Expliquer ce qui se passe lors d'une cyberattaque est difficile mais crucial

Les cyberattaques contre M&S, Co-op et Harrods outre-Manche, ou même Harvest en France, constituent des exemples marquants d'incidents de cybersécurité avant provoqué des perturbations dans le monde physique et économique. Mais elles sont aussi l'occasion de tirer des enseignements des défis auxquels toutes les organisations sont confrontées lorsqu'elles tentent d'expliquer à leurs clients ce qui se passe, dans le contexte de perturbation et d'incertitude que les cyber-incidents peuvent générer.

C'est l'un des éléments les plus difficiles d'un cyber-incident, et l'un de ceux qui comportent le plus de risques, étant donné l'atteinte potentielle à la réputation et la perte de confiance en cas de mauvaise gestion. Sans être sur place, il est difficile d'évaluer la manière dont une entreprise gère une crise. Nous avons toutefois une bonne idée des défis de communication que des détaillants comme Marks & Spencer devront relever. Dans l'ensemble, il semble que M&S ait fait du bon travail jusqu'à présent, même s'il reste encore beaucoup de chemin à parcourir au fur et à mesure que l'incident évolue.

Les communications de M&S ont été proactives, avec un ton bien choisi, et il a été impressionnant de voir ses dirigeants communiquer directement avec les clients. La question cruciale est de savoir comment le message s'aligne sur la situation opérationnelle et l'évolution potentielle de l'incident. Il est difficile de les faire coïncider avec des informations incomplètes. Ce que l'on croit savoir au début d'un incident cybernétique peut s'avérer faux.

Les réactions du public face aux incident de cybersécurité évoluent également en permanence. La prise de conscience de la menace s'est considérablement accrue, de sorte que les perturbations suscitent rapidement des spéculations sur une cyberattaque. En général, le public est moins préoccupé par la perte de données qu'il ne l'était autrefois, car il en a déjà fait l'expérience à maintes reprises.

Mais il y a encore beaucoup de gens qui s'inquiètent au sujet des données sensibles, et certains d'entre eux deviennent de plus en plus procéduriers. Nombre d'entre eux ont toutefois de bonnes raisons de s'inquiéter : les acteurs malveillants sont de plus en plus habiles à utiliser des données volées, en particulier avec la disponibilité croissante de l'IA.

Les acteurs malveillants contactent également de plus en plus les employés et les clients des entreprises qu'ils ont piratées, pour tenter d'augmenter la probabilité que l'entreprise paie une rançon. Ces appels ou courriels peuvent être agressifs et alarmants.

Et si une entreprise s'est montrée réticente à communiquer avec les parties affectées, elle doit faire preuve de doigté. Tout cela signifie que les communications internes sur un incident sont de plus en plus importantes.

Une surveillance complète des médias est également essentielle pour comprendre la conversation autour de l'incident et la manière dont le message de la victime est reçu.

En outre, il est de plus en plus intéressant d'atteindre les clients directement - M&S a par exemple été très habile dans son utilisation d'Instagram.

Dans l'ensemble, le plus important est d'aligner les communications sur la réponse opérationnelle et de gérer les attentes des parties affectées en conséquence, à la fois en interne et en externe. Les erreurs les plus courantes que nous constatons dans notre travail - et que nous essayons d'aider les entreprises à éviter - sont les suivantes :

1. En dire trop, trop tôt. Je ne cesse de m'étonner - même après avoir travaillé sur des dizaines d'incidents - de la fréquence à laquelle les preuves techniques évoluent au fil du temps, modifiant fondamentalement la compréhension de l'incident. Cela peut être difficile à gérer du point de vue de la communication, en particulier si vous avez dit à vos clients que leurs données n'avaient pas été volées et qu'ils découvrent par la suite qu'elles l'ont été. Être un narrateur peu fiable est l'un des moyens les plus rapides de perdre la confiance.
2. En dire trop peu pendant trop longtemps. Le fait de ne pas connaître tous les faits ne signifie pas que vous ne devez pas donner des conseils, tant en interne qu'en externe, sur ce qu'il convient de faire si, par exemple, les opérations ont été interrompues.
3. Se tromper de ton. Les entreprises tiennent souvent à se féliciter de la rapidité et de l'efficacité de leur réaction, ou se décrivent comme des victimes. Si des données sensibles ont été perdues, les gens risquent de ne pas vous considérer comme la victime, mais comme le responsable.
4. Oublier que les acteurs malveillants lisent aussi la presse. La communication autour d'un cyber-incident est complexe et doit tenir compte de multiples publics. L'un de ces publics est l'acteur malveillant, en particulier lorsqu'il essaie d'utiliser les médias dans le cadre de la négociation d'une rançon.

Nous avons vu de nombreux incidents bien gérés, avec des clients, des fournisseurs, des investisseurs, des régulateurs et du personnel tous informés régulièrement et honnêtement, de sorte que les gens comprenaient que l'entreprise faisait tout ce qui était en son pouvoir pour atténuer l'impact sur eux.

Cependant, que l'on s'appelle M&S ou que l'on soit une entreprise beaucoup plus petite déstabilisée par une cyberattaque, nous devons tous continuer à apprendre comment gérer au mieux la communication autour d'un tel incident.

Mikey Hoare est un spécialiste de la gestion de crise au sein de la société de conseil en communication Kekst CNC, et ancien directeur de la communication sur la sécurité nationale au sein du gouvernement britannique.