Cyber crise en entreprise : les 6 premières heures décisives

Q: Qui doit faire partie de la cellule de crise cyber ?

La cellule de crise cyber minimale réunit : la direction générale (décisions stratégiques et financières), la DSI ou le responsable informatique (pilotage technique), le DPO ou référent RGPD (obligations réglementaires), le directeur juridique (plainte, assurance, responsabilités), le responsable communication (messages internes et externes). En complément, faites intervenir un prestataire forensic pour l'investigation technique et un conseil en gestion de crise pour la coordination.

Q: Comment se protéger contre les deepfakes et l'arnaque au président par IA en entreprise ?

Face aux deepfakes et à l'arnaque au président augmentée par l'IA, trois mesures sont essentielles. Premièrement, instaurer une procédure de double validation pour tout virement exceptionnel ou demande urgente de la direction, même si la voix ou la vidéo semble authentique. Deuxièmement, sensibiliser le COMEX, la DAF et les assistants de direction aux techniques de clonage vocal et vidéo. Troisièmement, définir un mot de passe verbal connu uniquement de la direction pour authentifier les demandes sensibles par téléphone. L'ANSSI recommande de ne jamais exécuter un ordre financier basé uniquement sur un appel téléphonique ou une visioconférence, même si l'interlocuteur semble identifié.

Lundi matin, 7h12. Le DSI d'une ETI strasbourgeoise découvre que l'ensemble de ses serveurs affiche un message de rançon. Les postes de travail sont chiffrés, la messagerie est inaccessible, les lignes de production sont à l'arrêt. Les six prochaines heures vont déterminer si l'entreprise survit à cette crise ou si elle y laisse sa réputation, ses clients et sa trésorerie. Ce scénario n'est pas une fiction. Il se joue chaque semaine dans le Grand Est. Voici le protocole.

Pourquoi la cyber crise est la menace n°1 des entreprises alsaciennes

Les chiffres sont sans appel. En France, une entreprise sur deux a subi au moins une cyberattaque significative au cours des douze derniers mois. L'ANSSI a enregistré 2 209 signalements et 1 366 incidents portés à sa connaissance en 2025, confirmant un niveau de cybermenace durablement élevé. Le baromètre Allianz 2026 classe le risque cyber comme première menace mondiale pour les entreprises, devant l'interruption d'activité et les catastrophes naturelles. Les PME et ETI, qui constituent le tissu économique du Grand Est, sont devenues les cibles prioritaires des groupes criminels. La raison est simple : elles disposent de données exploitables, de moyens financiers suffisants pour payer une rançon, mais rarement d'une infrastructure de sécurité à la hauteur de la menace.

L'écosystème strasbourgeois est particulièrement exposé. La concentration d'institutions européennes, de sous-traitants industriels et d'acteurs de la santé fait de l'Alsace un terrain de chasse privilégié. Les attaques par ransomware contre des collectivités territoriales du Grand Est se sont multipliées. Des hôpitaux, des cabinets d'avocats, des PME industrielles de la CUS ont été paralysés, parfois pendant plusieurs semaines.

Le coût moyen d'une cyberattaque pour une PME française dépasse 50 000 euros, sans compter les pertes indirectes : arrêt de production, perte de clients, atteinte à la réputation, sanctions CNIL. Pour une ETI, ce montant grimpe facilement au-delà de 500 000 euros. Et ces chiffres ne tiennent pas compte du coût humain : stress des équipes, perte de confiance, départs de collaborateurs clés.

Ce qui distingue la cyber crise des autres types de crise, c'est sa brutalité. Il n'y a pas de montée en puissance progressive, pas de signaux faibles visibles pour un non-spécialiste. Un matin, tout fonctionne. Le suivant, plus rien. La fenêtre de réaction est extrêmement courte, et chaque mauvaise décision dans les premières heures amplifie les dégâts de manière exponentielle. Et la menace ne cesse de se sophistiquer : l'intelligence artificielle permet désormais de créer des deepfakes vocaux et vidéo capables de tromper même des collaborateurs expérimentés, ouvrant la voie à de nouvelles formes d'arnaque au président et de manipulation réputationnelle.

Les 60 premières minutes : isoler, comprendre, décider

Les soixante premières minutes après la détection d'une cyberattaque sont les plus critiques. Pas pour résoudre le problème, mais pour éviter qu'il ne s'aggrave. La priorité absolue, avant toute analyse, avant toute communication, c'est l'isolement.

