Le 12 janvier 2026, la Bourse de Bombay (BSE) publie une alerte officielle adressée aux investisseurs. Une vidéo deepfake circule sur les réseaux sociaux et les messageries privées. Elle montre le Managing Director et CEO de la Bourse, Sundararaman Ramamurthy, donner des conseils boursiers et inviter les internautes à rejoindre un canal WhatsApp avec la promesse de huit millions de roupies de gains avant 2027. Aucune des déclarations attribuées à Ramamurthy dans la vidéo n’a été prononcée. Aucun canal WhatsApp officiel BSE n’existe. La Bourse engage des poursuites légales et publie un démenti dans la même journée (BSE, alerte officielle 12 janvier 2026, relayée par Business Standard, MarketScreener, Free Press Journal, The Week).
Cette séquence a deux particularités. Première particularité : l’incident s’ouvre par une vidéo, pas par un communiqué de presse, pas par une fuite documentaire, pas par une révélation journalistique. La crise commence dans le flux d’attention de milliers de personnes simultanément, sur des canaux que la direction de la BSE ne contrôle pas. Seconde particularité : entre l’apparition de la vidéo et l’émission du démenti officiel, il s’écoule des heures pendant lesquelles le récit fabriqué circule sans contradiction. Le démenti arrive. Il arrive après. Et la mémoire publique conserve toujours une part du récit qu’il prétend effacer.
Le playbook classique de gestion de crise, hérité de l’ère du communiqué écrit et de l’élément de langage diffusé en presse, n’est pas adapté à cette mécanique. Pas parce qu’il serait mauvais. Parce qu’il est arrivé sur scène vingt minutes trop tard.
Le fait : convergence Bombay, Gartner, Cybermalveillance sur l’installation d’un régime nouveau
Le cas BSE n’est pas isolé. L’enquête Gartner publiée le 22 septembre 2025, conduite de mars à mai 2025 auprès de 302 leaders cybersécurité en Amérique du Nord, en région Europe-Moyen-Orient-Afrique et en Asie-Pacifique, chiffre la généralisation. 43 % des organisations ont été confrontées à au moins un deepfake audio au cours des douze mois précédents. 37 % à un deepfake vidéo. 62 % toutes formes confondues, en incluant les attaques par ingénierie sociale exploitant les processus automatisés des entreprises (Gartner, communiqué septembre 2025, repris par The Register, Digit FYI, Infosecurity Magazine).
En France, le rapport annuel d’activité 2025 de Cybermalveillance.gouv.fr, publié en mars 2026, documente la traduction financière de cette transformation. Plus de 504 000 demandes d’assistance enregistrées sur l’année, en hausse de 20 % par rapport à 2024. La fraude au virement progresse de 170 % toutes cibles confondues, de 262 % chez les collectivités locales, et de 93 % chez les professionnels et les entreprises. Elle représente désormais 13,5 % des demandes d’assistance professionnelles, soit la troisième menace majeure derrière le piratage de compte et l’hameçonnage. Six entreprises françaises sur dix ne savent pas évaluer les conséquences d’une cyberattaque sur leur activité. Quatre-vingts pour cent ne se considèrent pas préparées (Cybermalveillance.gouv.fr, rapport annuel 2025).
La méthode opérationnelle privilégiée par les attaquants est documentée : piratage de la messagerie professionnelle, interception de factures sortantes, modification des coordonnées bancaires, ou ouverture d’un compte au nom de la victime à partir d’une fausse identité pour détourner directement le salaire. La fabrication synthétique de vidéos et de pistes audio, qui était au stade démonstratif en 2024, est passée au stade opérationnel en 2025 et entre dans sa phase d’industrialisation en 2026. Le cas BSE en est l’illustration.
Pourquoi le playbook classique communiqué + élément de langage est inopérant
Le protocole de gestion de crise enseigné dans les écoles de communication depuis trois décennies repose sur quatre étapes ordonnées. Premièrement, la détection du signal de crise. Deuxièmement, la convocation d’une cellule restreinte composée du dirigeant, du directeur de la communication, du directeur juridique et de l’expert métier concerné. Troisièmement, la rédaction d’un communiqué et d’éléments de langage validés par cette cellule. Quatrièmement, la diffusion par la presse, les comptes officiels et la chaîne managériale.
