Communication de crise et gestion de crise

Depuis le mois de novembre 2019, le monde entier est touché par la pandémie de coronavirus. La Covid-19 entraîne depuis bientôt 2 ans des conséquences importantes, voire dramatiques tant pour les populations que pour les entreprises, institutions et collectivités. Avec une augmentation rapide et brutale de la cybercriminalité en entreprise : + 650 % de cyberattaques en l’espace de 20 mois, les entreprises doivent se préparer à la gestion de crise cyber et à la communication de crise afin de protéger leurs intérêts. 
 

Comment faire face aux cyberattaques ? Quels sont les risques et les conséquences de la cybercriminalité en entreprise ? Comment mener à bien sa communication et sa gestion de crise cyber en situation d’urgence ? 
 

Cyberattaques et cybercriminalité : risques et conséquences pour une entreprise.
 

Les entreprises s’exposent toutes à des risques de cyberattaques, malgré une protection renforcée liée notamment à une prise de conscience collective de l’importance de la sécurité informatique. Les conséquences de la cybercriminalité sur une entreprise sont considérables et doivent impérativement être repérées et prises en charge pour éviter tout désagrément pouvant mettre en péril l’équilibre de sa société.
 

Les risques courants auxquels sont exposées les entreprises victimes de cyberattaques sont les suivants : 

• Paralysie des systèmes : impossibilité d’utiliser les logiciels habituels menant à une perte d’exploitation partielle ou totale.
• Vol ou suppression de données sensibles et personnelles.
• Atteinte à la réputation : notamment lorsque la sécurité fait partie des éléments essentiels et critères premiers d’une entreprise pour ses clients.
• Préjudice commercial : vol de données sensibles (concurrentielles).
• Création de brèches au sein d’un système de sécurité défaillant.
• Chantage et rançon (ransomware).
   

Les conséquences les plus fréquentes d’une mauvaise gestion de crise cyber et communication de crise en cas de cyberattaques sont :
 

• Perte de confiance des clients, parties prenantes, sous-traitants, partenaires…
• Atteinte à la réputation, au capital confiance et à l’image de la marque.
• Baisse effective et conséquente de commandes et de chiffre d’affaires.
• Perte de clients, démissions de salariés…
   

Gestion de crise et cybersécurité : quelle posture adopter lors d’une cyberattaque ?
 

En cas de cyberattaque, la communication est à la fois un enjeu stratégique et une priorité absolue. De plus, la diffusion de l’information s’emballant à une vitesse inouïe et incontrôlable, notamment via les réseaux sociaux, la communication en situation de crise, lors des cyberattaques en particulier, doit alors être rapide, constante, transparente, adaptée et surtout maîtrisée. Intégrer l’ensemble de ces éléments dans un contexte délicat et dégradé, lors de cybercriminalité en entreprise par exemple, est une affaire complexe. C’est pourquoi définir une bonne stratégie nécessite souvent l’accompagnement de spécialistes en communication de crise et gestion de crise cyber. Les deux spécialités servent à limiter l’impact des cyberattaques sur l’entreprise ou l’institution.
 

Face à une cyberattaque ou faille informatique, l’enjeu premier est de prévenir vos clients et partenaires, avant qu’ils ne soient prévenus par d’autres canaux. Mais pour bien communiquer, il faut connaitre précisément la situation, afin de présenter les actions prévues pour rapidement remédier au problème rencontré et limiter les conséquences de la cybercriminalité. Il faut aussi rassurer, tout en mettant un point d’honneur sur la transparence et sur un agenda des actions ou étapes à venir. Par ailleurs, tout un tas d’éléments vous aidera de façon déterminante dans la gestion de crise cyber en termes de communication. C’est notamment le choix d’une stratégie adaptée, cohérente et validée par la Direction. Ensuite, la déclinaison du plan de communication de crise choisi. Ce plan de communication de crise empruntera tous les meilleurs vecteurs pour atteindre les objectifs fixés et donc les cibles visées. L’ensemble devant répondre aux exigences des clients et parties prenantes, mais en même temps protéger vos assets.
 

En synthèse, la communication de crise en cas de cyberattaques, ou faille doit plus que jamais être anticipée pour être maîtrisée au mieux. Cependant, beaucoup de facteurs (endogènes ou exogènes) et d’éléments interfèrent sur la pertinence de votre gestion de crise cyber. Notamment sur les conséquences des éléments de langage définis et sur les prises de parole effectuées, et ce, sur tous les supports ; tant en interne qu’en externe. Par ailleurs, avec une telle explosion des actes de cybercriminalité en France, l’agence Nitidis leader en communication de crise et gestion de crise a construit une offre d’assistance dédiée spécifiquement aux risques des cyberattaques et à leur maîtrise. Cette offre a été conçue spécialement aux profits des directions de communication, des DSI et gestionnaires de risques pour être efficients et plus résilients face à la cybercriminalité et aux défaillances informatiques. L’objectif majeur étant d’accélérer la reprise d’activité tout en limitant les impacts tant financiers que réputationnels sur votre structure ou entreprise.   
 

Cyberattaque en entreprise : qui doit porter la communication de crise ?
 

La communication de crise doit être globalement assumée par le dirigeant (PDG-CEO-DG…), en qualité de mandataire social. Pour autant, d’autres parties jouent un rôle capital dans la gestion de crise cyber et dans la communication de crise associée en situation de cyberattaque ou de défaillance des systèmes. Citons le RSSI (Responsable de la Sécurité des Systèmes d’Information) ou le DSI (Directeur des Systèmes d’Information), qui, lors de cyberattaques, vont apporter à la com. les renseignements « métier » spécifiques et nécessaires à la meilleure compréhension de la crise. Il a aussi pour rôle d’informer sur les mesures et précautions prises préalablement, sur l’état des lieux précis de la situation, ainsi que sur les actions correctives ou de sauvegarde mises en œuvre. Le département juridique de l’entité voire des avocats-conseils détiennent eux aussi un rôle important aux yeux des clients et des parties prenantes. Lors de cybercriminalité, il doit alors être sollicité, informé et agir le cas échéant dans votre stratégie de communication de crise et gestion de crise cyber. Mais son rôle est aussi de protéger l’entreprise et de porter plainte par exemple en cas d’attaque caractérisée. On comprend bien là, toute la complexité de cette communication de crise qui doit s’intégrer dans le « cœur » de la machine informatique de l’entreprise et/ou de ses fournisseurs. Ainsi, lors de cyberattaques, toute la stratégie doit donc être portée par la Direction de la communication qui doit proposer au dirigeant les hypothèses d’actions en matière de communication de crise. Il faut également en absence de structure dédiée, ou en tant que de besoin, faire appel à une agence de communication de crise spécialisée comme EPOKA-NITIDIS qui couvre l’ensemble des actions de conseil et d’appui en communication de crise et gestion de crise cybersécurité.