Par Stéphane Astier et Alexandre Lobry
Le risque de cyberattaque constitue l’une des principales craintes pour les chefs d’entreprise [1]. De nombreuses formes d’attaques se sont en effet développées en défrayant régulièrement l’actualité comme le ransomhack (chantage à la mise en conformité RGPD).
Aucune entreprise grande, petite ou moyenne n’est désormais à l’abri.
Le récent communiqué du 28 janvier 2019 du groupe Altran Technologies, spécialiste français des services d'ingénierie et de recherche et développement qui annonce avoir été victime d'une attaque informatique ayant affecté ses activités dans certains pays européens vient confirmer cet état de fait [2].
Face à la recrudescence des cyberattaques, les entreprises doivent s’adapter et prendre en charge des mesures spécifique de gestion de crise. La communication qu’elle soit interne ou externe est ici essentiel.
Il n’était pas de tradition pour les entreprises de communiquer sur les failles de sécurité au risque de paraître pour les tiers comme négligentes. Avec l’entrée en vigueur du Règlement Général Européen sur la Protection des Données (RGPD) et son obligation de notification des violations de données, une telle position n’est plus tenable. Les entreprises doivent aujourd’hui faire preuve d’une résilience collective tendant à faire de la communication de crise « une arme » contre les cyberattaques [3].
1. Anticiper les cyberattaques par une sensibilisation interne des équipes : le rôle clé de la communication interne dédiée au cyber risque
La mise en place du RGPD a imposé à l’ensemble des acteurs (publics, privés, responsables de traitements, sous-traitants-fournisseurs de solutions) de mettre en œuvre les mesures organisationnelles et techniques appropriées pour assurer la sécurité et la confidentialité des données.
La mise en œuvre de plusieurs mesures permet de répondre à cet impératif. Ainsi en est-il de :
- la réalisation d’études d’impact sur les traitements à risque ;
- la mise en place d’un référentiel de sécurité qui constitue la base documentaire permettant d’instituer des procédures de sécurité ;
- la souscription à des police d’assurance cyber risque.
La communication interne de la DSI (Direction des systèmes d’information) trouve ici une place importante. Il est en effet déterminant de sensibiliser le personnel aux enjeux de sécurité informatique ne serait-ce que pour s’assurer de la pleine et entière adhésion de l’ensemble des collaborateurs aux différentes procédures mises en place.
Sessions de formation, e-learning, Mooc, serious game, de nombreux dispositifs de sensibilisation existent aujourd’hui pour remplir cet objectif. Ils peuvent être utilement accompagner de mesures d’ingénierie sociale permettant de tester le niveau d’attention des collaborateurs.
Associé à la DSI et au RSSI (responsable de la sécurité des systèmes d’information), le Délégué à la protection des données (DPO) trouve ici un rôle important. Il pourra participer activement au pilotage de l’ensemble de ces mesures et s’assurer d’une sensibilisation globale des différentes personnes concernées.
2. Gestion de crise & cyberattaque : une communication externe en pleine mutation
Quel est l’intérêt pour une entreprise de communiquer d’une cyberattaque ?
A priori, cette communication pourrait paraître inopportune : déficit de confiance, renforcement des concurrents etc.
Pourtant, les actualités récentes laissent présager un changement de tendance. Le cas d’Altran est ainsi un exemple parmi d’autres de communication dédiée à la gestion de crise en cas de cyber attaque. Une telle mutation s’explique par deux raisons principales :
- D’une part, la notification à la CNIL et, dans certains cas aux personnes concernées de failles de sécurité liées aux données personnelles est devenue obligatoire avec la mise en place du RGPD ;
- D’autre part, avec la multiplication des cas d’attaque et une sensibilisation plus forte du public à ce danger, communiquer permet à l’entreprise de démontrer qu’elle s’est armée contre ce type de risque et que sa réaction a été exemplaire. C’est bien la confiance et l’optimisation de la réputation de l’entreprise qui seront ici recherchées.
Là encore, le DPO trouve toute sa place aux côtés des acteurs de la cellule de crise et de la Direction de la communication non seulement pour respecter les exigences réglementaires liées au formalisme de la notification mais également pour s’assurer d’une communication positive et effective de nature à consolider l’entreprise et non à l’affaiblir.
Fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficiant d’une triple labellisation CNIL pour ses prestations d’audit de traitements et de formations, le Cabinet HAAS accompagne ses clients pour la mise en conformité de leurs traitements à la réglementation sur la protection des données ainsi qu’à la gestion de leur cyber sécurité.
Pour en savoir plus sur notre pôle cyber-sécurité, cliquez ici.
[1] https://www.mag-securs.com/news/id/45146/sondage-opinionway-cesin-92-des-entreprises-ont-ete-attaquees-une-ou-plusieurs-fois.aspx
[2] https://www.lemonde.fr/pixels/article/2019/01/28/le-groupe-de-technologies-francais-altran-frappe-par-une-cyberattaque_5415893_4408996.html
[3] https://www.usinenouvelle.com/article/pourquoi-les-industriels-doivent-communiquer-en-cas-de-cyberattaque.N540804
