Comment communiquer clairement (et légalement) lors d'une crise de cybersécurité

Comment communiquer clairement (et légalement) lors d’une crise de cybersécurité

Lucas Morel

Essayer de esquiver les conséquences d’une violation peut être dangereux: mieux vaut expliquer rapidement ce que vous savez et garder les parties affectées dans la boucle sur les prochaines étapes.

Qu’est-ce qu’un CISO gère une violation de données et un enfant de 10 ans qui vient de briser accidentellement la fenêtre de son voisin en commun? Chacun a un choix difficile sur ce qu’il faut communiquer ensuite – et comment. Alors que de plus en plus de leaders d’entreprise l’apprennent, un échec à communiquer honnêtement et à posséder vos erreurs pourrait revenir vous mordre plus tard.

Uber le sait trop bien.

En 2022, le ministère américain de la Justice a condamné Joe Sullivan, l’ancien chef de la sécurité de la société, pour avoir menti à propos d’un piratage de 2016 où des voleurs ont volé des données sur environ 57 millions de clients. Sullivan a orchestré un paiement bitcoin de 100 000 $ pour garder les pirates silencieux, cachant par la suite le piratage des parties prenantes externes et de la nouvelle direction d’Uber, a indiqué le ministère.

Communiquer tôt et souvent

Alors que peu d’entreprises vont jusqu’à une dissimulation criminelle, beaucoup essaieront de baisser les conséquences. C’est un jeu dangereux, explique Jon Collins, vice-président de la recherche dans la société d’analystes Gigaom.

«Chaque risque est un risque commercial», dit-il, ajoutant que les dissimulations montrent un manque de réflexion jointe. «Cela se produit parce qu’ils le voient du point de vue de la sécurité, mais la dissimulation est également un risque. Et la façon dont vous y atténuez, du point de vue des entreprises, est de se moquer très rapidement. »

Parfois, le retard provient d’un manque de préparation. Lors d’un événement de Wall Street Journal fin novembre, Todd McKinnon, co-fondateur et chef de la direction de la société d’authentification d’identité Okta, a exprimé son regret de la manipulation d’un incident de cybersécurité en 2022.

L’attaque contre l’un des vendeurs d’Okta, Sitel, s’est produite en janvier, mais Okta n’a admis que l’incident en mars après que le groupe de piratage des lapsus $ ait rendu public les détails de son propre compte télégramme, y compris des captures d’écran de systèmes compromis.

Le directeur de la sécurité d’Okta, David Bradbury (aucun lien avec ce journaliste) a répondu en déclarant que les clients n’avaient pas besoin de prendre aucune mesure corrective. Cependant, les lapsus $ ont continué à narguer l’entreprise en ligne en avertissant que ses clients étaient la cible, et les clients ont rendu public leur frustration face au manque de clarté (ou, dans certains cas, à l’absence de communication directe d’Okta) .

Okta a ensuite révélé que 366 clients pourraient avoir été affectés par l’attaque, et Bradbury a pointé le doigt sur Sitel. « Je suis très déçu par la longue période qui s’est déroulée entre notre notification initiale à Sitel en janvier et la publication du rapport d’enquête complet il y a quelques heures », a-t-il déclaré, mais il a également admis plus tard que la société aurait dû déménager davantage rapidement pour communiquer après avoir obtenu ce rapport.

«Il est difficile d’être franc sur les choses, surtout lorsque vous n’avez pas toutes les informations», explique Jenai Marinkovic, CISO chez Tiro Security et membre du groupe de travail sur les tendances émergentes d’Isaca. Mais cela ne devrait pas empêcher les entreprises d’évaluer les informations suffisamment fiables pour partager et être transparentes avec elle, même si elles doivent remplir les blancs plus tard à mesure que leur enquête progresse. Expliquez simplement ce que vous savez initialement et communiquez ce que vous allez faire ensuite, conseille-t-elle. « Le monde a tendance à être assez indulgent si vous êtes franc sur les choses, donc faire passer le bon message le plus rapidement possible dès que possible est la clé. »

Une communication robuste repose sur une évaluation des risques robuste

Mais une fois que vous avez résolu de communiquer un incident de cybersécurité plutôt que de l’ignorer ou de le balayer sous le tapis, comment fonctionne cette confession? Commencez par une solide évaluation des risques, explique Marinkovic.

