[Tribune] Cyberattaque de la CNSS : la faille est (aussi) communicationnelle

Tribune

Au-delà de la vulnérabilité technique exploitée par les hackers, c’est l’impréparation communicationnelle qui a transformé cette cyberattaque en crise de confiance. La séquence révèle une urgence : repenser en profondeur la communication des institutions marocaines à l’ère numérique. 

Par

Hassan Boubrik, DG de la CNSS. Crédit: DR

Le Maroc vient de connaître une cyberattaque majeure. Le 8 avril 2025, des milliers de documents confidentiels de la Caisse nationale de sécurité sociale (CNSS) se sont retrouvés exposés sur Telegram comme sur un étal de marché.

Ancien journaliste passé par TelQuel, Houssam Hatim est consultant en affaires publiques spécialiste de la communication de crise.

L’architecture informatique a certes été compromise, mais c’est surtout la fracture du contrat de confiance entre l’institution et les citoyens qui constitue la véritable rupture systémique. Cette semaine, nous avons assisté non pas à une, mais à deux catastrophes simultanées. La première, technique et prévisible dans notre ère numérique ; la seconde, communicationnelle et parfaitement évitable. Dans ce cas, la Caisse a été piratée deux fois : d’abord par les hackers, ensuite par leur propre impréparation communicationnelle. 

La CNSS piratée deux fois 

La séquence des communications officielles témoigne à elle seule de cette impréparation.

Premier acte : le ministère affirme péremptoirement que “toutes les informations publiées sont publiques” et qu’“aucune base de données à caractère professionnel n’est concernée”. Quelques heures plus tard, voilà que des fiches de paie confidentielles inondent les réseaux sociaux, démentant frontalement les assertions officielles.

Second acte : un silence institutionnel de plus de 24 heures, créant un vide narratif immédiatement comblé par un tsunami de rumeurs. Troisième acte : la CNSS qualifie tardivement les documents fuités de “souvent faux” sans apporter le moindre élément probant, concluant par une mise en garde aux “citoyens et médias” qui inverse la relation de responsabilité. 

La règle d’or des crises : quand une institution ne raconte pas son histoire, d’autres s’en chargeront volontiers

Ce qui frappe dans cette séquence, c’est l’absence totale de porte-parole identifié incarnant la réponse institutionnelle. Aucun visage, aucune voix pour expliquer, rassurer, guider. Ce vacuum a permis ce que les spécialistes nomment “l’appropriation du narratif” par des sources tierces, transformant un incident technique en crise de confiance généralisée. Quelle meilleure illustration de la règle d’or des crises : quand une institution ne raconte pas son histoire, d’autres s’en chargeront volontiers. 

La prise de parole du porte-parole du gouvernement, Mustapha Baitas, lors de la conférence de presse du 10 avril, est un nouveau chapitre de cette saga communicationnelle ratée. Comme l’écrit à juste titre Medias24,Baitas n’a rien dit qu’on ne savait déjà”. Car, surgissant plus de 48 heures après l’explosion de la crise — une éternité à l’ère des réseaux sociaux — cette intervention n’a fait qu’amplifier le sentiment de déconnexion entre les institutions et les citoyens. 

Loin d’être dans une communication de crise efficace, le porte-parole du gouvernement, Mustapha Baitas, s’est contenté de reprendre les propos de la CNSS en affirmant que les attaques visaient à nuire à la “confiance dont jouit le Maroc auprès de la communauté internationale”. Dans la foulée, ses propres données personnelles ont été divulguées.Crédit: DR

Plutôt que de répondre aux angoisses légitimes des Marocains dont les données personnelles se retrouvent exposées, Mustapha Baitas s’est contenté de considérer ces cyberattaques comme des “actes criminels” perpétrés par des “entités hostiles au Royaume” cherchant à “perturber les réussites diplomatiques du Maroc concernant la cause nationale”.

