Actualités

Quand la communication de crise devient un réflexe de survie pour les ETI

mediatraining-formation-prise-de-parole-en-public

Longtemps réservée aux grands groupes, la gestion de la parole en situation critique s’impose désormais comme un outil de protection recherché par les entreprises de taille intermédiaire. Non plus comme une ligne enfouie dans un contrat d’assurance, activée après le sinistre, mais comme une compétence à part entière, intégrée à une stratégie de résilience globale.

Les entreprises de taille intermédiaire occupent une place singulière dans le tissu économique français. Situées entre la PME et le grand groupe — de 250 à 4 999 salariés selon la définition de l’INSEE —, les quelque 5 000 à 6 000 ETI que compte le pays forment une part essentielle de son appareil industriel et exportateur. Souvent familiales, ancrées dans un territoire, spécialisées sur des marchés de niche, elles conjuguent une exposition comparable à celle des grandes entreprises et des moyens plus proches de ceux d’une PME. Elles disposent d’outils numériques complexes, de chaînes de fournisseurs étendues, de données sensibles et, parfois, d’une activité internationale, sans toujours détenir les ressources humaines, techniques et budgétaires nécessaires pour se défendre contre les attaques réputationnelles, les rumeurs ou les crises médiatiques. C’est précisément dans cet écart que se loge une vulnérabilité nouvelle et que la communication de crise cesse d’être un confort pour devenir un réflexe de survie.

Les ETI, longtemps un angle mort de la gestion de crise

Pendant des années, la gestion de crise a été perçue comme une affaire de grands groupes. Le raisonnement paraissait logique : seules les entreprises très exposées, très médiatisées, disposant de directions de la communication étoffées, avaient les moyens et l’utilité de s’y préparer. Ces groupes entretiennent des cellules de crise permanentes, gardent des agences spécialisées en réserve, forment leurs porte-parole, réalisent des exercices de simulation réguliers. À l’autre bout du spectre, beaucoup d’ETI ont longtemps considéré la communication de crise soit comme superflue — « cela n’arrive qu’aux plus gros » —, soit comme hors de portée budgétaire. Un investissement de dirigeant de multinationale, en somme, pas de patron d’entreprise familiale concentré sur son carnet de commandes et sa trésorerie.

Cette lecture est aujourd’hui dépassée, pour une raison simple : les ETI sont devenues des cibles attractives. Leur surface financière est suffisante pour intéresser des attaquants, sans être adossée aux dispositifs de défense d’un grand compte. Leurs données — fichiers clients, savoir-faire industriel, secrets de fabrication, propriété intellectuelle — ont de la valeur. Leur position dans les chaînes d’approvisionnement en fait des points d’entrée vers des donneurs d’ordre plus importants et mieux protégés : compromettre un sous-traitant est souvent plus facile que d’attaquer frontalement le client final. Et leur niveau de maturité en sécurité comme en gestion de crise reste, en moyenne, inférieur à celui des grands groupes.

Surtout, l’ETI ne dispose pas des mêmes amortisseurs analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom. Elle n’a pas de marque nationale puissante sur laquelle s’appuyer pour traverser une tempête. Ses réserves de trésorerie sont plus minces. Sa réputation est fréquemment attachée à un nom de famille, à un fondateur, à une poignée de dirigeants identifiables. Ses relations commerciales sont parfois concentrées sur un petit nombre de clients majeurs, dont la défiance suffit à ébranler l’équilibre de l’entreprise. Une crise qu’un groupe du CAC 40 absorberait comme un incident de parcours peut, pour une ETI, mettre en jeu sa survie même. Le paradoxe est là : plus exposée que jamais, elle demeure moins armée que les acteurs auxquels on associait spontanément le risque de crise.

Un risque qui a changé de nature

Ce qui rend le sujet incontournable, ce n’est pas seulement l’exposition croissante des ETI ; c’est la transformation de la nature même du risque. Deux fronts se sont ouverts et, surtout, ont fini par converger.

Le premier est cyber. Le Panorama de la cybermenace 2025 de l’ANSSI, publié en mars 2026, est sans ambiguïté : les PME, TPE et ETI restent la première catégorie de victimes des rançongiciels, représentant près de la moitié des cas recensés. La menace évolue par ailleurs vers des formes plus insidieuses. Les attaquants chiffrent moins systématiquement les systèmes et privilégient l’exfiltration silencieuse de données, plus discrète et plus facile à monétiser, assortie d’un chantage à la publication. L’agence souligne aussi un brouillage inédit entre acteurs étatiques et cybercriminels, qui partagent désormais outils et méthodes. Selon les enquêtes sectorielles, près d’une ETI sur trois déclare avoir subi une cyberattaque significative sur la seule année écoulée, et la majorité des entreprises touchées constatent un impact direct sur leur activité. Le coût d’un tel incident se chiffre couramment en dizaines, voire en centaines de milliers d’euros, une fois additionnés l’interruption d’activité, la remédiation technique, les frais juridiques et les éventuelles sanctions.

