Communication de crise cyberattaque : gérer un ransomware à l’ère de l’IA

Une cyberattaque est une crise comme aucune autre. Les attaquants y contrôlent le calendrier et le récit, les systèmes mêmes dont vous auriez besoin pour répondre peuvent être paralysés, et vous devez communiquer alors que vous ne savez presque rien. Ajoutez l’intelligence artificielle, qui a contribué à une hausse d’environ 149 % des incidents de rançongiciel début 2025 et rend les attaques plus rapides, plus fréquentes et plus convaincantes. Et une leçon domine tous les cas d’école : ce n’est pas l’attaque qui détruit la confiance, c’est le silence analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom.

Ce guide détaille le playbook de communication face à une cyberattaque par ransomware : ce qui rend cette crise unique, comment l’IA aggrave la menace, le dilemme de la rançon, l’équation transparence/silence, et la communication par audience. Il complète nos articles sur la cellule de crise et sur le cadre RGPD et AI Act, et s’inscrit dans notre guide pilier sur la communication de crise face à l’IA. Précision : cet article traite de la communication ; la décision de payer ou non et les choix juridiques relèvent d’un conseil spécialisé et des autorités.

Pourquoi la communication de crise cyber est unique

Plusieurs caractéristiques distinguent radicalement la cyberattaque des autres crises.

D’abord, les attaquants contrôlent le récit. Les rançongiciels modernes ne se contentent plus de chiffrer : ils volent et publient. En 2025, environ 70 % des entreprises victimes de ransomware ont aussi subi un vol de données avant le chiffrement — c’est la « double extorsion », avec menace de divulgation sur un site dédié. Conséquence directe pour la communication : l’information sur l’attaque vient de plus en plus des cybercriminels eux-mêmes, qui s’en servent pour faire pression ou pour monnayer les données dérobées.

Ensuite, l’incertitude technique. Dans les premières heures, voire les premiers jours, on ignore souvent l’étendue exacte de la compromission. Communiquer trop précisément trop tôt, c’est risquer de se dédire.

Par ailleurs, le système d’information lui-même peut être paralysé : messagerie, téléphonie, site web. La cellule de crise doit alors disposer de moyens de communication « hors bande », indépendants de l’infrastructure attaquée, comme nous l’avons souligné à propos de l’organisation de la cellule.

Enfin, l’enjeu est triple — opérationnel, réputationnel et juridique — et la tentation de se taire est forte. Le décalage est éloquent : Cybermalveillance.gouv.fr a recensé au moins 960 organisations victimes de ransomware en France en 2024, contre une centaine de cas connus publiquement. La difficulté à communiquer sur les cyberattaques reste immense.

L’IA, accélérateur de la menace

L’intelligence artificielle a changé d’échelle la menace. Elle sert d’accélérateur d’attaques : campagnes de phishing hyper-personnalisées à la grammaire parfaite, deepfakes vocaux et vidéo pour usurper un dirigeant et obtenir un accès initial, maliciels adaptatifs capables de modifier leur comportement en cours d’exécution. De nouveaux rançongiciels intègrent même un modèle de langage pour générer leurs scripts en temps réel et s’adapter aux obstacles rencontrés. Surtout, les modèles de « rançongiciel à la demande », enrichis d’agents IA, automatisent désormais une grande partie du cycle d’intrusion, rendant des capacités avancées accessibles à des acteurs peu qualifiés. Comme le résume un responsable de la sécurité, même les cybercriminels les moins sophistiqués disposent aujourd’hui de capacités d’IA avancées.

La bonne nouvelle est que l’IA sert aussi la défense : la détection des signaux faibles et l’accélération de l’identification des segments compromis, que nous avons évoquées à propos de la gestion de crise par l’IA, font gagner un temps précieux. Mais la course reste tendue.

