Paolo Antonetti, EDHEC Business School
En cas de cyberattaque, la communication est stratégique. S’il est possible de se considérer comme une victime, il importe de ne pas le faire n’importe comment.
Dans sa dernière publication annuelle, Hiscox a interrogé plus de 2 000 responsables de la cybersécurité dans huit pays, dont la France : deux tiers des entreprises ont déclaré avoir été victimes d’une cyberattaque en 2024. Une augmentation de 15 % par rapport à l’année précédente. En termes de pertes financières potentielles, le cabinet Statista estime que les cyberattaques coûteront jusqu’à 122 milliards d’euros à la France en 2024, contre 89 en 2023, soit une hausse de 37 %.
Les principales formes que prennent les cyberattaques, les recommandations pour les entreprises pour s’en prémunir et les réponses techniques et juridiques à adopter sont bien documentées.
Cependant, on en sait beaucoup moins sur les réactions appropriées aux cyberattaques en matière de communication et de relations publiques. Pourtant, ces enjeux sont essentiels. Une mauvaise réponse peut aggraver la situation et abîmer la confiance des clients et des investisseurs. Lorsqu’une entreprise est la cible d’une cyberattaque, doit-elle systématiquement accepter la responsabilité ? Ou peut-elle au contraire se présenter comme une victime pour protéger sa réputation ?
Se présenter comme victime, oui mais…
Nos récentes recherches remettent en question l’hypothèse selon laquelle il faudrait systématiquement accepter la responsabilité causale après une cyberattaque. Nous avons montré qu’il pouvait être plus efficace de se positionner en victime pour limiter les dommages causés à son image, à condition de le faire intelligemment.
Les entreprises ont besoin d’une stratégie pour assumer « efficacement » le statut de victime de cybercriminalité. Par le passé, certaines entreprises, telles que T-Mobile ou Equifax, ont versé des indemnités tout en refusant d’accepter toute responsabilité, se présentant essentiellement comme des victimes.
L’opérateur Free Mobile s’était aussi présenté comme une victime lorsqu’il a communiqué sur la cyberattaque à grande échelle qui a affecté ses opérations l’année dernière, ce qui a pu avoir des effets sur son image. Au Royaume-Uni, TalkTalk avait d’abord adopté cette attitude, mais a ensuite été critiquée pour ses mesures de sécurité inadéquates.
Quand l’erreur humanise
Se déclarer (maladroitement) uniquement responsable ou uniquement victime – ce qui nous intéresse ici – peut se retourner contre l’entreprise attaquée, nuisant à sa crédibilité plutôt que protégeant sa réputation.
Lorsque les entreprises se présentent comme des victimes de la cybercriminalité, elles suscitent la sympathie de la part de leurs parties prenantes. Les gens ont tendance à être davantage compatissants envers les entreprises qui se présentent comme lésées, plutôt qu’envers celles qui nient leur responsabilité ou rejettent la faute sur d’autres. Cet appel émotionnel contribue à « humaniser » l’entreprise, ce qui adoucit les réactions des parties prenantes.
En substance, cette stratégie présente l’organisation comme la cible de forces extérieures indépendantes de sa volonté, plutôt que comme négligente ou incompétente. Cette approche s’appuie sur une norme sociale fondamentale : la tendance instinctive des gens à soutenir ceux qu’ils considèrent comme des victimes.
Victime et responsable
Mais les revendications de victimisation doivent être conformes aux attentes du public et au contexte spécifique de l’infraction. Il ne s’agit pas d’échapper à ses responsabilités, mais de reconnaître le préjudice d’une manière qui favorise la compréhension et la confiance. Plusieurs considérations sont essentielles pour mettre en œuvre une stratégie de communication efficace si l’on veut se présenter comme victime.
- Aligner sa réponse sur la perception du public
Les réactions des parties prenantes dépendent souvent de leur compréhension de la situation. Si l’attaque est perçue comme un acte extérieur et malveillant, il est crucial d’adopter une position cohérente en mettant l’accent sur le fait que l’entreprise elle-même a été victime. À l’inverse, si une négligence interne est prouvée, revendiquer le statut de victime pourrait être contre-productif. Dans l’ensemble, la rapidité de la réponse, le niveau de transparence et la position relative adoptée font tous partie de la « bonne » stratégie.
- Adresser un message de soutien aux parties prenantes
Adopter cette position ne signifie pas nier toute responsabilité ou minimiser les conséquences de l’attaque. L’entreprise doit montrer qu’elle prend la situation au sérieux en exprimant son empathie et son engagement envers les parties prenantes affectées. Une attention particulière doit être accordée aux personnes touchées au sein de l’organisation : la revendication du statut de victime doit faire partie d’excuses ou d’une communication exprimant de l’inquiétude. Un message efficace se doit d’être à la fois sincère et orienté vers des solutions concrètes.
- Tenir compte de sa réputation
Nous constatons qu’il est plus facile pour les entreprises de revendiquer leur statut de victime de manière convaincante si elles sont perçues (initialement) comme vertueuses. Cela peut être dû à des antécédents positifs en matière de RSE ou au fait qu’il s’agit d’une institution à but non lucratif (par exemple, une bibliothèque, une université ou un hôpital). Les victimes vertueuses génèrent de la sympathie et de l’empathie, et cela se reflète également après une cyberattaque. https://www.youtube.com/embed/FgyFhTHUo4E?wmode=transparent&start=0 France 24 – 2023.
Ne pas tomber dans la plainte vaine
- Mettre en évidence le préjudice subi et la sophistication de l’attaque
Les résultats de notre étude montrent également que l’acceptation du statut de victime est plus efficace lorsque l’attaque est perçue comme étant menée par des acteurs malveillants hautement compétents. Dans le même temps, il est très important de persuader le public que l’attaque a été préjudiciable pour l’entreprise tout en gardant l’accent principal de la réponse sur le public et non sur l’organisation elle-même.
- Éviter le piège de la plainte
Il est essentiel de faire la distinction entre les revendications légitimes du statut de victime et la communication perçue comme une tentative de se disculper. Un ton trop plaintif pourrait nuire à la crédibilité de l’entreprise. L’approche doit être factuelle et constructive, en mettant l’accent sur les mesures prises pour surmonter la crise.
- Tester les réactions avant de communiquer à grande échelle
Les réactions à une cyberattaque peuvent varier en fonction du contexte et du public concerné. Il est préférable d’évaluer la perception des différentes approches avant de se lancer dans une communication à grande échelle. Cela peut se faire par le biais de tests internes, de groupes de discussion ou d’enquêtes ciblées. En effet, de subtiles différences dans la situation peuvent entraîner des changements importants dans la façon dont le public perçoit l’attaque et dans la meilleure réponse à apporter.
Ce travail met en lumière un changement dans les attentes du public en matière de gestion de crise : à l’ère de la cybercriminalité omniprésente, les responsabilités sont souvent partagées. Une mauvaise gestion de la communication après une cyberattaque peut entraîner une perte de confiance durable et exposer l’entreprise à des risques juridiques accrus. Revendiquer efficacement le statut de victime, avec une approche empathique et transparente, peut contribuer à atténuer l’impact de la crise et à préserver la réputation de l’organisation.
Cet article a été écrit en collaboration avec Ilaria Baghi de l’Università degli Studi di Modena e Reggio Emilia.
Paolo Antonetti, Professeur, EDHEC Business School
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
