La communication de crise face aux comportements inauthentiques coordonnés

La communication de crise a longtemps été pensée comme l’art de répondre à un message hostile rappelle l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom. Ce cadre devient insuffisant lorsque la crise n’est plus seulement alimentée par un contenu, mais par un ensemble de comptes, de relais, de faux sites, de commentaires, de hashtags et d’amplifications artificielles destinés à fabriquer une impression de masse. La doctrine française a clairement intégré ce basculement : la stratégie nationale 2026-2030 concentre l’action publique sur les comportements inauthentiques et les chaînes de diffusion, tandis que VIGINUM définit sa mission autour de l’étude de phénomènes inauthentiques sur les plateformes, qu’il s’agisse de comptes suspects, de contenus malveillants ou de comportements anormaux et coordonnés. Pour les entreprises, cela change la nature même de la crise réputationnelle : la question n’est plus seulement “que dit-on de nous ?”, mais “qui diffuse, comment, avec quelle artificialité et dans quel but ?”.

Les plateformes elles-mêmes raisonnent désormais en termes comportementaux. Meta définit le Coordinated Inauthentic Behavior comme des efforts coordonnés visant à manipuler le débat public pour un objectif stratégique, avec des faux comptes au cœur de l’opération. TikTok parle, de son côté, d’“opérations d’influence clandestine” comme d’un comportement coordonné et inauthentique dans lequel des réseaux de comptes travaillent ensemble pour tromper les personnes ou les systèmes de la plateforme et influencer la discussion publique sur des sujets importants, y compris électoraux. Il existe donc une convergence forte entre la doctrine publique française, l’approche européenne du FIMI et la grammaire des plateformes : le problème central n’est pas seulement le faux contenu, mais la mise en scène artificielle de sa visibilité et de sa crédibilité.

Comprendre ce que recouvrent les comportements inauthentiques coordonnés

Une définition qui dépasse la simple désinformation

En pratique, un comportement inauthentique coordonné désigne un ensemble d’actions concertées qui cherchent à tromper sur l’identité réelle des acteurs, sur l’authenticité d’une mobilisation ou sur la popularité apparente d’un sujet. VIGINUM l’approche à travers les critères de l’ingérence numérique étrangère, dont l’un porte précisément sur l’usage de moyens inauthentiques ou coordonnés — bots, trolls, faux comptes, sponsorisation de contenus — tandis que la stratégie nationale précise que la réponse publique doit viser d’abord l’opacité, la coordination, l’amplification artificielle et les chaînes de diffusion. Le concept renvoie donc à une logique d’orchestration : une campagne ne vaut pas seulement par ce qu’elle affirme, mais par les procédés employés pour la rendre visible, difficile à attribuer et socialement crédible.

Cette approche est décisive pour la communication de crise, car elle remet en cause une erreur fréquente : assimiler toute crise virale à un débat spontané. Une partie de ce qui semble organique peut en réalité relever d’une mobilisation artificielle, d’un “astroturfing”, de faux commentaires, de relais rémunérés, de comptes dormants réactivés ou de sites miroirs conçus pour blanchir un récit hostile. À l’inverse, toute polémique numérique n’est pas automatiquement un comportement inauthentique coordonné. L’EEAS insiste d’ailleurs sur le fait que les contre-mesures doivent rester proportionnées et s’appuyer sur de forts indicateurs comportementaux de manipulation, comme précisément le recours à des comportements coordonnés et inauthentiques. Autrement dit, le premier devoir du communicant de crise est de qualifier avant d’accuser.

Ce que cette notion n’est pas

Il faut donc distinguer trois réalités. La première est la critique légitime, même virulente, d’une entreprise ou d’un dirigeant. La deuxième est la crise réputationnelle organique, née d’une erreur réelle, d’un incident, d’un contentieux social, d’un choix stratégique contesté ou d’une séquence médiatique défavorable. La troisième est la manœuvre informationnelle, qui se déploie de façon dissimulée, coordonnée et structurée afin d’amplifier artificiellement un narratif et de déstabiliser une cible. Le guide VIGINUM-CDSE consacré aux acteurs économiques insiste justement sur ce point : les campagnes numériques de manipulation de l’information doivent être distinguées de la simple crise communicationnelle ou d’e-réputation, parce qu’elles cumulent des caractéristiques d’inauthenticité, de coordination et de finalité de déstabilisation.

