Dans la gestion de crise, le Top Management doit faire preuve de leadership 42% Aujourd’hui, lorsqu’une organisation fait face à une cyberattaque qui a déjà commencé à endommager ses systèmes, le top management est en première ligne. Et ce d’autant plus si des défaillances ou des faiblesses apparaissent dans la mise en œuvre des plans de réaction et de restauration des systèmes : plus le problème perdure, plus la situation est susceptible ne disposent pas d’une stratégie de s’aggraver. ou d’un plan de communication établi Si les organisations se remettent d’une cyberattaque, leur réputation et la confiance que en cas d’attaque significative. leur accordent leurs parties prenantes peuvent être réduites à néant en un instant. C’est pourquoi il est essentiel de communiquer sur l’incident avant que la presse ou les médias sociaux ne s’en emparent. Or, encore trop d’organisations ne sont pas encore préparées à cette éventualité. 39% • 42% des répondants ne disposent pas d’une stratégie ou d’un plan de communication établi en cas d’attaque significative. • Dans les 7 premiers jours après une attaque : • 39% feraient une déclaration publique dans les médias ; affirment qu’ils opteraient pour une • 70% tiendraient informés les organismes de régulation et compliance ; déclaration publique dans les médias si une telle attaque survenait. • 46% ne tiendraient pas informés leurs consommateurs, même si les données compromises les concernaient ; • 56% ne tiendraient pas informés leurs fournisseurs, même si les données compromises les concernaient. Que communiquer en cas d’attaque ? • Aujourd’hui, de nombreux cadres législatifs ou réglementaires exigent que les organisations tiennent les consommateurs informés des cyberattaques susceptibles de les concerner dans un certain laps de temps, généralement de 60 jours. Or il arrive que des cyberattaques ne soient pas découvertes avant des mois, voire même des années, et dans certains cas, il peut arriver que les consommateurs ne soient pas immédiatement informés pour les besoins d’une enquête. • Dans un futur proche cependant, les consommateurs pourraient se voir indemnisés en cas de vol ou d’intrusion compromettant leurs données personnelles. Aux Etats- Unis par exemple, un projet à l’étude propose de compenser le préjudice subi par un an gratuit d’assurance contre le vol d’identité. Mais ce type de compensation ne convient pas à toutes les situations et pourrait engendrer une augmentation des coûts sans réel bénéfice pour le consommateur, tout en nuisant à l’image et à la réputation des organisations concernées. • Enfin, il est de plus en plus reconnu que tenir les consommateurs systématiquement informés peut se révéler contre-productif, voire dangereux, en particulier lorsque le risque est faible, car ces derniers pourraient insensiblement baisser leur garde et ne plus réagir adéquatement en cas de réel danger. Ainsi, il n’est pas impossible qu’au cours de ces deux dernières années, une même personne ait été informée que son opérateur de téléphonie mobile, son opérateur Internet et la plateforme qui héberge ses emails aient été tous trois attaqués, ou que ses identifiants bancaires ou de sécurité sociale soient tombés entre les mains de cybercriminels. La répétition de ces alertes pourrait laisser penser que ces attaques sont une fatalité, produisant l’effet inverse de celui recherché, à savoir désensibiliser le public des dangers liés à la cybercriminalité. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 21
Cap sur la cyberrésilience : anticiper, résister, réagir Page 20 Page 22