Par les auteurs invités : Sean Wood et Katherine Goodyear
Bienvenue dans la dernière édition de Spotlight. Spotlight est notre façon de partager les idées et les perspectives de nos partenaires stratégiques - avocats, assureurs, gestionnaires de risques et experts en communication de crise dans tous les secteurs - sur des questions susceptibles d'influencer le point de vue d'une entreprise sur les incidents sur le marché et la gestion de crise.
Dans cette édition, Sean Wood, vice-président exécutif, et Katherine Goodyear, directrice de clientèle chez Weber Shandwick, nous donnent un aperçu de la communication en matière de cybersécurité. Nous examinons ce que les entreprises doivent faire pour se préparer à un incident et les mesures pratiques qu'elles doivent prendre pour minimiser l'impact, protéger et améliorer la réputation de leur marque si un incident se produit.
Préface de Chris Harvey, SVP services clients chez Sedgwick :
Sean Wood et Katherine Goodyear nous en disent plus.
Les incidents de cybersécurité font partie des menaces les plus sérieuses pour les entreprises et leur réputation, et peuvent rapidement éroder la confiance des principales parties prenantes - des clients aux employés en passant par le grand public. En outre, ils sont difficiles à résoudre, coûteux et en forte croissance.
La cybercriminalité devrait coûter environ 6 000 milliards de dollars de dommages dans le monde en 2021, soit deux fois plus qu'en 2015, et les attaques par ransomware ont augmenté de 151 % au premier semestre 2021 par rapport à l'année 2020. L'augmentation constante de ces incidents, leur sophistication et leur impact opérationnel et financier potentiel soulignent à quel point il est important pour les entreprises de tous les secteurs d'être préparées.
En fait, une récente enquête mondiale menée par KRC Research et Weber Shandwick auprès de cadres dans 12 pays a révélé que la cybersécurité et la confidentialité des données sont les deux principales préoccupations des cadres lorsqu'ils prennent des décisions commerciales importantes.
Prendre de l'avance en planifiant
Si les gens comprennent que des incidents de cybersécurité peuvent se produire, ils jugent souvent les entreprises et les organisations sur la façon dont elles réagissent - et les tiennent pour responsables lorsque des informations sont exposées ou utilisées à mauvais escient. C'est pourquoi la priorité numéro un de l'entreprise doit être la mise en place d'un plan de prévention des incidents qui lui permette de réagir rapidement en cas d'attaque.
Non seulement cette planification est la bonne chose à faire pour protéger les informations personnelles et commerciales sensibles et la réputation de la marque, mais les clients, les assureurs et le gouvernement soulignent l'importance de renforcer les plans d'intervention en cas d'incident. Récemment, le président des États-Unis, Joe Biden, a tenu une réunion au cours de laquelle il a qualifié la cybersécurité de "défi majeur pour la sécurité nationale" et a appelé le secteur privé à renforcer la cybersécurité du pays en partenariat et individuellement, en mettant l'accent sur la résolution de la pénurie de compétences en matière de cybersécurité. À la suite des réunions de l'initiative de lutte contre les ransomwares organisées en octobre par le Conseil de sécurité nationale de la Maison-Blanche, plus de 30 pays et l'Union européenne ont publié une déclaration commune de coopération visant à améliorer la résilience nationale, à lutter contre le financement illicite, à déstabiliser les auteurs de ransomwares et à utiliser la diplomatie comme outil de lutte contre les ransomwares.
Dans ce cas, la planification signifie :
- Élaborer ou mettre à jour un plan d'intervention en cas d'incident. Couvrant à la fois les réponses opérationnelles et les communications, ces plans doivent être intégrés et indiquer qui doit être impliqué, les rôles et les responsabilités, les niveaux et les seuils de risque, ainsi qu'un processus de communication rapide avec les parties prenantes concernées.
- Établir un plan de scénario pour les risques et les incidents potentiels. Le plan de scénario doit inclure des considérations et des conseils spécifiques à la situation, ainsi qu'un modèle de message pour les parties prenantes qui peut être rapidement mis à jour avec les faits de la situation réelle en cas d'incident.
- Tester le plan. L'organisation d'exercices de simulation réalistes est un élément important du processus de planification et de préparation, qui permet de tester la capacité de l'organisation à fonctionner conformément au plan et aux protocoles. Cela permettra également d'identifier les lacunes dans les processus qui doivent être corrigées avant qu'un événement réel ne se produise.
- Investir à l'avance. Certaines organisations peuvent penser qu'elles ne sont pas en mesure d'investir à l'avance pour mettre en place un centre d'appel d'urgence ou d'autres solutions, mais c'est le meilleur moyen de ne pas être pris au dépourvu. Cet investissement peut inclure la mise en place d'un centre d'appel pour la notification des pertes et la réponse aux violations. Il peut également s'agir d'un centre d'information secondaire, hébergé séparément, ou d'un microsite, qui peut être activé rapidement pour communiquer avec les parties prenantes via d'autres canaux en cas de perte d'accès à vos systèmes.
