Un cadre de communication post incidents de cybersécurité d’entreprise efficace

Les incidents de cybersécurité peuvent amener diverses conséquences importantes sur une compagnie victime. Ces conséquences peuvent ensuite engendrer d’autres effets néfastes, comme nuire à la réputation de l’entreprise et ainsi causer la perte de clients ou de partenaires d’affaires. La hausse grandissante de cas répertorié de cyber incidents amène les experts à vouloir agir en amont en priorisant les ressources mises à disposition pour éviter que ces incidents se produisent. Par exemple, en engageant des spécialistes de cybersécurité, en établissement des plans de formations aux employées, en se tenant au courant des dernières technologies en matière de protection, etc. Cependant, plusieurs entreprises ne sont pas bien préparées pour réparer les dégâts. En situation de crise, il devient bien souvent encore plus compliqué de bien gérer la situation à l’intérieur de la compagnie, mais aussi avec les clients ou partenaires d’affaires.

Dans l’objectif d’améliorer la compréhension de ce en quoi consiste une bonne et une mauvaise communication externe post incident, les chercheurs Knight et Nurse (2020), ont fait une revue de littérature sur des travaux universitaires et rapports de spécialistes en cybersécurité sur le sujet. Précisément, ils visent à créer, évaluer et perfectionner un cadre, servant de modèle, pour aider les organisations victimes dans leur démarche de communication après un incident.

Pour ce faire, les chercheurs ont compilé des milliers d’articles scientifiques (n = 3516) et des études de cas réels dans l’objectif de joindre le milieu pratique au milieu académique. Ensuite, ils ont évalué les articles recensés et les études afin d’en déduire les meilleures pratiques pour répondre à l’objectif de cette recherche.

Les auteurs ont finalement complété deux modèles qu’ils considèrent comme étant le mieux adaptés pour les organisations victimes de cyber incidents de sécurité. La différence entre les deux modèles est l’accent mis par l’organisation soit : a) se concentrer sur les décisions à prendre b) se concentrer sur la façon de gérer le message de violation de données transmis aux victimes collatérales. Ces deux modèles sont ensuite regroupés dans un grand modèle rassemblant leur résultat en termes de préventions et préparations à faire avant même que les incidents se produisent.

Cette étude est pertinente autant pour les chercheurs en cybersécurité que ceux qui travaillent dans le domaine pratique. Ce modèle, perfectionné à l’aide de milliers d’études, peut aider les organisations à établir un plan efficace post incident, ou améliorer celui déjà en place. Une des forces de ce modèle est qu’il a été créé à l’aide de données empiriques, mais aussi de cas concrets venant d’experts et spécialistes en cybersécurité.

Pour citer: Knight, R., Nurse, J. (2020). A framework for effective corporate communication after cyber security incidents. Computers & Security, 99.