Réagir à une cyberattaque ou à une perte de données

Le capital numérique des entreprises est aussi précieux qu’exposé. Invisibles, les cyber voleurs et autres cyber espions disposent de techniques et d’outils d’autant plus sophistiqués que leurs cibles sous-estiment leur efficacité et, inversement, surestiment la capacité de résistance de leur système d’information.

Alors qu’il ne se passe plus un jour sans qu’un forfait informatique soit médiatisé – ce qui laisse imaginer le nombre de ceux passés sous silence -, toutes les entreprises doivent se préparer au pire. Hélas courant, le piratage de la page d’accueil d’un site est un moindre mal si on le compare à des intrusions plus profondes. Celles qui parviennent à piller des données, notamment les données personnelles de clients et/ou salariés.

Lorsque, malgré tous les efforts de protection, le mal est fait, il faut limiter les dégâts de la crise tout d’abord en y mettant un terme, puis en évitant que rumeurs amplifiées et informations déformées ne se répandent et minent la réputation de l’entreprise au point de menacer son existence.

Juguler une crise repose sur l’efficacité d’une équipe dédiée à sa gestion. Elle est pilotée par la direction générale qui s’est adjoint les compétences d’un spécialiste de la gestion de crise, une compétence qui n’existe en interne que dans les plus grands groupes. Cette équipe regroupe des experts dans tous les domaines concernés. Placés en tête de liste, les spécialistes informatiques doivent être complétés par des juristes et des responsables des ressources humaines.

Verrouiller les sources internes

Leur objectif doit être triple. Pendant que ceux chargés de l’audit interne s’attachent à circonscrire les dégâts et à cerner leur ampleur technique, leurs collègues évaluent les conséquences juridiques et financières et mettent en place une stratégie de communication.

Cette stratégie repose à la fois sur un contrôle des « messages » émis et sur un verrouillage des sources d’information internes. L’ensemble du personnel doit être sensibilisé aux vertus de la discrétion afin d’éviter qu’un échange anodin vienne mettre à mal le plan de communication défini par l’équipe de crise. Ce plan ne concerne pas seulement les médias, mais aussi tous les interlocuteurs de l’entreprise et aussi, désormais, tous les canaux de communication qui passent par les réseaux sociaux. Un état d’âme sur Facebook ou un seul tweet malencontreux peuvent détruire toute une stratégie de communication ! Pour résumer, l’entreprise ne doit parler que d’une seule voix.

Civis pacem, para bellum, disaient les Romains. Si tu veux la paix, prépare la guerre. Appliqué aux risques informatiques, ce principe se traduit par le soin particulier qu’il faut apporter à l’anticipation et à la prévention. Les actions de la cellule de crise seront d’autant plus efficaces si elles interviennent dans une entreprise déjà sensibilisée et qui s’est préparée à ce genre de situation. Sans aller jusqu’à simuler une alerte du type de celle d’un exercice incendie, diffuser des directives anticipées aux salariés et sélectionner à l’avance les membres de la cellule de crise peuvent éviter une improvisation dans l’urgence. Cette prévention peut aussi s’étendre aux partenaires de l’entreprise. Le seul fait de s’engager dans cette démarche doit aussi avoir des répercussions sur la gestion des données. Effacer celles qui ne sont plus nécessaires et sécuriser celles utilisées ne pourront que limiter les dégâts causés par un acte de malveillance.

Pour en savoir plus

Sur le site d’Hiscox
Protégez vos bases de données (PDF de six pages)
Gérer le risque de la cybercriminalité (PDF de 15 pages)