À l’honneur : Quand une cyberattaque frappe : Protéger et réparer la réputation de la marque

Par les auteurs invités : Sean Wood et Katherine Goodyear

Bienvenue à la dernière édition de Spotlight. Spotlight est notre façon de partager des perspectives et des perspectives de nos partenaires stratégiques – avocats, assureurs, gestionnaires de risques et experts en communication de crise de tous les secteurs – sur des enjeux susceptibles d’influencer la perception d’une entreprise concernant les incidents sur le marché et la gestion de crise.

Dans cette édition, nous sommes rejoints par Sean Wood, vice-président exécutif, et Katherine Goodyear, directrice des comptes chez Weber Shandwick, pour un aperçu des communications en cybersécurité. Nous explorons ce que les entreprises devraient faire pour planifier un incident et les mesures pratiques qu’elles devraient prendre pour minimiser au mieux l’impact, protéger et améliorer la réputation de la marque si un incident survient.

Préface de Chris Harvey, vice-président principal des services clients chez Sedgwick :

Lisez la suite pour plus d’informations de Sean Wood et Katherine Goodyear.

Les incidents de cybersécurité comptent parmi les menaces commerciales et réputationnelles les plus graves auxquelles font face les entreprises et peuvent rapidement éroder la confiance des parties prenantes clés — des clients aux employés en passant par le grand public. En plus, ils sont difficiles à résoudre, coûteux et à croissance rapide.

La cybercriminalité devrait coûter environ 6 000 milliards de dollars américains de dommages à l’échelle mondiale en 2021, soit un double par rapport à 2015 — et les attaques par rançongiciel ont explosé de 151% au premier semestre 2021, comparativement à l’année 2020 complète. L’augmentation constante de ces incidents, leur sophistication et leur impact opérationnel et financier potentiel soulignent à quel point il est important que les entreprises de tous secteurs soient prêtes.

En fait, une récente enquête mondiale menée par KRC Research et Weber Shandwick auprès de cadres dans 12 pays a révélé que la cybersécurité et la confidentialité des données sont les deux principales préoccupations des cadres lors de la prise de décisions d’affaires importantes.

Prendre de l’avance en planifiant à l’avance

Bien que les gens comprennent que les incidents de cybersécurité se produisent, ils jugent souvent les entreprises et organisations sur leur façon de réagir — et les tiennent responsables lorsque des informations sont exposées ou mal utilisées. Pour cette raison, la priorité numéro un de l’entreprise devrait être d’établir un plan pré-incident afin de permettre à l’entreprise de réagir rapidement à une attaque.

Non seulement cette planification est la bonne chose à faire pour protéger les informations personnelles et commerciales sensibles ainsi que la réputation de la marque, mais les clients, les assureurs et le gouvernement soulignent aussi l’importance de renforcer les plans de réponse aux incidents. Récemment, le président américain Joe Biden a tenu une réunion où il a décrit la cybersécurité comme un « défi central en matière de sécurité nationale » et a appelé le secteur privé à renforcer la cybersécurité nationale, en partenariat et individuellement, en mettant l’accent sur la résolution d’une pénurie de compétences en cybersécurité. À la suite des réunions de l’Initiative anti-ransomware tenues en octobre par le Conseil de sécurité nationale de la Maison-Blanche, plus de 30 pays et l’Union européenne ont publié une déclaration conjointe de coopération pour améliorer la résilience nationale, contrer le financement illicite, perturber les criminels liés aux rançongiciels et utiliser la diplomatie comme outil pour lutter contre les rançongiciels.

Dans ce cas, la planification signifie :

• Élaborer ou mettre à jour un plan d’intervention en cas d’incident. Couvrant à la fois les réponses opérationnelles et de communication, ces plans devraient être intégrés et définir qui doit être impliqué, les rôles et responsabilités, les niveaux de risque et les seuils, et indiquer un processus de communication rapide avec les parties prenantes touchées.
• Établir la planification des scénarios pour les risques et incidents potentiels. Le plan de scénario devrait inclure des considérations et des orientations spécifiques à chaque situation, ainsi que des messages types pour les parties prenantes qui peuvent être rapidement mis à jour avec les faits réels de la situation si un incident survient.
• Tester le plan. Réaliser des exercices de simulation réalistes est une partie importante du processus de planification et de préparation pour tester la capacité de l’organisation à fonctionner selon le plan et les protocoles. Il identifiera aussi les lacunes dans les processus qui doivent être corrigées avant qu’un événement réel ne se produise.
• Investir à l’avance. Certaines organisations peuvent estimer qu’elles ne peuvent pas investir à l’avance pour avoir un centre d’appels de contingence ou d’autres solutions en place, mais c’est la meilleure façon d’éviter d’être pris au dépourvu. Cet investissement peut inclure la mise en place d’un centre d’appels de notification de perte ou de réponse aux violations de pertes. Cela peut aussi impliquer un centre d’information secondaire hébergé séparément ou un microsite, qui peut être activé rapidement pour communiquer avec les parties prenantes via des canaux alternatifs si vous perdez l’accès à vos systèmes.

