Aucune entreprise ne peut affirmer, hors de tout doute, qu’elle ne sera jamais la cible d’une cyberattaque. Puisque la cybersécurité est l’affaire de tous, la meilleure façon de préserver la réputation d’une firme et de ses dirigeants est de bien se préparer. Entrevue avec Ève Laurier, directrice générale d’Edelman Montréal, une entreprise de communication globale.

Gestion : En quoi la réputation d’une firme qui subit une cyberattaque peut-elle être entachée?

Ève Laurier : Dans le Baromètre de confiance Edelman 2019, on demandait cette année aux 33 000 répondants d’établir la responsabilité numéro un des entreprises. Leur réponse? La protection des données personnelles. Lorsqu’une entreprise subit une cyberattaque, les gens sont extrêmement déçus. Ça devient un problème réputationnel, parce que le lien de confiance avec l’entreprise est brisé.

NOV
18
FORMATION - École des dirigeants
Comment gérer la communication en situation de crise. S’inscrire

Un autre problème réputationnel qui peut survenir, c’est quand les firmes prennent trop de temps à annoncer publiquement qu’elles ont été victimes d’une cyberattaque ou qu’elles choisissent de ne pas en parler. Lorsque ça finit par se savoir, la réputation de l’organisation en prend un coup et le lien de confiance est définitivement rompu.

LIRE AUSSI : « Communication de crise : quand le silence tue »

Gestion : Toutes les organisations devraient-elles prévoir une stratégie de communication en cas de cyberattaque?

Ève Laurier : Absolument. Le contraire est inacceptable. La philosophie en matière de cybersécurité doit être « It’s not if, it’s when1 ». Or, la plupart des organisations ne sont pas conscientes de l’importance et de la valeur de leurs données. Elles ne réalisent pas à quel point elles sont vulnérables. Elles croient que la cybersécurité ne les concerne pas, parce qu’elles n’ont pas de données sur leurs consommateurs ou de site transactionnel, et qu’elles n’ont pas l’envergure d’un Costco ou d’un Walmart. Mais elles oublient qu’elles possèdent des données sur leurs employés, par exemple. Lorsqu’elles subissent une cyberattaque, elles sont totalement prises au dépourvu.

Les organisations doivent travailler en amont pour être capables, en cas de cyberattaque, de prouver aux personnes qui leur ont fait confiance avec leurs données – que ce soit en faisant des transactions ou en étant membres ou employés chez elles – qu’elles prennent la cybersécurité au sérieux et qu’elles n’auraient pas pu faire mieux. Pour ce faire, elles doivent connaître la valeur de leurs données, puis faire les investissements nécessaires afin de mieux les protéger. Elles doivent ensuite s’assurer d’avoir toutes les informations requises pour entrer en contact rapidement avec les gens si jamais leurs données sont compromises.

LIRE AUSSI : « Dossier Cyberfragilité - Cybersécurité : misez sur la prévention ! »

Gestion : En cas de cyberattaque, la réputation des dirigeants peut elle aussi être ternie au passage. Comment peuvent-ils tenter de la préserver?

Ève Laurier : Encore une fois, c’est en travaillant en amont qu’on y arrive. Les dirigeants doivent montrer qu’ils sont lucides quant au fait que les cyberattaques représentent un vrai risque d’entreprise, et qu’ils agissent de façon proactive au sein de leur organisation afin de protéger leurs données. Ils doivent notamment mettre sur pied un comité de cybersécurité, en faire un point de discussion dans l’agenda du conseil d’administration, y consacrer un poste de dépenses, puis l’insérer dans le programme de formation continue des employés pour qu’ils comprennent mieux leurs rôles et responsabilités quant à la protection des données personnelles.

Quand une firme est victime d’une cyberattaque, je ne crois pas que le président doit sortir à tout coup afin de prendre publiquement la parole. Parfois, une personne responsable, comme l’expert en technologies de l’information ou le directeur général, peut agir en tant que porte-parole. Mais lorsqu’il y a une grosse crise, comme celle qu’a connue Desjardins récemment, c’est la responsabilité du grand patron de prendre le blâme et de faire des excuses publiques afin de protéger la réputation de son organisation, et la sienne par le fait même. À ce sujet, j’ai trouvé le travail de Guy Cormier extraordinaire. Il a adopté le bon ton. Il s’est excusé. On sentait qu’il prenait cette situation au sérieux et qu’il avait mis de côté tous les autres enjeux stratégiques de Desjardins pour s’occuper de cette crise.

Gestion : Finalement, on suggère souvent d’opter pour la transparence dans les cas de gestion de crise. Est-ce le même mot d’ordre lors d’une cyberattaque?

Ève Laurier : Dans tous les cas, il est préférable de jouer la carte de la transparence. Cela dit, lors d’une cyberattaque, mieux vaut éviter de créer un vent de panique chez les employés ou la clientèle, ou de se rendre encore plus vulnérable aux yeux du public. Les entreprises peuvent finir par insécuriser davantage les gens en voulant être trop transparentes, ou bien semer la confusion dans leur tête en fournissant des explications trop techniques. L’idéal est de sortir avec un message clair sur la situation, sans l’empirer ou la minimiser, et d’axer sur les actions concrètes qui ont été et qui seront prises pour régler le problème.

Note

1 « Ce n'est pas si, mais quand » traduction libre