- Ce qui rend la cybercrise différente des autres crises
- Le dilemme clé : transparence utile vs. transparence dangereuse
- Première règle opérationnelle : sécuriser vos canaux de communication
- Cartographier vos publics : la cybercrise n’a pas “un” message, elle a des besoins
- Ce qu’il faut dire (et comment le dire) dans les premières heures
- Ce qu’il ne faut pas dire (car cela aide l’attaquant… ou vous fragilise)
- Cas particulier : rançongiciel et extorsion (double / triple extorsion)
- Cas particulier : violation de données personnelles (data breach)
- Entre technique et communication : comment travailler avec l’Incident Response
- Le rôle du juridique : protéger sans étouffer la parole
- Entre obligations et réputation : le cas des sociétés cotées
- Le rythme : l’art du rendez-vous (et des mises à jour)
- La gestion des rumeurs et des “fuites” : ne pas courir après chaque bruit
- Checklist pratique : “communiquer sans aider l’attaquant” (12 règles)
- Après l’incident : transformer l’épisode en preuve de maturité
Une cybercrise est une crise “à adversaire”. Contrairement à une panne industrielle, un accident ou un bad buzz, l’événement n’est pas seulement subi : il peut être piloté par un acteur qui observe vos réactions, teste vos faiblesses, et exploite vos mots insiste l’expert en communication de crise Florian Silnicki. Dans une attaque par rançongiciel, par exemple, l’attaquant ne cherche pas uniquement à bloquer vos systèmes : il cherche à vous faire parler (ou à vous empêcher de parler), à provoquer des erreurs, à créer de l’incertitude chez vos clients, et parfois à vous pousser vers une décision (payer, nier, minimiser, accuser quelqu’un).
D’où le dilemme central : il faut informer vite et utilement, sans fournir d’informations opérationnelles qui aideraient l’attaquant, ni aggraver le risque (technique, juridique, réputationnel, humain). La bonne communication de cybercrise n’est pas un “vernis” : c’est une fonction de protection.
L’agence LaFrenchCom propose une méthode pratique, des “do & don’t”, et une logique d’architecture de parole adaptée aux incidents cyber : rançongiciel, fuite de données, compromission de comptes, attaque sur la chaîne de fournisseurs, etc.
Ce qui rend la cybercrise différente des autres crises
Une crise où l’information est une arme
Dans une cyberattaque, les détails comptent. Une phrase comme “nos sauvegardes sont intactes” peut rassurer… mais aussi indiquer à l’attaquant quoi cibler ensuite. Dire “l’attaque vient d’une faille X” peut montrer votre transparence… mais aussi donner à d’autres adversaires un mode opératoire ou signaler que vous n’avez pas encore corrigé.
La règle n’est donc pas “ne rien dire”. La règle est : parler de l’impact et des actions, pas de vos vulnérabilités.
Une crise souvent “en cours” au moment où vous communiquez
Dans les premières heures, on communique presque toujours avant d’avoir :
- une attribution solide (qui attaque, depuis où, pourquoi) ;
- une cartographie complète (quels systèmes touchés, quelles données exfiltrées, quelles persistances) ;
- une certitude sur la remise en service.
Donc votre langage doit intégrer l’incertitude sans donner l’impression d’improviser : “à ce stade”, “selon nos premières analyses”, “nous mettons à jour régulièrement”, “une investigation est en cours”.
Une crise multi-réglementaire
Selon votre secteur et vos pays, une cybercrise peut déclencher des obligations de notification (autorités, clients, personnes concernées, investisseurs). Par exemple :
- En Europe, le RGPD impose, dans certains cas, de notifier une violation de données à l’autorité de contrôle “sans retard injustifié” et, si possible, dans les 72 heures après en avoir eu connaissance.
- Pour les sociétés cotées aux États-Unis, la SEC a adopté des règles imposant la divulgation d’incidents cyber matériels via l’Item 1.05 du Form 8‑K, généralement dans les quatre jours ouvrables après la détermination de la matérialité.
- La directive NIS2 (UE) prévoit une logique de signalement gradué (souvent décrite comme “24h/72h/1 mois” selon les étapes).
Ces cadres ne sont pas “du détail” : ils façonnent votre stratégie de communication, vos délais, et vos formats. (Et ils doivent être gérés avec vos juristes : ce texte donne une méthode de communication, pas un avis juridique.)
Le dilemme clé : transparence utile vs. transparence dangereuse
En cybercrise, la transparence est attendue. Mais la transparence totale est souvent imprudente, parfois impossible, et parfois illégale (secret d’enquête, confidentialité contractuelle, protection des données).
