Communication de crise IA dans l’industrie et les infrastructures critiques

Dans l’industrie et les infrastructures critiques, une crise n’est pas seulement réputationnelle ou financière : elle peut être physique. Une ligne de production paralysée, une eau contaminée, une coupure d’électricité, un accident industriel mettant en danger salariés et riverains. Or l’IA est désormais au cœur des systèmes industriels — pilotage, maintenance prédictive — comme des menaces qui les visent : des rançongiciels conçus pour stopper une usine, avec des acteurs étatiques qui se pré-positionnent dans les réseaux industriels des mois à l’avance. Et lorsqu’un accident réel rencontre une désinformation amplifiée par l’IA — une fausse vidéo d’explosion devenue virale —, la crise devient double.

Ce guide adapte les principes de la communication de crise au secteur industriel : pourquoi il est une cible à très haut risque, quels risques IA lui sont spécifiques, en quoi sa communication de crise diffère, et comment réagir. Il prolonge notre guide pilier sur la communication de crise face à l’IA.

Pourquoi l’industrie et les infrastructures critiques sont des cibles à très haut risque

Le secteur industriel présente des vulnérabilités qui lui sont propres. Ses systèmes d’exploitation — SCADA, automates programmables (PLC), interfaces homme-machine — ont souvent été conçus il y a des décennies, sans sécurité informatique. Plusieurs faiblesses les exposent : l’obsolescence des équipements, dont le remplacement implique des arrêts de production coûteux ; l’absence de segmentation entre réseaux bureautiques (IT) et réseaux de production (OT), qui offre aux attaquants un chemin direct ; et le manque de visibilité, les environnements OT étant rarement surveillés en temps réel, ce qui retarde la détection. Le risque est documenté et croissant : un cabinet a recensé un record de vulnérabilités sur les systèmes de contrôle industriel en 2025, et selon un baromètre, un tiers des entreprises industrielles ont déjà subi des dommages à la suite d’une cyberattaque. À cela s’ajoute une dimension géopolitique : des acteurs étatiques ciblent les infrastructures critiques, parfois en se pré-positionnant dans les réseaux avant de passer à l’action. Et un cadre réglementaire strict — statut d’opérateur d’importance vitale, directive NIS2 — encadre ces enjeux de souveraineté.

Les risques IA spécifiques au secteur industriel

Quatre risques majeurs, souvent imbriqués, menacent l’industrie.

Les cyberattaques sur les systèmes industriels (OT/ICS)

C’est le risque dominant, et sa singularité est d’avoir des conséquences physiques. Une attaque peut paralyser une ligne de production, mais aussi menacer la sécurité physique des salariés. En 2025, un grand constructeur automobile a vu sa production perturbée plusieurs jours par une cyberattaque exploitant sa chaîne logistique, pour des pertes estimées à plusieurs centaines de millions d’euros — illustrant les risques de l’interconnexion IT/OT et de la dépendance aux prestataires. Les groupes malveillants déploient désormais des charges « conçues pour le monde industriel », capables de verrouiller les interfaces de supervision et de stopper la production, tandis que les attaques hacktivistes contre ces environnements se multiplient.

La défaillance de l’IA industrielle

L’IA pilote de plus en plus de processus industriels et de maintenance prédictive. Une défaillance — un système d’IA qui contrôle mal un procédé, une fausse alerte ou une fausse non-alerte de maintenance — peut avoir des conséquences directes sur la sécurité et la continuité. Là encore, l’entreprise répond des outils qu’elle déploie.

La désinformation autour d’un incident

Un incident industriel est un terreau idéal pour la désinformation : une fausse vidéo d’explosion ou de fuite peut semer la panique parmi les riverains, ou un incident réel peut être amplifié et déformé. Le danger maximal, bien identifié, survient lorsque les réseaux sociaux diffusent des informations sur l’événement et son évolution avant vous.

Le sabotage et le ciblage géopolitique

Enfin, les infrastructures critiques sont des cibles de choix pour le sabotage et la cyberguerre économique, avec des acteurs étatiques qui préparent leurs attaques de longue date et des groupes hacktivistes revendiquant la destruction d’infrastructures.

Les contraintes propres à la communication de crise industrielle

Communiquer en situation de crise industrielle obéit à des impératifs d’une gravité particulière. La sécurité humaine prime : protéger les personnes passe avant toute considération d’image, et la communication doit servir cet objectif. La dimension physique et sociétale est centrale : on parle de continuité de services essentiels et d’un territoire, pas seulement d’une marque. Le cadre réglementaire (statut d’OIV, NIS2) et la coordination institutionnelle (ANSSI, préfecture) structurent la réponse. La dimension multi-acteurs est incontournable : autorités, préfecture, élus locaux, salariés et, surtout, riverains — trop souvent les grands oubliés de la communication de crise. Enfin, la complexité technique des systèmes industriels les rend opaques au public comme aux médias, ce qui exige un effort de pédagogie particulier.

