La communication de crise cyber : une communication honteuse ?

Tous les progrès génèrent de nouvelles fragilités et vulnérabilités propices aux menaces ou aux risques. Or, depuis quelques années, la société française connaît une phase de transformation numérique rapide et de grande ampleur qui accroît les risques visant autant les entreprises que les collectivités ou les particuliers, les familles et leurs données personnelles. Ces changements profonds génèrent de nouvelles formes de criminalité : la cybercriminalité est donc désormais une réalité concrète largement répandue puisque les entreprises connaissent des attaques journalières même si elles n’en font pas forcément de la publicité.

Cette prégnance de la menace cyber et le risque de réputation qu’elle engendre témoignent de la vulnérabilité des Systèmes d'Information et de Communication  et créent des situations de communication malhabiles voire erronées. En effet, la victime se perçoit trop souvent comme une victime honteuse et coupable de négligences en matière de sécurité informatique.

Or, une mauvaise communication de crise peut avoir des effets dévastateurs sur les relations d’une entreprise avec ses actionnaires et parties prenantes, sur l’image de la marque et, au bout du compte, sur les résultats financiers.

Face à des attaques de plus en plus nombreuses et sophistiquées, les victimes doivent donc faire face au délicat exercice de communication. Or, au-delà des déclarations aux autorités compétentes comme l’Autorité Nationale de Sécurité des Systèmes d’Information (ANSSI), peu de victimes font de la publicité autour des cyberattaques, comme dit plus haut. En effet, la cyberattaque n’a pas seulement un impact technique ou métier, elle a des conséquences en termes de révélation de la faille exploitée : défiance des utilisateurs, perte de crédibilité, risque financiers et économiques… Communiquer sur une vulnérabilité mise à jour par un cybercriminel est donc toujours très embarrassant et difficile à assumer pour la victime.  

Pourtant la cyberattaque n’est pas une maladie honteuse.

En pleine crise, le public ne mérite-il pas plus de transparence ? Lorsqu’une administration ou tout autre opérateur d’importance vitale (fournisseurs d’eau, d’électricité ou de gaz, opérateurs du nucléaire par exemple) sont ciblés, communiquer sur la cyberattaque ne devrait-il pas être un acte réflexe de la gestion de crise comme l’impose le Livre Blanc sur la défense et la sécurité nationale de 2008 ? Si nous partons du postulat que la cyberattaque est une crise qui doit être traitée comme une autre crise, la communication externe et interne s’avère un incontournable. Dans un contexte de surmédiatisation de l’information et de viralité des médias sociaux, le combat silence vs communication est in fine perdu d’avance. De plus, avec l’entrée en vigueur du Règlement Général Européen sur la Protection des Données (RGPD) et son obligation de notifier les violations de données, le silence ne semble plus tenable. Le traitement policier et judiciaire en sera par ailleurs facilité car il nécessite dans ces cas-là une grande réactivité.