Le dilemme central : payer ou ne pas payer la rançon

Face au chiffrement de ses données, la victime affronte un choix douloureux. Dans les faits, une écrasante majorité cède : selon une étude portant sur 6 000 PME, 80 % des victimes paient. Or payer ne garantit pas la récupération des données et transforme la victime en cible privilégiée pour de futures attaques.

C’est pourquoi les agences nationales et les CERT découragent le paiement, et des initiatives internationales poussent une ligne dure ; dès 2019, plusieurs maires américains avaient signé une résolution refusant tout versement. La transparence progresse aussi : l’Australie a instauré une obligation de déclaration des rançons versées, et une majorité de PME interrogées souhaitent une telle mesure. À l’inverse, l’essor des assurances cyber a contribué à institutionnaliser le paiement, alimentant des rançons plus élevées.

Pour le communicant, le point essentiel n’est pas de trancher publiquement ce débat — certaines victimes sont réellement dans une situation désespérée —, mais de comprendre que la décision façonne le récit. Et que, quelle que soit l’option retenue, le vrai danger n’est pas le choix lui-même : c’est le silence sur l’incident, son origine, son étendue et les mesures prises.

Transparence ou silence ? La leçon des grandes crises cyber

C’est le cœur de la communication de crise cyber, et l’histoire a déjà tranché. Ce n’est pas tant la cyberattaque qui entame la confiance que l’insincérité de la victime : son silence, sa communication minimisant ou enjolivant la situation.

Le contraste entre deux cas emblématiques est saisissant. En 2019, l’industriel norvégien Norsk Hydro, frappé par un rançongiciel qui paralysait des usines, a choisi la transparence totale : dès le lendemain, il ouvrait une page publique dédiée à sa communication de crise. Sa gestion est devenue une référence. À l’inverse, l’entreprise Target, victime en 2013 d’une fuite des données bancaires de millions de clients, a préféré le silence ; une source externe a informé le public la première, et l’entreprise a été accusée d’avoir dissimulé l’attaque, sa réputation atteignant un plus bas historique. Un dirigeant ayant refusé de répondre à la moindre question sur une attaque a, lui, surtout occupé ses équipes commerciales à rassurer des clients inquiets — une surcharge qu’une communication appropriée aurait évitée.

Trois principes en découlent. Ne jamais minimiser : à l’ère de la double extorsion, prétendre que la fuite est anodine expose à un démenti cinglant lorsque les attaquants publient les données. Assumer la position de victime sans s’y réfugier : une cyberattaque n’est pas une « maladie honteuse », elle arrive à tout le monde ; le dire honnêtement désamorce le soupçon, mais ne dispense pas d’agir. Et communiquer de façon factuelle, sincère et régulière, plutôt que d’apparaître en fausse maîtrise.

Le playbook : communiquer par audience

Une communication de crise cyber réussie s’adresse, dans le bon ordre et avec le bon message, à chaque partie prenante.

En interne d’abord

Les collaborateurs sont les premiers concernés — souvent privés de leurs outils — et les premiers ambassadeurs. Ils doivent être informés rapidement, par des canaux de secours hors bande, savoir quoi faire et ce qu’ils peuvent ou non dire à l’extérieur. Un salarié mal informé qui s’exprime maladroitement aggrave la crise.

Les clients et les personnes concernées

Lorsque des données sont touchées, les personnes concernées doivent être informées avec transparence : nature de l’incident, risques, et conduite à tenir — changer ses mots de passe, surveiller ses comptes. C’est aussi une obligation légale en cas de risque élevé, articulée à la notification détaillée dans notre article sur le RGPD et l’AI Act. Une communication tardive ou floue les empêche de se protéger et aggrave les dégâts.

Les autorités et le cadre réglementaire

La victime doit notifier la CNIL dans les 72 heures en cas de violation de données, et peut s’appuyer sur l’ANSSI et la plateforme cybermalveillance.gouv.fr. La directive NIS2, en cours de transposition, renforce ces obligations. Les agences encouragent une communication aussi transparente que possible, pour améliorer la coopération collective face à la cybercriminalité.

