Ransomware & extorsion : communiquer quand l’attaquant orchestre le storytelling

Il y a une scène que beaucoup de COMEX connaissent désormais, même s’ils ne l’ont pas vécue directement. L’entreprise se bat pour restaurer, isoler, comprendre. Et, pendant ce temps, un autre récit s’écrit ailleurs, sur un site de fuite, derrière un compteur, sous la signature d’un pseudonyme. Dans ce récit, l’attaquant n’est pas seulement un criminel : il se met en scène en arbitre, en procureur, parfois en “service client” cynique. Il prétend détenir les faits, dicter les délais, fixer les conséquences, attribuer les responsabilités. Et il le fait avec une discipline qui ressemble à de la communication de crise… mais du côté adverse.

Ce renversement est l’un des marqueurs contemporains du ransomware analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom. Les agences de réponse à incident et les autorités ont un vocabulaire très sobre pour le décrire : “data leak sites”, “double extorsion”, “multi-extorsion”. Derrière ces termes, il y a une réalité plus brutale : l’extorsion moderne n’attaque pas seulement vos systèmes, elle attaque votre capacité à produire un récit crédible. Et si vous laissez l’attaquant prendre l’initiative narrative, vous vous retrouvez à gérer, en plus de l’incident, une crise de confiance accélérée par un calendrier que vous n’avez pas choisi.

Quand le crime devient une opération média

L’extorsion s’est structurée comme une industrie avec ses plateformes. Le spécialiste de la gestion de crise résume la mécanique avec une précision clinique : les “data leak sites” sont des sites qui publient les données volées d’organisations qui refusent de payer une rançon, et l’information qu’on y observe est biaisée par construction, puisqu’elle reflète surtout les cas où la rançon n’a pas été payée. Cette phrase dit beaucoup plus que ce qu’elle semble dire. Elle signifie que la publication n’est pas seulement un moyen de pression : c’est un dispositif de mise en visibilité. La fuite devient un spectacle, une preuve, parfois une humiliation ritualisée.

Les grandes affaires ont rendu ce dispositif tangible pour le grand public. Lors de l’opération internationale contre LockBit, Reuters rappelait ce que ces sites affichent : une galerie de victimes qui s’allonge, des horloges qui comptent les jours restants avant l’ultimatum. Quand les forces de l’ordre ont pris le contrôle, elles ont remplacé le message et le compteur, retournant contre le groupe sa propre dramaturgie. Le détail, en apparence anecdotique, est décisif : le ransomware moderne a une interface, un tempo, une “mise en page”. Ce n’est pas un hasard. C’est une arme psychologique.

Certaines organisations criminelles poussent la logique plus loin encore, jusqu’à l’outillage “presse”. Des analyses publiques ont documenté des plateformes d’extorsion proposant une zone dédiée aux journalistes, avec accès anticipé aux “nouvelles” de futures victimes — un dispositif pensé pour influencer la couverture médiatique et augmenter la pression. Même si tous les groupes ne vont pas jusque-là, la tendance est claire : l’attaquant travaille la diffusion autant que l’intrusion.

Et cette diffusion est scénarisée. L’Associated Press décrivait récemment, à propos de la menace “Medusa”, une mise en scène typique : un site de fuite qui affiche les victimes, un compte à rebours vers la publication, des demandes de rançon publiées avec liens vers des portefeuilles crypto, et même la possibilité de payer pour “ajouter un jour” au compteur. À ce niveau, on ne parle plus seulement de chantage. On parle de gestion du temps comme instrument de domination, et de communication comme composante intégrée du modèle économique.

Pourquoi votre silence n’est plus neutre

Dans une crise classique, l’entreprise choisit souvent de “gagner du temps” pour vérifier les faits avant de parler. En extorsion, le temps n’est pas un espace neutre : c’est un vide que l’attaquant remplit. Le silence devient un avantage concurrentiel pour la narration criminelle.

La raison est simple. L’attaquant n’a pas besoin de tout prouver pour être cru ; il lui suffit de créer l’illusion de la maîtrise. Il publie un échantillon, une capture d’écran, un nom de fichier, une adresse e-mail. Il parle avec aplomb, même quand il exagère. Il affirme “nous avons tout”, “nous avons 10 téraoctets”, “nous avons les données de vos clients”. Et la mécanique médiatique fait le reste : l’accusation se diffuse plus vite que la réfutation.

Surtout, le ransomware contemporain est très souvent adossé à l’exfiltration. Microsoft observe, dans son rapport 2025, que plus de la moitié des cyberattaques dont le mobile est connu visent des objectifs financiers comme l’extorsion ou la rançon, et que la collecte de données est devenue un objectif central, observée dans une grande majorité d’interventions réactives. Autrement dit, même lorsque l’entreprise restaure rapidement, la question des données — et donc la question du récit — demeure.

