Comment communiquer après une cyberattaque ou une fuite de données ?

Définition

Communiquer après une cyberattaque ou une fuite de données consiste à informer rapidement, méthodiquement et transparentement les personnes concernées, les autorités compétentes et le grand public d’un incident affectant la sécurité du système d’information ou la confidentialité des données personnelles. Cette communication doit articuler simultanément la réponse technique en cours, les obligations réglementaires (notamment RGPD), la protection des personnes affectées, la coopération avec les autorités judiciaires et la préservation de la réputation. À la différence d’autres crises, la cyberattaque expose l’organisation à un double statut paradoxal : elle est à la fois victime d’une attaque criminelle et potentiellement responsable d’un défaut de protection — un équilibre délicat qui structure toute la stratégie de communication. La rapidité, la précision technique et l’humanité du discours sont les trois clés d’une communication maîtrisée.

En bref : une cyberattaque combine quatre crises en une, technique, juridique, humaine et réputationnelle. Son traitement exige une cellule de crise spécifique, intégrant DSI, RSSI, juridique, communication et conseils externes. La pire erreur n’est pas l’attaque elle-même, mais une réponse perçue comme dissimulatrice ou minimisante analyse Florian Silnicki, Expert en communication de crise et Président Fondateur de l’agence LaFrenchCom.

Pourquoi les cyberattaques sont devenues une crise type

Quatre dynamiques convergentes ont fait de la cyberattaque l’une des principales sources de crise pour les organisations modernes.

L’industrialisation des attaques

Les cyberattaques ne sont plus le fait de hackers isolés mais d’organisations criminelles structurées : groupes de ransomware avec division du travail, acteurs étatiques poursuivant des objectifs géopolitiques ou économiques, écosystèmes de revente de données sur le dark web. Cette industrialisation se traduit par une multiplication des incidents : des dizaines d’organisations françaises sont touchées chaque mois, des secteurs entiers sont systématiquement ciblés (santé, collectivités, industrie, services).

La dépendance accrue au numérique

Les organisations sont massivement dépendantes de leurs systèmes d’information : production, logistique, relation client, ressources humaines, finances. Une attaque réussie peut paralyser intégralement l’activité pendant plusieurs jours ou semaines, avec des conséquences financières et opérationnelles considérables.

Le cadre réglementaire renforcé

Le RGPD (entré en application en 2018) a profondément modifié les obligations de communication. Toute violation de données personnelles doit désormais être notifiée à la CNIL dans un délai de 72 heures, et aux personnes concernées sans délai indu. La directive NIS 2 (transposée en France en 2024) étend les obligations de notification d’incidents pour les acteurs essentiels et importants. Le Digital Operational Resilience Act (DORA) impose des règles spécifiques au secteur financier. Ces cadres réglementaires structurent désormais la communication post-cyberattaque.

La sensibilité accrue de l’opinion

Les consommateurs, salariés et partenaires sont aujourd’hui beaucoup plus conscients des enjeux de protection des données. Une fuite mal gérée peut déclencher des actions collectives, des départs de clients, des pertes commerciales durables et des décisions individuelles (changement de banque, désinscription de services, plaintes auprès de la CNIL).

Les trois grandes catégories d’incidents

Toutes les cyberattaques ne se communiquent pas de la même manière. Trois catégories principales appellent des stratégies distinctes.

1. Le ransomware et le blocage du système

Le système d’information est chiffré et inaccessible, généralement en échange d’une rançon. Caractéristiques :

• paralysie opérationnelle souvent visible (services interrompus, sites indisponibles),
• impact immédiat sur les clients, partenaires, salariés,
• enjeu de continuité d’activité prédominant,
• dilemme sur le paiement de la rançon (déconseillé par les autorités, mais parfois envisagé sous pression).

2. La fuite ou l’exfiltration de données

Des données ont été dérobées et peuvent être divulguées, vendues ou utilisées. Caractéristiques :

• impact différé sur les personnes (utilisation potentielle des données dans le temps),
• enjeu RGPD central si données personnelles concernées,
• risque de chantage : les attaquants peuvent menacer de publier les données,
• dimension durable : les données fuitées circulent indéfiniment.

3. L’attaque ciblée sans impact opérationnel immédiat

Intrusion détectée mais sans paralysie ni fuite massive avérée à ce stade. Caractéristiques :

• enjeu d’investigation prioritaire,
• incertitude sur l’ampleur réelle du compromis,
• risque réputationnel important si l’incident est révélé publiquement,
• dilemme sur le timing et le périmètre de la communication.