Pourquoi ces comportements bouleversent la communication de crise

La crise ne se joue plus seulement sur un contenu, mais sur une architecture de diffusion

Les cas documentés par VIGINUM montrent que les comportements inauthentiques coordonnés ne se résument jamais à un post isolé. Portal Kombat reposait sur un réseau d’au moins 193 sites diffusant des contenus prorusses à destination de publics internationaux, dont français. Matriochka fonctionnait selon une autre logique : des contenus étaient d’abord publiés sur des chaînes Telegram russes, puis utilisés pour cibler médias, personnalités et cellules de fact-checking afin de les décrédibiliser. Enfin, le retour d’expérience roumain sur TikTok montre comment plusieurs milliers de comptes peuvent être mobilisés de manière coordonnée pour amplifier artificiellement la popularité de mots-clés, manipuler un algorithme de recommandation et s’appuyer sur des canaux Discord et Telegram prépositionnés pour diffuser des consignes de publication et d’évitement de la modération. La leçon pour l’entreprise est simple : une crise moderne peut être portée par une infrastructure bien plus que par une simple rumeur.

Ce déplacement est majeur pour la communication de crise. Tant que l’on traite la séquence comme une discussion autour d’un message, on répond par un message. Mais lorsque la crise est soutenue par un système de diffusion — comptes jetables, faux sites, intermédiaires, influenceurs approchés, réseaux de hashtags, commentaires coordonnés — le démenti public ne suffit plus. Il faut reconstruire la chaîne : qui primo-diffuse, qui crédibilise, qui amplifie, qui recycle, qui monétise, et sur quelles plateformes. C’est exactement le sens de la stratégie nationale française lorsqu’elle fait porter l’action sur les comportements inauthentiques et les chaînes de diffusion plutôt que sur les contenus eux-mêmes.

Le faux consensus est parfois plus dangereux que le faux contenu

L’une des forces de ces dispositifs tient à leur capacité à produire un faux sentiment de consensus. Le guide VIGINUM-CDSE décrit le raid numérique ou l’astroturfing comme une technique visant à créer ou amplifier un bad buzz autour d’un sujet polémique lié à l’entreprise, souvent via hashtags, trolls, bots et publications multi-plateformes. L’enjeu, pour l’attaquant, n’est pas toujours de convaincre en profondeur. Il suffit souvent de faire croire qu’un sujet “prend”, que l’indignation est massive, que tout le monde en parle, ou que la marque est déjà condamnée dans l’opinion. En communication de crise, ce mécanisme est redoutable, car il pousse les organisations à sur-réagir à une apparence d’ampleur parfois artificielle.

C’est pourquoi VIGINUM recommande explicitement de ne pas confondre visibilité affichée et influence réelle. Le guide souligne qu’une information manipulée n’engendre pas nécessairement une crise et qu’il faut prioriser les sujets à traiter, notamment pour éviter d’offrir une visibilité supplémentaire à des contenus qui n’en auraient pas forcément obtenu autrement. Il ajoute que les métriques des plateformes sont imparfaites, manipulables et souvent manipulées dans les manœuvres observées, et qu’elles diffèrent d’une plateforme à l’autre : une vue TikTok ne vaut pas une vue YouTube, pas plus qu’un like sur TikTok n’équivaut à un like sur X. Pour un directeur de crise, cela impose une règle sévère : on ne pilote pas une réponse sérieuse au seul compteur de vues.

