Cyberattaque et fuite de données : communiquer sans aggraver l’exposition juridique

En résumé — La communication de crise cyber obéit à des règles spécifiques que les méthodologies génériques ne couvrent pas. La cinétique est ultra-rapide, les obligations de notification sont strictement encadrées par le RGPD et les régulateurs sectoriels, le porte-parole doit maîtriser une terminologie technique, et chaque mot peut alourdir l’exposition juridique. Cet article détaille la doctrine spécifique en six étapes : la chronologie des notifications obligatoires, la rédaction d’un communiqué cyber qui ne donne pas plus d’angles aux attaquants, la gestion d’une demande de rançon, la communication aux victimes, et les sept formulations à bannir absolument.

Pourquoi la communication cyber est un métier à part

Toutes les crises se ressemblent par certains aspects — la pression médiatique, la nécessité de décider vite, l’arbitrage entre transparence et prudence. Mais la crise cyber présente des caractéristiques structurelles qui en font une catégorie à part dans l’univers de la communication de crise selon l’expert en communication de crise Florian Silnicki, Président Fondateur de LaFrenchCom.

Première caractéristique : la cinétique extrême. Une cyberattaque ne se déploie pas sur des heures, mais sur des minutes. Un ransomware peut chiffrer plusieurs téraoctets de données en moins d’une heure. Une exfiltration peut être détectée alors que les données sont déjà sur un forum criminel. La fenêtre décisionnelle est plus courte que dans n’importe quelle autre crise — typiquement 30 minutes pour les premières décisions structurantes, contre 60 minutes dans une crise classique (voir notre article Golden Hour : les 7 décisions à prendre dans les 60 premières minutes d’une crise).

Deuxième caractéristique : la double pression — opérationnelle et communicationnelle. Pendant que la cellule de communication s’organise, les équipes techniques se battent pour contenir l’attaque, restaurer les systèmes, identifier les attaquants. Cette double pression complique la coordination et impose une cellule de crise spécifique, où le RSSI (responsable de la sécurité des systèmes d’information) joue un rôle central que peu d’autres crises connaissent (voir Cellule de crise : qui doit être dans la pièce, qui ne doit surtout pas y être).

Troisième caractéristique : l’encadrement réglementaire strict. Aucune autre catégorie de crise n’est aussi étroitement encadrée par des obligations de notification. Le RGPD impose un signalement à la CNIL dans les 72 heures pour les violations de données personnelles. La directive NIS2 impose des notifications spécifiques pour les opérateurs de services essentiels et les entités critiques. Les autorités sectorielles (ACPR pour la banque-assurance, ANSSI, CERT-FR) ont leurs propres procédures. Pour les sociétés cotées, l’information privilégiée peut s’appliquer immédiatement.

Quatrième caractéristique : la dimension contradictoire de la communication. En crise classique, plus on communique, plus on apaise. En crise cyber, plus on communique, plus on peut donner des angles à l’attaquant : informations sur les systèmes touchés, sur la stratégie de réponse, sur la posture vis-à-vis d’une éventuelle rançon. Cette tension entre transparence et discrétion technique est propre à la cyber-crise.

Cinquième caractéristique : la dimension internationale par défaut. Les attaquants sont presque toujours hors juridiction. Les données peuvent être stockées sur des serveurs étrangers. Les obligations de notification varient selon les pays. Les communications doivent souvent être adaptées à plusieurs juridictions simultanément.

Ces cinq caractéristiques font de la communication cyber un sous-domaine spécialisé de la communication de crise, qui ne peut pas être traité par simple application des doctrines générales. Cet article propose la doctrine spécifique applicable, à intégrer dans les plans de crise des entreprises exposées (c’est-à-dire, en pratique, presque toutes les entreprises modernes).

La chronologie des décisions critiques en cyber-crise

La doctrine cyber s’organise autour d’une chronologie précise. Six étapes, chacune avec sa fenêtre temporelle propre.

Étape 1 — Détection et qualification (T0 à T+30 min)

La première étape n’est pas communicationnelle, mais elle conditionne toute la suite. Une alerte technique remonte — comportement anormal sur le réseau, message de rançon affiché, exfiltration de données détectée par un outil de surveillance, signalement par un tiers (autorité, journaliste, partenaire). La première question est : s’agit-il d’une crise réelle ou d’un faux positif ?

