Les maires face aux cyberattaques : quelle communication de crise à adopter ?

Aujourd’hui, nous vous proposons un papier sur la communication de crise d’une collectivité territoriale bien particulière : la commune.

L’actualité ne cesse de faire mention de communes victimes de cyberattaques : Aulnoye-Aymeries fin 2020 dans le Nord, Angers en janvier 2021, Rolle (Suisse) en août 2021… La liste des communes victimes de cyberattaque est longue et ne cesse de s’allonger. Une fois leur système d’information inopérant, c’est toute une vie communale qui est à l’arrêt. Dans ce genre de situation, il est maintenant fréquent que le maire prenne la parole afin d’expliquer la situation aux citoyens. Pour autant cela n’est pas si simple notamment en raison de spécificités propres aux communes et aux cyberattaques.

Comment les maires peuvent-ils concilier leur mission voire leur obligation juridique d’information avec la confidentialité qu’impose une cyberattaque ? Quelle place les réseaux sociaux peuvent-ils occuper dans ces communications et avec quels écueils ? Via l’analyse de deux crises récentes (cyberattaques sur la commune de Mitry-Mory et la ville de Douai), Alcyconie vous propose quelques pistes de réponse à ces interrogations !

I – Entre nécessité de communiquer et obligation juridique

La commune est une collectivité territoriale sur laquelle repose, à ce titre, des missions de service public. Ces missions essentielles à notre vie quotidienne (création des certificats de naissance et des titres d’identité, ramassage des ordures ménagères, distribution de l’eau…) rendent toute communication de la mairie attendue par les citoyens, d’autant plus lorsque ces missions sont interrompues.

Là où certains experts verront en cette communication de crise un moyen de s’approprier l’espace médiatique et de ne pas laisser libre court à ses détracteurs, il faudra y voir également une obligation juridique. Cela est d’ailleurs confirmé par la jurisprudence qui admet que l’information municipale constitue un service public (1). En outre, il est précisé que cela est organisé par le maire, en sa qualité de chef des services municipaux (2).

Par voie de conséquence, on peut donc légitimement penser que la communication de crise des élus municipaux en cas de cyberattaque relève bien évidemment d’une pratique communicationnelle conseillée mais également d’une contrainte juridique (l’information municipale étant un service public).

La question n’est donc plus à la volonté ou non de communiquer mais porte à présent sur le contenu, les canaux et la posture qui seront adoptés.

II – Entre bonne volonté et réalité de la pratique

En temps de crise, il est généralement admis que la technique de la « chaise vide » est à proscrire mais qu’une communication de crise régulière, sincère et factuelle permet de rassurer, informer, montrer à son écosystème que l’organisation victime agit.

Toutefois, toutes les communes ne disposent pas nécessairement de stratégies communicationnelles opérationnelles prédéfinies ni même d’une équipe communication. Ajoutez-y la complexité et la technicité des crises d’origine cyber : voici le cocktail parfait pour tarder à communiquer ou commettre des erreurs de communication qu’il conviendra par la suite de justifier.


Analyse de la cyberattaque contre la mairie de Mitry Mory, Seine-et-Marne 

Lorsque la mairie de Mitry-Mory a subi une cyberattaque le week-end des 18 et 19 juillet 2020, la mairie a assuré, concernant la fuite de potentielles données personnelles : « Il s’agit surtout de notes personnelles pour le travail, qui nous sont utiles en mairie » (3). C’était sans compter sur les assaillants, qui, par la suite, ont publié les données volées et ont donc, par la même occasion, révélé, que des données personnelles étaient bien impactées (4). Voici de quoi déforcer en quelques minutes la stratégie de communication de la Mairie, qui se voulait rassurante et donne à penser que la situation n’est aucunement sous contrôle. 

La communication de crise de la ville de Douai, un modèle de réactivité

Dans la nuit du jeudi 8 au vendredi 9 avril 2021, c’est au tour de la ville de Douai d’être sous le feu d’une cyberattaque. Il en est rapidement fait état sur les réseaux sociaux de la Mairie. En effet, quelques heures à peine après le démarrage de la crise, le maire, Frédéric Chéreau, intervient dans un message vidéo de 5 minutes, posté sur les comptes Facebook, Twitter et YouTube de la Mairie de Douai, il explique, avec beaucoup de clarté : 

  • les impacts de la cyberattaque, 
  • les décisions prises par la Mairie concernant la résolution du problème, 
  • les recommandations à destination des usagers pour joindre la Mairie ou en savoir plus. 

Dans un second message, il précisera que les analyses sont « toujours en cours avec l’ANSSI pour définir les données perdues et les personnes touchées » (5). Se voulant rassurant, le maire a également précisé que ces données n’étaient pas exploitables. Aucune information supplémentaire n’est apparue depuis sur les réseaux. Vigilance est donc de mise pour la commune notamment s’il s’avère que les données perdues engendrent finalement un risque pour les droits et libertés des personnes touchées.

