Guide · Communication de crise
Rançongiciel :la communication
Le système est à terre, les équipes paniquent, la presse peut appeler. Le volet technique revient à l'ANSSI et à vos prestataires. Le volet qui décide de la confiance, lui, est une affaire de communication.
Réponse de référence · données sourcées et datées

Les données, sourcées
Face à un rançongiciel, la technique et la communication avancent en parallèle. Pendant que les équipes techniques isolent et restaurent, la communication décide qui informer, dans quel ordre, avec quel message. Les autorités françaises sont constantes : ne pas payer la rançon, préserver les preuves, porter plainte, et notifier la CNIL sous 72 heures si des données personnelles sont touchées. Le reste est une affaire de récit de continuité.
Le volet technique n'est pas du ressort d'ELMARQ : il relève de l'ANSSI, de cybermalveillance.gouv.fr et de vos prestataires en cybersécurité, dont les fiches réflexes officielles guident les premières heures. La communication, elle, traite ce que la technique ne couvre pas : la parole, la confiance, la relation client pendant l'indisponibilité.
La question de la rançon ne relève pas d'une doctrine maison. L'ANSSI recommande de ne pas payer : rien ne garantit la récupération des données, et le paiement alimente la cybercriminalité. Cette position publique, comme les fiches de cybermalveillance.gouv.fr, doit être connue avant la crise, pas découverte pendant.
L'erreur qui transforme un incident en crise de confiance est presque toujours de communication : le déni, le retard, ou la découverte par la presse avant les clients. ELMARQ intervient sur ce volet, en articulation avec vos experts techniques et votre conseil juridique, jamais à leur place.

Les premières heures : ce qui se joue pendant que le SI est à terre
Les premières heures d'un rançongiciel appartiennent aux équipes techniques : isoler les machines infectées, couper les connexions, préserver la mémoire et les preuves, comme le détaillent les fiches réflexes de cybermalveillance.gouv.fr. La communication, elle, prépare en parallèle ce qui va devoir être dit, et à qui.
Le piège est de croire que rien ne se communique tant que tout n'est pas réglé. Or le vide se remplit : salariés inquiets, clients sans réponse, rumeurs. Préparer dès la première heure une parole sobre, même minimale, évite que d'autres n'écrivent l'histoire à votre place.
Qui informer, dans quel ordre
L'ordre d'information compte autant que le contenu. En interne d'abord : les équipes doivent savoir avant d'apprendre par l'extérieur. Puis les clients et partenaires concernés, avec un message factuel sur ce qui est su et ce qui est fait. Enfin les autorités : dépôt de plainte, et notification à la CNIL sous 72 heures si des données personnelles sont concernées, obligation prévue par l'article 33 du RGPD.
Le volet technique et le recours restent du côté de l'ANSSI et de cybermalveillance.gouv.fr, hors du périmètre d'ELMARQ. La communication veille à la cohérence : un même socle de faits, une voix désignée, pas de version contradictoire entre le juridique, la technique et le client.
La question de la rançon : ce que disent les autorités françaises
La position officielle française est claire : l'ANSSI recommande de ne pas payer la rançon. Deux raisons : aucune garantie de récupérer les données, et le paiement finance et encourage la cybercriminalité. Cette recommandation n'est pas une opinion d'ELMARQ, c'est la doctrine publique des autorités, à relayer telle quelle.
Sur le plan de la communication, la tentation de payer discrètement est un risque majeur : si le fait ressort, la perte de confiance est durable. La transparence maîtrisée, alignée sur les recommandations officielles, protège mieux que le secret.
Les erreurs qui transforment l'incident en crise de confiance
Trois erreurs récurrentes font basculer un incident technique en crise de réputation. Le déni : minimiser ou nier pendant que les faits s'accumulent. Le retard : laisser passer des heures sans un mot, jusqu'à ce que le silence devienne suspect. La découverte par la presse : apprendre l'affaire à ses clients par un article plutôt que par soi.
Chacune se prévient par la même discipline : une parole sobre, rapide sur la forme, exacte sur le fond, et un ordre d'information maîtrisé. Ce n'est pas la cyberattaque qui détruit la confiance, c'est la façon dont on en parle, ou dont on n'en parle pas.
Le récit de continuité : sanctuariser la relation client pendant l'indisponibilité
Pendant que le système se rétablit, la relation client doit tenir. Le récit de continuité consiste à montrer que l'entreprise reste maîtresse de la situation : ce qui fonctionne encore, les mesures prises, les délais réalistes, les points de contact. Il ne promet pas l'impossible, il rassure par la clarté.
Ce récit se prépare à froid, dans le socle de crise, bien avant l'incident. Une PME qui a pensé à l'avance sa parole de continuité gagne les heures décisives. ELMARQ construit ce socle et l'active en articulation avec vos experts techniques et juridiques.
Ce qu'on nous demande
À lire ensuite
Concepts du lexique
Pages ELMARQ
Communication de crise
Cellule activable, socle de crise, récit de continuité
Cellule de crise
Activation en cas de crise déclarée
Crash-Test 48h
Cartographier vos scénarios de risque à froid
Sources
- ANSSI, « Anticiper et gérer une crise cyber » (cyber.gouv.fr)
- ANSSI et ministère de la Justice, « Attaques par rançongiciels, tous concernés »
- Cybermalveillance.gouv.fr, fiche réflexe « Rançongiciels / ransomwares »
- CNIL, « Les violations de données personnelles » (notification sous 72h, article 33 RGPD)
Préparer votre PME avant l'incident
Le volet communication d'une crise cyber se prépare à froid. La page Crise détaille la cellule activable et le socle de continuité.