Cette mécanique fonctionnait dans un environnement où l’asymétrie de vitesse jouait en faveur des organisations attaquées. La presse vérifiait, donnait le temps d’une réponse, encadrait l’amplification du signal initial. Cette asymétrie s’est inversée. La fabrication synthétique permet de produire en moins de quinze minutes une vidéo qui passe les premiers filtres de vraisemblance. Les plateformes d’amplification distribuent ce contenu à plusieurs milliers de personnes en moins d’une heure. Le temps nécessaire pour convoquer une cellule de crise, valider une déclaration et la diffuser est désormais structurellement supérieur au temps de propagation initiale de l’attaque.
C’est l’équivalent défensif d’un kit d’évacuation incendie qu’on assemblerait pendant que ça brûle. L’outillage est correct. Sa mise en place arrive après le moment où il pouvait servir. La conséquence opérationnelle est nette : la première vague d’audience qui rencontre la vidéo fabriquée la rencontre seule, sans contradiction officielle de l’entreprise visée. Cette première impression conserve une part importante du capital de croyance qu’elle a installé chez le spectateur, même si une vague ultérieure rencontre le démenti officiel.
Le démenti n’éteint pas l’incendie : il alimente le soupçon
La seconde difficulté est plus subtile et plus structurelle. Quand une organisation publique dément un récit fabriqué, le démenti répète mécaniquement l’accusation pour la nier. La structure cognitive du lecteur reçoit alors deux signaux simultanés : l’accusation existait, et l’organisation visée la nie. Ces deux signaux ne s’annulent pas. Le second affaiblit le premier sans le supprimer. La psychologie sociale documente ce phénomène depuis plusieurs décennies sous le nom d’effet de familiarité induite : une accusation entendue trois fois, même chaque fois suivie d’un démenti, devient plus crédible qu’une accusation entendue une seule fois sans démenti.
La situation se complique quand le démenti officiel passe par les canaux que l’attaque a précisément exploités. Si la vidéo deepfake circule sur WhatsApp et Telegram, et que l’entreprise dément sur ses comptes officiels Twitter et son site web, deux audiences distinctes ne reçoivent pas la même information. La portion d’audience la plus exposée à l’attaque n’est pas nécessairement la même que celle exposée au démenti. L’incident peut sembler clos vu de l’extérieur tout en restant ouvert dans les segments concernés.
Une troisième dimension est juridique. Quand l’organisation dément en nommant l’incident comme un deepfake, elle peut renforcer la curiosité du spectateur qui n’avait pas encore vu la vidéo. Le démenti devient lui-même un vecteur de viralité, par l’attention qu’il attire sur le contenu original. Plusieurs études de cas internationales documentent ce paradoxe sous le nom d’effet Streisand de la communication de crise.
La défense se joue avant l’incident, pas pendant
La conclusion opérationnelle s’impose : la défense ne se construit plus en réaction mais en préparation. Le concept ELMARQ qui décrit ce changement de cadre s’appelle la War Room pré-armée. Il désigne un dispositif organisationnel, technique et doctrinal mis en place avant tout incident, qui réduit le délai entre détection et réponse à une fraction de minutes plutôt qu’à des heures, et qui pose en amont les canaux pré-authentifiés sur lesquels une attaque synthétique se brise.
La War Room pré-armée comporte trois piliers structurels qui doivent être en place avant le premier incident, pas après.
Premier pilier, les canaux pré-authentifiés. L’organisation a, en temps de paix, défini publiquement les seuls canaux par lesquels elle s’exprime officiellement, et a communiqué cette liste à ses parties prenantes. Pour la BSE, cela signifie publier une fois par trimestre la liste de ses comptes officiels, dans la presse économique et sur son site, et l’envoyer aux intermédiaires SEBI agréés. Toute communication qui apparaît hors de cette liste est, par construction, suspecte. La présomption d’authenticité s’inverse. Le fardeau de la preuve pèse sur le canal inhabituel, pas sur l’organisation.
Deuxième pilier, la chaîne de vérification interne. Un protocole défini en amont décrit qui détecte, qui qualifie, qui décide, qui diffuse, et selon quels délais maximaux. Ce protocole inclut une cellule de fact-checking propre, dotée d’outils techniques (analyse de métadonnées, comparaison vidéo, vérification audio), et reliée à des partenaires externes pré-conventionnés (services de fact-checking presse, autorités compétentes, plateformes d’hébergement). Le délai cible pour la première réponse publique est de l’ordre de quinze à trente minutes après détection, pas de plusieurs heures.