La bonne question n’est pas : “Faut-il être transparent ?”
C’est : transparent sur quoi, pour qui, quand, et par quel canal ?
Les trois couches d’information
L’agence LaFrenchCom recommande de distinguer trois couches :
- Information publique (grand public / médias)
- impact global (services indisponibles, perturbations)
- mesures de protection (ce que les utilisateurs doivent faire)
- engagement (investigation, restauration, coopération)
- calendrier de mises à jour
- Information ciblée (clients concernés, partenaires, autorités)
- détails utiles à leur gestion du risque (ex : types de données concernés, fenêtres temporelles, mesures recommandées)
- canaux sécurisés, authentifiés, et traçables
- Information sensible (strictement interne, need-to-know)
- vecteurs d’intrusion, indicateurs techniques, failles, état des sauvegardes, segmentation, détails de négociation, etc.
Le communicant de crise doit défendre ce découpage : ce n’est pas “cacher”, c’est protéger.
Première règle opérationnelle : sécuriser vos canaux de communication
C’est un point souvent négligé : pendant une cybercrise, vos canaux habituels peuvent être compromis (messagerie, intranet, outils collaboratifs). Vous ne pouvez pas “bien communiquer” si vous ne pouvez pas communiquer en sécurité.
Les bonnes pratiques de gestion de crise cyber insistent sur la mise en place de plateformes de communication sécurisées pour échanger pendant une crise.
Concrètement, ça implique :
- prévoir un canal “hors SI” (solutions de messagerie sécurisée, téléphones, procédures d’authentification) ;
- éviter d’envoyer des informations sensibles sur des boîtes mail potentiellement compromises ;
- instaurer une discipline : qui écrit, qui valide, où est la “source de vérité”.
Dilemme : communiquer vite vs communiquer en sécurité.
Solution : préconfigurer des canaux d’urgence et une chaîne de validation courte, sinon vous serez condamnés à l’improvisation.
Cartographier vos publics : la cybercrise n’a pas “un” message, elle a des besoins
Un message unique est tentant (“communiqué officiel”). Mais la cybercrise est un puzzle : chaque public a des questions différentes. La méthode consiste à produire un noyau commun + des messages adaptés.
Les publics incontournables
- Salariés : puis-je travailler ? suis-je surveillé ? que dois-je dire ? risque sur ma paie, mon poste ?
- Clients / utilisateurs : mes données sont-elles touchées ? dois-je changer mon mot de passe ? puis-je utiliser le service ?
- Partenaires / fournisseurs : y a-t-il un risque de propagation ? dois-je isoler des flux ?
- Autorités / régulateurs : quelles mesures, quels impacts, quels délais, quelle coopération ? (RGPD, NIS2, sectoriel, etc.)
- Investisseurs (si applicable) : impact matériel, continuité, disclosure (ex : SEC).
- Médias : que s’est-il passé ? combien de personnes touchées ? l’entreprise a-t-elle failli ?
- Opinion : “est-ce que vous êtes dignes de confiance ?”
Le noyau commun : les 4 questions
Votre noyau doit répondre (sans surdétails) à :
- Qu’est-ce qui se passe ? (décrire sans spéculer)
- Quel est l’impact ? (services, données, continuité)
- Que faites-vous ? (investigation, containment, restauration)
- Que doivent faire les autres ? (actions pour se protéger)
C’est la structure la plus robuste car elle est utile sans être technique.
Ce qu’il faut dire (et comment le dire) dans les premières heures
Le “holding statement” : votre pare-feu réputationnel
Dans une cybercrise, le premier message n’a pas vocation à tout expliquer. Il a vocation à :
- occuper le vide informationnel ;
- montrer que vous êtes en action ;
- cadrer l’incertitude ;
- donner un rendez-vous.
Exemple de structure (à adapter) :
- Nous avons détecté un incident de cybersécurité.
- Par mesure de précaution, nous avons isolé certains systèmes / limité certaines fonctionnalités.
- Nous travaillons avec des experts en cybersécurité (et le cas échéant, les autorités compétentes).
- À ce stade, nous investiguons l’étendue et la nature de l’incident.
- Nous publierons une mise à jour à [heure/date] sur [canal officiel].
- Recommandations immédiates : [actions utilisateur].
Ce que vous évitez volontairement au stade 1 :
- l’attribution (qui attaque) ;
- la cause exacte (faille, phishing, etc.) ;
- l’affirmation “aucune donnée n’a fuité” tant que non prouvé.