Le second front est informationnel, et c’est le plus récent. L’intelligence artificielle générative a fait basculer le risque réputationnel dans une autre dimension. Le volume de contenus falsifiés de type deepfake circulant en ligne a été multiplié par plus de dix entre 2023 et 2025, et près d’une organisation sur deux dans le monde reconnaît avoir déjà été visée par une tentative de fraude audio ou vidéo synthétique. Les pertes mondiales associées à ces escroqueries ont approché le milliard de dollars en 2025, soit environ le triple de l’année précédente. Les exemples ne manquent plus : une vidéo truquée du président français, diffusée fin 2025, a atteint plus de treize millions de personnes avant d’être démentie ; à l’échelle d’une entreprise, le cabinet d’ingénierie Arup a perdu plusieurs dizaines de millions à la suite d’une fausse visioconférence où des interlocuteurs entièrement recréés se faisaient passer pour ses dirigeants. La « fraude au président » et les faux ordres de virement, dopés au clonage vocal — trente secondes d’enregistrement suffisent aujourd’hui à imiter une voix —, se sont banalisés.

À ces manipulations ciblées s’ajoute la mécanique ordinaire du bad buzz : une rumeur, une capture d’écran sortie de son contexte, une prise de position mal interprétée, un témoignage de salarié ou de client, qui se propagent en quelques heures. Or ici joue une asymétrie décisive. Une entreprise dotée d’une réputation forte et connue peut plus aisément contrer une désinformation ; une ETI à la voix publique discrète y est bien plus fragile, car le faux circule souvent plus vite que le vrai, et le public retient d’autant mieux une information qu’elle lui est servie de façon répétée, sans égard pour son exactitude.

La véritable rupture tient à la convergence de ces deux fronts. Une cyberattaque n’est plus seulement une crise opérationnelle : elle est simultanément une crise juridique — obligations de notification, responsabilité — et une crise réputationnelle et médiatique. L’incident technique et la crise de communication sont désormais un seul et même événement, qu’il faut traiter d’un même mouvement.

Quand la crise ne prévient plus

Le modèle ancien de la crise se déroulait sur plusieurs jours. Un événement survenait, on avait le temps de réunir les responsables, de faire remonter l’information, de peser ses mots, de préparer une réponse. Ce temps a disparu. La crise contemporaine se déclenche en quelques heures, parfois en quelques minutes, portée par la caisse de résonance des réseaux sociaux. Les premières heures sont décisives — les assureurs eux-mêmes le rappellent, eux qui font de l’accompagnement des tout premiers pas de l’entreprise la clé pour limiter la portée d’un sinistre.

Dans ce temps compressé, le silence se paie cher. Aux yeux du public, l’absence de parole se lit comme un aveu de culpabilité ou d’incompétence, et le vide qu’elle laisse se remplit aussitôt : de rumeurs, de spéculations, de captures d’écran, et de plus en plus des revendications des attaquants eux-mêmes, qui n’hésitent plus à s’exprimer bruyamment pour accentuer la pression sur leur victime. Celui qui ne prend pas la parole laisse les autres raconter son histoire à sa place.

L’improvisation, dans ces conditions, échoue presque toujours. Sous le stress, sans messages préparés, sans rôles clairement attribués, sans circuit de validation défini, une organisation oscille entre trois écueils : ne rien dire, en dire trop, ou se contredire d’une prise de parole à l’autre. À cette pression médiatique s’ajoute une horloge réglementaire implacable. Le Règlement général sur la protection des données impose de notifier une violation de données personnelles à la CNIL sous soixante-douze heures. Depuis la loi d’orientation et de programmation du ministère de l’Intérieur, une entreprise doit également déposer plainte dans les soixante-douze heures suivant la découverte d’une cyberattaque pour espérer être indemnisée par son assureur. La fenêtre pour reprendre la main sur le récit est étroite, et elle se referme vite. On ne rédige pas sereinement un communiqué, on n’identifie pas un porte-parole, on ne coordonne pas juridique, technique et communication le jour même où tout s’effondre. Cela se prépare avant.

