Tribune de Vincent Prevost dans Stratégies sur l’importance de communiquer en cas de cyberattaque

«Omniprésence de la crise cyber : la résilience ne tombe pas du ciel !», Vincent Prevost (Opinion Valley)

Au lendemain des législatives, à quelques jours des Jeux olympiques et dans un contexte marqué par la multiplication des ingérences étrangères, le poids de la menace cyber n’a jamais été aussi lourd sur les épaules des entreprises et des administrations publiques. Il y a urgence à s’y préparer.

La multiplication récente des attaques plus ou moins élaborées utilisant notamment l’IA maintient un niveau de pression important. Pour preuve, l’attaque d’une entreprise multinationale à Hong Kong au sein de laquelle des cadres ont transféré 26 millions de dollars à des escrocs après avoir été piégés lors d’une fausse visioconférence, où tous les autres participants étaient générés par des deepfakes utilisant l’intelligence artificielle. Cet épisode largement médiatisé à travers le monde illustre à la fois l’évolution des techniques offensives des cyberattaquants mais aussi la volonté des organisations de communiquer lorsqu’elles en été victimes. Ce changement de paradigme, qui offre la possibilité aux victimes de faire connaitre leur mésaventure, mais aussi d’alerter les autres cibles potentielles, a été largement soutenu par les autorités des pays les plus ciblés. C’est notamment le cas en France avec l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui encourage à communiquer sur les attaques pour alerter largement l’opinion. Et ces efforts commencent à porter leurs fruits à la suite de la cyberattaque contre l’hôpital de Corbeil-Essonnes en août 2022. Ce feuilleton médiatique a servi de déclencheur d’une prise de conscience collective de l’état de la menace, qui cible absolument toutes les organisations, y compris des hôpitaux, mettant ainsi directement en danger la vie des patients. Pour rappel, une archive de plus de 11 gigaoctets de données avait été volée au Centre hospitalier sud-francilien et avait été mise en ligne sur le site du groupe cybercriminel Lockbit. Cette attaque n’avait pas été anticipée et a eu de nombreuses conséquences désastreuses dans la vie quotidienne de l’hôpital : plus de système informatique opérationnel, le report dans le temps des opérations non urgentes, un suivi «papier» à l’ancienne des dossiers patients, pas de mail mais l’envoi d’un million de courriers papier auprès des patients dont les données avaient été subtilisées… On le voit avec l’exemple de l’hôpital de Corbeil-Essonnes : il est impossible d’éviter totalement une attaque cyber, d’autant plus que le maillon faible est très souvent l’échelon humain. En revanche, il est tout à fait possible de l’anticiper afin de traverser la tempête sereinement.

Organiser la rencontre entre Sheldon Cooper et Olivia Pope

Comme le dit le proverbe anglais, une mer calme n’a jamais fait un bon marin. C’est pourquoi il est indispensable de créer une relation de confiance entre le DSI et le dircom, et de faire se rencontrer les Sheldon Cooper avec les Olivia Pope de chaque organisation. De même, le plan de continuité d’activité (PCA) doit impérativement prendre en compte le scenario d’une cyberattaque et ses variantes. L’autre must have est d’avoir un point de contact identifié au sein de l’Anssi, l’agence gouvernementale en charge de la cybersécurité. Cette collaboration sera d’une utilité cruciale au moment de savoir quoi faire et quoi dire après une attaque. D’ailleurs, l’Anssi a édité en 2021 un guide intitulé Anticiper et gérer sa communication de crise cyber. A travers une série de 13 fiches, ce guide vise à accompagner les organisations dans la conception et le déploiement de leurs stratégies de communication lors d’une attaque informatique. Mais quoi dire ? C’est la question à 1 million de dollars et c’est là que les communicants peuvent aider les DSI à expliquer ce qu’ils savent et ce qu’ils font. Car comme dans toute situation de crise, la communication de crise reste une communication de l’action. Et pour savoir ce qui est mis en place, il faut d’abord comprendre la situation en se posant quelques questions comme : quand a été découvert l’attaque ? Quels sont les dégâts ? Quel est l’impact sur les activités dans le monde réel ? Est-ce que le problème est toujours en cours ? Savons-nous quelle est la nature du virus ? S’agit-il d’un rançongiciel ? Est-ce que des données ont été subtilisées ? A partir de cette petite série de questions, il est possible de commencer à élaborer des messages à partir du plan d’action pour communiquer sur l’incident. Car oui, il faut communiquer et ne plus avoir honte d’avoir été pris pour cible. C’est peut-être là que se situe le vrai changement de paradigme, et que les communicants ont un rôle à jouer pour anticiper la crise, car la question n’est plus si mais quand l’attaque arrivera.

Dépasser sa pudeur sans pour autant déclencher la troisième Guerre mondiale

On l’a bien vu, aujourd’hui il est conseillé de communiquer lorsqu’une organisation est victime d’une cyberattaque. Et il est même conseillé de communiquer en premier et de ne pas attendre afin de ne pas avoir à sortir les rames dans une communication réactive, avec un temps de retard sur l’attaquant. Dans cette situation, il est tout à fait possible de dire ce que l’on sait, ce que l’on ne sait pas et ce que l’on est en train de faire. Et comme à chaque fois, il ne faut pas mentir. Enfin, un dernier point qui n’est pas un détail, c’est la question de l’attribution. Au risque de déclencher une crise diplomatique majeure avec des régimes plus ou moins hostiles (que nous ne citerons pas ici), il convient d’éviter d’attribuer l’attaque, notamment étatique. L’attribution publique d’une cyberattaque est une décision politique et cette compétence est le domaine réservé du gouvernement et du chef de l’État.

→ Lien Par Vincent Prévost, directeur d’Opinion Valley