Une phrase qui protège : “nous enquêtons sur une possible exposition de données”
C’est souvent préférable à “il n’y a pas eu de fuite”, qui deviendra un boomerang si une exfiltration est découverte.
Ce qu’il ne faut pas dire (car cela aide l’attaquant… ou vous fragilise)
Voici une liste de “zones rouges” typiques, avec la logique derrière.
Ne pas détailler votre posture défensive
Évitez de divulguer publiquement :
- l’état précis de vos sauvegardes (“nous avons des backups complets hors ligne”) ;
- votre segmentation réseau, vos outils, vos procédures ;
- les failles exploitées tant que patch non généralisé ;
- la chronologie fine de détection/réponse (elle montre vos angles morts).
Pourquoi ? Parce que vous décrivez votre “terrain” à un adversaire.
Ne pas sur-communiquer sur l’attribution
Dire trop tôt “c’est tel groupe” est risqué :
- attribution difficile à établir (faux drapeaux, revente d’accès) ;
- implications géopolitiques ;
- risque juridique (diffamation, enquêtes).
Vous pouvez dire : “incident en cours d’investigation”, “nous travaillons avec des experts”, “nous coopérons”.
Ne pas faire de promesses impossibles
“Tout sera rétabli demain” quand vous n’en savez rien.
“Vos données sont en sécurité” sans certitude.
“Nous n’avons pas payé” si un processus de décision n’est pas clos.
En cybercrise, la promesse est un contrat : si vous la rompez, vous perdez le peu de confiance restante.
Cas particulier : rançongiciel et extorsion (double / triple extorsion)
La communication ransomware a une complication : l’attaquant peut publier des données, menacer, contacter vos clients ou vos salariés, manipuler des preuves.
Les trois erreurs classiques
- Dénier trop tôt (“fake news”, “pas de fuite”)
- Entrer dans une surenchère (“nous les poursuivrons”, “ils n’auront rien”)
- Parler de négociation (sujet hyper sensible, rarement utile au public)
La posture recommandée
- reconnaître l’incident et la perturbation ;
- informer sur la restauration progressive ;
- expliquer les mesures de protection ;
- indiquer que vous analysez la question de l’exposition de données ;
- donner des instructions concrètes (mots de passe, vigilance phishing, etc.) ;
- créer une page officielle de suivi (statut / FAQ), mise à jour régulièrement.
Ne pas devenir le relais de la propagande de l’attaquant
Les attaquants publient parfois des captures, des “preuves”, des chiffres exagérés.
Votre rôle n’est pas de les relayer. Votre rôle est de :
- reconnaître ce qui est vérifié ;
- expliquer ce qui est en cours de vérification ;
- protéger les personnes (y compris contre l’usurpation).
Cas particulier : violation de données personnelles (data breach)
Là, les attentes publiques sont très concrètes : “quelles données ? pour qui ? quels risques ?”.
Ce qui crée la confiance : la granularité utile
Les personnes touchées veulent savoir :
- types de données concernées (identité, coordonnées, santé, paiement, etc.) ;
- période potentielle d’exposition ;
- actions à faire tout de suite (changement de mot de passe, 2FA, vigilance, gel de crédit selon pays) ;
- comment vous les aidez (support, monitoring, accompagnement).
La redevabilité réglementaire influence le calendrier
Dans l’UE, le RGPD prévoit une notification à l’autorité de contrôle “sans retard injustifié” et, si possible, dans les 72 heures après avoir eu connaissance d’une violation, sauf exceptions liées au risque.
En parallèle, d’autres cadres (sectoriels, NIS2, etc.) peuvent exiger des signalements rapides avec des étapes.
Conséquence communication : votre organisation doit être capable de produire, rapidement, une version “minimalement fiable” de :
- ce qui est connu ;
- ce qui est suspecté ;
- ce qui est fait ;
- ce que les personnes doivent faire.
Entre technique et communication : comment travailler avec l’Incident Response
En cybercrise, le communicant n’écrit pas “à côté” des techniciens. Il doit être dans la boucle. Sinon :
- il promet ce que l’IT ne pourra pas tenir ;
- il publie des infos obsolètes ;
- il bloque l’IR avec des validations interminables.
La mécanique recommandée
- Un brief technique à cadence fixe (ex : toutes les 2–4 heures)
- Un log de crise (fait / hypothèse / action / prochaine mise à jour)
- Une FAQ versionnée (V1, V2…)
- Une règle : une seule source officielle (statut page / newsroom) et tout le reste renvoie vers elle.
