Violation de données : comment réagir lorsque la réputation de l'entreprise est en jeu ?

La confiance est clé, les entreprises doivent donc se préparer à toutes potentielles violation de données, en mettant en place un plan d'intervention efficace.

Le coût moyen mondial d’une violation de données n'en finit plus d'augmenter. Il a atteint 4,45 millions de dollars en 2023, soit une augmentation de 15% depuis 2020. Les coûts directs, tels que la remédiation, la notification, les poursuites judiciaires, les amendes et les paiements potentiels de ransomware, sont relativement faciles à mesurer mais les coûts indirects liés notamment à l'atteinte à la réputation sont plus difficiles à évaluer malgré leurs graves répercussions sur les entreprises.

Les violations peuvent, en effet, ternir l’image de marque d’une entreprise aux yeux de ses clients, de ses partenaires et de son écosystème, voire se traduire par une perte d’activité. 

Comprendre l'ampleur d’une atteinte à la réputation

L'impact sur la réputation d'une entreprise dépend de la nature de la violation et du type de données compromises. Ainsi, la vulnérabilité d’un système de messagerie est, par exemple, moins préjudiciable qu’une faille de sécurité ciblant des informations financières. Des facteurs tels que le secteur d'activité de l'entreprise, le nombre d’entités concernées et la surveillance réglementaire jouent également un rôle important. Une faille qui se propage et touche des millions de consommateurs et de nombreux partenaires de la supply chain aura plus d'impact qu'une faille limitée à quelques données internes. Une violation qui attire l'attention des organismes de réglementation, et qui entraîne notamment des sanctions, aura également des conséquences dommageables.

Enfin, le temps de réaction pour découvrir et résoudre le problème est tout aussi important aux yeux de l’opinion du public. Les entreprises doivent absolument se poser les bonnes questions sur la chronologie d’une violation :  combien de temps a-t-il fallu avant de découvrir la faille et avant de prendre des mesures correctives ? Les activités commerciales ont-elles été impactées ? Les clients ont-ils rencontré des problèmes pour accéder aux services ou obtenir des produits ?

Une entreprise peut quantifier la perte de revenue, la perte de valeur boursière mais cela ne l’aide pas nécessairement à évaluer les dommages potentiels en matière de réputation. Toutefois, bien qu’il soit difficile de chiffrer la confiance, elle doit être préservée au maximum.

Mettre en place une procédure de gestion des violations de données pour protéger sa réputation

Les entreprises sont de plus en plus conscientes qu'un incident de cybersécurité n'est pas une question de "si" mais de "quand". Elles doivent donc se préparer aux attaques et à leurs répercussions. Déployer un programme intégré de gestion de crise ou un plan d'intervention est crucial.

Dans le cadre de ce plan de protection, de nombreuses personnes sont impliquées. Toutes les parties prenantes (RSSI et son équipe, dirigeants, service juridique, service de la communication, société de relations publiques, expert de la gestion de crise, avocats, compagnie d'assurance) doivent être alignées pour préparer une réponse coordonnée. Il est également important de s'assurer que chaque acteur connait son rôle et de mettre en place des directives précises sur la liste des porte-paroles officiels. Prévoir à l’avance la mission de chacun garantit un processus efficace qui permettra, le moment venu, de délivrer les informations de la façon la plus rapide et précise possible. A titre d’exemple, la création en amont de texte type à destination de chaque public concerné (clients, employés, partenaires commerciaux et investisseurs) peut réduire le temps nécessaire à la rédaction d'un message dans l’urgence.

Par ailleurs, il est important d’organiser régulièrement des exercices de test en établissant des scénarios de violations de données réalistes adaptés au contexte de l’entreprise. Cette étape permet d’identifier les faiblesses des procédures techniques et de communication.

Communiquer avec clarté

L'impact d'une violation de données sur une entreprise dépend en grande partie de la manière dont la crise est gérée et communiquée. Il s’agit d’informer et de rassurer les parties prenantes et les autorités en temps utile pour éviter la diffusion d’informations erronées, d’annoncer les mesures qui ont été prises et faire son mea culpa. Mais même pour les entreprises ayant préparé et testé leurs plans d'intervention, les erreurs de communication sont courantes et peuvent considérablement aggraver les dommages causés à l’entreprise :

  • Ne pas avertir les publics en temps et en heure : Si une entreprise attend trop longtemps pour communiquer sur une violation, elle se met automatiquement dans une position défavorable. Outre le risque de voir son image ternie, elle s’expose également à des conséquences juridiques. Le RGPD ne laisse que 72 heures pour signaler la violation de données à la CNIL. Tout manquement à cette règle peut donner lieu à une amende pouvant atteindre 22,6 millions de dollars ou 4 % du chiffre d’affaires mondial annuel de l’entreprise pour l’année précédente. L’entreprise doit donc prendre les devants et montrer qu’elle fait preuve de transparence et qu’elle met tout en œuvre pour remédier à la situation.
  • Ne pas vérifier les faits avant de faire une déclaration définitive. Si une entreprise revient sur sa déclaration, elle ne fera qu’aggraver la situation. Elle peut alors donner l’impression de ne pas maîtriser la situation. Mieux vaut qu’elle donne régulièrement des informations complémentaires. Par ailleurs, divulguer trop d’informations au mauvais moment peut fournir à d’autres hackers des indications pour lancer une autre attaque pendant qu’une entreprise tente de remédier à la première.
  • Ne pas tenir compte de l’éventualité d’une compromission ultérieure. En cas de violation, l’entreprise ne sait pas immédiatement à quels systèmes les hackers ont accès. Une partie importante de la planification de la réponse à une violation consiste à mettre en place plusieurs canaux de communication, notamment hors ligne, afin que les hackers ne puissent accéder aux échanges confidentiels, qui pourraient leur servir à lancer une nouvelle attaque quelque temps après.
  • Négliger les employés : Les entreprises ont tendance à informer en priorité les clients, les partenaires commerciaux, les investisseurs et les autorités de réglementation. Or, la perception et la confiance des employés sont tout aussi importantes.
  • Ne pas assumer la responsabilité d’une violation. Les attaques peuvent concerner toutes les entreprises. Mais choisir de ne pas en assumer la responsabilité, peut porter préjudice à leur image. Dans une communication de crise, mieux vaut être sincère, présenter ses excuses et s’engager à s’améliorer.

Une réparation sur le long terme

Toutes les violations de données n'entraînent pas nécessairement des dommages à long terme pour l’entreprise. L’impact d’une faille sur une entreprise et son image de marque dépend de la manière dont cette dernière réagit à la crise. Elle peut, en effet, en sortir grandie ou diminuée.

L’analyse rétrospective de la violation peut aider les entreprises à comprendre non seulement comment elle s'est produite, mais aussi dans quelle mesure elle a été contenue et communiquée. Les répercussions d’une violation de données ne s’arrêtent pas automatiquement lorsque la pression médiatique retombe et que les choses commencent à se calmer. Il est également crucial de mesurer et produire régulièrement des rapports sur les améliorations que l’entreprise a pu apporter en matière de cybersécurité. L’établissement d’une relation de confiance à long terme avec le public implique de procéder à une surveillance active et de prévenir toute attaque future.

Au fur et à mesure que les conséquences d’une violation mal gérée et communiquée s’aggravent, la confiance envers une entreprise peut diminuer. Ces dernières doivent donc mobiliser les ressources et le temps nécessaires pour préparer, gérer et traiter les retombées d’une violation. Cela peut les aider à rétablir leur réputation et la confiance de leurs clients, leurs employés, et tout leur écosystème.