Les crises cyber sont de plus en plus régulières au sein des sociétés, organismes publics et associations notamment à cause des attaques par rançongiciels. Elles prennent souvent au dépourvu et même si ces entités ont un plan en cas de crises, l’aspect communication est souvent oublié.
L’ANSSI propose déjà de la documentation pour préparer sa communication en temps de crise (disponible ici).
L’article ici présent ne va pas et ne peut pas vous dire comment préparer une communication avant une crise. Il va vous donner des éléments afin que vous puissiez communiquer lors d’une crise déjà en cours lorsque le plan de communication de crise n’a pas pu être préparé ou l’a mal été.
Il faudra donc créer une cellule de communication. Cette cellule devra alors mettre en place les premières actions qui pallieront ce qui n’a pas pu être préparé. Enfin, il faudra s’assurer que la cellule est bien implantée aux différents niveaux de l’organisation de crise afin d’effectuer l’ensemble de ses rôles. Tout cela vous permettra de vous assurer que votre organisation communique au mieux.
I- Création d’une cellule de communication
La première étape est donc de créer la cellule de communication. En effet, celle-ci va être indispensable. Dans un premier temps, cette cellule va servir à mettre sur pied ce qui n’a pas pu être préparé auparavant et qui est absolument indispensable. Dans un second temps, elle servira à concevoir les communications qui devront être diffusées pendant et après la crise.
Ainsi, cette cellule devra être composée des personnes suivantes :
Dirigeant de l’organisme
RSSI du SI de l’organisme
Personne(s) en charge de la communication (interne et externe)
Représentant des autorités déjà impliquées dans la crise
Prestataire aidant à résoudre la crise (PRIS, consultant, …)
toute autre personne jugée nécessaire
Sans rentrer dans les détails, le rôle de cette cellule sera :
de mettre en place les premières actions
d’assurer la coordination des communications
de choisir la stratégie de communication
d’être le point de contact en interne comme en externe
II- Premières actions de la cellule de communication
1) Le contexte
Une fois la cellule mise sur pied, elle devra définir le contexte. Pour cela, il va falloir que la cellule sache quels sont les systèmes impactés et quels types de données sont contenus dans les systèmes. De là devrait pouvoir être déduit ce qui est impacté (ou quels services), qui est en train d’aider à résoudre la crise et où le SI impacté se situe. Il faudra aussi déterminer quand l’incident et la crise ont démarré. Une fois ces premiers éléments définis, il faut également se demander comment l’incident est arrivé et pourquoi c’est devenu une crise. Enfin, il faudra vérifier que cela n’arrive pas à un moment important pour la société (résultats, événement important, …)
2) Les cibles générales et objectifs
La définition du contexte ayant permis de dire qui est impacté, il va être possible de savoir qui devra être contacté, dans quel ordre et ainsi définir ce qui devra être dit et avec quels objectifs. Pour donner quelques pistes, voici quelques exemples de personnes à contacter ou qui pourraient vouloir des informations : les collaborateurs internes, les autorités, les collaborateurs externes et partenaires, les clients, la presse ou bien encore les influenceurs de votre secteur. Le plus souvent, l’objectif de communication est d’expliquer de manière régulière et simple ce qu’il se passe, de rassurer, de montrer que la crise est prise en charge. Des consignes pourront être données aux utilisateurs pour éviter un sur-accident. Tout cela permettra de maintenir la réputation de votre organisme.
Il est aussi possible qu’il faille déposer plainte ou encore déclarer une perte de données auprès des autorités compétentes. Si de l’aide n’a pas encore été demandée auprès des sociétés spécialisées, il faudra l’envisager.
3) Détails de cibles
Une fois les objectifs bien définis, il faudra préciser plus clairement qui sera visé afin de n’oublier personne et de s’assurer que les communications seront bien adaptées en fonction des différentes cibles. L’idée ici est qu’on ne parle pas de la même manière et on ne donne pas les mêmes consignes aux collaborateurs et aux clients.
4) Parties prenantes
Les cibles de communications étant connues, il faudra déterminer qui pourrait également communiquer sur la situation afin que ces personnes restent cohérentes avec la stratégie définie par la cellule.