Le bon “contrat” entre com et cyber
- La cyberéquipe s’engage à fournir un état de situation clair (même incomplet).
- La com s’engage à ne pas divulguer de détails qui augmentent le risque.
- Le juridique s’engage à protéger sans paralyser.
Le rôle du juridique : protéger sans étouffer la parole
Le juridique est essentiel, mais s’il impose un langage trop opaque (“nous ne pouvons pas commenter”), vous perdez la bataille de la confiance.
L’astuce pédagogique : distinguer ce qu’on ne peut pas dire et ce qu’on peut dire sur ce qu’on ne peut pas dire.
Exemple :
- “Une enquête est en cours, nous ne pouvons pas commenter certains éléments pour ne pas compromettre les investigations. En revanche, voici ce que nous faisons et ce que vous pouvez faire.”
C’est une transparence sur la limite, plus crédible que l’esquive.
Entre obligations et réputation : le cas des sociétés cotées
Si vous êtes une entreprise cotée, la communication est contrainte par les obligations d’information. Aux États‑Unis, par exemple, la SEC impose la divulgation d’incidents cyber matériels via l’Item 1.05 du Form 8‑K, généralement dans les quatre jours ouvrables après la détermination de la matérialité.
Implication : vous devez préparer une communication qui soit :
- factuelle (nature/scope/timing/impact matériel attendu) ;
- prudente (pas d’affirmations non vérifiées) ;
- cohérente avec vos autres prises de parole (clients, médias).
C’est typiquement une zone où un décalage entre “communiqué rassurant” et “disclosure financière anxiogène” détruit la crédibilité.
Le rythme : l’art du rendez-vous (et des mises à jour)
Dans une cybercrise, les publics tolèrent l’incertitude si vous donnez :
- un rythme de mise à jour ;
- une méthode ;
- des preuves de progression.
Cadence type
- Message initial (holding statement)
- Update 1 : impact confirmé, services touchés, premières mesures, recommandations
- Update 2 : restauration partielle + clarification sur la possible exposition de données
- Update 3 : mesures d’aide aux personnes + timeline + prochaines étapes
- Update régulier : même si “rien de nouveau”, on confirme l’état et le prochain point
Le silence est rarement neutre : il est interprété.
La gestion des rumeurs et des “fuites” : ne pas courir après chaque bruit
Les cybercrises génèrent :
- des témoignages d’employés, des captures, des “leaks” ;
- des faux mails d’attaquants se faisant passer pour vous ;
- des “experts” qui spéculent.
Vous ne pouvez pas tout corriger. Vous devez choisir vos batailles :
- corriger seulement ce qui met en danger (phishing massif, fausse procédure, usurpation) ;
- éviter de démentir des détails non essentiels ;
- toujours ramener vers votre canal officiel.
Checklist pratique : “communiquer sans aider l’attaquant” (12 règles)
- Parlez d’impact avant de parler de cause.
- Ne faites pas d’attribution sans preuve solide.
- Ne promettez pas de délai de rétablissement sans marge.
- Évitez de dévoiler sauvegardes, architecture, outils, failles précises.
- Publiez une page de statut et centralisez l’info.
- Donnez des actions concrètes aux utilisateurs (mots de passe, vigilance).
- Mettez en place un canal sécurisé interne (hors SI si besoin).
- Versionnez vos Q&A (la cohérence bat la perfection).
- Dites ce que vous savez / ne savez pas / faites / quand vous mettrez à jour.
- Prévoyez la “seconde vague” (phishing, usurpations, presse d’investigation).
- Préparez des messages spécifiques : salariés, clients, partenaires, régulateurs.
- Passez de la parole à la preuve : rapport d’incident, mesures, audits, indicateurs.
Après l’incident : transformer l’épisode en preuve de maturité
Le paradoxe, c’est qu’une cybercrise peut devenir un moment de reconstruction — si l’organisation prouve qu’elle apprend. Après la phase aiguë, votre communication doit évoluer vers :
- publication de mesures (sans détails exploitables) ;
- amélioration des pratiques (MFA, segmentation, sensibilisation, monitoring, etc.) ;
- audits ou validations indépendantes quand c’est pertinent ;
- retour d’expérience “mature” : causes systémiques, décisions, correctifs.
Si vous reprenez uniquement une communication “image” (“nous sommes une entreprise responsable”), vous déclenchez la suspicion. Si vous publiez des preuves, vous recréez la confiance.