Les cyberattaques continuent de se multiplier, à mesure que les entreprises numérisent leurs activités et leurs systèmes. Les attaques sophistiquées telles que les fuites de données, les chevaux de Troie, le phishing, les ransomwares et le détournement de courriers électroniques professionnels sont généralement laissées entre les mains des départements des technologies de l’information (IT) ou de la cybersécurité dans de nombreuses organisations. Bien que les professionnels des relations publiques (RP) ne jouent pas nécessairement un rôle actif dans la prévention des cyberattaques, ils peuvent contribuer à renforcer la cybersécurité globale d’une organisation.
Le coût d’une attaque sur une entreprise est double : il est à la fois quantifiable et non quantifiable. Les coûts quantifiables incluent le paiement d’amendes et la restructuration de l’infrastructure informatique, tandis que les coûts non quantifiables incluent la perte de secrets industriels essentiels et une atteinte à la réputation de l’entreprise. Comme on l’a vu récemment, de grandes entreprises telles que BET9ja au Nigéria et TransUnion en Afrique du Sud ont lutté contre des attaques de cybersécurité dans le cadre d’extorsions.
Selon McAfee, la cybercriminalité a coûté à l’économie mondiale 1 000 milliards de dollars en 2020, un montant qui, selon Cybersecurity Ventures, devrait passer à 10 500 milliards de dollars en 2025. Avec des chiffres aussi alarmants, la plupart des entreprises peuvent trouver stratégique d’impliquer la fonction RP dans leur approche de gestion des cyber risques. Cette démarche est tout à fait indiquée avant et après une attaque, tout autant que pendant celle-ci.
Les professionnels des relations publiques, qui sont les garants naturels de la diffusion de l’information d’une organisation, jouent un rôle essentiel dans la gestion des coûts non quantifiables des cyber-attaques. Au sein d’une organisation, les RP facilitent la communication d’un grand nombre d’informations avec les parties prenantes.
Les technologies avancées dont nous bénéficions aujourd’hui rendent la vie quotidienne plus interconnectée et les terminaux renferment beaucoup d’informations confidentielles. Il est donc devenu crucial pour le service des relations publiques de sensibiliser le public à la cybersécurité, car elle affecte directement l’entreprise et, par extension, la vie privée des personnes qui y sont rattachées. Les RP pourront faire ce qui suit pour aider à gérer les cyberattaques :
- Comprendre la manière dont une cyber-attaque peut nuire à la réputation d’une organisation – le service des relations publiques est chargé de préserver et de développer la réputation d’une entreprise. Une seule cyber-attaque peut réduire à néant des années de travail ardu pour construire l’image d’une entreprise. Il est donc important de s’assurer que les parties prenantes comprennent clairement que même une simple information entre les mains de pirates informatiques peut ruiner irrémédiablement une marque aux yeux de ses différentes parties prenantes.
- Sensibiliser aux conséquences des attaques – le service des relations publiques comprend les répercussions potentielles des cyber-attaques sur la réputation de l’entreprise. En collaboration avec le responsable de la sécurité de l’information, il peut transmettre ces connaissances sur la cybersécurité à l’ensemble de l’entreprise. Il peut sensibiliser les employés, les fournisseurs et d’autres personnes aux méthodes d’attaque, les aider à trouver et à ne pas cliquer sur les liens dans les courriels ou les messages non sollicités ainsi que sur les pièces jointes suspectes, ce qui peut contribuer à minimiser de manière proactive les attaques potentielles.
- Une liste de référence intégrée sur les menaces en matière de cybersécurité – Ce document fournirait des informations en temps réel sur les attaques potentielles. L’élaboration de cette liste de référence nécessite une collaboration entre le service des relations publiques et le service informatique.
Après une cyber-attaque, les RP communiquent généralement l’incident aux parties prenantes de l’organisation. La tâche immédiate après une attaque est généralement l’activation d’une cellule de crise pour travailler avec les fonctions opérationnelles telles que les services juridiques et informatiques afin de garantir un compte rendu correct. La communication après une attaque est essentielle pour apaiser les craintes qu’une entreprise puisse cacher la gravité de l’attaque. Voici également quelques actions post-attaque que les professionnels des relations publiques au sein d’une organisation peuvent entreprendre :
- Gestion de la réputation par les réseaux sociaux – les réseaux sociaux sont un outil rapide et puissant que les RP peuvent utiliser pour entrer en contact avec les usagers et les clients. Les plateformes de ces médias peuvent être utilisées pour informer et rassurer les parties prenantes qu’une situation est sous contrôle.
- Création d’une foire aux questions (FAQ) sur l’incidence – Lorsqu’une attaque se produit, les parties internes et externes ont des questions. Ces questions portent sur la façon dont une attaque s’est produite, le moment où elle s’est produite, la façon dont elle affecte les clients ou les consommateurs, ainsi que sur ce que l’organisation fait pour éviter qu’une attaque similaire ne se reproduise. Au lieu de laisser les médias et d’autres organes d’information contrôler le récit d’une attaque, les RP peuvent publier une FAQ (foire aux questions) mise à jour régulièrement pour répondre à toutes les questions urgentes sur l’attaque.
- Publication de guides de communication des incidents à l’échelle de l’organisation – Après une attaque, les membres internes d’une organisation peuvent vouloir parler de l’incident de cyberattaque aux journalistes et aux clients ou partager des informations sur les médias sociaux. Pour contrôler le récit, les responsables des relations publiques peuvent trouver utile de rédiger des consignes de communication des incidents et de les publier, afin de s’assurer que toutes les informations sur l’attaque proviennent d’une seule source et qu’elles sont diffusées correctement.
- Effectuer une analyse, une évaluation et un bilan de réputation après l’incident – une cyber-attaque affecte la réputation d’une entreprise. Les RP doivent analyser la gravité de l’incident, évaluer l’impact et revoir la réputation de l’entreprise. L’analyse post-incident implique également la création d’un plan de restauration pour gérer les répercussions sur la réputation, regagner la confiance et rétablir la crédibilité auprès des principales parties prenantes.
Les RP doivent faire preuve d’une grande prudence lorsqu’elles répondent à des incidents liés à la cybersécurité pendant et après une attaque. Le service informatique peut être à l’avant-garde des cyberattaques, mais les RP disposent de moyens de communication efficaces. Il est donc nécessaire que les services informatiques et les services de relations publiques s’associent pour élaborer des plans de cybersécurité. Un partenariat entre le département informatique et les RP permet aux deux fonctions de créer des plans de cybersécurité solides, crédibles et résilients.
À propos de Lerato Mpholo, MPRCA
Lerato est consultante senior en communication chez Opinion & Public BCW et membre du groupe PRCA Africa NextGen. Elle soutient un ensemble de multinationales en Afrique francophone en délivrant des services de communication d’entreprise. Elle a plus de dix ans d’expérience dans le secteur des relations publiques et de la communication en Afrique du Sud, au Kenya, au Ghana et au Nigeria, et s’intéresse particulièrement à la technologie.