Le basculement stratégique des attaquants le confirme. Sophos note, dans ses publications récentes, une baisse des taux de chiffrement dans certaines catégories d’organisations et, en parallèle, une montée des tactiques d’extorsion reposant davantage sur le vol de données. Dans les organisations “enterprise” interrogées, l’éditeur relève une baisse sensible de la part d’attaques aboutissant au chiffrement, tandis que la capacité à stopper l’attaque avant chiffrement progresse. Dans l’industrie manufacturière, Sophos décrit explicitement une montée des attaques “extortion-only” et une pression accrue par le vol de données, avec une progression marquée de ce mode opératoire sur un an.

Le résultat, pour la communication, est mécanique : si l’attaque n’est plus toujours “service indisponible”, mais “données potentiellement exposées”, alors le débat public se déplace de la continuité opérationnelle vers la confiance, la responsabilité, la protection des clients, et le soupçon de négligence.

L’attaquant écrit votre rôle dans son scénario

Le storytelling d’extorsion fonctionne comme une pièce à deux personnages : le groupe se présente comme détenteur de la vérité, et vous attribue un rôle. Ce rôle est rarement flatteur. Il peut être celui de l’entreprise arrogante qui “refuse de payer et met ses clients en danger”. Il peut être celui de l’entreprise incompétente qui “n’a même pas vu l’intrusion”. Il peut être celui de l’entreprise cynique qui “cache tout”. Et il s’appuie sur des leviers de peur très contemporains : réputation, conformité, sanctions, class actions, perte de clients.

L’ENISA note, par exemple, que certains ransom notes ont déjà instrumentalisé le risque de sanctions RGPD pour augmenter la pression dans la négociation. Le message implicite est extrêmement efficace : “Vous paierez de toute façon, alors payez-nous d’abord.” Qu’il soit vrai ou abusif importe moins que sa capacité à contaminer la perception.

L’ENISA décrit également l’évolution vers la “multi-extorsion”, où l’on ajoute à l’exfiltration et au chiffrement des actions conçues pour amplifier l’impact, comme des attaques DDoS ou des défacements, afin d’augmenter la douleur et l’urgence. Là encore, l’enjeu n’est pas uniquement technique : c’est l’intensification du décor, la fabrication d’une crise visible, difficile à minimiser.

Enfin, l’attaquant vise parfois le prestige autant que l’argent. Reuters rapportait, à propos d’une attaque ayant causé des perturbations aéroportuaires en Europe, que certains acteurs cherchent des cibles plus “visibles” et plus disruptives, en partie pour le gain financier, en partie pour la réputation au sein des communautés criminelles. Ce point est crucial : quand l’attaquant veut aussi de la notoriété, il a intérêt à faire parler de vous. Votre crise devient, pour lui, un actif de marque.

L’erreur classique : communiquer comme si l’on était seul à parler

Dans les crises cyber, on voit encore trop souvent des réponses qui supposent que le public n’entend que l’entreprise. Or, en extorsion, la situation ressemble davantage à un débat où l’autre partie parle, publie, menace, et cherche la contradiction. Les réflexes habituels deviennent dangereux.

Le premier réflexe à risque est le déni prématuré. Dire “aucune donnée n’a été exfiltrée” quand l’enquête n’est pas finie, c’est s’offrir une contradiction future qui sera exploitée comme preuve de mensonge. Les groupes d’extorsion n’ont pas besoin de vous battre sur la technique ; il leur suffit de vous battre sur la cohérence.

Le deuxième réflexe à risque est la sur-promesse. Dire “tout est sous contrôle” alors que les équipes sont encore en mode triage, c’est s’exposer à l’érosion immédiate de crédibilité. La crédibilité, en extorsion, vaut plus que la rassurance.

Le troisième réflexe à risque est de reprendre le vocabulaire de l’attaquant. Reproduire ses menaces, citer ses textes, commenter ses “preuves”, c’est lui offrir une amplification gratuite. Il faut comprendre ce point comme un principe éditorial : vous ne faites pas la promotion d’un communiqué criminel, même pour le contredire.

Le quatrième réflexe à risque est d’abandonner le terrain par peur de “trop en dire”. En extorsion, l’enjeu n’est pas de tout dire ; c’est de donner suffisamment de faits vérifiables et utiles pour que vos parties prenantes aient une alternative crédible au récit adverse.

Une doctrine de communication en environnement hostile

Communiquer quand l’attaquant orchestre le storytelling suppose de renverser votre propre logique. Vous n’êtes pas en train de “raconter votre version” : vous êtes en train de reconstruire une autorité informationnelle. C’est une nuance de gouvernance, pas un détail de wording.

