Communications d’incidents Kaspersky

Je me souviens de ce jour comme si c’était hier : notre PDG m’a convoqué dans son bureau et m’a demandé de laisser mon smartphone et mon ordinateur portable sur mon bureau.

« Nous avons été piratés« , a-t-il dit franchement. « L’enquête est toujours en cours, mais nous pouvons confirmer qu’il y a un cybercriminel actif, extrêmement sophistiqué et financé par l’État-nation parmi nous. »

Pour être honnête, ce n’était pas totalement inattendu. Nos spécialistes s’occupaient déjà depuis longtemps des brèches de sécurité de nos clients et, en tant qu’entreprise de sécurité, nous étions une cible de choix. Pourtant, ce fut une surprise désagréable : quelqu’un a pénétré les cyberdéfenses d’une société de sécurité de l’information. Vous pouvez en lire plus à ce sujet ici. Aujourd’hui, j’aimerais parler d’une des questions clés qui s’est posée immédiatement : « Comment communiquons-nous à ce sujet ? »

Sophisticated nation-state #cyber attack hits #Kasperky to get unreleased protection technology. #Duqu http://t.co/93USwGSLLc

— HackingTeam (@hackingteam) June 11, 2015

Cinq étapes pour apprendre à vivre avec : déni, colère, négociation, dépression et acceptation

En fait, avant le Règlement général sur la protection des données (RGPD), chaque organisation avait le choix de communiquer publiquement l’existence d’un incident ou de le nier. Cette dernière option n’était pas envisageable pour Kaspersky, une société de cybersécurité transparente en faveur de la divulgation responsable. L’ensemble des cadres supérieurs est parvenu à un consensus et nous avons commencé à nous préparer pour l’annoncer publiquement. En avant toute !

C’était la bonne chose à faire, d’autant plus que nous avons vu le fossé géopolitique se creuser et que les grandes puissances à l’origine de la cyberattaque utiliseraient très certainement cette brèche contre nous. Les seuls éléments inconnus étaient comment et quand. En communiquant proactivement sur la brèche, nous les avons non seulement privés de cette occasion, mais nous avons aussi retourné la situation en notre faveur.

Ils disent qu’il existe deux types d’organisations : celles qui ont été piratées et celles qui ne savent pas qu’elles l’ont été. Dans ce domaine, le paradigme est simple : une entreprise ne devrait pas occulter une brèche. La seule honte est d’empêcher le public de savoir qu’il y a eu une brèche et d’ainsi menacer la cybersécurité des clients et des partenaires.

Revenons à notre affaire. Une fois que nous avons établi les parties concernées (les équipes juridiques et de sécurité de l’information par opposition aux équipes de communications, de ventes, de marketing et de soutien technique) nous avons commencé le travail fastidieux de préparation de la messagerie officielle et des questions-réponses. Nous l’avons fait en même temps que l’enquête menée par les experts GReAT (Global Research and Analysis Team) de Kaspersky suivait son cours ; les membres de l’équipe impliqués ont effectué toutes les communications sur des canaux chiffrés pour exclure la possibilité de compromettre l’enquête. Ce n’est que lorsque nous avons eu la plupart des réponses qui figuraient dans le document questions-réponses que nous nous sommes sentis prêts à le rendre public.

En conséquence, plusieurs médias ont publié près de 2 000 articles à la suite d’une nouvelle que nous avons nous-mêmes lancée. La plupart (95 %) étaient neutres, et nous avons constaté une couverture négative remarquablement faible (moins de 3 %).  L’équilibre de la couverture médiatique est compréhensible ; les médias avaient appris l’histoire de notre part, de nos partenaires et d’autres chercheurs en sécurité qui travaillaient tous avec la bonne information. Je n’ai pas les statistiques exactes, mais d’après la façon dont les médias ont réagi à l’histoire d’une attaque ransomware contre le géant Norvégien de l’aluminium Hydro plus tôt cette année, il semble que la gestion de ces reportages ait été sous-optimale. La morale de l’histoire est de ne jamais garder de secret pour soi.

Leçon apprise et transmise

La bonne nouvelle, c’est que la cyberattaque de 2015 nous a permis de connaître les capacités techniques des acteurs les plus avancés de la cybermenace, mais aussi de savoir comment réagir et communiquer sur la brèche.

Nous avons pu enquêter minutieusement sur l’attaque et en tirer des leçons. Nous avons eu le temps de passer par les étapes de la colère et de la négociation, c’est-à-dire de préparer l’entreprise à ce que nous allions dire au public. Pendant tout ce temps, la communication entre les spécialistes de la cybersécurité et les experts en communication d’entreprise s’est maintenue.

Aujourd’hui, le délai de préparation d’une annonce publique s’est considérablement raccourci : par exemple, le RGPD exige que les entreprises qui utilisent les données des clients informent les autorités non seulement des brèches de la sécurité, mais qu’en plus elles le fassent dans les 72 heures. Et une entreprise victime d’une cyberattaque doit être prête à s’ouvrir au public dès le moment même où elle en informe les autorités.

Avec qui devrions-nous communiquer au sein de l’entreprise ? Quels canaux pouvons-nous utiliser et quels sont ceux que nous devrions éviter ? Comment devrions-nous agir ? » Ce sont là des questions auxquelles nous avons dû répondre au cours de l’enquête et bien d’autres encore. Vous n’aurez peut-être pas le luxe de résoudre ces questions par vous-même puisque vous disposez de peu de temps. Mais ces informations, ajoutées à notre précieuse expérience, constituent la base du Service de communication d’incidents Kaspersky.

En plus de la formation standard dispensée par des spécialistes en communication certifiés en matière de stratégie et conseils sur la communication externe, le service offre la possibilité d’apprendre de nos experts GReAT. Ils disposent d’informations à jour sur les outils et protocoles de communication et peuvent vous conseiller sur la façon de vous comporter en cas d’infraction.