Communication de crise

Comment mettre en place une communication de crise efficace en cas de cyberattaque ?

Une cyberattaque n’impacte pas seulement les systèmes informatiques de l’entreprise. Elle la met également dans une situation de crise, qui menace sa réputation, sa valeur financière et ses résultats commerciaux. En cas de crise liée à un cyberincident, c’est la confiance des différentes parties prenantes et de l’opinion publique qui est donc en jeu.

C-RiskC-Risk

Publié le 30 juillet 2021 08:29 (Mise à jour le 1 décembre 2021 14:56)

C'est ce qui explique la nécessité de mettre en place une stratégie de communication de crise efficace, capable d’atténuer les conséquences négatives de l'attaque. Attention, cependant, en matière de gestion de crise, il n’y a pas de solution toute faite. Les enjeux de cybersécurité qui pèsent sur les entreprises en 2021 sont trop divers et complexes. Il vous faut construire un plan de crise spécifique à votre entreprise, ses parties prenantes et votre environnement. Mais pas seulement, en effet pour faire face et gérer la crise il vous faut également un plan adapté à tous les cyberincidents envisageables.

Définition de la communication de crise


La communication de crise désigne l'ensemble des moyens de communication mobilisés par une entreprise pour répondre à un dysfonctionnement qui affecte son organisation et sa réputation. Une crise s’apparente effectivement à une situation déstabilisante pour l’organisation, au point de modifier ses process et son environnement.

La communication de crise a notamment pour objectif de limiter l’impact négatif de la crise sur la marque et ses produits. Elle nécessite de déployer des efforts de prévention, de réactivité et une capacité de prise de décision à court terme. Bien préparée en amont des incidents, elle permet de gérer la communication efficacement et de contourner d’éventuelles polémiques.

La communication de crise s’inscrit en outre dans la communication institutionnelle des sociétés. Elle touche de façon transversale des domaines aussi larges que la communication interne, externe, les relations publiques et presse et les réseaux sociaux.

Elle réclame par ailleurs une concertation continue avec la direction générale et les membres de la cellule de crise. La communication de crise fait effectivement partie intégrante de la gestion de crise.

On distingue généralement deux composantes de la communication de crise :

  • La communication sur la gestion de la crise, qui consiste à prévenir les parties prenantes et coordonner les opérations de réparation en donnant des consignes efficaces ;
  • La communication sur les enjeux de la crise permet de protéger la réputation de l’entreprise mais il faut réagir rapidement pour être efficace.
La cellule de crise applique le plan de communication

Pourquoi communiquer en cas de problème ?

La communication de crise incarne un élément central de la résolution de la crise. Sans réaction adaptée, les collaborateurs et autres parties prenantes sont laissés à leur interprétation de la situation. La crise se nourrit alors elle-même jusqu’à menacer la survie de l’organisation. L'entreprise victime d’une crise due à une cyberattaque a donc le devoir de donner sa version du problème et de rassurer ses publics.

L'objectif principal de la communication de crise consiste ainsi à apaiser les inquiétudes et à protéger l’image de la société. Attention, toutefois, à ne pas communiquer pour communiquer. Votre communication de crise doit incarner votre souci réel d’apporter des solutions aux dysfonctionnements en cours.

Quel contexte pour la communication de crise suite à une cyberattaque ?

Le grand public se renseigne de plus en plus sur les risques liés à la cybersécurité et à la cybercriminalité. Une entreprise qui prend la mesure de la sensibilité de ses audiences à ses problématiques multiplie ses chances de communiquer efficacement.

La mise en place du Règlement Général de la Protection des Données (RGPD) impose en outre depuis 2016 de communiquer en cas de cyberisque avéré. Dans le détail, les articles 33 et 34 de ce règlement prévoient “une information détaillée aux autorités de contrôle dans les 72 heures qui suivent la découverte du problème, et dans les meilleurs délais à chaque personne physique concernée s’il y a un risque élevé d’atteinte à leurs droits ». (Source : CNIL, En cas de violation des données personnelles)

La Direction des Systèmes d'Information a donc l’obligation d’anticiper les messages à construire avec la direction de la communication, selon le type de cyberattaques ou de dysfonctionnements informatiques en jeu. Dans le contexte qui est celui des entreprises en 2021, les cyberdélinquances les plus récurrentes relèvent :

  • des attaques rançongiciels ou ransomwares ;
  • de l'escroquerie du type arnaque au président ;
  • de la fuite de données personnelles ;
  • du vol de mot de passe ou de noms utilisateurs ;
  • de l’attaque par déni de service, la DDoS (Distributed-Denial-Of-Service), qui paralyse les services en ligne.