Pendant ce temps, les véritables questions restent sans réponse : comment les données ont-elles pu être dérobées ? Quelles informations personnelles sont désormais exposées ? Quels recours pour les citoyens et les entreprises concernés ? Circulez, il n’y a rien à (sa)voir. 

L’empathie sacrifiée

Et là réside peut-être la plus grave lacune de cette gestion de crise : le déficit d’empathie envers les victimes est manifeste. Nulle part dans les communiqués et dans les sorties médiatiques officielles n’apparaissent des mots de compassion pour les millions de Marocains dont les données ont été exposées. Cette approche distante et administrative a aggravé l’incident initial, générant ce que Peter Sandman appelle justement le “facteur d’indignation” — cette dimension émotionnelle qui, mal gérée, peut décupler l’impact perçu d’une crise. 

Prétendre que tout va bien quand tout va mal ne trompe personne et sape durablement la crédibilité institutionnelle

Face à une cyberattaque majeure, l’horloge tourne à la vitesse des réseaux sociaux, pas à celle de l’administration. Une institution comme la CNSS aurait dû déployer une réponse rapide (dans les 60 à 120 minutes), authentique dans sa reconnaissance des faits établis, portée par des porte-paroles formés et identifiables, coordonnée entre les différentes entités concernées, et cohérente dans la durée. 

La transparence n’est pas une option, mais une nécessité vitale. Reconnaître l’incident sans détour, partager les faits avérés et admettre les zones d’ombre temporaires constitue le seul antidote contre la défiance généralisée. Prétendre que tout va bien quand tout va mal ne trompe personne et sape durablement la crédibilité institutionnelle. 

à lire aussi

Tout aussi essentielle, l’empathie — encore elle — grande absente de cette séquence, devrait être au cœur de chaque communication. Des excuses sincères, une reconnaissance des désagréments causés et, surtout, une attitude de service plutôt que d’autorité, représentent le minimum syndical attendu de toute organisation, surtout les institutions publiques. 

Plus concrètement encore, l’offre immédiate de solutions tangibles aurait dû être la priorité : il n’en sera rien, laissant place à des avocats et des experts juridiques pour combler le vide et expliquer dans les médias et sur les réseaux sociaux les recours possibles pour les entreprises concernées par cette fuite. 

Anticiper la prochaine crise 

Face à ce constat inquiétant, cette crise pourrait — devrait — servir d’électrochoc salutaire pour nos institutions. Au-delà des infrastructures techniques à sécuriser, c’est toute une culture de la communication publique qu’il faut réinventer. Chaque organisme détenant des données sensibles devrait disposer d’un plan de communication de crise rodé, de porte-paroles formés et d’une chaîne de décision capable de s’affranchir des lourdeurs bureaucratiques en situation d’urgence. 

A l’ère numérique, la confiance est devenue l’actif le plus précieux des institutions

Car voilà l’enseignement majeur de cette crise : à l’ère numérique, la confiance est devenue l’actif le plus précieux des institutions. Une infrastructure informatique compromise peut être restaurée en quelques jours, mais une crédibilité publique entamée peut mettre des années à se reconstruire. 

La prochaine cyberattaque d’envergure au Maroc n’est pas une hypothèse improbable, mais une certitude statistique. La véritable question n’est plus si nos systèmes seront à nouveau ciblés, mais si nos institutions auront développé entre-temps la double résilience nécessaire — technique et communicationnelle. 

Les nouveaux hackers ont parfaitement compris que le véritable jeu ne se limite plus à la compromission des données. Ils ont saisi ce que les institutions tardent à comprendre : leur cible ultime est la confiance institutionnelle elle-même. Dans le cyberespace contemporain, les vrais remparts ne sont pas faits de code, mais de crédibilité et de transparence — ces ressources précieuses qui, une fois perdues, ne se restaurent pas par une simple mise à jour du système.

Instant-T

A lire aussi