Jason a condensé des années de recherche au sein d’un framework concis, basé sur des éléments probantes, qui décrit les meilleures façons de gérer les dommages potentiels, en termes de relations, causés par une cyberattaque (le document de recherche complet, co-écrit avec Richard Knight, peut être consulté via arXiv.org).
Dans le cadre de l’événement Sophos Evolve 2020, Jason a rejoint Doug Aamoth, product marketing director chez Sophos, et Sara Eberle, senior director of public relations, pour échanger sur son travail.
Si vous avez raté la session live, vous pouvez regarder l’enregistrement que nous avons réalisé ou bien consulter les principaux points à retenir ci-dessous :
La préparation est cruciale
L’accent est mis sur la réponse technique à une cyberattaque, par exemple sur le renforcement des pare-feu et l’amélioration de la protection des endpoints. Cependant, lorsqu’il s’agit de répondre à une violation de données, il est également important de prendre en compte vos déclarations publiques et comment elles sont faites.
Une cyberattaque sera toujours une mauvaise surprise. Mais avec une bonne préparation et une réponse réfléchie et efficace, vous pouvez maintenir la relation de confiance que vous avez créée avec vos clients.
Peu de prévention, beaucoup de remédiation
Jason a clairement indiqué qu’il était crucial de faire le travail avant qu’une violation de données ne se produise, mais que de nombreuses entreprises négligeaient cette phase préparatoire.
Pour apporter une réponse efficace après une violation, vous devez savoir à l’avance qui sera votre porte-parole, où sont basés vos clients, quelles réglementations s’appliquent et comment vous allez vous adresser au public.
La liste des porte-parole au sein de votre entreprise doit être aussi courte que possible, idéalement juste une ou deux personnes, afin que votre message reste cohérent en évitant de semer une quelconque confusion.
Il est important de préparer des projets de réponse pour les médias, les actionnaires et les clients, afin de ne pas chercher dans l’urgence une déclaration en cas de violation de données. Cette phase comprend un ensemble de réponses pour une gamme d’incidents de sécurité.
Jason a eu de très bons résultats avec des entreprises qui organisaient régulièrement des mises en situation, garantissant ainsi que chacun ait une bonne compréhension de ses responsabilités, notamment ‘à qui’ il pouvait parler et ‘de quoi’ précisément.
Divulguer ou ne pas divulguer ?
L’honnêteté reste la meilleure politique, à moins que la loi ne vous oblige à garder le silence concernant une violation de données en particulier.
Si vous choisissez de ne pas divulguer publiquement une violation, il y a de fortes chances qu’elle soit révélée plus tard. N’oubliez jamais que les gens peuvent trouver les données de votre entreprise sur des marchés cybercriminels underground.
Ne jouez pas les victimes
Lorsque vous êtes frappé par une cyberattaque, il peut être tentant de vous positionner comme la victime, car il est vrai que techniquement, vous êtes une victime.
Mais cette approche ne plaira pas à tout le monde. Comme Jason l’a expliqué : lorsque les gens choisissent de vous confier leurs données, vous assumez la responsabilité de les protéger.
Assurez-vous donc de bien comprendre les impacts réels d’une violation de données et de prendre cet incident véritablement au sérieux.
Jason a déclaré qu’il était extrêmement important d’assumer ses responsabilités et de décrire clairement les prochaines étapes qui seront mises en place. Expliquez clairement comment vous allez traiter cette violation et comment vous comptez minimiser le plus possible son impact.
Il peut d’agir de la mise en évidence des mesures de sécurité supplémentaires que votre entreprise va mettre en œuvre ou, plus simple encore, d’en profiter pour rappeler aux clients de bien choisir systématiquement des mots de passe plus forts.
Soyez rapide, clair et factuel
Voici quelques-uns des meilleurs conseils de Jason et Sara pour garantir que votre réponse à une éventuelle violation de données soit globale et rassurante :
- Répondez rapidement : vous n’avez qu’une seule chance de faire une bonne première impression. Si vous êtes bien préparé, il est beaucoup plus facile de donner une réponse rapide qui sera également mesurée et précise.
- Envoyez un message clair : n’utilisez pas de jargon lorsque vous vous adressez à vos clients et actionnaires. La communication directe et empathique est beaucoup plus efficace.
- Utilisez une source unique : les histoires relayées peuvent rapidement semer la confusion sur les sites d’actualités et les réseaux sociaux. Avec une déclaration unique et à jour provenant directement du CEO de votre entreprise ou d’une personne ayant un statut de cadre dirigeant, vous pouvez clairement faire passer votre message.
- Prendre votre responsabilité : les actionnaires, les clients et les médias n’apprécient pas les entreprises qui ne reconnaissent pas leurs erreurs.
- Partagez votre plan d’action : la mise en place d’un plan clair contribuera grandement à rassurer vos actionnaires et vos clients et vous permettra de préserver la relation avec ces derniers, construite dans la durée avec certainement une forte implication de votre part.
Pour en savoir plus
Si vous souhaitez en savoir plus sur le framework de Jason et découvrir comment celui-ci pourrait aider votre entreprise à se préparer à faire face à une violation de données potentielle, vous pouvez accéder au document de recherche complet via arXiv.org.
Billet inspiré de What should you say if you have a data breach? Catch up with Jason Nurse at Sophos Evolve, sur Sophos nakedsecurity.