Cyberattaques et crises numériques : les nouveaux standards de la parole institutionnelle

La cyberattaque n’est plus une crise technique parmi d’autres. Elle est devenue une forme majeure de crise organisationnelle, parce qu’elle touche à la fois la continuité d’activité, la confiance, les données, les partenaires, les régulateurs et, très souvent, la réputation. ENISA souligne dans son Threat Landscape 2025 que les attaques par rançongiciel restent la menace la plus impactante dans l’Union européenne, tandis que l’ANSSI indique avoir traité 3 586 événements de sécurité en 2025, dont 128 compromissions par rançongiciel, avec parfois des modes de fonctionnement dégradés pendant plusieurs semaines dans les organisations touchées. Autrement dit, la crise cyber n’est plus un scénario marginal ; elle appartient désormais au régime ordinaire de vulnérabilité des institutions. Cette montée en puissance change profondément la communication de crise. Le National Cyber Security Centre britannique rappelle qu’un incident cyber n’est pas seulement un problème de cybersécurité : c’est aussi un enjeu de continuité d’activité, de communication, ainsi que parfois un problème juridique et financier. L’ANSSI insiste de son côté sur les particularités d’une crise d’origine cyber : mise en péril des objectifs prioritaires, fulgurance des impacts, technicité élevée, caractère évolutif de l’événement, et sortie de crise potentiellement longue, parfois sur plusieurs mois. La parole institutionnelle ne peut donc plus être conçue comme un simple habillage de la réponse technique ; elle devient un levier direct de pilotage de la crise. Le vieux modèle de la communication de crise, fondé sur l’idée qu’il faut d’abord comprendre puis seulement parler, résiste mal à cet environnement analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom spécialisée dans la gestion des crises sensibles. En cyber, l’incertitude initiale est souvent massive, mais les attentes d’information sont immédiates. Les clients veulent savoir si le service fonctionne, les salariés si leurs outils sont compromis, les partenaires si les interconnexions sont affectées, les régulateurs s’ils doivent être notifiés, et les marchés — pour certaines entreprises — s’ils doivent être informés d’un incident matériel. La crise cyber impose donc une parole plus précoce, plus prudente, plus séquencée et plus procédurale que beaucoup d’autres crises.

Une crise où parler, c’est déjà agir

La première singularité de la crise cyber est que la communication n’y est jamais neutre. L’ANSSI rappelle, dans son guide sur la remédiation après cyberattaque, que réagir face à une attaque revient à entrer dans une interaction avec un adversaire : les actions des défenseurs sont observées, interprétées, et les communications internes comme externes peuvent elles-mêmes devenir des sources d’information pour l’attaquant. Le même document précise que le choix d’un niveau de communication pendant un incident grave influe fortement sur le déroulement et les impacts de la crise. Dans ce contexte, parler n’est pas seulement informer ; c’est aussi exposer ou protéger. Cette dimension adversariale rend la cybercrise très différente d’un accident classique. L’ANSSI note aussi que certaines mesures d’endiguement précipitées peuvent provoquer des effets de bord lourds : arrêt prolongé de l’activité, perte de visibilité sur l’attaque, altération ou suppression des traces techniques utiles à l’enquête. La communication subit la même tension. Une parole trop détaillée, trop rapide ou trop assurée peut gêner l’investigation, exposer des faiblesses ou nourrir l’adaptation de l’adversaire ; une parole trop tardive ou trop opaque peut, à l’inverse, déclencher rumeurs, défiance et désorganisation. Le standard contemporain n’est donc ni le silence, ni la transparence naïve, mais une transparence gouvernée. Il faut ajouter une autre contrainte : en cas d’attaque significative, les canaux ordinaires de communication peuvent eux-mêmes être touchés. Le NCSC recommande explicitement de prévoir des moyens alternatifs pour joindre salariés, parties prenantes et clients lorsque les canaux habituels ne sont plus disponibles. L’ANSSI formule une exigence proche lorsqu’elle recommande de préparer des capacités de réponse, y compris en cas de perte des moyens informatiques et de communication nominaux. La parole institutionnelle cyber ne doit donc pas seulement être juste ; elle doit être techniquement résiliente.