Toute la difficulté de la situation de crise consiste par ailleurs à identifier le bon moment pour communiquer. Se déclarer en crise trop tôt peut impacter négativement le comportement des clients, des actionnaires et des autres partenaires commerciaux. Communiquer trop tard, en revanche, peut porter un coup fatal à la réputation et à la valeur financière de l'entreprise sur les marchés boursiers.

Comprendre le cycle de vie d’une crise pour bien communiquer


Communiquer sur une crise implique de maîtriser la temporalité de celle-ci et d’adapter ses messages à chacune de ses étapes :

1 / La phase de “gestation” ou d’ “incubation” de la crise se caractérise par un calme apparent, néanmoins ponctué de signaux faibles. Les conditions du déclenchement de la crise se mettent en place. En interne, cette phase correspond à une forme de bruit de fond inquiétant, qui doit pousser la direction de la communication et la DSI à se mobiliser.

2 / La “crise aigüe” correspond à la phase où elle se déclenche réellement, au risque de faire perdre le contrôle de la situation à l'entreprise. L’élément déclencheur alerte effectivement les médias et les parties prenantes. Il impose l'activation de la cellule de crise et le déroulement du plan de communication de crise préparé en amont.

3 / Vient ensuite la “phase chronique”. La crise déstabilise durablement la société dans son rapport à ses collaborateurs, à ses actionnaires et à ses parties prenantes. La communication de crise alors mise en place doit rassurer ces différents acteurs. Elle choisit précisément ses voies de diffusion et affiche des mesures protectrices et réparatrices.

4 / La phase de “cicatrisation” voit l’entreprise s'adapter et se transformer en fonction de son nouveau contexte. Elle tire les leçons de la crise et modifie sa structure et ses procédures. Dans le cas d’une cyberattaque, par exemple, elle se munit d’un système de protection anti-virus plus performant.

La phase de cicatrisation donne lieu à une sortie de crise avec archivage des données qui y sont liées et clôture de la cellule de crise. Elle mène ainsi au “retour à la normale”. Cet apaisement ne doit pourtant pas être pris pour acquis. Les théoriciens de la communication de crise précisent effectivement que l'entreprise repasse alors dans une phase d’“incubation” de risques potentiels.

Quelles sont les parties prenantes concernées par la gestion de crise ?


La crise impacte une série d'acteurs qui se dressent dès lors comme des cibles plus ou moins prioritaires de votre communication de crise. Dans l’ordre, ces parties prenantes s’organisent comme suit :

1 / Les victimes du cyberincident incarnent votre “cible prioritaire”. Il peut s’agir de clients dont les données personnelles ont été dérobées, ou d’internautes qui ne parviennent plus à accéder à votre site internet.

2 / Les parties prenantes internes à l’entreprise sont vos “cibles secondaires”. Informer vos employés permet d’orienter la communication qu’ils adoptent eux-mêmes vis-à-vis de l'extérieur. Ne misez pas sur la confidentialité dans cette situation, vous épongeriez des fuites. Donnez-leur, au contraire, des clés de communication vis-à-vis des sollicitations qu’ils pourraient recevoir, et rassurez-les.

Cette cible de communication de crise inclut les syndicats et délégués du personnel, les cadres, les différents départements, les fournisseurs et grossistes, vos prospects et vos consultants (comptables, juristes et assurance). Bien sûr, ce public comprend aussi les investisseurs et les marchés boursiers.

3 / Vient ensuite la presse, qu’elle soit régionale, nationale ou internationale. À vous de déterminer si votre communiqué de presse doit prioritairement viser les médias généraux ou spécialisés, et s’il doit s’adresser d'abord à la télé, à la radio ou à la presse écrite, selon votre activité et la nature de la crise cyber.

4 / Si votre activité entrepreneuriale le justifie, pensez aussi à vous adresser aux parties prenantes politiques que sont les élus, les établissements administratifs concernés et les autorités d’inspection officielles.

5 / En dernière instance, vous pouvez aussi faire le choix de communiquer aux associations professionnelles de votre secteur. Cette démarche aide à maintenir votre réputation, si elle se concentre sur la résolution de la crise.

La communication interne est prioritaire en cas de crise

Comment mettre en place une communication de crise efficace ?


Une communication de crise performante dépend des anticipations que la société a réussi à formuler en amont. Elle relève donc d’une procédure précise, détaillée dans le plan de gestion de risques liés à la cybersécurité.

