AccueilFAQLes dirigeants face à la communication de crise cyber : parler juste quand tout s’éteint

Les dirigeants face à la communication de crise cyber : parler juste quand tout s’éteint

Sommaire

cyber

Il est 7 h 12. Dans l’open space encore clairsemé, les écrans s’allument… puis se figent. Sur les postes, un message laconique : « Vos fichiers ont été chiffrés ». Le téléphone du DSI du groupe vibre sans discontinuer. Au même moment, la directrice de la communication reçoit un SMS d’un journaliste : « On me dit que votre service client est à l’arrêt. Vous confirmez une cyberattaque paralysante ? »
C’est souvent là que la crise cyber cesse d’être un sujet technique. En quelques minutes, elle devient un sujet de direction générale.

Dans cette séquence, le dirigeant se retrouve au centre d’un triangle de contraintes : continuer à faire tourner l’activitérespecter des obligations de notification et préserver la confiance — celle des clients, des salariés, des régulateurs, des partenaires, des actionnaires. L’erreur classique consiste à traiter la communication comme un appendice, un « habillage » posé après l’incident. En réalité, dans une crise cyber, la communication est une fonction opérationnelle : elle évite la panique interne, limite la propagation des rumeurs, structure la relation avec les autorités, et pèse directement sur l’issue économique de la crise.

Ce qui suit n’est pas un plaidoyer pour « faire de la com de crise ». C’est une méthode, conçue pour des comités exécutifs : comment déployer une stratégie de communication claire, cohérente et conforme, sans se piéger, afin d’informer efficacement ses parties prenantes et protéger durablement la réputation de l’organisation insiste l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom.

La crise cyber impose une nouvelle grammaire du leadership : les “trois horloges”

Une crise industrielle laisse souvent le temps d’un diagnostic, d’une visite de site, d’un point presse. Une crise financière se gère avec des chiffres, des procédures, des lignes de crédit.
Une crise cyber, elle, se déroule sur trois horloges qui tournent en même temps — et rarement au même rythme.

L’horloge opérationnelle : « remettre en service »

Pour les équipes cyber et IT, l’urgence est de comprendre l’étenduecontenirreconstruire. Et cette course est longue : l’investigation prend du temps, la remédiation aussi, parfois sur des semaines ou des mois. L’ANSSI rappelle d’ailleurs qu’une crise cyber se vit comme une course de fond : comprendre, reconstruire, renforcer, sans tomber dans la « recherche de coupables » au pire moment.

L’horloge réglementaire : « notifier, documenter, prouver »

En parallèle, des délais existent. Ils ne disent pas seulement quoi faire ; ils imposent quand parler — aux autorités, parfois aux personnes concernées, parfois au marché.
En France, la CNIL rappelle l’obligation de notification d’une violation de données personnelles « si possible » dans les 72 heures, avec possibilité de compléter ensuite.
Dans le secteur financier, DORA prévoit une notification initiale très rapide après qualification d’un incident majeur (jusqu’à 4 heures) et au plus tard 24 heures après détection, puis un rapport intermédiaire et un final.
Et pour les entités relevant d’obligations ANSSI (OIV/OSE, etc.), la notification d’incident est attendue « sans délai » selon les dispositifs applicables.

L’horloge réputationnelle : « le récit se fabrique tout seul si vous ne le prenez pas »

Enfin, l’horloge la plus impitoyable : celle de l’opinion, des réseaux sociaux, des clients qui ne peuvent plus travailler, des salariés qui s’inquiètent, des partenaires qui craignent la contamination, des rumeurs qui s’auto-alimentent.
L’ANSSI le formule sans détour : une mauvaise gestion de la communication peut aggraver une situation déjà difficile.

Le rôle du dirigeant, dans ce contexte, n’est pas de « valider un communiqué ». C’est d’installer une discipline : une gouvernance de crise, une chaîne de décision et une parole maîtrisée, qui suivent ces trois horloges sans en sacrifier une.

