211service.com
Communication de crise après une attaque
En partenariat avec Hewlett Packard Enterprise Security Services et FireEye Inc.
Voici un scénario de plus en plus courant : vous êtes un chef d'entreprise ou un responsable informatique et vous apprenez, très probablement de sources extérieures à votre entreprise, que des cyberattaquants ont compromis les systèmes de votre organisation. Vous ne savez pas encore à quel point vous êtes confronté à une violation grave, mais il est clairement temps d'activer votre plan de communication de crise.
Sauf que vous n'avez pas de plan. Ou vous en avez un, mais il ne couvre pas les crises de cybersécurité.
Dans les deux cas, vous n'êtes pas seul. Les experts en sécurité affirment que même les organisations les plus soucieuses de la sécurité sont souvent terriblement mal préparées lorsqu'il s'agit de communiquer avec les parties prenantes internes et externes pendant et après les cyberattaques, ce qui les oblige à se démener pour reprendre le contrôle en cas de crise. C'est généralement parce qu'ils n'ont pas fait assez de travail avant de la violation.
'La plus grande erreur que je vois que les entreprises commettent est de ne pas avoir de plan de communication de crise en place', déclare Vitor De Souza, vice-président des communications mondiales pour FireEye Inc., une entreprise mondiale de cybersécurité de premier plan. L'observation de De Souza est étayée par une enquête de février 2016 menée par MIT Technology Review Custom en partenariat avec FireEye et Hewlett Packard Enterprise (HPE) Security Services. Quarante-quatre pour cent des 225 responsables commerciaux et informatiques interrogés ont déclaré que leurs organisations n'avaient pas mis en place de plans de communication de crise en matière de cybersécurité ; 15 % ne savaient pas s'ils avaient de tels plans.
Une erreur similaire : s'appuyer sur un plan de communication de crise qui se concentre sur d'autres types d'urgences : incendies, pannes de courant, catastrophes naturelles. Ce type de plan ne traite pas de la manière de communiquer sur les problèmes propres aux violations de la sécurité des informations, tels que l'accès possible des cybercriminels à des informations personnellement identifiables ou à la propriété intellectuelle de l'entreprise.
Vidéo: Communication de crise après une attaque
Les cyberattaques sont plus compliquées à gérer que les incendies, et elles sont beaucoup plus compliquées à discuter avec le public. 'S'il y a un incendie dans le bâtiment, il y a une ou deux issues, mais dans le cyberespace, il existe de nombreux scénarios différents. Vous devez savoir à quoi vous pourriez être confronté, dit De Souza.
En tant qu'individus dans une organisation, si nous sentons de la fumée ou voyons un incendie, nous nous sentons habilités à tirer la sonnette d'alarme, déclare Andrzej Kawalec, CTO de HPE Security Services. Une alarme incendie active les plans d'intervention d'urgence et de communication de crise de manière assez simple, mais, selon Kawalec, cela ne se produit pas avec les incidents de cybersécurité, pour deux raisons.
Résultats du sondage
Défis, risques, tendances et impacts de la cybersécurité
Produit par MIT Technology Review Custom en partenariat avec Hewlett Packard Enterprise Security Services et FireEye Inc.
Premièrement, les violations sont souvent d'abord signalées par des étrangers, ce qui prend les organisations par surprise. En 2015, 53 % des incidents traités par Mandiant, une société FireEye, ont d'abord été portés à l'attention des entreprises par des sources externes, telles que des clients, des partenaires, des responsables de l'application des lois, des journalistes ou les attaquants eux-mêmes. Immédiatement, ils sont dans une situation très réactive, avec une grande incertitude, note Kawalec.
Deuxièmement, les violations se produisent souvent sur de longues périodes. Selon le rapport Mandiant, le temps médian passé par les adversaires des clients Mandiant à l'intérieur du périmètre avant d'être détectés en 2015 était de 146 jours. M-Tendances 2016 . Si vous le trouvez le cinquième jour, il n'y a que peu de dégâts qui peuvent être causés pendant cette période, dit Kawalec. Mais parfois, les failles ne sont pas découvertes avant des mois, voire des années. Les longs délais de détection rendent la crise beaucoup plus difficile à gérer et à expliquer aux différents publics concernés. Les questions posées à la suite d'une violation, telles que pourquoi il a fallu si longtemps pour découvrir la violation et pourquoi cela s'est produit en premier lieu, ont le potentiel d'être beaucoup plus préjudiciables à la réputation d'une entreprise que celles généralement posées après un incendie. ou autre catastrophe naturelle.
