Fusion des données Vol de données – comment réussir la communication de crise. Le cauchemar de toute entreprise : une cyberattaque a entraîné un vol de données. Comment survivre à ce scénario du pire, sans parler des dommages financiers et matériels, en termes de communication sans perdre de clients ou d'actionnaires ?
Lors d'une discussion, Sophos et le professeur associé Jason RC Nurse de l'Université du Kent ont développé des réponses importantes et un guide à cette question essentielle. Lorsque l'effondrement de la sécurité informatique se produit et que les cybercriminels ont pu voler de grandes quantités de données d'entreprise, des questions médico-légales telles que la découverte des passerelles et la manière dont les pirates informatiques procèdent dans le réseau sont bien sûr au centre des préoccupations. Lorsqu'il s'agit de répondre au vol de données, cependant, un point important ne doit pas être oublié : que dis-je au public et comment le communique-t-il ? Une cyberattaque est toujours une mauvaise surprise. Mais avec une préparation appropriée et une réponse bien pensée, la relation de confiance avec les clients et le public peut être maintenue dans de nombreux cas.
Dans le cadre de son sommet sur la cybersécurité, Sophos s'est entretenu avec le professeur associé et spécialiste de la cybersécurité Jason RC Nurse - professeur associé de cybersécurité - sur la stratégie de communication en cas de violation de données.
Stratégie de communication pour les urgences
La quantité de travail avant qu'une violation de données ne se produise est critique, mais de nombreuses organisations négligent cette phase préparatoire, du moins en ce qui concerne la stratégie de communication. Pour répondre efficacement à une violation de données, l'organisation doit déterminer à l'avance qui sera le porte-parole public, la meilleure façon d'atteindre les clients et les règles générales de communication.
La liste de ceux qui s'expriment en public doit être la plus restreinte possible - idéalement un maximum de deux personnes "significatives", car les journalistes veulent un expert ou un manager. Cela garantit que le message reste cohérent et que toute confusion est évitée. Il est utile d'anticiper les éventuelles questions de la presse, des actionnaires ou des clients et de préparer des réponses concises. Ce plan directeur doit être créé pour divers incidents de sécurité et tenu à jour avec des révisions régulières.
De plus, ces tests réguliers garantissent que chaque employé connaît ses responsabilités et sait à qui il peut parler de quoi.
Divulguer ou garder secret ?
L'honnêteté demeure la meilleure politique en matière d'entreprise, sauf si la loi l'exige autrement. Si l'entreprise décide de garder le secret, il y a toujours le risque que l'incident éclate plus tard et le dommage à l'image n'en sera que plus grand. En outre, les responsables ne doivent pas sous-estimer que les données volées peuvent se retrouver sur des marchés en ligne criminels et ainsi devenir publiques.
Prendre des responsabilités
Lorsqu'une cyberattaque a eu lieu, les personnes concernées sont rapidement tentées de se présenter comme des victimes. Et bien que techniquement cela soit vrai, le public voit souvent un tel comportement de manière négative. Toute personne qui, en tant qu'organisation ou entreprise, se voit confier ou travaille avec des données personnelles ou d'autres données importantes est responsable de la protection de ces données. Par conséquent, les entreprises doivent comprendre les dimensions d'un vol de données du point de vue du client, assumer leurs responsabilités et communiquer rapidement, clairement et de manière factuelle comment réagir au vol de données.
Petit guide de la communication de crise
- Réponds vite. Il n'y a souvent qu'une seule occasion pour la première impression et celle-ci devrait être celle qui inspire confiance. Une bonne préparation facilite une réponse immédiate mesurée et précise.
- Délivrez un message clair. Pas de jargon technique pour s'adresser aux clients, aux actionnaires ou au grand public. Une communication directe et emphatique est beaucoup plus efficace.
- Utilisez une source unique. La communication via les différents domaines d'information de l'entreprise ou les canaux de médias sociaux peut rapidement diluer ce qui est en fait un message clair. Une déclaration unique et opportune directement de la haute direction via un canal d'entreprise aide à faire passer le message clairement.
- Prendre la responsabilité. Les actionnaires, les clients et les médias récompensent les entreprises qui reconnaissent leurs erreurs.
- Tenez toutes les personnes concernées informées. Élaborez un plan d'action afin de pouvoir informer de manière compétente les actionnaires et les clients même après la première "publication". De cette façon, les bonnes relations qui se sont souvent construites au fil de nombreuses années restent intactes.
Contexte de l'infirmière Jason RC : il est professeur associé de cybersécurité à l'Université du Kent et chercheur invité à l'Université d'Oxford. Ses recherches portent sur les aspects sociotechniques de la cybersécurité, de la vie privée et de la confiance. Il a intégré ses années de recherche dans un cadre fondé sur des preuves qui décrit la meilleure façon de faire face aux dommages potentiels au niveau de la relation qui accompagnent une cyberattaque.
La conversation avec Professeur Infirmière est également disponible en vidéo.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.