es Español

Cyber-risques réputationnels: prêts pour l'hyper-transparence?

"Les carences en matière de cybersécurité sont toujours alarmantes, en particulier dans les petites et moyennes entreprises, qui constituent la majorité de notre tissu économique"
Partager sur Twitter
Comparer en linkedin
Partager sur Facebook
Comparer en email

En ce moment même, des millions de tentatives de cyberattaques ont lieu contre des entreprises et des institutions du monde entier. Certains d'entre eux sont conscients, préparés et prêts à se défendre. Beaucoup d'autres le feront trop tard, lorsque leurs systèmes auront été compromis, les données détournées et les activités paralysées. 

Les carences en matière de cybersécurité sont toujours alarmantes, en particulier dans les moyennes et petites entreprises qui constituent la majorité de notre tissu économique. Mais encore plus peut être le manque de préparation des organisations à communiquer les causes et les effets de ces risques à leurs différentes parties prenantes (clients, employés, fournisseurs, actionnaires ...). 

Jusque récemment, déficiences de communication ils étaient plus ou moins considérables; Mais deux circonstances renforcent sa pertinence en ces temps: premièrement, l'augmentation et l'impact sur l'opinion publique des cyberattaques dans un contexte d'accélération numérique due à la pandémie; et deuxièmement, une demande croissante de transparence dans la nouvelle génération de réglementations sur la gestion de ces cyber-crises.

Ce n'est que ces dernières semaines que nous avons tous pu lire des informations sur des cyberattaques contre des entreprises et des institutions comme celles-ci: «L'un des plus gros oléoducs des États-Unis suspend ses opérations après avoir subi une cyberattaque»; "Glovo subit un" piratage "qui expose les données des clients et distributeurs en Espagne"; "Une vague de cyberattaques détruit les sites Web de l'INE, de la Justice, de l'Economie et d'autres ministères"; "Cyberattaque et chantage à Phone House: ils volent et diffusent les données de 3 millions de clients." 

L'impact de cette communication est énorme, avec des effets sur la continuité des affaires et l'activité à court terme; mais aussi, avec des conséquences à moyen terme réputation des organisations et de leurs dirigeants, qui seront appréciés pour ce qu'ils font et disent (ou ne font pas ou ne disent pas) avant, pendant et après la cyberattaque. 

Voilà ce que sont les cyberrisques de réputation. Ce sont des jugements collectifs sur le comportement des entreprises et des responsables de situations qui menacent des actifs précieux pour leurs parties prenantes. Évaluations sur la transparence, l'intégrité ou la contribution des décisions prises et exécutées (ou non) par les citoyens, les autorités, les clients ou les collaborateurs. Et cela peut générer des attitudes de soutien ou de rejet dans les organisations à l'égard de leur durabilité ou de leur autorisation sociale de fonctionner.

D'un point de vue réputationnel, nous pouvons classer les événements de cybersécurité en cinq dimensions qui peuvent mettre en péril l'évaluation favorable d'une organisation, selon le modèle de réputation Pertinence de la réputation par LLYC.

  • Dimension de l'image: Les cyber-risques de réputation peuvent contredire les attentes émotionnelles ou ambitieuses des parties prenantes, ce qui les amène à susciter des sentiments négatifs sur l'entreprise et ses marques.

Dans cette dimension, nous pouvons trouver les incidents de cybersécurité qui sont basés sur l'usurpation d'identité numérique des dirigeants de l'entreprise (comme les «deepfakes»), ainsi que les utilisations non autorisées des marques d'une organisation qui les relient à des messages offensants ou à des actions péjoratives pour vos clients, employés, fournisseurs et investisseurs. 

  • Dimension de crédibilité: Les cyberattaques peuvent affecter les attentes pragmatiques des parties prenantes, empêchant l'entreprise de tenir sa promesse de valeur et les rendant insatisfaites des services et produits fournis.

Voici des événements tels que les attaques par déni de service (DoS) ou les ransomwares, qui empêchent l'accès aux pages Web, aux e-mails et aux systèmes informatiques nécessaires aux employés pour gérer et aux clients pour recevoir des services et des produits.