Détecter les comportements inauthentiques coordonnés avant l’emballement

Les signaux faibles à surveiller

Une détection utile commence par l’observation des signaux de synchronisation. Lorsqu’un même narratif apparaît en quelques heures sur plusieurs plateformes, dans plusieurs langues ou via des comptes présentant des comportements similaires, il faut sortir de la lecture purement éditoriale. Le guide VIGINUM propose des questions très concrètes : le phénomène touche-t-il un sujet de vulnérabilité pour l’organisation ? Amplifie-t-il des narratifs préexistants ? Contient-il des appels à l’action ? Combien de plateformes et de langues sont concernées ? Est-il repris par des relais influents ? En pratique, ces questions valent comme une grille de triage : elles permettent de distinguer le bruit numérique ordinaire d’une attaque structurée qui cherche à franchir des seuils de visibilité ou à provoquer un passage du champ numérique au champ physique.

Il faut y ajouter une lecture technique minimale. Les cas étudiés par VIGINUM suggèrent plusieurs indices récurrents : multiplication de comptes paraissant distincts mais publiant au même moment, contenus identiques ou légèrement reformulés, campagnes de hashtags coordonnées, recours à des influenceurs ou médias comme relais de blanchiment, faux actifs numériques, et articulation entre espaces publics visibles et espaces de coordination discrets, par exemple Telegram ou Discord. Le guide sur les acteurs économiques souligne également le recours à des médias et influenceurs, à la décontextualisation de visuels, et à l’usurpation d’identité via le typosquatting. Pour la communication de crise, cela signifie qu’une veille de réputation ne peut plus se limiter aux mentions de marque : elle doit intégrer les domaines proches, les relais inter-plateformes et les signaux d’inauthenticité.

L’IA, multiplicateur d’échelle et de furtivité

Cette détection se complique encore avec l’IA générative. VIGINUM estime que ces technologies augmentent la capacité des acteurs malveillants à répliquer et publier de manière coordonnée des contenus inauthentiques à grande échelle, tout en facilitant la génération et la gestion de comptes inauthentiques. Le rapport souligne aussi que la reformulation automatisée de contenus dans plusieurs langues perturbe davantage l’identification du caractère coordonné d’une campagne, précisément parce qu’elle permet d’échapper aux marqueurs les plus grossiers du copier-coller. Pour la communication de crise, le danger n’est donc pas seulement le deepfake spectaculaire, mais la banalisation de contenus faussement divers, apparemment locaux, linguistiquement crédibles et plus difficiles à agréger comme provenant d’une même source.

Dans le même temps, les plateformes ont adapté leurs propres dispositifs de détection. TikTok explique avoir constitué des équipes spécialisées mêlant expertise sécurité, renseignement de menace, data science et coopération externe, et affirme avoir interrompu en 2024 plus de 40 nouveaux réseaux d’influence clandestine, avec plus de 70 000 comptes supprimés pour violation de ses politiques. Ce chiffre n’est pas à lire comme un baromètre exhaustif, mais il confirme une réalité stratégique : les comportements inauthentiques coordonnés sont suffisamment massifs et persistants pour justifier, chez les grandes plateformes, des structures dédiées. Les entreprises ont donc intérêt à développer une véritable littératie de plateforme, faute de quoi elles ignorent les mécanismes mêmes par lesquels leur crise peut être artificiellement gonflée.

Répondre sans amplifier la manœuvre

Qualifier d’abord, parler ensuite

La première règle d’une bonne communication de crise face à des comportements inauthentiques coordonnés est presque contre-intuitive : il ne faut pas commencer par communiquer, mais par qualifier. Le guide VIGINUM recommande explicitement de s’interroger d’abord sur la nature et la portée de l’incident, et rappelle qu’une information manipulée ne produit pas toujours une crise. Cette prudence rejoint l’EEAS, qui propose un Response Framework reliant analyse et réponse, en soulignant que chaque organisation peut développer son propre cadre pour prévenir, se préparer, répondre et récupérer après un incident. En pratique, cela veut dire que les premières heures doivent servir à répondre à trois questions : observe-t-on des indices sérieux d’inauthenticité coordonnée ? Quels publics sont réellement exposés ? Et une prise de parole immédiate réduit-elle le risque, ou l’augmente-t-elle ?

