Depuis la transposition française de la directive NIS2, des milliers d'entités sont classées « essentielles » ou « importantes » et tenues à des obligations renforcées de cybersécurité. La dimension technique est largement traitée par les RSSI. La dimension communication — qui se prépare avant l'incident, pas pendant — reste largement orpheline.
Ce que NIS2 change concrètement côté communication
NIS2 ne se contente pas d'imposer des mesures techniques. Elle impose des obligations de notification — d'abord à l'ANSSI, ensuite éventuellement à la CNIL — dans des délais brefs : 24 heures pour une notification initiale, 72 heures pour une notification consolidée, un mois pour le rapport final.
Côté communication externe, le défi est différent : que dit-on ? À qui ? Quand ? Comment éviter à la fois la sur-communication panique et le silence assourdissant qui crée la rumeur ?
Le triple public à gérer simultanément
1. Le public régulateur
L'ANSSI et la CNIL attendent une communication factuelle, datée, précise — sans interprétation. C'est un travail de note technique, pas de relations presse.
2. Le public partenaires et clients B2B
Les clients institutionnels ont, par contrat, des clauses d'information en cas d'incident. Cette communication contractuelle doit être préparée en amont : modèles de notification, circuits de validation interne, points de contact identifiés.
3. Le public grand public et media
Le risque ici est inverse : sur-communication non maîtrisée. Une déclaration prématurée, une fuite, un tweet d'un dirigeant — autant de risques qui peuvent transformer un incident contenu en crise médiatique nationale.
La doctrine des 72 premières heures
Avant l'incident : la préparation
Un dispositif de communication de crise NIS2 se construit froid. Il comporte au minimum :
- Une cellule de communication restreinte (5 à 8 personnes)
- Des templates de notification calibrés par scénario
- Une cartographie des publics et des engagements contractuels associés
- Un protocole de validation accéléré (qui valide quoi en moins de 4 h)
- Un canal de communication interne sécurisé (les emails de l'entreprise peuvent être compromis)
Pendant l'incident : la cohérence
La règle est simple : une voix, une version, un calendrier. Tout collaborateur qui parle hors du dispositif augmente le risque.
Après l'incident : la restitution
La communication de restitution — souvent négligée — est celle qui reconstruit la confiance. Rapport public de transparence, mesures correctrices documentées, prise de parole structurée du dirigeant.
L'investissement préventif
Un dispositif calibré et testé représente quelques jours-conseil par an. Comparé au coût d'un mauvais incident — perte directe, sanction réglementaire, érosion de confiance, fuite de clients — l'arbitrage est immédiat.
Le moment de préparer ce dispositif est aujourd'hui, pas le jour de l'incident.