Avant la crise : la préparation qui change tout (et qui coûte moins cher qu’une journée d’arrêt)

On reconnaît les organisations mûres non pas à leur capacité à « écrire bien » en crise, mais à leur capacité à parler malgré le chaos : quand l’IT est dégradée, quand les informations sont incomplètes, quand la pression monte.

La méthode tient en un principe : préparer la communication de crise cyber comme un dispositif de continuité.

Cartographier vos obligations — sans attendre la crise

Une stratégie « conforme » n’existe pas dans l’absolu : elle dépend de votre statut (données personnelles, secteur régulé, importance vitale, finance…), de vos pays, de vos contrats, de votre exposition marché.

  • RGPD / CNIL : notification à l’autorité et, dans certains cas, communication aux personnes concernées (si risque élevé).
  • ANSSI (OIV/OSE/SAIV, etc.) : obligations de déclaration d’incidents à l’ANSSI/CERT-FR selon les régimes.
  • DORA (finance, applicable depuis le 17 janvier 2025) : délais de notification structurés et exigeants.
  • NIS2 : au niveau européen, le schéma de notification s’appuie sur une séquence « 24h / 72h / 1 mois » (alerte précoce, notification, rapport final/progrès).

Point de vigilance de dirigeant (et c’est très concret) : la transposition NIS2 en France a pris du retard. Les ressources officielles ANSSI indiquent que l’entrée en vigueur effective dépend des textes de transposition (loi, décrets, arrêtés). Et, au 4 février 2026, des articles de suivi institutionnel rappellent que le texte n’a pas encore franchi toutes les étapes parlementaires.
Autrement dit : ne pas être « officiellement » sous NIS2 en droit français aujourd’hui ne protège pas votre réputation demain. Anticiper reste la meilleure stratégie.

Enfin, un sujet qui arrive vite : le Cyber Resilience Act (règlement UE 2024/2847) pour les produits numériques. Certaines obligations de signalement démarrent à partir du 11 septembre 2026 (selon le texte et ses résumés institutionnels).
Même si vous n’êtes pas fabricant, vos fournisseurs, eux, le seront : et vos clients vous demanderont « qui est responsable de quoi ».

Livrable recommandé : une page, lisible en COMEX, « qui notifier, à qui, quand, par quel canal ». Pas un classeur.

Créer une cellule de crise “cyber” avec un patron clair

La crise cyber échoue souvent pour une raison simple : tout le monde travaille, mais personne ne pilote l’ensemble.

La cellule efficace a cinq rôles clairement installés :

  • Direction de crise (DG ou délégué explicitement mandaté)
  • Lead cyber/IT (RSSI/DSI) : faits, hypothèses, scénarios
  • Juridique / conformité / DPO : notifications, secrets protégés, contrats, preuve
  • Communication : messages, canaux, Q&A, rumeurs, coordination interne
  • RH / opérations : consignes terrain, continuité métier, social

L’ANSSI insiste sur l’importance d’une acculturation mutuelle entre communicants et équipes cyber : se découvrir en pleine crise est un handicap majeur.

Préparer des canaux de communication “dégradés”

Une crise cyber, par définition, peut vous priver de vos outils : messagerie, intranet, Teams, CRM, téléphonie IP.

C’est un point de dirigeant, pas un point IT : comment parlez-vous à 5 000 salariés si votre SI est à l’arrêt ?
Solutions typiques : annuaire papier/stocké hors SI, SMS d’alerte, numéros de téléphone externes, page web statique d’information, point téléphonique quotidien, messagerie alternative durcie.

Écrire en amont des “messages squelettes”

On ne peut pas écrire « bien » dans le brouillard. En revanche, on peut préparer des structures :

  • message interne « incident en cours, consignes, hygiène de communication »
  • message clients « incident, impact, actions, support »
  • « holding statement » média (court, factuel, non spéculatif)
  • Q&A : données impactées ? rançon ? prestataire ? délai de reprise ? risque pour partenaires ?