Cette qualification est faite par le RSSI dans la cellule de crise technique. Elle nécessite typiquement 15 à 30 minutes : confirmation de l’incident, première caractérisation (intrusion, ransomware, exfiltration, déni de service), évaluation de l’ampleur initiale.

Pendant cette phase, aucune communication externe n’est diffusée. La cellule de crise communicationnelle est alertée et se prépare, mais elle n’agit pas encore. La discipline de retenue, dans la première demi-heure, est essentielle : une communication précipitée sur un faux positif détruit la crédibilité de l’entreprise, et une communication précipitée sur une attaque réelle peut donner des informations à l’attaquant.

Étape 2 — Confinement technique et activation des cellules (T+30 min à T+2h)

Une fois la crise qualifiée, deux processus se déclenchent en parallèle. La cellule technique pilote le confinement : isoler les systèmes touchés, sauvegarder les preuves, identifier le périmètre exact de l’attaque, engager les actions techniques de réponse. La cellule communicationnelle s’active selon le protocole standard (voir Cellule de crise : qui doit être dans la pièce, qui ne doit surtout pas y être), avec une composition adaptée : présence renforcée du RSSI, du DSI, du DPO (délégué à la protection des données), de l’avocat spécialisé en cyber, et du chargé de relations avec les autorités.

Pendant cette phase, l’enjeu communicationnel principal est interne : qui sait dans l’entreprise, qui doit savoir, qui ne doit pas savoir. Une fuite interne dans cette phase peut conduire à une médiatisation prématurée qui détruit la maîtrise de la communication ultérieure.

Étape 3 — Premières notifications obligatoires (T+2h à T+24h)

La troisième étape est juridique avant d’être communicationnelle. Plusieurs notifications sont potentiellement obligatoires.

Signalement à l’ANSSI ou au CERT-FR pour les opérateurs de services essentiels, les opérateurs d’importance vitale, et les entités critiques au sens de NIS2. Le délai de signalement initial est généralement de 24 heures, avec un rapport intermédiaire à 72 heures.

Notification à la CNIL au titre du RGPD, si une violation de données personnelles est avérée ou hautement probable. Le délai est de 72 heures à compter de la prise de connaissance de la violation. Le formulaire est précis et nécessite des informations qui ne sont pas toujours disponibles dans les premières heures — d’où l’importance de commencer la collecte des éléments dès l’étape 2.

Notifications sectorielles : ACPR pour les établissements bancaires et d’assurance, ARS pour les établissements de santé, ART pour les opérateurs télécom, etc. Chaque secteur régulé a ses propres exigences, parfois plus strictes que le cadre général.

Information privilégiée pour les sociétés cotées : selon l’ampleur de l’attaque et son impact potentiel sur la valeur de l’entreprise, une publication réglementée peut s’imposer dans des délais courts.

Ces notifications sont gérées par l’avocat spécialisé et le DPO, en coordination avec la cellule de crise. Elles sont antérieures à toute communication publique. La hiérarchie est claire : autorités d’abord, public ensuite.

Étape 4 — Communication aux personnes concernées (T+24h à T+72h)

Quatrième étape, particulièrement encadrée : la communication aux personnes dont les données ont été compromises. Le RGPD impose cette communication “dans les meilleurs délais” lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Cette communication individuelle obéit à des règles strictes. Elle doit être claire et compréhensible par le destinataire (pas de jargon technique excessif). Elle doit mentionner la nature des données concernées, les conséquences possibles, les mesures prises par l’entreprise, et les mesures recommandées aux personnes (changement de mot de passe, vigilance vis-à-vis du phishing, surveillance des comptes bancaires selon les cas). Elle doit fournir un point de contact pour les questions complémentaires.

Le format peut être un email individualisé, un courrier postal pour les cas plus graves, ou une notification dans l’espace client. Le choix du format dépend de la sensibilité des données, du nombre de personnes concernées, et des moyens de contact disponibles.