Cette phase de qualification suppose une discipline de preuve. Il faut conserver les URLs, horodater les captures, cartographier les comptes source, relever les proximités de domaines, documenter les relais, archiver les visuels et distinguer soigneusement ce qui relève du fait, de l’hypothèse et de l’inférence. Le guide pour les entreprises invite à se demander si le phénomène touche un sujet de vulnérabilité, s’il amplifie des narratifs de crise déjà existants, s’il comporte des appels à l’action et s’il est repris par des relais influents. Le communicant de crise doit donc se comporter, pendant quelques heures, moins comme un porte-parole que comme un analyste de situation.

Produire une réponse probante, segmentée et multi-canale

Une fois l’incident qualifié, la réponse doit être probante avant d’être sonore. Cela signifie mettre en place une source de vérité stable, vérifier les canaux authentiques, corriger les fausses imputations documentables, et parler différemment selon les publics. Les salariés n’attendent pas la même chose que les clients, les partenaires commerciaux, les investisseurs, les journalistes ou les autorités locales. L’EEAS insiste sur le fait que son cadre de réponse suppose un échange continu d’information entre analyse et réponse, et qu’aucun acteur ne peut faire face seul à la menace. La communication de crise doit donc s’articuler à la sûreté, au juridique, au cyber, au digital, aux affaires publiques et à la direction générale. Ce n’est plus une affaire de “bonne formule”, mais de coordination opérationnelle.

Il faut aussi intégrer la logique propre des plateformes. La stratégie nationale française prévoit un cadre permanent de dialogue structuré avec les plateformes et fournisseurs d’IA, tandis que l’EEAS rappelle que, lorsqu’il existe de forts indicateurs comportementaux de manipulation, des contre-mesures proportionnées peuvent inclure la suppression de contenus ou d’actifs violant les règles préexistantes sur les comportements coordonnés et inauthentiques. Pour l’entreprise, cela signifie qu’une cellule de crise sérieuse doit savoir documenter une demande d’escalade auprès d’une plateforme, en démontrant non seulement le caractère trompeur d’un contenu, mais aussi les indices de coordination, d’usurpation ou de réseau. La bonne stratégie n’est pas de crier au complot, mais de présenter un dossier d’abus lisible et actionnable.

Activer les partenaires utiles, sans surestimer le droit

Le guide VIGINUM-CDSE ajoute deux recommandations très concrètes. D’une part, lorsqu’une entreprise soupçonne une attaque relevant de l’ingérence numérique étrangère, elle peut signaler les contenus malveillants à VIGINUM. D’autre part, le droit offre des leviers réels — fausse alerte, montages trompeurs d’images ou de paroles, certaines fausses nouvelles — mais ceux-ci n’ont pas vocation à constituer le remède principal pendant la phase la plus aiguë de la crise, compte tenu du temps judiciaire. La traduction pratique est importante : le juridique est indispensable pour sécuriser la preuve, encadrer la réponse et préparer les suites, mais il ne remplace ni la qualification, ni la coordination, ni la restauration rapide de la crédibilité.

Protéger la réputation de l’entreprise et de ses dirigeants

Les quatre impacts à traiter simultanément

Face à des comportements inauthentiques coordonnés, la communication de crise ne protège pas seulement une image ; elle protège une capacité d’action. Le guide VIGINUM-CDSE distingue quatre familles d’impacts. Le premier est réputationnel : délégitimer les actions, les produits ou les prises de parole de l’entreprise et de ses dirigeants. Le deuxième est économique : pertes de marchés, défiance des partenaires, baisse de la confiance des investisseurs, voire tensions boursières ou de trésorerie. Le troisième est sécuritaire : manifestations, dégradations, blocages, sentiment d’insécurité pour les salariés et les clients. Le quatrième est interne : atteinte au socle de valeurs, crise de gouvernance, surcharge des équipes, perte de cohésion et ralentissement de la décision. Une réponse sérieuse doit traiter ces dimensions ensemble, car l’impact économique découle souvent de l’atteinte réputationnelle, et la déstabilisation interne réduit ensuite la qualité de la réponse externe.

