Hotline
Hotline
Appelez-nous : +33 1 79 75 70 05
Télécharger notre brochure
Lire notre BD
Actualités

Dictionnaire 2026 de la communication de cyber-crise

18 avril 2026
/
FAQ, Communication de crise
/
17 minutes de lecture
Appelez-nous : +33 1 79 75 70 05
Télécharger notre brochure
Lire notre BD
Sommaire

dpakzpdkazpodkzap

A

Analyse de compromission (ce qui peut être dit avant conclusion). Tant que l’analyse de compromission n’est pas terminée, aucun volume de données, aucune liste de personnes touchées, aucun scénario d’intrusion ne peut être affirmé publiquement avec certitude. La communication des premières heures doit dire « nous enquêtons pour déterminer précisément l’étendue de l’incident » sans jamais avancer de chiffres qui seront corrigés ensuite à la hausse. Un démenti ultérieur d’un chiffre initialement sous-estimé est pire que l’absence de chiffre.

ANSSI (relation institutionnelle à préserver). La communication publique d’une entreprise attaquée doit être alignée avec celle de l’ANSSI quand l’agence est saisie. Publier un communiqué qui contredirait les analyses techniques de l’ANSSI serait perçu comme une défiance institutionnelle et pourrait fragiliser la relation de long terme avec l’agence. La règle est de partager l’architecture narrative avec l’ANSSI avant diffusion, dans la mesure où la rapidité le permet.

APT (niveau d’attribution à ne pas franchir). Attribuer publiquement une attaque à un groupe APT (advanced persistent threat) étatique relève d’une compétence régalienne. Une entreprise qui attribuerait elle-même l’attaque à tel ou tel groupe s’expose à des contentieux internationaux, à des répliques informationnelles, et à la contestation d’une hypothèse non corroborée. La formule qui protège est : « les analyses techniques suggèrent un acteur sophistiqué et organisé, dont l’identification relève des autorités compétentes ».

Attaque (choix du mot et de ses synonymes). Les mots « attaque », « incident », « événement de sécurité », « compromission » n’ont pas la même portée ni la même charge juridique. « Attaque » désigne un acte intentionnel adverse ; « incident » est neutre ; « événement de sécurité » est le terme technique de l’ANSSI. Choisir le bon mot dans le premier communiqué conditionne toute la suite : il doit être tenu pendant toute la durée de la crise, sans glissement.

B

Backdoor (révélation à manier). Reconnaître publiquement la présence d’une porte dérobée dans ses systèmes suppose des précautions : indiquer si elle a été exploitée, si elle est aujourd’hui fermée, si d’autres systèmes pourraient être affectés. Une communication partielle sur une backdoor génère systématiquement des questions de suivi auxquelles il faudra répondre sur plusieurs semaines.

Bug bounty (argument rassurant à double tranchant). Mentionner un programme de bug bounty est souvent utilisé pour démontrer la maturité de la posture cybersécurité. Mais en situation de crise, cet argument peut se retourner : si la faille exploitée aurait pu être signalée et ne l’a pas été, la communication qui met en avant le programme attire l’attention sur son échec.

C

Chaîne d’approvisionnement (exposition par ricochet). Quand l’attaque passe par un fournisseur technologique (éditeur logiciel, prestataire cloud, MSP), la communication doit gérer une double responsabilité : vis-à-vis de ses propres clients et vis-à-vis du fournisseur compromis. Charger publiquement le fournisseur est tentant mais crée un contentieux commercial immédiat ; ne pas le nommer quand son identité est publique est illisible. La formulation qui tient consiste à décrire factuellement la chaîne sans commentaire moral.

Chiffrement (terme à expliquer au grand public). Annoncer que « les données sont chiffrées » peut vouloir dire deux choses opposées : soit qu’elles sont protégées (chiffrement au repos), soit qu’elles sont prises en otage (chiffrement par un rançongiciel). Utiliser le mot sans contextualisation immédiate est une source classique de confusion pour les journalistes généralistes, qui peut produire des titres hostiles.

CISO (porte-parole à dimensionner). Le directeur de la sécurité des systèmes d’information peut être tenté de porter lui-même la parole technique. C’est rarement une bonne idée en crise médiatisée : sa parole doit être crédible pour les pairs techniques, mais son exposition directe face à des journalistes non spécialisés produit souvent des malentendus. La règle est de garder le CISO en briefeur, et de faire porter la parole par le dirigeant, coaché par le CISO.

