CYBERSÉCURITÉ : LA REPUTATION EN PREMIÈRE LIGNE

Plus importantes, plus fréquentes, plus dangereuses que jamais, les décideurs comprennent désormais la gravité et l'ampleur de la menace que représente les cyberattaques pour leurs entreprises. Si les budgets alloués à la cybersécurité explosent, il faut garder à l'esprit que c'est la réputation des entreprises qui reste en première ligne.

Plus importantes, plus fréquentes, plus dangereuses que jamais, les cyberattaques font désormais les gros titres : la class action contre Ledger, la fuite du code source de Twitch… Les décideurs comprennent désormais la gravité et l'ampleur de la menace que représente les cyberattaques pour leurs entreprises. Cette prise de conscience arrive à point nommé : 2020 a été une année record pour les cybercriminels, avec en moyenne 200 000 attaques par jour sur la planète. Pour des dommages toujours plus importants : le coût associé au cybercrime dans le monde a atteint 945 milliards de dollars en 2020 et devrait dépasser mille milliards de dollars pour la première fois en 2021. La France n’échappe pas à cette tendance, 90 % des entreprises françaises déclarant avoir été ciblés cette année.

Une croissance inédite des dépenses en cybersécurité

Les cyberattaques sont devenues une réalité malheureuse pour toutes les entreprises et une source majeure de dommages dans l'environnement numérique actuel. Mais pas nécessairement là où l’on pense. Si une attaque réussie a le potentiel de paralyser l’entreprise ou de l’exposer à des amendes pour mauvaise protection de données, c’est bien la réputation qui est en première ligne en cas de brèche.

Pour se prémunir de ces dangers, les investissements en cybersécurité augmentent, à coup d’audits d’infrastructure, de révisions complète des systèmes et de simulations d’attaques. Les offres se multiplient et les budgets augmentent. Une récente enquête conduite auprès de dirigeants d’entreprises révèle que les dépenses en matière de cybersécurité sont sur le point d’exploser. La cybersécurité est, selon les patrons interrogés, le point de dépense connaissant la plus forte augmentation sur l’année 2021.

Mais s’il y a toutefois bien un point sur lequel l’ensemble des experts en cybersécurité s’accordent, c’est sur le fait que le risque zéro n’existe pas. Malgré le fort investissement dans les infrastructures cyber, l’éventualité d’une attaque n’est pas une question de « si », mais bien une question de « quand ». Dès lors, l’enjeu n’est pas seulement de limiter les risques d’occurrence d’une telle attaque, mais bien d’en prévoir l’éventualité afin d’en réduire les conséquences.

La crise de cybersécurité, une temporalité particulière

Il faut bien comprendre que les conséquences d’une cyberattaque se manifestent le plus souvent de manière différée. Une crise cyber ne doit pas être considérée résolue lorsque le point de fragilité dans l’infrastructure a été identifié et réparé. La tâche IT est peut-être terminée mais un nouveau travail commence alors : identifier et adresser les risques d’impact sur la réputation par l’exploitation malveillante des données dérobées.

L’une des dernières licornes françaises, la société de portefeuilles de cryptomonnaies Ledger, en sait quelque chose. En juillet 2020, un expert informatique indépendant révèle qu’une faille sur le site Internet de l’entreprise permet d’accéder à la base de données des clients. La société admet alors que cette faille a bien été exploitée un mois auparavant et que les données personnelles de quelques 9500 utilisateurs ont été dérobées. Ledger affirme toutefois que la faille n’est plus exploitable et que l’infrastructure est renforcée, mais la crise est loin d’être terminée.

Six mois plus tard, les conséquences de l’attaque se manifestent. Ce sont en réalité les informations de près de 275 000 utilisateurs de Ledger qui circulent sur les réseaux de hackers. Ceux-ci lancent une vaste campagne d’hameçonnage auprès des utilisateurs malheureux. La crise change soudain de magnitude, les utilisateurs s’insurgent, la presse s’empare de l’affaire. Ledger, qui projetait une image d’expert de la sécurité des crypto actifs voit sa réputation et sa crédibilité sérieusement endommagées. Aujourd’hui, c’est un recours de justice collectif qui est intenté contre Ledger par les utilisateurs victimes de cette fuite de données.

Cybercrises : mettre à jour notre logiciel

Cette crise témoigne des trois risques caractéristiques dans la communication de crise de cybersécurité. Le premier est le manque de réactivité dans le déclenchement de la procédure de crise. La communication est un aspect essentiel de la gestion de crise, et doit être mobilisée et impliquée dès que possible. Un des principaux enjeux de la gestion de crise est d’adopter une posture proactive afin de garder le contrôle sur sa communication et de rester maître de la situation. Déclencher la communication de crise trop tard consiste le plus souvent renoncer à cet avantage.

Le second risque est celui de la submersion dans le traitement des demandes liées à la communication de crise. Lors d’une crise de cybersécurité, la communication n’est pas circonscrite à l’espace médiatique. Il faut également adresser les clients, les régulateurs, l’interne, la gouvernance et toutes les autres parties prenantes pertinentes. Cette communication multicanale et multi-cible nécessite une structure organisationnelle et des responsabilités clairement définies en interne.

Le troisième risque est celui de croire la crise terminée trop tôt, sans avoir adressé les enjeux de réputation de long terme. Une crise ne se termine pas lorsque la situation est revenue à la normale. La réputation de l’entreprise peut avoir été endommagée de manière durable, les utilisateurs peuvent avoir leurs données personnelles définitivement dérobées. Mal adressés, ces enjeux peuvent avoir des conséquences bien plus lourdes.

S’il est possible d’identifier clairement lorsqu’une crise de cybersécurité commence, il n’est pas aisé de prédire réellement quand elle s’arrêtera, ou quand elle se manifestera à nouveau. C’est une réalité nouvelle, particulièrement complexe à appréhender pour les décideurs dont la réponse actuelle est souvent de redoubler d’investissement IT plutôt que de concevoir l’impact au long terme d’une telle crise. Cette mise à jour de logiciel doit pourtant s’effectuer. Avec des attaques plus fréquentes et plus pressantes, et une injonction à la dépense dans la sécurité informatique, il ne faut pas perdre de vue ce qu’il s’agit de protéger : la réputation de l’entreprise et sa capacité à perdurer.