Dans notre série “Anticiper une crise cyber”, retrouvez les meilleurs conseils et retours d’expérience des experts d’HarfangLab, ainsi que ceux de RSSI et autres acteurs de l’écosystème cyber. Un objectif : capitaliser sur les expériences de terrain pour enrichir les connaissances de chacun. Dans cet article, retrouvez les témoignages de Jean-Sylvain Chavanne, RSSI au CHRU de Brest, et de Pierre-Yves Amiot, CXO chez HarfangLab.
L’importance d’anticiper la communication en temps de crise
Lors d’une crise cyber, il est crucial d’assurer une bonne communication entre tous les acteurs en interne. Mais il ne s’agit pas de méthodes de communication habituelles, il va falloir faire quelques ajustements ! Anticiper ce facteur aide à agir vite et de manière coordonnée, mais aussi à protéger les contenus des échanges entre les intervenants durant toute la phase de crise.
Il est également nécessaire de préparer votre communication de crise vis à vis de l’extérieur, notamment pour la presse. Ne négligez surtout pas cet aspect, fondamental pour gérer les risques liés à la réputation de votre organisation, et préserver la relation de confiance avec vos clients et partenaires.
La communication en interne
Prévoyez un SI alternatif étanche
En cas d’incident cyber, les canaux de communication habituels entre les collaborateurs risquent fortement d’être compromis. Ainsi, il ne sera peut-être plus possible d’échanger via Teams, WhatsApp, mails, SMS… Il est donc nécessaire de prévoir un SI alternatif pour assurer une communication fluide et sécurisée dans vos cellules de crise, avec des outils de collaboration, emails et reporting.
Pensez à maintenir ce SI alternatif à jour et à le tester régulièrement : si vos équipes le découvrent le jour de la crise, la communication sera bien plus complexe et ralentie, or, chaque minute compte en temps de crise !
Vous pouvez utiliser des outils dédiés à la gestion de crise pour ce SI alternatif : il existe des solutions SaaS qui offrent une visibilité commune sur l'ensemble des process de gestion de crise, et via lesquelles vous pouvez communiquer.
Pierre-Yves Amiot, CXO HarfangLab
"Il faut bien comprendre l’importance de l’étanchéité de ce SI alternatif. J’ai déjà pu observer le cas d’un client qui réalisait une investigation suite à la détection d’un incident de sécurité, sauf que l’attaquant avait accès aux canaux de communication de la cellule de crise... Le client avait bien un SI alternatif, mais celui-ci n’était pas étanche. Résultat ? Toutes les actions de remédiation étaient identifiées au préalable par l’attaquant."
Jean-Sylvain Chavanne, RSSI CHRU Brest
"Pendant la crise qui a touché le CHRU de Brest en mars 2023, nous n’avons effectué aucune connexion sur les ordinateurs du CHRU. Nous avons communiqué par téléphone. Et si besoin était, nous passions par des connexions personnelles, sur des postes personnels."
Revenez au papier
Gérer une crise cyber veut dire passer en mode dégradé, et donc revenir à des outils de communication très basiques, comme le papier ! Typiquement, prévoyez un annuaire papier d’urgence. Par exemple, si votre site web n’est plus accessible, il va vous falloir contacter votre hébergeur : son contact devra donc être écrit à la main dans ce document.
Uniformisez la circulation de l’information
Chaque action, technique comme stratégique, doit être documentée, identifiée, pour assurer une traçabilité. Les trois points clés à noter à chaque fois sont les réponses aux questions : “Qui, quoi, quand ?”. Même si vous pensez que les informations consignées ne sont pas utiles sur le moment, tout doit être notifié. En plus d’assurer une communication de crise uniformisée, cela vous permettra de capitaliser sur l’évènement par la suite, et de mettre à jour vos procédures de gestion de crise.
N’oubliez pas que la cellule technique doit rester concentrée sur sa mission première, à savoir procéder à l’investigation et la remédiation. Ainsi, mettez en place un système de communication qui lui permet de rester focus sur sa mission, et de réaliser les actions une à une, par ordre de priorité.
