La communication, atout maître de la gestion de crise

Le 30 janvier 2020, une cyberattaque massive frappe l’ensemble du groupe Bouygues Construction. 60 pays, 3 000 serveurs et 60 000 collaborateurs sont touchés. Une des premières actions de la DSI consiste à débrancher « manuellement » l’ensemble du SI. « Cette décision a directement impacté des activités aussi essentielles que la paie ou la gestion des chantiers… Mais elle a sauvé l’entreprise en lui permettant de faire un état des lieux précis de l’attaque et d’éviter une trop large propagation du rançongiciel », déclare Thomas Degardin, actuellement coordinateur de la cybersécurité au sein du groupe Bouygues, mais RSSI de Bouygues Construction au moment de l’attaque.

Une fois la surprise, et pour certains la sidération, passées, les processus de gestion de crise se mettent rapidement en place : création d’une cellule « ressources » composée des personnes dédiées au recrutement d’experts en cyber, qui pilotera en mode agile jusqu’à une trentaine de « streams », organisation des équipes en 3×8 (organisation qui sera par la suite assouplie), ouverture d’une cellule de crise « stratégique »…

Quant aux communicants, ils rentrent eux aussi rapidement en action, que ce soit à destination de l’interne ou de l’ensemble des parties prenantes de l’entreprise. « Je cite souvent cette phrase du cardinal de Retz : ‘L’honnêteté est l’habileté suprême’. En situation de crise, la base est de ne pas mentir. Les phrases à l’emporte-pièce de type ‘Tout est sous contrôle’ ne rassurent personne. Sans forcément raconter la totalité des faits, il faut expliquer ce qui se passe, avec beaucoup de pédagogie, car vos parties prenantes ne comprennent pas forcément votre métier », explique Emmanuelle Hervé, directrice et fondatrice d’EH&A Consulting.

Seule une communication de crise honnête et transparente est payante

Lilian Laugerat, ancien officier du GIGN et directeur de Solace, abonde dans ce sens : « Face à vous, vous avez un cyberattaquant qui ne va pas se priver de dire ce qu’il a envie de dire et qui connait vos failles. Il sait que vous avez peur de communiquer. La question est donc de savoir qui va parler en premier. La réponse est simple : il est préférable que ce soit vous. Vous devez dire ce que vous savez, mais aussi ce que vous ne savez pas, s’il y a une rançon ou non, si vous allez peut-être la payer… Dans tous les cas, on ne vous reprochera jamais d’avoir dit la vérité ».

Et Stéphanie Ledoux, directrice et fondatrice d’Alcyconie, de compléter : « Il ne faut communiquer que sur des éléments avérés et factuels, pas des suppositions. Sinon, vous devrez justifier les raisons pour lesquelles ce que vous avez dit ne s’est pas produit, ce qui vous fera rentrer dans une communication défensive et de l’ultra-justification. Par ailleurs, il est important de savoir qui vous avez en face de vous : quel est le mode opératoire de l’attaquant, a-t-il l’habitude de diffuser les données dérobées, de bluffer, pratique-t-il l’humour ou le cynisme… Toutes ces informations sont importantes pour ajuster le tir dans votre communication. »

Que faire en cas de fuite de données ?

En cas de fuite de données, il est impératif d’informer les parties prenantes concernées. Là encore, le discours de vérité s’impose. « Avant toute chose, vos clients attendent de vous de la transparence. Certes, au début, ils ne sont pas contents, mais au final, votre démarche vous fait gagner en crédibilité. J’ai le cas d’une start-up qui a été victime d’une exfiltration de données. Nous avons prévenu ses clients le mardi. Le lendemain, les pirates [informatiques] les contactaient eux aussi. Le fait d’anticiper les choses surprend le plus souvent les cyberattaquants et vous fait gagner en confiance vis-à-vis de vos clients », note Lilian Laugerat.

Mentir, ou omettre de communiquer une information aussi stratégique que l’exfiltration de données, est un pari risqué qui a de fortes chances de se retourner contre l’entreprise victime de la cyberattaque. « Nous avons le cas précis d’un de nos clients qui n’a pas osé dire ‘on ne sait pas’ à propos d’une possible exfiltration de données. Nous étions encore en train d’investiguer pour savoir si le ransomware avait exfiltré des données quand notre client a transformé notre ’on ne sait pas’ en ’il n’y a pas eu d’exfiltration’. Résultat : LockBit, deux jours plus tard, a déclaré posséder 4 To de données de cette entreprise, ce que nous avons pu ensuite vérifier grâce aux logs des firewalls », déclare Wandrille Krafft, responsable DFIR et ingénieur SSI chez Lexfo.

