On-call Crisis
At your service 24/7
dga
On-call Crisis
At your service 24/7

Crise cyber : la communication comme levier de crédibilité

Date 5 May 2026
Type Articles

Un contexte qui accroît l’exigence des parties prenantes

En matière de cyber, le sujet n’est pas de convaincre que la menace existe. En 2024, la CNIL a reçu 5 629 notifications de violations de données personnelles, soit 20 % de plus qu’en 2023. Plus significatif encore, cette même année, le nombre de violations touchant plus d’un million de personnes a doublé en France. Dans le même temps, Cybermalveillance.gouv.fr a enregistré 5,4 millions de visiteurs uniques et plus de 420 000 demandes d’assistance en 2024, en forte hausse. À l’échelle internationale, 72 % des organisations interrogées par le World Economic Forum déclarent constater une augmentation de leurs risques cyber.

Le risque de cyber-attaque n’est donc plus un angle mort, et c’est précisément ce contexte qui change la nature de ces crises. Par exemple, à force de fuites de données et de campagnes d’hameçonnage, les victimes (clients, des salariés, des usagers, des partenaires, etc.) supportent de moins en moins les messages tardifs, flous ou purement formels. Parce qu’une fuite peut déboucher sur du phishing, de l’usurpation d’identité, de la fraude ou une perte de maîtrise des données, les organisations sont attendues sur leur capacité à expliquer la situation, à l’assumer, à accompagner les publics concernés et à leur donner rapidement des repères concrets.

En ce sens, la crise cyber est donc plus que jamais une affaire de perception. Elle se joue autant dans ce qui est techniquement arrivé que dans la manière dont cette réalité est perçue, comprise et jugée par les parties prenantes.

La communication de crise cyber : point de jonction entre choc immédiat et temps long

Dans ce contexte, la communication joue un rôle très important : elle devient la traduction publique de la réponse opérationnelle, et parfois la condition même de sa crédibilité.

En cas de cyber-attaque, une organisation peut très bien enclencher les bons réflexes opérationnels, mobiliser ses équipes, isoler les systèmes touchés, lancer les investigations et renforcer ses contrôles ; si, dans le même temps, ses parties prenantes ont le sentiment de ne rien comprendre, de n’être ni informées ni accompagnées, la crise change immédiatement de nature. Elle devient aussi une crise de confiance.

Or, en cyber-attaque, la crise se joue sur deux temporalités qu’il faut réussir à articuler. D’un côté, les effets de l’attaque peuvent être immédiats : services indisponibles, outils perturbés, inquiétude des victimes, pression médiatique et multiplication des sollicitations. De l’autre, le temps de l’investigation puis de la remédiation est, lui, beaucoup plus long. Les analyses techniques ont des délais incompressibles, la compréhension de l’incident se construit progressivement, et le rétablissement complet peut prendre plusieurs semaines, voire plusieurs mois.

Toute la difficulté est là : répondre à une attente immédiate alors même que les certitudes techniques se stabilisent lentement. Dans ce cadre, la bonne communication ne consiste pas à prétendre tout savoir, mais à rendre lisible une organisation qui agit avec méthode, hiérarchise ses priorités et accompagne ses parties prenantes dans la durée, malgré l’incertitude.

Le cas du ministère néerlandais des Finances illustre bien cette tension. En mars 2026, le ministère néerlandais des Finances a révélé qu’un accès non autorisé avait visé plusieurs de ses systèmes internes. Dans son premier message public, le ministère a bien reconnu l’incident, indiqué qu’une enquête était en cours et précisé que les systèmes concernés avaient été bloqués. En cela, le premier message attestait d’une réaction opérationnelle réelle. Mais la séquence est ensuite restée suspendue à ce seul communiqué, sans mise à jour publique complémentaire, sans véritable explicitation du périmètre, sans accompagnement concret sur les conduites à tenir, ni effort visible pour répondre aux interrogations croissantes des parties prenantes.  En l’absence du lien entre ces deux temps, le message initial ne rassure pas ; il fige au contraire l’incertitude et ce vide devient vite un facteur aggravant à part entière.

À l’inverse, le cas d’ImmoJeune permet de montrer ce qu’une première prise de parole utile peut produire lorsqu’elle est pensée pour les utilisateurs potentiellement touchés. Le 5 mars 2026, des rumeurs de fuite ont commencé à circuler en ligne autour d’un piratage supposé de la plateforme spécialisée dans le logement étudiant, et c’est dans ce contexte qu’ImmoJeune a adressé, à la mi-avril 2026, soit environ un mois et demi plus tard, un mail à ses utilisateurs pour expliquer l’incident, préciser le périmètre des données potentiellement exposées et détailler les premières mesures engagées.

Sans prétendre lever d’emblée toutes les incertitudes, cette première prise de parole a le mérite de rendre la situation lisible : elle explique de manière pédagogique l’origine de l’incident, précise le périmètre des données potentiellement concernées, indique les premières mesures engagées, formule des recommandations concrètes et prévoit des dispositifs d’accompagnement.

