NIS2 et communication de crise cyber : qui prévenir, dans quel délai, avec quels mots

Pendant longtemps, la communication d’un incident cyber a relevé d’un arbitrage discrétionnaire : dire ou taire, vite ou tard, beaucoup ou peu. La directive NIS2 ferme une grande partie de cette marge de manœuvre. Elle impose un tempo, nomme des destinataires, et sans l’écrire noir sur blanc rend inévitable une communication publique que l’on ne peut plus reléguer aux seules équipes juridiques. Pour le dirigeant, le DSI, le RSSI ou le directeur de la communication, la question n’est donc plus « faut-il communiquer ? » mais « comment articuler, en quelques heures, une cascade d’obligations réglementaires, d’attentes opérationnelles et d’exigences réputationnelles qui se contredisent parfois ? ».

Ce que NIS2 change vraiment dans la posture de communication

La première directive NIS, de 2016, reposait sur une logique étroite : signaler à l’autorité nationale, à peu près dans les temps, quelques catégories d’opérateurs essentiels. NIS2 opère un triple élargissement. Le périmètre d’abord : des milliers d’entités « essentielles » et « importantes » sont désormais concernées, dans des secteurs aussi divers que l’énergie, la santé, les transports, l’eau, la banque, les infrastructures numériques, l’administration publique, la gestion des déchets, la fabrication de produits critiques, la recherche ou encore certains fournisseurs numériques. Le niveau de responsabilité ensuite : la directive engage personnellement les organes de direction, qui doivent approuver les mesures de gestion des risques, en superviser la mise en œuvre, et peuvent être tenus responsables en cas de manquement. Les obligations de notification enfin : un calendrier resserré, à trois temps, que l’on détaillera plus loin.

Ce basculement a une conséquence directe sur la communication. Auparavant, l’entreprise victime pouvait souvent choisir le moment de parler, en fonction de ce qui avait fuité dans la presse spécialisée ou sur les forums. Avec NIS2, la première notification obligatoire tombe en vingt-quatre heures. Elle part vers l’autorité compétente — en France, l’ANSSI via le CSIRT national — mais elle enclenche une chaîne : dès qu’une trace réglementaire existe, la probabilité qu’elle finisse par devenir publique augmente mécaniquement. Le silence prolongé devient intenable, et la communication réactive (répondre aux journalistes qui appellent) cède le pas à une communication proactive encadrée par le droit.

C’est ce point qu’il faut intégrer d’emblée : NIS2 ne dit pas « communiquez au public », mais elle rend cette communication quasi inévitable, en la déclenchant indirectement par la notification réglementaire, par l’obligation d’informer les destinataires des services lorsque l’incident est susceptible de les affecter, et par l’effet domino des autres textes — RGPD pour les données personnelles, DORA pour les entités financières, CER pour la résilience physique. Le plan de communication de crise doit donc être pensé comme une orchestration multi-textes, pas comme une réponse à un seul cadre affirme l’expert en communication de crise, Président Fondateur de LaFrenchCom.

La grammaire des délais : 24 heures, 72 heures, un mois

Le cœur opérationnel de NIS2, pour un communicant, tient en trois échéances. Il est essentiel de les connaître par cœur, car elles structurent la cellule de crise bien au-delà des notifications formelles.

Dans les vingt-quatre heures suivant la prise de connaissance d’un incident significatif, l’entité doit adresser à son autorité compétente une alerte précoce. Ce document est court : il indique que l’incident a eu lieu, qu’il semble significatif, et il formule une première hypothèse sur son origine — acte malveillant, erreur interne, défaillance technique — ainsi que sur son éventuel caractère transfrontalier. À ce stade, on ne sait presque rien avec certitude ; la notification est un signal, pas un rapport.

Dans les soixante-douze heures, une notification d’incident plus étayée doit être envoyée. Elle confirme ou infirme l’évaluation initiale, précise l’étendue, la nature, l’impact, les indicateurs de compromission connus. C’est ici que le travail des équipes forensiques commence à nourrir la communication institutionnelle.