Concrètement, cela signifie : déconnecter physiquement les machines suspectes du réseau, mais ne pas les éteindre. L'extinction détruit les traces en mémoire vive qui seront indispensables à l'investigation forensique. Coupez les accès VPN, désactivez le Wi-Fi invité, isolez les segments réseau compromis. Si vous disposez de sauvegardes, vérifiez immédiatement qu'elles ne sont pas elles aussi chiffrées ou corrompues, sans les connecter au réseau infecté.

Pendant cette phase d'isolement, trois appels doivent partir simultanément. Le premier vers votre prestataire informatique ou votre DSI pour piloter les mesures techniques d'urgence. Le deuxième vers un prestataire spécialisé en réponse à incident (forensic) si vous n'en disposez pas en interne. Le troisième vers la direction générale, parce que les décisions qui vont suivre engagent l'entreprise bien au-delà de la technique.

Règle d'or : ne payez jamais la rançon dans l'urgence. Cette décision ne doit jamais être prise sous la pression des premières heures. L'ANSSI le déconseille formellement. Moins de 30% des entreprises qui paient récupèrent l'intégralité de leurs données, et 80% d'entre elles sont attaquées à nouveau dans l'année.

Documentez tout dès la première minute. Horodatez chaque action, chaque observation, chaque décision. Ce journal de bord sera indispensable pour le dépôt de plainte, la notification CNIL, la déclaration à l'assurance et le retour d'expérience. Prenez des captures d'écran des messages de rançon, photographiez les postes affectés. La préservation des preuves conditionne la suite judiciaire et assurantielle.

Constituer la cellule de crise cyber en urgence

Une cyberattaque n'est pas qu'un problème informatique. C'est une crise d'entreprise qui touche simultanément l'opérationnel, le juridique, le financier, le réputationnel et l'humain. La cellule de crise doit refléter cette réalité.

Autour de la table, cinq fonctions sont indispensables. La direction générale, qui prend les décisions stratégiques et engage les moyens financiers. Le DSI ou le responsable informatique, qui pilote la réponse technique et dialogue avec les prestataires forensic. Le DPO ou le référent RGPD, qui évalue les obligations de notification et prépare la déclaration CNIL. Le directeur juridique, qui coordonne le dépôt de plainte, active les contrats d'assurance cyber et évalue les responsabilités contractuelles vis-à-vis des clients. Le responsable de la communication, qui prépare les messages internes et externes.

En complément de ces ressources internes, trois acteurs externes doivent être mobilisés rapidement. Un prestataire forensic certifié pour conduire l'investigation technique et établir le périmètre de compromission. Un avocat spécialisé en droit du numérique, surtout si des données personnelles sont impliquées. Et un conseil en gestion de crise pour coordonner l'ensemble du dispositif, structurer la prise de décision et préparer la communication.

Direction générale : décisions budgétaires, arbitrages stratégiques, lien avec le conseil d'administration

DSI / IT : pilotage technique, coordination forensic, plan de restauration des systèmes

DPO / RGPD : évaluation des données compromises, notification CNIL sous 72h, information des personnes concernées

Juridique : dépôt de plainte, activation assurance cyber, revue des obligations contractuelles

Communication : messages collaborateurs, clients, partenaires, presse le cas échéant

Conseil externe : forensic, avocat cyber, gestionnaire de crise pour la coordination globale

À Strasbourg, trop d'entreprises découvrent au moment de l'attaque qu'elles n'ont pas de prestataire forensic identifié, pas d'avocat spécialisé dans leur carnet d'adresses, pas de procédure de notification CNIL prête à l'emploi. C'est l'équivalent de chercher le numéro des pompiers pendant que le bâtiment brûle. Ces contacts doivent être identifiés, contractualisés et testés avant la crise , c'est l'objet même d'un plan de gestion de crise.

Communiquer pendant une cyberattaque : ce qu'il faut dire et taire

La communication en situation de cyber crise est un exercice d'équilibriste. Trop en dire expose l'entreprise juridiquement et peut donner des informations utiles aux attaquants. Ne rien dire alimente les rumeurs, érode la confiance et peut constituer un manquement réglementaire. La ligne de crête est étroite, mais elle existe.

En interne d'abord. Les collaborateurs sont les premiers à constater que les systèmes ne fonctionnent plus. Si vous ne leur dites rien, ils combleront le vide d'information par des hypothèses, des messages sur les réseaux sociaux, des appels aux clients pour s'excuser d'un problème qu'ils ne comprennent pas. Le message interne doit partir dans les deux heures : reconnaître l'incident technique, donner des consignes précises (ne pas redémarrer les postes, ne pas brancher de clé USB, ne pas répondre aux sollicitations extérieures), et indiquer un point de contact unique pour les questions.