Ces trois catégories peuvent se combiner : une attaque par ransomware est de plus en plus souvent assortie d’une double extorsion (chiffrement + menace de divulgation des données exfiltrées), ce qui augmente considérablement la complexité de la gestion.

Le cadre réglementaire en France et en Europe

La communication post-cyberattaque s’inscrit dans un cadre juridique strict, dont le respect est indispensable.

Le RGPD (violations de données personnelles)

Lorsque l’attaque entraîne une violation de données personnelles (perte, accès non autorisé, divulgation) :

• Notification à la CNIL dans un délai maximal de 72 heures après la prise de connaissance de la violation, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes,
• Information directe des personnes concernées “dans les meilleurs délais” lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés,
• Documentation complète de l’incident dans le registre des violations de données.

Le non-respect de ces obligations expose à des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.

NIS 2 (acteurs essentiels et importants)

Pour les organisations relevant de la directive NIS 2 (transposée en France en 2024-2025) :

• Alerte précoce auprès du CSIRT national (CERT-FR) dans les 24 heures suivant la prise de connaissance d’un incident significatif,
• Notification d’incident plus complète dans les 72 heures,
• Rapport final dans le mois suivant.

Les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les acteurs essentiels.

DORA (secteur financier)

Pour les acteurs financiers, le règlement DORA (entré en application en 2025) impose :

• une notification rapide à l’autorité compétente,
• des rapports d’incidents majeurs structurés,
• une gestion documentée de la résilience opérationnelle.

Les obligations sectorielles spécifiques

• Santé : signalements à l’ANS (Agence du Numérique en Santé), obligations spécifiques pour les hôpitaux et établissements,
• Opérateurs d’importance vitale (OIV) : obligations renforcées auprès de l’ANSSI,
• Sociétés cotées : information AMF si l’incident est susceptible d’affecter le cours de bourse,
• Secteur public : obligations de signalement spécifiques (CNAM, ministères, collectivités).

Le dépôt de plainte

Indépendamment des obligations de notification, un dépôt de plainte auprès du procureur de la République ou des services spécialisés (sous-direction de la lutte contre la cybercriminalité, J3 du parquet de Paris, gendarmerie nationale) est généralement déposé. Cette démarche :

• ouvre une enquête susceptible d’identifier les auteurs,
• préserve les droits de l’organisation en tant que victime,
• constitue un élément de la stratégie de communication (démontre la posture de victime).

Les 8 phases d’une communication post-cyberattaque

La trajectoire typique d’une communication de cyberattaque suit huit phases successives, à comprendre pour calibrer la réponse.

Phase 1 — La détection et l’évaluation initiale (H+0 à H+12)

L’incident est détecté. À ce stade, aucune communication publique n’est généralement engagée. Les actions prioritaires :

• confinement technique par les équipes IT et le RSSI,
• mobilisation d’un prestataire de réponse à incident si l’organisation n’a pas l’expertise interne,
• évaluation initiale de la nature et de l’ampleur,
• convocation de la cellule de crise restreinte (DG, DSI, RSSI, juridique, communication, parfois DRH),
• documentation rigoureuse de toutes les décisions et observations.

Phase 2 — Les notifications réglementaires (H+12 à H+72)

Les obligations légales de notification se déclenchent rapidement. Les actions :

• notification CNIL dans les 72 heures si données personnelles compromises,
• alerte CERT-FR dans les 24 heures pour les entités NIS 2,
• information des autorités sectorielles concernées,
• dépôt de plainte auprès du parquet,
• notification AMF si société cotée concernée par un risque matériel.

Ces notifications se font dans des canaux confidentiels, sans communication publique à ce stade.

Phase 3 — La communication aux parties prenantes critiques (H+24 à H+72)

Avant toute communication publique, certaines parties prenantes doivent être informées :

• clients sous contrat affectés directement par une rupture de service,
• partenaires opérationnels dépendants des systèmes touchés,
• salariés dont les outils sont indisponibles,
• représentants du personnel si la situation l’exige,
• principaux investisseurs pour les sociétés cotées.

Ces communications sont ciblées et confidentielles, généralement par email ou téléphone direct.

Phase 4 — La communication publique d’urgence (H+24 à H+96)

Si l’incident a un impact public visible (services indisponibles, fuite déjà rendue publique, presse spécialisée informée) ou si les obligations RGPD imposent l’information des personnes concernées, une communication publique est déclenchée.

