Cinq conseils pour vous assurer que votre plan de communication de crise est prêt pour une cyberattaque

Le 12 mai 2021, l’administration Biden a dévoilé un décret pour améliorer les défenses de cybersécurité des États-Unis. L’approche vise à « améliorer ses efforts pour identifier, dissuader, protéger, détecter et répondre à ces actions et acteurs ».

C’est une bonne nouvelle, mais depuis lors, nous avons continué à assister à des attaques débilitantes, de JBS à Kaseya. Les entreprises continuent de faire face aux menaces existentielles des cyberattaques et maintenant le conseil d’administration et la direction générale se retrouvent avec cette réalité inévitable : ce n’est pas si, mais quand votre entreprise sera confrontée à une cyberattaque.

Et lorsqu’ils sont confrontés à cette réalité, le conseil d’administration et la direction générale réaliseront rapidement que les cyberattaques sont très différentes des autres crises d’entreprise – nécessitant une approche pragmatique et adaptée pour communiquer avec toutes les parties prenantes lorsqu’une violation se produit.

Les questions les plus urgentes que le conseil d’administration et les autres dirigeants devraient se poser sont les suivantes :

• En cas de cyberattaque, l’entreprise est-elle prête à se conformer aux exigences réglementaires en matière de reporting ?
• A-t-il réfléchi à la manière dont il communiquera avec les parties prenantes concernées au cas où les principaux canaux de communication auraient été compromis lors de la violation ?
• Comment l’entreprise devrait-elle répondre publiquement sans inciter davantage les acteurs de la menace à la faire plus de ravages ?

Vous trouverez ci-dessous cinq conseils de communication de crise que le conseil d’administration et la direction générale devraient prendre en compte lorsqu’ils réfléchissent à la stratégie globale de cybersécurité.

1. S’assurer qu’un membre senior de l’équipe de communication fait partie de l’équipe de réponse aux cyberincidents

Chaque entreprise devrait avoir un équipe de réponse aux cyberincidents (CIRT, ou parfois CSIRT) avec un cadre supérieur en communication inclus. Cela aidera à établir un pont entre les services informatiques, juridiques, la suite C et les partenaires externes, et garantira que l’équipe de communication a accès en temps opportun à des informations précises au fur et à mesure que la violation se déroule.

L’accès est la moitié de la bataille dans une crise cyber-spécifique et garantit des examens et des approbations en temps opportun des décisions et du contenu nécessaires à l’équipe pour communiquer de manière transparente en interne et en externe tout au long de l’événement. Si le CIRT n’a pas de rôle formellement défini pour un responsable de la communication, la réponse de l’entreprise en matière de communication en souffrira grandement.

2. N’incitez pas davantage les acteurs de la menace avec des communications indisciplinées

Si vous êtes membre du conseil d’administration ou membre de la C-suite d’une entreprise qui est au milieu d’une cyberattaque – en particulier une attaque de ransomware qui implique des négociations de rançon et des données volées – une priorité absolue est de s’assurer que toute communication est mesurée et consciente. de demandes spécifiques.

Tout message, qu’il soit transmis via un e-mail, un porte-parole de l’entreprise, une publication sur les réseaux sociaux ou un communiqué de presse, doit trouver le bon équilibre pour répondre aux principales préoccupations des parties prenantes sans inciter davantage les acteurs de la menace.

La manière ou le moment où l’entreprise communique peut influencer les demandes de rançon, la durée et la gravité de l’attaque et la divulgation d’informations volées qui peuvent avoir des répercussions majeures sur la réputation de l’entreprise. Penser comme un acteur menaçant et savoir ce qui les incitera ou ne les incitera pas davantage est primordial.

3. Restez toujours au fait des exigences de conformité et de reporting

Il est essentiel que votre responsable de la communication connaisse aussi bien les exigences de conformité et de reporting en matière de cybersécurité que votre responsable de la conformité. Des entreprises cotées en bourse aux entreprises privées dans presque tous les secteurs, il existe une gamme d’exigences de déclaration auxquelles les entreprises doivent adhérer et qui diffèrent à l’échelle mondiale.

Par exemple, le Règlement général britannique sur la protection des données exige que les organisations qui ont subi une violation de données personnelles qui « est susceptible d’entraîner un risque élevé pour les droits et libertés des individus », les personnes concernées doivent être informées « directement et sans retard injustifié ». Les incidents à déclaration obligatoire doivent également être divulgués au Commissariat à l’information dans les 72 heures.

Pendant ce temps, pour ceux qui opèrent aux États-Unis, une société cotée en bourse est tenue par la Securities Exchange Commission de déposer un formulaire 8-K pour « annoncer des événements majeurs que les actionnaires devraient connaître ». Ne pas le faire peut entraîner des amendes et d’autres mesures punitives.

D’autres exemples abondent. Pour les institutions financières, s’il est déterminé que les informations des clients sont utilisées à mauvais escient ou violées, elles doivent en informer les régulateurs, sous les auspices de la loi Gramm-Leach-Bliley, dans un délai spécifié. Des conditions similaires existent au niveau de l’État.

Par exemple, les institutions financières basées à New York qui subissent une cyberattaque doivent suivre les protocoles de conformité décrits dans le règlement sur la cybersécurité du département des services financiers de New York.

4. La précision compte plus que la vitesse

Au milieu d’une cyberattaque, une réponse lente et inefficace pourrait s’avérer désastreuse pour la réputation d’une entreprise. La vitesse est importante, mais des informations inexactes et incomplètes causeront plus de dommages. Si l’infrastructure de communication de crise est déjà en place, associée aux entités juridiques, de conformité, opérationnelles et informatiques appropriées, vos chances de communiquer avec précision sont mieux assurées.

5. Établir un système de communication basé sur le cloud pour atteindre les parties prenantes si les principaux canaux de communication sont désactivés lors d’une cyberattaque

Si vous dirigez une entreprise qui utilise principalement le courrier électronique pour communiquer avec des employés, des clients ou n’importe qui, et que le courrier électronique est en panne à cause de la cyberattaque, il est essentiel de disposer de canaux de communication de secours pour diffuser les informations rapidement et efficacement. Les entreprises doivent envisager des plates-formes basées sur le cloud qui favorisent les communications unidirectionnelles et bidirectionnelles pouvant être mises en service à tout moment.

Lorsque les canaux principaux s’éteignent, l’entreprise ne peut pas se permettre le même sort et doit avoir des canaux de secours mis en place, afin qu’elle ne manque pas un battement sur le front des communications.

Pour le conseil d’administration et la C-suite, les cyberattaques représentent une forme de crise rapide et ruineuse qui met en péril les marques et les parties prenantes. Et bien que les principes généraux de communication de crise soient pertinents, une cyberattaque est une toute autre bête.

Les cinq conseils décrits ci-dessus aideront à renforcer le plan de communication de crise d’une entreprise en cas de cyberattaque, mais il doit également être intégré à une stratégie de cybersécurité plus large. Sans cela, les entreprises mettront en péril leur valeur, leur sécurité et leur réputation.

Ted Birkhahn est président de HPL Cyber, un spécialiste américain de l’image de marque, des communications et du marketing en matière de cybersécurité.