Personne n’est à l’abri d’une cyberattaque. La question n’est pas de déterminer si on va en subir une ou non, mais davantage de savoir quand cela va arriver. Et il ne s’agit pas d’un élément isolé ou fortuit. Il y aurait environ une cyberattaque toutes les 39 secondes et plus de la moitié des entreprises du Fortune 1000 (60 %) en aurait été victime dans les dernières années, selon une recherche de Cyentia Institute.
Toutefois, les retombées de ces incidents ne sont pas toujours identiques. Par exemple, lors du piratage de Capital One, rendu public en juillet 2019, l’action de la société a chuté de 13,89 % en deux semaines. En revanche, la brèche impliquant un accès aux listes des clients de la banque américaine JP Morgan Chase en 2014 n’a pas eu d’impact négatif sur la croissance de ses actions, bien qu’elle touchait 76 millions de ménages et 7 millions de PME.
Les entreprises peuvent donc prendre des mesures pour atténuer les dommages causés à leur réputation par de tels incidents, mais aussi pour améliorer leur position, conclut le Harvard Business Review.
Que faire après avoir essuyé une cyberattaque?
La première chose à faire c’est de prévenir vos clients de la situation. Le cacher serait la pire réaction et pourrait laisser croire que vous ne prenez pas la menace au sérieux. Surtout, que vous ne vous préoccupez pas de la sécurité de vos clients. Sans compter de possibles amendes à payer.
Pour la même raison, il est inutile de chercher à minimiser la responsabilité de l’entreprise ou de tenter de trouver des excuses. Au contraire, assumer cette erreur pleinement, montrer ce qui a été fait en amont pour l’éviter, et ce que vous comptez faire pour anticiper toute récidive.
Il faut donc montrer ce qui avait été fait pour préparer l’entreprise à une éventuelle attaque, en évoquant les mesures de cybersécurité mises en place. Expliquez comment ces mesures ont atténué l’impact de l’attaque, par exemple le cryptage de données, ou la présence d’un système de sauvegarde susceptible d’accélérer la récupération et qui a pu aider à isoler l’incident pour en réduire l’impact. Cela démontrera aux clients que votre entreprise ne prend pas leur sécurité à la légère.
Il faut ensuite continuez à apporter des améliorations à votre cybersécurité pour éviter qu’un autre incident du même genre ne se reproduise. Les mesures correctives et les ajouts devraient être rendues publiques, tout comme l’annonce d’une augmentation du budget de cybersécurité ou l’embauche d’un plus grand nombre de professionnels de la cybersécurité.
JP Morgan Chase avait agi de la sorte en publiant de nombreuses informations sur l’attaque et en doublant ses investissements dans la sécurité.
Il serait ensuite judicieux d’informer les clients lésés qu’ils bénéficieront d’un service de surveillance pour éviter tout abus potentiel de leurs données, tel que l’usurpation d’identité, et d’en faire l’annonce publiquement.
La préparation, la clé de tout
S’il n’est pas toujours possible de prévenir une attaque, on peut s’y préparer. Apporter des réponses immédiates est essentiel pour rétablir la confiance et lorsqu’elles sont mal préparées, cela peut causer encore davantage de dommage. On peut ainsi planifier certaines annonces qui seraient faites par la direction selon différents scénarios, ce qui évite de donner l’impression que l’entreprise n’était pas préparée à gérer la situation.
Effectuer des simulations de cyberattaque est une façon de se préparer à ce genre de situation. Cela permet notamment de mettre en place des procédures de réponse et des stratégies de communication.
Au lieu de trouver quelqu’un à blâmer, les organisations devraient transformer les cyberattaques en opportunité. Elles seraient ainsi vues comme un excellent moyen de bénéficier de publicité gratuite, mais surtout d’augmenter la transparence, de renforcer la maturité de la cybersécurité et d’améliorer la position concurrentielle. Ces attaques permettent aussi de mettre en avant les efforts de l’entreprise en matière de protection. D’où l’importance d’un plan d’action et d’une stratégie de communication bien rodés.