Voir votre entreprise avec les yeux de ceux qui veulent la faire tomber
La crise n’arrive jamais par hasard
Lorsqu’une crise médiatique majeure éclate – un article au vitriol dans un grand quotidien, un documentaire à charge sur une chaîne publique, une enquête parlementaire, une campagne coordonnée d’ONG, une mise en cause sur les réseaux sociaux qui enfle en quarante-huit heures – les dirigeants ont presque tous la même réaction initiale. Ils sont sidérés. Ils n’avaient rien vu venir. Ils protestent, souvent de bonne foi, que les accusations sont injustes, décontextualisées, excessives, mensongères. Et pourtant, dans l’immense majorité des cas, les éléments qui fondent l’attaque existaient depuis des mois, parfois des années, dans les replis de leur propre organisation.
Ce que les dirigeants vivent comme un coup de tonnerre est en réalité l’aboutissement d’un processus patient. Un journaliste d’investigation, une ONG spécialisée, un concurrent agressif, un ancien salarié rancunier, un activiste actionnarial, un parlementaire en quête de visibilité, ont tous en commun une même méthode : ils cartographient les vulnérabilités, ils accumulent les pièces, ils attendent le moment favorable, puis ils frappent – généralement au pire moment pour la cible, souvent au meilleur pour leur propre agenda.
Ce que ces attaquants font, patiemment, contre vous, LaFrenchCom le fait avant eux, pour vous. C’est l’objet de l’Audit de Vulnérabilité Narrative : une opération offensive menée par vos propres conseils, qui consiste à retourner contre votre organisation l’arsenal analytique des attaquants, afin de découvrir les angles morts avant que d’autres ne les exploitent.
Le principe : penser comme un attaquant, agir comme un défenseur
La plupart des audits de risque, qu’ils soient conduits en interne par les directions de l’audit, en externe par les Big Four, ou par les conseils juridiques, partagent une même faiblesse structurelle : ils pensent en termes de conformité et non en termes de narration. Ils cherchent à vérifier que l’entreprise respecte les règles, les normes, les procédures. Ils ne cherchent pas à savoir quelle histoire on pourrait raconter à partir des faits recensés.
Or, une crise réputationnelle n’est jamais fondée sur un défaut de conformité abstrait. Elle est toujours fondée sur une histoire, c’est-à-dire sur un enchaînement narratif articulant des faits, des personnages, des motivations, des victimes, des coupables, des enjeux. Cette histoire, un journaliste peut la construire à partir d’éléments parfaitement légaux, parfaitement conformes, parfaitement documentés dans des rapports publics. La différence entre une organisation qui traverse une crise indemne et une organisation qui s’y effondre ne réside pas dans la qualité de sa conformité, mais dans la vulnérabilité narrative des éléments disponibles sur elle analyse l’expert en communication de crise et Président Fondateur de LaFrenchCom.
L’Audit de Vulnérabilité Narrative repose donc sur une inversion méthodologique radicale. Il ne s’agit plus de se demander : « sommes-nous en règle ? ». Il s’agit de se demander : « si un journaliste d’investigation talentueux, disposant de six mois et d’un budget confortable, décidait de nous détruire, quelles histoires pourrait-il raconter à partir de ce qui est publiquement ou discrètement accessible sur nous ? ».
La réponse à cette question, lorsqu’elle est conduite rigoureusement, est toujours stupéfiante pour les dirigeants qui la commandent. Elle révèle que leur organisation est beaucoup plus exposée qu’ils ne le pensaient – et que les angles d’attaque qu’ils redoutaient ne sont jamais les plus dangereux.
Les sept familles de vulnérabilités narratives
Quinze années d’expérience et plusieurs centaines d’audits ont permis à LaFrenchCom d’identifier sept grandes familles de vulnérabilités narratives, qui constituent la matrice de nos investigations.
Première famille : les incohérences de discours
Une entreprise parle, beaucoup, et à de multiples publics. Elle parle à ses investisseurs dans ses rapports annuels, à ses clients dans ses campagnes publicitaires, à ses salariés dans sa communication interne, à ses régulateurs dans ses déclarations réglementaires, à ses parties prenantes dans ses rapports de durabilité, à la presse dans ses communiqués. Chacune de ces prises de parole est, prise isolément, soigneusement calibrée. Mais rapprochées, comparées, confrontées, elles révèlent souvent des contradictions majeures. Un dirigeant qui affirme à Davos son engagement climatique alors que le rapport financier documente une exposition croissante aux énergies fossiles. Une entreprise qui communique sur sa politique d’inclusion alors que le document de référence révèle une masculinisation du comité exécutif. Un groupe qui revendique la souveraineté industrielle alors que ses filiales ont silencieusement délocalisé. Ces dissonances, invisibles isolément, deviennent des armes redoutables lorsqu’un journaliste les met en face-à-face.