Troisième pilier, la doctrine d’expression écrite et opposable. L’organisation a, en temps de paix, écrit la formulation type qu’elle utilisera en cas d’attaque synthétique. Cette formulation est calibrée pour ne pas alimenter le soupçon (effet de familiarité induite), ne pas créer d’effet Streisand, et ne pas s’aventurer dans une attribution non prouvée. Elle est validée par le comité de direction et le directeur juridique. Le jour de l’attaque, il n’y a pas de rédaction à improviser. Il y a une formulation à activer.
Pendant ce temps, les PME 20 à 100 salariés deviennent les cibles les plus rentables
L’observation terrain ELMARQ accumulée entre 2022 et 2026 sur plus de soixante missions auprès de PME et d’ETI françaises permet de qualifier précisément le segment de clientèle privilégié par les attaquants en 2026. Les PME de vingt à cent salariés concentrent un ensemble de caractéristiques qui en font des cibles à fort rendement. Premièrement, elles disposent de fonds suffisants pour rendre l’attaque rentable, contrairement aux microstructures. Deuxièmement, elles n’ont pas, à de rares exceptions près, de directeur de la sécurité des systèmes d’information à plein temps, contrairement aux grandes entreprises. Troisièmement, leur dirigeant signe encore lui-même la plupart des virements importants, ce qui rend l’attaque par usurpation de signature financièrement décisive.
Cette catégorie cumule donc un profil financier intéressant et une exposition opérationnelle élevée. Les chiffres globaux de Cybermalveillance.gouv.fr ne segmentent pas explicitement cette tranche d’effectif, mais la consolidation observée par les acteurs de la cybersécurité opérationnelle française et l’observation terrain ELMARQ convergent. Cette catégorie n’a pas accès à la qualité de défense d’un groupe coté, et ses effectifs ne permettent pas non plus une mutualisation interne efficace de la vigilance. La fenêtre stratégique d’investissement dans une War Room pré-armée minimale est précisément concentrée sur ce segment en 2026 et en 2027.
Six éléments d’une War Room pré-armée opérationnelle
| Élément | Question diagnostic | Signal d’absence | Action déployable en 60 jours |
|---|---|---|---|
| Canaux pré-authentifiés publics | L’organisation publie-t-elle une fois par trimestre la liste de ses canaux officiels ? | Aucune liste publique, parties prenantes incapables de distinguer authentique vs fabriqué | Publication initiale + calendrier trimestriel inscrit au règlement intérieur |
| Chaîne de vérification interne formalisée | Existe-t-il un protocole écrit qui décrit qui détecte, qualifie, décide, diffuse, en combien de minutes ? | Aucun document, chaîne dépendante de l’improvisation du jour | Atelier de rédaction du protocole, validation comité de direction, simulation trimestrielle |
| Outils techniques de fact-checking interne | L’organisation dispose-t-elle d’outils d’analyse rapide vidéo, audio, métadonnées ? | Aucun outil, sous-traitance complète et tardive | Dotation minimale en outils SaaS spécialisés, formation d’un duo de référents |
| Partenariats externes pré-conventionnés | L’organisation a-t-elle des conventions actives avec fact-checkers presse, hébergeurs, autorités ? | Premier contact établi pendant la crise, perte de temps critique | Conventions signées hors crise, canaux de contact d’urgence partagés |
| Formulation type de réponse préécrite | Existe-t-il une déclaration validée à activer plutôt qu’à écrire ? | Toute réponse est rédigée pendant la crise sous pression temporelle | Cinq à dix formulations types couvrant les scénarios principaux, signées par le comité |
| Simulation périodique avec injection synthétique | L’organisation teste-t-elle son dispositif au moins deux fois par an avec un deepfake réel ? | Aucun exercice, dispositif jamais éprouvé | Premier exercice dans les 90 jours, deux exercices par an inscrits au calendrier |
La prochaine crise ne commencera pas par un communiqué : elle commencera par une vidéo, par une note vocale, par une capture d’écran fabriquée. Le délai entre la publication de l’attaque synthétique et son premier million d’expositions est désormais inférieur au délai nécessaire à une cellule de crise classique pour se réunir, rédiger et diffuser une réponse. La défense ne se joue donc plus en réaction. Elle se joue en préparation. Toute organisation qui croit pouvoir improviser le jour de l’attaque parce qu’elle a un bon directeur de la communication et un bon avocat n’a pas compris le changement de régime. Le moment où vous écrivez votre doctrine de réponse est précisément le moment où vous n’êtes pas attaqué.
