Une cyberattaque n’impacte pas seulement les systèmes informatiques de l’entreprise. Elle la met également dans une situation de crise, qui menace sa réputation, sa valeur financière et ses résultats commerciaux. En cas de crise liée à un cyberincident, c’est la confiance des différentes parties prenantes et de l’opinion publique qui est donc en jeu.
C'est ce qui explique la nécessité de mettre en place une stratégie de communication de crise efficace, capable d’atténuer les conséquences négatives de l'attaque. Attention, cependant, en matière de gestion de crise, il n’y a pas de solution toute faite. Les enjeux de cybersécurité qui pèsent sur les entreprises en 2021 sont trop divers et complexes. Il vous faut construire un plan de crise spécifique à votre entreprise, ses parties prenantes et votre environnement. Mais pas seulement, en effet pour faire face et gérer la crise il vous faut également un plan adapté à tous les cyberincidents envisageables.
La communication de crise désigne l'ensemble des moyens de communication mobilisés par une entreprise pour répondre à un dysfonctionnement qui affecte son organisation et sa réputation. Une crise s’apparente effectivement à une situation déstabilisante pour l’organisation, au point de modifier ses process et son environnement.
La communication de crise a notamment pour objectif de limiter l’impact négatif de la crise sur la marque et ses produits. Elle nécessite de déployer des efforts de prévention, de réactivité et une capacité de prise de décision à court terme. Bien préparée en amont des incidents, elle permet de gérer la communication efficacement et de contourner d’éventuelles polémiques.
La communication de crise s’inscrit en outre dans la communication institutionnelle des sociétés. Elle touche de façon transversale des domaines aussi larges que la communication interne, externe, les relations publiques et presse et les réseaux sociaux.
Elle réclame par ailleurs une concertation continue avec la direction générale et les membres de la cellule de crise. La communication de crise fait effectivement partie intégrante de la gestion de crise.
On distingue généralement deux composantes de la communication de crise :
La communication de crise incarne un élément central de la résolution de la crise. Sans réaction adaptée, les collaborateurs et autres parties prenantes sont laissés à leur interprétation de la situation. La crise se nourrit alors elle-même jusqu’à menacer la survie de l’organisation. L'entreprise victime d’une crise due à une cyberattaque a donc le devoir de donner sa version du problème et de rassurer ses publics.
L'objectif principal de la communication de crise consiste ainsi à apaiser les inquiétudes et à protéger l’image de la société. Attention, toutefois, à ne pas communiquer pour communiquer. Votre communication de crise doit incarner votre souci réel d’apporter des solutions aux dysfonctionnements en cours.
Le grand public se renseigne de plus en plus sur les risques liés à la cybersécurité et à la cybercriminalité. Une entreprise qui prend la mesure de la sensibilité de ses audiences à ses problématiques multiplie ses chances de communiquer efficacement.
La mise en place du Règlement Général de la Protection des Données (RGPD) impose en outre depuis 2016 de communiquer en cas de cyberisque avéré. Dans le détail, les articles 33 et 34 de ce règlement prévoient “une information détaillée aux autorités de contrôle dans les 72 heures qui suivent la découverte du problème, et dans les meilleurs délais à chaque personne physique concernée s’il y a un risque élevé d’atteinte à leurs droits ». (Source : CNIL, En cas de violation des données personnelles)
La Direction des Systèmes d'Information a donc l’obligation d’anticiper les messages à construire avec la direction de la communication, selon le type de cyberattaques ou de dysfonctionnements informatiques en jeu. Dans le contexte qui est celui des entreprises en 2021, les cyberdélinquances les plus récurrentes relèvent :
Toute la difficulté de la situation de crise consiste par ailleurs à identifier le bon moment pour communiquer. Se déclarer en crise trop tôt peut impacter négativement le comportement des clients, des actionnaires et des autres partenaires commerciaux. Communiquer trop tard, en revanche, peut porter un coup fatal à la réputation et à la valeur financière de l'entreprise sur les marchés boursiers.
Communiquer sur une crise implique de maîtriser la temporalité de celle-ci et d’adapter ses messages à chacune de ses étapes :
1 / La phase de “gestation” ou d’ “incubation” de la crise se caractérise par un calme apparent, néanmoins ponctué de signaux faibles. Les conditions du déclenchement de la crise se mettent en place. En interne, cette phase correspond à une forme de bruit de fond inquiétant, qui doit pousser la direction de la communication et la DSI à se mobiliser.
2 / La “crise aigüe” correspond à la phase où elle se déclenche réellement, au risque de faire perdre le contrôle de la situation à l'entreprise. L’élément déclencheur alerte effectivement les médias et les parties prenantes. Il impose l'activation de la cellule de crise et le déroulement du plan de communication de crise préparé en amont.
3 / Vient ensuite la “phase chronique”. La crise déstabilise durablement la société dans son rapport à ses collaborateurs, à ses actionnaires et à ses parties prenantes. La communication de crise alors mise en place doit rassurer ces différents acteurs. Elle choisit précisément ses voies de diffusion et affiche des mesures protectrices et réparatrices.