Vers la CNIL ensuite. Si des données personnelles ont été compromises, le RGPD impose une notification dans les 72 heures suivant la découverte de la violation. Ce délai est impératif. La notification initiale peut être partielle, vous avez la possibilité de la compléter ultérieurement. Mais ne pas notifier dans les temps expose à des sanctions pouvant atteindre 4% du chiffre d'affaires annuel. Le DPO doit évaluer dès H+2 si une notification est nécessaire et préparer le formulaire en ligne sur le site de la CNIL.

Vers les clients et partenaires. La communication externe ne doit intervenir qu'après stabilisation de la situation technique et validation par le juridique. Le message doit être factuel : reconnaissance de l'incident, mesures prises pour protéger les données, actions recommandées aux clients (changement de mot de passe, vigilance sur les tentatives de phishing), point de contact dédié. Ne communiquez jamais sur le vecteur d'attaque, le montant de la rançon ou les détails techniques avant la fin de l'investigation.

Ce qu'il ne faut jamais dire : minimiser l'incident, accuser un collaborateur publiquement, affirmer qu'aucune donnée n'a été compromise avant la fin de l'analyse forensique, communiquer le montant de la rançon, donner des délais de résolution que vous ne maîtrisez pas. Chaque mot prononcé dans les premières heures sera scruté, cité, potentiellement retourné contre vous.

Heure par heure : le protocole des 6 premières heures

H+0 à H+1 · Isolement et confinement

Stopper la propagation

Déconnecter les machines infectées du réseau sans les éteindre. Couper les accès VPN et Wi-Fi. Isoler les segments réseau compromis. Vérifier l'intégrité des sauvegardes sans les connecter au réseau. Documenter et horodater chaque action. Alerter le DSI, le prestataire informatique et la direction générale. Préserver toutes les preuves numériques : captures d'écran, logs accessibles, photos des messages affichés sur les postes.

H+1 à H+2 · Cellule de crise

Structurer la réponse

Réunir la cellule de crise : direction générale, DSI, DPO, juridique, communication. Contacter les prestataires externes : forensic, avocat spécialisé, conseil en gestion de crise. Établir un premier état des lieux : périmètre de compromission estimé, systèmes touchés, données potentiellement exposées. Définir les priorités de restauration. Ouvrir un canal de communication de crise sécurisé (téléphone, messagerie externe non compromise).

H+2 à H+4 · Communication interne et notification CNIL

Informer et protéger

Diffuser le message interne aux collaborateurs : nature de l'incident, consignes précises, point de contact. Évaluer l'obligation de notification CNIL avec le DPO. Préparer la notification initiale si des données personnelles sont compromises. Déposer une pré-plainte en ligne ou contacter le commissariat compétent. Activer le contrat d'assurance cyber. Commencer l'investigation forensique pour déterminer le vecteur d'attaque et le périmètre exact de compromission.

H+4 à H+6 · Communication externe et continuité

Reprendre le contrôle

Préparer et valider la communication externe avec le juridique. Informer les clients et partenaires concernés avec un message factuel et des recommandations concrètes. Activer le plan de continuité d'activité : mode dégradé, procédures manuelles, solutions de contournement. Planifier les points de situation réguliers de la cellule de crise (toutes les 4 heures minimum). Préparer les éléments de langage en cas de sollicitation médiatique.

Cyber crise en chiffres

50%

des PME victimes de cyberattaque ne s'en remettent jamais complètement

72h

délai légal de notification CNIL en cas de fuite de données personnelles

27j

durée moyenne d'interruption d'activité après une attaque par ransomware

Après la tempête : reconstruction et résilience

Les six premières heures sont passées. L'hémorragie est contenue. Mais la crise est loin d'être terminée. La phase de reconstruction peut durer plusieurs semaines, parfois plusieurs mois. Elle exige autant de rigueur et de méthode que la réponse initiale.

Le retour d'expérience (RETEX) est non négociable. Il doit être conduit dans les deux à quatre semaines suivant la résolution de l'incident, quand les souvenirs sont encore frais mais que la pression est retombée. Le RETEX ne cherche pas des coupables, il cherche les failles dans le dispositif. Comment l'attaquant est-il entré ? Pourquoi les mécanismes de détection n'ont-ils pas fonctionné ? La cellule de crise a-t-elle pu se réunir dans des délais acceptables ? La communication a-t-elle été maîtrisée ?

La reconstruction technique doit intégrer un durcissement significatif de l'infrastructure. Segmentation réseau renforcée, authentification multifacteur généralisée, politique de sauvegardes 3-2-1 vérifiée et testée, supervision de sécurité 24/7 si le budget le permet. Trop d'entreprises reconstruisent à l'identique après une attaque. C'est reconstruire la même maison sur le même terrain inondable.

