whyframeshot - stock.adobe.com
Cyberattaque : les clés d’une communication de crise sereine
La tentation reste forte de chercher à minimiser l’incident, à enjoliver la situation, voire à la cacher purement et simplement. Mais trop d’exemples soulignent les limites d’un exercice qui peut s’avérer pénalisant à long terme.
Les chiffres sont plus qu’explicites : pour Cybermalveillance.gouv.fr, il y a eu au moins 960 entreprises, associations, administrations et collectivités victimes de ransomware en 2024, au 31 août, contre seulement… 101 cas connus ; un peu plus de 10 % donc. Comment expliquer ce décalage ? Au moins par la difficulté à communiquer sur les cyberattaques, quand bien même certains assurent ne pas avoir de problème à le faire parce que ce ne serait pas une « maladie honteuse », que « cela arrive à tout le monde ». Pour autant, communiquer juste semble encore difficile.
C’était le sujet d’une table ronde organisée lors de l'édition 2021 du Forum InCyber (anciennement FIC, pour Forum International de la Cybersécurité). Sous l’impulsion de Caroline Moulin-Schwartz, déléguée technique du CRiP, j’y avais participé aux côtés de Stéphanie Ledoux, PDG d’Alcyconie, de Christophe Fichet, du cabinet Dentons, et de Guillaume Chéreau, d’Orange Cyberdefense. Alcyconie en avait publié un résumé. Mais voici mes conclusions personnelles, après quatre ans de suivi du sujet.
Travers n° 1 : garder le silence
En mai 2021, le spécialiste du stockage ExaGrid a cédé aux exigences du groupe Conti. Mais il s’était gardé ne serait-ce que d’évoquer l’incident. La question n’est pas de juger si l’équipementier a eu raison ou pas de payer la rançon. La question n’est pas là, d’autant plus que certaines victimes cédant au chantage sont réellement dans une situation désespérée.
Le problème est le silence, non seulement sur l’incident, mais également sur son origine, son étendue et les mesures prises en réponse. Le PDG d’ExaGrid s’est refusé à répondre publiquement à la moindre question à ce sujet. Mais il y a fort à parier que ses équipes commerciales ont été bien occupées à rassurer ses clients. Avec une communication appropriée, cette surcharge aurait pu leur être évitée. La confiance n’aurait pas été entamée et les équipes commerciales auraient pu se concentrer sur leur métier : signer de nouveaux clients.
Travers n° 2 : minimiser
Au printemps 2021 encore, le groupe Hobbs, maison mère de Dispeo, Colis Privé et Adrexo, a été attaqué par un ransomware. Initialement, la communication externe a été très limitée : il ne s’agissait que d’un « incident technique ». Un message dissonant avec la communication interne que les syndicats dévoilaient déjà.
On imagine sans peine ce qui a motivé cette approche : ne pas inquiéter ; ne pas générer de panique, auprès des clients directs comme des clients finaux – notamment les particuliers qui attendaient leurs colis.
Las, plus tard, Adrexo s’est avérée incapable d’honorer pleinement son engagement de distribution de la propagande électorale. La confiance était déjà entamée : lorsque l’entreprise s’est justifiée en mentionnant la cyberattaque, elle a largement été accueillie par l’incrédulité, au moins du côté du grand public. Les crises se sont ajoutées les unes aux autres.
C’était d’autant plus compréhensible qu’après quelques jours Colis Privé reconnaissait enfin avoir été touché par une cyberattaque, mais le message officiel assurait que celle-ci avait été « rapidement contenue ».
Travers n° 3 : enjoliver
« Rapidement contenue », cyberattaque « détectée »… La tentation est assurément grande d’afficher une posture d’organisation contrôlant la situation… quand bien même un ransomware détone, si le chiffrement est déclenché, parler de détection est assurément abusif : cela relève plus de la découverte malencontreuse que de la détection préventive. Quant au « rapidement contenue », l’expression est à lire comme « nous avons déconnecté les systèmes au plus vite ».
Tenter d’apparaître en position de maîtrise (de la situation), lorsque l’on ne communique dessus qu’après sa découverte par le public, des clients ou des journalistes, ou sa revendication par les attaquants, ce n’est pas très convaincant.
Il y a longtemps que ces messages ne leurrent pas ceux qui comprennent comment se déroulent les attaques avec ransomware. À mesure que s’en étend la connaissance, ils s’avèrent de moins en moins audibles. Surtout, lorsque sont découverts des indices éclairant sur la chronologie de la cyberattaque, les efforts de communication s’effondrent. Comme ce fut le cas pour Sopra Steria, à l’automne 2020. Et là, le risque est encore d’entamer la confiance.
La clé ? La sincérité
Il existe une chance (ou un risque, selon la perspective) que les échantillons et autres marqueurs techniques de l’attaque soient découverts et viennent soit révéler l’attaque, soit contredire la belle histoire que l’on a essayé de raconter lorsqu’elle est survenue afin d’essayer de faire bonne figure. Et c'est sans compter avec les données divulguées par les cybercriminels : sans les télécharger et encore moins les conserver, il est fréquemment possible d'estimer la date de survenue de l'attaque à partir des dates de création de fichiers et dossiers.
L’histoire montre (trop) souvent qu'une belle histoire peut aisément se retourner contre celui qui la raconte, et abîmer après coup la confiance.
De mon point de vue, une « bonne » communication de crise en cas de cyberattaque est simplement une communication sincère, celle qui donne aux journalistes, au public et aux partenaires, le sentiment qu’on n’essaie pas de les mener en bateau. Une communication qui donnera envie à chacun d’adresser ses meilleurs vœux et ses encouragements à des équipes qui seront sur le pont pendant plusieurs semaines, et de les laisser travailler sereinement. Voire de leur apporter toute l’aide possible.
Car lorsque la confiance est préservée, il est fréquent que tout son écosystème se mobilise autour de la victime de cyberattaque, pour la supporter concrètement dans l’épreuve qu’elle traverse. Et ça, avec la mobilisation des équipes internes et celle d’anciens collaborateurs parfois, c’est une vraie belle histoire qui mérite d'être racontée.
Tribune initialement publiée le 17 septembre 2021, mise à jour le 25 septembre 2024.