La communication est une partie intrinsèque d’un livre de jeu de réponse cyber-incidente plus large qui devrait être adapté pour faire face à différentes menaces. Vous pouvez réagir et communiquer différemment dans un DDOS ou un ransomware que dans une situation de vol d’information qui met les clients à risque financier.

«Votre évaluation des risques aurait dû identifier les types les plus probables de violation, les acteurs de la menace et les processus qu’il a un impact, ainsi que toutes les personnes en aval qui sont affectées», dit-elle. «Donc, si vous effectuez une évaluation des risques de manière appropriée, cela devrait alimenter votre plan de communication.»

De là, vous devez communiquer uniquement des informations précises. Cela signifie marcher une ligne fine entre la communication tôt afin que vous parliez en contrôle de la situation tout en étant sûr de vos faits, explique Paul Watts, analyste distingué au Forum de sécurité de l’information.

« Cela peut parfois être un problème si vous pensez que vous devez obtenir cette frappe préemptive, et ensuite vous vous rendez compte que les circonstances de l’incident sont soit meilleures ou pires, ce qui signifie que vous devez vous repositionner », dit-il.

Rien ne détruit plus rapidement la confiance lors d’une violation de données que des informations incohérentes. La société de télécommunications britanniques TalkTalk a suscité des critiques après avoir publié des déclarations apparemment contradictoires sur le vol de données client en 2015, qui a fait se gratter la tête avec les clients.

Une communication cohérente signifie parler de près et fréquemment avec les ingénieurs et le personnel informatique. Ils vous aideront à trier les faits connus de l’élaboration de théories afin que vous ne puissiez communiquer que ce que vous êtes certain.

Combler l’écart linguistique

Parler avec les ingénieurs est un bon exemple de l’endroit où une approche multidisciplinaire est vitale, explique Marinkovic. Traduire l’ingénieur-ESE en quelque chose que les clients peuvent comprendre pourrait être difficile pour les professionnels de la communication internes sans expérience technique. Il faut un questionnement persistant et incisif pour récolter des faits pertinents qui peuvent être relayés aux régulateurs et aux parties prenantes affectées.

«Votre équipe GRC (gouvernance, risque et conformité) comprend les contrôles et a tendance à être plus expérimentée pour traduire la technologie pour l’entreprise», dit-elle. Ils devraient être dans la salle lors de l’élaboration de stratégies de communication externes.

Surveiller les fuites

S’assurer qu’un seul canal de communication externe est essentiel, explique Watts, qui avertit les organisations de se méfier des fuites internes. Il est essentiel de former des employés à ce qu’ils peuvent et ne peuvent pas dire lors d’un incident. « Sinon, cela crée des opportunités de performance et de divulgation accidentelle, qui peut ensuite traverser le grain d’une stratégie de communication formelle que vous pourriez avoir », prévient-il.

Une communication inappropriée ne signifie pas seulement des conversations avec les journalistes. Si l’attaquant d’une entreprise a un compte Twitter, il pourrait être tentant que les employés intrigués les suivent d’un compte personnel. Même cela peut augmenter la surface d’attaque de l’organisation et créer des problèmes pour l’équipe de sécurité interne, dit Marinkovic.

Les victimes d’une violation de données amènent souvent des experts en médecine légale tiers pour aider à retracer et à résoudre le problème. Les communicateurs professionnels de l’approvisionnement vers des scénarios de cyber-crise peuvent être tout aussi précieux, disent des experts.

«Engager la bonne entreprise de relations publiques vous aide à mettre ce message d’une manière authentique», explique Marinkovic. Personne ne veut entendre à quel point leurs données sont importantes pour vous après qu’un voleur l’a simplement plâtré sur le Web sombre. Au lieu de cela, un compte rendu clair et professionnel de ce qui s’est passé et de ce que vous faites pour le réparer est la meilleure voie à suivre – et un peu d’humilité authentique ne ferait pas de mal.

Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support