Une cyberattaque est à l’évidence une crise, n’est-ce-pas ? Ce que nous appelons une cyber-crise, qui pourrait souligner l’importance de bien préparer sa stratégie et son plan de communication de crise.

Quand le sujet de #cybersécurité arrive sur la table, bien souvent on pense « technologie ». Et il en faut ! Les #cyberattaques mettent nos données vitales en danger.

☝🏻️Mais n’oublions pas que la #technologie est utilisée par les êtres humains, qu’ils soient employés, clients, fournisseurs, partenaires, etc. La technologie relie tous ces acteurs pour communiquer. Sans elle, pas de vente, pas d’achat, pas de partenariat, pas de relation.

D’où l’importance capitale de protéger la #communication entre toutes ces parties prenantes lors d’une #cyberattaque. Peut-être encore plus à l’ère de l’#IA.

Protéger les moyens de communication, c’est bien. Préparer aussi le narratif et la mécanique de communication, c’est mieux.

👉🏻 Je vous propose un exemple d’une bonne gestion de #communication de #cybercrise avec l’exemple de Thalès, qui souligne l’importance de bien la préparer et comment cette préparation peut soit atténuer l’impact d’une crise.

• La cyberattaque – les faits
• Le plan de communication
• Les 4 puissantes retombées
• Les 6 leçons à retenir

Dans un prochain article, je partagerai l’exemple d’une mauvaise préparation de gestion de communication de crise avec son effet aggravant de l’impact de la #cyberattaque. 

Les Faits de la Cyberattaque

2022, 31 octobre, 7h00 du matin, veille du pont de la Toussaint en France.

Un message du groupe russophone Lockbit 3.0 est détecté dans le #Darknet disant que Thalès ne protège pas correctement ses données, puisqu’ils sont en possession de certains fichiers. Il s’agit d’une courte description du type de données (techniques et financières). Pas d’échantillon pour prouver qu’ils détiennent effectivement des données mais une menace voilée « Si vous travaillez avec eux, contactez-nous pour vous le prouver », plus un timer de 7 jours pour réagir avec trois boutons grisés – donc inactifs – payer, négocier le délai, refuser.

Réaction 1 – Partir en mode Crise

Immédiatement, le mode crise est déclenché avec le plan de crise élaboré un an plus tôt. Objectif : vérifier qu’il s’agit bien d’un ransomware et dans l’affirmative, découvrir ce qui est entre leurs mains.

L’équipe lance la procédure de collecte des marqueurs de compromission, de scan des vulnérabilités de l’infrastructure dans le monde entier et tout l’écosystème de l’entreprise à comparer avec les vulnérabilités que Lockbit a l’habitude d’attaquer.

Quelques heures après que cette analyse démarre, tout s’emballe auprès des journalistes spécialisés mais aussi des clients, des fournisseurs, des partenaires, les instances étatiques de tutelle. Ils ont été alertés par des notifications de sociétés de veille cyber, auxquelles ils sont abonnés, que Thalès est visé par Lockbit. Le téléphone n’arrête pas de sonner.

24 heures plus tard – reste 6 jours

1er novembre, l’analyse des système ne révèle aucune compromission dans l’ensemble du parc, filiales comprises et dans tous les pays.

Résultat, le doute sur le ransomware s’installe d’autant qu’aucun message de rançon n’a été reçu de la part de LockBit, qui n’a même pas laissé quelque part le moyen de les contacter, ce qui est rare. Quoi qu’il en soit, cela ne faisait aucune différence, car Thalès ne paie jamais de rançon, comme le veut la tradition française.

Seule solution pour l’équipe de cybersécurité, chercher les données qui ont pu potentiellement être dérobées.

Thalès sollicite l’aide de sociétés de #DarknetScrubbing. En fonction des résultats, ils pourront informer qui de droit (clients, fournisseurs, partenaires) en bonne et due forme dans le délai imposé par LockBit.

Délai échu

Les 7 jours sont écoulés. Le stress est à son comble. Un message est alors publié sur le Darknet : « Le délai est dépassé et voilà les données relâchées ». Seulement… aucune donnée n’est publiée. Gros Flop.

Mais la cellule de crise reste en alerte et elle a raison.

Dernier épisode

Le 10 novembre, le timer est réactivé avec le message que les fichiers seront libérés une heure plus tard. Le frontend et le backend sont surveillés comme le lait sur le feu. Dans le frontend, aucun fichier. Dans le backend, si.

L’équipe télécharge les fichiers en mode crypté. En analysant les données révélées, il leur faut 1 heure pour identifier la source de fuite. C’est un serveur de collaboration en zone extranet pour échanger des fichiers avec des partenaires. Il s’agit d’un répertoire avec un partenaire en Malaisie à propos de l’installation et la recette de produit. Aucun accès illégitime n’est noté du côté de Thalès.