La parole cyber est désormais sous horloge

L’un des changements les plus décisifs tient au fait que la communication cyber n’est plus seulement une variable réputationnelle. Elle est aussi cadrée par des obligations de notification, de divulgation et d’information qui imposent des horloges très concrètes. La directive NIS2 prévoit une logique de signalement en plusieurs temps : un early warning dans les 24 heures après la prise de conscience de l’incident, une notification dans les 72 heures, puis un rapport final au plus tard un mois plus tard. La Commission européenne souligne aussi que ce régime s’accompagne de sanctions harmonisées et de dispositions renforçant la responsabilité du management dans les entités concernées. La parole institutionnelle n’est donc plus libre de son calendrier ; elle doit composer avec un temps réglementaire. À cette première horloge s’ajoute celle du RGPD. La CNIL rappelle qu’en cas de violation de données présentant un risque pour les droits et libertés des personnes, une notification doit être transmise dans les meilleurs délais et, si possible, dans les 72 heures. Elle précise également qu’une notification initiale peut être complétée ultérieurement lorsque des investigations sont encore en cours, et qu’en cas de risque élevé, les personnes concernées doivent elles aussi être informées. La communication cyber doit donc apprendre à parler avec des faits encore incomplets, mais dans des délais déjà contraints. Pour certains secteurs, les exigences se resserrent encore. La Commission européenne a publié en 2025 les actes délégués et d’exécution de DORA relatifs au signalement des incidents ICT majeurs dans le secteur financier ; le règlement délégué 2025/301 prévoit notamment une notification initiale dans les quatre heures suivant la classification de l’incident comme majeur, ainsi qu’un rapport intermédiaire sous 72 heures et un rapport final ultérieur. À cela s’ajoute, pour les sociétés cotées américaines relevant de la SEC, l’obligation de déposer un Form 8‑K dans les quatre jours ouvrés suivant la détermination du caractère matériel d’un incident de cybersécurité, avec description de la nature, de la portée, du calendrier et de l’impact matériel ou raisonnablement probable. Ces régimes n’ont pas tous la même portée selon les organisations, mais ils convergent vers un même résultat : la communication institutionnelle cyber n’est plus un commentaire après coup. Elle fait partie intégrante de la conformité, de la gouvernance et de la gestion du risque. Le communicant de crise doit donc travailler avec plusieurs temps simultanés : le temps technique de l’investigation, le temps juridique de la notification, le temps opérationnel de la continuité d’activité, et parfois le temps financier du marché. C’est précisément cette superposition qui crée les nouveaux standards de la parole institutionnelle.

Parler tôt, mais parler sous méthode

Dans ce contexte, le premier standard nouveau est la préparation. Le NCSC recommande de définir à l’avance rôles, responsabilités et protocoles de communication, de prévoir des modèles préapprouvés pour différents scénarios, d’identifier les porte-parole officiels, de cartographier les parties prenantes à informer et de mettre en place une veille média et réseaux sociaux pour répondre vite aux rumeurs ou à la désinformation. Il recommande également des exercices réguliers afin de tester l’efficacité du dispositif et de l’ajuster en fonction de l’évolution des menaces et des exigences réglementaires. La parole cyber ne s’invente donc pas à chaud ; elle se préconfigure. Le second standard est la clarté sans sur-promesse. Le NCSC indique que les communications doivent être claires, cohérentes, faisant autorité, accessibles et opportunes ; elles doivent apporter des informations exactes sur l’impact, éviter l’hyperbole, et surtout s’abstenir d’affirmer prématurément des choses qui pourraient devoir être retirées ensuite. Le guide cite explicitement le cas problématique d’une organisation qui assurerait trop tôt qu’aucune donnée personnelle n’a été touchée, alors même que l’enquête évolue encore. Ce point est central : en cyber, la crédibilité ne naît pas d’une certitude affichée, mais d’une méthode de parole visible. Le troisième standard est l’abandon de la spéculation. Le NCSC recommande d’éviter les conclusions prématurées sur la cause, l’étendue de l’incident ou l’identité de l’attaquant, tout en continuant à fournir des mises à jour factuelles. C’est une règle plus importante en cyber qu’ailleurs, car l’attribution est souvent complexe, les traces peuvent être incomplètes, et les premières hypothèses sont fréquemment révisées. Une parole institutionnelle mature doit donc savoir dire : “voici ce qui est confirmé”, “voici ce qui est encore vérifié”, “voici ce que nous faisons maintenant”, sans remplir le vide par des conjectures séduisantes.