Sur le volet assurantiel, la déclaration de sinistre doit être étayée par le rapport forensique, le journal de crise et l'ensemble des justificatifs de dépenses engagées pendant la crise. Les assureurs cyber sont de plus en plus exigeants sur la qualité de la documentation. Un journal de crise tenu rigoureusement dès la première heure fait la différence entre une indemnisation rapide et un contentieux de plusieurs mois.

La reconstruction de la réputation prend plus de temps que la reconstruction technique. Les clients qui ont été informés avec transparence et rapidité reviennent. Ceux à qui on a menti ou qu'on a laissés dans le silence partent, souvent définitivement. La communication post-crise est aussi stratégique que la communication de crise elle-même : montrer ce qui a été mis en place, les investissements réalisés, les certifications obtenues. Transformer la crise en preuve de résilience plutôt qu'en aveu de faiblesse. Notre accompagnement en gestion de crise couvre l'ensemble de ce cycle.

Enfin, utilisez cette expérience pour construire ce qui manquait avant l'attaque : un plan de gestion de crise cyber testé, une cellule de crise identifiée et entraînée, des prestataires contractualisés, des exercices de simulation réguliers. La meilleure assurance contre la prochaine crise, c'est d'avoir traversé la première avec méthode, et d'en avoir tiré toutes les leçons.

Deepfake, arnaque au président et IA : les nouvelles armes de la cyber crise

La cyberattaque classique, ransomware ou phishing, n'est plus la seule menace. L'intelligence artificielle a fait émerger une nouvelle génération de risques qui frappent directement la crédibilité des dirigeants et la confiance au sein de l'organisation. Le deepfake en entreprise est passé du registre de la science-fiction à celui des faits divers judiciaires en moins de deux ans.

Le scénario le plus redouté est l'arnaque au président augmentée par l'IA. Un collaborateur reçoit un appel téléphonique ou une visioconférence de son PDG lui demandant d'exécuter un virement urgent et confidentiel. La voix est parfaitement clonée, le visage est reconnaissable, le ton est impératif. Sauf que ce n'est pas le PDG. Des cas documentés en Europe ont conduit à des pertes de plusieurs millions d'euros en une seule opération. Les DAF, assistants de direction et comptables sont les cibles privilégiées de ces attaques.

Au-delà de la fraude financière, le deepfake génère un risque réputationnel majeur. Une fausse vidéo d'un dirigeant tenant des propos compromettants, diffusée sur les réseaux sociaux, peut déclencher un bad buzz dévastateur avant même que l'entreprise ait eu le temps de vérifier l'authenticité du contenu. La crise réputationnelle qui en découle est d'autant plus difficile à gérer que le démenti arrive toujours après le viralité. C'est une forme d'atteinte à l'image de l'entreprise contre laquelle les outils de communication traditionnels sont insuffisants.

Comment protéger votre entreprise contre les deepfakes

La réponse est organisationnelle avant d'être technologique. Les solutions de détection automatique de deepfakes progressent, mais elles ne sont pas infaillibles. La véritable protection repose sur des procédures humaines rigoureuses.

Première mesure : instaurer une procédure de double validation systématique pour tout virement exceptionnel, toute modification de RIB fournisseur, toute demande urgente émanant de la direction. Aucun ordre financier ne doit être exécuté sur la base d'un seul canal de communication, même si l'interlocuteur semble identifié visuellement ou vocalement.

Deuxième mesure : définir un mot de passe verbal connu uniquement du cercle restreint de la direction, à utiliser pour authentifier toute demande sensible par téléphone ou visioconférence. Ce mot de passe doit être changé régulièrement et ne jamais transiter par écrit.

Troisième mesure : sensibiliser le COMEX, la DAF et les fonctions support aux techniques de clonage vocal et vidéo. Des démonstrations concrètes lors d'un exercice de crise cyber sont bien plus efficaces que des notes de service. Quand un directeur financier entend sa propre voix clonée en direct, le message passe instantanément.

Quatrième mesure : préparer un protocole de communication de crise spécifique au deepfake. Si une fausse vidéo de votre dirigeant circule, vous devez pouvoir réagir dans l'heure avec un démenti crédible, étayé par des preuves d'authenticité, diffusé sur les mêmes canaux que le contenu falsifié. La communication de crise face à une cyberattaque par deepfake exige une réactivité et une coordination que seule une préparation en amont peut garantir.

Chiffre clé : selon le World Economic Forum, les deepfakes ont augmenté de plus de 900% entre 2023 et 2025. L'ANSSI identifie désormais la manipulation par IA comme un vecteur de menace à part entière dans son panorama de la cybermenace. Pour les entreprises du Grand Est, la question n'est plus de savoir si elles seront ciblées, mais quand.