Deuxième famille : les zones grises ESG
La régulation extra-financière a créé un paradoxe redoutable. En obligeant les entreprises à publier d’immenses volumes d’informations sur leurs pratiques environnementales, sociales et de gouvernance, elle a fourni aux attaquants un matériau d’une richesse inouïe. Les rapports de durabilité, les déclarations de performance extra-financière, les CSRD, les taxonomies vertes, les engagements climatiques, les politiques de diversité, sont autant de sources exploitables. Chaque écart entre l’engagement affiché et la réalité documentée devient une ligne d’attaque potentielle, souvent qualifiée de greenwashing, pinkwashing ou socialwashing. L’Audit cartographie systématiquement ces zones grises.
Troisième famille : les passifs oubliés
Toute entreprise ancienne traîne derrière elle des dossiers refermés dont personne ne se souvient plus : un licenciement contentieux d’il y a douze ans, une filiale fermée après un accident, un dirigeant limogé pour comportement inapproprié, un procès perdu discrètement, une enquête administrative classée sans suite. Ces passifs dorment dans les archives, les greffes de tribunaux, les publications obscures du Journal Officiel, les rapports annuels anciens que plus personne ne consulte. Ils sont parfaitement accessibles à qui sait chercher – et ils constituent la matière première idéale d’un récit de récidive : « Ce n’est pas la première fois que ce groupe… ». L’Audit exhume méthodiquement ces passifs pour permettre à l’organisation de préparer des réponses.
Quatrième famille : les paroles compromettantes des dirigeants
Un dirigeant laisse une traînée considérable de prises de parole publiques : interviews, conférences, podcasts, posts LinkedIn, tweets anciens, interventions universitaires, préfaces d’ouvrages, discours devant des associations professionnelles. Sur plusieurs années, ce corpus accumule inévitablement des déclarations qui, sorties de leur contexte, peuvent devenir embarrassantes : prédictions démenties par les faits, prises de position contredites par des décisions ultérieures, propos datés au regard des sensibilités contemporaines, affirmations enthousiastes sur des partenaires devenus gênants. L’Audit constitue un corpus exhaustif des prises de parole des principaux dirigeants et identifie les citations qui, ressorties à mauvais escient, pourraient être instrumentalisées.
Cinquième famille : les vulnérabilités humaines internes
Les crises les plus violentes sont presque toujours nourries par des sources internes : salariés mécontents, cadres évincés, anciens dirigeants en délicatesse, lanceurs d’alerte, syndicats en conflit. L’Audit inclut une cartographie confidentielle des zones de tension interne : litiges prud’homaux en cours, départs contentieux récents, signalements au dispositif d’alerte interne, conflits sociaux latents, dirigeants ayant quitté l’entreprise dans des conditions litigieuses. Chaque point de tension est un canal potentiel de fuite, et chaque fuite est une munition pour un attaquant extérieur.
Sixième famille : les écosystèmes compromettants
Aucune entreprise ne vit seule. Elle a des fournisseurs, des sous-traitants, des partenaires, des clients, des actionnaires, des administrateurs siégeant dans d’autres conseils. Chacun de ces liens peut devenir une vulnérabilité si l’écosystème se dégrade : un fournisseur mis en cause pour travail forcé, un sous-traitant impliqué dans un scandale environnemental, un administrateur pris dans une affaire de corruption sur un autre mandat, un client devenu politiquement toxique, un actionnaire sanctionné internationalement. L’Audit dresse la cartographie des liens sensibles et évalue leur potentiel de contamination narrative.
Septième famille : les angles sectoriels
Chaque secteur d’activité porte ses propres narratifs dominants, qui constituent autant de prismes à travers lesquels les entreprises du secteur seront lues par les médias, les ONG et l’opinion. L’industrie extractive est lue à travers le prisme climatique et néocolonial. La pharmacie est lue à travers le prisme de l’accès aux soins et de la financiarisation. Le luxe est lu à travers le prisme des inégalités et des conditions de travail dans les chaînes d’approvisionnement. La finance est lue à travers le prisme de la spéculation et de l’évasion fiscale. La tech est lue à travers le prisme de la vie privée, de la concentration et de l’impact cognitif. L’Audit identifie, pour chaque organisation, les narratifs sectoriels dominants auxquels elle sera inévitablement confrontée.
La méthodologie red team : retourner l’arsenal des attaquants
L’Audit de Vulnérabilité Narrative se distingue radicalement d’un audit conventionnel par son mode opératoire. LaFrenchCom mobilise, pour chaque mission, une équipe red team composée de profils spécifiquement recrutés pour penser comme les attaquants.
