En matière de cybersécurité, il y a la prévention des risques, mais aussi la réalité statistique. Et celle-ci dit qu’un piratage a de fortes chances de vous impacter quelles que soient les précautions que vous prenez. Pour le gérer au mieux, l’idéal est d’avoir préparé un plan d’action, la communication faisant partie intégrante de la gestion de crise. Quels sont les enjeux et les dynamiques d’une communication de crise cyber ? Pour y répondre, nous nous sommes tournés vers Emmanuelle Hervé, experte de la gestion de crise et de la communication de crise.

Quelles sont les particularités de la communication de crise cyber ?

Emmanuelle Hervé : « Il faut d’abord bien prendre conscience qu’on ne reprochera pas à une étude notariale [ou un cabinet] de s’être fait hacker, quand cela arrive à trois mairies par jour et aux plus grandes entreprises, même à celles qui travaillent dans les nouvelles technologies !

Le cœur de la démarche est : « nous sommes responsables, mais pas coupables ». Les anglais disent accountable : cela veut dire assumer ce qui s’est produit parce que c’est notre structure, notre périmètre.
Mais il n’y a pas d’idée de faute, ni de culpabilité. La culpabilité relève de la justice, et arrive dans un deuxième temps.

La gestion de crise et la communication de crise ont cela de difficile qu’elles sont très contre-instinctives. Et donc, si l’on n’a jamais réfléchi en amont, si on ne s’est pas préparé, on va avoir les mauvais réflexes.

Le sujet essentiel, c’est la confiance, et comment la préserver : la confiance des clients, des autorités, des partenaires. Par contre, si la réaction n’est pas rapide, factuelle, transparente, alors la confiance risque d’être complètement mise à mal. Et il est très grave de ne plus avoir confiance dans son notaire quand c’est lui qui a tous les secrets de famille.

Un autre point majeur est l’étroitesse de la fenêtre de tir pour réussir une bonne communication de crise. Suite à une attaque, pour garder sa crédibilité, il faut parler au bon moment et partir avec les bons éléments. Si vous perdez votre crédibilité, parce que vous avez commis une grossière erreur, vous n’êtes plus audible. »

Que faut-il dire ? Qui doit parler ?

Emmanuelle Hervé : « Dans un premier temps, comme toutes les entreprises avant vous et toutes les entreprises après, vous ne savez rien sur ce qui s’est passé : est-ce qu’il y a de la data dehors ? Si oui, combien ? Comment faire pour restaurer le système ?

L’enquête est en cours et, pourtant, il faut communiquer. Il faut que ce soit un associé qui parle, quelqu’un qui ne manie pas la langue de bois. Il y a des gens très communicants mais qui, en temps de crise, ne sont pas rassurants.
Or, pour rassurer, il faut « parler vrai », être capable de montrer de l’empathie, être proche des gens. C’est à cette personne que l’on va faire confiance. Si la posture est trop jargonneuse, trop arrogante, on ne va pas obtenir l’effet recherché, cet effet de compétences.

Ce qui importe, ce sont les faits, les actions, la compassion, l’engagement et la transparence. Dans le premier message à diffuser, c’est donc assez facile, il suffit de remplir ces cases-là.

Il ne faut surtout pas oublier l’empathie vis-à-vis de clients qui ont des informations privées à l’étude et qui commencent à stresser. Il va donc falloir être proactif et aller parler à chacun d’entre eux et trouver un storytelling « qui va bien ». Dans le premier temps, celui de la communication, il faut avoir cette attitude responsable qui prend en compte les événements. Si ça n’est pas fait, le public va se dire qu’il y a quelque chose de louche.

Dans un deuxième temps, il est également possible d’élaborer un peu sur toutes les mesures qui avaient été mises en place pour que ça n’arrive pas. Il peut aussi être intéressant de dire que vous allez tout faire pour comprendre ce qui a pu arriver et faire le maximum pour que cela ne se reproduise pas. Vous augmentez ainsi votre capital confiance, et c’est positif pour l’avenir de votre activité. »

Que ne faut-il surtout pas faire en communication de crise ?

Emmanuelle Hervé : « Dans ma pratique, j’ai notamment identifié un certain nombre d’attitudes contre-indiquées.

La première, c’est le déni : quand on pense que ce n’est pas grave, que cela va s’arranger. Parce que si deux jours après, les mails ne marchent toujours pas par exemple, votre écosystème va vite s’apercevoir que votre fonctionnement n’est pas normal. Comment la confiance est-elle possible avec une étude notariale qui dissimule une cyberattaque ? Il faut au contraire raconter ce qui se passe et comment on s’y prend.

La deuxième est de tenter de dissimuler, voire de mentir : votre crédibilité sera durablement entachée quand, bien entendu, cela se saura. Et là, vos clients se mettent à vous contacter pour savoir si leurs données sont compromises. En plus, vous avez tout simplement la loi et l’obligation de déclarer à la CNIL dès qu’il y a un doute sur la compromission de données personnelles. C’est une situation très particulière, vous êtes à la fois victime – du pirate – et coupable – de ne pas avoir protégé les données qu’on vous confie.

Une autre stratégie perdante, c’est le bouc émissaire : se défausser sur le pirate ne sert à rien, on ne vous pardonnera pas pour autant. Il faut assumer et adopter un comportement responsable.

Une posture qui ne marche pas non plus est la globalisation : ce genre de choses arrive à tout le monde. Même si c’est vrai, cette attitude ne va pas protéger la confiance des autorités et de vos clients.

Confondre réponse juridique et communication est aussi un écueil fréquent. Il faut certes aller déposer plainte, prendre contact avec les autorités, etc. Mais ce n’est pas une stratégie de communication.

Un autre défaut récurrent est l’arrogance. Laisser entendre à ses clients ou aux médias qu’ils n’ont pas à se mêler de la situation, par exemple, alors qu’ils sont concernés au premier chef. Il est important de comprendre que les clients se posent en victimes de votre étude.

Il faut donc parler ! Mais une erreur qui peut être coûteuse serait de faire, par exemple, un communiqué de presse si cela n’est pas nécessaire. Tant que les journalistes ne posent pas de question, votre priorité reste les clients, les partenaires et les autorités, pas le grand public. En revanche, il serait contre-indiqué de ne pas donner suite si les médias viennent demander des détails. Ils ne font pas leurs publications sans essayer de contacter les intéressés, donc il faut répondre, à la fois vite, car ils publieront dans tous les cas. Pour avoir la bonne manière, il faut s’entraîner pour faire attention à la façon dont on dit les choses. Ici comme ailleurs, la meilleure des stratégies consiste à anticiper ! »

Emmanuelle Hervé : Ingénieur de formation, Emmanuelle Hervé commence sa carrière en Inde puis au Moyen et au Proche Orient. Elle y rejoint le groupe de chimie américain DuPont de Nemours pour qui elle développe le marché MENA. Rentrée en France depuis 10 ans, elle y exerce depuis le métier de consultant en gestion de crise. Elle est actuellement directrice générale et fondatrice de EH@A consulting.
Emmanuelle Hervé est également Présidente de la commission AFNOR et du groupe de travail international ISO sur la e-réputation, membre actif de la commission sécurité du CIAN (Conseil Français des Investisseurs en Afrique), expert assermenté de l’ONUDI (Organisation des Nations Unies pour le Développement Industriel) et expert Communication de crise BFMTV (atteinte à la réputation des marques et des dirigeants).

Article initialement paru dans le Journal du Village des Notaires 85, spécial sécurité numérique des études notariales.

Propos recueillis par Jordan Belgrave, Pour la Rédaction du Journal du Village des Notaires