Cette première communication publique contient typiquement :

• reconnaissance de l’incident,
• nature de l’attaque sans détails techniques exploitables par d’autres attaquants,
• mesures immédiates prises (isolation des systèmes, mobilisation des équipes),
• engagements de continuité ou de rétablissement,
• conduite à tenir par les personnes concernées,
• annonce de la coopération avec les autorités et de la plainte déposée.

Phase 5 — L’information directe des personnes concernées (H+72 à J+30 selon ampleur)

Pour les fuites de données personnelles, les personnes concernées doivent être informées individuellement, par email, courrier ou notification dans l’application. Cette communication contient :

• nature des données exposées (catégories : nom, email, mot de passe, données bancaires, etc.),
• circonstances de la violation (sans détails techniques exploitables),
• conséquences possibles pour la personne,
• mesures mises en place par l’organisation,
• conduite à tenir par la personne (changement de mot de passe, surveillance des comptes, vigilance face au phishing),
• contacts pour questions complémentaires (délégué à la protection des données, cellule d’écoute).

Phase 6 — La gestion de la phase aiguë (J+1 à J+30)

Pendant les semaines suivant l’incident, l’organisation doit :

• maintenir une communication régulière sur l’avancement,
• gérer les rebondissements (nouvelles révélations, demandes médias, témoignages de personnes concernées),
• coopérer avec les enquêteurs,
• rétablir progressivement les services,
• traiter les demandes individuelles (exercice des droits RGPD, plaintes, contestations),
• anticiper les communications des attaquants (publication de données sur le dark web).

Phase 7 — La communication sur les enseignements (J+30 à M+6)

Une fois la phase aiguë passée, la communication s’oriente vers :

• investigation complète et publication d’un bilan,
• mesures correctives structurelles engagées,
• investissements en cybersécurité,
• certifications obtenues ou renforcées,
• transformations organisationnelles (nomination d’un RSSI groupe, comité cyber au conseil, etc.).

Phase 8 — Le suivi long terme (M+6 et au-delà)

Les conséquences d’une cyberattaque s’étalent sur des années :

• procédures judiciaires longues (enquêtes, jugements, parfois actions collectives),
• sanctions CNIL parfois prononcées plusieurs années après les faits,
• anniversaires médiatiques susceptibles de réactiver l’attention,
• utilisation des données fuitées dans le temps (phishing ciblé, usurpations d’identité),
• rebonds possibles si de nouvelles découvertes émergent.

La vigilance et la communication doivent se prolonger sur cette temporalité étendue.

Tableau : ce qu’il faut communiquer et ce qu’il faut éviter

À communiquer	À éviter
Reconnaissance claire de l’incident	“Une situation a été identifiée concernant nos systèmes”
Nature générique de l’attaque (ransomware, intrusion)	Détails techniques exploitables (vulnérabilité exacte, vecteur précis)
Catégories de données potentiellement exposées	Liste exhaustive des champs précis (utile aux attaquants)
Mesures immédiates prises	Affirmations péremptoires sur la sécurité (« tout est sous contrôle »)
Engagement à informer dans la durée	Promesses de retour à la normale sans délai vérifiable
Coopération avec autorités et plainte déposée	Désignation publique de présumés coupables
Soutien aux personnes affectées	Minimisation du risque pour les victimes
Contact dédié et délégué à la protection des données	Coordonnées génériques peu opérationnelles
Calendrier de mise à jour	Communication unique sans suivi

Les principes de communication spécifiques à la cyberattaque

Plusieurs principes structurent une communication maîtrisée.

1. La transparence sans détails techniques exploitables

Une communication transparente n’implique pas de tout dire. L’organisation doit distinguer :

• ce qui doit être communiqué (nature de l’attaque, impact, mesures prises, conduite à tenir),
• ce qui ne doit pas être communiqué (vulnérabilités précises, vecteurs d’attaque exploitables, détails techniques susceptibles d’aider d’autres attaquants ou de compromettre l’enquête).

Cette distinction est acceptée par les autorités et les médias spécialisés, à condition d’être assumée explicitement : “Pour des raisons de sécurité et en coordination avec les enquêteurs, nous ne pouvons pas communiquer les détails techniques de l’attaque à ce stade.”