L’erreur la plus fréquente à ce stade : sous-estimer le volume de communication individuelle. Pour une fuite touchant 50 000 ou 500 000 personnes, la mise en place du dispositif de communication (envoi, hotline, FAQ, suivi des questions) mobilise des moyens considérables qui doivent être anticipés dès l’étape 2.

Étape 5 — Communication publique (T+24h à T+96h)

La communication publique — communiqué de presse, post sur le site de l’entreprise, éventuelle conférence de presse — intervient en parallèle ou légèrement après les notifications individuelles. Sa rédaction obéit à une doctrine spécifique détaillée plus bas.

Le timing exact dépend de plusieurs facteurs : la pression médiatique (si la crise est déjà publique, la communication est immédiate ; si elle ne l’est pas encore, on peut attendre que les notifications individuelles soient diffusées), l’avancement technique (on ne communique pas tant que le périmètre n’est pas suffisamment stabilisé), la coordination internationale (les communications dans plusieurs pays doivent être synchronisées).

Étape 6 — Communication post-crise et retour d’expérience (semaines suivantes)

La sixième étape s’étale sur plusieurs semaines. Elle inclut la communication des conclusions de l’enquête interne, la transparence sur les mesures correctives mises en œuvre, la communication aux régulateurs sur les compléments d’information demandés, et — élément essentiel — la communication interne vers les salariés sur les enseignements tirés.

Cette phase post-crise est sous-estimée. Elle est pourtant celle qui consolide ou détruit la confiance retrouvée. Une cyberattaque bien gérée pendant la phase aiguë mais mal communiquée en phase post-crise peut produire une rechute médiatique plusieurs mois après les faits.

L’anatomie d’un communiqué cyber qui ne donne pas d’angles à l’attaquant

Le communiqué de crise cyber se distingue du communiqué standard (voir Le premier communiqué de crise : anatomie d’un texte qui ne se retournera pas contre vous) par une exigence supplémentaire : ne pas fournir d’informations exploitables par l’attaquant ou par des attaquants futurs.

Cinq règles de rédaction spécifiques.

Règle 1 — Pas de précision technique sur la nature exacte de l’attaque. “Une intrusion informatique” suffit. “Une exploitation d’une vulnérabilité de notre serveur Apache via le CVE-2025-XXXX” est une faute. La précision technique donne aux autres attaquants potentiels une lecture de votre configuration et de vos faiblesses.

Règle 2 — Pas d’évaluation de l’ampleur sans certitude. Énoncer un nombre de personnes touchées, ou un pourcentage de données exfiltrées, alors que l’enquête est en cours, expose à devoir corriger ce chiffre — chaque correction étant un événement médiatique. Mieux vaut formuler : “Le périmètre exact des données concernées est en cours de qualification. Les personnes concernées seront informées individuellement dès que ce périmètre sera stabilisé.”

Règle 3 — Pas de mention des outils de défense déployés. “Nous avons activé notre EDR et procédé à un rollback complet via nos sauvegardes off-site” informe les attaquants que vous disposez de ces outils, et leur permet d’adapter leur prochaine attaque. La formulation neutre suffit : “Les mesures techniques nécessaires ont été engagées.”

Règle 4 — Pas de signal sur la posture vis-à-vis d’une rançon. Si une rançon a été demandée, la communication publique ne mentionne pas l’existence de cette demande, sauf accord stratégique de la cellule de crise. Toute mention publique d’une demande de rançon — même pour la refuser — peut être instrumentalisée par l’attaquant pour faire pression médiatiquement. Voir plus bas la doctrine sur les rançons.

Règle 5 — Pas d’attribution sans validation. Désigner publiquement un acteur étatique, un groupe criminel ou un type d’attaquant (“attaque russe”, “groupe APT-X”, “ransomware Conti”) avant que l’enquête n’ait formellement validé l’attribution est risqué. Cette attribution peut être contestée, peut conduire à des poursuites pour diffamation, ou peut compromettre des coopérations avec les autorités. La formulation prudente : “Une enquête est en cours pour caractériser l’origine de l’attaque.”

À ces cinq règles s’ajoutent celles du communiqué standard : ne pas dépasser 250-300 mots, articulation en blocs (mention factuelle, dimension humaine, actions engagées, calendrier, contact), validation par l’avocat avant diffusion.

