Dans un monde ultra-connecté, les entreprises ont la capacité de mieux comprendre les consommateurs et de favoriser des interactions plus sophistiquées avec eux. Néanmoins, ces nouvelles technologies permettent également aux pirates informatiques de surenchérir avec des attaques toujours plus nuisibles. Il n’est plus possible d’ignorer l’ampleur de ce problème, qui ne fait que gagner en vitesse. Dernièrement, des brèches de données chez Equifax, Uber et, plus récemment, Nissan Canada, ont mis l’attention sur les entreprises et poussent les gouvernements à agir.
Il est normal que les consommateurs soient inquiets. Selon le « 2017 Authenticity Gap » de FleishmanHillard, près de 60 pourcent des Canadiens répondants sont d’accord pour dire que leur entreprise ne prend pas les menaces concernant la sécurité des données au sérieux et qu’elle n’investit pas suffisamment dans les TI pour pouvoir protéger contre les brèches de données.
Une faille dans la cybersécurité d’une entreprise peut être due à plusieurs facteurs : une attaque malveillante, des employés non-formés ou bien un système informatique obsolète. Les failles sont inévitables; la différence entre la sécurité et le danger réside souvent dans la rapidité avec laquelle vous réagissez.
Lisez l’article original ici.
Quelles sont les réelles implications pour la réputation d’une entreprise? La manière dont les entreprises communiquent avec les parties prenantes durant une brèche de données joue un rôle majeur dans la minimisation de l’impact que pourrait avoir un tel incident sur la confiance des consommateurs. Pour les professionnels en communication, cela revient à une planification exhaustive avant que votre entreprise ne soit prise pour cible par des pirates informatiques, afin de pouvoir assurer que les informations appropriées soient communiquées au public adéquat dans un laps de temps convenable.
Lorsqu’ils se préparent à une possible cyberattaque, les experts en communications doivent être conscients que le travail cloisonné n’est pas adapté et que la meilleure approche est la collaboration, avec nos collègues du département légal et des assurances.
J’ai discuté avec Imran Ahmad, un avocat spécialisé en cybersécurité travaillant à Toronto avec la firme Miller Thomson LLP, afin qu’il me partage ses perspectives sur la communication lors d’une brèche de données. « La chose la plus importante à communiquer pour une entreprise durant une brèche de données est que la situation est sous contrôle, et qu’elle suit des étapes définies afin de régler le problème, selon Ahmad. Le message ne peut pas être « Nous avons été victimes d’une brèche de données et nous vous recontacterons bientôt. » Il faut démontrer que l’on est en contrôle de la situation, que l’on travaille aux côtés de responsables de la réglementation et des autorités concernées, et que l’on a, avant tout, les intérêts de nos clients à cœur.»
Ahmad cite le piratage du système de paiement par carte crédit de Home Depot en 2014 comme étant exemplaire des bonnes pratiques de communications durant une crise de cybersécurité. À la suite de la brèche de données, Home Depot avait informé les commissaires à la protection de la vie privée adéquats à travers le Canada, émis des communiqués de presse et contacté 500 000 clients potentiellement affectés. L’entreprise s’était excusée pour la brèche, avait confirmé que des mesures avaient été prises pour régler le problème, avait informé les personnes touchées qu’elles n’auraient à payer pour aucune charge frauduleuse, et avait même offert un service gratuit de surveillance du crédit.
Bien qu’un recours collectif ait été approuvé, les dommages-intérêts punitifs ne furent pas adjugés au complet, en partie grâce à la manière dont Home Depot a géré la situation. Comme le juge Perell l’a expliqué lors de sa décision :
«Les vrais méchants de cette histoire sont les pirates informatiques, qui ont volé les données. Après la découverte de la brèche de données, il était impossible de le cacher et Home Depot a réagi en bon citoyen corporatif lors de sa réparation de la brèche de données. Rien n’indique qu’une modification du comportement était nécessaire ou méritée. Les dédommagements offerts volontairement par Home Depot à ses clients sont supérieurs à ceux obtenus lors des recours collectifs.»
L’exemple de Home Depot reste cependant une exception à la règle, explique Ahmad. Il suffit de regarder les cas récents de Uber et de Yahoo, dont la brèche de données de 2013 n’a pas été exposée complètement qu’en 2017. Cependant, en tentant de montrer aux consommateurs qu’ils sont proactifs et qu’ils prennent le contrôle sur la brèche, les entreprises peuvent par inadvertance se mettre dans une position légale précaire s’ils ne passent pas le temps nécessaire à s’assurer des conséquences pouvant découler de leur stratégie de communication.
