Répondre aux cyberattaques : la dimension culturelle

Votre entreprise et ses systèmes ont été piratés. Les téléphones sonnent à plein régime, le trafic de votre site Web explose et vos boîtes email sont pleines à craquer.

Les données confidentielles et financières de vos employés et de vos clients sont exposées.

Il est impossible de déterminer l’origine du piratage, mais les implications sont sûrement mondiales étant donné la diversité de votre clientèle.

À cause des différents fuseaux horaires, l’incident s’est répandu en Asie avant que les employés soient arrivés au siège social de Boston. L’infraction a eu un impact négatif sur les marchés boursiers asiatiques.

Il y a dix ans de cela, cela ressemblait à la description des dix premières minute d’un film, mais à l’ère de la technologie sans frontières et des centres de données aux quatre coins du monde, ces situations sont devenues bien réelles.

« La culture mange la stratégie au petit-déjeuner »

De nombreux articles soulignent l’importance du rôle du Chief Security Officer (le RSSI en français) dans la gestion et la prévention d’une cyber-attaque. Il sensibilise les employés sur la sécurité globale de l’entreprise et il est le bâtisseur d’une culture de sécurité « zéro confiance ».

Nos équipes de cybersécurité ont un jour réalisé une attaque de phishing pour simplement identifier les réponses des collaborateurs. Ces exercices de formation ne sont pas infaillibles, mais ils permettent de sensibiliser les employés au risque d’ouvrir des emails frauduleux et aussi de rappeler que les mots de passe ne s’écrivent pas négligemment sur des post-it.

Si toutes les entreprises s’accordent sur l’importance cruciale de la formation préventive aux failles de sécurité, nombre d’entre elles ignorent ou minimisent les volets « pendant » et « après » de ces programmes de formation.

Prévenir est important, mais savoir réagir l’est tout autant. On ne saurait d’ailleurs que trop rappeler l’importance de coordonner l’intervention au niveau mondial, quand l’entreprise est exposée à un tel risque.

Plus facile à dire qu’à faire, car en la matière beaucoup d’entreprises se targuent d’avoir une culture internationale, mais en situation de crise, le contenu de la brochure RH et la réalité du terrain ne coïncident pas forcément.

Pour certaines cultures, « le silence est d’or ». Dans une salle de conférence japonaise, par exemple il n’est pas rare que le directeur général se taise.. Pour un Japonais, cette forme de communication non verbale signifie « Je réfléchis »,  tandis que pour un Américain, ces minutes de silence se font éternelles et sont une véritable torture. A l’inverse, dans de nombreuses culturels, la communication circule très rapidement entre les citoyens et les employés, que ce soit de façon formelle ou informelle.

La gestion des relations médias est un autre exemple de différence culturelle. D’un pays à l’autre, la relation aux journalistes peut être très différente. Pour autant, comme une cyberattaque a souvent des répercussions mondiales, tous les employés doivent être préparés à répondre à des organes de presse dont le fonctionnement est différent de ceux avec lesquels ils ont l’habitude de travailler

Faux aux défis posés par une coordination mondiale, les responsables de communication devront adopter une approche équilibrée (« Châssis global, carrosserie locale »).

La structure est invariable à l’échelle mondiale, mais elle laisse de la flexibilité dans chaque pays.

Établir des pratiques de sensibilisation exemplaires

Dans une stratégie globale, certains éléments de communication doivent rester stricts et normalisés quel que soit le pays. Il peut s’agir d’une déclaration du chef de la direction sur la sensibilité l’entreprise face à l’anxiété des clients et sur les efforts entrepris pour en identifier la cause et minimiser les dommages. Tous les membres de l’organisation du siège, du comité de direction au réceptionniste doivent être formés à ces scénarios.

Des stratégies de réponse aux violations propres à chaque pays doivent être déployées et tenir compte de la façon dont les communications sont envoyées et traitées par les institutions et les clients.

En cas d’atteinte à la vie privée, chaque employé doit être conscient de l’effet papillon que peut avoir les communications. Les déclarations dans un petit bureau à Singapour peuvent apparaître dans The Economist.

Cet exercice d’équilibre permettra aux stratégies locales de tenir compte des nuances culturelles.

Les principes clés en cas d’attaque sont les même que dans une catastrophe naturelle. Tout comme elle réalise des alertes incendies, l’entreprise doit organiser des “cyber-entraînements”.

Lorsqu’une infraction se produit, la chaîne de commandement mondiale doit être claire. Beaucoup d’organisations embauchent d’anciens officiers militaires pour ces postes, non pas pour leurs connaissances de la défense, mais pour leurs expériences dans la mise en place de chaînes de commandement.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: