Coup de projecteur : En cas de cyberattaque : Protéger et rétablir la réputation d'une marque

Par les auteurs invités : Sean Wood et Katherine Goodyear

Bienvenue dans la dernière édition de Spotlight. Spotlight est notre façon de partager les idées et les points de vue de nos partenaires stratégiques – avocats, assureurs, gestionnaires de risques et experts en communication de crise de tous les secteurs – sur des questions susceptibles d'influencer la vision d'une entreprise sur les incidents survenant sur le marché et la gestion de crise.

Dans cette édition, nous sommes rejoints par Sean Wood, vice-président exécutif, et Katherine Goodyear, directrice de compte chezWeber Shandwick, pour un aperçu des communications en matière de cybersécurité. Nous explorons ce que les entreprises devraient faire pour se préparer à un incident et les mesures pratiques qu'elles devraient prendre pour minimiser au mieux l'impact, protéger et améliorer la réputation de leur marque si un incident venait à se produire.

Avant-propos de Chris Harvey, vice-président directeur des services à la clientèle chez Sedgwick :

Poursuivez votre lecture pour découvrir les réflexions de Sean Wood et Katherine Goodyear.

Les incidents liés à la cybersécurité comptent parmi les menaces les plus graves pour les entreprises et leur réputation. Ils peuvent rapidement éroder la confiance des principales parties prenantes, qu'il s'agisse des clients, des employés ou du grand public. De plus, ils sont difficiles à résoudre, coûteux et en forte augmentation.

La cybercriminalitédevrait coûter environ 6 000 milliards de dollars américains en dommages à l'échelle mondialeen 2021, soit deux fois plus qu'en 2015.Les attaques par ransomware ontquant à ellesaugmenté de 151 %au cours du premier semestre 2021, par rapport à l'ensemble de l'année 2020. L'augmentation constante de ces incidents, leur sophistication et leur impact opérationnel et financier potentiel soulignent à quel point il est important pour les entreprises de tous les secteurs d'être préparées.

En effet, une récenteenquête mondialemenée parKRC ResearchetWeber Shandwickauprès de cadres supérieurs dans 12 pays a révélé que la cybersécurité et la confidentialité des données sont les deux principales préoccupations des cadres supérieurs lorsqu'ils prennent des décisions commerciales importantes.

Prendre de l'avance en planifiant à l'avance

Même si les gens comprennent que les incidents de cybersécurité peuvent se produire, ils jugent souvent les entreprises et les organisations sur la manière dont elles réagissent, et les tiennent pour responsables lorsque des informations sont divulguées ou utilisées à mauvais escient. C'est pourquoi la priorité numéro un des entreprises devrait être de mettre en place un plan pré-incident afin de pouvoir réagir rapidement en cas d'attaque.

Non seulement cette planification est la bonne chose à faire pour protéger les informations personnelles et commerciales sensibles ainsi que la réputation de la marque, mais les clients, les assureurs et le gouvernement soulignent également l'importance de renforcer les plans d'intervention en cas d'incident. Récemment, le président américain Joe Biden a tenu uneréunionau cours de laquelle il a décrit la cybersécurité comme un « enjeu majeur pour la sécurité nationale » et a appelé le secteur privé à renforcer la cybersécurité du pays, tant en partenariat qu'individuellement, en mettant l'accent sur la résolution de la pénurie de compétences en matière de cybersécurité. À la suite des réunions de l'initiative Counter-Ransomware Initiative organisées en octobre par le Conseil national de sécurité de la Maison Blanche, plus de 30 pays et l'Union européenne ont publié unedéclaration communede coopération visant à améliorer la résilience nationale, à lutter contre les financements illicites, à perturber les activités des criminels utilisant des ransomwares et à utiliser la diplomatie comme outil de lutte contre les ransomwares.

Dans ce cas, la planification signifie :

• Élaborer ou mettre à jour un plan d'intervention en cas d'incident. Couvrantà la fois les interventions opérationnelles et les communications, ces plans doivent être intégrés et préciser les personnes à impliquer, les rôles et responsabilités, les niveaux de risque et les seuils, et indiquer un processus permettant de communiquer rapidement avec les parties prenantes concernées.
• Mettre en place une planification de scénarios pour les risques et incidents potentiels.Le plan de scénarios doit inclure des considérations et des conseils spécifiques à chaque situation, ainsi que des modèles de messages destinés aux parties prenantes qui peuvent être rapidement mis à jour avec les faits réels en cas d'incident.
• Tester le plan.La réalisation d'exercices de simulation réalistes est un élément important du processus de planification et de préparation afin de tester la capacité de l'organisation à fonctionner conformément au plan et aux protocoles. Cela permettra également d'identifier les lacunes dans les processus qui doivent être comblées avant qu'un événement réel ne se produise.
• Investir à l'avance.Certaines organisations peuvent estimer qu'elles ne sont pas en mesure d'investir à l'avance pour mettre en place un centre d'appels d'urgence ou d'autres solutions, mais c'est le meilleur moyen d'éviter d'être pris au dépourvu. Cet investissement peut inclure la mise en place d'un centre d'appels dédié à la notification des pertes et à la réponse aux violations. Il peut également s'agir d'un centre d'information ou d'un microsite secondaire, hébergé séparément, qui peut être activé rapidement pour communiquer avec les parties prenantes via d'autres canaux si vous perdez l'accès à vos systèmes.