2. La posture de victime sans déresponsabilisation

L’organisation est à la fois victime d’une attaque criminelle et responsable de la protection des données qui lui ont été confiées. Cette dualité doit transparaître dans la communication :

• assumer la posture de victime (plainte déposée, coopération avec les autorités, condamnation de l’attaque),
• assumer la responsabilité de protéger les personnes concernées (information, soutien, indemnisation éventuelle),
• éviter le piège de la déresponsabilisation totale (“nous sommes victimes, donc nous ne sommes pas responsables”).

3. L’humanisation du discours

Derrière chaque ligne de données fuitées, il y a une personne. La communication doit constamment rappeler la dimension humaine :

• mentionner les personnes affectées avant l’organisation,
• exprimer une considération sincère pour leur situation,
• proposer un accompagnement réel et accessible,
• éviter le jargon technique qui déshumanise.

4. La précision opérationnelle

Les personnes concernées doivent savoir exactement quoi faire :

• changer leur mot de passe (en précisant comment),
• surveiller leurs comptes bancaires,
• être vigilantes face aux tentatives de phishing,
• contacter leur banque si données bancaires compromises,
• exercer leurs droits RGPD si elles le souhaitent,
• contacter le délégué à la protection des données pour toute question.

5. La cohérence dans la durée

Une cyberattaque dure des semaines, parfois des mois. La cohérence entre les déclarations successives est cruciale. Toute évolution du discours doit être explicitement justifiée par de nouvelles informations issues de l’investigation, jamais maquillée.

6. La coordination avec les autorités et les conseils externes

La communication doit être coordonnée avec :

• la CNIL (qui peut elle-même communiquer publiquement),
• les autorités d’enquête (parquet, gendarmerie spécialisée, ANSSI),
• les conseils juridiques (avocats spécialisés en cybersécurité et RGPD),
• les prestataires de réponse à incident (qui peuvent apporter une expertise technique sur les communications),
• les assureurs (cyber-assurance souvent impliquée).

Le rôle du dirigeant

Comme dans toute crise majeure, l’incarnation par le dirigeant est essentielle.

Une intervention proportionnée

Pour les incidents mineurs (intrusion limitée, fuite de faible ampleur), une communication portée par le DSI ou le délégué à la protection des données peut suffire. Pour les incidents majeurs (paralysie opérationnelle, fuite massive de données sensibles, impact sur des millions de personnes), l’intervention du PDG est attendue et nécessaire.

Une posture d’engagement personnel

Le dirigeant ne s’exprime pas pour défendre techniquement l’organisation mais pour incarner :

• la gravité de la situation et l’engagement total à la traiter,
• la considération pour les personnes affectées,
• la détermination à coopérer avec les autorités,
• l’ambition de transformations structurelles.

Une vidéo personnelle du PDG, sobre, factuelle, témoignant de l’engagement, est généralement plus efficace qu’un communiqué corporate anonyme.

Le piège de l’expertise technique apparente

Beaucoup de dirigeants veulent démontrer leur compréhension technique de l’attaque pour rassurer. C’est une erreur. La crédibilité du dirigeant ne tient pas à sa maîtrise des termes techniques mais à sa lucidité sur la situation, à sa considération pour les victimes et à sa détermination à transformer l’organisation. Mieux vaut renvoyer aux experts pour les détails techniques et concentrer son discours sur les engagements humains et stratégiques.

Cas particuliers fréquents

Le ransomware avec demande de rançon

Configuration de plus en plus fréquente. Plusieurs questions spécifiques :

• payer ou ne pas payer : décision difficile, déconseillée par les autorités françaises (qui considèrent que payer alimente le crime), mais parfois prise sous pression opérationnelle. Cette décision relève strictement du conseil d’administration et ne doit jamais être publique,
• communication sur le ransomware : reconnaître la nature de l’attaque, sans donner de détails sur les négociations éventuelles,
• impact opérationnel visible : la communication doit gérer simultanément le rétablissement progressif et l’information des clients privés de service,
• double extorsion : si les attaquants menacent de publier des données, anticiper la communication en cas de publication effective.

La fuite massive sans paralysie opérationnelle

L’organisation continue à fonctionner, mais des millions de données personnelles ont été exfiltrées. Caractéristiques :

• invisibilité opérationnelle initiale,
• enjeu RGPD majeur (notification individuelle de millions de personnes),
• ampleur logistique considérable (envois massifs, gestion des questions, capacité d’écoute),
• risque d’utilisation des données dans le temps (phishing ciblé, usurpations).