La doctrine spécifique sur la rançon

L’une des questions les plus délicates de la communication cyber est la gestion d’une éventuelle demande de rançon. La position publique de la France et de l’Union européenne — comme de la plupart des juridictions — est défavorable au paiement : payer alimente l’écosystème criminel, ne garantit pas la restitution des données, et peut exposer l’entreprise à des sanctions si l’attaquant est sur une liste de personnes ou groupes sanctionnés.

Cette position de principe n’élimine pas la complexité opérationnelle. Dans certaines configurations — données critiques compromises, défaut de sauvegardes exploitables, interruption d’activité catastrophique — la décision de payer ou non est arbitrée au plus haut niveau, avec validation juridique stricte et parfois après consultation des autorités (ANSSI, parquet spécialisé).

Quelle que soit la décision, la doctrine de communication est claire : silence public sur la rançon pendant toute la phase aiguë.

Pourquoi ce silence ? Trois raisons.

Raison 1 — Pas de signal aux autres attaquants. Annoncer publiquement que l’entreprise refuse le paiement, ou qu’elle a payé, envoie un signal à l’écosystème criminel sur la posture de l’entreprise face à la pression. Ce signal peut influencer les attaques futures.

Raison 2 — Pas d’amplification médiatique. Les attaquants exploitent activement les médias. Annoncer publiquement la demande de rançon, même pour la refuser, valide médiatiquement le récit que l’attaquant essaie d’imposer. Il devient l’acteur central de l’histoire, ce qui renforce sa pression.

Raison 3 — Préservation des options. Tant que la décision de paiement ou de non-paiement n’est pas définitivement prise et exécutée, communiquer publiquement réduit les options de la cellule de crise.

Si la rançon devient publiquement connue — fuite par l’attaquant lui-même, qui publie souvent les coordonnées et les conditions de paiement —, la communication officielle de l’entreprise reste sobre : “Nous prenons connaissance des éléments diffusés. L’entreprise se conforme aux recommandations des autorités compétentes et ne commentera pas davantage à ce stade.”

Cette doctrine de silence sur la rançon doit être posée explicitement dans le plan de crise cyber, et rappelée à tous les membres de la cellule au moment du déclenchement.

Les sept formulations à bannir absolument en communication cyber

Au-delà des règles de rédaction, sept formulations spécifiques sont à proscrire dans toute communication cyber.

Formulation 1 — “Nous n’avons aucune raison de penser que les données ont été exfiltrées.” Cette formulation, courante, est presque toujours démentie par la suite. Lorsque les données apparaissent en vente sur un forum criminel quelques jours plus tard, la formulation devient un mensonge médiatique. La règle : ne jamais affirmer une absence d’exfiltration tant que l’enquête n’est pas terminée.

Formulation 2 — “Nos systèmes sont entièrement sécurisés.” L’évidence est désagréable : si une attaque a réussi, vos systèmes n’étaient pas entièrement sécurisés. Cette formulation est lue comme un déni de réalité.

Formulation 3 — “Cette attaque était d’une sophistication exceptionnelle.” Sauf cas avéré (attaque étatique de haut niveau confirmée par les autorités), cette formulation est interprétée comme une excuse et elle attire l’attention d’autres attaquants qui voudront vérifier la “sophistication” de leurs propres méthodes contre vos défenses.

Formulation 4 — “Aucun de nos clients n’a subi de préjudice à ce jour.” Tant que l’enquête n’est pas terminée et que le délai de manifestation des préjudices (utilisation frauduleuse des données, phishing dérivé, etc.) n’est pas écoulé — typiquement plusieurs mois —, cette affirmation est imprudente.

Formulation 5 — “Les pertes financières sont limitées.” Les pertes d’une cyberattaque se mesurent sur des mois, parfois des années (coûts directs de réponse, coûts de notification, dépréciation de la marque, perte de clients, sanctions réglementaires éventuelles). Toute évaluation précoce sera révisée à la hausse.

Formulation 6 — “Nous avons immédiatement détecté et stoppé l’attaque.” Sauf cas exceptionnel d’attaque très grossière, l’enquête révèle presque toujours que l’attaquant était présent dans le système plusieurs jours, semaines, parfois mois avant la détection. Affirmer une réaction immédiate sera contredit.

