Si vous demandez à un PDG quel événement est le plus susceptible de causer des dommages à son entreprise, il y a de fortes chances qu’il vous réponde les cyber-attaques sans hésiter. Ce risque d’une attaque cyber ne se porte pas seulement sur la perte potentielle des données, mais aussi sur les conséquences sur la réputation (et la fiabilité) de l’entreprise.
La préparation, la communication ainsi que l’existence d’une relation de confiance entre l’entreprise et ses partenaires constituent la base d’un plan de gestion de crise réussi en cas d’incident cyber majeur. La constitution d’une équipe d’experts forte, unie et multidisciplinaire, et la définition rapide de la chaine de commande et des responsabilités sont des prérequis pour naviguer une situation stressante.
Le plan d’action d’une gestion de cyber crise s’articule autour de quatre grandes phases qui souvent se télescopent.
Les premières heures qui suivent l’identification de la crise sont cruciales. La plupart des décisions vont être prises au cours de cette phase. Assurez-vous que les équipes de direction et les équipes techniques soient en contact régulier, afin que de prendre les décisions les plus adéquates (étayées dans des informations fiables) et de les intégrer dans un plan d’action le plus rapidement possible. Ce plan d’action doit être communiqué aux parties pertinentes en interne dans un délai très court.
Actions clés :
Se tromper dans cette phase peut avoir des conséquences sur toute la suite de la gestion de la crise. Il est donc essentiel d’obtenir les faits les plus importants afin de créer un plan de communication efficace.
La fiabilité de ses faits, couplée à une forte relation de confiance entre les équipes cyber et le management sont essentielles. En même temps, il y a un besoin de flexibilité pour être en mesure de réagir à toute nouvelle information.
Cette phase se focalise sur l’identité et le nombre de personnes concernées, s’il y a des particularités qui doivent être prises en compte, et la surface de données (sensibles) qui ont été perdues.
Si la violation de données entraîne une violation des droits individuels, le risque est plus grand et les entreprises ont une responsabilité encore plus grande de réagir et d’informer les parties prenantes concernées. Il est également possible que les médias s’intéressent à la situation.
En matière de communication :
En général, les principes d’empathie et de responsabilité sont des valeurs partagées et appréciés peu importe le pays ou la juridiction dans lequel votre crise intervient. Ce sont des principes directeurs qui doivent alimenter votre communication lors d’une crise de cette ampleur. Aidez vos parties prenantes à comprendre ce que vous faites, pourquoi vous le faites et les mesures prises pour résoudre la situation. Si vous n’êtes pas sûr de la répartition finale des responsabilités, l’expérience montre qu’il vaut mieux assumer trop de responsabilité que trop peu.
Il est recommandé d’évaluer les protocoles avec la direction et l’équipe de gestion de crise après l’incident. Cela fait partie des bonnes pratiques pour développer des procédures optimales au sein de l’entreprise afin d’être mieux préparé aux situations imprévisibles à l’avenir.
Vous souhaitez être accompagné dans la rédaction de votre communication de crise ? Ou souhaitez-vous des outils pour élaborer un plan de gestion de crise ? Hague peut vous aider. Contacter notre Directrice de comptes Marion pour échanger sur vos besoins. Elle sera heureuse de vous aider. Cliquez ici pour nous contacter.