L’après d’une cyberattaque: l’enjeu des communications
Philippe Jean Poirier|Édition de la mi‑octobre 2022Pendant que l’équipe des TI s’active à relancer les systèmes informatiques corrompus, les dirigeants victimes d’une cyberattaque ont un enjeu crucial entre les mains : celui des communications. (Photo: 123RF)
LA CYBERSÉCURITÉ, UN IMPÉRATIF COMMERCIAL. Pendant que l’équipe des TI s’active à relancer les systèmes informatiques corrompus, les dirigeants victimes d’une cyberattaque ont un enjeu crucial entre les mains : celui des communications. Au plus fort de la tempête, il n’est pas toujours facile de savoir qui informer en premier ni que dire exactement.
« Ne pas paniquer, être en contrôle de la situation », tels sont les premiers conseils de Simon Fontaine, président fondateur de la firme de cybersécurité ARS, face à une attaque informatique. Le spécialiste en gestion des cyberrisques a accompagné plus d’une vingtaine d’entreprises paralysées par une attaque informatique. « Quand toute l’entreprise est à l’arrêt, il y a beaucoup de pression sur tous les employés, explique-t-il. Il est important de ne pas ajouter à ce stress. On doit agir rapidement, sans pour autant improviser. Sinon, on risque d’empirer la situation. » Il est préférable de laisser travailler « les spécialistes » et de bien suivre « le plan de recouvrement », résume-t-il.
Dans un scénario idéal, l’entreprise piratée réunira autour d’une même table une équipe multidisciplinaire pouvant couvrir des aspects organisationnels, contractuels, juridiques et communicationnels. L’avocate en litige Danielle Ferron, associée de la firme Langlois Avocats, aide les entreprises à créer leur plan de gestion de crise. Selon elle, une cellule « décisionnelle » devrait minimalement inclure des membres de la direction, un responsable des RH, un responsable des finances, un avocat et un expert en communication.
L’avocate en litige Danielle Ferron, associée de la firme Langlois Avocats, aide les entreprises à créer leur plan de gestion de crise. (Photo: courtoisie)
Une fois ces interlocuteurs réunis, la première chose est d’établir une ligne de communication claire. « L’entreprise désigne une ou deux personnes qui sont les vrais porte-parole, explique Me Danielle Ferron. La dernière chose que l’on veut, c’est que des employés au courant de la cyberattaque commencent à expliquer ce qui s’est passé dans leurs mots, à des clients ou à des journalistes. On veut contrôler le message. C’est pourquoi j’aime qu’un professionnel en relations publiques ait un œil sur les communications dès le début de la crise. »
Sébastien Fassier, vice-président de l’agence de relations publiques Tact, abonde dans le même sens. « Si l’assureur ne le propose pas, le dirigeant doit avoir le réflexe d’inclure des gens du milieu des communications autour de la table. » Une firme de relations publiques saura filtrer ce que l’entreprise dit aux journalistes ou sur les réseaux sociaux. « On ne veut surtout pas donner des munitions aux pirates, en dévoilant des stratégies ou des solutions techniques que l’on s’apprête à déployer », explique-t-il.
Pour éviter tout faux pas, l’entreprise doit rapidement informer ses employés et ses proches collaborateurs de la situation, en leur rappelant de s’en remettre aux porte-parole pour toute déclaration. Il y a ensuite toute une série d’intervenants à prévenir, en fonction de la nature des données compromises : l’assureur — si l’entreprise a une couverture contre les cyberrisques —, les fournisseurs et les partenaires d’affaires. « Certains exigent maintenant dans leur contrat d’être informés d’une brèche », note l’avocate. Il faut ensuite prévenir les clients touchés, les institutions bancaires, les autorités réglementaires, dont la Commission d’accès à l’information du Québec, et la police. « Si une enquête est en cours, les autorités policières pourront fournir des informations utiles à la gestion de crise », fait valoir l’avocate.
Une firme de relations publiques peut quant à elle aider l’entreprise à établir « une séquence de communication » visant à prioriser, voire segmenter les personnes à informer. « On ne veut pas alarmer des gens qui ne sont pas touchés par la cyberattaque, explique Sébastien Fassier. De même, si l’incident met à risque un fournisseur principal, on veut établir un contact direct et le rassurer en premier. »
De plus, les dirigeants doivent garder en tête la possibilité de se faire poursuivre pour un bris contractuel. « L’entreprise doit garder une trace des actions posées pendant la gestion de crise, afin de pouvoir démontrer qu’elle avait un plan de réponse et qu’elle l’a appliqué correctement », explique Danielle Ferron.
Il en va de même pour les traces « électroniques » du crime, ajoute Simon Fontaine. « On ne doit pas supprimer la scène de crime, insiste-t-il. On doit faire une copie de sauvegarde judiciaire, qui inclut un registre des accès au système. »
Finir sur une note positive
Comme la dernière communication de gestion de crise est souvent « négative », parce qu’elle a été émise lorsque « tout va mal », Danielle Ferron suggère aux entreprises piratées de conclure l’épisode avec un message positif. « Ça peut être pertinent de dire à nos gens que le plan a fonctionné, que de nouvelles mesures sont en place et que nous sommes de retour à nos activités normales. » Ce geste servira à rebâtir la confiance avec les parties prenantes touchées par l’incident.