Les violations de données font partie des cybermenaces les plus importantes. Et pourtant, lorsqu’elles se produisent, de nombreuses entreprises ne réagissent pas de manière rassurante pour leurs clients ou les autorités. Comment intervenir avec fermeté dans les moments critiques qui suivent un incident ?
This article is part of the
Global Risk Dialogue - 01/2023
L’essentiel en une minute
- Les incidents cyber constituent le premier risque pour les entreprises dans le monde, selon le Baromètre des risques d’Allianz 2023. Les violations de données représentent la cybermenace la plus préoccupante.
- Les autorités font pression pour que les entreprises renforcent la protection des données, en sanctionnant les mauvaises pratiques par de fortes amendes, voire des peines d’emprisonnement.
- Les entreprises doivent élaborer, tester et mettre en place des plans d’intervention en cas d’incident cyber, notamment en s’adressant à des experts externes.
- La communication de crise doit être prévue dans cette préparation, afin de pouvoir informer en temps utile les parties prenantes et les autorités.
À la suite d’une cyberattaque, il existe un délai critique, de quelques minutes à une ou deux heures maximum, pendant lequel les décisions prises auront une influence déterminante sur la suite. Pour que l’incident soit le moins préjudiciable possible, il est essentiel de bien comprendre les conséquences et les enjeux.
C’est ce qu’explique Robin Kroha, responsable de la sécurité de l’information et directeur de la protection et de la résilience chez Allianz Services. Une entreprise doit se préparer minutieusement à une violation de données grave, en mettant en place un dispositif et un plan d’intervention. Il convient notamment de tester à l’avance différents scénarios critiques et de former une équipe dont les fonctions seront clairement définies.
Pour Robin Kroha, « les plans sont importants, mais les exercices sont essentiels. Les meilleurs plans ne remplacent pas le travail de préparation d’une équipe. Ils doivent être mis en pratique pour que leur efficacité en cas d’incident réel puisse être vérifiée. »
L’augmentation des incidents cyber reste la principale préoccupation des entreprises pour la deuxième année consécutive, selon le Baromètre des risques d`Allianz . « Dans l’enquête 2023, 34 % des réponses fournies par plus de 2 700 experts dans le monde ont placé les incidents cyber au premier rang des risques qui menacent les entreprises[1], indique Michael Daum, directeur mondial des sinistres cyber chez Allianz Global Corporate & Specialty (AGCS). Nous constatons, en particulier, de plus en plus de violations de données, commises par ransomware ou isolément. »
Selon les répondants du Baromètre des risques d´Allianz, la violation de données est le risque qui inquiète le plus les entreprises (53 %). La confidentialité des données est exposée à un risque majeur qui ne cesse de s’accentuer. D’après le rapport sur le coût des violations de données, publié par IBM, le coût moyen de ces incidents a atteint un record en 2022, avec 4,35 millions de dollars, et devrait dépasser les 5 millions de dollars en 2023.[2]
Intensification de la pression réglementaire
Les autorités sont de plus en plus sévères avec les entreprises dont les mesures de sécurité sont insuffisantes pour protéger les données. En 2019, au Royaume-Uni, British Airways a été sanctionnée d’une amende de 183 millions de livres (202 millions d’euros) par l’ICO (Information Commissioner’s Office), après le piratage des données de 500 000 passagers. En 2020, l’amende a été réduite en appel à 20 millions de livres[1].
L’année dernière, aux États-Unis, deux affaires judiciaires ont servi d’avertissement aux dirigeants et mandataires sociaux qui ne traitent pas les cyberintrusions de manière appropriée. En octobre, un ancien responsable de la sécurité d’une entreprise de mobilité a été reconnu coupable d’avoir tenté de passer sous silence un incident cyber[2]. Ce serait la première fois qu’un dirigeant d’une entreprise américaine fait l’objet de poursuites pénales après une cyberattaque. Il est passible d’une peine d’emprisonnement allant jusqu’à huit ans pour obstruction à la justice et dissimulation volontaire d’une infraction grave.
Toujours en octobre, la FTC (Federal Trade Commission) a annoncé l’ouverture d’une procédure contre le directeur général d’une entreprise de livraison de boissons en ligne, pour des défaillances de sécurité ayant conduit à une violation de données personnelles de 2,5 millions de clients.[3]
Face à la sévérité accrue des régulateurs et des juges, les grandes entreprises investissent davantage dans la cybersécurité. Ces mesures conduisent les hackers à frapper les petites et moyennes entreprises, dont les contrôles moins rigoureux peuvent en faire des cibles plus faciles.
Quels risques cyber sont les plus préoccupants pour l’année à venir ?
Source : Baromètre des risques d’Allianz 2023.