Même ainsi, Kawalec et d'autres experts affirment qu'il est essentiel de tenir les parties prenantes informées après une violation. Le pire, ce sont les rumeurs et les conjectures, dit Kawalec. Créez un cadre pour répondre aux questions honnêtement et avec intégrité. Soyez transparent sur ce que vous faites et ne savez pas.
Communiquez en continu et depuis le sommet
Chris Leach, technologue en chef pour HPE Security Services et ancien responsable de la sécurité de l'information (CISO) pour une grande entreprise, est d'accord. Communiquez avec les gens vers le haut et vers le bas, et communiquez en continu, recommande-t-il. Incluez ce que vous savez pour inspirer confiance que vous, en tant qu'entreprise, traitez le problème et protégez les informations. Dans la mesure du possible, engagez-vous à agir : par exemple, dites 'nous allons résoudre ce problème d'ici' - puis remplissez le blanc. Promettez des mises à jour lorsqu'il y aura plus d'informations à partager.
Cependant, Leach recommande de partager les informations sur la base du besoin de savoir : nous ne communiquons généralement pas tous les détails d'une violation à tous les employés, dit-il. Nous ne partagerons que suffisamment pour nous assurer qu'ils sont convaincus que nous les gérons et qu'il s'agit d'informations qu'ils pourraient et devraient partager avec leurs clients.
Dans le même temps, il est important de répondre aux préoccupations des employés quant à savoir si leurs propres informations personnelles ont été compromises, déclare Kawalec. Les employeurs détiennent généralement des données sensibles sur les employés : salaire, adresse, antécédents professionnels, performances professionnelles et autres informations personnelles. Pour cette raison, dit Kawalec, vos employés doivent sentir que vous communiquez avec eux et qu'ils comprennent ce qui s'est passé.
Les trois experts soulignent l'importance d'impliquer la haute direction de l'entreprise dans le plan de communication de crise non seulement pendant une cyberattaque, mais aussi bien avant. Une violation n'est pas un problème informatique, déclare De Souza. C'est un problème commercial. La suite C doit être pratique. Préparez-les. Une fois que vous avez fait cela, vous avez un partenaire, un allié, pour relever le défi.
De plus, les organisations intelligentes qui adoptent le parcours de la transformation numérique considèrent leur plan de communication de crise en matière de cybersécurité comme un travail en cours perpétuel, le mettant à jour pour refléter l'évolution sans fin des nouvelles menaces. Un exemple de menace émergente : le rançongiciel, auquel un attaquant restreint l'accès à un système informatique jusqu'à ce qu'une entreprise débourse des frais de chantage élevés. Lors d'un incident très médiatisé en février 2016, une attaque par ransomware a bloqué l'accès des employés aux systèmes informatiques du Hollywood Presbyterian Medical Center à Los Angeles. Les cyberattaquants ont exigé que l'hôpital paie l'équivalent d'environ 17 000 dollars via le système de monnaie virtuelle Bitcoin pour obtenir la clé de déchiffrement permettant de déverrouiller les systèmes. Dans l'intérêt du rétablissement des opérations normales, nous l'avons fait, a écrit le président et chef de la direction de l'hôpital, Allen Stefanek, dans une lettre affiché sur le site Web de l’hôpital.
La lettre de Stefanek notait que la cyberattaque presbytérienne d'Hollywood n'avait pas compromis les soins aux patients et que, pour autant que l'hôpital puisse le dire, les attaquants n'avaient jamais accédé aux informations sur les employés ou les patients. Mais le concept de rançon a déconcerté les équipes de direction d'autres organisations dans le monde. Que se passe-t-il si vos systèmes tombent en panne parce que quelqu'un vous demande de payer 1,5 million de dollars ? demande De Souza. Êtes-vous prêt à faire face à cela? Tout aussi important : qu'en diriez-vous ? Votre plan de communication aborde-t-il un tel scénario ?