Là où le ministère néerlandais a laissé l’incertitude s’installer, ImmoJeune a cherché d’emblée à donner des repères utiles aux victimes potentielles et à faire de sa communication la vitrine visible de la gestion de crise. Cet exemple montre donc qu’une bonne communication de crise cyber ne consiste pas à tout savoir d’emblée, mais à donner à voir, dès le premier message, une organisation qui informe, agit et prend ses responsabilités.

Pour autant, la qualité d’un premier message ne suffit pas à elle seule. Tout l’enjeu reste ensuite de tenir dans la durée et c’est précisément dans cet effort de continuité que réside le point névralgique d’une bonne communication de crise cyber : il s’agit de témoigner de sa présence tout au long des investigations, d’actualiser les repères à mesure qu’ils se stabilisent, d’accompagner les victimes ou les publics exposés, et de rendre lisible la posture de responsabilité de l’organisation.

D’autant plus qu’en matière de cyberattaque, une communication insuffisante ou trop formelle n’affaiblit pas seulement la confiance : elle peut aussi exposer l’organisation à un risque juridique et réglementaire supplémentaire. À cet égard, le cas de Free est particulièrement éclairant. En janvier 2026, la CNIL a sanctionné Free Mobile et Free à hauteur de 42 millions d’euros après une violation de données concernant 24 millions de contrats d’abonnés. Au-delà des manquements de sécurité relevés, l’autorité a estimé que l’information adressée aux personnes concernées ne leur permettait pas de comprendre directement les conséquences de la violation ni les mesures à mettre en place pour se protéger.

En cela, la communication de crise n’est pas un sujet secondaire de la crise cyber. Elle est l’un des lieux où se décide, très concrètement, sa portée réputationnelle et réglementaire.

Anticiper et préparer la communication pour mieux traverser l’incertitude

C’est précisément pour cette raison que la communication de crise cyber ne peut pas être improvisée. La capacité à parler juste, tôt et utilement se construit bien avant l’incident, car l’anticipation permet justement de réduire le risque de décrochage entre le temps immédiat du choc et le temps beaucoup plus long de l’investigation et de la remédiation.

Cela suppose d’avoir déjà identifié les parties prenantes prioritaires, les attentes spécifiques de chacune, les points d’attention réglementaires, les canaux mobilisables si les outils habituels sont dégradés, ainsi que les scénarios dans lesquels l’organisation devra choisir entre une posture plus proactive ou plus réactive.

En ce sens, l’anticipation constitue un levier de maîtrise de l’escalade, en limitant le risque que l’incertitude initiale se transforme en mise en cause réputationnelle, médiatique, voire juridique.

Mais cette préparation n’a de valeur que si elle est régulièrement éprouvée. L’entraînement est ici essentiel, car la difficulté d’une crise cyber ne tient pas seulement à la technicité des faits : elle tient aussi à la pression, à la fragmentation des informations, à la rapidité des sollicitations et à la charge émotionnelle qu’elle fait peser sur les équipes comme sur les victimes. Travailler des scénarios, tester des messages d’attente, simuler des sollicitations médias, anticiper des réactions sur les réseaux sociaux ou confronter les équipes techniques, juridiques, opérationnelles et communicationnelles à des évolutions défavorables permet, le jour venu, de réduire l’écart entre ce que l’organisation fait réellement et ce que ses parties prenantes en perçoivent.

L’intérêt est d’autant plus fort lorsqu’ils s’inscrivent dans une dynamique d’amélioration continue. Les retours d’expérience sont, à cet égard, indispensables : ils permettent d’identifier les angles morts, d’ajuster les postures, de faire évoluer les dispositifs et de maintenir les équipes en vigilance sur un risque dont les formes, les attentes et les effets évoluent rapidement.

Pour conclure : en cyber, la communication comme vitrine de la gestion de crise

Au fond, c’est probablement là que se situe aujourd’hui l’enjeu central. Dans un environnement où les cyber-attaques se répètent et où les attentes des parties prenantes se durcissent, la qualité de la réponse ne se mesure plus seulement à l’aune de la remédiation technique. Elle se juge aussi dans la capacité de l’organisation à rendre sa gestion de crise lisible, cohérente et crédible au moment même où l’incertitude est la plus forte.

Parce qu’elle reste la vitrine de la gestion de crise, la communication doit montrer non seulement qu’une réponse opérationnelle existe, mais qu’elle se poursuit, qu’elle protège et qu’elle prend en compte ceux qui en subissent les effets, au moment même où l’incertitude est la plus forte.

En cela, la communication est l’un des lieux où se joue la confiance, où se manifeste la responsabilité de l’organisation, et où peuvent se cristalliser ou se contenir les risques réputationnels et réglementaires.

C’est pourquoi elle doit être pensée comme une composante à part entière de la préparation à la crise cyber car, bien conduite, elle ne se contente pas de limiter la défiance ; elle peut aussi transformer la crise en opportunité.

E&HA
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.