« Les campagnes de déstabilisation ciblant des entreprises se multiplient »
Nous avons interrogé Thuy-My Vu, fondatrice du cabinet RISE&SIGN et partenaire du cabinet Alyghieri
Thuy-My Vu, fondatrice du label RISE&SIGN
1/ Dans le débat public, on parle de plus en plus de « guerre informationnelle ». Qu'entend-on au juste par ce syntagme belliqueux ?
Nous connaissons depuis plusieurs années une succession, voire une superposition de crises : crises sanitaire, sociale et économique, humanitaire et géopolitique. Dans ce contexte, la diffusion d’informations est hautement stratégique. Les réseaux sociaux, et plus largement internet (blog, médias en ligne, etc.), boostés par l’IA, deviennent des armes redoutables pour diffuser largement des informations non vérifiées, ou volontairement fausses, pour nuire à une organisation, une personne physique ou morale, et/ou influencer l’opinion publiques. En période de crise diplomatique, pendant des Jeux Olympiques, ou à la veille d’élections, les tentatives d’influence sont particulièrement fortes, et c’est à mon sens pour cette raison que l’on estime que la guerre a investit le terrain de l’information.
La guerre informationnelle repose sur des leviers de plus en plus sophistiqués : contenus manipulés, fausses sources d’information, agents conversationnels biaisés, campagnes coordonnées sur les réseaux sociaux… Les entreprises et leurs dirigeants sont pleinement concernés : ils peuvent en être la cible (attaque réputationnelle) ou le relai involontaire (malformation ou désinformation).
2/ Vous êtes juriste et consultante en stratégie de communication. En quoi est-ce une approche pertinente dans la gestion de crise ?
Ce que je retiens surtout, c’est la valeur de l’approche croisée entre droit et communication, notamment dans un contexte de crise.
Chez Havas, j’ai accompagné des entreprises et des personnalités dans des situations sensibles. Dans ces moments-là, la communication ne peut pas être déconnectée du cadre légal, et le droit ne suffit pas à répondre aux enjeux d’image et d’opinion. Il faut articuler les deux.
C’est précisément cette approche combinée que je développe aujourd’hui : une lecture juridique des risques informationnels (diffamation, manipulation, fausses allégations, responsabilité des plateformes…) ; et une capacité à bâtir un discours stratégique, pertinent et responsable, à destination de multiples parties prenantes.
3/ Les offensives informationnelles contre les entreprises sont-elles courantes ? Est-ce que ce n'est pas un enjeu réservé aux boîtes du CAC 40 ? Que peuvent attendre les entreprises d'une communication stratégique ajustée ?
Ces offensives sont désormais courantes, et elles ne concernent plus seulement les multinationales. Une campagne de désinformation est peu coûteuse, techniquement accessible, et très efficace. Une PME peut être visée du jour au lendemain : un bad buzz sur les réseaux, un faux article publié par un site généré par IA, ou un storytelling complotiste amplifié par des comptes coordonnés.
Tout l’enjeu est donc d’anticiper les vulnérabilités informationnelles, internes et externes ; d’identifier les signaux faibles avant qu’ils ne deviennent viraux (via des outils mais aussi des compétences humaines) et de former une cellule de crise, capable de faire preuve de réactivité. Mais surtout de construire une culture de l’information responsable dans l’entreprise.
En 2025, le rafale a fait l’objet d’une large campagne de désinformation (SOURCE)
4/ On entend souvent cette formule du communicant américain Edward Bernays : "La manipulation consciente et intelligente des opinions et des habitudes organisées des masses joue un rôle important dans une société démocratique", (Propaganda, 1928). Si la communication a un tel pouvoir, comment en éviter les dérives ?
C’est une question essentielle, et particulièrement actuelle. Bernays nous rappelle que la communication, loin d’être neutre, peut être utilisée comme un outil d’influence massif. Face à ce pouvoir, la seule réponse durable, ce n’est pas la censure ou la défiance, mais la responsabilité.
Une responsabilité partagée : celle des entreprises, qui doivent assurer une gestion et une diffusion responsables de l’information, et intégrer la lutte contre la pollution informationnelle dans leur politique RSE, comme un enjeu éthique et stratégique. Celle des professionnels de la communication, qui doivent évoluer dans un cadre éthique strict. Celle des individus, qui doivent renforcer leur esprit critique, tout au long de leur vie.
Mais on ne régule pas la désinformation uniquement avec de la morale. Il faut combiner les approches. Celle des spécialistes de l'information, pour auditer, alerter, analyser les campagnes malveillantes. Celle des outils technologiques, pour détecter des schémas, des campagnes, etc. Et surtout, de la formation et de la sensibilisation à grande échelle, tout au long de la vie.
5/ Vous portez un label, RISE, pour garantir la responsabilité informationnelle des entreprises. Pourquoi ?
Après plusieurs années à gérer des crises réputationnelles, j’ai vu se multiplier les campagnes de désinformation ciblant des entreprises : attaques coordonnées sur les réseaux sociaux, récits trompeurs amplifiés par l’IA, contenus manipulés. Ce constat m’a poussée à agir sur deux fronts : sensibiliser les entreprises aux menaces informationnelles, qui ne sont plus réservés aux États ou aux figures publiques et les accompagner pour structurer une gestion responsable de l’information et contribuer plus activement à la lutte contre la désinformation.
Une crise se gère d’autant mieux qu’elle a été anticipée. Or aujourd’hui, les équipes ne sont pas toujours formées à identifier les signaux faibles ou à se coordonner entre services (juridique, communication, RSE, cybersécurité, etc.).