Ne pas négliger les journalistes, surtout la presse spécialisée

Autre paramètre à prendre en considération : l’expertise des journalistes spécialisés en cybersécurité. « Ces journalistes sont souvent des chercheurs spécialisés en cybersécurité, ils savent où aller chercher de l’information pointue. Ils posent donc des questions plus précises, et savent très bien que, en fonction des attaquants, il y a une forte probabilité qu’il y ait une fuite de données. Si vous ne leur parlez pas ou si vous éludez les questions sensibles, ils n’en seront que plus tenaces et indiqueront dans leur article que vous n’avez pas souhaité vous exprimer sur ces sujets », commente Stéphanie Ledoux.

La transparence présente d’autres bénéfices encore : le retour d’expérience d’une organisation victime d’une cyberattaque rend en effet toujours service aux autres entreprises. « Dans l’immédiat, à chaud, votre discours de vérité est utile à tous vos partenaires, qui peuvent déclencher, le cas échéant, des plans de gestion de crise de leur côté. Après coup, le fait de témoigner et d’expliquer ce qui a fonctionné, ou pas, dans votre gestion de crise, est extrêmement bénéfique pour toute la communauté des entreprises et des acteurs de la cybersécurité », complète Wandrille Krafft.

Communiquer auprès des collaborateurs… Et du Comex

Enfin, il ne faut pas oublier le volet interne de la communication, auprès des collaborateurs tout d’abord, dont la plupart vivent la cyberattaque comme un vrai traumatisme. « Quand une organisation est cyberattaquée, c’est un véritable séisme qui se produit pour tous les collaborateurs. Au-delà des aspects purement techniques de l’attaque, les impacts psychologiques et RH doivent être pris en considération dans une gestion de crise, de manière holistique », déclare le général Marc Watin-Augouard, fondateur du FIC (Forum international de la cybersécurité rebaptisé Forum InCyber).

« Le suivi RH est effectivement clé lors d’une cyberattaque. Il est très important de mobiliser les équipes RH, et même la médecine du travail, plutôt que de les renvoyer chez elles, pour faire le suivi individuel de chacun et savoir comment chaque collaborateur se sent pendant la crise. Cela permet aussi de prévoir des back-ups en cas de besoin », complète Gérôme Billois, associé cybersécurité et confiance numérique chez Wavestone.

Autre population auprès de laquelle il est nécessaire de communiquer : le Comex. « Lorsque nous avons été attaqués en 2020, Emmanuelle Hervé est intervenue auprès du PDG de Bouygues Construction pour lui dire que la crise allait être longue. Cela a porté ses fruits car, à J+4, il a dit à son Comex : ‘Organisez-vous sur les chantiers sans IT, cela va durer longtemps’. Cela nous a enlevé une grande pression et nous avons pu gérer le mode dégradé de manière plus sereine », se souvient Thomas Degardin.

Parfois, entre la cellule de crise IT et la cellule de crise stratégique, la nomination d’un officier de liaison s’impose. « Cette personne passe son temps à traduire. D’un côté, elle remonte au Comex les informations essentielles, sans jargon, afin que les dirigeants sachent comment évolue la crise. De l’autre, elle reçoit les priorités stratégiques du Comex et les traduit à la cellule de crise IT. Cela libère du temps à tout le monde et fluidifie la communication », précise Emmanuelle Hervé.

« Un roc, un phare, que dis-je, une personne omnisciente ! »

Le mot de la fin revient à Thomas Degardin qui conseille à tous les RSSI de se préparer, en cas de crise majeure, à devenir un mélange entre un roc, un phare et une personne omnisciente.

« Le roc, car vous allez devoir prendre des décisions qui sont parfois très structurantes, comme le fait de bloquer temporairement 4 000 collaborateurs. Vous ferez inévitablement des erreurs. Vous devrez donc être très solide. Le phare, avec toujours le sourire accroché aux lèvres, car c’est un élément clé de motivation pour toutes les équipes. Omniscient, car vous allez devenir en apparence un ‘expert’ de toutes les technologies et solutions existantes. Vous allez devoir répondre à des dizaines de questions, sans parfois savoir si vous avez raison ou tort », conclut l’ancien RSSI de Bouygues Construction.