Cette red team comprend typiquement d’anciens grands reporters et journalistes d’investigation issus des principales rédactions françaises – ceux-là mêmes qui, dans leur précédente vie, auraient pu écrire l’article redouté. Elle comprend des spécialistes de l’open-source intelligence (OSINT), capables de croiser les bases de données, les registres publics, les archives, les réseaux sociaux, les publications académiques et les données judiciaires. Elle comprend d’anciens magistrats ou enquêteurs administratifs, qui connaissent les mécaniques procédurales par lesquelles une information peut être révélée. Elle comprend des spécialistes des ONG et du militantisme, qui maîtrisent les codes, les méthodes et les circuits d’influence du secteur associatif. Elle comprend, enfin, des analystes sectoriels capables de lire les zones grises spécifiques à chaque industrie.
Ces équipes travaillent en vase clos, sur un périmètre strictement défini, avec une discipline méthodologique rigoureuse. Elles ne cherchent pas à juger l’entreprise – la red team n’est pas un tribunal moral. Elles cherchent à construire le meilleur dossier à charge possible à partir des éléments accessibles, exactement comme le ferait un attaquant hostile. Plus le dossier à charge est solide, plus l’Audit est utile.
Cette posture méthodologique exige une rigueur éthique exceptionnelle. La red team opère sous contrat de confidentialité absolue, sous supervision d’un associé senior de LaFrenchCom, et dans un cadre strictement limité aux sources légalement accessibles. Il ne s’agit jamais d’espionnage, d’intrusion, de manipulation de sources internes ou de quelque pratique illicite que ce soit. Il s’agit, simplement, d’appliquer à l’organisation cliente, avec son consentement éclairé et son mandat explicite, les méthodes publiques qu’un attaquant déterminé mobiliserait nécessairement contre elle.
Le déroulement d’une mission en quatre étapes
Une mission d’Audit de Vulnérabilité Narrative se déroule classiquement sur huit à douze semaines, selon la complexité de l’organisation et l’étendue du périmètre retenu.
Étape 1 – Cadrage confidentiel (1 semaine)
Conversation approfondie avec le commanditaire, généralement le président, le directeur général, le directeur juridique ou le directeur de la communication. Définition du périmètre : l’ensemble du groupe ou une filiale spécifique, un dirigeant individuel ou l’équipe exécutive complète, un projet stratégique sensible ou la totalité des activités. Signature d’un accord de confidentialité renforcé et cadrage du protocole de restitution.
Étape 2 – Investigation red team (5 à 8 semaines)
La red team opère en parallèle sur plusieurs axes : exploration documentaire exhaustive des sources ouvertes, reconstitution chronologique des positions publiques du groupe et de ses dirigeants, analyse des angles sectoriels et concurrentiels, cartographie des parties prenantes hostiles ou potentiellement hostiles, entretiens anonymisés avec des tiers extérieurs – anciens salariés, anciens partenaires, journalistes spécialisés, analystes sectoriels – conduits sans révéler l’identité du commanditaire. Cette phase est la plus intensive et la plus sensible de la mission.
Étape 3 – Construction des scénarios d’attaque (2 semaines)
À partir des éléments collectés, la red team construit trois à cinq scénarios d’attaque hypothétiques pleinement articulés : chaque scénario correspond à une ligne narrative crédible qu’un attaquant déterminé pourrait déployer contre l’organisation. Chaque scénario est présenté dans son intégralité : angle, pièces mobilisables, porteurs plausibles de l’attaque (média, ONG, concurrent, parlementaire, activiste), calendrier probable, impact attendu sur les parties prenantes. L’exercice, parfois brutal pour les dirigeants qui le reçoivent, est d’une valeur opérationnelle considérable.
Étape 4 – Restitution stratégique et plan de remédiation (1 à 2 semaines)
La restitution se fait en deux temps. Une première restitution, confidentielle, au commanditaire seul, permet d’absorber le choc et de calibrer la présentation élargie. Une seconde restitution, au comité exécutif et/ou au conseil d’administration selon les cas, présente les vulnérabilités identifiées, les scénarios d’attaque, et surtout un plan de remédiation hiérarchisé. Certaines vulnérabilités peuvent être corrigées en profondeur (refonte d’une politique, réforme d’une pratique, renégociation d’un partenariat). D’autres ne peuvent pas être corrigées mais doivent être préparées narrativement (éléments de langage, holding statements, documentation défensive). D’autres enfin relèvent de la prévention active (veille renforcée, monitoring des émetteurs potentiels, réconciliation avec certaines parties prenantes).
L’articulation avec les autres dispositifs de crise
L’Audit de Vulnérabilité Narrative n’est pas un dispositif isolé. Il s’articule naturellement avec l’ensemble des offres stratégiques de LaFrenchCom, et notamment avec la Doctrine de Riposte Réputationnelle.