Ce que cette séquence impose aux DG et aux comités de direction en 2026
Le cas BSE est un signal faible que les directions générales européennes peuvent encore regarder comme un événement étranger et lointain. Les chiffres Gartner et Cybermalveillance.gouv.fr ne laissent pas cette latitude. Les attaques synthétiques sont opérationnelles, croissantes et désormais industrialisées. La probabilité qu’une organisation française de plus de vingt salariés soit visée au moins une fois en 2026 ou 2027 est élevée. Trois exigences en découlent.
Première exigence, l’inscription explicite de la War Room pré-armée au calendrier de gouvernance. Pas comme un projet annexe géré par la direction de la communication. Comme un dispositif transversal arbitré par le comité de direction au même titre que la continuité d’activité, le plan de reprise informatique et les procédures de fraude. Une War Room pré-armée qui n’est pas dans l’agenda du comité n’est pas une War Room. C’est un slide.
Deuxième exigence, l’audit du dispositif existant. Beaucoup de PME et d’ETI ont mis en place une cellule de crise il y a cinq ou dix ans. Cette cellule est conçue pour le playbook classique. Elle n’est pas conçue pour la vitesse d’une attaque synthétique. L’audit identifie les écarts entre l’existant et les six éléments de la grille ci-dessus, et chiffre le délai opérationnel actuel pour qu’il puisse être comparé à la cible.
Troisième exigence, la transparence vers les parties prenantes. Une organisation qui a une War Room pré-armée le dit publiquement. Elle ne révèle pas sa doctrine en détail, mais elle indique aux clients, fournisseurs, investisseurs et collaborateurs qu’elle a un dispositif. Cette indication a deux effets. Premier effet, elle dissuade marginalement les attaquants opportunistes, qui privilégieront une cible moins disciplinée. Deuxième effet, elle conserve un capital de crédibilité au cas où une attaque passerait quand même : la réponse rapide aura été annoncée comme un attribut de la maison, pas comme un sursaut.
Pour les directions générales et les comités de direction de PME et d’ETI françaises de vingt à deux cent cinquante salariés. ELMARQ propose un Crash-Test Communication en 90 minutes : audit de la War Room existante, identification des six écarts à la doctrine pré-armée, recommandations chiffrées de mise à niveau en moins de 90 jours, restitution comité de direction sous forme de note de gouvernance interne. Le diagnostic peut être étendu à un déploiement opérationnel complet. Prise de contact directe par formulaire ou message privé sur elmarq.fr.
Note d’attribution. Cet article applique la Doctrine d’Attribution Stricte ELMARQ. Régime avéré pour les faits issus de l’alerte officielle de la Bourse de Bombay du 12 janvier 2026 (BSE Limited, communiqué public ; Business Standard, The Week, MarketScreener, Free Press Journal, The Hans India, DevDiscourse, Whales Book), du communiqué Gartner du 22 septembre 2025 (enquête mars-mai 2025, 302 leaders cybersécurité, Amérique du Nord-EMEA-Asie-Pacifique, 43 % audio, 37 % vidéo, 62 % toutes formes), et du rapport annuel d’activité 2025 de Cybermalveillance.gouv.fr publié en mars 2026 (504 000+ demandes d’assistance, +20 % vs 2024 ; fraude au virement +170 % toutes cibles, +262 % collectivités, +93 % professionnels ; 13,5 % des demandes pros, 8,5 % collectivités ; 6/10 entreprises non préparées, 80 % se déclarant pas adéquatement préparées). Régime probable pour la lecture du segment PME 20 à 100 salariés comme cible la plus rentable, formulée à partir d’observations terrain ELMARQ accumulées sur plus de 60 missions PME et ETI 2022-2026 et corroborée par les acteurs français de la cybersécurité opérationnelle. Régime probable pour les analyses doctrinales de la War Room pré-armée. Voir la doctrine complète.
