Au-delà du préjudice opérationnel, une cyber attaque peut durablement entacher l’image et la réputation d’une entreprise. Maîtriser cette communication de crise est une condition indispensable pour restaurer la confiance.

Les attaques informatiques auprès des entreprises sont insidieuses. Lorsque le mal est fait, il est déjà trop tard pour les sociétés. Il faut alors réagir rapidement pour informer, expliquer et rassurer ses collaborateurs, clients et partenaires, afin de limiter les dommages collatéraux pour l’entreprise. Dans ce type de situation d’attaques informatiques, le mode opératoire et les techniques de la communication de crise s’imposent.

1 - En cas de cyberattaque, évaluer la situation

C’est un préalable indispensable pour pouvoir communiquer de manière cohérente et efficace après une cyberattaque. Quelle est la nature de l’attaque informatique ? Quelles sont ses conséquences pour l’entreprise, les clients, les fournisseurs ? Comment l’incident est-il traité ? Est-il déjà circonscrit ? C’est à partir de cet audit initial sur la cyberattaque et sur la sécurité de l’entreprise que l’on va pouvoir arbitrer la bonne stratégie de communication de crise.

2 - L’entreprise doit communiquer sans tarder

Quoi que l’on fasse, tout finit par se savoir ! Raison de plus pour prendre les devants pour le dirigeant et communiquer rapidement plutôt que de chercher à temporiser au risque de devoir réagir sous la pression extérieure, ce qui risque d’alimenter le doute et la suspicion. Être réactif en cas d’attaque informatique est non seulement un gage de crédibilité, c’est aussi un bon moyen de garder la main sur sa communication et de faire taire les fausses rumeurs.

3 - Faire preuve de transparence

Les bases de la confiance dans une entreprise reposent sur une communication sincère. S’il ne faut pas tout dire, eu égard à la confidentialité de certaines informations, il y a tout intérêt à ne pas éluder la réalité de la situation lorsque l’on subit une cyberattaque, mais au contraire à la présenter avec honnêteté aux clients et partenaires de l’entreprise. Idem pour les collaborateurs, qui doivent être d’emblée mis dans la boucle avec une communication interne adaptée à la situation de crise. Les uns comme les autres ont droit à cette transparence de la part des dirigeants, ainsi qu’aux marques d’empathie de l’entreprise, quand bien même cette dernière est aussi victime de l’attaque informatique.

4 - Adopter les bons éléments de langage

En cas d’attaque informatique, les préoccupations et besoins d’information des salariés, des clients, des partenaires financiers ou institutionnels, voire du grand public, ne sont pas les mêmes. D’où l’importance d’adapter le contenu et la forme de son message à chaque cible. Dans tous les cas, c’est la clarté du propos qui doit primer dans votre communication de crise. L’objectif est de permettre à chacun de comprendre ce qui s’est passé, de montrer que l’entreprise a pris la mesure de la situation et qu’elle est entièrement mobilisée à la résolution du problème dû à cette cyberattaque.

5 - Maintenir l’effort de communication

Une fois l’opération de communication de crise enclenchée, tout ne s’arrête pas là. Il faut ensuite maintenir le contact avec les clients et partenaires de l’entreprise pour les tenir au courant de l’avancée de la situation et de la résolution de l’incident. Cela suppose pour l’entreprise d’avoir une cellule de crise structurée, disposant d’une personne dédiée à la communication de crise. A charge pour elle de traiter et relayer auprès de l’extérieur les informations qui remontent du terrain.

6 - Anticiper la gestion de crise

La communication de crise ne s’improvise pas pour une entreprise. Pour être prêt à faire face le jour J, il est important que la conduite à tenir, les actions à engager et le rôle de chacun soient définis et formalisés au préalable. Prévoir un « kit de secours » contenant ce mode opératoire et la liste des contacts à prévenir, consigné sur un support informatique externe sécurisé au cas où l’informatique serait en panne, est aussi une indispensable précaution de cybersécurité.