CNIL (notification à 72 heures et ses suites). La notification à la CNIL d’une violation de données personnelles a une obligation de délai (72 heures) et une obligation de contenu. Elle est généralement confidentielle mais son existence peut devenir publique. La communication externe doit être préparée en parallèle de la notification, pas après : ce qui est déclaré à la CNIL fixe le périmètre de ce qui devra être dit publiquement si l’affaire sort.

Compromission (annonce progressive). La compromission se révèle par vagues : d’abord on détecte l’intrusion, puis on en mesure l’étendue, puis on identifie les données exfiltrées, puis on identifie les personnes concernées. La communication doit accompagner cette progression sans l’anticiper. Une annonce initiale rassurante démentie trois semaines plus tard par une révélation d’ampleur est le schéma de crise cyber le plus coûteux.

Confinement (mot à interpréter en cyber). En cyber, « confiner » un système signifie l’isoler du réseau pour empêcher la propagation. Communiquer qu’un système a été « confiné » peut être lu comme un aveu d’inaccessibilité par les clients. La formulation qui combine les deux lectures est : « nous avons procédé à l’isolement contrôlé de certains systèmes pour empêcher toute extension, ce qui entraîne une indisponibilité temporaire que nous travaillons à résorber ».

Cryptolocker (vocabulaire grand public et technique). Le terme « cryptolocker » est encore utilisé dans la presse grand public pour désigner les rançongiciels en général, alors qu’il désignait historiquement une famille précise. La communication technique doit corriger cette approximation sans paraître pédante, pour éviter les confusions qui amplifient la panique des clients.

Cyberassurance (mention à peser). Confirmer publiquement disposer d’une cyberassurance peut rassurer les actionnaires mais peut aussi être interprété par les attaquants comme une incitation à exiger une rançon élevée. La communication en situation active ne mentionne généralement pas l’assurance tant que la négociation n’est pas close.

D

Dark web (ce qu’on ne communique jamais). Les informations qui circulent sur les marchés du dark web (annonces d’attaquants, échantillons de données exfiltrées, revendications) ne doivent pas être relayées ou amplifiées dans la communication officielle de l’entreprise. Les citer donne de la visibilité aux attaquants et peut contrevenir à des règles imposées par les autorités. La posture est de ne jamais nommer ces sources publiquement et de laisser les journalistes les traiter sans intervention.

Data breach (terme juridiquement codifié). Le terme « data breach » au sens du RGPD a une définition technique précise. L’employer dans un communiqué engage automatiquement l’entreprise sur l’existence d’une violation de données personnelles, avec les obligations de notification qui en découlent. Utiliser le terme de manière approximative dans les médias anglo-saxons alors qu’on conteste le périmètre en France est une incohérence coûteuse.

Déchiffrement (capacité à ne pas promettre). Annoncer que « les systèmes seront restaurés prochainement » sans maîtriser le processus de déchiffrement ou de reconstitution est un piège classique. Les délais de rétablissement après rançongiciel sont typiquement beaucoup plus longs que les estimations initiales. Mieux vaut communiquer une fourchette large que devoir reporter publiquement une promesse courte.

Déni de service (formulation pour le client final). Une attaque par déni de service distribué se traduit pour les clients par une indisponibilité du service. La communication doit traduire sans euphémisme : « votre espace client est actuellement inaccessible » plutôt que « des perturbations techniques affectent nos services ». La précision rassure, l’euphémisme irrite.

Détection (délai à assumer). Révéler combien de temps s’est écoulé entre l’intrusion et sa détection est une obligation qui finit souvent par s’imposer. Un délai long, s’il sort dans la presse sans avoir été préparé, est interprété comme une négligence grave. Mieux vaut l’annoncer soi-même, en l’expliquant, plutôt que le laisser sortir par un journaliste d’investigation.

E

Escalade de privilèges (élément technique à vulgariser). Mentionner dans un communiqué qu’une « escalade de privilèges a été utilisée » est incompréhensible pour un client non technicien. Il faut traduire : « l’attaquant a pu obtenir des droits d’administration élevés qui ont permis… ». La vulgarisation est une exigence démocratique et une protection contre la panique mal informée.