Mais au-delà de la gestion de crise, c’est l’ensemble de notre espace informationnel qui est en saturé de contenus et pollué par des infox ou de la malinformation. Le label RISE (pour Responsabilité Informationnelle, Sociale et Environnementale) valorisent les entreprises qui s’investissent dans l’assainissement de cet espace, dans la lutte contre la désinformation. Il s’agit d’un levier de différenciation stratégique dans un marché brouillé. Un marqueur de crédibilité, à l’heure où la défiance explose.
Nous croyons qu’à l’instar des engagements environnementaux ou sociaux, la responsabilité informationnelle est devenue un pilier à part entière de la performance durable.
6/ En juillet 2021, le gouvernement a créé un "Service de vigilance et de protection contre les ingérences numériques étrangères" (Viginum), rattaché au SGDSN. Les ingérences numériques étrangères touchent-elles aussi les entreprises ? Peuvent-elles s'en défendre ?
J’ai pu observer des campagnes de désinformation initiées depuis l’étranger, portées par des entités liées à des États ou des groupes d’influence, qui visent à déstabiliser, décrédibiliser ou polariser, et dans lesquelles des entreprises françaises peuvent être instrumentalisées.
Il faut néanmoins faire une distinction entre les ingérences étrangères (qui impliquent une atteinte délibérée aux intérêts fondamentaux de la Nation, via des contenus trompeurs diffusés de manière coordonnée) et les campagnes de désinformation contre les entreprises qui ne relèvent pas toujours des ingérences étrangères, même si elles peuvent en partager les mécanismes (comptes fictifs, sites relais, IA générative, etc.).
Cela dit, certaines entreprises, notamment dans des secteurs stratégiques (énergie, défense, santé, tech), incarnent une partie du soft power français. Lorsqu’elles sont visées, c’est aussi l’image de la France ou de ses filières d’excellence qui peut être affectée, avec des conséquences économiques, géopolitiques ou sociétales.
Les entreprises peuvent (et doivent !) s’en défendre, en développant une culture collective de la vigilance informationnelle, grâce aux outils de veille et de détection de manipulation d’information et à une capacité collective à réagir vite, en coordination avec les directions juridiques, communication, cybersécurité et parfois même avec les autorités.
Exemple de publication du service Viginum (SOURCE)
7/ Vous portez une offre Cyber&Com avec le cabinet Alyghieri. Qu'est-ce qui vous a amené à vouloir croiser ces deux expertises, apparemment très éloignées ? Quels bénéfices peuvent en tirer les dirigeants ?
La cybersécurité et la communication se rejoignent lorsque la crise éclate. Une cyberattaque, une fuite de données ou une campagne de désinformation ne relèvent pas seulement d’un enjeu technique : ce sont aussi des crises de confiance, de réputation et de gouvernance.
C’est précisément ce terrain commun, celui des crises complexes, qui a motivé la création de notre offre Cyber&Com, développée avec Alyghieri. Nous proposons une approche transversale, qui croise : l’analyse des risques informationnels, la détection et l’analyse des signaux faibles et la préparation des équipes à une réponse coordonnée, juridique, opérationnelle et médiatique.
Les dirigeants en tirent deux bénéfices majeurs. D’abord, une meilleure préparation face à des scénarios de crise aujourd’hui très plausibles (deepfake de dirigeant, sabotage d’image, détournement de contenus, etc.). Ensuite, une capacité à reprendre le contrôle du récit, à agir vite et de manière cohérente, sans cloisonner les réponses entre DSI, direction juridique ou direction de la communication.
8/ Le département américain de la Santé et des Services sociaux publiait le 22 mai dernier un rapport intitulé « Make America Healthy Again ». Décrié, on lui reproche des sources approximatives, voire carrément fictive, parmi ses 522 références scientifiques. L’épidémiologiste Katherine Keyes a été ainsi surprise de voir son nom associé à une étude sur "l’anxiété chez les adolescents" qu'elle n'a jamais écrite. Est-ce que l'IA générative va accélérer le rythme de la désinformation ?
Oui, très clairement. L’IA générative agit aujourd’hui comme un puissant amplificateur : elle peut produire à grande échelle des contenus faux ou trompeurs, volontairement ou non. Et cela soulève deux niveaux de risque majeurs.
D’abord, le risque d’erreur involontaire. On sait que certains modèles d’IA peuvent "halluciner" : c’est-à-dire inventer des sources, des faits ou des citations avec un niveau de vraisemblance tel qu’il devient très difficile de distinguer le vrai du faux. Cela peut suffire à produire une information erronée qui sera ensuite relayée, parfois même reprise par des institutions ou médias peu vigilants.
Mais il y a un second risque, plus insidieux : l’instrumentalisation de l’IA par des campagnes de désinformation. Plusieurs enquêtes, comme celles de Viginum ou NewsGuard, ont montré comment des acteurs malveillants réussissaient à "contaminer" l’IA en amont, en inondant le web de contenus biaisés ou fallacieux pour influencer les réponses des agents conversationnels. En d’autres termes, l’IA devient elle-même une cible stratégique.
Et cela devient un problème systémique, car ces outils sont massivement utilisés dans les sphères professionnelles, scientifiques et médiatiques. Une fausse référence générée par IA peut, sans mauvaise intention, se retrouver dans un rapport officiel, un article de presse ou un document stratégique.
Face à cela, il faut former les équipes à la vérification, imposer des garde-fous, et intégrer la lutte contre la désinformation à tous les étages de la production de contenus.