Sergey Nivens-Adobe Stock

Secu

CISO et direction de la communication : un dialogue maîtrisé

Par CESIN, publié le 21 mai 2018

Une des principales compétences du CISO est de savoir communiquer pour expliquer les enjeux de la protection de l’information à tous les salariés. L’aide du responsable de la communication est alors nécessaire pour s’assurer d’une part, que cette communication est conforme à la politique de communication de l’entreprise, et d’autre part, que la culture et les valeurs de celle-ci soient respectées.

La communication est un art difficile et très puissant. Une erreur de contenu ou de forme peut être contre-productif. Certains considèrent que la communication est l’arme ultime[1]. En effet, elle ne nécessite pas ou peu d’infrastructure et donc utilisable par tout le monde ; à l’opposé des armes à poudre et des armes léthales nécessitent des technologies complexes. De plus, elle bénéficie de la puissance d’Internet qui décuple son efficacité ! Les récents événements autour des élections dans différents pays montrent qu’elle est utilisée au niveau international avec efficacité[2].

Cette « arme » ou technique de communication doit être maitrisée par le CISO qui pourra s’appuyer sur un responsable ou une Direction de la Communication en interne lorsque l’entreprise en est dotée. La communication est customisée en fonction du contexte de l’entreprise pour atteindre sa cible et n’apporter que de l’information attendue sans éveiller d’autre réaction non souhaitée. C’est l’un des bénéfices d’une très bonne coopération avec le responsable de la communication qui donnera d’une part, les habitudes de la communication interne et d’autre part, la culture de l’entreprise. Ces deux clefs permettront de définir des types de communication pour éviter dans l’urgence d’envoyer un message mal préparé.

Préparer la communication de crise

Ainsi, par exemple, il arrive que dans le cas d’une attaque virale réussie qui n’aura pas pu être arrêtée par l’équipe infrastructure de l’entreprise, le CISO soit amené à faire une communication urgente vers tous les employés. Pour cela, il lui est nécessaire d’avoir anticipé ce cas pour être en mesure d’obtenir rapidement l’accord du responsable de la communication en s’appuyant sur des messages types afin de s’assurer de la cohérence avec la culture de l’entreprise et les listes ou groupe de personnes cibles. Parfois, l’ajout d’un logo ou figurine permet de faciliter l’identification de l’émetteur du message ainsi que le rappel des coordonnées du support technique pour traiter le ou les problèmes dans le cadre de la gestion des incidents de sécurité.

Au sein du CESIN, le Club des Experts de la Sécurité et de l’Information Numérique, nous organisons des réunions mensuelles entre membres pour partager nos expériences et nos bonnes pratiques, en particulier en matière de communication autour de la protection du capital informationnel. Nous relayons les actions de communication proposées par le CIGREF[3], ANSSI[4] et les grandes institutions françaises[5] qui donnent accès à des vidéos qui peuvent être réutilisées au sein des entreprises.

Bien souvent la direction des grands groupes français s’assure que la communication externe reste sous leur contrôle et limite (voir interdit) l’expression des salariés en public. Pour les CISO, il est d’autant plus dangereux pour eux de communiquer sous forme de retour d’expérience sur les pratiques en place car c’est autant d’informations qui peuvent aider un hacker à identifier les vulnérabilités de l’entreprise. De fait, les CISO doivent recevoir l’accord du responsable de la communication avant de communiquer à l’extérieur.

GDPR : l’obligation d’informer en cas d’incident

Comme avec les autres acteurs de l’entreprise, le CISO anticipe les situations à risque pour l’entreprise et prépare avec le responsable de la communication des exemples de messages à destination des salariés et potentiellement vers les clients et partenaires fournisseurs. A ce titre et dans le cadre du GDPR, on peut dès à présent rappeler que tous les CISO doivent préparer une communication dans le cas d’une fuite de données à caractère personnel même s’il fera tout ce qui est possible pour que cela ne se produise pas.

Comme indiqué plus haut, la communication en matière de sécurité des systèmes d’information est un art difficile car ces derniers étant de plus en plus ouverts nécessitent une surveillance accrue de ce que font les salariés avec l’outil informatique qu’on leur confit. La direction de la communication sera alors de bon conseil pour équilibrer les messages à destination des salariés.

Tribune réalisée par Michel Juvin, membre du CESIN



[1]Cf une réflexion sur la puissance des armes et de leur utilisation : https://itsocial.fr/enjeux/securite-dsi/cybersecurite/levolution-armes-fil-temps-15-de-lorigine-cyber/

[2]Livre de P.Gastineau et P.Vasset : armes de déstabilisation massive (Fayard)

Dans l'actualité

Verified by MonsterInsights