Exfiltration (mot qui change la nature de la crise). Annoncer qu’il y a eu exfiltration de données n’a pas la même portée qu’annoncer un simple chiffrement. L’exfiltration déclenche des obligations de notification aux personnes concernées, une exposition bien plus large, et souvent un basculement médiatique. Il ne faut ni la dissimuler ni la sur-annoncer : la confirmation doit intervenir au moment où les analyses forensiques permettent de la documenter précisément.

F

Faille (reconnaissance à graduer). Reconnaître une faille est souvent nécessaire, mais il faut distinguer la faille logicielle connue non corrigée (grief de négligence) de la faille zero-day (grief atténué par la nouveauté). La communication précise cette distinction pour ne pas subir le pire des deux registres.

Forensique (calendrier qu’il faut assumer). L’analyse forensique prend typiquement des jours ou des semaines. Communiquer sous pression médiatique une version provisoire qui sera rectifiée par le rapport forensique final est un piège récurrent. La formule protectrice est : « les éléments disponibles à ce stade indiquent… Le rapport forensique en cours permettra de confirmer ou d’affiner ces premières conclusions. »

G

Gel des comptes (annonce anxiogène à manier). Si l’attaque conduit à suspendre temporairement l’accès des clients à leurs comptes ou à leurs fonds, la communication doit expliquer que ce gel est une mesure de protection et non une perte. Le vocabulaire bancaire (« blocage », « suspension », « gel ») a des connotations qui méritent un tri soigneux avant diffusion.

H

Hameçonnage (explication du vecteur initial). Si l’intrusion a pour origine un hameçonnage réussi sur un salarié, la communication doit gérer un double enjeu : ne pas désigner publiquement le salarié victime, tout en reconnaissant le vecteur pour expliquer les mesures correctives. La formule « le vecteur initial a été identifié comme un courriel malveillant » protège sans dissimuler.

I

Indicateurs de compromission (partage avec la communauté). Les IoC (indicators of compromise) sont généralement partagés avec les CERT et les pairs sectoriels pour permettre la défense collective. Ce partage est un argument communicationnel positif : il peut être mentionné pour montrer que l’entreprise contribue à la protection du secteur plutôt que de se replier défensivement.

Indisponibilité (communication client prioritaire). Quand une attaque rend un service indisponible, la priorité absolue est le message aux clients directement affectés : que puis-je faire, quand sera-ce rétabli, à quel numéro puis-je appeler. Les communiqués de presse généraux viennent après, pas avant. Inverser l’ordre est une erreur classique qui cristallise l’hostilité des clients avant même que la presse ne s’empare du sujet.

Intrusion (moment de la révélation). Le moment où l’entreprise confirme publiquement une intrusion est stratégique. Confirmer trop tôt, avant d’avoir les éléments, expose à des démentis ultérieurs. Confirmer trop tard, après que l’attaquant a publié ses preuves, expose à l’accusation de dissimulation. La fenêtre utile est généralement de 24 à 72 heures après détection, selon la nature de l’attaque.

J

Journalisation (ce qu’elle permet de dire). Disposer de journaux (logs) complets permet de répondre avec précision aux questions sur l’étendue de la compromission. Leur absence ou leur altération par les attaquants impose une communication plus prudente : « certains éléments ne pourront être établis avec certitude en raison de l’altération des journaux par l’attaquant ». Cette mention protège contre les accusations ultérieures d’avoir caché l’ampleur.

L

Leak (revendication à ne pas amplifier). Quand un groupe de rançongiciel publie un « leak » ou une revendication sur son site, la tentation de répondre point par point est mauvaise. Répondre publiquement à chaque publication de l’attaquant l’installe comme interlocuteur légitime. Le traitement doit passer par les autorités et par les avocats, pas par le communiqué.

Log (registre qu’on ne partage pas). Les logs techniques ne sont pas des éléments de communication grand public. Les partager ou même les décrire en détail peut fournir aux attaquants des informations sur les capacités de détection. La règle est la discrétion : on parle d’analyses, pas de logs.