Formulation 7 — “Nous coopérons pleinement avec les autorités.” Formule rituelle, faible communicationnellement (que ferait l’entreprise sinon ?), et qui peut être contredite si une partie des coopérations s’avère plus complexe que cette affirmation laisse entendre. Mieux vaut nommer factuellement ce qui est fait : “Les notifications réglementaires ont été engagées. L’entreprise est en lien avec les autorités compétentes pour la suite des opérations.”

La répartition des rôles dans la cellule de crise cyber

La cellule de crise cyber comporte quelques spécificités par rapport au modèle standard détaillé dans Cellule de crise : qui doit être dans la pièce, qui ne doit surtout pas y être.

Le RSSI (responsable de la sécurité des systèmes d’information). Membre permanent de la cellule pendant toute la phase aiguë. Il porte la lecture technique de l’attaque, dirige l’équipe de réponse technique en parallèle, et apporte à la cellule de crise les informations validées sur le périmètre, l’origine, la nature de l’attaque. Il est probablement le rôle le plus structurant de la cyber-crise.

Le DSI (directeur des systèmes d’information). Présent en cellule pour piloter la dimension opérationnelle de la réponse — restauration des systèmes, continuité d’activité technique, coordination avec les prestataires.

Le DPO (délégué à la protection des données). Indispensable dès lors que des données personnelles sont concernées. Il pilote la notification CNIL, la qualification des données touchées, la communication aux personnes concernées. Sa présence est requise par le cadre du RGPD, mais elle est aussi structurante dans la coordination interne.

L’avocat spécialisé en cyber. Distinct, dans les grandes entreprises, de l’avocat habituel. Sa présence apporte la lecture précise des obligations réglementaires, la stratégie de réponse aux régulateurs, l’arbitrage sur les questions sensibles (rançon, attribution, communication aux victimes).

Le DirCom et le porte-parole. Rôles standards, avec la précaution supplémentaire que le porte-parole doit être préparé à une terminologie technique qui dépasse celle des crises classiques. Voir Porte-parole de crise : pourquoi ce n’est (presque) jamais le PDG — la règle générale s’applique : pour une cyber-crise, le porte-parole de phase 1 est généralement le RSSI ou le DSI, pas le PDG.

Le directeur des risques (CRO si la fonction existe). Apporte la coordination avec l’assureur cyber (lorsqu’il existe une police), la lecture des conséquences financières, l’articulation avec la gestion des risques globale.

Optionnel selon les cas : le directeur juridique (pour les contentieux dérivés), le directeur des relations clients (pour la coordination des communications individuelles), le directeur financier (pour les sociétés cotées et l’information privilégiée).

L’articulation avec les prestataires externes

La cyber-crise mobilise typiquement plusieurs prestataires externes que les autres crises ne sollicitent pas. Cette articulation doit être préparée en amont.

Le prestataire de réponse à incident. Société spécialisée mobilisée pour les forensics, l’investigation technique, parfois la négociation avec les attaquants. Le contrat doit être pré-établi pour éviter de négocier sous pression. Les délais d’intervention doivent être connus.

L’assureur cyber. Si une police cyber existe, l’assureur doit être informé dans les délais contractuels (typiquement 24 à 72 heures). L’assureur peut imposer ses propres prestataires, ses propres procédures, et son intervention conditionne la prise en charge financière. La coordination avec l’assureur est gérée par le directeur des risques ou le secrétaire général.

Les autorités. ANSSI, CERT-FR, CNIL, parquet spécialisé (JUNALCO en France pour la criminalité organisée), autorités sectorielles. Les contacts directs sont préparés à l’avance, et les premiers signalements interviennent dans les délais réglementaires.

Les partenaires impactés. Si la cyberattaque touche des clients, des fournisseurs, des partenaires intégrés au système d’information, leur information rapide est nécessaire — à la fois pour des raisons éthiques et pour limiter les contestations ultérieures sur le délai de notification.

FAQ — Communication de crise cyber

Combien de temps avant de communiquer publiquement après une cyberattaque ?

