BFM Business

Piratage: Bouygues Construction opte pour une communication minimale, le bon choix?

-

- - -

Comme d'autres entreprises françaises, le groupe commente a minima la cyber-attaque qu'il a subie. Un choix contestable selon le Clusif, le club de la sécurité de l'information français.

En dire le moins possible. Tel est le choix de Bouygues Construction depuis que la cyber-attaque dont il est victime a été rendue publique jeudi dernier par Le Parisien. Pour rappel, le groupe a vu son système informatique attaqué et paralysé et des données internes auraient été détournées. 

Car si Bouygues Construction a reconnu l'attaque, le groupe refuse par exemple de commenter l'existence d'une très probable demande de rançon transmise par les pirates à la direction du groupe pour débloquer le système et la fuite de données. 

Il ne commente pas non plus les affirmations d'un groupe de pirates ce lundi menaçant de publier certains documents qu'il prétend avoir volés.

Ce type de communication a minima pose question. Selon le dernier panorama de la cybercriminalité (Panocrim) réalisé par le Clusif, le club de la sécurité de l'information français, "en France, un constat, les organismes souhaitent rester discrets et limiter la communication externe". Leur communication se décline principalement en deux axes: "silence et/ou discrétion".

Une discrétion bien française

Seule exception à cette règle: les attaques qui ont pour conséquence le vol de données clients-utilisateurs. Dans ce cas, les entreprises victimes ont l'obligation légale de communiquer sur ce point.

Les experts égrainent dans leur panorama les exemples de communication des entreprises massivement attaquées. Fleury Michon en avril 2019 qui a choisi le silence radio, communication limitée à la suite de l'attaque d'Urofins (juin 2019), ou encore deux communiqués de presse et une conférence 12 mois après l'attaque contre Altran (janvier 2019)...

Si en France, on préfère donc rester discret, le Clusif met en avant la "transparence" d'entités européennes ou américaines. Ainsi, l'attaque contre le norvégien Norsk Hydro a donné lieu à une "volonté de transparence avec une communication ouverte et un souhait d’informer la communauté". L'entreprise a d'ailleurs reçu le prix de la transparence de l’Association norvégienne de la communication. De son côté, la ville de la Nouvelle Orléans, victime d’une cyberattaque, déclare carrément l’état d’urgence, et choisit les réseaux sociaux pour communiquer massivement auprès des habitants.

Pour les experts du Clusif, la transparence et la communication sont essentielles. "Pour rassurer les collaborateurs, pour mobiliser les équipes, pour maintenir la confiance (des collaborateurs, des partenaires), pour rassurer les investisseurs, les fournisseurs, pour être transparent et faire taire la rumeur, lutter contre les 'fake news', pour partager les actions mises en oeuvre (dépôt de plainte, plan d’actions, etc.)".

Comment communiquer et vers qui, selon le Clusif?

Elle doit s'exercer auprès d'une cible très large: "les collaborateurs, les clients, les fournisseurs, les investisseurs", mais aussi "le grand public, et les assureurs". Et de distiller quelques conseils bons à garder en tête lorsqu'on est un dirigeant. "Une stratégie de communication de crise doit être mise en place et ne s’improvise pas", soulignent-t-ils. 

- En amont, et à titre préventif: prévoir un plan de communication de crise, réaliser des simulations ou des exercices de gestion de crise incluant la phase de communication.

- Pendant la crise: mise en place du plan de communication (en interne et/ou en externe, fréquence de communication, cibles des communications), réaliser une veille.

- Post crise: faire un "RETEX" (retour d'expérience), mettre en oeuvre les actions correctrices nécessaires et, le cas échéant, modifier le plan de communication de crise.

Rappelons que l'Observatoire de la sécurité des systèmes d'information et des réseaux (Ossir) et le Clusif viennent de publier un livre blanc afin de sensibiliser les dirigeants d'entreprise à la cybersécurité.

Olivier Chicheportiche