Maintenant, lorsqu’un incident survient, votre entreprise ou organisation est mieux préparée à gérer la situation, à activer le plan en place et à se concentrer sur la réduction de tout risque.

Mise en œuvre du plan

Lorsqu’un incident survient, l’entreprise devrait immédiatement passer à l’activation de son plan de réponse aux incidents régulièrement mis à jour. Soyez transparent, mais ne devancez pas les faits. La criminalistique des données prend souvent du temps, il est donc important de communiquer uniquement des faits confirmés et de reconnaître que la situation est fluide et peut évoluer. Pour minimiser l’impact, protéger et potentiellement améliorer la réputation de la marque, plusieurs éléments à considérer :

• Perception : Souvent, la perception est qu’une entreprise ou une organisation est responsable même si elle n’est pas responsable des données compromises. Les parties prenantes peuvent et vont vous pardonner les failles de sécurité, la malchance ou même les deux. Mais tenter de détourner la faute pourrait se retourner contre lui. Ceux qui ont été touchés par l’incident le voient simplement : ils vous ont fait confiance avec leurs informations et vous les avez perdues.
• Contrôle : Vous (l’entreprise ou l’organisation) n’avez peut-être pas le contrôle du moment de la divulgation. De nombreux facteurs peuvent accélérer votre réponse. Par exemple, les pays et les États américains ont des exigences de divulgation différentes. Le cycle médiatique ou les commentaires sur les réseaux sociaux peuvent aussi y forcer. Les pirates pirates divulguent des informations confidentielles vers le web, qui sont ensuite reprises par des journalistes et blogueurs en cybersécurité. Le personnel peut aussi, sans le vouloir, divulguer des informations sensibles, ce qui aggrave le problème.
• Obligation : Les entreprises et organisations peuvent avoir des obligations contractuelles de divulguer l’incident. De plus en plus, les contrats avec les fournisseurs et partenaires incluent des clauses obligeant les entreprises à divulguer une violation, indépendamment des exigences réglementaires. Si l’entreprise est publique, il peut y avoir un impact important et des considérations connexes à prendre en compte, en plus des divulgations réglementaires.
• Communication : Tous les incidents ne nécessitent pas une communication proactive de toute la situation à tous les publics. La décision d’être proactif ou réactif et avec quels publics est nuancée et non un modèle universel. Même s’il n’y a pas d’exigences contractuelles ou réglementaires, les entreprises peuvent avoir une obligation éthique de divulguer — souvent motivée par l’ampleur de la violation et la probabilité qu’elle devienne publique. (Conseil d’expert : il vaut toujours mieux que vos parties prenantes vous entendent plutôt que de l’apprendre pour la première fois dans les médias. Cela montre que vous prenez la protection de leurs informations au sérieux.)
• Valeurs : Ancre toujours la réponse de l’entreprise dans les valeurs de l’entreprise. Qui représentez-vous en tant qu’entreprise et à quoi s’attendent vos parties prenantes de vous? Voyez la situation à travers leurs yeux et réagissez en conséquence.

L’augmentation alarmante des incidents de cybersécurité au cours de la dernière année, ainsi que le nombre de violations très médiatisées, soulignent qu’il n’y a jamais eu de moment plus important pour se préparer. Avec de plus en plus d’organisations et d’entreprises qui adoptent un modèle de travail hybride, le risque de violation de données ne cesse d’augmenter. Les acteurs malveillants verront une opportunité avec une main-d’œuvre à distance — et nous devons nous attendre à ce qu’ils continuent d’évoluer et d’adapter leurs opérations à la nouvelle normalité.

Prioriser la planification de la cybersécurité dès maintenant aidera à s’assurer que votre organisation est prête en cas d’incident — car ce n’est pas une question de « si », mais de « quand » une cyberattaque aura lieu.

Téléchargez une copie de cette rubrique spotlight ici.

À propos de nos auteurs invités, Sean Wood et Katherine Goodyear :

Sean Wood est vice-président exécutif au sein de la pratique mondiale de crise et enjeux de Weber Shandwick — aidant les clients à protéger leur réputation dans des situations à enjeux élevés depuis plus de 25 ans. Sean apporte une perspective de réputation d’entreprise et de marque à la gestion des crises et des enjeux afin d’aider les dirigeants d’entreprise à gérer des situations complexes grâce à des stratégies intégrées pour atténuer les risques.

Katherine Goodyear est directrice au sein du cabinet de crise et de questions de Weber Shandwick à New York. Katherine conseille ses clients à travers leurs enjeux les plus complexes et sensibles afin de protéger leur réputation. Elle offre une gamme complète de soutien aux communications de crise — aidant ses clients à naviguer dans les incidents de cybersécurité.