  • Dimension de transparence: Les événements de cybersécurité peuvent également compromettre les attentes relationnelles des parties prenantes lorsqu'elles perçoivent que l'entreprise les induit en erreur sur ce qui s'est passé ou qu'elles ne fournissent pas suffisamment d'informations.

Il s'agit sans aucun doute de l'un des plus grands risques de réputation qui peuvent être encourus lors d'une cyberattaque. La tentation de cacher les faits peut être forte quand on pense qu’ils n’ont pas encore été rendus publics, et plus encore, en cas de risque de fuite d’informations avec des données personnelles. 

Pour cette raison, dans ce dernier cas, la législation espagnole oblige à notifier l'incident à l'Agence espagnole de protection des données, aux autorités compétentes ou aux organes équivalents, et aux personnes dont les données ont été affectées afin qu'elles puissent prendre les mesures appropriées dans un délai maximum. de 72 heures à compter de sa connaissance.

  • Dimension d'intégrité: Le comportement de l'entreprise face à une cyber-crise peut contrevenir aux attentes éthiques des groupes d'intérêt lorsqu'ils soupçonnent qu'elle n'agit pas de manière exemplaire ou avec l'honnêteté voulue.

Dans cette classification peuvent entrer les actions d '«ingénierie sociale» qui utilisent les identités ou les marques d'une entreprise pour capturer des données de manière frauduleuse (phishing). Et aussi, tous ces actes de harcèlement et d'extorsion qui utilisent de faux profils de l'organisation pour menacer des informations nuisibles. Lorsque l'entreprise ne divulgue pas et ne signale pas rapidement ces pratiques, elle encourage un comportement illicite et malhonnête de la part de l'entreprise qui peut finir par ternir sa propre réputation.

  • Dimension de contribution: Enfin, les événements critiques de cybersécurité peuvent saper les attentes sociales des parties prenantes s'ils remettent en question la contribution positive de l'entreprise à l'amélioration de la société.

Dans cette catégorie, nous pouvons trouver des incidents liés au hacktivisme, qui utilise divers types de cyberattaques pour attirer et mobiliser des adeptes de certaines causes politiques, sociales, environnementales ou professionnelles.

Dans cette logique de réputation s'inscrit, par exemple, le débat sur le paiement de rançons aux cybercriminels pour récupérer des données ou des systèmes détournés. Quelle prime de plus: attentes pragmatiques de personnes, en tant qu'utilisateurs, ou attentes éthiques, en tant que citoyens? Quel est l'impact de ce risque sur durabilité de l'entreprise? Telles sont les questions auxquelles répond une stratégie de réponse aux cyberrisques de réputation. Des enjeux pertinents qui ont conduit, par exemple, AXA France à supprimer de sa couverture cyberassurance les renflouements ransomware, après un débat approfondi sur la question au Sénat de ce pays.

Peut-être à cause de tout cela, les juristes espèrent que la nouvelle réglementation suivra Régulation DORA de la résilience opérationnelle numérique pour le secteur financier, dans laquelle ces entreprises sont expressément tenues de définir «une stratégie de communication en cas d'incidents liés aux TIC». 

Peut-être, aussi, est-il apprécié que le communication transparente elle peut constituer une solution opportune à la fois pour éviter ces risques, avec une plus grande sensibilisation des employés et des utilisateurs, et pour atténuer leur impact et leur probabilité d'occurrence, en sanctionnant socialement plus sévèrement les cybercriminels. Dans les deux cas, il faudra se préparer, plus et mieux.

Ivan Pino

Associé et directeur principal des risques et des crises, LLYC

Article initialement publié dans le Blog Fide dans le avecfideinitiale

Si l'article vous a intéressé,

Nous vous invitons à le partager sur les réseaux sociaux

Partager sur Twitter
Twitter
Comparer en linkedin
LinkedIn
Partager sur Facebook
Facebook
Comparer en email
Email

Laisser un commentaire

Ce site utilise Akismet pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.

Contact

Remplissez le formulaire et une personne de notre équipe vous contactera sous peu.