01.

Guide · Communication de crise

Rançongiciel :la communication

Le système est à terre, les équipes paniquent, la presse peut appeler. Le volet technique revient à l'ANSSI et à vos prestataires. Le volet qui décide de la confiance, lui, est une affaire de communication.

Réponse de référence · données sourcées et datées

Rançongiciel : gérer la communication de crise d'une PME
Rançongiciel : gérer la communication de crise d'une PME01
Ce que disent les chiffres

Les données, sourcées

Ne payez pas
la position constante des autorités françaises face à la rançonANSSI · cybermalveillance.gouv.fr
72 h
le délai légal pour notifier la CNIL d'une violation de donnéesCNIL, article 33 RGPD
La réponse courte

Face à un rançongiciel, la technique et la communication avancent en parallèle. Pendant que les équipes techniques isolent et restaurent, la communication décide qui informer, dans quel ordre, avec quel message. Les autorités françaises sont constantes : ne pas payer la rançon, préserver les preuves, porter plainte, et notifier la CNIL sous 72 heures si des données personnelles sont touchées. Le reste est une affaire de récit de continuité.

Le volet technique n'est pas du ressort d'ELMARQ : il relève de l'ANSSI, de cybermalveillance.gouv.fr et de vos prestataires en cybersécurité, dont les fiches réflexes officielles guident les premières heures. La communication, elle, traite ce que la technique ne couvre pas : la parole, la confiance, la relation client pendant l'indisponibilité.

La question de la rançon ne relève pas d'une doctrine maison. L'ANSSI recommande de ne pas payer : rien ne garantit la récupération des données, et le paiement alimente la cybercriminalité. Cette position publique, comme les fiches de cybermalveillance.gouv.fr, doit être connue avant la crise, pas découverte pendant.

L'erreur qui transforme un incident en crise de confiance est presque toujours de communication : le déni, le retard, ou la découverte par la presse avant les clients. ELMARQ intervient sur ce volet, en articulation avec vos experts techniques et votre conseil juridique, jamais à leur place.

Les premières heures : ce qui se joue pendant que le SI est à terre

Les premières heures : ce qui se joue pendant que le SI est à terre

Les premières heures d'un rançongiciel appartiennent aux équipes techniques : isoler les machines infectées, couper les connexions, préserver la mémoire et les preuves, comme le détaillent les fiches réflexes de cybermalveillance.gouv.fr. La communication, elle, prépare en parallèle ce qui va devoir être dit, et à qui.

Le piège est de croire que rien ne se communique tant que tout n'est pas réglé. Or le vide se remplit : salariés inquiets, clients sans réponse, rumeurs. Préparer dès la première heure une parole sobre, même minimale, évite que d'autres n'écrivent l'histoire à votre place.

Qui informer, dans quel ordre

Qui informer, dans quel ordre

L'ordre d'information compte autant que le contenu. En interne d'abord : les équipes doivent savoir avant d'apprendre par l'extérieur. Puis les clients et partenaires concernés, avec un message factuel sur ce qui est su et ce qui est fait. Enfin les autorités : dépôt de plainte, et notification à la CNIL sous 72 heures si des données personnelles sont concernées, obligation prévue par l'article 33 du RGPD.

Le volet technique et le recours restent du côté de l'ANSSI et de cybermalveillance.gouv.fr, hors du périmètre d'ELMARQ. La communication veille à la cohérence : un même socle de faits, une voix désignée, pas de version contradictoire entre le juridique, la technique et le client.

La question de la rançon : ce que disent les autorités françaises

La question de la rançon : ce que disent les autorités françaises

La position officielle française est claire : l'ANSSI recommande de ne pas payer la rançon. Deux raisons : aucune garantie de récupérer les données, et le paiement finance et encourage la cybercriminalité. Cette recommandation n'est pas une opinion d'ELMARQ, c'est la doctrine publique des autorités, à relayer telle quelle.

Sur le plan de la communication, la tentation de payer discrètement est un risque majeur : si le fait ressort, la perte de confiance est durable. La transparence maîtrisée, alignée sur les recommandations officielles, protège mieux que le secret.

Les erreurs qui transforment l'incident en crise de confiance

Les erreurs qui transforment l'incident en crise de confiance

Trois erreurs récurrentes font basculer un incident technique en crise de réputation. Le déni : minimiser ou nier pendant que les faits s'accumulent. Le retard : laisser passer des heures sans un mot, jusqu'à ce que le silence devienne suspect. La découverte par la presse : apprendre l'affaire à ses clients par un article plutôt que par soi.

Chacune se prévient par la même discipline : une parole sobre, rapide sur la forme, exacte sur le fond, et un ordre d'information maîtrisé. Ce n'est pas la cyberattaque qui détruit la confiance, c'est la façon dont on en parle, ou dont on n'en parle pas.

Le récit de continuité : sanctuariser la relation client pendant l'indisponibilité

Le récit de continuité : sanctuariser la relation client pendant l'indisponibilité

Pendant que le système se rétablit, la relation client doit tenir. Le récit de continuité consiste à montrer que l'entreprise reste maîtresse de la situation : ce qui fonctionne encore, les mesures prises, les délais réalistes, les points de contact. Il ne promet pas l'impossible, il rassure par la clarté.

Ce récit se prépare à froid, dans le socle de crise, bien avant l'incident. Une PME qui a pensé à l'avance sa parole de continuité gagne les heures décisives. ELMARQ construit ce socle et l'active en articulation avec vos experts techniques et juridiques.

Questions fréquentes

Ce qu'on nous demande

Cela dépend de l'ampleur et des obligations. En interne, oui, sans attendre : les équipes doivent savoir avant d'apprendre par l'extérieur. Vis-à-vis des clients concernés, une information factuelle vaut mieux qu'un silence qui nourrit la rumeur. Et si des données personnelles sont touchées, la notification à la CNIL sous 72 heures est une obligation légale, prévue par l'article 33 du RGPD.

L'ANSSI recommande de ne pas payer : aucune garantie de récupérer les données, et le paiement finance la cybercriminalité. C'est la position publique des autorités françaises, relayée par cybermalveillance.gouv.fr, pas un avis d'ELMARQ. Sur le plan de la communication, payer en secret expose à une perte de confiance durable si le fait ressort. La transparence maîtrisée protège mieux.

Trois pôles distincts et complémentaires. Le technique (isolation, restauration, preuves) relève de l'ANSSI, de cybermalveillance.gouv.fr et de vos prestataires cyber. Le juridique (plainte, RGPD, notifications) relève de votre conseil. La communication (parole, ordre d'information, récit de continuité) est le rôle d'ELMARQ, en articulation avec les deux autres, jamais à leur place.

En construisant un socle à froid : cartographie des scénarios, protocole d'escalade, messages de continuité pré-rédigés, porte-parole désigné, et connaissance des obligations (CNIL sous 72 heures) et des recommandations officielles (ANSSI, ne pas payer). Ce socle transforme la panique en procédure et fait gagner les heures décisives. C'est l'objet de la cellule de crise activable d'ELMARQ.

Prochaine étape

Préparer votre PME avant l'incident

Le volet communication d'une crise cyber se prépare à froid. La page Crise détaille la cellule activable et le socle de continuité.