Olivier Le Moal - Fotolia
Cybersécurité : gérer la communication en cas d’incident
La communication est un élément essentiel à une gestion d’incident efficace. Voici cinq pratiques de référence à utiliser pour collecter et partager l’information appropriée.
La gestion des incidents de cybersécurité nécessite une coordination minutieuse au sein de l’équipe de réponse (incident response team), mais également avec diverses parties prenantes internes autant qu’externes. Un plan de communication dédié est alors essentiel : il fournit conseils et orientation à ces efforts de communication. Comme pour les autres éléments du plan de réponse à incident, il est nécessaire d’élaborer le plan de communication au préalable pour assurer une prise de décision saine et sereine, malgré la forte pression qui s’exerce inéluctablement sur les équipes dans un contexte de crise.
Voici cinq mesures qu’il est possible de prendre pour s’assurer de disposer d’un plan de communication aussi efficace que possible en cas d’incident.
1. Formaliser le processus d’activation de l’équipe de réponse aux incidents
La première communication cruciale lorsque survient un incident de sécurité informatique est l’activation de l’équipe de réponse à l’incident. Tout employé suspectant un incident de sécurité doit contacter le centre opérationnel de sécurité (SOC), ou tout autre point de surveillance désigné, 24 heures sur 24 et 7 jours sur 7. À charge ensuite pour le SOC de suivre ses processus de triage standard pour déterminer si l’événement justifie l’activation de l’équipe de réponse à l’incident au complet.
Si c’est le cas, le temps est essentiel. Des outils tels que PagerDuty ou Opsgenie, qui gèrent les horaires de garde et émettent des alertes par le biais de multiples canaux de communication, fournissent en plus des informations sur le statut des intervenants. La gestion de ces tâches sur une plateforme dédiée réduit la charge de travail des analystes du SOC et accélère la convocation de l’équipe de réponse aux incidents.
2. Désigner un point de contact pour la communication externe
Dès que l’information sur un incident de sécurité commence à se répandre, les parties prenantes externes commencent à demander des informations. L’équipe de réponse aux incidents risque d’être submergée de demandes de la part des clients, des médias, des régulateurs, etc. La communication de crise nécessite une réponse coordonnée pour contrôler les rumeurs et s’assurer que l’entreprise présente un message cohérent entre tous les canaux de communication.
Un rôle de communication au sein de l’équipe de réponse à incident est donc essentiel pour fournir cette image cohérente et contrôlée de la situation aux tiers externes. Il n’est pas nécessaire de retenir là un membre de l’équipe technique, mais la personne affectée à ce rôle doit avoir une connaissance suffisante des concepts techniques pour servir à la fois de traducteur et de filtre pour les informations techniques émanant de l’équipe de réponse. Un glossaire peut aider à garantir que le vocabulaire utilisé dans les communications écrites et verbales est utilisé correctement et de manière cohérente.
3. Définir les critères d’implication des autorités
Deux des décisions clés auxquelles est confrontée une équipe de réponse à incident touchent à l’implication des forces de l’ordre : est-elle justifiée ? Et si oui, quand doit-elle survenir ? Ce sont des décisions difficiles, car l’implication des autorités peut changer la nature d’une enquête et augmente les chances d’attirer l’attention du public. Mais les autorités peuvent avoir accès à des outils d’enquête, comme des mandats de perquisition, qui ne sont pas à portée des équipes internes.
Le plan de communication en cas d’incident doit répondre à ces questions en définissant des critères clairs pour déterminer si et quand il convient d’informer les autorités. Le plan doit également indiquer qui, au sein de l’équipe, est habilité à prendre cette décision et quelles notifications internes doivent avoir lieu avant cela, comme par exemple consulter à la fois la direction et le conseiller juridique.
4. Développer des modèles de communication pour informer les clients
De nombreux incidents de sécurité nécessitent un certain niveau de communication avec les clients, les investisseurs ou plus généralement le grand public. Le plan de communication de réponse à incident doit en tenir compte. Il peut s’agir d’une notification rendue obligatoire par une réglementation locale, notamment dans le cadre d’une fuite de données personnelles, ou simplement de l’explication d’une interruption de service temporaire aux clients et partenaires. La fréquence, la qualité et le contenu de ces communications auront un impact significatif sur la perception du public, et ces facteurs contribuent à limiter ou, inversement, à amplifier l’atteinte à la réputation associée à un incident de sécurité.
C’est pourquoi les modèles de communication sont si importants pour le plan de communication. Ils constituent peut-être l’outil le plus important qu’une équipe de préparation de la communication peut fournir à ceux qui devront gérer dans la pratique un incident. Il est extrêmement difficile d’élaborer un message de notification réfléchi et minutieux. De nombreuses personnes voudront y participer, entre chargés de clientèle, cadres, avocats ou encore experts en relations publiques. L’élaboration de modèles préapprouvés permet de lever ces obstacles à l’avance, laissant à l’équipe de réponse à incident le soin de remplir les blancs et d’ajuster le langage des modèles, si nécessaire.
5. Surveiller les réseaux sociaux
Les réseaux sociaux sont un canal de communication extrêmement important. Les clients seront prompts à exprimer publiquement leur mécontentement à l’égard d’une entreprise en tweetant publiquement. Si les entreprises doivent régulièrement surveiller leurs mentions dans les médias sociaux, cela devient crucial en temps de crise, comme lors d’un incident cyber.
Les flux des médias sociaux peuvent fournir à l’équipe de réponse aux incidents une lecture rapide du sentiment des clients et servir à déclencher une intervention rapide au cas où des rumeurs commencent à se répandre hors de tout contrôle. Mais même sans aller juste là, la surveillance des échanges relatifs à l’incident sur les réseaux sociaux peut donner des pistes quant aux orientations à prendre pour la communication avec le public sur la crise en cours – voire même au-delà, si ces échanges permettent d’identifier des conséquences insoupçonnées.
Une communication rapide et efficace est une composante essentielle d’une réponse solide aux incidents de cybersécurité. Le plan de communication fournit des éléments permettant d’informer rapidement toutes les parties concernées, de coordonner les intervenants internes et externes et de suivre le sentiment des clients. Ces outils améliorent la capacité de réaction de l’organisation et contribuent à minimiser l’atteinte à sa réputation.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Plan de réponse à incident : la différence entre désastre et rétablissement
-
Le groupe Vinci appuie son SOC sur un Microsoft Sentinel un peu particulier
-
Cyberattaque contre la Collectivité européenne d’Alsace : le CISO raconte
-
Reprise d’activité après sinistre : comment gérer les humains et les médias ?