Ce n’est pas du storytelling : c’est de la sécurité. Car ce que vous ne dites pas, d’autres le diront.

S’entraîner : la simulation médiatique n’est plus optionnelle

L’ANSSI recommande de s’entraîner, y compris en simulant la pression médiatique : faux appels médias, fausses dépêches, faux réseaux sociaux.
Les organisations qui s’exercent prennent de meilleures décisions — parce qu’elles ont déjà vécu la montée d’adrénaline… sans les conséquences.

Le jour J : une méthode de communication en 6 mouvements (du “holding statement” au récit de rétablissement)

Revenons à 7 h 12. Les écrans sont chiffrés. Le journaliste appelle. Le service client est muet. Les commerciaux n’accèdent plus à leurs offres. Les équipes IT demandent : « on coupe tout ? ».
Le dirigeant doit agir vite — et surtout agir dans le bon ordre.

Mouvement 1 — Stabiliser la gouvernance : une seule “vérité officielle”

Première décision : qui parle au nom de l’entreprise ?
Pas « qui passe à la télévision ». Qui est autorisé à produire une information externe. Tout le reste est un risque : contradiction, fuite, fausse information, preuve d’impréparation.

Décision pratique : mettre en place un journal de crise (horodaté) : faits connus, décisions, messages envoyés, hypothèses. C’est utile pour la conformité (CNIL, régulateurs), pour l’assurance, et pour le post-mortem.

Mouvement 2 — Qualifier le niveau de visibilité et choisir la posture (discrétion vs proactivité)

Une crise cyber n’a pas toujours le même degré de visibilité : un DDoS se voit, un vol de données peut rester latent. Même en communication, la criticité se juge aussi par la pression médiatique, politique, commerciale.
Votre posture dépend de deux facteurs :

  1. Votre crise est-elle déjà publique ?
  • site down, services indisponibles : oui, elle est visible
  • attaque silencieuse : peut-être non, mais attention aux signaux (dark web, rumeurs, plaintes clients)
  1. Quel est le risque de propagation / de dommage aux tiers ?
    Si vous êtes un fournisseur de services B2B, vos clients peuvent devoir activer leurs propres mesures de sécurité. Dans ce cas, parler tôt est souvent un acte de responsabilité.

Règle de dirigeant : ne pas confondre discrétion et silence. La discrétion, c’est une parole sobre, factuelle, qui protège l’enquête et n’aide pas l’attaquant. Le silence, c’est laisser le vide se remplir.

Mouvement 3 — Communiquer en interne avant l’externe (ou presque)

La fuite la plus fréquente vient de l’interne : un salarié inquiet qui « rend service » à un contact, une capture d’écran, un post LinkedIn maladroit.
L’ANSSI rappelle que la communication interne est fondamentale pour informer et rassurer les collaborateurs.

Message interne (structure) :

  • Ce que nous savons (1–2 phrases)
  • Ce que nous faisons (cellule de crise, actions)
  • Ce que chacun doit faire (ne pas brancher de PC, ne pas répondre aux emails suspects, consignes de mots de passe, canal officiel)
  • Comment obtenir de l’aide (hotline, référents)
  • Quand aura lieu le prochain point (rythme)

Résultat : vous réduisez les rumeurs, vous protégez l’enquête, vous évitez le “chacun invente sa crise”.

Mouvement 4 — Publier un “holding statement” en 60 à 120 minutes

Objectif : prendre la main sur le minimum vital.
Un holding statement ne raconte pas l’histoire. Il pose un cadre : incident, mobilisation, priorité au service, mises à jour à venir.

Exemple (format volontairement court) :

« Nous avons identifié un incident de sécurité informatique affectant une partie de nos systèmes. Nos équipes, accompagnées d’experts, sont mobilisées pour en limiter l’impact et rétablir nos services en sécurité. À ce stade, l’investigation est en cours. Nous communiquerons des informations complémentaires dès qu’elles seront confirmées. »

Ce texte fait trois choses : il confirme sans surjouer, il montre l’action, il refuse la spéculation.