La première règle est de distinguer ce que vous savez, ce que vous ne savez pas encore, et ce que vous faites. Le public pardonne l’incertitude ; il pardonne beaucoup moins l’impression qu’on lui cache l’essentiel. La transparence utile n’est pas la transparence totale, c’est la transparence structurée.

La deuxième règle est d’installer un rythme. L’attaquant utilise des compteurs et des ultimatums ; vous devez opposer un calendrier de mises à jour. La discipline de la cadence est une arme. Elle réduit l’espace laissé aux rumeurs, et elle protège vos équipes : au lieu de répondre au bruit en continu, vous organisez la parole.

La troisième règle est de créer une source de vérité accessible et stable, où vous centralisez les informations, les mises à jour, et les recommandations aux clients. L’extorsion moderne vise souvent directement l’écosystème ; votre communication doit donc contenir, dès que possible, des éléments actionnables qui aident vos partenaires à se protéger. Cela répond à un besoin concret et, en même temps, cela démonte le récit implicite de l’attaquant selon lequel “l’entreprise ne fait rien”.

La quatrième règle est d’anticiper que tout ce que vous dites peut être retourné, et que tout ce que vous écrivez peut être divulgué. L’affaire LockBit “hacké à son tour”, avec la possibilité évoquée de fuites incluant des échanges entre le groupe et ses victimes, est une illustration utile : même les criminels peuvent perdre le contrôle de leurs propres données, et des éléments de négociation peuvent se retrouver exposés. Pour vous, cela doit se traduire par une discipline documentaire : parler et écrire comme si chaque message pouvait devenir public.

La cinquième règle est de traiter l’attaquant comme un acteur d’influence, pas seulement comme un acteur technique. Le COMEX doit intégrer, dans la cellule de crise, une compétence “narrative” au même titre que la compétence juridique et la compétence forensic. Ce n’est pas une coquetterie ; c’est une condition de maîtrise.

Le cas le plus délicat : l’extorsion sur données, ou la crise qui dure après le redémarrage

Les organisations découvrent souvent une vérité paradoxale : l’incident peut être “terminé” sur le plan opérationnel, et commencer sur le plan réputationnel. L’extorsion sur données est précisément conçue pour créer une seconde vague, plus longue, plus corrosive.

La communication, ici, doit éviter deux pièges symétriques. Le premier est de tout dramatiser sur la base d’allégations non vérifiées. Le second est de minimiser au point de paraître indifférent au risque client.

La bonne posture consiste à reconnaître l’existence d’une extorsion, sans valider les affirmations détaillées tant que l’enquête n’a pas stabilisé le périmètre. Elle consiste à dire ce que vous faites pour qualifier la situation, comment vous coopérez avec les autorités, et quelles mesures vous conseillez à vos clients selon des scénarios raisonnables. Cette communication “par scénarios” est essentielle : elle permet d’être utile sans être spéculatif.

Elle permet aussi de contrer un argument classique des groupes, qui misent sur la confusion. Quand un attaquant affirme “nous avons les données”, il veut que l’imagination fasse le reste. Vous devez ramener le débat sur des catégories de risques et des actions concrètes : mesures de vigilance, changements de mots de passe si nécessaire, surveillance d’activités suspectes, points de contact, procédures de signalement.

Ce terrain est d’autant plus important que la chaîne d’extorsion peut se complexifier. L’affaire Change Healthcare, aux États-Unis, a montré comment une crise pouvait être prolongée et reconfigurée. L’AP rapporte que l’entreprise a payé une rançon de 22 millions de dollars et a dû reconstruire, tout en admettant des lacunes de sécurité comme l’absence de MFA sur un serveur. IBM souligne qu’un paiement ne garantit pas le “retour” ou la maîtrise des données, et évoque même des tentatives d’extorsion supplémentaires liées à l’écosystème criminel. WIRED décrit, de son côté, la dimension narrative de cette crise : l’entreprise avait tenté de ne pas confirmer le paiement alors que des traces publiques existaient, et elle s’est retrouvée rattrapée par un récit alimenté par les criminels, les chercheurs et la visibilité de la blockchain.

La leçon, pour un COMEX européen, dépasse le cas américain : en extorsion, le “non-dit” est rarement durable. Et plus l’attaquant est capable de mettre en scène des “preuves”, plus la zone grise se transforme en soupçon.

Le sujet tabou : la rançon, et la communication autour de la décision

Beaucoup d’entreprises pensent que la question du paiement est strictement privée, et qu’elle ne concerne que la négociation. Dans la réalité, elle a un impact direct sur votre communication, parce qu’elle influence trois dimensions : la crédibilité, la posture morale perçue, et la probabilité d’une seconde vague.

