Cyberattaques : arrêtons d’alimenter les craintes pour la réputation

La menace d’atteinte à la réputation, à l’image, à la confiance de partenaires des victimes contribue à encourager le paiement des rançons, peut-être même plus que l’assurabilité de ces dernières.

Le message est inlassablement répété par les commerciaux et autres ingénieurs d’affaires en produits de cybersécurité en mal de peurs pour booster leurs ventes : une cyberattaque, et c’est mort pour votre réputation.

En décembre 2022, en commentaire d’une publication sur LinkedIn, on pouvait encore ainsi lire : « si une entreprise est victime d’une cyberattaque et que cela devient public, cela peut entraîner une perte de confiance de la part de ses clients, de ses partenaires et de ses employés ».

Près de deux ans plus tard, le 17 septembre 2024, Kaspersky joue la même musique dans un communiqué de presse : « si les données de vos clients sont dérobées lors d'une attaque, la réputation de votre marque peut s'en trouver gravement affectée […] Si votre entreprise est victime d'une attaque, cela peut également avoir un impact sur vos relations avec vos partenaires et fournisseurs […] les relations avec les entreprises partenaires pourraient être compromises si vous ne parvenez pas à rétablir la situation rapidement ou si vos systèmes compromettent leurs opérations ». 

Il n’est pas question de dire que ces affirmations sont fausses : elles présentent des risques qui existent objectivement. D'ailleurs, selon une analyse Bessé / G.P. Goldstein sur 48 incidents cyber sur des entreprises françaises non cotées entre 2017 et 2021, publiée en 2022, quelques semaines plus tôt, « le risque de défaillance de l’entreprise augmente d’environ 50 % dans les 6 mois qui suivent l’annonce de l’incident ». Avec une raison principale : « le facteur moteur de la dégradation économique semble être une crise de réputation et de confiance dans l’entreprise ».

Je n’ai pas en soi de problème avec l’énonciation d’une réalité ; j’ai un souci avec la manière dont elle est faite. Car la perte de confiance, en cas de cyberattaque, n’est pas une fatalité. La communication de crise joue un rôle clé dans le maintien de la confiance des collaborateurs, des clients, des partenaires, et plus généralement du public. Les auteurs de l'analyse Bessé / G.P. Goldstein le suggèrent eux-mêmes en soulignant que « la cyber résilience s’appuie sur 2 jambes, les moyens techniques et la communication ».

La sincérité est essentielle en communication de crise lors d’une cyberattaque, avec ou sans ransomware, pour plusieurs raisons développées lors d’une table ronde organisée sous l’impulsion de Caroline Moulin-Schwartz, déléguée technique du CRiP, lors de l’édition 2021 du Forum International de la Cybersécurité (FIC). J’y participais aux côtés de Stéphanie Ledoux, PDG d’Alcyconie, de Christophe Fichet, du cabinet Dentons, et de Guillaume Chéreau, d’Orange Cyberdefense. 

Pour résumer : ce n’est pas tant la cyberattaque qui entame la confiance en la victime que son insincérité, son silence, sa communication minimisant voire enjolivant carrément la situation. 

Souvenez-vous par exemple du témoignage de Fleury-Michon, lors de l’édition 2019 des Assises de la Sécurité : la transparence a joué un rôle non négligeable dans le maintien de la confiance. D’anciens collaborateurs, ayant appris l’incident par ailleurs, ont même proposé leur aide !

Mais il y a d’autres raisons d’arrêter de dire qu’une cyberattaque connue du public, c’est la fin pour la réputation pour la victime.
La première, c’est qu’il est (au moins) un peu incohérent de continuer à répéter ce message tout essayant d’expliquer que ça arrive à tout le monde, que ce n’est pas une question de « si », mais de « quand ».

Si l’on est sûr que tout le monde va y passer un jour ou l’autre et doit s’y préparer, travailler sa résilience, alors il n’y a peut-être plus tant que ça de raisons de l’appréhender comme une maladie honteuse.

Chercher les origines de l’attaque, jusqu’au déclenchement d’un rançongiciel, ne vise pas à pointer des manquements ou des erreurs chez la victime, mais à comprendre le modus operandi des attaquants ; à mieux cerner les menaces qui pèsent sur les entreprises. Dans certains cas, la victime peut certes avoir à porter une part de responsabilité dans la situation à laquelle elle est confrontée, mais sûrement pas de culpabilité.

La seconde raison, c’est qu’encourager les victimes à essayer de passer sous silence les cyberattaques qui les frappent fait le jeu… des cybercriminels. La menace à la divulgation publique des attaques est une composante clé de leur modèle économique : leur silence, moyennant paiement de la rançon, est la première de leurs promesses.

Dans ce contexte, agiter la peur d’une éventuelle atteinte à la réputation, à la confiance, c’est contribuer à l’économie mafieuse de la cybercriminalité… un peu comme en encourageant le paiement des rançons. Ou à tout le moins en encourageant le silence des victimes lorsque survient un paiement. Parce que là, ce sont les capacités des forces de l’ordre à enquêter et réaliser des arrestations qui sont affectées. Ce qui, en retour, profite aux cybercriminels.

Article publié initialement le 28 décembre 2022, mis à jour le 29 février 2024, puis le 17 septembre 2024.

Pour approfondir sur Menaces, Ransomwares, DDoS