Cybersécurité : le défi de la communication

Le risque cyber n’est pas qu’un problème technique. Lors d’une attaque, les systèmes IT d’une entreprise sont en danger mais aussi sa réputation, sa relation client et donc ses finances. Comment préserver la réputation de l’entreprise au moment de la crise ? Bien sûr la compétence technique est fondamentale ; mais la qualité de la communication va se montrer presque aussi déterminante.

Le fossé entre la perception et la réalité

La cybersécurité est le risque n°1 pour les entreprises (CEO Survey PwC).

D’après notre étude Digital Trust Insights 2024, 36 % des organisations ont été victimes d'une violation de données dont le coût s'élève à 1 million de dollars ou plus, contre 27 % l'année dernière.

Cependant, la cybersécurité occupe une place limitée dans la communication financière et extra-financière des entreprises. Les rapports annuels d’un échantillon représentatif d’entreprises du CAC40 laissent à la cybersécurité un espace de 0,9 % dans la section RSE et 3,7 % dans celle sur les risques.

La cybersécurité est un enjeu stratégique devant être intégré dans la communication financière.

Le coût du silence

Les impacts financiers d’un incident cyber de grande ampleur sur la réputation et la valorisation d’une entreprise peuvent pourtant se révéler dévastateurs. Selon une étude (PwC) sur l’évolution boursière de 127 entreprises cotées et victimes d’incidents cyber majeurs entre 2007 et 2020, 68 % d’entre elles ont vu leur valeur boursière chuter de 22 % en moyenne sur un an. Seules 10 % ont su faire preuve de résilience. Ainsi, 87 % des personnes interrogées dans le cadre de la PwC Global Crisis and Resilience Survey 2023 prévoient d'investir dans la cyber-résilience, ce qui témoigne de l'inquiétude suscitée par l'augmentation des ransomwares et autres cyberattaques.

Impact des incidents sur la valeur des entreprises

Les résultats de cette étude et ceux d’études menées sur des crises non-cyber présentent un impact similaire en cas de gestion défaillante de l’événement. L’impact délétère des cyberattaques sur la valorisation boursière s’explique par plusieurs facteurs, notamment l’atteinte à la réputation et à la confiance des clients, comptant pour 20 % à 40 % de la valeur boursière, mais aussi par la perte de motivation et d’engagement des collaborateurs.

Les directions générales doivent donc impérativement prendre en compte la cybersécurité dans leurs stratégies de communication.

L’enjeu crucial de la communication de crise

Afin de limiter les impacts d’un incident cyber, la rapidité et la qualité de la communication de crise sont déterminantes.

Une étude PwC en 2022 sur la communication de crise cyber a indiqué que dans 50% des cas étudiés, l'attaque est médiatisée par un tiers (médias, attaquant, agence gouvernementale). Face à ce chiffre, il est donc préférable que l'organisation victime soit la première à communiquer pour maîtriser ce qui est dit sur l'attaque et rassurer ses parties prenantes sur sa capacité à gérer la situation.

Par ailleurs, une analyse comparée menée sur 19 entreprises victimes d’incidents majeurs a permis de différencier les bons des mauvais communicants. Les premiers sont réactifs, font preuve de transparence et d’empathie et communiquent régulièrement aux différents publics. Les seconds notifient tardivement les parties prenantes, répondent de façon erronée ou incomplète, minimisent les risques, etc.

Sur le moyen terme, cette différence de communication entraîne des écarts de valeur significatifs de 25 %, pouvant atteindre 40 % entre le dixième et le douzième mois après le choc.

Les directions financières et de la communication doivent donc prendre conscience de cet enjeu financier critique et mieux intégrer l’importance d’une bonne communication dans leur stratégie de réduction du risque cyber.