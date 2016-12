La prépondérance du facteur humain

vendredi, 16.12.2016

Cybercrises. La communication est un aspect essentiel lors de cyberattaques. L’exemple de Yahoo est une piqûre de rappel efficace.

Toomas Kull*



Les cyberattaques et autres atteintes à la sécurité des données font régulièrement les grands titres des médias. Le prochain piratage de masse n’est qu’une question de temps après le record établi en septembre dernier par l’entreprise technologique Yahoo.

Deux mois plus tard, le groupe américain se retrouve d’ailleurs de nouveau exposé dans la presse après avoir admis être victime d’une autre attaque informatique antérieure à la précédente. Il s’agit cette fois du vol de données personnelles de plus d’un milliard de ses utilisateurs qui se serait produit en 2013. Les renseignements précis concernant ces piratages restent maigres, car l’enquête interne sur l’incident, sa nature et le moment où il s’est produit est en cours. Des rumeurs continuent cependant à circuler.

Ces atteintes à la sécurité des données tombent très mal pour Yahoo, en plein processus de rachat par la société de télécommunications Verizon. Les analystes continuent d’ailleurs de s’interroger de plus en plus sur le sort de cette transaction.

La communication restreinte de Yahoo a entraîné beaucoup de spéculations et de confusion au sujet de la nature et du timing du piratage, ainsi que des conséquences pour les utilisateurs Yahoo du monde entier.

Les questions continuent de fuser de toutes parts: clients, actionnaires, partenaires, organismes de réglementation et politiciens. De nombreuses plaintes ont été déposées à l’encontre de Yahoo et on s’attend à ce que des représentants de la société comparaissent devant des sénateurs. Nombreux sont ceux qui se demandent maintenant si Yahoo et ses dirigeants ont fait preuve de négligences.

Ce cas récent illustre combien il est difficile de gérer une cybercrise. Traditionnellement, le registre des risques d’une organisation recense les menaces physiques aux répercussions locales. Or, les technologies numériques constituent la colonne vertébrale de l’économie actuelle. La principale menace est donc numérique; sa portée et ses conséquences internationales sont immédiates.

Les incidents affectant la cybersécurité peuvent avoir un impact commercial majeur sur une organisation, incluant la perte de clients et de propriété intellectuelle, des interruptions de service, ainsi que sur des accords, fusions et acquisitions futures ou en cours.

Les entreprises ont l’habitude de communiquer une fois qu’elles ont réuni tous les faits. Dans le cas d’une cyberattaque, c’est rarement possible. L’enquête peut prendre des semaines, voire des mois. Mais plus l’organisation met de temps à tirer un trait sur la crise, plus le préjudice est important, aussi bien au niveau financier qu’en termes d’image.

Aucune entreprise ne devrait se présumer capable de gérer n’importe quelle cybermenace.

D’abord, ces menaces sont très variées, comme le montre la récente attaque hacktiviste contre l’Agence mondiale antidopage (AMA), le piratage d’État contre Sony Entertainment et les attaques de cybercriminels à l’encontre du détaillant américain Target, du service de messagerie financière Swift ou du fournisseur suisse de messagerie sécurisée ProtonMail. Chaque type de menace a ses propres implications et requiert une réponse spécifique.

Ensuite, elles sont récurrentes (ce n’est pas le premier piratage que subit Yahoo), et chaque nouvelle atteinte à la sécurité des données divulguée aggrave le préjudice en termes d’image et la colère du public.

Enfin, la menace ne peut jamais être éliminée. Même si elle bénéficie des meilleures protections au monde, une organisation pourra être réduite à néant par une tentative réussie d’hameçonnage ciblé, un employé mécontent ou un lanceur d’alerte. Cela souligne l’importance du facteur humain et pas seulement des technologies dans les cyberrisques.

80% au minimum des entreprises en Europe ont connu au moins un incident de cybersécurité au cours de la dernière année et, au niveau mondial, le nombre de ces incidents a augmenté de 38% dans tous les secteurs d’activité entre 2014 et 2015. Les entreprises devraient donc préparer leur réponse et leur gestion des cyberincidents, tant au niveau interne qu’externe.

Pour limiter les préjudices financiers et d’image, la cybersécurité doit être traitée avec le même sérieux que les autres risques commerciaux. Les entreprises devraient s’assurer que leur conseil d’administration comprend la nécessité de se préparer à une cybercrise et soutient les efforts dans ce sens.

Les fonctions organisationnelles sont souvent cloisonnées et le dialogue pluridisciplinaire reste rare. Or, une réunion des décideurs des services informatique, communication et juridique pour discuter des atteintes à la sécurité des données, des défis et des implications pour l’entreprise ainsi que des possibles réponses en termes de communication, peut s’avérer édifiante. Même si tout le monde n’est pas forcément d’accord, il est préférable d’avoir ce genre de discussion avant la crise.

Décider quand et comment l’entreprise va communiquer est essentiel. La réglementation du cyberespace continue d’évoluer et, bien souvent, les organisations ne sont pas obligées de divulguer les atteintes à la sécurité des données. Celles-ci sont cependant de plus en plus fréquemment révélées par des tiers, qu’il s’agisse d’hacktivistes cherchant à ternir la réputation de l’entreprise ou de sociétés de cybersécurité qui ont découvert le piratage et décidé de demander des comptes. La divulgation d’un cyberincident par un tiers place l’organisation dans une position désavantageuse.

Les crises sont par nature stressantes et requièrent une réaction rapide pour ne pas se laisser déborder par le rythme 24h/24, 7j/7 des médias et les questions des principales parties prenantes. Les organisations devraient prendre le temps d’élaborer et de mettre en œuvre des stratégies et procédures de communication de crise, et de créer un guide pour la prise de décisions et les réponses en matière de communication.

L’ampleur du préjudice que subissent la marque et la réputation d’une organisation lors d’une atteinte à la sécurité des données dépend largement de son image avant l’incident. Des études ont montré que les entreprises qui ont une réputation solide ont tendance à se remettre plus vite. Cela vaut la peine de nouer d’étroites relations avec les principales parties prenantes et de gagner leur confiance, car des voix favorables sont inestimables en temps de crise.

De nombreuses organisations de tous les secteurs disposent de plans pour gérer les crises qui menacent de ternir leur réputation. Les dirigeants estiment souvent que les cyberrisques sont davantage de nature informatique que critiques pour les affaires.

Si les cybermenaces sont numériques et intégrées aux technologies que nous utilisons et dont nous dépendons, le facteur humain reste déterminant. Ce sont en effet des personnes qui sont à l’origine des cyberattaques, qui y répondent et qui en gèrent les conséquences. Il faut espérer que compte tenu de cette réalité, les entreprises seront plus nombreuses à prendre le temps de préparer leur réponse aux cybercrises.

* CPC Genève, consultant

en cybercommunication