«La plus grave erreur qu’une entreprise peut faire pendant une brèche de données, d’un point de vue légal, est d’assumer l’entière responsabilité de la faille de sécurité, explique Ahmad. Il est important de trouver l’équilibre et d’apaiser les clients tout en restant conscient des implications légales de responsabilité.»
Ahmad encourage les communicateurs, lorsque cela est approprié, à utiliser un langage conditionnel lors d’une crise, tel que «Nous déplorons cette brèche de données et prenons les mesures nécessaires pour assurer la protection des personnes touchées par la brèche et empêcher qu’ils le soient davantage.» Le conditionnel permet aux entreprises de protéger leur réputation car il permet d’exprimer leur empathie, de communiquer proactivement avec les parties prenantes et de minimiser les dommages potentiels associés au vol de données, tout en atténuant leur responsabilité potentielle.
« Souvent, le plus gros blocage à une communication efficace lors d’une brèche de données est la peur de l’inconnu, selon Ahmad. Les entreprises s’inquiètent de la manière dont le public percevra la brèche de données et des implications légales potentielles pouvant résulter de conversations avec les parties prenantes. Cependant, à l’aube des nouvelles réglementations fédérales qui exigent que les entreprises déclarent leurs brèches de données sous peine de payer des amendes, les entreprises doivent travailler à surpasser leurs inquiétudes. »
«Cette nouvelle obligation légale de déclarer les brèches de données, passible d’une amende en cas de non-respect, est un pas dans la bonne direction pour la protection des clients et forcera les entreprises à favoriser le dialogue avec les parties prenantes, dit Amhad. »
«Les organisations qui sont prêtes à affronter une situation de crise et qui ont développé un message répondant aux craintes de leurs diverses parties prenantes, qu’il s’agisse de leurs clients, de leurs employés, de leurs fournisseurs ou de leurs actionnaires, seront plus à même de minimiser les dommages du point de vue légal et de la réputation.»
Leslie Walsh est première vice-présidente de la pratique de réputation chez FleishmanHillard HighRoad Toronto. Vous pouvez la rejoindre au leslie.walsh@fleishman.ca.
Dans un monde ultra-connecté, les entreprises ont la capacité de mieux comprendre les consommateurs et de favoriser des interactions plus sophistiquées avec eux. Néanmoins, ces nouvelles technologies permettent également aux pirates informatiques de surenchérir avec des attaques toujours plus nuisibles. Il n’est plus possible d’ignorer l’ampleur de ce problème, qui ne fait que gagner en vitesse. Dernièrement, des brèches de données chez Equifax, Uber et, plus récemment, Nissan Canada, ont mis l’attention sur les entreprises et poussent les gouvernements à agir.
Il est normal que les consommateurs soient inquiets. Selon le « 2017 Authenticity Gap » de FleishmanHillard, près de 60 pourcent des Canadiens répondants sont d’accord pour dire que leur entreprise ne prend pas les menaces concernant la sécurité des données au sérieux et qu’elle n’investit pas suffisamment dans les TI pour pouvoir protéger contre les brèches de données.
Une faille dans la cybersécurité d’une entreprise peut être due à plusieurs facteurs : une attaque malveillante, des employés non-formés ou bien un système informatique obsolète. Les failles sont inévitables; la différence entre la sécurité et le danger réside souvent dans la rapidité avec laquelle vous réagissez.
Lisez l’article original ici.
Quelles sont les réelles implications pour la réputation d’une entreprise? La manière dont les entreprises communiquent avec les parties prenantes durant une brèche de données joue un rôle majeur dans la minimisation de l’impact que pourrait avoir un tel incident sur la confiance des consommateurs. Pour les professionnels en communication, cela revient à une planification exhaustive avant que votre entreprise ne soit prise pour cible par des pirates informatiques, afin de pouvoir assurer que les informations appropriées soient communiquées au public adéquat dans un laps de temps convenable.
Lorsqu’ils se préparent à une possible cyberattaque, les experts en communications doivent être conscients que le travail cloisonné n’est pas adapté et que la meilleure approche est la collaboration, avec nos collègues du département légal et des assurances.