Les données disponibles montrent que le paiement reste fréquent. Sophos indique, dans son analyse 2025, qu’une part significative d’organisations a payé la rançon pour récupérer des données, même si les taux varient selon les segments. Ce constat est important non pas pour juger, mais pour comprendre : dans l’opinion, il n’existe pas de récit simple et consensuel. Toute posture trop péremptoire se retourne.

La communication COMEX doit donc éviter deux déclarations absolues qui détruisent la marge de manœuvre. La première est “nous ne paierons jamais”, sauf si c’est une politique réelle, assumée, préparée, et soutenue par des capacités de résilience cohérentes. La seconde est “nous ne commentons pas”, quand l’écosystème dispose déjà d’indices ou que l’attaquant publie des éléments. L’affaire Change Healthcare illustre le coût réputationnel de ces hésitations : le décalage entre ce qui est visible et ce qui est dit devient un angle d’attaque.

Une communication mature, ici, ne consiste pas à étaler des détails de négociation. Elle consiste à encadrer la décision par des principes : priorité à la protection des patients/clients, coopération avec les autorités, actions de remédiation, soutien aux personnes impactées, et reconnaissance explicite qu’aucune option n’est “bonne”, seulement plus ou moins défendable. Le public ne demande pas un héroïsme de façade ; il demande une gouvernance lisible.

Reprendre l’initiative sans amplifier l’ennemi

Reprendre l’initiative narrative ne signifie pas “faire du bruit”. Cela signifie regagner la capacité de définir ce qui est important, ce qui est vrai, et ce qui est en cours. Dans une crise d’extorsion, cette reprise se joue sur trois terrains.

Le premier terrain est celui des faits vérifiables. Votre communication doit s’ancrer dans des éléments que vous pouvez soutenir : dates, périmètres, services affectés, actions de protection. La surenchère technique est inutile ; ce qui compte, c’est la vérifiabilité.

Le deuxième terrain est celui de l’empathie opérationnelle. Les attaquants cherchent souvent à vous présenter comme indifférent. Vous devez montrer l’inverse, sans tomber dans le pathos. Dans les crises à fort impact, le public se souvient moins du nombre de serveurs restaurés que de la manière dont l’entreprise a accompagné ses clients.

Le troisième terrain est celui de l’alliance. Les entreprises hésitent parfois à mentionner leur coopération avec les autorités, par peur d’“aggraver” la situation. Pourtant, le dispositif de lutte contre le ransomware est lui aussi narratif : la disruption de LockBit, décrite par le DOJ comme une saisie d’infrastructures et de sites utilisés pour menacer les victimes, montre que l’écosystème public-privé est capable d’intervenir. Reuters expliquait comment les forces de l’ordre avaient pris le contrôle des sites de LockBit et retourné la mise en scène contre le groupe. Sans transformer la crise en communication triomphaliste, rappeler cette coopération réintroduit un tiers de confiance : l’entreprise n’est pas seule face au chantage.

Le point aveugle : l’interne, là où l’attaquant espère trouver ses relais

Les extorqueurs ne s’adressent pas qu’aux médias. Ils s’adressent aux employés, parfois aux dirigeants, parfois aux équipes IT. Ils cherchent la panique, la fuite d’information, le “mail de trop” qui crée une contradiction publique. L’attaque est aussi une épreuve de discipline interne.

C’est pourquoi la communication interne n’est pas un chapitre secondaire, mais une condition de réussite. Sans entrer dans la bureaucratie, une règle doit être comprise de tous dès les premières heures : il existe un point de vérité officiel, et les collaborateurs ne doivent pas devenir, malgré eux, des porte-voix du récit adverse. En extorsion, l’attaquant cherche le moindre indice confirmant ses affirmations. La cohérence interne est un actif défensif.

La conclusion que le COMEX doit accepter : c’est une crise de récit autant qu’une crise de sécurité

Les autorités décrivent l’extorsion comme une menace majeure ; les grands rapports confirment la centralité du mobile financier et l’importance de la donnée dans l’attaque moderne. Les fournisseurs de réponse à incident constatent la mutation vers des modes opératoires où la pression repose de plus en plus sur la fuite et l’exposition, et moins exclusivement sur le chiffrement. Les médias rapportent la montée d’attaques à forte visibilité et la quête de notoriété criminelle. Enfin, les exemples récents montrent que même lorsque l’entreprise paie, le risque de fuite et de re-extorsion n’est pas neutralisé, et que la bataille du récit peut durer longtemps après la reprise du service.

La conséquence est simple : la communication de crise cyber ne peut plus être un appendice de l’IT ou un exercice de “damage control” tardif. Dans un ransomware avec extorsion, vous entrez dans un environnement où l’attaquant publie, cadence, met en scène, et tente de vous faire jouer son histoire. Votre objectif n’est pas de “gagner” contre lui sur son terrain. Votre objectif est de rendre son récit inutile, en installant le vôtre comme seule source fiable, utile et gouvernée.