Communication de crise : les bonnes pratiques de l’Anssi
Dans un épisode du podcast « les coulisses de la com de crise », Margaux Vincent, cheffe du bureau Projets et Crise de l’agence, distille ses conseils de communication, en cas de cyberattaque, affûtés par l’expérience de multiples crises.
La communication est une dimension essentielle de la gestion de crise, cyber ou non. Une crise cyber, par son ampleur, sa soudaineté, ses effets parfois dévastateurs, présente ainsi des marqueurs spécifiques, mais n’en doit pas moins s’approprier les codes de la fameuse « comm’ de crise ».
Humilité, bon sens et réalisme permettent d’éviter bien des écueils et des dérapages incontrôlés. Car, si la communication est sous contrôle, les effets collatéraux et les impacts seront limités dans le temps. À l’inverse, une communication qui dérape, c’est risquer l’escalade avec des conséquences dévastatrices pour l’image, et donc la survie de l’organisation concernée, à plus ou moins brève échéance.
Rattraper un déficit d’image et une crise de confiance est bien plus compliqué que de rattraper un vol de données et une perte de chiffre d’affaires. Plus que n’importe où ailleurs, l’honnêteté, le réalisme et la modestie sont de mise.
Une communication trompeuse est pire que tout
Une mauvaise communication, trompeuse, est encore plus que partout ailleurs, rapidement décelée : l’importance et la fluidité de l’information entre les différentes communautés cyber (même s’il existe quelques prés carrés) sont telles que « l’intox » est vite démasquée, connue, et bien pire, révélée.
« Les communautés cyber savent très bien, en cas de réponse erronée sur une attaque, pratiquer du ”fact checking”. »
Margaux VincentCheffe du bureau Projets et Crise, Anssi
« Les communautés cyber savent très bien, en cas de réponse erronée sur une attaque, pratiquer du ”fact checking” », explique Margaux Vincent, cheffe du bureau Projets et Crise de l’Agence nationale de la sécurité des systèmes d’information (Anssi), au micro de Clara Labbé pour son podcast « les coulisses de la com de crise ». Alors malheur au menteur ! Et franchement, à quoi ça sert ?
Margaux Vincent recommande, avant toute chose, d’essayer d’évaluer le degré de visibilité de la crise : il est clair qu’un déni de service (DDoS) sur une administration est visible – c’est souvent fait pour –, mais pas très grave en soi. Il faut savoir l’évaluer et le dire.
Pour aller plus loin
Les propos de Margaux Vincent, cheffe du bureau Projets et Crise de l’Agence nationale de la sécurité des systèmes d’information (Anssi), ont été recueillis par Clara Labbé, consultante indépendante en communication de crise, pour son podcast « les coulisses de la com de crise ». L’épisode complet est disponible ici.
De la même manière, une cyberattaque d’ampleur sur les données de santé d’un hôpital sera tôt ou tard connue, et marquera fortement les esprits. Bien communiquer est alors essentiel.
IT et communication main dans la main
Margaux Vincent recommande, que les équipes IT/RSSI et communication travaillent le sujet en amont. L’idée est d’apporter une réponse appropriée, qui ne peut se faire qu’avec un peu d’entraînement et un travail en commun.
Rien de pire qu’un département IT qui communique de son côté des informations alarmantes, ou pas d’information, alors que la communication reste lénifiante, mal renseignée, et au final, fausse.
De plus, travailler ensemble en amont, et responsabiliser les équipes IT et communication par un travail collectif, permet de border au maximum – jamais totalement – le pire ennemi de la communication de crise : les fuites.
Dans cette optique, l’Anssi recommande de s’entraîner avant et d’élaborer conjointement, entre équipes IT/SSI et communication, un plan de communication, un scénario de réponse, qui ne demandera plus qu’à être déroulé.
Outre d’éviter les sorties de route et les impairs – potentiellement redoutables dans ce cas –, voir que ça a été préparé est un gage de sérieux et évite la sensation d’amateurisme. En matière d’image, c’est fondamental.
Ne pas oublier de communiquer en interne
Margaux Vincent recommande aussi de « ne pas oublier la communication interne », car une crise cyber peut désorganiser gravement tous les rouages de l’entreprise. Si les salaires sont versés avec retard parce que les systèmes RH ont été attaqués, s’il faut revenir au papier pour que les commandes soient préparées et livrées, la moindre des choses est d’en informer les équipes internes. L’apprendre par voie de presse tue la confiance des salariés dans leur organisation, au moment où elle a le plus besoin d’eux, de leur action, de leur mobilisation, et surtout de leur sang-froid.
Bien informés, les collaborateurs tiendront et constitueront un appui important pour étaler la crise et trouver une solution. Mal ou peu informés, ils se livreront à la spéculation, voire à la fuite plus ou moins organisée d’informations. C’est la rumeur, aussi dévastatrice que l’attaque, qui fera sa loi.
Alors qu’avoir informé, impliqué et briefé les équipes permet de respecter une autre des règles d’or de la communication de crise : ceux qui ont le droit de communiquer doivent être identifiés avec des rôles bien précis (qui dit quoi sur quoi), et les autres se taisent…
Une fois ces recommandations données, Margaux Vincent préconise de répondre, à trois questions principales :
État des lieux. Où en est l’attaque, les données impactées, la date présumée, en restant très factuel.
Préciser, sans tomber dans la grandiloquence ni l’héroïsme facile, que les équipes sont mobilisées pour résoudre la crise. Surtout, souligne-t-elle, « il faut éviter de donner un délai de retour à la normale, qui ne pourra pas forcément être tenu ». Plus que partout ailleurs, la modestie s’impose dans de telles situations.
Enfin, un message d’excuse aux personnes affectées s’impose. C’est du bon sens, mais c’est parfois oublié. Faute ou problème avoué est à moitié pardonné…
Enfin, il est important, rappelle Margaux Vincent, de prévenir les autorités (CNIL, Anssi, Police ou Gendarmerie), et de dire aussi si un dépôt de plainte a été effectué. Non seulement c’est la démarche préconisée par l’Anssi, mais dire que ça a été fait rassure les interlocuteurs, donne un gage de sérieux, et montre l’essentiel : la crise cyber n’est pas résolue, mais elle est traitée avec le sérieux qu’elle impose.
À lire, sur la communication de crise en cas de cyberattaque