J’ai discuté avec Imran Ahmad, un avocat spécialisé en cybersécurité travaillant à Toronto avec la firme Miller Thomson LLP, afin qu’il me partage ses perspectives sur la communication lors d’une brèche de données. « La chose la plus importante à communiquer pour une entreprise durant une brèche de données est que la situation est sous contrôle, et qu’elle suit des étapes définies afin de régler le problème, selon Ahmad. Le message ne peut pas être « Nous avons été victimes d’une brèche de données et nous vous recontacterons bientôt. » Il faut démontrer que l’on est en contrôle de la situation, que l’on travaille aux côtés de responsables de la réglementation et des autorités concernées, et que l’on a, avant tout, les intérêts de nos clients à cœur.»
Ahmad cite le piratage du système de paiement par carte crédit de Home Depot en 2014 comme étant exemplaire des bonnes pratiques de communications durant une crise de cybersécurité. À la suite de la brèche de données, Home Depot avait informé les commissaires à la protection de la vie privée adéquats à travers le Canada, émis des communiqués de presse et contacté 500 000 clients potentiellement affectés. L’entreprise s’était excusée pour la brèche, avait confirmé que des mesures avaient été prises pour régler le problème, avait informé les personnes touchées qu’elles n’auraient à payer pour aucune charge frauduleuse, et avait même offert un service gratuit de surveillance du crédit.
Bien qu’un recours collectif ait été approuvé, les dommages-intérêts punitifs ne furent pas adjugés au complet, en partie grâce à la manière dont Home Depot a géré la situation. Comme le juge Perell l’a expliqué lors de sa décision :
«Les vrais méchants de cette histoire sont les pirates informatiques, qui ont volé les données. Après la découverte de la brèche de données, il était impossible de le cacher et Home Depot a réagi en bon citoyen corporatif lors de sa réparation de la brèche de données. Rien n’indique qu’une modification du comportement était nécessaire ou méritée. Les dédommagements offerts volontairement par Home Depot à ses clients sont supérieurs à ceux obtenus lors des recours collectifs.»
L’exemple de Home Depot reste cependant une exception à la règle, explique Ahmad. Il suffit de regarder les cas récents de Uber et de Yahoo, dont la brèche de données de 2013 n’a pas été exposée complètement qu’en 2017. Cependant, en tentant de montrer aux consommateurs qu’ils sont proactifs et qu’ils prennent le contrôle sur la brèche, les entreprises peuvent par inadvertance se mettre dans une position légale précaire s’ils ne passent pas le temps nécessaire à s’assurer des conséquences pouvant découler de leur stratégie de communication.
«La plus grave erreur qu’une entreprise peut faire pendant une brèche de données, d’un point de vue légal, est d’assumer l’entière responsabilité de la faille de sécurité, explique Ahmad. Il est important de trouver l’équilibre et d’apaiser les clients tout en restant conscient des implications légales de responsabilité.»
Ahmad encourage les communicateurs, lorsque cela est approprié, à utiliser un langage conditionnel lors d’une crise, tel que «Nous déplorons cette brèche de données et prenons les mesures nécessaires pour assurer la protection des personnes touchées par la brèche et empêcher qu’ils le soient davantage.» Le conditionnel permet aux entreprises de protéger leur réputation car il permet d’exprimer leur empathie, de communiquer proactivement avec les parties prenantes et de minimiser les dommages potentiels associés au vol de données, tout en atténuant leur responsabilité potentielle.
« Souvent, le plus gros blocage à une communication efficace lors d’une brèche de données est la peur de l’inconnu, selon Ahmad. Les entreprises s’inquiètent de la manière dont le public percevra la brèche de données et des implications légales potentielles pouvant résulter de conversations avec les parties prenantes. Cependant, à l’aube des nouvelles réglementations fédérales qui exigent que les entreprises déclarent leurs brèches de données sous peine de payer des amendes, les entreprises doivent travailler à surpasser leurs inquiétudes. »
«Cette nouvelle obligation légale de déclarer les brèches de données, passible d’une amende en cas de non-respect, est un pas dans la bonne direction pour la protection des clients et forcera les entreprises à favoriser le dialogue avec les parties prenantes, dit Amhad. »
«Les organisations qui sont prêtes à affronter une situation de crise et qui ont développé un message répondant aux craintes de leurs diverses parties prenantes, qu’il s’agisse de leurs clients, de leurs employés, de leurs fournisseurs ou de leurs actionnaires, seront plus à même de minimiser les dommages du point de vue légal et de la réputation.»
Leslie Walsh est première vice-présidente de la pratique de réputation chez FleishmanHillard HighRoad Toronto. Vous pouvez la rejoindre au leslie.walsh@fleishman.ca.