L’Audit alimente directement la Doctrine : la cartographie des vulnérabilités nourrit la définition des lignes rouges, les scénarios d’attaque orientent la construction des protocoles de réponse graduée, les angles identifiés permettent de calibrer les éléments de langage doctrinaux. Dans l’idéal, un Audit de Vulnérabilité Narrative précède l’élaboration d’une Doctrine – il constitue, en quelque sorte, le diagnostic préalable qui permet à la doctrine d’être taillée sur mesure plutôt que conçue dans l’abstraction.
Inversement, l’Audit peut être conduit en cours de mission Doctrine, comme exercice de stress-test des protocoles existants. Il peut également être commandé de manière autonome, par des organisations qui ne sont pas prêtes à engager le chantier plus lourd d’une Doctrine complète, mais qui souhaitent un diagnostic approfondi de leur exposition réputationnelle.
Il peut enfin être conduit en urgence, dans des contextes particuliers : veille d’une opération stratégique majeure (introduction en Bourse, fusion-acquisition, changement de dirigeant, restructuration profonde), prise de fonction d’un nouveau président, préparation d’une campagne publique ambitieuse, anticipation d’une régulation sectorielle sensible. Dans ces contextes, l’Audit se conduit sur un format accéléré de quatre à six semaines.
Pour quelles organisations et quels dirigeants
L’Audit de Vulnérabilité Narrative s’adresse à trois publics principaux.
Les organisations à forte exposition, d’abord : groupes cotés, institutions financières, industriels opérant dans des secteurs sensibles, acteurs soumis à une régulation étroite, entreprises évoluant dans des écosystèmes militants actifs (énergie, mines, pharmacie, agroalimentaire, tech, luxe, défense). Pour ces organisations, l’Audit est une hygiène stratégique recommandée tous les deux à trois ans.
Les dirigeants personnellement exposés, ensuite : présidents-directeurs généraux à forte notoriété, dirigeants de sociétés familiales où la marque porte leur nom, personnalités publiques issues du monde politique ou culturel arrivées à la tête d’entreprises, dirigeants engagés dans des prises de position sociétales fortes. Pour ces dirigeants, un Audit personnel complémentaire à l’Audit organisationnel peut être pertinent, afin d’évaluer l’exposition individuelle – patrimoine, vie privée, passé professionnel, engagements extérieurs, liens personnels – qui peut devenir vecteur d’attaque contre l’entreprise.
Les organisations en préparation d’opérations sensibles, enfin : préalablement à une IPO, à un carve-out, à une acquisition structurante, à une levée de fonds majeure, à une entrée sur un nouveau marché géographique. Dans ces contextes, l’Audit permet d’anticiper les angles d’attaque qui pourraient surgir au moment même où l’organisation est la plus exposée et la moins apte à réagir.
Livrables et confidentialité
À l’issue de la mission, le commanditaire reçoit trois livrables.
Le Dossier Rouge, rapport confidentiel principal, d’environ cent à cent cinquante pages, présente l’intégralité des investigations conduites, les vulnérabilités identifiées classées par famille et par niveau de criticité, les scénarios d’attaque hypothétiques pleinement rédigés, et les recommandations de remédiation.
La Synthèse Exécutive, document d’une vingtaine de pages destiné à la communication avec le conseil d’administration ou les actionnaires de référence, présente les conclusions stratégiques sans exposer l’intégralité du matériau sensible.
Le Plan de Remédiation, document opérationnel destiné aux équipes qui pilotent la mise en œuvre des actions correctives, hiérarchisé par niveau de priorité et par direction responsable.
Tous ces livrables sont produits en copies numérotées, avec un protocole de diffusion strictement contrôlé. LaFrenchCom ne conserve pas de copie numérique persistante au-delà de la mission et procède, sur demande, à la destruction certifiée de l’ensemble du matériau. Cette discipline de confidentialité est un prérequis absolu de notre métier : aucune fuite d’Audit n’a jamais été constatée en quinze années d’activité.
Premier contact
L’Audit de Vulnérabilité Narrative est une mission qui ne s’engage pas à la légère. Elle exige, du commanditaire, un courage stratégique certain – celui d’accepter de se voir sous l’angle le plus défavorable – et une maturité de gouvernance suffisante pour transformer les conclusions en décisions.
Le premier contact se fait, comme pour l’ensemble de nos missions stratégiques, par une conversation exploratoire confidentielle d’environ quatre-vingt-dix minutes, à l’initiative du président, du directeur général, du directeur juridique ou du directeur de la communication. À l’issue de cette conversation, et après signature d’un accord de confidentialité mutuel, LaFrenchCom remet une proposition d’engagement détaillée, incluant le périmètre précis, le calendrier, la composition nominative de la red team, et les conditions financières.
L’Audit de Vulnérabilité Narrative est une méthodologie propriétaire de LaFrenchCom.