Pensez à dédier une salle à la gestion de crise. Elle doit pouvoir accueillir l’ensemble des intervenants de la cellule avec tout le matériel à disposition. Pensez à réaliser des points quotidiens : point technique pour les actions de remédiation, et reporting auprès de l’équipe de direction.
Jean-Sylvain Chavanne, RSSI CHRU Brest
"Au sein de la cellule stratégique, nous avions mis en place un canal unique de demandes, transmises à la cellule technique, et nous les avons priorisées (P1,P2,P3, etc). Cette méthode a permis d’éviter de phagocyter la cellule de crise technique pour qu’ils ne soient pas assaillis de demandes de tous les côtés."
La communication externe
Faut-il contacter soi-même la presse quand on est victime d’une cyberattaque ?
Beaucoup d’organisations ne communiquent pas sur le fait qu’elles ont été victimes d’une cyberattaque. En 2021, cela a été le cas d’environ 90% des organisations victimes de ransomwares, si l’on en croit les chiffres de Cybermalveillance.gouv.fr.
Mais ne pas communiquer ou minimiser les faits vous expose à des risques pour votre réputation. En effet, des échantillons de données volées ou des preuves de l’attaque peuvent être rendus publiques et révéler une attaque que vous avez tenté de cacher, ou contredire votre version officielle. Dans ce cas de figure, il est clairement plus difficile de récupérer la confiance des médias et de ses clients et partenaires après coup.
En cas d’attaque, chaque situation est différente et mérite une communication adaptée, mais de manière générale il vaut mieux miser sur la sincérité. Restez sobre, factuel, et montrez que vous mettez tout en œuvre pour gérer la situation. En prenant les devants, vous éviterez aussi de laisser se propager de fausses informations. Selon les preuves dont vous disposez, vous pouvez donner la date de l’attaque, le type d’attaque, ses conséquences, et les mesures que vous avez mises en place (notification aux autorités compétentes, remédiation, etc).
Désignez une seule personne comme interlocutrice avec la presse, pour éviter les ratés et contrôler l’information sortante. N’hésitez-pas à lui faire passer une formation en media training : la communication de crise cyber est un exercice difficile, et en parler auprès de journalistes ne s’improvise pas. Préservez votre réputation en préparant en amont cet aspect.
Jean-Sylvain Chavanne, RSSI CHRU Brest
"Le vendredi 10 mars, 12h après la découverte de l’incident, l’Agence Régionale de Santé (ARS) a fait un communiqué de presse. Elle y est obligée car c’est elle qui doit gérer les transferts de patients si l’établissement ne peut plus gérer les offres de soins.
Dès le lundi suivant, à J+5, nous avons, avec la Direction de la Communication, écrit un communiqué de presse pour que les médias locaux puissent faire le relais avec les patients : en effet, nous n’avions aucun moyen de communiquer avec eux puisque nous n’avions plus accès à internet ! Nous avons donné un numéro de téléphone pour que les patients puissent nous joindre. Nous avons géré la suite de la communication de crise avec deux autres communiqués.
En ce qui concerne les relations avec la presse, il a fallu d’abord désamorcer certaines rumeurs : certains disaient que l’établissement était victime d’un rançongiciel, or ce n’était pas le cas. Par la suite, la presse a été plutôt bienveillante, et nous a aidés à relayer nos messages."
Points clés pour communiquer en temps de crise
- Prévoyez un SI alternatif et étanche, et testez-le régulièrement.
- Pensez à communiquer en mode dégradé : papier, crayon, téléphone sont vos meilleurs alliés.
- Uniformisez la circulation de l’information à travers un canal unique de communication, pour la cellule stratégique comme pour la cellule technique. Notez TOUTES vos actions.
- Anticipez les retombées presse en formant une personne en charge des relations avec les journalistes à la communication de crise cyber, et évitez de dissimuler l’attaque.
Envie de découvrir d'autres retours d'expérience pour anticiper une crise cyber ?
Suivez les conseils de nos experts pour préparer au mieux vos systèmes d'information.