Dans un délai d’un mois à compter de la notification, un rapport final doit être produit. Il décrit en détail l’incident, ses causes racines, les mesures d’atténuation appliquées et, le cas échéant, l’impact transfrontalier. Si l’incident est toujours en cours, un rapport intermédiaire prend sa place et le rapport final est remis un mois après la résolution.

Ces délais sont souvent commentés comme un corset administratif. Pour le communicant, ils sont en réalité une bénédiction déguisée : ils offrent un tempo auquel accrocher toutes les autres prises de parole. Tant que la cellule de crise n’a pas de rythme propre, elle subit celui des rumeurs. Prendre les délais NIS2 comme métronome permet, dans les premières heures, de discipliner la cascade : qui sait quoi à vingt-quatre heures, qui doit être prévenu à soixante-douze heures, quel message final à un mois.

Il faut par ailleurs ajouter à cette trame une obligation souvent sous-estimée : lorsque l’incident est susceptible de porter atteinte à la fourniture des services, l’entité doit informer sans retard injustifié les destinataires de ces services — donc les clients, les usagers, les patients, les administrés. Cette obligation n’a pas de délai chiffré, mais elle ne peut pas attendre le rapport final. En pratique, on cale cette communication externe entre le jour un et le jour trois, une fois que l’on dispose d’éléments stabilisés.

Cartographier les destinataires : un cercle concentrique, pas une liste

L’erreur classique en cellule de crise consiste à tenir une liste à cocher, façon check-list de vol : autorités, clients, presse, employés. Cette approche échoue toujours, parce qu’elle traite des publics radicalement différents avec la même temporalité et la même tonalité. Mieux vaut raisonner en cercles concentriques, chacun ayant son délai et sa grammaire propres.

Le premier cercle est celui des autorités et obligations légales. Il inclut, en France, l’ANSSI comme point d’entrée NIS2 ; la CNIL dès qu’il y a violation de données personnelles, dans les soixante-douze heures prévues par le RGPD ; le régulateur sectoriel lorsqu’il en existe un — ACPR et AMF pour la finance, ARCEP pour les télécoms, ASN pour le nucléaire ; le procureur de la République si un dépôt de plainte est envisagé, ce qui est presque toujours le cas lorsqu’une rançon ou un vol de données est en jeu. Pour les groupes opérant dans plusieurs États membres, il faut ajouter les autorités compétentes de chaque pays concerné, ce qui suppose une cartographie préalable. Ce cercle a pour caractéristique d’être non négociable : les délais sont couperets, les formats souvent imposés, et les mots employés peuvent être relus des années plus tard dans le cadre d’une procédure.

Le deuxième cercle est celui des parties prenantes contractuelles et de gouvernance. On y trouve le conseil d’administration, qui doit être informé dès l’ouverture de la cellule de crise — NIS2 engage sa responsabilité, il ne peut pas apprendre l’incident par la presse. On y trouve aussi les assureurs cyber, dont les polices imposent souvent une notification dans les quarante-huit ou soixante-douze heures sous peine de déchéance de garantie ; les grands clients sous contrat avec clause de sécurité, qui ont souvent négocié un droit à l’information en cas d’incident ; les partenaires critiques dans la chaîne d’approvisionnement numérique, y compris en amont — un incident chez un fournisseur de services managés oblige à remonter l’information à ses propres clients NIS2, dans une logique de cascade que la directive encourage explicitement. Ce cercle est régi par des délais contractuels, parfois plus serrés que les délais réglementaires.

Le troisième cercle est celui des publics affectés. Clients, usagers, patients, citoyens : ceux dont le service est perturbé, dont les données sont peut-être exposées, dont la confiance est engagée. Ce cercle appelle une communication qui n’est plus juridique mais d’usage : concrète, pédagogique, actionnable. La règle d’or : ne pas les laisser découvrir l’incident par un tweet d’un chercheur en sécurité ou par un article de presse. Si l’on pressent que la nouvelle va sortir, il faut communiquer avant, même sans tout savoir.