La gestion de crise cyber ne peut plus se limiter au ransomware et à la fuite de données. Elle doit intégrer les scénarios de manipulation par IA, de fraude au dirigeant et d'atteinte réputationnelle par deepfake. C'est un changement de paradigme qui exige de repenser la gestion des risques en entreprise dans sa globalité, en associant cybersécurité technique, procédures organisationnelles et préparation à la communication de crise.

Questions fréquentes sur la cyber crise en entreprise

Que faire en premier lors d'une cyberattaque en entreprise ?+

La priorité absolue est l'isolement technique : déconnecter les machines infectées du réseau sans les éteindre, couper les accès VPN et Wi-Fi, préserver les preuves numériques. Alertez immédiatement votre DSI ou prestataire informatique, puis constituez une cellule de crise avec direction générale, juridique et communication.

Faut-il payer la rançon en cas de ransomware ?+

L'ANSSI et les autorités françaises déconseillent formellement le paiement. Payer ne garantit pas la récupération des données, finance les réseaux criminels et fait de vous une cible récurrente. Moins de 30% des entreprises ayant payé récupèrent l'intégralité de leurs données. Concentrez vos efforts sur l'isolation, la préservation des preuves et la restauration à partir de sauvegardes saines.

Quel est le délai de notification CNIL en cas de fuite de données ?+

Le RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte de la violation. Ce délai court dès la prise de connaissance de l'incident. Si les données compromises présentent un risque élevé pour les personnes concernées, vous devez également les informer individuellement. Le non-respect expose à des sanctions pouvant atteindre 4% du chiffre d'affaires.

Qui doit faire partie de la cellule de crise cyber ?+

La cellule minimale réunit : direction générale (décisions stratégiques), DSI (pilotage technique), DPO (obligations RGPD), juridique (plainte, assurance, responsabilités), communication (messages internes et externes). En complément : prestataire forensic, avocat spécialisé en droit du numérique et conseil en gestion de crise.

Comment communiquer avec ses clients après une cyberattaque ?+

Communiquez avec transparence mesurée : reconnaissez l'incident, expliquez les mesures de protection prises, indiquez les actions que vos clients peuvent entreprendre (changement de mot de passe, vigilance), et fournissez un point de contact dédié. Ne communiquez jamais sur les vecteurs d'attaque avant la fin de l'investigation forensique.

Comment se protéger contre les deepfakes et l'arnaque au président par IA ?+

Trois mesures essentielles : instaurer une procédure de double validation pour tout virement exceptionnel (même si la voix ou la vidéo semble authentique), définir un mot de passe verbal connu uniquement de la direction pour authentifier les demandes sensibles, et sensibiliser le COMEX, la DAF et les assistants de direction aux techniques de clonage vocal et vidéo. L'ANSSI recommande de ne jamais exécuter un ordre financier basé uniquement sur un appel téléphonique ou une visioconférence.

Qu'est-ce qu'un exercice de crise cyber et pourquoi en organiser ?+

Un exercice de crise cyber est une simulation réaliste d'une cyberattaque (ransomware, fuite de données, deepfake) qui teste la réactivité de la cellule de crise, les procédures de communication et la coordination entre DSI, direction et juridique. L'ANSSI recommande au minimum un exercice annuel. Ces simulations révèlent systématiquement des failles invisibles sur le papier : contacts obsolètes, chaîne de décision paralysée, communication interne défaillante.

Quel est le rôle de l'ANSSI en cas de cyberattaque sur une entreprise ?+

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) peut intervenir directement auprès des opérateurs d'importance vitale et des opérateurs de services essentiels. Pour les PME et ETI, elle met à disposition des guides de bonnes pratiques, la plateforme cybermalveillance.gouv.fr et un réseau de prestataires qualifiés (PRIS). En 2025, l'ANSSI a traité 1 366 incidents et reçu 2 209 signalements. Signaler votre incident contribue à la protection collective et peut vous orienter vers des ressources adaptées.

Cyrille Cardonne

Président Fondateur · Arkane · Certifié IHEMI · Négociateur de crise certifié

Officier supérieur de gendarmerie, Légion Étrangère Parachutiste, ex-conseiller au cabinet du ministre de l'Intérieur, titulaire du certificat INSEAD « Leadership in the Crisis », certifié IHEMI, membre du Cercle K2 et du CRSI, formateur à l'EM Strasbourg Business School. Expert commentateur sur les chaînes d'information continue (CNEWS, BFM TV, LCI).