Cybersécurité : mieux communiquer à la suite d’une fuite de données
Par Julien Baudry
[Cet article a initialement été publié le 29 mai 2019]
Qu’elles soient provoquées par une erreur humaine ou par une personne mal intentionnée, les fuites de données personnelles, et donc confidentielles, peuvent nuire considérablement à la réputation d’une organisation. Aux États-Unis, des fuites de données sont notamment à l’origine de la dévaluation du titre boursier d’entreprises comme Target et Equifax. La raison de cela est simple : les consommateurs jugent sévèrement les entreprises qui ne sont pas en mesure de préserver la confidentialité de leurs données personnelles. En résumé : ils perdent confiance.
Une obligation de résultat
Un nombre important d’entreprises sont, dans les faits, victimes d’une fuite de données. La présence de différents systèmes de cybersécurité, de campagnes de prévention ou encore d’efforts significatifs pour détecter les comportements douteux ne permet pas d’atteindre le risque zéro. Pourtant, si une entreprise faillit à protéger les données de ses clients, si elle n’est pas en mesure de résister aux multiples cyberattaques qui la ciblent… elle demeure, aux yeux du public, la principale responsable de cette situation.
Aussi, est-il préférable de se prémunir contre une telle situation, non seulement en gérant comme il se doit les données de l’organisation, mais aussi en communiquant constamment sur cette menace. Bien sûr, il ne s’agit pas de s’afficher comme une cible, mais plutôt de signifier à ses employés, à ses partenaires et à ses clients que son entreprise est non seulement consciente de cette menace, mais aussi que leurs comportements peuvent avoir un impact déterminant sur la sécurité des données. Celle-ci, tout comme la cybersécurité, est rarement la responsabilité d’une seule personne ou d’une seule entreprise. Pour que cela soit l’affaire de tous, il faut donc informer, sensibiliser et soutenir les comportements qui permettent de réduire les risques. Tout en étant responsable des résultats, une entreprise portée par la perception qu’elle a fait tout ce qu’elle pouvait faire pour prévenir une menace sera en meilleure situation pour maintenir la confiance de ses parties prenantes.
Que faire lorsque l’inévitable se produit ?
Malgré tout cela, il arrive que l’inévitable se produise. Aussi, dans ces cas, les organisations qui sont sous compétence canadienne ont maintenant l’obligation d’aviser les individus concernés d’une telle situation. Certaines entreprises ont réussi à faire passer sous le radar des fuites massives de données, alors que d’autres ont fait l’objet d’un véritable procès. Afin de ne pas jouer aux dés avec votre réputation, voici quelques conseils pour survivre :
- Communiquez un message simple et utilitaire. Au moment de dévoiler une perte de données, il est préférable de viser un maximum d’efficacité et de communiquer avec un langage simple et utilitaire. Aussi, avant de se confondre en excuse, il faut surtout fournir des informations claires et compréhensibles par le commun des mortels pour que les personnes affectées puissent, par exemple, modifier un mot de passe (dans le cas de B2C) ou informer leurs propres clients (dans le cas de B2B).
- Prenez vos responsabilités. Être responsable, c’est aussi signifier clairement que l’on souhaite tout faire pour gérer la menace, mais surtout pour faire en sorte que cela ne se reproduise jamais. Si vos systèmes et votre équipe TI n’ont pas permis d’enrayer la menace et que vous ne vous dites pas responsable de la perte des données que l’on vous a confiées, alors pourquoi devrait-on encore vous faire confiance ?
- Soyez à l’écoute et… informez. En plus d’effectuer une veille des médias traditionnels, des médias sociaux et des messages adressés au service à la clientèle, soyez à l’écoute de la réaction de vos parties prenantes. Celle-ci déterminera si vous avez bel et bien rétabli leur confiance. Une information erronée qui circule peut être corrigée ; des communications fréquentes et régulières témoignent aussi de votre volonté de prendre vos responsabilités. Outre les courriels, une ligne téléphonique peut être réservée pour une réponse personnalisée aux plus inquiets, par exemple.
Enfin, n’oubliez pas que la défense constitue la meilleure contre-attaque. Aussi, il est important de se préparer et de prévoir des outils qui pourront facilement être adaptés si une situation similaire se reproduisait. Se parer au pire permet d’économiser un temps qui risque d’être vital au moment d’une fuite de données. Des messages types, une procédure de communication, et surtout, une gouvernance claire font partie de cette préparation. Lorsqu’il s’agit de protéger sa réputation, aucune minute n’est gaspillée si elle est investie dans ces actions.