En amont de l’alerte, un plan de gestion de crise détaillé

S’il est bien construit, votre plan de gestion de crise comprend un volet communication qui se décline en grands axes :

  • Dans quel objectif communiquez-vous pendant la crise ? Est-ce pour rassurer ? Pour détailler des mesures de réparation ?
  • Qui sont vos cibles, par ordre de priorité ?
  • Sur quel thème devez-vous envoyer des messages prioritaires : le dysfonctionnement en jeu ? Votre plan d’action ? Vos mesures de prévention ?
  • Qui doit incarner la communication de crise : est-ce la direction générale ? Le responsable de la sécurité des systèmes d'information (RSSI) ? Votre avocat ? La direction de la communication ?

Pensez aussi à décliner votre processus opérationnel de communication de crise (POCC) au format papier : en cas de cyberattaque, sa version numérique pourrait bien ne plus être accessible.

Ces axes reposent en outre sur des supports concrets :

  • liste de contacts capables de vous aider en cas de cyberattaque ;
  • récapitulatif des parties prenantes ;
  • liste des canaux de communication et des contacts presse à mobiliser ;
  • tableau qui croise les missions urgentes et leurs responsables attitrés ;
  • schéma des messages adaptés à chaque cas de cyberattaque prévu par votre analyse des risques cyber.

Comment communiquer après le déclenchement de la crise ?

En temps de crise votre entreprise est en proie à d’importantes perturbations, la cellule de crise pour être efficace nécessite des prises de décisions rapides et doit appliquer le plan de communication de crise avec pragmatisme.

Il convient de s’adapter aux particularités des dysfonctionnements rencontrés et des victimes de la cyberattaque pour moduler vos actions de communication. Dans tous les cas, gardez quelques grands principes de communication de crise en tête, quitte à vous éloigner du plan prévu :

  • Soyez transparents quant au problème et à ses conséquences ;
  • Montrez votre solidarité avec les victimes et votre souci de leur trouver des solutions ;
  • Envoyez des messages clairs, courts et sans jargon ;
  • Prenez la parole et donnez votre interprétation du problème avant que d’autres acteurs ne le fassent.

En parallèle de ces grandes règles, il convient d’adapter votre plan de communication à la réalité du cyberincident qui vous affecte :

  • Analysez la crise en cours : ressemble-t-elle à un scénario anticipé ? Est-elle au contraire inédite ?
  • Les parties prenantes engagées dans le processus de communication de crise doivent-elles être reprécisées ?
  • Où en êtes-vous du cycle de vie de la crise ? Quel risque médiatique représente cette phase ?
  • Quel est le canal de communication le plus adapté à votre cible principale, étant donné l’état de vos systèmes d’information ? Est-ce une vidéo, un communiqué de presse, un email ? Êtes-vous ethniquement en mesure de diffuser ce support ?
  • À quelle fréquence allez-vous communiquer ?
  • Quels messages adressez-vous à vos différents publics ?
Anticiper la communication de crise auprès de la presse

Diffuser les bons messages

Les premiers messages que vous diffusez pour court-circuiter la presse doivent reprendre certains éléments indispensables :

  • “we know” : nous savons qu’il y a eu un cyberincident ;
  • “we do” : nous travaillons sur les solutions suivantes ;
  • “we care” : nous mesurons la gravité de la situation et nous nous soucions des victimes ;
  • important, le “we are sorry” : nous présentons nos excuses pour ce dysfonctionnement ;
  • et enfin, le “we will be back” : nous vous tenons informés.

Ces catégories informationnelles recoupent deux notions détaillées par Thierry Libaert dans son ouvrage La communication de crise : la communication de crise technicienne qui détaille les faits, et la communication symboliste, qui se base plus sur les émotions. À vous d'adopter l’angle le plus adapté à votre situation et à vos cibles. Quoi qu’il arrive, ne vous contentez jamais d’un “sans commentaire” qui vous désignerait comme responsables.

Questions fréquentes sur la communication de crise

La communication de crise vise à éviter que l’entreprise ne souffre en termes d’image, de confiance des consommateurs et de valeur financière.

La communication de crise s’exerce dans un environnement complexe marqué par la pression d’acteurs extérieurs, de lourds enjeux de survie, l’accélération du temps et un environnement incertain.

Les entreprises peuvent opter pour la reconnaissance du dysfonctionnement, le parti-pris le plus courant en cas de cyberattaque. Dans certains cas, elles peuvent aussi choisir de faire diversion en parlant d’autres problématiques et d’acteurs extérieurs fautifs. Elles peuvent aussi décider de ne pas communiquer du tout, mais ce choix est risqué.