Bonjour Sébastien, pourriez-vous expliquer comment la communication interne et externe influence la cybersécurité dans le contexte de votre rôle en tant que Directeur Cyber Résilience ?
Cette question mériterait un chapitre entier de mon prochain livre... La communication influence la cybersécurité, tout comme la cybersécurité influence la communication.
Si l'on regarde comment la communication interne et externe de l'organisation influence la cybersécurité, nous trouvons plusieurs axes, tels que la mobilisation des collaborateurs autour du risque numérique, les investissements en protection numérique pour répondre aux engagements pris vis-à-vis des clients finaux, ou encore des impacts réglementaires en matière de cybersécurité en égard aux projets mis en avant par la communication de l'organisation.
Si l'on regarde comment la cybersécurité influence la communication interne et externe de l'organisation, il s'agit clairement de donner un ton davantage protecteur et engageant aux messages conçus et diffusés par les communicants. Certains se rappelleront des campagnes internes avec le slip et la brosse à dents en regard de vos mots de passe, ou des campagnes externes de deux grands fabricants de smartphones autour du thème "ce qui est sur votre mobile est plus sécurisé que ce que vous avez à la maison".
Enfin, un dernier axe où cybersécurité et communication vont de pair est clairement trouvé lors du traitement d'une crise d'origine cyber. Combien de crises se sont envenimées à cause d'une communication hasardeuse, interne ou externe, ne respectant pas les principes fondamentaux : honnêteté, transparence, immédiateté ? Clairement, la gestion de crise est une affaire de communications, avec un grand C et un s.
En tant que maître d'ouvrage, quels sont les principaux défis auxquels vous faites face en intégrant une communication efficace dans les stratégies de cyber résilience d'une entreprise ?
Je vais me concentrer ici sur les trois phases de la cyber résilience : avant la crise, pendant la crise, après la crise.
Avant la crise, le défi majeur est pour moi de faire adhérer les collaborateurs, les dirigeants, les partenaires... au fait que la cybersécurité de l'organisation est l'affaire de tous et que c'est surtout pour le bien de tous. Une bonne sécurité ne met pas des bâtons dans les roues du business, elle le protège. C'est un subtil équilibre à trouver et sur lequel il faut savoir communiquer habilement en traduisant et en imageant. La cybersécurité est très technique, pourtant les impacts d'une cyberattaque seront très palpables. Le défi est souvent de créer un pont entre les communicants et les équipes cyber. Mais on y arrive.
Pendant la gestion de crise d'origine cyber, là c'est autre chose. L'heure n'est plus à l'explication pour convaincre, mais à une communication claire et engageante afin de mobiliser les énergies autour de la sortie rapide de la situation. On dit souvent qu'en crise on passe de l'efficience à l'efficacité. C'est aussi le cas de la communication qui doit accompagner les décisions de la Direction Générale validées par le Conseil d'Administration. Et surtout, un maître mot : "cohérence". Cohérence dans la durée, dans les tonalités, dans les audiences, dans les contenus... Le défi est donc pour moi d'éviter de cacher ou de surjouer pour respecter les principes clés cités plus haut, tout en faisant attention à créer un autre pont, cette fois entre les communicants et les juristes au regard des réglementations cyber de plus en plus présentes.
Après la crise, la communication joue encore un rôle essentiel, car il va falloir rassembler autour d'une nouvelle normalité souvent post-traumatique. Expliquer, montrer, prouver, rassurer pour regagner la confiance. Si un secteur est touché et que vous en faites partie, si votre communication est efficace, cela signifie que vous aurez gagné un avantage concurrentiel. Donc pas de dénigrement ni de fanfaronnade, juste des faits et de la clarté. C'est une question de confiance dans l'organisation pour l'ensemble de ses parties prenantes.
Comment évaluez-vous l'importance d'une communication transparente pendant et après une crise de cybersécurité pour maintenir la résilience organisationnelle ?
Essentiel ! C'est la clé de tout. Transparente, honnête et immédiate. Ce sont les trois principes dont parlent les professionnels et qui ont maintes fois été prouvés comme étant efficaces. De toute façon, si vous commencez à cacher, mentir et attendre, je vous laisse imaginer les conséquences sur vos audiences, votre cours de bourse, votre image de marque, le moral de vos collaborateurs...
