Pleins feux : Quand une cyberattaque frappe : Protéger et réparer la réputation de la marque

Par les auteurs invités : Sean Wood et Katherine Goodyear

Bienvenue dans la dernière édition de Spotlight. Spotlight est notre façon de partager les idées et les points de vue de nos partenaires stratégiques – avocats, assureurs, gestionnaires de risques et experts en communication de crise dans tous les secteurs – sur des questions qui ont le potentiel d’influencer le point de vue d’une entreprise sur les incidents sur le marché et la gestion de crise.

Dans cette édition, nous sommes rejoints par Sean Wood, vice-président exécutif et Katherine Goodyear, directrice de compte chez Weber Shandwick pour un aperçu des communications de cybersécurité. Nous explorons ce que les entreprises devraient faire pour planifier un incident et les mesures pratiques qu’elles devraient prendre pour minimiser au mieux l’impact, protéger et améliorer la réputation de la marque en cas d’incident.

Avant-propos de Chris Harvey, vice-président principal des services à la clientèle chez Sedgwick :

Lisez la suite pour plus d’informations de Sean Wood et Katherine Goodyear.

Les incidents de cybersécurité sont parmi les menaces commerciales et de réputation les plus graves auxquelles les entreprises sont confrontées et peuvent rapidement éroder la confiance des principales parties prenantes - des clients aux employés en passant par le grand public. En plus de cela, ils sont difficiles à résoudre, coûteux et à croissance rapide.

La cybercriminalité devrait coûter environ 6 billions de dollars américains en dommages dans le monde en 2021, soit deux fois plus qu’en 2015 - et les attaques de ransomwares ont augmenté de 151% au premier semestre de 2021, par rapport à l’année 2020. L’augmentation constante de ces incidents, leur sophistication et leur impact opérationnel et financier potentiel soulignent à quel point il est important pour les entreprises de tous les secteurs d’être préparées.

En fait, une récente enquête mondiale menée par KRC Research et Weber Shandwick auprès de cadres dans 12 pays a révélé que la cybersécurité et la confidentialité des données sont les deux principales préoccupations des dirigeants lors de la prise de décisions commerciales importantes.

Aller de l’avant en planifiant à l’avance

Bien que les gens comprennent que les incidents de cybersécurité se produisent, ils jugent souvent les entreprises et les organisations sur la façon dont ils réagissent - et les tiennent responsables lorsque des informations sont exposées ou utilisées à mauvais escient. Pour cette raison, la priorité numéro un de l’entreprise devrait être de mettre en place un plan pré-incident pour permettre à l’entreprise de répondre rapidement à une attaque.

Non seulement cette planification est-elle la bonne chose à faire pour protéger les renseignements personnels et commerciaux sensibles et la réputation de la marque, mais les clients, les assureurs et le gouvernement soulignent l’importance de renforcer les plans d’intervention en cas d’incident. Récemment, le président des États-Unis, Joe Biden, a tenu une réunion au cours de laquelle il a décrit la cybersécurité comme un « défi fondamental en matière de sécurité nationale » et a appelé le secteur privé à renforcer la cybersécurité du pays en partenariat et individuellement, en mettant l’accent sur la résolution d’une pénurie de compétences en cybersécurité. À la suite des réunions de l’Initiative de lutte contre les ransomwares tenues en octobre par le Conseil de sécurité nationale de la Maison Blanche, plus de 30 pays et l’Union européenne ont publié une déclaration conjointe de coopération pour améliorer la résilience nationale, lutter contre la finance illicite, perturber les criminels de ransomwares et utiliser la diplomatie comme un outil pour lutter contre les ransomwares.

Dans ce cas, la planification signifie :

• Élaborer ou mettre à jour un plan d’intervention en cas d’incident. Couvrant les interventions opérationnelles et de communication, ces plans devraient être intégrés et décrire qui doit participer, les rôles et les responsabilités, les niveaux de risque et les seuils et indiquer un processus de communication rapide aux intervenants touchés.
• Établir une planification de scénarios pour les risques et les incidents potentiels. Le plan de scénario devrait comprendre des considérations et des directives propres à la situation, ainsi que des modèles de messages aux intervenants qui peuvent être rapidement mis à jour avec les faits de la situation réelle en cas d’incident.
• Tester le plan. La réalisation d’exercices de simulation réalistes est une partie importante du processus de planification et de préparation pour tester la capacité de l’organisation à fonctionner conformément au plan et aux protocoles. Il permettra également d’identifier les lacunes dans les processus qui doivent être corrigés avant qu’un événement réel ne se produise.
• Investir à l’avance. Certaines organisations peuvent se sentir incapables d’investir à l’avance pour avoir un centre d’appels d’urgence ou d’autres solutions en place, mais c’est le meilleur moyen d’éviter d’être mal préparé. Cet investissement peut inclure la mise en place d’un centre d’appels de notification de perte / réponse aux violations. Il peut également s’agir d’un centre d’information ou d’un microsite secondaire, hébergé séparément, qui peut être activé rapidement pour communiquer avec les parties prenantes via d’autres canaux au cas où vous perdriez l’accès à vos systèmes.