Gérer une crise IA industrielle : la méthode

La sécurité d’abord, et la transparence sans infantiliser

L’accident de Lubrizol à Rouen, le plus important sur un site chimique depuis AZF, reste le cas d’école — et le contre-exemple. Les autorités y ont émis des messages rassurants avant même que tous les résultats d’analyse ne soient disponibles, et délivré l’information au compte-gouttes, comme si la population était un enfant à rassurer à tout prix. Le résultat fut l’inverse de l’effet recherché : cette mauvaise information initiale a fait peser des soupçons sur toutes les communications ultérieures et nourri une psychose autour de fausses informations. La leçon est limpide : en matière de risque industriel, la transparence et le respect de l’intelligence des citoyens valent infiniment mieux que le réflexe de rassurer à tout prix. Une communication multicanale, factuelle et précise, qui ne minimise jamais, est la seule voie.

La cellule IT/OT et la coordination institutionnelle

La préparation passe par une cellule de crise associant les compétences IT et OT, et par la coordination avec les autorités. Sur le plan technique, la séparation des réseaux IT et OT est un prérequis. Sur le plan de la communication, la préparation se fait aussi à froid : communiquer en amont sur les risques induits par le site, organiser des visites, rédiger des fiches réflexes au vocabulaire précis et compréhensible. Cette transparence préalable donne aux riverains confiance dans les messages diffusés le jour de la crise.

Les riverains et la lutte contre la désinformation

Les riverains doivent être au cœur du dispositif, et non ses oubliés. L’écoute des réseaux sociaux permet de « sentir » ce qui se passe et de repérer les rumeurs ; mais le plus grand danger est de se laisser devancer. Face à une fausse vidéo d’incident, la riposte en deux temps s’applique. Et la communication doit prendre en charge l’angoisse des habitants par une information juste, plutôt que de la nier.

Checklist : préparer un acteur industriel aux crises IA

À mettre en place :

• Séparation des réseaux IT/OT et surveillance des environnements industriels.
• Cellule de crise IT/OT associant production, sécurité industrielle, RSSI et communication.
• Coordination institutionnelle (ANSSI, préfecture) et conformité OIV/NIS2.
• Communication à froid sur les risques : transparence, visites de site, lien avec les élus locaux.
• Fiches réflexes au vocabulaire précis et compréhensible, par scénario.
• Dispositif riverains : canaux dédiés, écoute des réseaux sociaux, prise en charge de l’angoisse.
• Riposte anti-désinformation (fausses vidéos d’incident) en deux temps.
• Exercices grandeur nature combinant accident industriel et scénario cyber/IA.

FAQ : communication de crise IA dans l’industrie

Pourquoi les systèmes industriels (OT) sont-ils vulnérables ? Parce qu’ils ont souvent été conçus il y a des décennies sans sécurité informatique, qu’ils sont obsolètes et coûteux à remplacer, que les réseaux IT et OT communiquent souvent directement, et qu’ils sont rarement surveillés en temps réel, ce qui retarde la détection des intrusions.

Quelles conséquences peut avoir une cyberattaque industrielle ? Au-delà des pertes financières, elle peut paralyser la production, exposer des données stratégiques et surtout menacer la sécurité physique des salariés et des riverains. Une attaque sur une infrastructure critique peut affecter des services essentiels.

Quelle est la principale leçon de l’accident Lubrizol pour la communication ? Que la transparence vaut mieux que le réflexe de rassurer à tout prix. Des messages rassurants émis avant les résultats d’analyse et une information délivrée au compte-gouttes ont nourri la défiance et les fausses informations.

Comment communiquer avec les riverains lors d’une crise industrielle ? En les plaçant au cœur du dispositif, par une information juste, multicanale et précise qui prend en charge leur angoisse, en écoutant les réseaux sociaux pour repérer les rumeurs, et en préparant cette relation à froid par la transparence sur les risques du site.

Qu’est-ce que NIS2 et le statut d’OIV changent ? Ils imposent aux opérateurs d’infrastructures critiques des obligations renforcées de cybersécurité et de gestion des risques, dans une logique de souveraineté et de continuité des services essentiels.

Comment se préparer à une crise IA dans l’industrie ? En séparant les réseaux IT et OT, en constituant une cellule de crise IT/OT, en se coordonnant avec les autorités, en communiquant à froid sur les risques, en rédigeant des fiches réflexes et en réalisant des exercices combinant accident et scénario cyber.

Conclusion : quand la crise devient physique, la transparence devient vitale

Dans l’industrie et les infrastructures critiques, une crise liée à l’IA engage bien plus qu’une réputation : la sécurité des personnes, la continuité de services essentiels, parfois la souveraineté. Cyberattaque paralysant une usine, IA industrielle défaillante, ou fausse vidéo d’incident attisant la panique : chaque scénario exige une réponse où la sécurité prime, où la communication est multicanale et factuelle, et où les riverains ne sont jamais oubliés. La leçon de Lubrizol vaut pour toutes ces crises : face à un risque qui touche les corps et les territoires, le réflexe de rassurer à tout prix se retourne contre celui qui l’emploie. La transparence n’est pas une faiblesse, c’est la condition de la confiance.

Pour les enjeux connexes, retrouvez nos articles sur la communication de crise en cas de cyberattaque, sur le secteur public et les collectivités et sur la désinformation par IA. Pour la vision d’ensemble, revenez à notre guide pilier sur la communication de crise face à l’IA.