Nombre total de répondants : 925. Les répondants pouvaient sélectionner un ou plusieurs risques.
Nombre total de répondants : 925. Les répondants pouvaient sélectionner un ou plusieurs risques.
Lorsque l’impensable se produit
Lorsqu’une violation de données à caractère personnel se produit, le compte à rebours s’enclenche. L’entreprise doit la notifier 72 heures au plus tard après en avoir pris connaissance, en application du Règlement général sur la protection des données (RGPD). Au Royaume-Uni, l’ICO impose le même délai.
Aux États-Unis, la situation est moins claire, compte tenu du nombre de juridictions différentes. Dans certains cas, les violations de données peuvent être notifiées dans les 60 jours. Toutefois, l’année dernière, le président Joe Biden a promulgué une nouvelle législation fédérale sur la notification des violations de données[1]. Celle-ci prévoirait l’obligation de notifier ces incidents au ministère de la Sécurité intérieure dans les 72 heures suivant leur survenue.
La FTC américaine, comme l’ICO britannique, donne des recommandations sur les mesures essentielles que les entreprises doivent prendre lorsqu’elles découvrent une violation de données. L’Union européenne publie des lignes directrices sur les délais et les destinataires des notifications, tels que les autres entreprises et personnes physiques concernées.
Mobiliser l’équipe de crise
Toutefois, les mesures à prendre sont nombreuses et complexes. La première consiste à déclencher le plan d’intervention. « Une crise cyber constitue l’un des incidents les plus difficiles à gérer, explique Michael Daum. Ce n’est pas la même chose qu’une catastrophe naturelle ou un incendie d’usine. Si vous êtes victime d’une attaque par ransomware avec chiffrement de vos données, vous pouvez subir une interruption d’activité à l’échelle mondiale. Et vous avez affaire à des délinquants dont le comportement est difficile à prévoir. »
« Le développement des pratiques de double extorsion ajoute à la complexité, signale Michael Daum. La double extorsion combine le chiffrement des données, des systèmes ou des sauvegardes avec la menace d’une divulgation des données sensibles. »
Selon Robin Kroha, l’un des moyens d’action les plus efficaces est de recourir à un expert, avant et après une éventuelle attaque cyber.
« Il est de plus en plus difficile pour les entreprises de disposer en interne de l’expertise nécessaire pour gérer une crise cyber, précise-t-il. Compte tenu des diverses formes de cyberdélinquance, il peut être difficile de suivre l’évolution des risques. Si les grandes et moyennes entreprises sont souvent bien préparées aux scénarios classiques, certaines n’ont jamais travaillé à un plan de gestion des crises cyber. »
Dans le cas d’une violation grave, l’entreprise souhaitera mettre en jeu son assurance cyber. Il est donc important que les interlocuteurs de la compagnie d’assurances soient informés le plus tôt possible. Les experts externes pourront ainsi fournir leur assistance en fonction de la nature de l’incident. AGCS dispose d’un réseau mondial de partenaires qui apportent leur aide aux assurés lors d’un incident cyber. Ces services portent notamment sur l’investigation numérique, l’expertise comptable, les relations publiques, la communication de crise et la protection contre la cyberextorsion. Ils peuvent aussi comprendre un accompagnement ou un conseil juridique, généralement assurés par un juriste spécialisé dans la confidentialité des données et la cybersécurité. Ce consultant peut aider les entreprises, souvent dépassées par la situation, à organiser la gestion de crise afin de limiter les dommages.
Communiquer avec clarté
Rishi Baviskar, directeur mondial du conseil en risques cyber chez AGCS explique : « Chaque cyberattaque est un cas d’espèce ». L’équipe de crise doit avant tout vérifier que le plan de communication est bien détaillé et s’adresse à tous les publics concernés : salariés, clients, investisseurs, partenaires commerciaux et autres parties prenantes [voir encadré]. Ce plan doit anticiper les questions qui seront posées par ces personnes.
« Une mauvaise communication à la suite d’une cyberattaque peut porter gravement atteinte à la réputation et, en conséquence, au cours de Bourse », signale Rishi Baviskar.
Norsk Hydro, l’un des plus grands producteurs d’aluminium au monde, a subi une cyberattaque en mars 2019, avec le chiffrement de tous ses fichiers par un rançongiciel. Les pirates ont exigé une somme en bitcoins pour débloquer l’accès aux données. Malgré la gravité de l’incident, l’action Norsk Hydro s’est redressée dans les semaines qui ont suivi, parce que l’entreprise s’était battue pour réparer les dommages.
