La cybersécurité est aujourd’hui un enjeu majeur pour toutes les entreprises, quelle que soit leur taille. Mais pour les Entreprises de Taille Intermédiaire (ETI), la réalité est encore plus complexe. En effet, les ETI sont souvent suffisamment grandes pour être des cibles de choix pour les cybercriminels, mais pas toujours assez préparées pour résister efficacement aux cyberattaques. Une crise cyber ne se limite pas à une question technique, c’est également une crise de communication. Et c’est là que se joue la différence : être prêt, c’est limiter les dégâts non seulement pour l’entreprise, mais aussi pour sa réputation et ses relations avec ses parties prenantes.
Par Christel Bertrand – consultante indépendante en communication de crise
La réalité des attaques cyber pour les ETI françaises
une étude récente de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), environ 54 % des ETI françaises ont été victimes d’une tentative de cyberattaque au cours des deux dernières années. Et parmi celles qui ont été attaquées, près de 30 % ont souffert de pertes financières significatives, et parfois même de paralysies temporaires de leurs activités.
Les cybercriminels ne ciblent pas uniquement les grandes multinationales. Au contraire, les ETI présentent souvent une combinaison attrayante de moyens financiers et une sécurité parfois moins robuste. C’est précisément cette vulnérabilité qui fait des ETI des cibles privilégiées. Dans ce contexte, la question n’est plus de savoir si et quand une entreprise va être attaquée, mais plutôt si elle va se relever d’une crise cyber.
Crise d’origine cyber : la préparation à la communication est essentielle
Lorsqu’une cyberattaque survient, les premières heures sont critiques. Il ne s’agit pas seulement de résoudre le problème technique, mais aussi de gérer la manière dont cette crise sera perçue par vos employés, vos clients, vos partenaires et le grand public. La mauvaise gestion de la communication lors d’une attaque peut engendrer une perte de confiance, qui est parfois plus dommageable que les conséquences financières immédiates.
Prenons l’exemple d’une ETI spécialisée dans l’industrie manufacturière qui subit une attaque par rançongiciel. Outre les effets sur sa production, la réaction publique de l’entreprise joue un rôle crucial dans la préservation de ses relations avec ses clients. Une communication confuse ou tardive, laissant entendre un manque de transparence, pourrait éroder la confiance acquise auprès des partenaires commerciaux, voire conduire à la perte de contrats importants.
Les bénéfices concrets de l’anticipation
Préparer une stratégie de communication de crise en amont permet de :
- Réagir rapidement : Lorsqu’une cyberattaque survient, chaque minute compte. Un plan de communication bien rodé permet de répondre rapidement, limitant ainsi les spéculations et les rumeurs tant en interne qu’en externe. Les responsables de la communication sont alors confrontés à deux questions : quoi dire ? et comment le dire ? Plus que dans tous les autres types de crise, une crise cyber, comporte des enjeux de « traduction » des termes spécifiques à l’informatique. L’objectif est d’expliquer la nature, les actions engagées et les impacts de la crise dans un langage compréhensible pour tout son écosystème.
- Maintenir la confiance : Selon une étude de l’Institut national de la consommation, près de 60 % des consommateurs déclarent qu’ils seraient moins enclins à travailler avec une entreprise qui ne gère pas correctement une violation de données. Une communication efficace permet de démontrer que vous avez la situation sous contrôle et que vous prenez la sécurité de vos clients et partenaires au sérieux.
- Protéger la marque : Une crise bien gérée peut transformer une situation négative en une occasion de prouver la résilience et la transparence de l’entreprise. Des messages clairs, accompagnés de preuves d’actions concrètes, contribuent à protéger, voire renforcer, l’image de marque.
- Se préparer aux aspects juridiques : La réglementation européenne, et en particulier le RGPD, impose des obligations strictes en matière de communication lors de la violation de données. L’anticipation permet de respecter ces exigences sans précipitation ni erreurs coûteuses.
Un plan de communication de crise : une nécessité, pas un luxe
Il peut être tentant pour une ETI de se dire qu’elle pourra improviser une réponse le moment venu. Cependant, l’improvisation, dans un contexte de crise, conduit souvent à des erreurs coûteuses. Un plan de communication de crise bien pensé inclut :
- Des messages pré-rédigés pour les différents scénarios possibles : qu’il s’agisse d’une attaque par rançongiciel, d’une fuite de données ou d’une interruption de service.
- Une définition claire des rôles au sein de l’équipe dirigeante : Qui s’exprime publiquement? Qui est en contact avec les partenaires ? Qui s’occupe des médias ?
- Une liste de contacts clés qui doivent être informés en priorité : clients, partenaires, employés, élus…Informer ses parties-prenantes que l’entreprise est victime d’une cyber attaque c’est avant tout les protéger.
L’idée est de pouvoir communiquer rapidement, calmement et avec précision. Avoir un plan de communication, c’est avoir un gilet de sauvetage prêt à être utilisé. C’est beaucoup plus difficile d’affronter une tempête sans cet outil précieux !
La gestion des émotions : éviter d’ajouter une crise à la crise
Lorsqu’une crise cyber frappe une ETI, la gestion des émotions devient un facteur clé, souvent sous-estimé, mais crucial pour la réussite de la réponse globale. Les équipes de communication, généralement restreintes en termes d’effectifs, se retrouvent sous une pression immense pour gérer simultanément la communication interne et externe, tout en maintenant une clarté et une transparence dans leurs messages. Le stress, la peur de mal faire ou de ne pas réagir assez rapidement peuvent exacerber les erreurs et conduire à des prises de décision précipitées. En l’absence d’un soutien organisationnel et de processus établis, ces petites équipes peuvent rapidement se sentir submergées. C’est pourquoi il est essentiel de préparer non seulement un plan de communication, mais aussi de renforcer la résilience émotionnelle des équipes. Des formations régulières, des exercices de simulation, et la mise en place d’une cellule de crise dédiée permettent de mieux anticiper ces moments de tension, en répartissant les responsabilités et en offrant un cadre rassurant aux équipes. De cette manière, elles peuvent mieux gérer leurs émotions, rester concentrées sur l’essentiel et éviter que la panique ne prenne le dessus.
La place du dirigeant dans la gestion de crise
Il est essentiel de noter que le rôle du dirigeant est primordial lors d’une crise. Une communication efficace passe souvent par une prise de parole du ou des dirigeants, apportant une dimension humaine à la gestion de la crise. Être visible, rassurant et transparent est un atout de taille. C’est pourquoi l’anticipation comprend également des exercices de simulation, permettant aux dirigeants de se préparer à prendre la parole dans des conditions difficiles.
La différence entre subir et maîtriser
La préparation à la communication d’une crise cyber peut faire la différence entre subir une crise qui dévaste votre entreprise ou maîtriser une situation délicate avec assurance et transparence. Pour une ETI, l’anticipation est la clé de la résilience face aux cybermenaces.
N’attendez pas que la crise vous force à agir. En prenant le temps aujourd’hui de préparer une stratégie de communication adaptée, vous vous assurez de protéger non seulement votre entreprise, mais aussi la confiance de ceux qui comptent sur vous.