Cela dépend du type d’attaque et de la pression médiatique. Si l’attaque est confidentielle et que l’enquête peut progresser sans pression, un délai de 24 à 72 heures permet de stabiliser la communication. Si l’attaque est déjà publique (revendication par l’attaquant, fuite médiatique), une communication initiale type “accusé de réception” est nécessaire dans les heures qui suivent. Dans tous les cas, les notifications réglementaires précèdent la communication publique.

Faut-il révéler le montant de la rançon demandée si la presse pose la question ?

Non. La règle est de ne pas commenter publiquement les éléments relatifs à une éventuelle demande de rançon, indépendamment de la décision de paiement. Si la presse pose la question, la formulation type est : “Sur ce point, nous ne ferons pas de commentaire public, conformément aux recommandations des autorités compétentes.” Voir notre article « No comment » en communication de crise : le piège juridique qui devient un piège médiatique pour les alternatives à la formule sèche.

Faut-il communiquer sur l’identité supposée des attaquants ?

Non, en règle générale, et certainement pas dans la phase aiguë. L’attribution d’une attaque est juridiquement délicate, techniquement complexe, et politiquement sensible (notamment quand un acteur étatique est suspecté). La formulation prudente : “L’enquête en cours vise à caractériser l’origine de l’attaque. Les conclusions seront partagées en lien avec les autorités.” L’attribution publique, lorsqu’elle est faite, intervient typiquement plusieurs semaines ou mois après les faits, et elle est portée prioritairement par les autorités, pas par l’entreprise.

Comment gérer les questions des journalistes sur les vulnérabilités exploitées ?

La règle est de ne pas révéler publiquement les vulnérabilités techniques précises tant que les correctifs n’ont pas été déployés à grande échelle (chez l’entreprise et chez les autres potentielles victimes). Cette pratique est conforme à la doctrine de “responsible disclosure” en sécurité informatique. La formulation type : “Les éléments techniques précis sont partagés avec les autorités compétentes (ANSSI, CERT) dans le cadre des procédures de coordination prévues. Une communication plus détaillée pourra intervenir une fois ces processus terminés.”

La cellule de crise cyber doit-elle être différente de la cellule de crise classique ?

Pas nécessairement, mais elle doit être adaptée. La composition (présence du RSSI, DSI, DPO, avocat cyber) est spécifique. La cadence des points de situation est plus rapide en phase aiguë (toutes les heures plutôt que toutes les deux heures). Le lieu peut être distinct si la cellule technique a sa propre war room dédiée à la réponse opérationnelle. L’idéal est d’organiser deux cellules articulées — la cellule technique (RSSI et équipes de réponse) et la cellule de crise communicationnelle (modèle standard) — avec une coordination explicite entre les deux.

La communication cyber est une discipline à part entière

La cyber-crise concentre, sous une forme intensifiée, l’ensemble des défis de la communication de crise — cinétique rapide, exposition juridique, pression médiatique, dimension internationale, technicité du sujet, multiplicité des parties prenantes. Les méthodologies génériques de communication de crise ne suffisent pas à la traiter ; elles doivent être complétées par une doctrine spécifique qui intègre les contraintes propres à l’univers numérique.

Six étapes chronologiques structurent la réponse : détection et qualification, confinement et activation, notifications réglementaires, communication aux personnes concernées, communication publique, communication post-crise. Cinq règles de rédaction protègent l’entreprise contre l’amplification de l’attaque par la communication elle-même. Sept formulations doivent être bannies. Une doctrine claire sur la rançon impose le silence public pendant la phase aiguë. Une cellule de crise spécifique articule expertise technique, expertise juridique et expertise communicationnelle.

Toute entreprise est aujourd’hui exposée à la cyber-crise, indépendamment de sa taille et de son secteur. La préparation de cette dimension dans le plan de crise n’est plus une option — elle est une condition de la résilience. Cette préparation s’éprouve en simulation (voir Le « war game » de crise : organiser une simulation crédible chaque année), elle se valide en revue annuelle, et elle se met à jour à mesure que les cadres réglementaires et les techniques d’attaque évoluent. Sans cette préparation spécifique, l’entreprise qui découvre la cyber-crise au moment où elle se déclenche subira deux fois plus de dégâts que celle qui s’y était préparée.