Que faire face à une cyberattaque ou une perte de données ?
Les violations de données sont aujourd’hui une réalité de la vie professionnelle. Les récentes actualités en France ont augmenté le risque de piratage des sites internets. Même protégée par des solutions de sécurité, aucune entreprise n’est à l’abri de ce type d’événement.
La perte de données personnelles ou sensibles comme la menace d'une cyber-attaque peuvent avoir des conséquences dévastatrices sur la réputation d'une entreprise.
Que faire face à une telle situation ? Comment limiter les risques pour la société, ses clients, son image ?
Astrid-Marie Pirson, expert sinistres TMT (Technologie Media Telecom) chez l’assureur spécialiste Hiscox, vous recommande 3 mesures à prendre immédiatement en cas de cyber-attaque :
1. Mettre en place une équipe de gestion de crise
Veillez à impliquer les bonnes personnes le plus tôt possible : limiter les conséquences d’une violation de données passe, en effet, par une gestion prudente et serrée de la réputation de votre entreprise.
Vous aurez donc besoin des services d'une personne expérimentée dans le domaine très particulier de la communication de crise ; si aucun de vos salariés n'est qualifié (ce qui est souvent le cas), faites appel à un professionnel.
Cette équipe dédiée doit également être composée de spécialistes de la sécurité informatique et de la relation client, ainsi que de juristes et de responsables RH.
2. Analyser les faits et planifier les prochaines étapes
La résolution d'une crise suite à une cyber-attaque prend du temps : plusieurs jours, semaines ou mois peuvent s'écouler avant que vous en connaissiez tous les tenants et aboutissants. Avec votre équipe dédiée, travaillez donc à acquérir aussitôt que possible une vue d'ensemble de la situation :
- Quelles données ont été affectées ?
- Comment est-ce arrivé ?
- Vos systèmes sont-ils désormais sécurisés ?
- La situation peut-elle se reproduire ?
- Quelles sont les obligations légales et réglementaires auxquelles vous êtes soumis ?
- Que devez-vous faire pour restaurer la confiance dans votre entreprise ?
3. Verrouiller vos canaux de communication
Les mauvaises nouvelles se répandent vite, même si elles sont fausses ! Votre entreprise peut ainsi se retrouver au centre de l'attention publique alors que vous ne l'avez jamais souhaité, et dans ce cas maîtriser votre communication est fondamental.
D’abord, demandez à tous vos employés (réceptionnistes, assistants personnels, employés de sécurité, etc.) de faire preuve d'une prudence accrue en ce qui concerne les appels et les visiteurs (identification des interlocuteurs notamment).
Ensuite, faites en sorte que toutes les requêtes des médias soient transmises à votre chargé de relations presse, qui rédigera les communiqués et déclarations avec l’aide de votre équipe de gestion de crise.
Enfin, donnez pour instruction à vos collaborateurs de ne rien divulguer de la crise traversée par votre entreprise sur les médias sociaux : le simple tweet d’un salarié, même bien intentionné, peut prêter à interprétation ou à confusion, et avoir un impact très négatif.
De manière générale, l’implication forte de la direction générale de l’entreprise en cas d’incident est cruciale, à la fois pour porter un message positif de bonne gestion de la crise et pour ré-attirer l'attention de tous (partenaires, actionnaires, administrateurs, clients, public) sur les valeurs de confiance et de fiabilité de votre société.
Au delà de ces 3 conseils, l’anticipation et la prévention des risques ont un impact très important dans le domaine de la protection des données, et l’une des mesures les plus efficaces consiste tout simplement à sensibiliser en amont le personnel de votre entreprise à l'importance de la sécurité des données. Les connaissances en la matière sont souvent limitées, surtout dans les petites structures, et le recours à un expert pour en expliquer les bases peut représenter un investissement clé pour votre entreprise.
En parallèle, il peut être intéressant de mettre en place une stratégie de limitation du risque, en purgeant vos systèmes des anciennes données qu’ils contiennent (les pirates ne peuvent pas voler ce que vous n'avez pas), en restreignant les lieux de stockage de données sensibles, ou encore en responsabilisant et en auditant ceux de vos partenaires qui accèdent à vos données et les partagent.
Pour en savoir plus, téléchargez les publications Hiscox suivantes « Intégrer l’assurance dans la gestion des risques liés à la sécurité des données » et « Protégez vos bases de données ».