Construire une base solide
Bien sûr, les plans de communication de crise varient considérablement d'une organisation à l'autre. Mais les experts proposent quelques recommandations pour établir un cadre efficace de communication de crise :
- Créer une équipe de communication interfonctionnelle. Nous avions une personne RH. Nous avions des responsables de la communication et des services juridiques, ainsi qu'une personne de l'équipe informatique, explique Leach en décrivant l'équipe de communication de crise en matière de cybersécurité de son ancien employeur. En fonction du type de violation, l'équipe principale faisait parfois appel à d'autres spécialistes internes. Il peut donc s'agir d'un spécialiste du stockage, ou d'un spécialiste d'un secteur d'activité dans une autre région du monde, explique-t-il.
- Établir une structure de direction claire. «Quand les choses arrivent, elles arrivent vite, dit De Souza. L'arbre de communication doit être bien défini, avec un propriétaire qui est à l'aise avec la prise en charge.
- Parlez d'une seule voix . Cela ne signifie pas nécessairement utiliser un seul porte-parole. Au lieu de cela, cela signifie s'assurer que toutes les personnes habilitées à parler avec les parties prenantes partagent le même message. Dans toutes nos communications, il n'y avait que deux ou trois personnes autorisées à parler au nom de l'entreprise, se souvient Leach. Il recommande de fournir à ces porte-parole une formation professionnelle aux médias - encore une fois, bien avant qu'ils n'aient besoin d'utiliser ces compétences.
- Ayez des plateformes de communication prêtes à l'emploi. Les gens ne sont pas habitués à gérer une crise à la vitesse de Twitter, dit Kawalec. Si la violation devient publique, mettez en ligne au plus vite un site internet dédié. Configurez plusieurs canaux bidirectionnels afin que les parties prenantes (employés, clients, partenaires, médias et autres) puissent contacter l'entreprise avec des informations ou des questions.
- Pratique, pratique, pratique. De Souza recommande d'effectuer des exercices sur table, des répétitions régulières impliquant des stratégies de communication pour répondre à différents types de cyberattaques. Comment régulier? Souza dit que dans les meilleurs exemples qu'il ait vus, les organisations organisent des exercices chaque trimestre et incluent la suite C ainsi que l'équipe de communication de crise. Vous devez vous assurer que le plan de communication est opérationnel et que vous pouvez réellement l'utiliser, note-t-il.
Faites appel à une expertise externe
Bien sûr, de nombreuses organisations ne disposent pas des ressources internes nécessaires pour créer, mettre en pratique et mettre à jour en permanence des plans complets de communication de crise, en particulier compte tenu de la grande diversité des scénarios de cyberattaques potentiels. Dans ces cas, il est logique de se tourner vers des partenaires externes ayant une solide expérience dans l'établissement de plans de communication de crise et de meilleures pratiques. Un exemple : HPE Security Services et FireEye, qui ont fourni des offres de réponse aux incidents, d'évaluation des compromis et de détection des menaces à des milliers de clients dans le monde, et offrent également de nombreux conseils éprouvés sur la planification de la communication de crise.
Il est clair que vous ne pouvez pas contrôler le cycle de communication sans avoir fait un travail préalable, note Kawalec. Ainsi, en amont, nous pouvons élaborer avec vous, ou pour vous, un plan de réponse à la crise très bien pensé avec différents schémas et scénarios. Ensuite, nous l'utilisons comme un manuel de formation que vos équipes peuvent utiliser pour fonctionner en temps réel.
De cette façon, lorsque l'inévitable se produit, les organisations sont bien préparées à réagir, dit Kawalec. Dans le feu de l'action, vous savez quoi dire et comment le dire. Vous savez comment articuler différents messages à différents publics. Vous pouvez prendre le contrôle de la situation et la communiquer.
Pour en savoir plus sur la transformation numérique et la cybersécurité, veuillez explorer ce Site Web de ressources HPE-FireEye.