Adapter le message sans fragmenter la vérité

La crise cyber se caractérise aussi par une forte différenciation des publics. Le NCSC souligne qu’une organisation doit communiquer avec des groupes distincts — salariés, clients, partenaires, parties prenantes, médias — et adapter son niveau de détail à leurs besoins spécifiques tout en maintenant des points de cohérence communs. Il recommande même que la communication soit intégrée aux réunions internes de pilotage afin que les équipes communication disposent d’une conscience de situation suffisante. La communication cyber n’est donc pas un message unique diffusé à tous ; c’est une architecture de messages cohérents. L’ANSSI formule une exigence semblable à propos de l’écosystème de l’organisation. Dans son guide de remédiation, elle indique qu’en anticipation il faut catégoriser les partenaires selon leur besoin d’information, identifier les scénarios de coordination ou de communication, prévoir des clauses contractuelles adaptées aux incidents cyber et recenser les obligations contractuelles et réglementaires de communication. En réaction, elle recommande de mettre à jour ces catégories et de choisir des modes de communication adaptés à la posture de discrétion retenue. Là encore, le standard n’est plus l’unicité abstraite du message ; c’est la cohérence organisée entre plusieurs destinataires. Cette exigence de différenciation vaut particulièrement pour l’interne. En cyber, les salariés sont à la fois victimes potentielles, opérateurs de continuité, relais d’information et parfois premiers points de contact avec les clients. Les laisser apprendre la situation par des canaux externes ou par des rumeurs internes est une faute fréquente. Le nouveau standard consiste donc à traiter l’interne comme un public prioritaire, avec un langage compréhensible, des consignes concrètes, des rythmes de mise à jour, et des canaux alternatifs lorsque l’environnement habituel est dégradé.

Transparence utile, discrétion stratégique

C’est sans doute ici que la crise cyber se distingue le plus nettement des autres crises : elle oblige à penser la communication en termes de posture de discrétion. L’ANSSI propose, dans son guide de remédiation, trois niveaux de discrétion : une posture faible, qui privilégie la transparence en acceptant le risque d’informer l’attaquant ; une posture moyenne, fondée sur une communication ciblée limitant les détails publics ; et une posture élevée, qui privilégie le secret pour priver l’adversaire d’informations, quitte à ne pas informer employés, partenaires ou public. L’agence précise que cette posture doit rester évolutive, selon la situation de l’incident, afin de trouver un équilibre entre efficacité de l’action et discrétion. Cette doctrine est extrêmement précieuse, car elle évite deux erreurs symétriques. La première serait de croire qu’en cyber, la seule bonne réponse est la transparence intégrale. Ce n’est pas vrai : certaines informations peuvent aider l’attaquant à comprendre les mesures prises, à contourner une remédiation ou à exploiter encore des accès. La seconde erreur serait de se réfugier dans un silence global au nom de la sécurité. Ce n’est pas soutenable non plus, ni légalement, ni relationnellement, ni opérationnellement. Le bon standard est donc une transparence utile, c’est-à-dire une transparence qui protège les publics sans compromettre inutilement l’endiguement, l’enquête ou la remédiation. Cette tension entre transparence et discrétion explique pourquoi la communication cyber est devenue plus procédurale que déclarative. Il ne s’agit plus simplement de “dire la vérité”, formule trop générale pour être opérationnelle ; il faut dire ce qui est confirmé, ce qui ne l’est pas encore, ce qui ne peut pas être détaillé immédiatement sans risque, et à quel moment une nouvelle mise à jour sera fournie. En cyber, la sincérité ne se mesure pas seulement au contenu d’un aveu, mais à la discipline avec laquelle l’organisation ordonne l’incertain.

Une parole de service, pas seulement de réputation

Une autre évolution majeure concerne la finalité même de la communication. Pendant longtemps, beaucoup d’organisations ont abordé la cyberattaque d’abord comme un sujet d’image. Cette logique est devenue trop étroite. Les guides officiels convergent vers une autre approche : la communication doit aider les personnes concernées à comprendre l’impact réel de l’incident et à agir. Le NCSC recommande, lorsqu’un grand nombre de personnes peuvent être touchées, la mise en place d’une ligne d’assistance, d’une adresse email ou d’une plateforme dédiée pour permettre aux clients d’obtenir de l’aide et des mises à jour. Il insiste aussi sur la nécessité de refléter les conséquences concrètes pour les usagers, et pas seulement les aspects techniques de l’incident. La CNIL va dans le même sens lorsqu’elle rappelle que la notification d’une violation doit décrire les conséquences probables de l’incident ainsi que les mesures prises ou envisagées pour éviter sa répétition ou en atténuer les conséquences négatives. Elle ajoute qu’en cas de risque élevé, les personnes concernées doivent être informées, et conseille, lorsque la violation fait suite à une cyberattaque, de déposer plainte et de conserver les éléments de preuve technique utiles aux enquêteurs. La communication cyber ne se réduit donc plus à “tenir un discours” ; elle consiste aussi à fournir des informations praticables et protectrices. Ce déplacement est fondamental. Dans une cybercrise, une bonne parole institutionnelle n’est pas seulement celle qui rassure ; c’est celle qui équipe. Elle explique ce qui change, ce que l’on sait, ce que l’on ignore encore, ce que l’organisation fait, et ce que les personnes concernées doivent faire elles-mêmes. C’est pourquoi la communication cyber tend à devenir une communication de service : FAQ, consignes de réinitialisation, modalités d’assistance, points de contact, calendrier prévisionnel de restauration, précautions à prendre contre l’hameçonnage secondaire ou les escroqueries opportunistes. La réputation dépend alors de la qualité de l’aide fournie autant que du ton employé.