Désormais, lorsqu'un incident survient, votre entreprise ou organisation est mieux préparée à gérer la situation, à activer le plan mis en place et à se concentrer sur l'atténuation des risques.

Mise en œuvre du plan

Lorsqu'un incident se produit, l'entreprise doit immédiatement mettre en œuvre son plan d'intervention en cas d'incident, régulièrement mis à jour. Soyez transparent, mais ne devancez pas les faits. L'analyse des données prend souvent du temps, il est donc important de ne communiquer que des faits confirmés et de reconnaître que la situation est fluctuante et susceptible d'évoluer. Afin de minimiser l'impact, de protéger et éventuellement d'améliorer la réputation de la marque, plusieurs éléments doivent être pris en compte :

• Perception : souvent, on considère qu'une entreprise ou une organisation est responsable même si elle n'est pas à l'origine de la violation des données. Les parties prenantes peuvent vous pardonner vos défaillances en matière de sécurité, votre malchance, voire les deux. Mais tenter de rejeter la responsabilité sur quelqu'un d'autre peut se retourner contre vous. Les personnes touchées par l'incident voient les choses simplement : elles vous ont confié leurs informations et vous les avez perdues.
• Contrôle : vous(l'entreprise ou l'organisation) n'avez peut-être pas le contrôle sur le moment où l'information sera divulguée. De nombreux facteurs peuvent accélérer votre réaction. Par exemple, les pays et les États américains ont des exigences différentes en matière de divulgation. Le cycle médiatique ou les commentaires sur les réseaux sociaux peuvent également vous y contraindre. Les pirates informatiques divulguent des informations confidentielles sur le web, qui sont ensuite reprises par les journalistes et les blogueurs spécialisés dans la cybersécurité. Le personnel peut également divulguer involontairement des informations sensibles, ce qui aggrave le problème.
• Obligation : les entrepriseset les organisations peuvent avoir l'obligation contractuelle de divulguer l'incident. De plus en plus, les contrats conclus avec les fournisseurs et les partenaires comprennent des clauses obligeant les entreprises à divulguer toute violation, indépendamment des exigences réglementaires. Si l'entreprise est cotée en bourse, il peut y avoir des répercussions importantes et des considérations connexes à prendre en compte, en plus des obligations réglementaires en matière de divulgation.
• Communication :tous les incidents nenécessitent pasune communication proactive de l'ensemble de la situation à tous les publics. La décision d'être proactif ou réactif et avec quels publics est nuancée et ne peut être standardisée. Même en l'absence d'exigences contractuelles ou réglementaires, les entreprises peuvent avoir une obligation éthique de divulguer l'information, souvent en fonction de l'ampleur de la violation et de la probabilité qu'elle soit rendue publique. (Conseil de pro : il est toujours préférable que vos parties prenantes soient informées par vous plutôt que de l'apprendre pour la première fois dans les médias. Cela montre que vous prenez la protection de leurs informations au sérieux.)
• Valeurs :fondez toujoursvotre réponse commerciale sur vos valeurs commerciales. Que représentez-vous en tant qu'entreprise et qu'attendent vos parties prenantes de vous ? Considérez la situation à travers leurs yeux et réagissez en conséquence.

L'augmentation alarmante des incidents de cybersécurité au cours de l'année écoulée, ainsi que le nombre de violations largement médiatisées, soulignent qu'il n'a jamais été aussi important de se préparer. Avec un nombre croissant d'organisations et d'entreprises adoptant un modèle de travail hybride, le risque de violation des données ne cesse d'augmenter. Les acteurs malveillants verront une opportunité dans le télétravail, et nous devons nous attendre à ce qu'ils continuent d'évoluer et d'adapter leurs opérations à la nouvelle normalité.

En accordant dès maintenant la priorité à la planification de la cybersécurité, vous contribuerez à garantir que votre organisation soit prête à faire face à un incident, car la question n'est pas de savoir « si » une cyberattaque aura lieu, mais « quand ».

Téléchargez une copie de ce reportage ici.

À propos de nos auteurs invités, Sean Wood et Katherine Goodyear :

Sean Wood est vice-président exécutif du département Crise et problèmes mondiaux chez Weber Shandwick. Depuis plus de 25 ans, il aide ses clients à préserver leur réputation dans des situations à haut risque. Sean apporte son expertise en matière de réputation d'entreprise et de marque à la gestion des crises et des problèmes afin d'aider les chefs d'entreprise à faire face à des situations complexes grâce à des stratégies intégrées visant à atténuer les risques.

Katherine Goodyear est directrice du département Crise et problèmes chez Weber Shandwick à New York. Katherine conseille ses clients sur les questions les plus complexes et les plus sensibles afin de protéger leur réputation. Elle fournit une gamme complète de services d'aide à la communication de crise, aidant ses clients à gérer les incidents liés à la cybersécurité.