Les dirigeants, porte-parole et faux actifs numériques

Les dirigeants constituent une cible particulièrement sensible parce qu’ils concentrent la confiance accordée à la marque. Le guide montre que l’usurpation d’identité et le typosquatting permettent de faire circuler de fausses informations au nom de l’entreprise, de ses porte-parole ou de ses dirigeants, et cite le cas de faux communiqués de presse publiés sur un site miroir ayant entraîné une forte chute boursière après reprise par une agence financière. Cette logique rejoint des observations plus larges faites par VIGINUM sur certains modes opératoires russes, dont Storm-1516, qui ont multiplié les opérations coordonnées contre des personnalités occidentales et s’appuient sur des chaînes de diffusion complexes mêlant faux sites, comptes sociaux et relais affiliés. Pour les entreprises, la conséquence est nette : protéger la réputation du dirigeant suppose de sécuriser ses canaux authentiques, de surveiller les faux actifs numériques et d’éviter les réponses impulsives qui offriraient à l’attaquant la scène qu’il cherche précisément à créer.

Vers une communication de crise fondée sur la résilience informationnelle

Organiser une cellule hybride de crise

La meilleure protection contre les comportements inauthentiques coordonnés se construit avant la crise. Le guide VIGINUM recommande de sensibiliser à la menace l’ensemble de l’organisation, du COMEX aux échelons intermédiaires et opérationnels, d’adapter les processus internes, de mettre en place une veille sur les sujets susceptibles d’être instrumentalisés, puis de définir un dispositif interne de réponse, réactif et coordonné entre toutes les fonctions. Il recommande aussi d’identifier un point de contact propriétaire du sujet, d’intégrer la dimension informationnelle aux exercices de crise et de constituer, à l’extérieur de l’entreprise, une cartographie des communautés, parties prenantes et relais d’influence utiles. C’est la fin de la cellule de crise purement communicationnelle : la réponse efficace est nécessairement hybride.

Cette logique rejoint les orientations les plus larges de la stratégie nationale et du cadre européen. Le SGDSN fait de la résilience informationnelle, de la structuration de l’OSINT et du dialogue avec les plateformes des axes stratégiques à part entière. L’EEAS, de son côté, insiste sur le fait qu’aucun acteur ne peut faire face seul au FIMI et que chaque organisation peut bâtir son propre Response Framework. Pour une entreprise, cela signifie qu’une communication de crise mature doit désormais reposer sur quatre piliers : une veille comportementale, une capacité de qualification rapide, une architecture de partenaires et de plateformes activable, et une culture interne de vigilance. À ce prix seulement, elle peut espérer neutraliser le faux consensus avant qu’il ne se transforme en crise réelle.

Face aux comportements inauthentiques coordonnés, la communication de crise ne peut plus se limiter au commentaire d’un contenu trompeur. Elle doit apprendre à lire des réseaux, des rythmes de publication, des architectures de diffusion, des relais d’influence, des faux actifs numériques et des signaux d’inauthenticité. Le vrai enjeu n’est plus seulement de démentir, mais de restaurer les conditions de crédibilité autour de l’entreprise, de ses dirigeants et de ses canaux officiels. Dans un espace informationnel où la popularité peut être simulée, où l’IA augmente la furtivité des manœuvres et où les plateformes elles-mêmes raisonnent en termes de comportements trompeurs coordonnés, la communication de crise devient une fonction de défense de l’authenticité. Les organisations qui intégreront ce changement protégeront mieux leur réputation. Les autres continueront à traiter comme un simple bad buzz ce qui relève parfois déjà d’une opération structurée de manipulation.