L’attaque sur un sous-traitant

Configuration croissante : l’organisation n’est pas attaquée directement, mais ses données sont compromises parce qu’un sous-traitant l’a été. Questions spécifiques :

• clarification de la responsabilité (le RGPD considère que le responsable de traitement reste responsable même si la fuite vient d’un sous-traitant),
• coordination entre les communications de l’organisation et de son sous-traitant,
• communication interne sur les choix de sous-traitance,
• réflexion sur la sécurité de la chaîne fournisseurs.

La révélation par les attaquants

Les attaquants publient les données fuitées sur un site dédié (souvent sur le dark web) pour faire pression. Cette publication peut :

• précéder la communication de l’organisation (effet de surprise),
• survenir pendant la phase de gestion (rebondissement majeur),
• être suivie d’une couverture médiatique exigeant une réaction rapide.

La communication doit alors gérer la temporalité : reconnaître la publication, ne pas relayer le contenu, accompagner les personnes nouvellement exposées, coopérer avec les autorités pour le retrait éventuel.

L’attaque touchant des données sensibles particulières

Données de santé, données bancaires, données concernant des mineurs, données concernant des personnes en situation de vulnérabilité : ces catégories appellent des communications spécifiques :

• prudence accrue sur les détails techniques,
• accompagnement renforcé des personnes concernées,
• coordination avec les autorités sectorielles (ARS, ANSM, ACPR selon les cas),
• anticipation d’actions collectives de victimes.

L’attaque sur une institution publique ou collectivité

Configuration de plus en plus fréquente, avec des spécificités :

• continuité du service public comme priorité absolue,
• dimension politique locale ou nationale,
• transparence attendue par les administrés,
• communication souvent sous l’œil des élus et des médias locaux,
• coordination avec les services de l’État et l’ANSSI.

L’attaque concomitante à une période sensible

Une cyberattaque qui survient en pleine période de stress (clôture comptable, élection, événement médiatique majeur) ajoute une dimension de tempo : la communication doit gérer simultanément l’incident et l’événement principal, sans que l’un n’éclipse l’autre.

Préparer en amont la communication post-cyberattaque

La cyberattaque ne se gère pas dans l’improvisation. Plusieurs dispositifs doivent être préparés en temps de paix.

Le plan de communication cyber

Document opérationnel qui décrit, pour chaque scénario type :

• circuits de décision et de validation,
• parties prenantes à informer dans quel ordre,
• modèles de communications (notifications réglementaires, communiqués publics, emails clients),
• éléments de langage validés juridiquement,
• arbres de décision (faut-il communiquer publiquement ? Quand ? Sur quel canal ?),
• dispositif d’astreinte mobilisable 24/7.

Les exercices de simulation cyber

Simulation spécifique d’une cyberattaque, mobilisant la cellule de crise complète, les équipes IT, les conseils externes et idéalement les autorités. Ces exercices, organisés par l’ANSSI ou par des prestataires spécialisés, révèlent les failles opérationnelles que la lecture des plans ne fait pas apparaître.

Le réseau d’expertise mobilisable

• prestataire de réponse à incident sous contrat-cadre (PRIS – Prestataire de Réponse aux Incidents de Sécurité),
• avocats spécialisés en cybersécurité, RGPD et droit pénal,
• agence de communication de crise avec expérience cyber,
• assureur cyber avec ses partenaires de gestion de crise,
• expert en négociation ransomware si pertinent.

Le dispositif technique

• dark site prêt à activer pour communiquer publiquement même si le site principal est indisponible,
• moyens de communication alternatifs si la messagerie d’entreprise est compromise (téléphones dédiés, plateforme externe),
• capacité d’envoi massif d’emails ou de courriers en cas de notification individuelle de millions de personnes,
• cellule d’écoute téléphonique dimensionnable rapidement.

La documentation et la traçabilité

Tenir un journal de bord détaillé dès les premiers signaux : décisions prises, horaires, personnes consultées, options arbitrées. Cette documentation est cruciale pour :

• la défense en cas de procédure ultérieure (CNIL, justice),
• la communication précise et cohérente,
• le retour d’expérience post-crise.

L’articulation avec le RSSI et la direction technique

La communication post-cyberattaque exige une articulation étroite entre la direction de la communication et la direction technique.

