Au milieu de la tempête déclenchée par une attaque informatique, il n’est pas toujours facile de garder les idées claires, et de savoir qui informer ou que communiquer. Dans tous les cas, il faut éviter de céder à la panique et garder la maîtrise de la situation, recommande Simon Fontaine, président fondateur de la firme de cybersécurité ARS, interrogé par Les Affaires.
Lors d’une cyberattaque, les pirates informatiques prennent le contrôle de la compagnie, ce qui provoque souvent un arrêt total des activités. Cette situation engendre une grande pression sur les employés, indique le spécialiste en gestion des cyberrisques.
« Les dirigeants doivent donc prendre garde à ne pas ajouter à ce stress. Cependant, ils ne doivent pas rester muets, au risque d’aggraver la crise. »
L’expert conseille plutôt de « laisser travailler les spécialistes » et, en cas de piratage informatique, de suivre le plan de contingence qui devrait exister dans toute entreprise.
Établir un message clair
Selon l’avocate en litige Danielle Ferron, associée de la firme Langlois Avocats, la première chose est d’établir une ligne de communication claire. Elle recommande de désigner un ou deux porte-paroles pour véhiculer les messages à l’externe. Au besoin, elle conseille d’embaucher une firme de relations publiques qui pourra garder un œil sur les communications tout au long du processus.
« La dernière chose que l’on veut, c’est que des employés au courant de la cyberattaque commencent à expliquer ce qui s’est passé dans leurs mots à des clients ou à des journalistes », indique l’avocate à Les Affaires.
Le défi est de communiquer de manière judicieuse. « On ne veut surtout pas donner des munitions aux pirates, en dévoilant des stratégies ou des solutions techniques que l’on s’apprête à déployer », ajoute Sébastien Fassier, vice-président de l’agence de relations publiques Tact.
Qui doit-on prévenir en premier? Les employés et les proches collaborateurs devraient être mis au courant avant tous les autres. En cas de questions sur la cyberattaque, ils devront orienter leurs interlocuteurs vers les porte-paroles désignés par l’entreprise.
En fonction de la nature des données compromises, l’assureur doit également être averti rapidement, notamment si l’entreprise dispose d’une couverture contre les cyberrisques.
Les fournisseurs et les partenaires d’affaires doivent également être mis au courant, en particulier ceux dont le contrat stipule qu’ils doivent être informés en cas de brèche de sécurité.
Les clients touchés, les institutions bancaires, les autorités réglementaires, dont la Commission d’accès à l’information du Québec, et la police font partie des autres intervenants avec lesquels on doit communiquer, ajoute Danielle Ferron, à plus forte raison si une enquête est en cours.
Documenter les actions mises en place
L’entreprise pourra mettre en place une séquence de communication visant à établir quelles personnes informer et dans quel ordre, de manière à ne pas alarmer celles qui ne sont pas touchées par la cyberattaque et à rassurer en premier un client important, signale Sébastien Fassier.
La cellule de crise mise sur pied pour faire face à la tempête joue un rôle important, également, pour documenter les actions prises pendant la gestion de crise afin de pouvoir démontrer qu’elle avait un plan de réponse et qu’elle l’a appliqué correctement. Cela peut s’avérer capital en cas de recours de la part de clients.
L’entreprise devrait par ailleurs s’assurer de conserver toutes les preuves électroniques reliées à la fraude et d’en faire une copie de sauvegarde judiciaire, incluant un registre des accès au système. Ces éléments pourront être utiles lors de l’enquête.
Enfin, Danielle Ferron suggère aux firmes piratées de terminer sur un message positif, en expliquant que le plan d’urgence, mis en place par les dirigeants, a joué son rôle et que l’entreprise ressort plus forte de la crise pour faire face à d’éventuelles nouvelles attaques. Un message rassurant tant pour les employés que pour les clients.