Au cours de l’année 2021, 20% des dirigeants de TPE-PME auraient subi une cyber attaque ou une tentative d’attaque informatique, selon une enquête réalisée par la Confédération des petites et moyennes entreprises (CPME) auprès de ses adhérents. Malgré cette exposition au risque, peu d’entreprises sont préparées à gérer ce type d’incident vis-à-vis de l’extérieur. Communiquer de manière adaptée et au moment opportun est pourtant essentiel si l’on veut préserver l’image de l’entreprise et maintenir la confiance de ses partenaires.
AUDITER LA SITUATION
Avant même de commencer à communiquer, la première chose à faire est de réaliser un audit de la situation, pour comprendre la nature de l’attaque, mesurer son ampleur, ses conséquences potentielles sur l’activité de l’entreprise, ainsi que celle de ses clients et partenaires. Toutes ces informations sont indispensables pour déterminer la stratégie de communication à mettre en œuvre.
À partir de là, mieux vaut ne pas temporiser. L’incident peut s’ébruiter et il est toujours préférable de prendre l’initiative de la communication, plutôt que de réagir sous la pression de l’extérieur. Se montrer réactif est aussi le meilleur moyen de couper court aux fausses rumeurs.
Comment communiquer ? Quelles informations dévoiler ? En l’espèce, tout dépend de la nature et de la gravité de l’attaque. L’objectif est d’expliquer la nature de l’incident, sa portée, de donner les consignes de sécurité qui s’imposent (en cas de fuite de données, par exemple), et de donner de la visibilité aux actions mises en œuvre pour rétablir la situation.
TRANSPARENCE DE RIGUEUR
Dans tous les cas, il est vivement conseillé d’exposer la situation de manière honnête et objective, plutôt que de chercher à masquer la réalité des faits, ce qui risque tôt ou tard de mener l’entreprise dans une impasse. Cette transparence est une condition indispensable pour préserver la confiance du public, des partenaires de l’entreprise, et éviter que le doute ou la suspicion ne s’installent.
Enfin, il convient d’adapter le contenu des messages aux cibles visées : clients, partenaires financiers, institutionnels… Leurs préoccupations et par conséquent leurs besoins d’information, ne sont pas les mêmes.
Malgré ces recommandations, la communication de crise ne s’improvise pas. Pour être parfaitement opérationnel le jour J, mieux vaut anticiper les choses, en définissant un mode opératoire à appliquer en cas d’attaque, ainsi qu’une personne référente en charge de la communication de crise.
Pour en savoir plus :
Anssi - Guide "Anticiper et gérer sa communication de crise cyber"