Le quatrième cercle est celui des collaborateurs internes. Il est trop souvent traité comme un public secondaire, alors qu’il est le premier émetteur involontaire d’information : un salarié qui raconte à ses proches, sur les réseaux sociaux ou à un journaliste, ce qu’il vit de l’intérieur, peut faire plus de dégâts qu’une fuite technique. La communication interne doit être synchrone ou antérieure à la communication externe, jamais postérieure. Elle doit aussi fournir des éléments de langage clairs à ceux qui sont en contact avec les clients — centres d’appels, commerciaux, conseillers — car ces publics internes deviennent, pendant la crise, des communicants de fait.

Le cinquième cercle est celui de l’écosystème médiatique et public. Journalistes spécialisés, presse généraliste, analystes financiers, communauté cyber sur les réseaux sociaux, concurrents. Ce cercle ne se décrète pas, il se pressent et se devance. On n’y parle jamais à l’improviste : chaque prise de parole doit être préparée, arbitrée, et s’inscrire dans une stratégie cohérente avec les quatre cercles précédents.

La discipline consiste à ne jamais sauter un cercle. Un régulateur qui apprend un incident par la presse se sentira traité par-dessus la jambe ; un salarié qui apprend l’incident par un communiqué public se sentira humilié ; un client qui apprend l’incident par un analyste financier résiliera son contrat. L’ordre compte autant que le contenu.

Le choix des mots : précision contrôlée, empathie assumée

Les premières heures d’une communication de crise cyber sont dominées par une tension : en dire assez pour être crédible, pas trop pour ne pas mentir involontairement. Les équipes forensiques découvrent l’ampleur du problème au fil des jours, et une information donnée à vingt-quatre heures peut être démentie par les faits à soixante-douze heures. Ce risque a donné naissance à une école de communication cyber prudentielle — dire le moins possible, avec des formules passe-partout — qui produit des dégâts de réputation souvent supérieurs à ceux de l’incident lui-même.

La bonne posture consiste à assumer une précision contrôlée : dire ce que l’on sait avec certitude, nommer explicitement ce que l’on ne sait pas encore, et s’engager sur un calendrier de mise à jour. Le public — qu’il s’agisse d’un régulateur, d’un client ou d’un journaliste — accepte parfaitement l’incertitude si elle est nommée. Il n’accepte pas le flou délibéré.

Quelques principes lexicaux :

Éviter les formules qui minimisent automatiquement, comme « incident de sécurité mineur », « tentative d’intrusion », « perturbation technique », lorsque l’on soupçonne un incident plus grave. Ces formules sont des boomerangs : elles reviennent, quarante-huit heures plus tard, sous la forme d’un titre de presse accusant l’entreprise de mensonge. Préférer des qualifications neutres : « incident de cybersécurité en cours d’investigation », « événement de sécurité dont nous analysons actuellement la portée ».

Éviter également les formules qui surjouent la dramatisation : « attaque d’une sophistication sans précédent », « acteur étatique présumé », « cyberattaque massive ». Elles peuvent servir, dans certains contextes, à mobiliser l’attention des autorités, mais elles engagent la crédibilité technique de l’entreprise et sont presque toujours démenties à froid par les analystes.

Préférer un registre factuel et orienté action : ce qui s’est passé (au mieux de notre connaissance actuelle), quand cela a été détecté, ce qui a été fait depuis, ce qui reste à faire, quand la prochaine information sera communiquée. Cette structure en cinq temps — fait, détection, réaction, suite, rendez-vous — peut servir de matrice à presque toutes les prises de parole de crise.

Intégrer systématiquement une dimension d’empathie, surtout lorsque des personnes sont affectées. Les excuses ne sont pas un aveu de responsabilité juridique ; elles sont une reconnaissance de la gêne causée. Les juristes d’entreprise ont parfois tendance à les interdire, par crainte d’un effet en contentieux. Cette approche est aujourd’hui dépassée : les tribunaux, les régulateurs et le public distinguent très bien les excuses de circonstance — « nous sommes conscients de la gêne occasionnée et nous en sommes désolés » — d’un aveu de faute. Les refuser envoie un signal glaçant.