Mouvement 5 — Orchestrer la conformité : notifier sans se contredire

C’est ici que beaucoup d’organisations se piègent : elles envoient un message externe « rassurant » tout en notifiant aux autorités un incident potentiellement grave. Le contraste se voit. Et il abîme la confiance.

La bonne méthode consiste à aligner les contenus : ce que vous dites au public doit rester compatible avec ce que vous dites aux autorités, même si le niveau de détail diffère.

Quelques repères concrets (à adapter à votre cas) :

  • Données personnelles : la CNIL rappelle la notification initiale sous 72h « si possible » et la possibilité d’envoyer des compléments.
  • Secteur financier (DORA) : notification initiale dans des délais très courts après qualification d’un incident majeur, puis rapports intermédiaire et final selon un calendrier précis.
  • NIS2 (schéma européen) : alerte précoce à 24h, notification à 72h, rapport final/progrès à un mois.
  • Obligations ANSSI : certaines entités doivent notifier « sans délai » au CERT-FR/ANSSI selon les modalités prévues.

Vous n’avez pas à exposer publiquement chaque étape réglementaire. Mais votre stratégie doit prévoir qui est responsable de quoiavec quelles preuveset quel récit externe est cohérent.

Mouvement 6 — Installer un rythme : “update cadence” plutôt que “communiqué unique”

Les crises cyber durent. La réputation, elle, se joue dans la durée : la capacité à donner des nouvelles régulières, à reconnaître ce qui est incertain, à annoncer les prochaines étapes.

Un rythme typique :

  • point interne quotidien (même bref)
  • update client à heure fixe (ex. 17h)
  • page web d’état des services
  • point régulateur selon exigences
  • media : « on répond à heure fixe, pas au fil de l’eau »

C’est presque une discipline militaire : moins d’improvisation, plus de confiance.

Ce que la communication de crise cyber apporte réellement aux dirigeants : un “pare-feu” réputationnel et opérationnel

On sous-estime souvent le bénéfice business d’une communication structurée, parce qu’on la mesure mal. Pourtant, ses effets sont concrets.

Elle réduit le coût de la désorganisation interne

Une crise cyber produit un bruit énorme : chacun cherche une info, appelle un collègue, invente une solution. Résultat : les équipes clés se font interrompre sans cesse, la remédiation ralentit.

Une communication interne claire (consignes, canaux, rythme) libère du temps aux équipes techniques. L’ANSSI souligne justement que le communicant doit prendre en charge certains publics pour laisser les équipes opérationnelles gérer les impacts métiers.

Elle améliore la relation avec les autorités — donc réduit le risque réglementaire

Les régulateurs ne demandent pas la perfection instantanée ; ils demandent une capacité de pilotage, de documentation, de transparence progressive. La logique « notification initiale puis compléments » (CNIL) ou la structuration DORA (initial/intermédiaire/final) vont dans ce sens.

Une entreprise qui sait dire « nous ne savons pas encore, voici ce que nous faisons pour savoir, voici quand nous mettrons à jour » est plus crédible qu’une entreprise qui sur-assure puis se contredit.

Elle protège la confiance client — même si l’incident est grave

Il existe un paradoxe : en cyber, une communication honnête et structurée peut limiter la fuite commerciale, même quand l’événement est sérieux.
Pourquoi ? Parce que le client n’évalue pas seulement l’incident. Il évalue votre maturité : avez-vous un pilote ? un plan ? une capacité de reprise ? une capacité à l’informer ?

Elle prépare “l’après” : la reconstruction du capital réputationnel

La crise ne se termine pas quand les serveurs redémarrent. Elle se termine quand vos parties prenantes considèrent que :

  • vous avez repris le contrôle,
  • vous avez compris ce qui s’est passé,
  • vous avez réduit la probabilité de récidive,
  • vous avez traité les impacts pour eux (support, mesures de protection, compensation éventuelle).

