Pourquoi une stratégie de communication est indispensable en cybersécurité ?

Gouvernance Risques et Conformité
Pourquoi une stratégie de communication est indispensable en cybersécurité ?

Même dans la course au large, un bon skipper se doit aujourd'hui d'être un bon communicant. Il doit accorder un peu de temps chaque jour pour ses vacations vidéo, son équipe doit informer l'organisation et les fans en cas d'incident. "La position de Thomas Ruyant est d'afficher une transparence totale vis-à-vis des faits de course et l'équipe suit cette stratégie de communication"explique Marcus Hutchinson, le directeur de course de TR Racing. Si une transparence totale est difficilement envisageable dans le domaine très particulier de la cybersécurité, une bonne communication est devenue un impératif.

Par le passé, le secret  total était de mise lorsqu'une entreprise rencontrait un incident de sécurité explique Alexandre Fayeulle, fondateur d'aDvens. "Aujourd'hui, être victime n'est plus un tabou. Connaître des incidents, cela fait aussi partie de la vie des entreprises et celles-ci doivent intégrer cette dimension afin de mettre en place une organisation capable de réagir vite et communiquer de façon adaptée afin de maitriser l'impact de l'incident. On ne juge plus une entreprise sur le fait qu'elle a été victime d'un incident, mais sur sa capacité à y faire face."

A l'heure des réseaux sociaux et du foisonnement des médias Internet, une stratégie basée sur le secret peut se retourner très violemment contre l'entreprise qui veut cacher un incident de sécurité, même mineur. "Lorsqu'une entreprise est attaquée, la nouvelle circule très vite dans les communautés cyber et même le grand public relaie très rapidement sur les réseaux sociaux l'information s'il constate qu'un site Web est piraté ou s'il constate un incident sur l'écran dans un aéroport" explique Benjamin Leroux, directeur Marketing. Impossible en 2021 d'espérer cacher un incident sérieux. Toute information est très rapidement reprise par la presse Internet, même s'il s'agit parfois d'une fausse alerte ou d'une mauvaise interprétation. "L'heure est à plus de transparence car il y a désormais des obligations de notification dans certains secteurs d'activité et pour certains types d'organisations" ajoute l'expert. Outre un impact d'image, une mauvaise communication peut avoir un impact très fort pour les entreprises cotées en bourse. Les analystes et les investisseurs acceptent sans doute mieux que par le passé qu'une entreprise annonce qu'elle connaît un incident de sécurité, mais lorsque celle-ci entretient le flou sur la nature exacte de l'incident et sur ses conséquences, l'impact peut être très lourd. "A l'inverse, il est possible de développer une communication positive, même en cas d'incident de sécurité très sérieux" ajoute Benjamin Leroux. "Norsk Hydro a su communiquer en étant très didactique et très transparent vis-à-vis d'une situation potentiellement catastrophique pour l'entreprise puisque son système d'information était complètement bloqué par un ransomware."

Illustration d'une stratégie gagnante en termes de communication de crise, celle d'Alex Thomson, le skipper du monocoque Hugo Boss. "Il est le seul anglo-saxon du Vendée-Globe et il a bien compris qu'il devait énormément communiquer pour exister face à tous ses concurrents français" explique Marcus Hutchinson. "Au moindre fait de course, y compris lors d'avaries, il poste des vidéos, commente et interagit avec les fans. Il fait preuve aujourd'hui d'un vrai professionnalisme dans sa façon de communiquer. C'est aujourd'hui un aspect fondamental de la course et si un marin est peu à l'aise devant les caméras, il faut le coacher et le former à la communication. C'est indispensable pour les médias, pour les sponsors." Alexandre Fayeulle ajoute : "Les entreprises ont des niveaux de maturité encore très divers. Certaines sont très communicantes et ont l'habitude de communiquer auprès de la presse et savent comment réagir quel que soit le sujet. D'autres sont beaucoup moins aguerries, mais en 2021, on ne peut plus mettre de côté le volet communication dans une stratégie de cybersécurité."

Benjamin Leroux, Innovation & Marketing, Advens