De la garantie financière au réflexe stratégique

Lorsqu’une ETI songeait à la communication de crise, c’était le plus souvent comme à un service enfoui dans un contrat d’assurance cyber — une prestation activée après un sinistre couvert, dont on espérait ne jamais avoir besoin. Ce marché de l’assurance a d’ailleurs connu un essor spectaculaire auprès des entreprises de taille intermédiaire : le nombre d’ETI assurées a bondi d’environ trois quarts en une seule année, dans un segment historiquement marqué par une forte sous-assurance — moins d’une ETI sur dix il y a quelques années. Les contrats les plus complets intègrent aujourd’hui une chaîne d’assistance impressionnante : experts en investigation numérique, appui à la notification CNIL, agence de communication de crise mobilisable en quelques heures, veille sur l’e-réputation, relations presse, plateforme téléphonique dédiée pour absorber l’afflux d’appels, jusqu’au soutien psychologique des équipes.

Ces dispositifs sont utiles. Ils sont aussi insuffisants, et c’est là que se joue le déplacement de fond. L’assurance absorbe le choc financier ; elle ne répare pas la confiance. La réputation abîmée et les clients perdus ne sont, dans la quasi-totalité des cas, jamais indemnisés. Un contrat rembourse des frais de remise en état ; il ne rachète pas une relation commerciale rompue ni une image ternie. Par ailleurs, la logique assurantielle elle-même pousse à l’anticipation : les assureurs conditionnent de plus en plus leur couverture à l’existence de procédures de gestion de crise documentées et testées, et peuvent réduire, voire refuser, leur indemnisation lorsque ces procédures faisaient défaut ou que les règles internes de vérification étaient floues.

La communication de crise migre ainsi de l’« après » vers l’« avant ». D’un service réactif que l’on active en catastrophe, elle devient une capacité proactive que l’on construit, que l’on outille et que l’on entraîne en temps de paix. Elle cesse d’être une garantie que l’on achète pour devenir une compétence que l’on possède. Ce n’est plus seulement une case à cocher au bas d’une police d’assurance, mais un élément de pilotage de l’entreprise, au même titre que la maîtrise de sa trésorerie ou de sa production. Le glissement est autant culturel que budgétaire : il suppose que le dirigeant considère la crise non comme une fatalité extérieure contre laquelle on se couvre, mais comme un scénario probable auquel on se prépare.

Un maillon de la chaîne de résilience

La communication de crise ne fonctionne jamais seule. Elle constitue la couche humaine et relationnelle qui vient s’ajouter à un socle technique et organisationnel. En amont, il y a la prévention : authentification multifacteur, protection des postes de travail, gestion rigoureuse des correctifs, sécurisation des accès distants. Il y a la sauvegarde des données, idéalement immuable et régulièrement testée, car une sauvegarde qu’on ne restaure jamais ne vaut rien le jour où il faut y recourir. Il y a la continuité d’activité, formalisée dans un plan de continuité et de reprise. Et il y a la formation des salariés, car l’humain demeure la première ligne : la fraude au président ne cible pas d’abord la technique, elle exploite un réflexe — obéir vite, aider un dirigeant, régler une urgence sans vérifier. La résilience, comprise ainsi, est un triptyque : technique, organisationnelle et communicationnelle. Négliger l’un de ces trois volets fragilise l’ensemble.

Le cadre réglementaire accélère cette prise de conscience. La directive européenne NIS2, transposée en droit français par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité — dite « loi Résilience », dont la promulgation était encore attendue au cours de l’année 2026 —, élargit considérablement le périmètre des obligations de cybersécurité. Là où le régime précédent ne concernait que quelques centaines d’opérateurs, ce sont désormais entre 15 000 et 18 000 entités françaises qui sont visées, réparties en entités essentielles et entités importantes, avec des obligations de gestion des risques et de notification des incidents, des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, et — point souvent sous-estimé — l’engagement de la responsabilité personnelle des dirigeants.

De nombreuses ETI découvriront qu’elles entrent dans ce périmètre, soit directement en raison de leur secteur, soit indirectement : la directive impose aux entités régulées de maîtriser les risques liés à leur chaîne d’approvisionnement, si bien qu’un donneur d’ordre soumis à NIS2 répercutera contractuellement ses exigences sur ses sous-traitants, dont beaucoup sont précisément des entreprises de taille intermédiaire. En s’ajoutant à l’obligation de notification du RGPD et à ses propres sanctions — jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros —, cet arsenal transforme ce qui relevait hier du choix en socle attendu. La capacité à détecter, notifier, gérer et communiquer un incident devient une exigence à la fois légale et contractuelle. Se doter d’un dispositif de crise n’est plus une élégance de grand groupe : c’est, de plus en plus, une condition pour continuer à travailler avec ses clients et à opérer en conformité.

