Bilan

Piratage informatique: comment communiquer?

Vol de données, encryptage, emails frauduleux, le cyber-risque pour les entreprises est permanent. Anticiper, pour communiquer de façon transparente devient essentiel.

La tentation de taire une cyberattaque est présente. 

Crédits: AFP

Il y a une semaine, WannaCry, une cyber-attaque à grande échelle, touchait simultanément une centaine de pays, encryptant les données d’entreprises et d’hôpitaux. Si cette dernière a été largement et rapidement médiatisée, compte tenu de son ampleur, ce n’est pas toujours le cas. Se pose alors pour l’entreprise hackée, notamment en cas de vol ou de pertes de données, la question du risque réputationnel et légal: doit-on en parler à ses clients, fournisseurs, partenaires et comment? Quelques règles à suivre.

1-Jouer la transparence et l’ouverture

La tentation de taire une cyberattaque est présente. Pourtant, l’entreprise prend le risque que le groupe malveillant, notamment dans le cas d’«hacktivistes», revendique son action, qui, si elle était préalablement connue de l’entreprise, peut se révéler une catastrophe en termes réputationnels.

Toomas Kull, consultant spécialisé en cyber communication chez Cabinet Privé de Conseils (CPC) à Genève, rappelle que ce cas de figure s’est produit à de multiples reprises: «Il faut en parler, et rapidement. Dans le cas de Yahoo par exemple, cela faisaient plusieurs années qu’ils avaient des pertes de données quand la situation a été rendue publique. Cela s’est payé en termes de clientèle et de cours boursier. Idem chez l’entreprise anglaise de Telco Talktalk en 2015.»

2-Resserrer le lien avec sa communauté

D’autres entreprises ou institut ont fait le choix de dévoiler très rapidement le piratage, comme Protonmail, service suisse de messagerie sécurisée victime d’encryptage de données, ou la fédération internationale antidopage WADA, victime d’un vol de données par des hacktivistes russes.

Alors que le directeur de WADA a donné des interviews à BBC et CNN pour détailler la situation, Protonmail, a fourni en continu, via les réseaux sociaux, un état des lieux de la situation et des avancées. Pour Toomas Kull, la démarche peut même être profitable ou du moins, limiter les dégâts: «On peut resserrer les liens avec sa communauté d’utilisateurs, mais aussi, dans du B to B, rassurer un fournisseur ou un partenaire. Pour cela, il est quand même recommandé de comprendre ce qui se passe avant de parler. Avec le grand public, il faut faire attention à vulgariser et utiliser des termes simples. Parler plutôt d’un «email frauduleux permettant de s’introduire dans le système», que de «phishing». Qui plus est, communiquer en continu c’est aussi corriger les fausse rumeurs qui circulent dans la communauté.»

3-Communiquer en amont

Face à un risque permanent, l’anticipation est désormais requise, estime Toomas Kull, consultant chez CPC : «On ne peut plus se positionner en victime, car le public estime que le risque est connu et doit-être prévenu.» Communication, IT, et services légaux doivent travailler en amont main dans la main afin de déterminer quels sont les principaux risques auxquels l’entreprises est exposée, pour proposer une communication et une réponse technique en parallèle. «En pratique, même avec une bonne protection, une attaque ne peut être exclue, rappelle Toomas Kull. Il faut donc communiquer sur les efforts préalablement engagés pour protéger systèmes et données avant toute crise, c’est un gage de sérieux. Dans le cas d’une société cotée en bourse, les rapports annuels le mentionneront, une PME peut de son côté envisager une communication externe vers ses partenaires.»

4-Anticiper la législation

Actuellement en Suisse, rien n’oblige encore une entreprise à déclarer un vol ou une perte de donnée, excepté dans le cadre des entreprises à nature bancaire ou financière, qui sont soumises à la régulation de la FINMA. Un avant-projet de révision de la loi sur la protection des données est actuellement en cours, mais ne devrait pas entrer en vigueur avant 2019, au plus tôt. En revanche, le nouveau règlement européen sur la protection des données imposera une information détaillée aux autorités de contrôle dans les 72 heures qui suivent la découverte du problème, et dans les meilleurs délais à chaque personne physique concernée s’il y a un risque élevé d’atteinte à leurs droits.

Pour Michel Jaccard, associé de l’étude spécialisée id est avocats à Lausanne et qui s’est occupé de plusieurs affaires de «hacking» ces dernières années, les entreprises suisses peuvent difficilement passer outre cette évolution: «A dater de l’entrée en vigueur de ce règlement le 25 mai 2018, toutes les entreprises suisses qui traitent des données personnelles et offrent des services à des résidents de l’Union européenne seront concernées par ces nouvelles règles. C’est un vrai défi qu’il faut savoir anticiper.» Bien préparer sa communication deviendra dès lors absolument nécessaire.

 

Joan Plancade
Joan Plancade

JOURNALISTE

Lui écrire

Diplômé du master en management de l’Ecole supérieure de Commerce de Nantes, Joan a exercé pendant sept ans dans le domaine du recrutement, auprès de plusieurs agences de placement en France et En Suisse romande. Aujourd’hui journaliste indépendant, Il travaille en particulier sur des sujets liés à l’entreprise, l’innovation et l’actualité économique.

Du même auteur:

Les sociétés de conseil rivalisent avec l’IMD
Comment la sécurité se déploie aux frontières entre la France et la Suisse

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

Image Footer

"Tout ce qui compte.
Pour vous."