Enfin, ne jamais promettre ce que l’on n’est pas certain de pouvoir tenir. « Aucune donnée n’a été compromise » est la phrase la plus dangereuse du lexique de crise cyber. Tant que l’investigation n’est pas achevée, on ne peut pas l’affirmer. La formulation correcte est : « à ce stade de l’investigation, nous n’avons pas d’élément permettant de confirmer une exfiltration de données ; nous poursuivons nos analyses et informerons nos clients dès que nous disposerons d’éléments complémentaires ».

Exemples de formulations pour chaque moment

Voici, à titre d’armature mentale, des exemples de formulations adaptées aux différentes fenêtres temporelles. Ils ne sont pas des modèles à recopier mais des repères de registre.

À vingt-quatre heures, pour l’alerte précoce à l’ANSSI, le ton est technique, sobre, sans enjolivement. Le texte signale la détection, décrit les premiers symptômes observés, mentionne les systèmes potentiellement affectés, indique les mesures conservatoires prises (isolement, coupure, activation de la cellule de crise), formule une hypothèse prudente sur la nature de l’incident, et demande éventuellement une assistance. Ce document n’est pas lu par le public ; il est néanmoins important qu’il soit cohérent avec ce qui sera dit ensuite, car il est susceptible d’être produit en justice.

À vingt-quatre heures, pour la communication interne de premier niveau, on privilégie un message signé de la direction générale, diffusé à l’ensemble des collaborateurs, qui reconnaît la situation, explique ce qui a été mis en œuvre, rappelle les consignes de sécurité (ne pas communiquer à l’extérieur, rediriger les sollicitations presse vers la direction de la communication), et fixe un rendez-vous pour la prochaine mise à jour. Exemple : « Chères collaboratrices, chers collaborateurs, nous faisons face depuis ce matin à un incident de cybersécurité qui affecte une partie de nos systèmes. Notre cellule de crise est mobilisée, en lien avec nos équipes techniques et les autorités compétentes. Par précaution, certains services ont été temporairement interrompus. Je vous remercie de ne pas relayer d’informations à l’extérieur et de rediriger toute sollicitation vers la direction de la communication. Une nouvelle information vous sera transmise d’ici demain matin. »

À quarante-huit ou soixante-douze heures, pour la communication aux clients affectés, la tonalité est orientée service rendu et action concrète. On décrit ce qui est affecté, pour combien de temps estimé, ce que le client doit faire — changer un mot de passe, surveiller ses relevés, contacter un numéro dédié — et comment il sera tenu informé. Exemple : « Nous avons détecté le [date] un incident de cybersécurité ayant entraîné l’interruption temporaire de [service]. À ce stade de l’investigation, nous n’avons pas d’élément permettant de confirmer que vos données personnelles aient été exposées, mais nous poursuivons nos analyses. Par précaution, nous vous invitons à [action]. Nos équipes sont mobilisées pour rétablir le service dans les meilleurs délais et vous serez informés de toute évolution via [canal]. Nous vous prions de nous excuser pour la gêne occasionnée. »

À soixante-douze heures, pour la communication publique et la presse, si l’on a choisi — ou été contraint — de parler, le message doit tenir en un communiqué court, daté, horodaté, signé. Il contient : un rappel des faits, l’état d’avancement de la remédiation, les interlocuteurs prévenus (autorités, clients), la volonté de transparence sur la suite, un contact pour la presse. Il évite la langue de bois mais n’entre pas dans les détails techniques qui seraient exploitables par les attaquants. Un bon communiqué de crise cyber fait rarement plus de trois cents mots.

À un mois, pour le rapport final et la communication de clôture, on peut assumer un registre plus analytique. On décrit les causes, on explique ce qui a été appris, on détaille les mesures correctives mises en place, on remercie les équipes, les autorités, les clients pour leur patience. C’est souvent à ce moment que la communication de crise peut être retournée en communication de confiance, à condition d’avoir été irréprochable dans les semaines précédentes.

