Vae Solis
contact@vae-solis.com
+33 1 53 92 80 00
Twitter Linkedin

    09Mai2019
    Cybersécurité : préparez-vous !

    blog_VSC

    Selon le second rapport du ministère de l’Intérieur sur « l’état de la menace liée au numérique 2018 », près de 80 % des entreprises ont constaté au moins une cyberattaque en 2017. La même année, deux attaques d’une ampleur sans précédent ont touché un nombre d’entreprises record à travers le monde. Les pertes engendrées par la mise à mal des systèmes d’information mais également le coût indirect, imputable au choc de réputation subi par l’entreprise restent inégalés. Les dispositions à prendre sont alors d’ordre technique et communicationnel.

    Pourtant, encore trop peu d’entreprises se donnent les moyens de répondre à une intrusion majeure de leur système d’information. Selon une étude de PwC2, deux tiers des entreprises françaises n’accordent pas d’importance particulière au risque cyber. Il y a donc une réelle nécessité de développer une « culture cyber » au sein des entreprises. Parce que la bonne gestion d’une crise cyber implique nécessairement une communication appropriée, VSC lance une offre « gestion de crise cyber » en partenariat avec Erium, société spécialisée dans la prévention des risques cyber.

    Des crises d’une ampleur sans précédent provoquées par des attaques toujours plus sophistiquées

    Ce n’est plus un secret, la menace cyber est en pleine expansion. Le monde entier en a pris conscience au printemps 2017 lorsque les deux logiciels malveillants WannaCry et NotPetya paralysèrent l’activité de près de 250 000 entités, particulièrement européennes. En France, Saint-Gobain, Renault et Auchan ont fait partie des sociétés durement touchées par ces deux attaques qui ont détruit des milliers de systèmes informatiques et compromis des millions de données confidentielles. Les dégâts causés sont estimés à plusieurs milliards de dollars, on parle même de 10 milliards pour NotPetya. Saint-Gobain, à elle seule, déclarait avoir perdu 250 millions de chiffre d’affaires et 80 millions de résultats à cause de WannaCry.

    Ces attaques sont l’illustration du niveau de sophistication et de force de frappe atteignable par les milliers de cyberattaques déclarées chaque année. L’interconnexion croissante de toute notre économie exacerbe le risque systémique d’une attaque cyber qui peut dès lors se propager beaucoup plus facilement via les systèmes d’exploitation et la connectivité des périphériques.

    Instaurer une culture de la crise cyber

    Se prévenir d’une crise cyber nécessite des moyens techniques et communicationnels. Les contraintes sont multiples : il en va de la réputation d’une entreprise et de ses obligations réglementaires. En effet, 33 % des entreprises victimes d’une fuite de données voient leur image de marque se dégrader. L’exposition médiatique dont jouissent les opérations cyber-malveillantes impose alors aux entreprises de revoir totalement la manière de gérer leur image et leur réputation, que ce soit au niveau des collaborateurs que des clients et des partenaires. Cette distinction est d’autant plus importante que la manière de communiquer ne sera pas la même selon le destinataire de l’information.

    Par ailleurs, depuis le mois de mai 2018 et l’entrée en vigueur du Règlement européen pour la protection des données (RGPD), la communication fait partie des obligations réglementaires des entreprises. La raison est simple : la protection des données détenues par une entreprise est de son entière responsabilité. Il revient alors à celle-ci de prendre les mesures adéquates pour garantir l’intégrité de ces données. Or, une attaque cyber est encore trop souvent vécue comme une maladie honteuse. L’enjeu est donc d’aider les entreprises à notifier ses clients et partenaires, à rassurer ses collaborateurs dans les moments post-intrusion.

    Adopter les bons comportements : communiquer de manière transparente et proactive

    Communiquer après avoir constaté une opération malveillante d’ampleur dans un système d’information n’est pas chose facile. Il faut savoir adopter les bons réflexes selon le moment de prise de parole et selon les interlocuteurs, la difficulté étant que la visibilité d’une attaque peut être protéiforme. Le piratage peut, dans le meilleur des cas, être découvert en amont par la Direction des systèmes d’information. Bien souvent, ce sont les clients ou les partenaires qui découvrent par hasard le défaut de fonctionnement. Une stratégie de communication doit à ce moment-là être établie afin de communiquer factuellement, en toute transparence à un public averti ou non.

    Se préparer à répondre et à communiquer sur une compromission de système est donc bien la nouvelle doxa en matière de sécurité. Cependant, les écueils restent nombreux. À ce titre, la communication délicate d’Equifax, victime d’une attaque cyber d’ampleur en 2017, en est un parfait exemple. L’entreprise de renseignement de crédit américaine a en effet attendu quatre mois pour annoncer le piratage de 145 millions de comptes par un message froid, technique, minimisant l’attaque et peu compréhensible. Dans sa gestion opérationnelle, la société témoignait d’une mobilisation en demi-teinte, déconnectée de l’ampleur de l’attaque et contreproductive en termes d’image. En effet, la plateforme mise en ligne, permettant aux clients de savoir s’ils avaient été affectés ou non par la fuite de données, était affichée par la plupart des navigateurs comme un site de phishing. En cause la mauvaise gestion des certificats de sécurité utilisés par Equifax !

    Par ailleurs, Equifax proposait à certains utilisateurs de la plateforme un service de surveillance de crédit censé les aider à se protéger contre un éventuel futur vol d’identité, mais les conditions générales d’utilisation de ce service contenaient une clause étonnante. Celle-ci prévoyait en effet que l’utilisateur « promettait de ne pas intenter de class action à l’encontre de la société » ! Au final, cette gestion hasardeuse a engendré de nombreuses critiques des clients et des médias. Cet exemple démontre qu’une communication maîtrisée est primordiale en situation de crise pour rester le maître des évènements. L’organisation touchée se doit avant toute chose de rassurer le public et les personnes potentiellement affectées par l’acte de malveillance. Cela passe à la fois par un discours adapté, empathique et une mobilisation totale de l’entreprise. Dans le cas d’Equifax, les actions maladroites menées ont simplement montré à quel point elle était dépassée par la situation. Enfin, la prévention est le comportement que toute entreprise doit adopter pour éviter une crise majeure. Les efforts de sensibilisation poursuivis par la plupart des grandes entreprises doivent être étendus aux plus petites structures. Les PME et ETI ne peuvent plus se permettre de fermer les yeux sur l’éventualité d’un acte cyber-malveillant au risque de mettre toute leur activité en péril.

    Thibault Delahaye, directeur conseil, Nathan Juillerat, consultant
    et Laurent Porta, associé Vae Solis