En somme, les communes se doivent de communiquer pour avertir leurs citoyens. Toutefois, communiquer pour communiquer ne sert à rien. Chaque communication doit être adaptée et pensée en amont à travers différents scénarios types afin, le Jour-J, de ne rien omettre ou nier. Si l’envie de rassurer est compréhensible, le risque de se décrédibiliser en écartant trop vite certaines conséquences doit être pris en compte – et la communication, ajustée en conséquence avec les précautions qui s’imposent. Les messages doivent être construits en concertation entre les équipes de forensic, la communication et le juridique voire le DPO de l’entité.

III – Entre visibilité et efficacité

L’utilisation des réseaux sociaux n’est plus et ne doit plus être considérée comme optionnelle. Ils constituent, a fortiori face à une crise cyber, pendant laquelle les canaux de communication « classiques » peuvent être corrompus voire inopérants, un moyen efficace de toucher rapidement une vaste audience. De nombreux élus se sont emparés de ces canaux digitaux et les intègrent pleinement dans leur stratégie de communication : c’est le cas du Maire de Douai évoqué ci-dessus.

Lorsque la mairie de Douai a fait l’objet d’une cyberattaque, Frédéric Chéreau a décidé de communiquer sur différentes plateformes. Les douaisiens ont alors pu avoir accès à un point de situation sous format vidéo, sur la plateforme YouTube mais également un point sur la page Facebook de la commune.

Alors, pourquoi avoir recours aux réseaux sociaux ?

Parce que les réseaux sociaux sont multiples :

  • Facebook
  • Twitter
  • YouTube
  • Instagram
  • TikTok…

Parce que les réseaux sociaux touchent une population large :

  • Tous les âges sont concernés (ex : sur Facebook, la moyenne d’âge est de 45 ans tandis que sur TikTok, la moyenne d’âge est de 23 ans (6)),
  • Toutes les personnes disposant d’un téléphone, d’une tablette ou d’un ordinateur.

Parce que les réseaux sociaux sont des supports modulables et rapides :

  • Formats divers (vidéos, images, textes),
  • Publication quasi-instantanée,
  • Interaction favorisée avec les citoyens et réponse aux questions.

Parce que les réseaux facilitent la communication de crise :

  • Véritable relai de l’information,
  • Appropriation de l’espace médiatique en un temps rapide.

Parce-que les réseaux sociaux restent généralement opérants même lorsque l’organisation subit une cyberattaque. Complètement dissociés du SI de l’organisation, les réseaux sociaux constituent une alternative efficace et pertinente, contrairement à la messagerie de l’organisation victime ou bien de son site internet si celui-ci subit une attaque DDoS ou tombe sous le poids des connexions trop nombreuses. 

La communication doit en parallèle se faire via des canaux plus classiques, étant entendu que la fracture digitale est encore importante sur certains territoires et que le digital ne saurait être considéré comme l’unique voie d’information. 

Résilience, performance, mesures de l’efficacité… : les réseaux sociaux s’avèrent donc d’excellents vecteurs de communication qui sont adaptés à notre société ultra connectée et certaines communes l’ont bien compris. Pour autant cette démarche de digitalisation se doit d’être accrue. En effet, cela permettra à terme de combler cette obligation d’information de la population en cas de crise, qu’elle soit cyber ou d’une autre nature.

NOS CONSEILS

  • En amont, musclez ses réseaux sociaux (followers, relais…)
  • Sécurisez ses réseaux sociaux avec un double facteur d’authentification et des changements de mots de passe réguliers
  • En crise, rapidement s’emparer des réseaux sociaux et se positionner comme une source d’information
  • Mesurez l’efficacité des messages communiqués : sont-ils vus ? sont-ils compris ? 

Faites des points de situation réguliers : tweet, thread, infographies… 

Vous êtes une collectivité territoriale et souhaitez être formés à la communication de crise ? Alcyconie vous accompagne dans cette démarche. Contactez-nous formations@alcyconie.com


(1) Tribunal administratif d’Amiens, 31 octobre 1978, AJDA, 1979 n°11.

(2) Tribunal administratif d’Amiens, 31 octobre 1978, AJDA, 1979 n°11.

(3) Ouest France | Seine-et-Marne. Cyberattaque « massive » à la mairie de Mitry-Mory, les hackers demandent une rançon

(4) Le MagIT | Ransomware : les ratés de la communication de crise

(5) France Bleu | Après le piratage informatique de la mairie de Douai, des données personnelles des habitants volées ?

(6) Business Insider France | Les 10 réseaux sociaux les plus utilisés en France en 2020

Partagez cet article :
Partager sur facebook
Facebook
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn
Partager sur reddit
Reddit
Partager sur whatsapp
WhatsApp
Partager sur email
Email