédé aux exigences du groupe Conti. Mais il s’était gardé ne serait-ce que d’évoquer l’incident. La question n’est pas de juger si l’équipementier a eu raison ou pas de payer la rançon. La question n’est pas là, d’autant plus que certaines victimes cédant au chantage sont réellement dans une situation désespérée.

Le problème est le silence, non seulement sur l’incident, mais également sur son origine, son étendue et les mesures prises en réponse. Le PDG d’ExaGrid s’est refusé à répondre publiquement à la moindre question à ce sujet. Mais il y a fort à parier que ses équipes commerciales ont été bien occupées à rassurer ses clients. Avec une communication appropriée, cette surcharge aurait pu leur être évitée. La confiance n’aurait pas été entamée et les équipes commerciales auraient pu se concentrer sur leur métier : signer de nouveaux clients.

Travers n° 2 : minimiser

Au printemps 2021 encore, le groupe Hobbs, maison mère de Dispeo, Colis Privé et Adrexo, a été attaqué par un ransomware. Initialement, la communication externe a été très limitée : il ne s’agissait que d’un « incident technique ». Un message dissonant avec la communication interne que les syndicats dévoilaient déjà.

On imagine sans peine ce qui a motivé cette approche : ne pas inquiéter ; ne pas générer de panique, auprès des clients directs comme des clients finaux – notamment les particuliers qui attendaient leurs colis.

Las, plus tard, Adrexo s’est avérée incapable d’honorer pleinement son engagement de distribution de la propagande électorale. La confiance était déjà entamée : lorsque l’entreprise s’est justifiée en mentionnant la cyberattaque, elle a largement été accueillie par l’incrédulité, au moins du côté du grand public. Les crises se sont ajoutées les unes aux autres.

C’était d’autant plus compréhensible qu’après quelques jours Colis Privé reconnaissait enfin avoir été touché par une cyberattaque, mais le message officiel assurait que celle-ci avait été « rapidement contenue ».

Travers n° 3 : enjoliver

« Rapidement contenue », cyberattaque « détectée »… La tentation est assurément grande d’afficher une posture d’organisation contrôlant la situation… quand bien même un ransomware détone, si le chiffrement est déclenché, parler de détection est assurément abusif : cela relève plus de la découverte malencontreuse que de la détection préventive. Quant au « rapidement contenue », l’expression est à lire comme « nous avons déconnecté les systèmes au plus vite ».

Tenter d’apparaître en position de maîtrise (de la situation), lorsque l’on ne communique dessus qu’après sa découverte par le public, des clients ou des journalistes, ou sa revendication par les attaquants, ce n’est pas très convaincant.

Il y a longtemps que ces messages ne leurrent pas ceux qui comprennent comment se déroulent les attaques avec ransomware. À mesure que s’en étend la connaissance, ils s’avèrent de moins en moins audibles. Surtout, lorsque sont découverts des indices éclairant sur la chronologie de la cyberattaque, les efforts de communication s’effondrent. Comme ce fut le cas pour Sopra Steria, à l’automne 2020. Et là, le risque est encore d’entamer la confiance.

La clé ? La sincérité

Il existe une chance (ou un risque, selon la perspective) que les échantillons et autres marqueurs techniques de l’attaque soient découverts et viennent soit révéler l’attaque, soit contredire la belle histoire que l’on a essayé de raconter lorsqu’elle est survenue afin d’essayer de faire bonne figure. Et c'est sans compter avec les données divulguées par les cybercriminels : sans les télécharger et encore moins les conserver, il est fréquemment possible d'estimer la date de survenue de l'attaque à partir des dates de création de fichiers et dossiers.

L’histoire montre (trop) souvent qu'une belle histoire peut aisément se retourner contre celui qui la raconte, et abîmer après coup la confiance.

De mon point de vue, une « bonne » communication de crise en cas de cyberattaque est simplement une communication sincère, celle qui donne aux journalistes, au public et aux partenaires, le sentiment qu’on n’essaie pas de les mener en bateau. Une communication qui donnera envie à chacun d’adresser ses meilleurs vœux et ses encouragements à des équipes qui seront sur le pont pendant plusieurs semaines, et de les laisser travailler sereinement. Voire de leur apporter toute l’aide possible.

Car lorsque la confiance est préservée, il est fréquent que tout son écosystème se mobilise autour de la victime de cyberattaque, pour la supporter concrètement dans l’épreuve qu’elle traverse. Et ça, avec la mobilisation des équipes internes et celle d’anciens collaborateurs parfois, c’est une vraie belle histoire qui mérite d'être racontée.

Tribune initialement publiée le 17 septembre 2021, mise à jour le 25 septembre 2024.