Les tensions naturelles

Les enjeux peuvent diverger :

• la direction technique privilégie souvent la discrétion (pour ne pas alerter d’autres attaquants, ne pas perturber l’enquête, ne pas révéler de vulnérabilités),
• la direction de la communication privilégie la transparence rapide (pour préserver la confiance, respecter les obligations légales, anticiper les fuites),
• le juridique arbitre selon les obligations réglementaires et les risques contentieux.

Les principes d’articulation

• réunions communes régulières en cellule de crise,
• validation croisée des éléments de langage par toutes les fonctions,
• respect de l’expertise de chacun (le RSSI sur les détails techniques, le DirCom sur la formulation publique),
• arbitrage au plus haut niveau (DG ou PDG) en cas de désaccord persistant.

Le rôle du conseil externe

Une agence de communication de crise spécialisée en cyber peut jouer un rôle d’interface entre les équipes techniques et la communication publique : traduire les éléments techniques en messages accessibles, calibrer le niveau de détail à communiquer, anticiper les questions médias.

La mesure de l’efficacité de la communication

Une communication post-cyberattaque s’évalue selon plusieurs critères qu’il faut suivre dans la durée.

Indicateurs immédiats

• respect des délais réglementaires de notification,
• taux de personnes concernées effectivement informées (pour les fuites de données),
• volume de questions reçues et traitées par la cellule d’écoute,
• tonalité des médias et réseaux sociaux,
• respect des engagements pris dans la communication.

Indicateurs à moyen terme

• évolution de la confiance des clients (taux d’attrition, plaintes),
• impact sur les indicateurs commerciaux,
• perception par les salariés (climat interne, départs),
• décision éventuelle de la CNIL et autres autorités,
• issue des procédures judiciaires.

Indicateurs à long terme

• reconstruction de la confiance dans la marque,
• renforcement ou affaiblissement durable du capital réputationnel,
• transformations structurelles effectivement engagées,
• capacité à attirer et retenir les talents,
• résilience face à de nouveaux incidents éventuels.

FAQ

Faut-il toujours communiquer publiquement une cyberattaque ? Non. Lorsque l’incident n’a pas d’impact public visible et qu’il ne déclenche pas d’obligation légale de notification, la communication peut rester confidentielle (information aux autorités, plainte, gestion technique). Mais cette décision doit être prise en cellule de crise, après évaluation rigoureuse du risque de fuite ultérieure. La règle prudentielle : si la probabilité que l’incident soit révélé publiquement à terme est élevée, prendre les devants est presque toujours préférable.

Faut-il révéler le vecteur précis de l’attaque ? Non, généralement. La communication peut indiquer la nature de l’attaque (ransomware, intrusion via phishing, exploitation d’une vulnérabilité) sans détailler les vecteurs précis susceptibles d’être exploités par d’autres attaquants. Cette retenue est acceptée par les autorités et les médias spécialisés, à condition d’être assumée explicitement.

Combien de temps après l’attaque le dirigeant doit-il s’exprimer ? Pour les incidents majeurs, dans les 48 à 96 heures suivant le déclenchement, idéalement après les premières notifications réglementaires et la première communication publique. Une intervention plus précoce expose au risque de communiquer des éléments qui s’avèrent inexacts ; une intervention plus tardive peut être perçue comme un désengagement personnel face à la gravité.

Faut-il communiquer le paiement éventuel d’une rançon ? Cette question est délicate. Le paiement d’une rançon n’est pas illégal en France à ce jour, mais il est fortement déconseillé par les autorités et les assureurs. Communiquer publiquement sur le paiement expose à des critiques fortes ; ne pas communiquer crée un risque si l’information fuite ultérieurement. La règle générale : éviter de communiquer sur ce point, et si la question est posée, répondre que les négociations relèvent de la coordination avec les autorités d’enquête.

Que faire si les attaquants publient les données malgré les négociations ? Anticiper cette éventualité dès le début de la gestion. Si la publication intervient :

• reconnaître la situation publiquement,
• ne pas relayer ni détailler le contenu publié,
• renforcer l’accompagnement des personnes concernées,
• coopérer avec les autorités pour le retrait éventuel,
• adapter la communication aux nouvelles informations rendues publiques.

Votre organisation est-elle réellement préparée à gérer la communication d’une cyberattaque dans toutes ses dimensions — technique, réglementaire, humaine et réputationnelle ? LaFrenchCom accompagne dirigeants, RSSI et directions de la communication dans la préparation et la gestion en temps réel des crises cyber, en coordination avec les conseils juridiques et les prestataires techniques. [Contactez notre cellule de crise →]