M

Marge de remédiation (capacité à ne pas s’engager sur un délai). La remédiation complète d’une attaque majeure prend des mois, parfois des années. La communication doit distinguer la reprise opérationnelle (jours ou semaines) de la remédiation complète (moyen terme). Ne pas opérer cette distinction expose à des accusations d’inaction sur le long terme alors que les opérations ont repris.

Mot de passe (recommandation piège). Conseiller aux clients de « changer leur mot de passe » par précaution est une demande qui leur coûte du temps et de l’énergie. Elle doit être soit évitée (en annonçant que l’entreprise force elle-même le renouvellement), soit justifiée précisément. Demander le changement sans expliquer irrite autant que l’attaque elle-même.

N

Négociation (silence opérationnel). Pendant qu’une négociation avec des attaquants est en cours — confiée à des négociateurs spécialisés —, la communication publique doit se tenir à l’écart de tout ce qui pourrait influencer la négociation : montants, délais, positions. Un communiqué qui révélerait l’existence d’une négociation peut faire monter les prétentions des attaquants de manière significative.

NIS2 (obligations qui impactent la parole). La directive NIS2 impose à certains opérateurs des obligations de notification rapide aux autorités, et des obligations de publication dans certains cas. La communication doit être cartographiée selon ces obligations : ce qui doit être déclaré à qui, sous quel format, dans quel délai. Une communication publique qui contredirait une notification NIS2 serait catastrophique.

O

OSINT (renseignement ouvert à connaître). Les journalistes d’investigation et les chercheurs en sécurité exploitent l’OSINT (open source intelligence) pour documenter les attaques. Savoir ce qui peut être reconstitué par OSINT sur son propre dossier permet d’anticiper les révélations et de ne pas être surpris par des articles qui recoupent des éléments que l’entreprise croyait confidentiels.

P

Patch (vocabulaire technique compréhensible). Communiquer sur l’application d’un « patch de sécurité » n’a de sens pour le grand public que si on explique ce qu’est un patch et pourquoi il n’était pas déjà appliqué. L’aveu d’un patch non appliqué quand il était disponible est un grief lourd ; il faut le gérer avec transparence plutôt que de le laisser sortir par un journaliste spécialisé.

Pentest (argument de diligence). Mentionner les tests d’intrusion réguliers conduits par l’entreprise est un argument de diligence crédible quand il est documenté. Attention cependant à ne pas créer un paradoxe : « nous faisons des pentests tous les trimestres, mais cette attaque n’a pas été anticipée ». L’usage de l’argument suppose d’expliquer pourquoi les pentests n’ont pas détecté la vulnérabilité exploitée.

PII (terme à adapter selon le public). « Personally identifiable information » est un terme anglo-saxon qui n’a pas exactement le même périmètre que la notion française de « données à caractère personnel ». Les entreprises internationales doivent veiller à la cohérence entre leurs communications en anglais et en français pour ne pas créer de contradiction réglementaire.

Q

Quarantaine (mesure à expliquer). Placer des systèmes en quarantaine est une mesure défensive classique qui impacte les utilisateurs. La communication doit éviter le jargon médical (qui inquiète) et préférer la formulation opérationnelle : « certains systèmes sont temporairement isolés le temps des vérifications de sécurité ». Le mot « quarantaine » lui-même est à éviter dans les communiqués grand public.

R

Rançongiciel (mot à assumer). Utiliser le mot « rançongiciel » (ou « ransomware ») dans un communiqué est devenu inévitable pour nommer l’attaque. Le contourner par des euphémismes (« incident technique », « dysfonctionnement ») détruit la crédibilité dès que le vrai mot sort par une autre source. La règle est de nommer et de contextualiser dès le premier communiqué important.

Rançon (position publique à tenir). La décision de payer ou ne pas payer une rançon ne se communique pas, en général, pendant la négociation. Après résolution, certaines entreprises font le choix de la transparence (« nous n’avons pas payé ») comme argument éthique ; d’autres préfèrent le silence. Le pire est une position changeante qui alimentera les soupçons dans les deux sens.

Reprise d’activité (communication progressive). La reprise après une cyberattaque se fait par paliers : systèmes critiques d’abord, puis systèmes secondaires, puis services annexes. La communication doit accompagner ces paliers en expliquant à chaque client ce qui est rétabli pour lui et ce qui reste indisponible. Un message global flou génère des milliers d’appels clients qui débordent le service support.

