GAU de données Vol de données - comment réussir la communication (de crise)
C'est le cauchemar de toute entreprise : une cyberattaque a entraîné un vol de données. Sans parler des dommages financiers et matériels, comment survivre à ce pire scénario en termes de communication sans perdre de clients ou d'actionnaires ? Sophos et le professeur associé Jason R.C. Nurse de l'université de Kent ont développé dans une discussion des réponses importantes ainsi qu'un guide sur cette question essentielle.
Lorsque le GAU en matière de sécurité informatique s'est produit et que des cybercriminels ont réussi à dérober de grandes quantités de données d'entreprise, les questions médico-légales telles que la découverte des points d'entrée et le mode opératoire des pirates sur le réseau sont bien entendu fortement mises en avant. Mais lorsqu'il s'agit de réagir au vol de données, il ne faut pas oublier un point important : Qu'est-ce que je dis au public et comment je le communique ? Une cyberattaque est toujours une surprise malvenue. Mais avec une préparation adéquate et une réaction bien pensée, il est possible de maintenir la relation de confiance avec les clients et le public dans de nombreux cas. Dans le cadre de son Sommet sur la cybersécurité, Sophos s'est entretenu avec Jason R.C. Nurse*, professeur agrégé et spécialiste de la cybersécurité, sur la stratégie de communication à adopter en cas de vol de données. Ses recommandations sont résumées dans les sections suivantes.
Avoir dans ses tiroirs une stratégie de communication en cas d'urgence
La charge de travail avant un vol de données est cruciale, mais de nombreuses organisations négligent cette phase de préparation - du moins en termes de stratégie de communication. Pour réagir efficacement à une violation de données, l'entreprise doit déterminer à l'avance qui sera le porte-parole, la meilleure façon d'atteindre les clients et les règles générales de communication.
La liste des personnes qui prennent la parole en public doit être aussi réduite que possible - idéalement, deux personnes "importantes" au maximum, car les journalistes souhaitent un expert ou un dirigeant. Cela permet de garantir la cohérence du message et d'éviter toute confusion. Il est utile d'anticiper les questions éventuelles de la presse, des actionnaires ou des clients et d'avoir des réponses concises sous la main. Ce plan directeur devrait être élaboré pour différents incidents de sécurité et être maintenu à jour grâce à des contrôles réguliers. En outre, ces tests réguliers permettent à chaque collaborateur de connaître ses responsabilités et de savoir avec qui il peut parler de quoi.
Vol de données : les divulguer ou les garder secrètes ?
La sincérité reste la meilleure stratégie en cas d'incident au sein de l'entreprise, à moins qu'une disposition légale n'en dispose autrement. Si l'entreprise décide de garder le secret, elle court toujours le risque que l'incident soit révélé plus tard et que le préjudice d'image soit alors d'autant plus grand. En outre, les responsables ne doivent pas sous-estimer le fait que les données volées peuvent se retrouver sur des marchés en ligne criminels et être ainsi rendues publiques.
Prendre ses responsabilités
Lorsqu'une cyberattaque a eu lieu, les personnes concernées sont rapidement tentées de se présenter comme des victimes. Et bien que cela soit tout à fait vrai au sens technique, le public juge souvent négativement un tel comportement. Toute organisation ou entreprise qui se voit confier ou qui travaille avec des données personnelles ou d'autres données importantes a la responsabilité de protéger ces données. C'est pourquoi les entreprises devraient comprendre la dimension d'un vol de données du point de vue des clients, en assumer la responsabilité et communiquer rapidement, clairement et objectivement la manière dont elles vont réagir au vol de données.
Petit guide de la communication de crise - pas seulement en cas de vol de données
- Répondre rapidement. Souvent, il n'y a qu'une seule occasion de faire une première impression, et celle-ci doit inspirer confiance. Une bonne préparation facilite une réponse immédiate, mesurée et précise.
- Fournissez un message clair. Pas de jargon technique pour s'adresser aux clients, aux actionnaires ou au grand public. Une communication directe et emphatique est bien plus efficace.
- Utilisez une seule source. La communication via différents domaines d'actualité ou canaux de médias sociaux de l'entreprise peut rapidement diluer un message pourtant clair. Une déclaration unique et actuelle émanant directement de la direction de l'entreprise via un canal de l'entreprise permet de faire passer le message de manière claire.
- Prenez vos responsabilités. Les actionnaires, les clients et les médias récompensent les entreprises qui assument leurs erreurs.
- Tenez toutes les personnes concernées informées. Mettez en place un plan d'action afin de pouvoir informer les actionnaires et les clients de manière compétente même après le premier "going public". De cette manière, les bonnes relations, souvent établies depuis longtemps, resteront intactes.
*Jason R.C. Nurse est professeur associé en cybersécurité à l'université du Kent et chercheur invité à l'université d'Oxford. Ses recherches se concentrent sur les aspects socio-techniques de la cybersécurité, de la vie privée et de la confiance. Il a intégré ses années de recherche dans un référentiel basé sur des preuves qui identifie la meilleure façon de gérer les dommages potentiels au niveau relationnel qui accompagnent une cyberattaque. L'entretien avec Jason R.C. Nurse est disponible en vidéo sur le lien suivant : https://nakedsecurity.sophos.com/2021/02/03/what-should-you-say-if-you-have-a-data-breach-catch-up-with-jason-nurse-at-sophos-evolve/