« Norsk Hydro a refusé de payer, explique Rishi Baviskar. Le marché a apprécié la transparence et la franchise avec lesquelles l’entreprise a géré la crise. Ce comportement contrastait avec la politique du secret adoptée par de nombreuses entreprises à la suite d’un piratage. La confiance a été préservée et le cours de l’action est remonté après l’incident. »
Communication de crise : les points clés
Outre l’information légale, vous devez assurer une communication rapide et transparente avec les parties prenantes, lors d’une cyberintrusion. Vous limiterez ainsi les dommages causés aux activités et à la réputation de l’entreprise.
Selon Haydn Griffiths, directeur de la sécurité de l’information chez AGCS, un plan de gestion de crise cyber doit comprendre un plan de communication. Celui-ci doit mentionner les interlocuteurs, les mesures urgentes à prendre et les personnes responsables, ainsi que le porte-parole chargé de la communication. Il doit également contenir des déclarations préparées, établies et éprouvées en fonction des scénarios. Voici une liste des points clés pour élaborer un plan de communication de crise cyber :
- Qui doit être informé ? Outre les autorités compétentes, l’entreprise peut être tenue d’informer ses clients, ses actionnaires, ses salariés, ses contacts externes, le public, les médias, ses conseils juridiques, son organisation professionnelle et son assureur. Mettez en place différents canaux de communication pour informer régulièrement chaque groupe de destinataires.
- Quels sont les objectifs de la communication ? Il s’agit notamment de rassurer les destinataires, d’annoncer les mesures correctrices adoptées, de présenter des excuses ou de faire une déclaration pour éviter la diffusion d’informations erronées.
- Comment gérer les craintes de la clientèle ? Faites preuve d’empathie à l’égard des victimes et montrez-leur que vous êtes prêts à proposer des solutions. Lorsque cela est possible, indiquez-leur les mesures d’atténuation prises et informez-les de leur mise en œuvre. Expliquez-leur comment elles ont pu être touchées et ce qu’elles peuvent faire pour se protéger, notamment en changeant leur mot de passe et en nettoyant leur boîte mail.
- Comment rassurer les salariés ? Communiquez rapidement avec eux par différents moyens, afin de leur rendre la confiance et de leur fournir les renseignements pratiques dont ils ont besoin. Tenez-les régulièrement informés. De la même façon, transmettez à vos fournisseurs, consultants et investisseurs, ainsi qu’aux représentants du personnel ou aux syndicats, toutes les informations nécessaires.
- Comment communiquer avec les partenaires commerciaux ? Le temps est un facteur essentiel pour que vos partenaires commerciaux puissent prendre leurs propres mesures de protection. Vous pouvez notamment les contacter et les informer régulièrement, pour répondre à leurs questions ou leur fournir plus de précisions. Il peut être utile de nommer des personnes qui seront chargées de la communication avec les principaux partenaires commerciaux.
- Quels sont les meilleurs moyens de communication ? La presse régionale, nationale ou internationale, les journaux et sites spécialisés, les mails, les réseaux sociaux, les courriers et les webcasts.
- Quelles sont les personnes qui doivent communiquer ? Les personnes à la tête de la direction générale, de la direction de l’information, de la présidence, de la direction de l’informatique ou de la direction de la relation clients.
- Quel ton faut-il employer ? Utilisez un ton amical et factuel, qui ne soit pas alarmant. Il vous appartient de décider dans quelles langues vous devez communiquer.
- Que faire si les moyens informatiques sont inaccessibles ? Pensez à conserver vos documents déjà préparés sur le cloud, voire dans des dossiers papier.
Documentation
Références
Le matériel contenu dans cette publication est conçu pour fournir des informations générales uniquement. Les projections sont intrinsèquement soumises à des incertitudes et à des changements nombreux et substantiels. Inévitablement, certaines hypothèses ne se concrétiseront pas, et des événements et circonstances imprévus peuvent affecter les projections faites dans cette publication. Bien que tout ait été mis en œuvre pour garantir l'exactitude des informations fournies, celles-ci sont fournies sans aucune déclaration ou garantie de quelque nature que ce soit quant à leur exactitude et Allianz Global Corporate & Specialty SE ne peut être tenue pour responsable de toute erreur ou omission.
Nos experts
Haydn Griffiths
Global Head of IT Risk & Security and Business Continuity Management
Robin Kroha
Chief Information Security Officer & Head of Global Protection and Resilience at Allianz Services
All the latest news, reports and hot topics
Newsletter
Keep up to date on all news and insights from AGCS
Allianz Group companies
The Allianz Group offers a wide range of products, services, and solutions in insurance and asset management and operates as an international insurer on almost every continent.
AGCS offices
With our worldwide network, Allianz Global Corporate & Specialty (AGCS) is one of the very few global insurers with an exclusive focus on the needs of global corporate and specialty clients.