5) Portes paroles
Avoir l’ensemble des parties prenantes permettra de désigner un ou des portes-paroles qui représenteront l’organisation si cela est nécessaire, notamment vis-à-vis des différents médias. Ce porte-parole devra pouvoir répondre à des questions concernant la crise en cours. Il faudra donc que ce soit quelqu’un ayant un minimum de connaissances techniques ou de connaissances des enjeux.
6) Recensements des outils de communcation
Enfin, lorsque vous avez fait tout cela, vous allez pouvoir lister la totalité des outils de communications fonctionnels dont vous disposez. Si certains outils ont été mis à mal par l’incident à l’origine de la crise, il faudra évaluer si leur remise en route est prioritaire sur le reste. L’idée ici est de s’assurer que vous puissiez communiquer correctement et selon le plan défini précédemment.
III- Pérennisation
1) Intégration
Après avoir fait les premières actions nécessaires, il faudra que la cellule de communication et le porte parole désigné soient intégrés au dispositif de gestion général de la crise. En effet, il est nécessaire que la cellule puisse alerter en cas d’évolution de la crise à cause d’une information provenant de l’extérieur. En effet, aujourd’hui les groupes d’attaquants n’hésitent plus à communiquer de leur côté. L’intégration au sein du dispositif général permettra aussi de réagir rapidement en cas d’évolution et de ne pas communiquer quelque chose qui n’est déjà plus d’actualité.
Pour toutes ces raisons, il est également possible d’intégrer la cellule de communication à la cellule stratégique et à la cellule opérationnelle et technique. Ainsi, en cas de DoS ou de défiguration d’un des sites internet de l’organisation, il sera possible de communiquer sur la réelle portée de l’attaque.
2) Rôle
L’intégration au sein des différents groupes est essentielle afin d’effectuer tous les rôles de la cellule de communication. Il faudra en effet s’assurer de la coordination des différents groupes et s’assurer que les informations passent bien de l’un à l’autre. C’est également cette cellule qui s’assurera du bon lien avec les parties prenantes externes.
De même, la cellule devra effectuer une veille pour savoir comment la crise est perçue que ce soit en interne ou en externe.
La veille permettra alors à la cellule de réagir plus efficacement et d’adapter sa stratégie de communication.
De plus, selon la criticité de la crise, de votre exposition, de la pression médiatique, politique, économique et/ou social, il faudra que vous définissiez dans un second temps comment vous allez communiquer sur la durée. Allez-vous être réactif ou plutôt proactif? Allez-vous cibler vos communications ou plutôt rester évasif ? Quels éléments de langage allez-vous mettre en place?
3) Le retour sur expérience
Une fois la crise passée, il faudra alors mettre en place un plan de communication de crise qui pourra s’appuyer sur tout ce qui a pu être appris et mis en place au cours de la crise actuelle. Ce plan devra être approuvé par la direction et connu de tous.
Il est important de noter que l’ensemble des conseils présentés ici sont à adapter. En effet, le contexte professionnel, le niveau de la crise et les pressions qui s’exercent sur votre organisme à ce moment-là ne vous permettront peut-être pas de tout faire. Il est aussi possible que vous deviez effectuer les actions dans un autre ordre. L’objectif de cet article est de vous donner des clés sans vous contraindre. La communication dans un contexte aussi complexe et délicat qu’une crise est un exercice compliqué qui nécessite une adaptation permanente y compris lorsque l’on doit construire celle-ci.
Les articles qui pourraient également vous intéresser ..
Webinaire : Transformez vos collaborateurs en cyberhéros !
- Jean-Michel
- 19 novembre 2024
- blog
MFA : Multi Factor Authentication
- Jean-Michel
- 9 juillet 2024
- blog
Le gestionnaire de mots de passe
- Anthony SCANDELLA
- 15 juin 2024
- blog / sécurité opérationnelle
Protégez votre réseau informatique
- Jean-Michel
- 2 mai 2024
- blog / Gouvernance / sécurité opérationnelle
Comment sécuriser votre Active Directory
- Jean-Michel
- 25 avril 2024
- blog / sécurité opérationnelle
EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes
- Jean-Michel
- 7 février 2024
- blog