L’équipe décide de remonter le fil du temps à partir du 31 octobre. Le 26 septembre, ils identifient deux comptes Thalès compromis par le piratage des credentials du partenaire concerné. En remontant un peu plus haut dans les archives, ils notent que mi-août trois comptes circulaient à la vente sur le darknet, qui seront exploités le 26 septembre. Les credentials de Thalès sont rejetés, pas celui du partenaire. Il s’agissait de Login-mots de passe volés, qui donnaient accès aux données du partenaire, pas plus.

Conclusion

Ce n’était pas une véritable cyberattaque, mais cette alerte a mis en évidence l’importance d’une bonne gestion de communication de crise avec les média, les clients, les fournisseurs, les partenaires.

TOP

Une communication proactive et transparente

La seule solution qu’avait l’équipe de gestion de crise était de prévenir tous les acteurs de l’écosystème Thalès qu’une fuite de données avaient été déclarée par LockBit.

Mots d’ordre de la communication : TRANSPARENCE, INFORMATION REGULIERE, SERENITE, COHERENCE.

📩 Communication interne 📱

Thales a immédiatement informé ses employés en veillant à ne pas provoquer de panique. Les employés du groupe ont été maintenus régulièrement informés de l’évolution de la situation, avec un rappel des bonnes pratiques à appliquer.

La communication s’est faite par le biais de canaux internes sécurisés, contournant les systèmes potentiellement compromis ou vulnérables comme l’Email. L’équipe de communication de crise a notamment utilisé un intranet dédié ainsi que la suite Cybels, en particulier Cryptosmart, un outil de communication mobile sécurisé développé en partenariat avec Samsung pour assurer un cryptage des messages de niveau militaire. Thales a également déployé CipherTrust, une plateforme de sécurité des données qui crypte les données sensibles à la fois au repos et en transit, garantissant que les transferts de données internes restent protégés pendant la crise.

📢Communication externe 📰

Afin d’atténuer l’impact financier et l’impact sur la réputation, Thalès a rapidement communiqué auprès de toutes les parties prenantes. Investisseurs, actionnaires, clients, fournisseurs, etc. Ils ont reconnu les faits, précisant que l’intégrité de ses systèmes critiques n’avait pas été compromise, que les fonctions essentielles de l’infrastructure n’étaient pas touchées et que des mesures robustes étaient mises en œuvre pour prévenir de nouveaux incidents.

Autrement dit, ils déclenchaient des mini-crises, que les responsables de communication de crise devaient gérer.

La communication s’est faite via de multiples canaux.

• Communiqués de presse et interviews avec les médias (Le Monde, Le Figaro, Le Parisien et bien d’autres).
• Portails sécurisés pour les partenaires et les fournisseurs y ayant accès, permettant l’échange d’informations et de documents.
• Conférence Vidéo sécurisée et Emails/Messages cryptés par les solutions Cybels pour des communications personnalisées. Une sorte de Hotline pour répondre aux questions.

Résultat, la majorité des clients ont maintenu leur confiance auprès de Thalès. Aucun contrat n’a été dénoncé, aucune plainte déposée. Seul un client, informé par la presse, a exigé les IOC – Indicators of Compromissions – alors que Thalès n’en avait pas trouvé. Stéphane Lenco a communiqué ce qu’il avait entre les mains et le problème s’est arrêté là.

Certains fournisseurs ont suspendu des SLAs sans prévenir et sans aucun moyen d’être joints pour protéger ses infrastructures.

TOP

Découvrez l’expertise Oz’n’gO Expertise en

UNE PREPARATION A PLUSIEURS NIVEAUX

Stéphane Lenco, CISO de Thalès avait pris la précaution de mettre en place un an plus tôt un plan de crise en place avec des procédures d’incident response bien définies et une structure d’escalation, basé sur l’analyse des cyber menaces potentielles. La constitution de la cellule de crise a été rapide avec une liste de profils parfaitement identifiés et sélectionnés.

Une équipe dédiée

Mise en place d’une cellule de communication de crise, composé de membres des départements cruciaux de l’entreprise, qui ont travaillé avec des experts internes en cybersécurité.

