« Le problème c’est que dans le cas d’une fraude en entreprise et notamment une crise cyber, on ne peut pas communiquer de la même façon de lors d’une crise standard. Quand l’entreprise est victime d’une catastrophe naturelle ou d’un incendie, on doit parler aux médias, rassurer les collaborateurs, les clients et fournisseurs. Là, la communication autour d’une cyber crise est un peu différente car au moment où l’on va prendre la parole, l’attaque peut continuer à grandir. On ne connaît pas l’ampleur des dégâts finaux. Il faut donc faire très attention à ce que l’on va dire ou ne pas dire », explique Michaël Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte. La communication doit être d’autant plus précautionneuse qu’en matière de système d’information et de cybercriminalité, l’entreprise peut être soumise à des obligations de déclaration.
Attention aux réglementations
« Il faut faire très attention car dans certains secteurs d’activité comme la défense, la communication doit être très précise et en concordance avec la loi de programmation militaire (LPM). Il faudra aussi bientôt tenir compte de la réglementation européenne sur la protection des données personnelles (GDPR). Il existe aussi des délais de notification sous 72 heures », détaille Michaël Bittan. Pour accompagner les entreprises dans cette communication de crise un peu particulière, certaines sociétés proposent une offre de cellule de crise clé en main avec des experts en cyber sécurité, des spécialistes de la communication cyber et également de juristes avisés.