C’est là que le dirigeant reprend pleinement la main : faire de l’incident un moment de vérité, pas un effacement.

Les pièges qui détruisent la crédibilité (et comment les éviter)

Piège n°1 : la tentation du “tout va bien”

En cyber, la phrase « aucun impact » prononcée trop tôt devient un boomerang. L’investigation révèle souvent des éléments progressifs : périmètres, journaux, traces, exfiltration, etc.
La méthode : parler au présent, sur des éléments vérifiés, et annoncer la mise à jour.

Formule utile : « à ce stade de l’investigation » + « nous confirmerons / infirmerons ».

Piège n°2 : la sur-transparence technique

Tout dire peut aider l’attaquant, exposer vos faiblesses, ou gêner une enquête. La transparence n’est pas l’exhibition.
Donnez des informations utiles aux parties prenantes : impact, mesures, actions attendues d’eux, délais, support. Évitez les détails exploitables.

Piège n°3 : la cacophonie des porte-parole

Un dirigeant, un DSI, un juriste, un commercial, chacun “rassure” à sa manière : c’est le début de la contradiction publique.
Solution : une voix officielle, des éléments de langage communs, et un point de synchronisation régulier.

Piège n°4 : oublier les salariés, puis subir la crise sociale

Quand les salariés apprennent la crise par la presse, la confiance interne se fissure. L’ANSSI rappelle l’importance de la communication interne, souvent « oubliée ».
En cyber, l’interne est un public stratégique : il devient relais, support, et parfois victime.

Piège n°5 : ignorer le calendrier réglementaire

Une crise cyber a des délais. Les ignorer crée un double risque : sanctions et disqualification réputationnelle (« ils ont caché »).
Même si les régimes varient, le principe est stable : notifier tôt, documenter, compléter.

Une “check-list” de dirigeant : la méthode en 12 questions à se poser avant et pendant la crise

Pour faire simple, voici les questions qui structurent une communication de crise cyber conforme et utile :

  1. Avons-nous la cartographie de nos obligations de notification (CNIL, ANSSI, DORA, autres) ?
  2. Qui dirige la crise et qui valide la parole externe ?
  3. Quel est notre canal interne si le SI tombe ?
  4. Quels sont les trois messages clés (clients / salariés / régulateurs) ?
  5. Qu’est-ce qui est certain, probable, incertain ? (et l’avons-nous écrit)
  6. Quel est l’impact service (ce qui marche / ne marche pas) et quand mettons-nous à jour ?
  7. Quel est notre niveau de visibilité publique ? (site down, rumeur, revendication)
  8. Avons-nous une Q&A prête et mise à jour ?
  9. Avons-nous documenté toutes les décisions (journal de crise) ?
  10. Sommes-nous alignés entre ce que nous notifions et ce que nous communiquons ?
  11. Quel est notre plan de “récit de rétablissement” (mesures, soutien, prévention) ?
  12. Quand et comment ferons-nous le retour d’expérience, et que dirons-nous sur les mesures prises ?

Le point décisif : la communication de crise cyber n’est plus déléguable “en bas de la chaîne”

Avec NIS2, la logique européenne renforce la responsabilité de gouvernance : les organes de direction doivent approuver et superviser les mesures de gestion des risques cyber, et peuvent être tenus responsables des manquements, avec une exigence de formation au niveau management.
Même si la transposition française suit son calendrier, le signal est clair : le cyber n’est plus un risque cantonné aux équipes techniques.

La communication de crise cyber est le test le plus visible de cette réalité.
Parce qu’au moment où tout s’éteint, une entreprise est jugée sur une question simple : est-elle capable de dire la vérité utile, au bon rythme, aux bonnes personnes, sans se contredire ?

Les dirigeants qui s’y préparent ne cherchent pas à “sauver la face”. Ils cherchent à protéger un actif économique : la confiance. Et dans un monde où les crises cyber ne sont plus exceptionnelles, cette confiance devient un avantage concurrentiel — autant qu’un bouclier.