Objectifs & Responsabilités :

• Augmenter la sécurité des systèmes face à la menace
• Mettre en place des protocoles de communication adaptés et efficaces
• Préparer les outils de communication interne et externe
• Améliorer les processus internes d’information et de communication auprès de toutes les parties prenantes

Au moment de la crise LockBit, les objectifs étaient de :

1. s’assurer que toutes les procédures étaient activées et dûment respectées
2. vérifier la source potentielle de la fuite d’informations et identifier le type d’informations qui a fuité
3. s’assurer d’avoir le maximum d’information, de ne passer à côté d’aucune information importante
4. répondre en temps et en heure aux questions potentielles, avec transparence et factuellement, afin d’éviter des rumeurs et de la désinformation qui aurait potentiellement entaché la réputation de l’entreprise

Formations proactives des employés

Sensibilisation

Autrement dit, formation à la cybersécurité. Type de cyberattaques. Bonnes pratiques. Conseils sur les protocoles de sécurité. Règles intérieures. Informations sur les lois, etc.

Simulations

La loi recommande de procéder à une simulation par an. N’est-ce pas le cas pour les exercices « incendie » ? Une simulation s’opère à partir de scénarios de crise clairement identifiés et définis. C’est ce qu’a fait Thalès

TOP

Besoin de préparer votre communication de crise ?

4 PUISSANTES RETOMBEES

1 – Cohésion & Fierté

En étant préparés et briefés, les employés ont réagi en totale cohésion, suivant les instructions scrupuleusement. Grâce à une information régulière sur l’évolution de la situation, ils se sont sentis valorisés et protégés par leur employeurs.

2 – Réputation & Loyauté

Par une communication régulière et transparente, les clients, fournisseurs et partenaires n’ont jamais perdu confiance en Thales, malgré leur peur que potentiellement leurs données soient rendues publiques. Cette confiance a consolidé leur loyaulté envers Thales.

3 – Conformité renforcée

Certains procédures cyber sont sujettes aux lois GDPR, DORA et NIS-2. Les autorités suisses imposent aux entre-prises de respecter la nLPD et déclarer une cyberattaque via la CSO.

4 – Image d’une vrai Leader

Thales a démontré le pouvoir d’une communication bien préparée pour surmonter une crise avec un impact modéré. Un exemple à suivre, non seulement dans son industrie par toutes les victimes potentielles d’une cyberattaque ou d’une crise.

TOP

6 LECONS A RETENIR

Bien sûr, toutes les entreprises n’ont pas les moyens techniques et financiers de Thalès mais de leur expérience, on peut en tirer quelques leçons à reprendre pour les PMEs, les mairies, les fiduciaires et experts comptables, les cliniques, etc.

1 – La transparence renforce la confiance

Être honnête dès le début, même avec de mauvaises nouvelles, aide à maintenir la confiance. Les organisations doivent reconnaître rapidement l’attaque et fournir régulièrement des mises à jour sur leurs efforts de réponse.

2 – Messages préparés à l’avance

Avoir des modèles de communication et des déclarations prêtes à l’emploi permet de répondre rapidement et d’éviter des retards qui pourraient nuire à la crédibilité. Une préparation en amont permet à l’équipe de crise de contrôler le récit plutôt que de réagir aux événements.

3 – Votre réputation est dans les mains de tous vos interlocuteurs

Engager à la fois les parties prenantes internes (comme les employés et la direction) et externes (clients, partenaires, public) est essentiel. Cette approche garantit que tout le monde reçoit le même message, évitant ainsi la propagation de fausses informations.

4 – Simuler la communication lors des exercices de crise

Les organisations doivent s’entraîner non seulement à la réponse technique à une cyberattaque, mais aussi à la manière dont leurs équipes de communication réagiront. En incluant la communication dans les exercices de simulation de crise, les équipes peuvent être mieux préparées aux scénarios réels.

5 – Une revue post-crise est vitale

L’analyse de ce qui a bien fonctionné ou non est cruciale pour la résilience, qu’il s’agisse d’évaluer l’efficacité de la communication, le temps de réponse ou l’efficacité des outils utilisés. Toute lacune dans le plan doit être documentée afin d’élaborer des mesures concrètes pour y remédier. Impliquer toutes les parties prenantes permet de mieux se préparer aux incidents futurs et de renforcer la confiance dans l’écosystème.

6 – Les Tierces Parties dans la boucle

Fournisseurs, partenaires et prestataires de services jouent souvent un rôle clé dans les opérations et peuvent contribuer à limiter l’impact d’un cyber-incident. Établissez des protocoles clairs pour les informer, en préci-sant comment et quand ils recevront les informations. En les incluant dans la boucle, vous renforcez la transparence, réduisez le risque de désinformation et vous assurez qu’ils sont en phase avec vos efforts.

TOP

#CyberSécurité #GestionDeCrise #Ransomware #Thales #Cybels #Cryptographie #Cryptosmart #CipherTrust #ConfianceNumérique #CyberPréparation

Cet article s’appuie sur des recherches en ligne et un podcast en français, où Stéphane Lenco, CISO de Thalès raconte son expérience.