Comment mettre en place une communication de crise efficace en cas de cyberattaque ?
Une cyberattaque n’impacte pas seulement les systèmes informatiques de l’entreprise. Elle la met également dans une situation de crise, qui menace sa réputation, sa valeur financière et ses résultats commerciaux. En cas de crise liée à un cyber-incident, c’est la confiance des différentes parties prenantes et de l’opinion publique qui est donc en jeu.
C'est ce qui explique la nécessité de mettre en place une stratégie de communication de crise efficace, capable d’atténuer les conséquences négatives de l'attaque. Attention, cependant, en matière de gestion de crise, il n’y a pas de solution toute faite. Les enjeux de cybersécurité qui pèsent sur les entreprises en 2021 sont trop divers et complexes. Il vous faut construire un plan de crise spécifique à votre entreprise, ses parties prenantes et votre environnement. Mais pas seulement, en effet pour faire face et gérer la crise il vous faut également un plan adapté à tous les cyber-incidents envisageables.
Définition de la communication de crise
La communication de crise désigne l'ensemble des moyens de communication mobilisés par une entreprise pour répondre à un dysfonctionnement qui affecte son organisation et sa réputation. Une crise s’apparente effectivement à une situation déstabilisante pour l’organisation, au point de modifier ses process et son environnement.
La communication de crise a notamment pour objectif de limiter l’impact négatif de la crise sur la marque et ses produits. Elle nécessite de déployer des efforts de prévention, de réactivité et une capacité de prise de décision à court terme. Bien préparée en amont des incidents, elle permet de gérer la communication efficacement et de contourner d’éventuelles polémiques.
La communication de crise s’inscrit en outre dans la communication institutionnelle des sociétés. Elle touche de façon transversale des domaines aussi larges que la communication interne, externe, les relations publiques et presse et les réseaux sociaux.
Elle réclame par ailleurs une concertation continue avec la direction générale et les membres de la cellule de crise. La communication de crise fait effectivement partie intégrante de la gestion de crise.
On distingue généralement deux composantes de la communication de crise :
- La communication sur la gestion de la crise, qui consiste à prévenir les parties prenantes et coordonner les opérations de réparation en donnant des consignes efficaces ;
- La communication sur les enjeux de la crise permet de protéger la réputation de l’entreprise mais il faut réagir rapidement pour être efficace.
Pourquoi communiquer en cas de problème ?
La communication de crise incarne un élément central de la résolution de la crise. Sans réaction adaptée, les collaborateurs et autres parties prenantes sont laissés à leur interprétation de la situation. La crise se nourrit alors elle-même jusqu’à menacer la survie de l’organisation. L'entreprise victime d’une crise due à une cyberattaque a donc le devoir de donner sa version du problème et de rassurer ses publics.
L'objectif principal de la communication de crise consiste ainsi à apaiser les inquiétudes et à protéger l’image de la société. Attention, toutefois, à ne pas communiquer pour communiquer. Votre communication de crise doit incarner votre souci réel d’apporter des solutions aux dysfonctionnements en cours.
Quel contexte pour la communication de crise suite à une cyberattaque ?
Le grand public se renseigne de plus en plus sur les risques liés à la cybersécurité et à la cybercriminalité. Une entreprise qui prend la mesure de la sensibilité de ses audiences à ses problématiques multiplie ses chances de communiquer efficacement.
La mise en place du Règlement Général de la Protection des Données (RGPD) impose en outre depuis 2016 de communiquer en cas de cyberisque avéré. Dans le détail, les articles 33 et 34 de ce règlement prévoient “une information détaillée aux autorités de contrôle dans les 72 heures qui suivent la découverte du problème, et dans les meilleurs délais à chaque personne physique concernée s’il y a un risque élevé d’atteinte à leurs droits ». (Source : CNIL, En cas de violation des données personnelles)
La Direction des Systèmes d'Information a donc l’obligation d’anticiper les messages à construire avec la direction de la communication, selon le type de cyberattaques ou de dysfonctionnements informatiques en jeu. Dans le contexte qui est celui des entreprises en 2021, les cyberdélinquances les plus récurrentes relèvent :
- des attaques rançongiciels ou ransomwares ;
- de l'escroquerie du type arnaque au président ;
- de la fuite de données personnelles ;
- du vol de mot de passe ou de noms utilisateurs ;
- de l’attaque par déni de service, la DDoS (Distributed-Denial-Of-Service), qui paralyse les services en ligne.
Toute la difficulté de la situation de crise consiste par ailleurs à identifier le bon moment pour communiquer. Se déclarer en crise trop tôt peut impacter négativement le comportement des clients, des actionnaires et des autres partenaires commerciaux. Communiquer trop tard, en revanche, peut porter un coup fatal à la réputation et à la valeur financière de l'entreprise sur les marchés boursiers.
Quels sont les objectifs de la communication de crise ?
La communication de crise vise à éviter que l’entreprise ne souffre en termes d’image, de confiance des consommateurs et de valeur financière.
Quand faut-il recourir à la communication de crise ?
La communication de crise s’exerce dans un environnement complexe marqué par la pression d’acteurs extérieurs, de lourds enjeux de survie, l’accélération du temps et un environnement incertain.
Comment mettre en place une communication de crise efficace en cas de cyberattaque ?
Les entreprises peuvent opter pour la reconnaissance du dysfonctionnement, le parti-pris le plus courant en cas de cyberattaque. Dans certains cas, elles peuvent aussi choisir de faire diversion en parlant d’autres problématiques et d’acteurs extérieurs fautifs. Elles peuvent aussi décider de ne pas communiquer du tout, mais ce choix est risqué.