Une affaire de gouvernance au plus haut niveau

Les nouveaux standards de la parole institutionnelle tiennent aussi à un fait simple : la cyberattaque est désormais traitée comme un sujet de gouvernance. Le NCSC rappelle que le conseil d’administration est ultimement responsable des incidents, en tant qu’organe de gouvernance, et qu’un plan de réponse doit définir délégations d’autorité, responsabilités de contact avec fournisseurs, régulateurs et membres du board. La SEC exige, pour sa part, des disclosures annuels sur la gouvernance et le pilotage du risque cyber par les conseils d’administration et le management. NIS2, enfin, introduit explicitement des dispositions sur la responsabilité des personnes occupant des fonctions de direction dans les entités concernées. Cela modifie la valeur de la parole officielle. Elle ne relève plus uniquement du service communication ou du porte-parolat média ; elle engage la responsabilité de la gouvernance. C’est pourquoi les communications cyber réussies sont généralement celles où le niveau technique, le niveau juridique, le niveau métier et le niveau décisionnel sont articulés, et non placés en concurrence. Le nouveau standard n’est pas la centralisation absolue de la parole, mais la capacité d’un centre de décision à produire une parole commune, techniquement informée, juridiquement soutenable et humainement intelligible.

Le temps long de la cybercrise

Enfin, la communication cyber a ceci de particulier qu’elle ne s’achève pas lorsque l’incident principal est “contenu”. Le NCSC consacre un principe entier à la gestion de l’après-coup et souligne qu’une crise cyber peut avoir un temps de récupération allant de quelques jours à plusieurs mois. Le guide destiné aux CEO ajoute que les incidents ont souvent une “long tail”, avec des effets persistants sur les équipes, les décisions, la reconstruction et la prévention des attaques futures. L’ANSSI dit la même chose lorsqu’elle rappelle que la sortie de crise peut être longue et que chaque activation doit conduire à un retour d’expérience pour réviser gouvernance et mesures de sécurité. Cela signifie que les standards de la parole institutionnelle ne portent plus seulement sur le premier communiqué. Ils portent aussi sur la qualité du suivi : points réguliers, documentation des étapes de remise en état, information sur les conséquences pour les utilisateurs, accompagnement de la reprise, et explication des mesures correctrices. Le temps de la cybercrise est rarement celui d’un pic bref ; c’est souvent celui d’une fatigue prolongée. Une organisation crédible est donc une organisation qui sait maintenir une communication stable après l’attention initiale, quand le bruit médiatique décroît mais que les besoins d’information, eux, demeurent. Les cyberattaques ont fait émerger de nouveaux standards de la parole institutionnelle parce qu’elles combinent des propriétés rarement réunies avec une telle intensité : technicité, incertitude, adversarialité, dégradation possible des canaux, obligations réglementaires serrées, impacts directs sur les personnes, et durée de remédiation souvent longue. Dans cet univers, la communication ne peut plus être pensée comme un volet secondaire de la crise. Elle devient une fonction de gouvernance, de conformité, de coordination et de service. Le nouveau standard se résume alors en quelques principes simples, mais exigeants : préparer avant, parler tôt sans sur-promettre, distinguer ce qui est confirmé de ce qui ne l’est pas, adapter le niveau de détail selon les publics, ménager une discrétion stratégique lorsque l’adversaire peut tirer profit des communications, fournir des informations concrètes aux personnes affectées, et tenir dans la durée. La bonne parole cyber n’est ni un vernis de réputation, ni une récitation juridique. C’est une parole sous contrainte, mais une parole utile : assez rapide pour empêcher le vide, assez précise pour ne pas se retourner contre elle-même, assez humaine pour reconnaître les impacts, et assez disciplinée pour ne pas compromettre la réponse.