Les 4 étapes à suivre pour gérer une cyber crise

Si vous demandez à un PDG quel événement est le plus susceptible de causer des dommages à son entreprise, il y a de fortes chances qu’il vous réponde les cyber-attaques sans hésiter. Ce risque d’une attaque cyber ne se porte pas seulement sur la perte potentielle des données, mais aussi sur les conséquences sur la réputation (et la fiabilité) de l’entreprise.

La préparation, la communication ainsi que l’existence d’une relation de confiance entre l’entreprise et ses partenaires constituent la base d’un plan de gestion de crise réussi en cas d’incident cyber majeur. La constitution d’une équipe d’experts forte, unie et multidisciplinaire, et la définition rapide de la chaine de commande et des responsabilités sont des prérequis pour naviguer une situation stressante.

Le plan d’action d’une gestion de cyber crise s’articule autour de quatre grandes phases qui souvent se télescopent.

Détection et « mise sous contrôle »
L’évaluation des risques et l’analyse des faits
La phase de notification (aux autorités)
Le processus d’évaluation

Téléchargez les 4 étapes à suivre pour gérer une cyber crise

Contrôle et récupération - mettre les choses en ordre le plus rapidement possible

Les premières heures qui suivent l’identification de la crise sont cruciales. La plupart des décisions vont être prises au cours de cette phase. Assurez-vous que les équipes de direction et les équipes techniques soient en contact régulier, afin que de prendre les décisions les plus adéquates (étayées dans des informations fiables) et de les intégrer dans un plan d’action le plus rapidement possible. Ce plan d’action doit être communiqué aux parties pertinentes en interne dans un délai très court.

Actions clés :

Mobiliser l’équipe de gestion de crise le plus vite possible, de préférence en personne. Veillez à ce que les responsabilités (normalement pré-établies) soient claires et intégrées, et mettez en œuvre les protocoles préalablement validés.
Lancer les plans de maîtrise de la crise. Mettez en place des mesures opérationnelles et techniques pour contenir la crise, ou du moins ses manifestations.Recueillez les informations nécessaire pour établir un historique de l’incident et comprendre ce qui s’est passé.
Effectuez une analyse d’impact pour évaluer les principaux faits et identifier les parties prenantes à prévenir.

Se tromper dans cette phase peut avoir des conséquences sur toute la suite de la gestion de la crise. Il est donc essentiel d’obtenir les faits les plus importants afin de créer un plan de communication efficace.

La fiabilité de ses faits, couplée à une forte relation de confiance entre les équipes cyber et le management sont essentielles. En même temps, il y a un besoin de flexibilité pour être en mesure de réagir à toute nouvelle information.

Le processus d'évaluation des risques

Cette phase se focalise sur l’identité et le nombre de personnes concernées, s’il y a des particularités qui doivent être prises en compte, et la surface de données (sensibles) qui ont été perdues.

Si la violation de données entraîne une violation des droits individuels, le risque est plus grand et les entreprises ont une responsabilité encore plus grande de réagir et d’informer les parties prenantes concernées. Il est également possible que les médias s’intéressent à la situation.

En matière de communication :

S’assurer que toute communication externe est conforme à la réglementation.
Déterminer à l’avance qui est le meilleur porte-parole. Il doit apparaître crédible en tant que représentant de l’entreprise et pouvoir répondre aux préoccupations des parties prenantes.
La communication interne est cruciale. Fournissez des informations claires à vos parties prenantes internes (employés, partenaires, franchisés, etc.) pour leur permettre de répondre à des sollicitations externes.
Évitez le biais FUD « Fear, Uncertainty and Doubt« Vous ne pouvez influencer la façon dont le public extérieur commentera et réagira à la crise. Cependant, vous pouvez démystifier la crise si nécessaire en communiquant sur des faits avérés et les mesures concrètes basées sur vos actions.

Phase de notification

Autorités : Comme le RGPD stipule, votre responsable de traitement doit informer le régulateur dans les 72 heures.
Partenaires : En tant qu’entreprise vous avez souvent une obligation contractuelle d’informer vos partenaires. Très souvent, cette obligation est négligée.
Clients et victimes : Si un dommage a été causé, vous devez informer dans les meilleurs délais les personnes concernées de la manière dont vous limiterez la violation et le risque d’escalade. Vous pouvez les conseiller pour renforcer leur protection ou les guider dans la reconnaissance de la fraude.

En général, les principes d’empathie et de responsabilité sont des valeurs partagées et appréciés peu importe le pays ou la juridiction dans lequel votre crise intervient. Ce sont des principes directeurs qui doivent alimenter votre communication lors d’une crise de cette ampleur. Aidez vos parties prenantes à comprendre ce que vous faites, pourquoi vous le faites et les mesures prises pour résoudre la situation. Si vous n’êtes pas sûr de la répartition finale des responsabilités, l’expérience montre qu’il vaut mieux assumer trop de responsabilité que trop peu.

Processus d'évaluation

Il est recommandé d’évaluer les protocoles avec la direction et l’équipe de gestion de crise après l’incident. Cela fait partie des bonnes pratiques pour développer des procédures optimales au sein de l’entreprise afin d’être mieux préparé aux situations imprévisibles à l’avenir.

Vous souhaitez en savoir plus ?

Vous souhaitez être accompagné dans la rédaction de votre communication de crise ? Ou souhaitez-vous des outils pour élaborer un plan de gestion de crise ? Hague peut vous aider. Contacter notre Directrice de comptes Marion pour échanger sur vos besoins. Elle sera heureuse de vous aider. Cliquez ici pour nous contacter.

24 octobre 2022

Marion Banide