Bien qu’elles s’appuient sur des objectifs, des méthodes et des outils similaires, gestion et communication de crise cyber s’approprient nécessairement les spécificités des problématiques qu’elles traitent pour être pertinentes et donc efficaces. Dans le cas d’une crise d’origine cyber, la prise en compte de ses particularités et de son exposition à des publics parfois nombreux, exige une anticipation et une préparation spécifiques dont la première étape est la compréhension de l’exposition médiatique qu’elle aura.
Adresser le besoin de savoir et le besoin de rassurance
Soutenue par l’augmentation du nombre d’incidents et d’attaques sur les systèmes d’information, la crise cyber s’est installée dans l’espace public. La démocratisation de son champ lexical est ainsi un indicateur marquant de la place médiatique qu’a pris ce sujet. Fuite de données, ransomware, hacktiviste, DDoS, phishing, lanceur d’alerte, ces mots ont quitté les salles serveurs et les blogs spécialisés pour se faire une place dans les colonnes des journaux nationaux et dans le vocabulaire de la plupart des français. La crise cyber n’est plus un simple incident qualité silencieusement traité en interne et est devenue un événement qui suscite l’intérêt de tous les publics entraînant mécaniquement dans son sillage une crise de nature communicationnelle. Cependant, si la popularité nouvelle de cette thématique se décline logiquement dans l’accroissement de la couverture de ces crises, d’autres éléments justifient l’augmentation significative des sollicitations, qu’elles soient internes ou externes à l’organisation en crise.
Lorsque la crise cyber a pour conséquence la fuite d’une donnée par exemple, ce n’est plus seulement le sujet de la crise qui est médiatique, mais son objet même. De fait, lorsque la donnée fuite ou est volée, sa nature intrigue et suscite la curiosité, qu’il s’agisse d’une donnée personnelle, d’un secret d’état ou simplement d’une conversation privée. Cette mécanique engendre logiquement pour de nombreux publics tant le besoin de connaître l’inconnu, que de s’assurer de ne pas en être la victime. Ces deux besoins primaires de curiosité et de réassurance constituent les moteurs essentiels de la couverture médiatique et plus généralement incite le consommateur d’information, le partenaire, le client à combler ce besoin et à chercher à obtenir cette information. La même logique suppose que la source de cette information, en l’occurrence, le détenteur légitime de cette donnée adresse ces requêtes et communique sur l’incident.
Que ce soient des évènements stratégiques tels que des élections présidentielles ou des conversations privées du quotidiens via des médias digitaux qui sont compromis, l’effet médiatique de la crise se voit amplifié par le caractère extraordinaire de l’événement. Cela résulte tant de sa supposée impossibilité que de la confiance que le public lui confère. La rupture soudaine de la confiance placée en ces « institutions » d’importances majeures, érigées en bonne place dans une version 2.0 de la pyramide de Maslow, génère alors elle aussi l’intérêt et le besoin de savoir, traduits dans une explosion du nombre des requêtes et des demandes d’information à l’organisation en crise.
figure 1. Exemple de pyramide de Maslow
Guerre de communication entre l’attaquant et le communicant
La communication de crise cyber est ainsi un exercice particulier de par le sujet qu’elle traite, mais aussi de par la nature des acteurs en présence. De fait, quand des sommes incommensurables d’argent sont dérobées sans coup férir ou que des institutions tombent sous les attaques d’hacktivistes « citoyens », l’opinion voue une sympathie relative à l’encontre du héros moderne qu’est le pirate romanesque, le hacker hors la loi, le justicier anonyme.
Ce personnage public, conscient de son image et des codes du monde communicationnel, saura bien entendu se jouer de cet environnement. Ainsi, les méthodes mêmes des attaquants renforcent la place centrale de la communication dans la gestion des crises cyber. Les attaques aux motifs politiques, idéologiques et militants ne se limitent plus à la compromission d’un système mais envoient un message dont la publicité doit être maximale.
Cette appropriation manifeste des méthodes propres aux activistes s’illustre de plusieurs manières : Annonce d’un DDoS en amont, défacement d’un site internet, publication au fur et à mesure de preuves d’un vol sur les réseaux sociaux, diffusion d’informations telles que des échanges de conversations mails privés compromettants… Si les attaquants ont appris à maximiser l’impact réputationnel des attaques, ils utilisent aussi ce levier afin de perturber la gestion de crise de leur cible et générer un bruit qui leur fera gagner du temps une fois leur attaque découverte. Alors qu’un des facteurs clefs du succès d’une gestion de crise est la reprise en main du rythme de celle-ci et de la publication de nouveaux éléments, la crise cyber laisse inéluctablement ce pouvoir à un tiers malveillant.
