〈   Continuité de l’activité
Facteurs de succès du PCA

Chapitre 2.4

Information et communication


A. Définir l’information à partager.

Dans le cadre d’un PCA, il est essentiel de définir quel type d’information sera communiquée, et à qui, mais aussi de quelle façon elle va être délivrée. La question des délais de communication est également très importante et elle peut être déterminée en amont, dans le cadre de la définition du PCA. Enfin, choisir la personne qui sera apte à communiquer est essentiel.

B. Communication interne

Dans toute organisation, lors d’une période de crise, les employés vont se demander ce qui se passe, quel sera l’impact de la crise pour eux, quelle attitude ils doivent adopter… Il est donc crucial de leur diffuser une information utile et précise.

Il existe une série de cas où la nature de l’activité peut entraîner des répercussions particulières en cas de crise. Pour ces infrastructures critiques, le Head of Legal ou responsable juridique doit être très rapidement tenu informé des impacts de la crise.

Autre secteur stratégique en termes de communication : la réception. Les personnes qui y travaillent constituent souvent le point de contact principal pour les personnes et entités extérieures. S’il y a des appels externes au sujet de la crise en cours, communiquer à ces personnes ce qu’elles doivent dire est crucial. Faute de quoi une personne à la réception pourrait se retrouver désemparée, peut-être paniquer voire inventer des choses ou communiquer des informations qu’elle ne devrait pas.

C. Communication externe.

À l’heure actuelle, médias et réseaux sociaux sont toujours plus réactifs. En situation de crise, selon l’entreprise concernée, des contenus (articles, tweets…) au sujet de la crise en cours peuvent très bien émerger et causer potentiellement du tort. Il est donc important de reprendre le contrôle, a minima pour communiquer largement que l’organisation et ses responsables sont conscients de la situation, prennent toutes les mesures nécessaires pour y remédier, voire simplement pour expliquer qu’il n’y aura pas de commentaires.

En cas de problème qui perturberait les canaux traditionnels de communication (téléphone, e-mails), il est judicieux de prévoir d’autres canaux de communication. Certaines entreprises utilisent des messageries grand public (WhatsApp, Telegram, Signal,…) pour des communications informelles au quotidien, en interne ou avec des partenaires externes. En situation de crise, mieux vaut se tourner vers des solutions sur mesure et sécurisées, afin de conserver la confidentialité des informations échangées.

D. Le bon moment pour s’adresser aux médias

Une des différences entre la gestion de crise classique et la gestion de crise cyber c’est régulièrement la vitesse à laquelle il faut communiquer aux médias. C’est une question qui reste délicate, même avec un bon concept de communication de crise.

Quand une organisation doit-elle rédiger et s’adresser aux médias avec un communiqué de presse officiel ?

Chaque situation de crise est différente, le bon moment pour commencer la rédaction est dès que possible. Une des priorités pour le communiquant est de comprendre au plus vite de quel type de cyberincident parle-t-on. Une attaque « DDOS » qui rend indisponible les sites internet de la victime n’engendre pas le même plan de communication qu’une fuite de données massive de citoyens ou de clients.

Le choix du moment de la diffusion doit être fait en concertation avec l’équipe technique de réponse à cyber incident et validé par l’état-major de gestion de la cybercrise. Il n’y a pas de réponse toute faite, le moment idéal ne se décrète pas, il se prépare. Il est nécessaire de bien monitorer ce qui se passe à l’interne, d’avoir mis un maximum de mesures en chantier et de le corréler avec les signaux provenant de l’externe pour annoncer la situation de cyber crise. La priorité reste que ce soit l’organisation piratée qui annonce la nouvelle aux victimes potentielles comme les clients, partenaires, prestataires (ne pas négliger les dommages collatéraux)

Schéma d’aide à la décision pour la ligne de conduite :

Extrait de l’ouvrage “Les fondamentaux de la gestion de crise cyber”, (chap. 8, la communication de crise)

2023 © Trust Valley. Tous droits réservés.