La cyberattaque vient de paralyser des serveurs de l’entreprise. La brèche a été identifiée par les équipes informatiques qui ont aussitôt déconnecté les réseaux incriminés. Les assaillants réclament cependant, et déjà, une rançon importante pour restituer les données subtilisées et débloquer les serveurs. Sur les réseaux sociaux, la crise commence à bruisser. Faut-il pour autant communiquer auprès de ses différents publics ?

Quand une entreprise est victime d’une cyberattaque, il y a toujours un temps de sidération qui entraîne les questions suivantes : doit-on communiquer alors qu’on n’a pas encore pleinement connaissance des tenants et aboutissants de la crise ? Doit-on au contraire temporiser, louvoyer, voire rester silencieux de crainte d’aggraver la crise ? Jusqu’où aller dans les informations à partager ? Bien qu’il n’existe pas de panacée face à une cyberattaque, il y a cependant des postures générales à adopter dans la stratégie de communication de crise.

Le silence, un accélérateur de crise

Le silence, ou le camouflage, est souvent une tentation immédiate quand la crise survient. La peur de ternir la réputation de la société, la crainte que les pirates informatiques ne lancent des représailles importantes, l’angoisse d’affoler les collaborateurs comme les clients, peur d’admettre ses faiblesses… Les motifs ne manquent pas pour avoir envie de rester sous le radar médiatique.

Bien que cela puisse paraître contre-intuitif, la discrétion ou le mutisme constituent pourtant de puissants accélérateurs de crise. Ne rien dire instille aussitôt un sentiment de suspicion chez les parties prenantes, avec le risque de voir d’autres acteurs prendre la parole sur la situation et brouiller davantage la compréhension des faits.

Jouer la carte de la transparence

En mars 2019, Norsk Hydro, l’industriel norvégien de l’aluminium et des énergies renouvelables, est victime d’un rançongiciel qui paralyse près de 3 000 serveurs et ordinateurs sur plusieurs sites de production. Loin de se cacher, l’entreprise décide d’annoncer publiquement dès le lendemain la cyberattaque dont elle fait l’objet. A ce sujet, la société a activé une page d’information sur son site Internet. Elle servira d’une part de point de contact pour le suivi des opérations de restauration de l’infrastructure. Elle servira d’autre part à recueillir les questions des parties prenantes pour informer sur les circonstances de l’attaque.

Malgré des dizaines de millions de dollars de perte d’activité à cause du ransomware, la transparence de l’entreprise est majoritairement saluée dans l’opinion publique. Elle est même devenue un cas d’école pour les experts de la communication de crise. En dépit de la gravité des conséquences du rançongiciel, le cours des actions de Norsk Hydro n’a en effet pas dévissé et sa réputation a été largement préservée. Mieux, en coopérant d’emblée avec les autorités de cybersécurité norvégienne, la société a permis de prévenir d’autres attaques contre différentes entreprises confrontées au même virus.

Communiquer n’est pas une option

Si certains demeureraient encore réticents à informer leur écosystème malgré cet exemple norvégien, il est à noter qu’il existe des textes réglementaires dans le cas des cyberattaques. En France, les pouvoirs publics ont établi deux catégories d’entreprises considérées comme critique pour le pays. La première englobe les opérateurs d’importance vitale (OIV), c’est-à-dire ayant des activités indispensables à la survie de la nation ou dangereuses pour la population. La deuxième comporte des opérateurs de services essentiels (OSE) qui sont tributaires de réseaux informatiques ou de systèmes d’informations dont l’arrêt aurait un des conséquences significatives sur le fonctionnement de l’économie ou la société. Tous sont astreints à un protocole de communication stricte.

D’autres textes de loi imposent aussi aux entreprises un certain niveau de communication pour informer les autorités compétentes de la cyberattaque subie. Ainsi, l’article 33 du RGPD oblige une entreprise victime de cyberattaque à alerter les autorités (en l’occurrence, l’Anssi) au plus tard 72 heures après avoir découvert les faits. L’article 34 du même RGPD oblige par ailleurs ces entreprises à informer les personnes concernées par une fuite ou un vol d’informations.

Se mettre en mode veille active

Une fois la cyberattaque annoncée publiquement, il est fortement conseillé à l’entreprise d’activer un dispositif de veille puissant sur les medias, les réseaux sociaux et même dans certains cas spécifiques de s’appuyer sur des experts pour infiltrer le darknet. L’objectif d’un tel dispositif permet à l’entreprise d’anticiper ou de juguler d’éventuelles prises de parole qui pourraient relancer ou aggraver la crise en cours.

Autre point sensible à surveiller : la communication avec les clients et les fournisseurs dans le cas où une partie d’entre eux verrait leurs propres systèmes informatiques mis en danger ou leurs données dérobées ou compromises. Ce point est particulièrement crucial car un client mal ou pas informé peut vouloir alors exprimer son mécontentement. C’est ce qui est arrivé à OVHcloud quand un incendie a ravagé son centre de données à Strasbourg, en mars 2021.

Tirer les enseignements

Quand la crise est passée, il existe une volonté assez fréquente de vouloir oublier cette période agitée et vite revenir à la routine rassurante du quotidien. C’est là une sérieuse erreur. Une cyberattaque est loin d’être neutre pour l’entreprise même si celle-ci en est venue à bout. Elle exige au contraire une introspection pour analyser en profondeur ce qui s’est passé, prendre les mesures correctives requises et l’annoncer à tous les acteurs concernés.

A cet égard, Saint-Gobain est un cas exemplaire d’entreprise qui a pris le temps du retour d’expérience à la suite de la gigantesque cyberattaque au ransomware NotPetya, en juin 2017. Des dizaines de milliers d’ordinateurs et de serveurs avaient été infectés et rendus inopérables dans tout le groupe. Avec à la clé, une perte de 220 millions d’euros de chiffre d’affaires. Le groupe français a pris par la suite le temps de tirer les enseignements de cette crise, d’y remédier avec des plans d’action renforcés qui ont été communiqués aux collaborateurs et aux clients. Une crise avec une communication adaptée est aussi une occasion de changement et d’amélioration.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.