S

Sandbox (explication à réserver aux pairs). Le terme « sandbox » — environnement d’exécution isolé pour l’analyse — est à réserver aux publics techniques. Dans la communication grand public, parler d’« environnement d’analyse sécurisé » suffit et évite l’effet de jargon.

SCADA (gravité implicite). Quand une attaque touche des systèmes SCADA industriels, la gravité potentielle — atteinte à la sécurité physique, dommages environnementaux — change radicalement la communication. Il faut s’adresser à des publics différents : autorités de tutelle, riverains, salariés du site, régulateur sectoriel. Le risque physique justifie une communication plus proactive que pour une attaque purement tertiaire.

Segmentation (terme qui rassure mais engage). Mentionner que le réseau est « segmenté » pour expliquer pourquoi l’attaque n’a pas tout compromis est rassurant mais engage l’entreprise : si une seconde compromission montre que la segmentation était insuffisante, la communication initiale se retourne. Mieux vaut factualiser (« les mesures de cloisonnement ont permis de contenir… ») que revendiquer une architecture parfaite.

SOC (rôle à positionner sans exposition). Le centre opérationnel de sécurité (SOC) est généralement mentionné pour décrire les capacités de détection. Son exposition excessive peut créer des attentes — si on a un SOC, pourquoi n’a-t-on pas vu venir ? — qu’il faudra gérer. Évoquer le SOC sans en faire un argument rhétorique est plus prudent.

Supply chain attack (responsabilité à partager). Quand l’attaque passe par un fournisseur logiciel, la qualification de « supply chain attack » permet de contextualiser sans exonérer. Elle situe l’incident dans une famille d’attaques documentée, connue des journalistes spécialisés, et évite de porter seul la responsabilité d’une défaillance qui touche aussi le fournisseur et parfois tout un secteur.

T

Transparence (dosage en cyber). La transparence absolue en cyber-crise n’est ni possible (certaines informations sont classifiées ou compromettent l’enquête) ni souhaitable (elle peut bénéficier à l’attaquant). Le dosage se construit avec l’ANSSI, les avocats et les autorités : ce qui peut être dit quand, à qui, avec quel degré de précision. « Transparence responsable » est une formule qu’on peut revendiquer pour expliquer ce cadre.

V

Vecteur d’attaque (description à assumer). Le vecteur d’attaque finit généralement par être connu : hameçonnage, exploitation de vulnérabilité, compromission d’identifiants, ingénierie sociale. L’assumer soi-même plutôt que laisser les médias le reconstituer est presque toujours plus efficace, à condition de le faire quand le vecteur est confirmé, pas pendant les premières hypothèses.

VPN (objet de questions techniques). Les compromissions via VPN sont fréquentes et font l’objet de questions précises des journalistes spécialisés. La communication doit être préparée à expliquer si le VPN de l’entreprise était à jour, configuré selon les bonnes pratiques, protégé par une authentification à plusieurs facteurs. Ces éléments doivent être documentés avant toute sortie médiatique.

Vulnérabilité publique (CVE et calendrier). Quand la vulnérabilité exploitée fait l’objet d’un CVE public depuis plusieurs mois, le grief de négligence devient lourd. La communication doit l’assumer sans chercher à dissimuler le délai entre la publication du CVE et l’attaque, car ce délai sera reconstitué par les spécialistes dans les jours qui suivent.

Z

Zero-day (argument atténuant à documenter). Être victime d’une attaque zero-day — exploitant une vulnérabilité non encore publique — est l’argument le plus atténuant dans le vocabulaire cyber. Mais il faut pouvoir le documenter : l’éditeur concerné doit confirmer le caractère zero-day, un CVE doit être publié après coup, la chronologie doit être claire. Revendiquer un zero-day non confirmé est une des plus mauvaises communications possibles.

Pour le versant discursif général, consultez le Dictionnaire 2026 de la communication de crise. Pour le versant opérationnel, le Dictionnaire 2026 de la gestion de crise. Pour le versant procédural, le Dictionnaire 2026 de la communication sous contrainte judiciaire. Pour le versant durabilité, le Dictionnaire 2026 de la communication ESG.