Les pièges classiques que NIS2 rend plus coûteux

Quelques erreurs méritent d’être identifiées parce qu’elles sont désormais sanctionnables ou aggravantes au regard du nouveau cadre.

La première est la sous-qualification délibérée de l’incident pour éviter de déclencher la notification. NIS2 élargit les pouvoirs d’enquête des autorités et prévoit des sanctions qui peuvent atteindre, pour les entités essentielles, jusqu’à dix millions d’euros ou deux pour cent du chiffre d’affaires mondial. Le calcul « on attend de voir » est aujourd’hui perdant : si l’incident se révèle plus grave qu’anticipé, le retard à la notification est un facteur aggravant.

La deuxième est la contradiction entre communications parallèles. Lorsque la communication réglementaire et la communication publique ne sont pas alignées — par exemple parce qu’elles sont rédigées par des équipes différentes sans arbitrage commun — les régulateurs et la presse finissent par comparer. La cellule de crise doit avoir un rédacteur en chef unique, même si plusieurs personnes contribuent.

La troisième est l’oubli de la chaîne d’approvisionnement. NIS2 insiste particulièrement sur la sécurité de la chaîne de sous-traitance numérique. Un incident qui touche un prestataire peut obliger l’entité bénéficiaire à notifier de son côté. Il faut donc avoir anticipé, dans les contrats et dans les procédures, la façon dont l’information circule entre fournisseurs et clients en situation de crise.

La quatrième est le cloisonnement entre équipes juridiques, techniques et communication. Beaucoup d’organisations tiennent encore trois cellules en parallèle, qui s’alignent péniblement. NIS2, en imposant un tempo contraint, rend ce cloisonnement intenable. La cellule de crise doit être unifiée, avec un représentant de chaque fonction assis à la même table, et un décideur unique — en général le dirigeant ou son représentant désigné — qui arbitre en temps réel.

La cinquième est l’absence de préparation. On n’apprend pas à communiquer en crise pendant la crise. Les exercices de simulation, réalisés au moins une fois par an, avec un scénario réaliste, une pression temporelle, des journalistes fictifs et un régulateur fictif, sont aujourd’hui le seul moyen d’entraîner les organes de direction à la discipline exigée par NIS2. Ceux qui n’en ont jamais fait le découvriront dans les pires conditions.

Une discipline, pas une procédure

On peut être tenté de réduire NIS2 à un formulaire de notification et à un calendrier. C’est une lecture courte. La directive met en place, en réalité, une discipline de communication en situation d’incertitude, où la cohérence entre les paroles et les actes, entre les différents publics, entre les différents moments, devient une obligation juridique en plus d’une exigence réputationnelle. Le communicant de crise cyber, sous NIS2, n’est plus un pompier appelé en dernier recours ; il est un rouage central de la conformité, au même titre que le RSSI ou le juriste.

Cette évolution est exigeante, mais elle est saine. Elle force les organisations à traiter la communication comme une fonction préparée, outillée, entraînée, plutôt que comme une improvisation sous pression. Et elle rappelle, à ceux qui l’auraient oublié, qu’en temps de crise cyber, la qualité du récit compte autant que la qualité de la remédiation technique : les systèmes sont restaurés en quelques jours, la confiance se reconstruit en quelques années.

Le bon réflexe, pour se préparer, n’est pas d’attendre la prochaine révision du plan de continuité. Il est, dès aujourd’hui, de prendre le calendrier NIS2 — vingt-quatre heures, soixante-douze heures, un mois — et d’écrire, pour son organisation, qui dit quoi, à qui, avec quels mots exacts, à chacun de ces trois moments. Ce document n’a pas vocation à être utilisé tel quel en crise. Il a vocation à révéler, à froid, les zones où personne n’a pensé à ce qu’il faudrait dire. Ce sont ces zones-là qui, le jour venu, feront la différence entre une crise maîtrisée et une crise qui en engendre une autre.