Ce que « se préparer » veut dire concrètement pour une ETI

La bonne nouvelle, c’est qu’une ETI n’a pas besoin d’un budget de multinationale pour être prête. Elle a besoin de méthode, pas de masse. Quelques fondamentaux, tenus à jour et réellement appropriés, font l’essentiel de la différence.

Il faut d’abord cartographier les risques et les parties prenantes. Quels scénarios de crise sont plausibles pour cette entreprise en particulier — cyberattaque, rappel de produit, accident industriel, affaire sociale ou de harcèlement, dirigeant mis en cause, rumeur ou deepfake ? Et pour chacun, qui doit être informé, dans quel ordre et par quel canal ? Un principe s’impose ici : les salariés d’abord, car une équipe qui apprend la crise par la presse ou les réseaux sociaux est une équipe qu’on a perdue ; puis les clients, les fournisseurs et les partenaires ; puis les autorités — CNIL, ANSSI, dépôt de plainte ; puis les médias et le grand public.

Il faut ensuite constituer une cellule de crise restreinte, aux rôles définis à l’avance : un décideur qui tranche, un porte-parole formé et unique pour éviter les voix discordantes, un coordinateur, et des points de contact clairs avec la direction informatique, le service juridique et l’assureur. Ces rôles se désignent en amont ; ils ne s’improvisent pas dans la panique.

Il faut préparer les outils : un annuaire de crise à jour, avec des contacts joignables à toute heure ; des éléments de langage et des communiqués de première réponse pré-rédigés, adaptables en quelques minutes ; un circuit de validation connu de tous ; un canal de secours — une page ou un site prêts à être activés si les moyens habituels sont hors service ; et une capacité de veille médiatique et sociale pour savoir ce qui se dit et réagir à temps.

Il faut enfin adopter le principe cardinal de toute prise de parole en crise : dire vite, dire vrai, dire soi-même. Reconnaître les faits établis, exprimer de l’empathie envers ceux qui subissent, montrer que l’on agit, et tenir le fil dans la durée plutôt que de disparaître après un premier communiqué. Ne pas mentir, ne pas minimiser, ne pas se taire. Occuper le terrain avant que d’autres ne s’en emparent.

Reste l’ingrédient que l’on oublie le plus souvent : s’entraîner. Un exercice de simulation par an au minimum — que les assureurs recommandent d’ailleurs de plus en plus — permet de vérifier que les procédures fonctionnent, que les contacts sont à jour, et que le porte-parole tient le choc face à la pression. Tout cela représente un investissement modeste et récurrent. La reconstruction après une crise mal gérée, elle, coûte infiniment plus cher : on estime couramment que remettre sur pied une organisation après un incident revient à plusieurs fois le prix de sa prévention.

La confiance, un capital à défendre

Pour une ETI, la confiance est l’actif invisible du bilan : lente à bâtir, rapide à perdre. Elle est souvent portée par un nom de famille, une réputation locale, des décennies de relations clients patiemment nouées — exactement le type de capital qu’une rumeur virale ou un incident mal traité peut éroder en une nuit, et qu’une entreprise de taille intermédiaire, faute de marque nationale sur laquelle se replier, ne reconstruit pas aisément. C’est cette fragilité particulière qui donne au sujet toute son acuité.

Bien comprise, la communication de crise n’est ni du maquillage ni de la manipulation. Elle est la discipline qui consiste à préserver cette confiance sous pression : dire la vérité rapidement, assumer ses responsabilités, tenir informées les personnes concernées, et le faire avec méthode plutôt que dans l’affolement. Elle est devenue un réflexe de survie non parce que les crises seraient nouvelles, mais parce que leur vitesse et leur visibilité ont changé, et parce que les ETI n’ont plus l’option de rester silencieuses et invisibles.

Les entreprises qui traversent les crises ne sont pas celles que les crises épargnent, mais celles qui s’étaient préparées à les affronter. Dans une économie où un seul incident peut faire le tour du monde avant que la vérité n’ait eu le temps de s’expliquer, cette préparation n’est plus une affaire de confort de communication. C’est, désormais, une affaire de survie.