Anticiper et gérer sa communication de crise cyber

Une bonne communication de crise cyber repose avant tout sur une préparation rigoureuse. Le guide préconise d'initier, en amont de toute crise, un dialogue régulier entre les équipes cyber/informatique et les équipes communication. Cette acculturation mutuelle permet de mieux comprendre les priorités, les enjeux et le vocabulaire de chaque métier, facilitant ainsi la coordination lors d'un incident.

Sur cette base, l'ANSSI recommande d'anticiper plusieurs scénarios de crise cyber réalistes (DDoS, rançongiciel, défiguration, etc.) et de préparer des stratégies de communication adaptées à chacun d'eux. Ces préparations peuvent ensuite être testées dans le cadre d'exercices de gestion de crise cyber, incluant idéalement une pression médiatique simulée pour former les porte-paroles à gérer les médias en situation réelle.

Pour faire face efficacement à une crise cyber, la constitution préalable d'une boîte à outils dédiée à la communication de crise est recommandée. Cette ressource regroupe notamment :

• Les stratégies de communication pré-identifiées avec leurs éléments de langage associés
• Le dispositif de gestion de crise et les annuaires des acteurs impliqués
• Un listing des modes de communication dégradés anticipés
• Les codes d'accès aux comptes réseaux sociaux et les templates de communication

Cette boîte à outils doit être conservée sur plusieurs supports (serveur informatique, clé USB, coffre-fort numérique et version papier) pour en garantir l'accessibilité même en cas de compromission des systèmes informatiques.

En situation de crise cyber, le communicant doit être pleinement intégré aux cellules de gestion de crise (opérationnelle et stratégique). Une organisation spécifique peut être mise en place avec une répartition des rôles selon trois fonctions clés :

• Coordination : centraliser les productions et assurer la chaîne de validation
• Perception : assurer la veille médiatique et interne
• Réaction : maîtriser les publics et les outils pour adapter les messages

Au démarrage d'une crise cyber, il est essentiel de réaliser un état des lieux complet comprenant les faits constatés, la situation en matière de communication et le contexte. Cette analyse permet de proposer aux dirigeants une posture de communication : proactive ou réactive.

En cas d'attaque visible (rançongiciel, déni de service, exfiltration de données), une posture proactive est généralement conseillée pour limiter les impacts sur l'image et la réputation de l'entité. À l'inverse, pour des attaques discrètes à des fins d'espionnage, une posture réactive est privilégiée pour protéger les actions de remédiation.

L'ANSSI préconise l'utilisation de la méthode FACET pour structurer les communications :

• Faits : présenter les informations factuelles et véridiques
• Actions : décrire les mesures mises en œuvre
• Compassion : faire preuve d'empathie envers les victimes
• Engagement : montrer la mobilisation de l'organisation
• Transparence : assurer une communication régulière et maîtrisée

Les principaux objectifs de communication visés sont d'expliquer et informer sur la nature de l'attaque et les actions de remédiation, de rassurer sur la capacité de l'organisation à gérer la crise, de préserver l'image et la réputation de l'entité, et de faire évoluer les comportements vers de meilleures pratiques de cybersécurité.

Le ton employé doit être pédagogique et rassurant, en évitant les termes trop anxiogènes et en adaptant le niveau de technicité au public ciblé. L'ANSSI met à disposition son CyberDico, un glossaire des termes de cybersécurité pour aider à la formulation des messages.

Priorité à l'interne : Les collaborateurs doivent être informés et rassurés en priorité pour éviter les rumeurs, les fuites d'informations et la panique. L'utilisation de moyens de communication alternatifs (téléphones personnels, applications de messagerie instantanée temporaire, groupe fermé sur réseau social grand public) peut s'avérer nécessaire si les canaux classiques sont indisponibles.

Communication externe : La veille médiatique est indispensable pendant toute la durée de la crise pour adapter la communication en temps réel. Les réseaux sociaux et le site web constituent des canaux stratégiques pour diffuser les informations officielles et maintenir le dialogue avec le public. Pour les relations presse, le guide recommande de centraliser les demandes via le service de presse et de préparer un communiqué de presse selon la règle des 6W (Who, What, When, Where, Why, How).

Une fois la crise cyber résolue, différentes actions de communication sont recommandées :

• Envoyer un message de remerciement aux différentes parties prenantes, notamment internes
• Réaliser un retour d'expérience (RETEX) sur la communication menée pendant la crise
• Partager un témoignage public pour éclairer et inspirer d'autres acteurs sur les risques et les mesures de prévention
• Sensibiliser les collaborateurs sur les bonnes pratiques informatiques à adopter

Cette démarche permet de renforcer la résilience de l'équipe communication et de pérenniser les dispositifs qui ont fait leurs preuves.