Les médias et le public

Vis-à-vis de l’extérieur, une déclaration d’attente et un porte-parole formé — clair, empathique et crédible sous pression — sont indispensables, suivis de mises à jour factuelles et régulières. Il faut doser : informer sur l’incident et les mesures prises, sans divulguer de détails techniques exploitables par les attaquants ou susceptibles de compromettre l’enquête.

Checklist : communiquer pendant une cyberattaque

À préparer en amont et activer le jour J :

• Volet communication intégré au plan de réponse aux incidents, avec rôles définis.
• Moyens de communication hors bande, indépendants du système d’information.
• Porte-parole formé et messages types par scénario (ransomware, fuite de données).
• Ordre de priorité des audiences : interne, personnes concernées, autorités, médias.
• Procédure de notification 72 h (CNIL) et contacts ANSSI / cybermalveillance.gouv.fr.
• Principe de non-minimisation acté : transparence factuelle, jamais d’enjolivement.
• Mises à jour régulières planifiées tout au long de la crise.
• Coordination étroite entre communication, juridique, RSSI et direction.

FAQ : communication de crise et cyberattaque

Faut-il communiquer ou se taire après une cyberattaque ? Communiquer. L’histoire montre que ce n’est pas l’attaque qui détruit la confiance, mais le silence, la minimisation ou la dissimulation. Une communication transparente et factuelle protège la réputation ; le silence l’expose, surtout si les attaquants publient eux-mêmes les données.

Faut-il payer la rançon ? Les autorités et les CERT déconseillent le paiement : il ne garantit pas la récupération des données et fait de la victime une cible récurrente. La décision, lourde sur les plans éthique, légal et réputationnel, doit être prise avec un conseil spécialisé et les autorités.

Qu’est-ce que la double extorsion ? C’est la pratique consistant à voler les données avant de les chiffrer, puis à menacer de les publier sur un site dédié pour forcer le paiement. En 2025, environ 70 % des victimes de ransomware ont subi un vol de données avant le chiffrement.

Comment l’IA aggrave-t-elle les cyberattaques ? Elle automatise et personnalise le phishing, permet des deepfakes pour usurper des dirigeants, produit des maliciels adaptatifs et démocratise les attaques via des modèles « à la demande » dopés à l’IA. Les incidents de ransomware ont fortement augmenté début 2025.

Qui prévenir en priorité en cas de cyberattaque ? Les collaborateurs d’abord, puis les personnes dont les données sont touchées, les autorités (CNIL sous 72 h, ANSSI, cybermalveillance.gouv.fr) et enfin les médias et le public, avec un message cohérent et factuel.

Comment communiquer si nos systèmes sont paralysés ? En s’appuyant sur des moyens de communication hors bande, prévus à l’avance et indépendants du système d’information attaqué — un élément clé du dispositif de la cellule de crise.

Conclusion : la transparence, meilleure réponse au chantage

Face à une cyberattaque, la communication n’est pas un supplément à la réponse technique : elle en est une dimension stratégique. Les attaquants misent sur la peur et le silence ; la transparence factuelle leur retire ce levier. Norsk Hydro l’a prouvé en ouvrant sa crise au grand jour ; Target a payé le prix de l’avoir cachée. À l’ère de l’IA, où les attaques sont plus rapides et la double extorsion la norme, le réflexe gagnant n’a pas changé : informer vite, sincèrement et sans minimiser, partie prenante par partie prenante. La meilleure réponse au chantage, c’est la vérité maîtrisée.

Pour l’organisation de la réponse, retrouvez notre article sur la cellule de crise à l’ère de l’IA, et pour les obligations légales, notre guide sur le RGPD et l’AI Act. Les secteurs les plus exposés font par ailleurs l’objet de guides dédiés, comme celui sur les collectivités. Pour la vision d’ensemble, revenez à notre guide pilier sur la communication de crise face à l’IA.