4 / La phase de “cicatrisation” voit l’entreprise s'adapter et se transformer en fonction de son nouveau contexte. Elle tire les leçons de la crise et modifie sa structure et ses procédures. Dans le cas d’une cyberattaque, par exemple, elle se munit d’un système de protection anti-virus plus performant.
La phase de cicatrisation donne lieu à une sortie de crise avec archivage des données qui y sont liées et clôture de la cellule de crise. Elle mène ainsi au “retour à la normale”. Cet apaisement ne doit pourtant pas être pris pour acquis. Les théoriciens de la communication de crise précisent effectivement que l'entreprise repasse alors dans une phase d’“incubation” de risques potentiels.
La crise impacte une série d'acteurs qui se dressent dès lors comme des cibles plus ou moins prioritaires de votre communication de crise. Dans l’ordre, ces parties prenantes s’organisent comme suit :
1 / Les victimes du cyberincident incarnent votre “cible prioritaire”. Il peut s’agir de clients dont les données personnelles ont été dérobées, ou d’internautes qui ne parviennent plus à accéder à votre site internet.
2 / Les parties prenantes internes à l’entreprise sont vos “cibles secondaires”. Informer vos employés permet d’orienter la communication qu’ils adoptent eux-mêmes vis-à-vis de l'extérieur. Ne misez pas sur la confidentialité dans cette situation, vous épongeriez des fuites. Donnez-leur, au contraire, des clés de communication vis-à-vis des sollicitations qu’ils pourraient recevoir, et rassurez-les.
Cette cible de communication de crise inclut les syndicats et délégués du personnel, les cadres, les différents départements, les fournisseurs et grossistes, vos prospects et vos consultants (comptables, juristes et assurance). Bien sûr, ce public comprend aussi les investisseurs et les marchés boursiers.
3 / Vient ensuite la presse, qu’elle soit régionale, nationale ou internationale. À vous de déterminer si votre communiqué de presse doit prioritairement viser les médias généraux ou spécialisés, et s’il doit s’adresser d'abord à la télé, à la radio ou à la presse écrite, selon votre activité et la nature de la crise cyber.
4 / Si votre activité entrepreneuriale le justifie, pensez aussi à vous adresser aux parties prenantes politiques que sont les élus, les établissements administratifs concernés et les autorités d’inspection officielles.
5 / En dernière instance, vous pouvez aussi faire le choix de communiquer aux associations professionnelles de votre secteur. Cette démarche aide à maintenir votre réputation, si elle se concentre sur la résolution de la crise.
Une communication de crise performante dépend des anticipations que la société a réussi à formuler en amont. Elle relève donc d’une procédure précise, détaillée dans le plan de gestion de risques liés à la cybersécurité.
S’il est bien construit, votre plan de gestion de crise comprend un volet communication qui se décline en grands axes :
Pensez aussi à décliner votre processus opérationnel de communication de crise (POCC) au format papier : en cas de cyberattaque, sa version numérique pourrait bien ne plus être accessible.
Ces axes reposent en outre sur des supports concrets :
En temps de crise votre entreprise est en proie à d’importantes perturbations, la cellule de crise pour être efficace nécessite des prises de décisions rapides et doit appliquer le plan de communication de crise avec pragmatisme.
Il convient de s’adapter aux particularités des dysfonctionnements rencontrés et des victimes de la cyberattaque pour moduler vos actions de communication. Dans tous les cas, gardez quelques grands principes de communication de crise en tête, quitte à vous éloigner du plan prévu :
En parallèle de ces grandes règles, il convient d’adapter votre plan de communication à la réalité du cyberincident qui vous affecte :
Les premiers messages que vous diffusez pour court-circuiter la presse doivent reprendre certains éléments indispensables :
Ces catégories informationnelles recoupent deux notions détaillées par Thierry Libaert dans son ouvrage La communication de crise : la communication de crise technicienne qui détaille les faits, et la communication symboliste, qui se base plus sur les émotions. À vous d'adopter l’angle le plus adapté à votre situation et à vos cibles. Quoi qu’il arrive, ne vous contentez jamais d’un “sans commentaire” qui vous désignerait comme responsables.
La communication de crise vise à éviter que l’entreprise ne souffre en termes d’image, de confiance des consommateurs et de valeur financière.
La communication de crise s’exerce dans un environnement complexe marqué par la pression d’acteurs extérieurs, de lourds enjeux de survie, l’accélération du temps et un environnement incertain.
Les entreprises peuvent opter pour la reconnaissance du dysfonctionnement, le parti-pris le plus courant en cas de cyberattaque. Dans certains cas, elles peuvent aussi choisir de faire diversion en parlant d’autres problématiques et d’acteurs extérieurs fautifs. Elles peuvent aussi décider de ne pas communiquer du tout, mais ce choix est risqué.
en lien avec la quantification des cyber risques