Désormais, lorsqu'un incident se produit, votre entreprise ou organisation est mieux préparée à gérer la situation, à activer le plan en place et à se concentrer sur l'atténuation des risques.
Mise en œuvre du plan
Lorsqu'un incident se produit, l'entreprise doit immédiatement activer son plan d'intervention régulièrement mis à jour. Soyez transparent, mais n'anticipez pas sur les faits. L'analyse des données prend souvent du temps, il est donc important de ne communiquer que les faits confirmés et de reconnaître que la situation est fluide et peut changer. Pour minimiser l'impact, protéger et éventuellement améliorer la réputation de la marque, il y a plusieurs considérations à garder à l'esprit :
- La perception : Souvent, la perception est qu'une entreprise ou une organisation est responsable même si elle n'est pas responsable de la violation de données. Les parties prenantes peuvent pardonner et pardonneront les failles de sécurité, la malchance ou même les deux. Mais tenter de détourner le blâme peut se retourner contre vous. Les personnes touchées par la mésaventure voient les choses simplement : Ils vous ont confié leurs informations et vous les avez perdues.
- Contrôle : Il se peut que vous (l'entreprise ou l'organisation) ne puissiez pas contrôler le moment de la divulgation. De nombreux facteurs peuvent accélérer votre réponse. Par exemple, les pays et les États américains ont des exigences différentes en matière de divulgation. Le cycle médiatique ou les commentaires des médias sociaux peuvent également vous y contraindre. Les pirates informatiques diffusent des informations confidentielles sur le web, qui sont ensuite reprises par les journalistes et les blogueurs spécialisés dans la cybersécurité. Le personnel peut également divulguer par inadvertance des informations sensibles, ce qui aggrave le problème.
- Obligation : Les entreprises et les organisations peuvent avoir des obligations contractuelles de divulguer l'incident. De plus en plus, les contrats avec les fournisseurs et les partenaires comportent des clauses exigeant des entreprises qu'elles divulguent une violation, indépendamment des exigences réglementaires. Si l'entreprise est publique, il peut y avoir un impact matériel et des considérations connexes qui doivent être pris en compte, en plus des divulgations réglementaires.
- La communication : Tous les incidents n'exigent pas une communication proactive de l'ensemble de la situation à tous les publics. La décision d'être proactif ou réactif et de s'adresser à tel ou tel public est nuancée et ne constitue pas un modèle unique. Même s'il n'y a pas d'exigences contractuelles ou réglementaires, les entreprises peuvent avoir l'obligation éthique de communiquer - souvent en fonction de l'ampleur de la violation et de la probabilité qu'elle devienne publique. (Conseil de pro : il est toujours préférable que vos parties prenantes entendent parler de vous plutôt que d'apprendre la nouvelle pour la première fois dans les médias. Vous montrez ainsi que vous prenez au sérieux la protection de leurs informations).
- Valeurs : Toujours fonder la réponse de l'entreprise sur les valeurs de l'entreprise. Qui représentez-vous en tant qu'entreprise et qu'est-ce que vos parties prenantes attendent de vous ? Voyez la situation à travers leurs yeux et réagissez en conséquence.
L'augmentation alarmante des incidents de cybersécurité au cours de l'année écoulée, ainsi que le nombre de brèches bien médiatisées, soulignent qu'il n'y a jamais eu de moment plus important pour se préparer. Avec un nombre croissant d'organisations et d'entreprises qui adoptent un modèle de travail hybride, le risque d'une violation de données ne fait qu'augmenter. Les acteurs de la menace verront une opportunité dans la main-d'œuvre à distance - et nous devons nous attendre à ce qu'ils continuent d'évoluer et d'adapter leurs opérations à la nouvelle normalité.
En accordant dès maintenant la priorité à la planification de la cybersécurité, vous vous assurez que votre organisation est prête à faire face à un éventuel incident, car la question n'est pas de savoir "si" mais "quand" une cyberattaque se produira.
Téléchargez une copie de ce reportage ici.
A propos de nos auteurs invités, Sean Wood et Katherine Goodyear :
Sean Wood est vice-président exécutif de Weber Shandwick pour la gestion des crises et des problèmes mondiaux. Depuis plus de 25 ans, il aide ses clients à préserver leur réputation dans des situations à fort enjeu. Sean apporte une vision de la réputation de l'entreprise et de la marque à la gestion des crises et des problèmes afin d'aider les dirigeants d'entreprise à faire face à des situations complexes avec des stratégies intégrées pour atténuer les risques.
Katherine Goodyear est directrice au sein de l'équipe de Weber Shandwick chargée des crises et des problèmes à New York. Katherine conseille ses clients sur les questions les plus complexes et les plus sensibles afin de protéger leur réputation. Elle fournit une gamme complète de services de communication de crise, aidant les clients à gérer les incidents liés à la cybersécurité.
Tags : Protection de la marque, Conformité, Crise, cyber, Cyber risque, Responsabilité, Rappel, Réglementation, Changement réglementaire + Conformité, Risque, Sécurité