Maintenant, lorsqu’un incident se produit, votre entreprise ou organisation est mieux préparée à gérer la situation, à activer le plan en place et à se concentrer sur l’atténuation de tout risque.

Mise en œuvre du plan

Lorsqu’un incident se produit, l’entreprise doit immédiatement activer son plan d’intervention en cas d’incident régulièrement mis à jour. Soyez transparent, mais ne aurez pas de l’avance sur les faits. La criminalistique des données prend souvent du temps, il est donc important de ne communiquer que les faits confirmés et de reconnaître que la situation est fluide et peut changer. Pour minimiser l’impact, protéger et potentiellement améliorer la réputation de la marque, il y a plusieurs considérations à garder à l’esprit :

• Perception : Souvent, la perception est qu’une entreprise ou une organisation est responsable même si elle n’est pas responsable des données violées. Les parties prenantes peuvent et vous pardonneront les failles de sécurité, la malchance ou même les deux. Mais tenter de détourner le blâme peut se retourner contre lui. Les personnes touchées par la mésaventure le voient simplement : ils vous ont fait confiance avec leurs informations et vous les avez perdues.
• Contrôle : Il se peut que vous (l’entreprise ou l’organisation) n’ayez pas le contrôle du moment de la divulgation. De nombreux facteurs peuvent accélérer votre réponse. Par exemple, les pays et les États américains ont des exigences de divulgation différentes. Le cycle des médias ou les commentaires sur les médias sociaux peuvent également le forcer. Les pirates informatiques divulguent des informations confidentielles sur le Web, qui sont ensuite reprises par les journalistes et les blogueurs en cybersécurité. Le personnel peut également divulguer par inadvertance des informations sensibles, ce qui ajoute au problème.
• Obligation : Les entreprises et les organisations peuvent avoir des obligations contractuelles de divulguer l’incident. De plus en plus, les contrats avec les fournisseurs et les partenaires comprennent des clauses exigeant que les entreprises divulguent une violation, indépendamment des exigences réglementaires. Si la société est publique, il peut y avoir un impact important et des considérations connexes qui doivent être pris en compte, en plus des divulgations réglementaires.
• Communication : Tous les incidents n’exigent pas une communication proactive de l’ensemble de la situation à tous les publics. La décision d’être proactif ou réactif et avec lequel le public est nuancé et non un modèle unique. Même s’il n’y a pas d’exigences contractuelles ou réglementaires, les entreprises peuvent avoir une obligation éthique de divulguer , souvent en raison de l’ampleur de l’atteinte et de la probabilité qu’elle devienne publique. (Conseil de pro : il est toujours préférable pour vos parties prenantes d’avoir de vos nouvelles plutôt que de le découvrir pour la première fois dans les médias. Cela montre que vous prenez la protection de leurs informations au sérieux.)
• Valeurs : Toujours ancrer la réponse de l’entreprise dans les valeurs de l’entreprise. Qui représentez-vous en tant qu’entreprise et qu’est-ce que vos parties prenantes attendent de vous ? Voyez la situation à travers leurs yeux et réagissez en conséquence.

L’augmentation alarmante des incidents de cybersécurité au cours de la dernière année, ainsi que le nombre d’atteintes à la vie privée très médiatisées, soulignent qu’il n’y a jamais eu de moment plus important pour se préparer. Avec de plus en plus d’organisations et d’entreprises poursuivant un modèle de travail hybride, le risque d’une violation de données ne fait qu’augmenter. Les auteurs de menaces verront une opportunité avec une main-d’œuvre à distance - et nous devons nous attendre à ce qu’ils continuent d’évoluer et d’adapter leurs opérations à la nouvelle normalité.

Prioriser la planification de la cybersécurité maintenant aidera à s’assurer que votre organisation est prête en cas d’incident - car il ne s’agit pas de « si » mais d’une question de « quand » une cyberattaque se produira.

Téléchargez une copie de cette fonctionnalité de spotlight ici.

À propos de nos auteurs invités, Sean Wood et Katherine Goodyear :

Sean Wood est vice-président exécutif de la pratique crise et enjeux mondiaux de Weber Shandwick, aidant les clients à protéger leur réputation dans des situations à enjeux élevés depuis plus de 25 ans. Sean apporte une perspective de réputation d’entreprise et de marque à la gestion des crises et des problèmes pour aider les chefs d’entreprise à faire face à des situations complexes avec des stratégies intégrées pour atténuer les risques.

Katherine Goodyear est directrice de la pratique crise et enjeux de Weber Shandwick à New York. Katherine conseille les clients à travers leurs questions les plus complexes et les plus sensibles pour protéger leur réputation. Elle offre une gamme complète de soutien en communication de crise, aidant les clients à naviguer dans les incidents de cybersécurité.