Pourriez-vous partager des exemples concrets où une communication inadéquate a exacerbé une crise de cybersécurité, et comment ces leçons ont été intégrées dans vos pratiques de gouvernance ?
Je ne suis pas autorisé à commenter des cas concrets en ce sens, mais les lecteurs se rappelleront probablement, par exemple, de cas outre-Atlantique ayant fait les gros titres et ayant coûté des sommes exorbitantes, comme le poste de certains dirigeants.
Selon vous, quel rôle joue la formation et la sensibilisation des employés à la cybersécurité dans l'amélioration de la résilience globale d'une entreprise ?
Elle est essentielle pour réduire le nombre de cas simples que doivent gérer les équipes de cybersécurité. Ces dernières sont sous une vague quotidienne de tentatives d'intrusions à gérer. Si cette vague pouvait être moins haute grâce à des collaborateurs plus aiguisés sur le sujet, ce serait bénéfique pour toute l'organisation. Il est également vrai que l'effet de la goutte d'eau augmente avec la taille de l'organisation. Pour autant, plus l'organisation est grande, plus le nombre de collaborateurs est important, et donc plus le nombre de personnes capables d'ouvrir la porte aux cybercriminels est élevé. Vous voyez, dans cette simple explication, à quel point les collaborateurs sont la première ligne de défense de l'organisation et à quel point leur sensibilisation est importante. Cependant, si les équipes techniques ne sont pas affûtées, les défenses à jour, les dirigeants moteurs, former uniquement les collaborateurs sera vain. C'est un tout cohérent dans un système de protection qu'il faut mettre en place, et pour revenir aux collaborateurs, mettre en avant ceux qui respectent l'hygiène cyber au lieu de blâmer ceux qui ne le font pas. La cybersécurité devrait être aussi naturelle que de respirer, et pour cela la communication et le management ont un vrai rôle à jouer pour mobiliser, rassembler et engager une démarche de mobilisation positive.
Dans votre expérience, comment la culture de la communication ouverte au sein d'une entreprise peut-elle contribuer à une meilleure gestion des cyber menaces ?
Tout dépend de ce que l'on entend par menace. Si c'est en préventif, le fait que l'entreprise ait une culture de communication ouverte (transparente, honnête...) contribue, à mon sens, à réduire le risque d'erreurs mises sous le tapis et qui pourraient s'envenimer. Si c'est en réactif (donc en temps de crise), une communication ouverte est un principe fondamental car en agissant de la sorte, même si une crise d'origine cyber est par nature protéiforme et pleine d'angles morts que l'investigation cherchera à réduire, l'entreprise partage à ses audiences une réalité qu'il est contre-productif de cacher. On peut, de nos jours, comprendre qu'une entreprise soit attaquée, mais beaucoup moins qu'elle ait une gestion non responsable, par exemple.
À votre avis, quelles évolutions prévoyez-vous dans la manière dont les entreprises abordent la communication en matière de cybersécurité dans les prochaines années ?
Les cyberattaques font partie de notre quotidien. Elles font les gros titres, coûtent énormément d'argent et inspirent même des séries TV (ex : Zero Day sur Netflix, certains épisodes de NCIS Los Angeles, ou encore Mr Robot). Bref, dans un monde où tout devient numérique, la surface d'attaque cyber ne fait qu'augmenter, et ainsi, les cyberattaques également. Dans un tel contexte, j'aimerais que davantage d'entreprises optent pour une communication honnête, transparente et immédiate. J'aimerais que les praticiens se rapprochent des chercheurs pour ne pas tomber dans les anciens travers du "ne disons rien, ça ne va pas se voir". C'est de mieux en mieux sur le terrain et beaucoup œuvrent en ce sens. Donc pour répondre à votre question, poussée, il est vrai, par les réglementations qui fleurissent ces dernières années sur le sujet cyber, je prévois une communication en matière de cybersécurité plus ouverte, mais aussi plus réglementée. Dans tous les cas, la cybersécurité est loin d'être un sujet uniquement informatique ; il en va de la continuité de nos entreprises et des services qu'elles nous rendent au quotidien. Dans un monde numérique où tout devient marque, se protéger numériquement devrait être aussi naturel que respirer, donc j'espère que communiquer correctement en matière cyber (en temps calme comme en temps de crise) devienne une évidence.
Pour plus d'informations : https://www.deloitte.com/fr/fr/services/consulting-risk/services/cyber-strategic-risk.html
-teaser.webp)