Ce tiers peut aussi, si la compromission est profonde, altérer les moyens de communication de l’entreprise. Alors qu’elle tente de répondre à la nécessité de s’exprimer urgemment et largement, cette entrave peut lourdement affecter la fluidité de sa communication. Sans messagerie mail, comment diffuser un message à ses employés ? Sans réseaux sociaux, comment être au plus proche de sa communauté et répondre à ses questions ?
Restaurer le rapport de confiance par la communication
Fasciné par les attaquants et l’ampleur des attaques, le grand public n’en demeure pas moins intransigeant à une heure où la confiance et la donnée constituent la valeur même d’une entreprise. Intrinsèquement, la préservation de la première suppose la protection de la seconde. Lorsque l’organisation faillit à cet objectif, la communication de crise est seule en mesure de restaurer ce rapport de confiance duquel dépend l’avenir de la relation avec clients et partenaires qui continueront ou non à confier la garde de leurs données ou la gestion de leurs outils, ainsi que leurs services à une organisation.
Cette exigence de confiance entraine par ailleurs, lorsqu’elle est brisée, la recherche et la désignation rapide d’un responsable. Bien que la réalité des faits soit bien plus complexe, le grand public aura aisément tendance à supposer que les attaques informatiques sont rendues possibles par l’exploitation d’une vulnérabilité et donc d’une faute.
Une fuite de données, n’est ainsi pas uniquement perçue comme une attaque perpétuée par un tiers malintentionné, mais aussi comme une négligence dans la défense de l’entreprise victime du vol. Cette dernière se voit automatiquement désignée comme responsable et sa réputation en est logiquement impactée. Alors même que les attaquants se professionnalisent, que les attaques se complexifient et que l’absence de vulnérabilité est un mythe, la cyberattaque est aujourd’hui un sujet de gestion et de communication de crise à part entière. Du fait de son impact potentiel sur le quotidien du grand public et donc sa nature médiatique, elle force la victime, considérée comme co-responsable de sa perte, à s’exprimer.
Réaliser l’effort de simplicité pour mieux communiquer face à la crise
Au-delà de la définition d’une stratégie claire, partagée et opportune, la gestion de crise cyber avec son rythme particulier et les entraves causées par les attaquants doit être accompagnée d’une communication particulière qui suppose enfin un dernier travail : l’effort de simplicité.
Face à la crise cyber et comme pour tout type de crise, communiquer suppose d’être en mesure de traduire les évènements subis et les actions correctives menées en impacts clairs et de porter ce discours de façon cohérente. Bien entendu, la complexité des termes et des rouages d’une crise cyber rend cet exercice délicat et constitue une autre spécificité à prendre en considération.
Dans ce cadre, par sa capacité à traduire la cause technique en conséquence métier et plus généralement par son pouvoir vulgarisateur, le rôle du RSSI et de ses équipes est central. En situation nominale comme en temps de crise, la mission du RSSI est de porter cet effort de traduction des faits et des composantes techniques non seulement en impacts métiers mais en impacts compréhensibles et convaincants pour des publics diversifiés et non experts. Il ou elle peut ainsi être amené à concevoir, voire à porter les éléments de langage de communication de crise de la même manière qu’un représentant des ressources humaines sera exposé lors d’une crise sociale.
Sans présupposer de son exposition au journal télévisé d’une grande chaine de télévision, la parole des experts SI sera attendue sur les réseaux sociaux, sur les réseaux professionnels, dans la presse spécialisée ou en interne. En communication de crise, chacun est responsable de tous et tout un chacun doit s’y préparer.
Ainsi, le sujet cyber porte une puissance médiatique qui lui est propre ; dont la conséquence immédiate est l’augmentation considérable des attentes et des demandes d’informer émanant des différentes directions d’une organisation ainsi que du public externe. Si l’imminence de l’occurrence d’un incident SI implique une défense spécifique et une planification de la continuité des opérations, elle exige aussi l’anticipation de ces requêtes et une préparation active à cet effort global de communication.
