Cyber crise en entreprise : les 6 premières heures décisives

Q: Quel est le délai de notification PFPDT en cas de fuite de données ?

La LPD (Loi sur la protection des données) impose une notification au PFPDT (Préposé fédéral à la protection des données et à la transparence) dans les meilleurs délais suivant la découverte d'une violation de données personnelles présentant un risque élevé pour les personnes concernées. Ce délai court dès que vous avez connaissance de l'incident, pas à partir de sa résolution. Si les données compromises présentent un risque élevé pour les personnes concernées, vous devez également les informer individuellement dans les meilleurs délais. Le non-respect de ces obligations expose à des sanctions pénales.

Q: Qui doit faire partie de la cellule de crise cyber ?

La cellule de crise cyber minimale réunit : la direction générale (décisions stratégiques et financières), la DSI ou le responsable informatique (pilotage technique), le DPO ou référent LPD (obligations réglementaires), le directeur juridique (plainte, assurance, responsabilités), le responsable communication (messages internes et externes). En complément, faites intervenir un prestataire forensic pour l'investigation technique et un conseil en gestion de crise pour la coordination.

Q: Comment protéger son entreprise contre les deepfakes et l'arnaque au président par IA ?

La protection contre les deepfakes et l'arnaque au président augmentée par IA repose sur trois piliers : la sensibilisation des équipes (formation à la détection de voix et vidéos synthétiques), la mise en place de protocoles de double vérification pour tout virement ou décision sensible (rappel systématique sur un numéro connu, code de confirmation interne), et l'intégration de ces scénarios dans vos exercices de crise. En 2025, le NCSC a recensé une hausse significative des attaques utilisant l'IA générative contre les entreprises suisses.

Q: Pourquoi organiser un exercice de crise cyber en entreprise ?

Un exercice de crise cyber permet de tester la réactivité de votre cellule de crise, la pertinence de vos fiches réflexes et la coordination entre les équipes techniques, juridiques et de communication. Il révèle les failles invisibles dans les procédures écrites : numéros obsolètes, rôles mal compris, temps de réaction irréalistes. Le NCSC recommande au minimum un exercice annuel. Pour les PME et ETI de Suisse romande, un exercice sur table de deux heures constitue un premier pas accessible et révélateur.

Lundi matin, 7h12. Le DSI d'une ETI genevoise découvre que l'ensemble de ses serveurs affiche un message de rançon. Les postes de travail sont chiffrés, la messagerie est inaccessible, les lignes de production sont à l'arrêt. Les six prochaines heures vont déterminer si l'entreprise survit à cette crise ou si elle y laisse sa réputation, ses clients et sa trésorerie. Ce scénario n'est pas une fiction. Il se joue chaque semaine en Suisse romande. Voici le protocole.

Pourquoi la cyber crise est la menace n°1 des entreprises à Genève et en Suisse romande

Les chiffres sont sans appel. En Suisse, le NCSC (National Cyber Security Centre) enregistre une hausse constante des cyberattaques signalées, avec des milliers d'incidents traités chaque année. Selon l'Allianz Risk Barometer 2026, la cyberattaque reste le risque n°1 pour les entreprises, devant l'interruption d'activité et les catastrophes naturelles. Les PME et ETI, qui constituent le tissu économique de Suisse romande, sont devenues les cibles prioritaires des groupes criminels. La raison est simple : elles disposent de données exploitables, de moyens financiers suffisants pour payer une rançon, mais rarement d'une infrastructure de sécurité à la hauteur de la menace. La montée en puissance des deepfakes et de l'arnaque au président augmentée par IA ajoute une couche de sophistication que les défenses traditionnelles ne détectent pas.

L'écosystème genevois est particulièrement exposé. La concentration de banques, d'organisations internationales, de sociétés de négoce et d'acteurs de la santé fait de Genève et de la Suisse romande un terrain de chasse privilégié. Les attaques par ransomware contre des entreprises et collectivités de Suisse romande se sont multipliées. Des hôpitaux, des cabinets d'avocats, des PME industrielles du bassin genevois ont été paralysés, parfois pendant plusieurs semaines.

Le coût moyen d'une cyberattaque pour une PME dépasse 50 000 francs, sans compter les pertes indirectes : arrêt de production, perte de clients, atteinte à la réputation, sanctions au titre de la LPD. Pour une ETI, ce montant grimpe facilement au-delà de 500 000 francs. Et ces chiffres ne tiennent pas compte du coût humain : stress des équipes, perte de confiance, départs de collaborateurs clés.

Ce qui distingue la cyber crise des autres types de crise, c'est sa brutalité. Il n'y a pas de montée en puissance progressive, pas de signaux faibles visibles pour un non-spécialiste. Un matin, tout fonctionne. Le suivant, plus rien. La fenêtre de réaction est extrêmement courte, et chaque mauvaise décision dans les premières heures amplifie les dégâts de manière exponentielle.

Les 60 premières minutes : isoler, comprendre, décider

Les soixante premières minutes après la détection d'une cyberattaque sont les plus critiques. Pas pour résoudre le problème, mais pour éviter qu'il ne s'aggrave. La priorité absolue, avant toute analyse, avant toute communication, c'est l'isolement.

Concrètement, cela signifie : déconnecter physiquement les machines suspectes du réseau, mais ne pas les éteindre. L'extinction détruit les traces en mémoire vive qui seront indispensables à l'investigation forensique. Coupez les accès VPN, désactivez le Wi-Fi invité, isolez les segments réseau compromis. Si vous disposez de sauvegardes, vérifiez immédiatement qu'elles ne sont pas elles aussi chiffrées ou corrompues, sans les connecter au réseau infecté.

Pendant cette phase d'isolement, trois appels doivent partir simultanément. Le premier vers votre prestataire informatique ou votre DSI pour piloter les mesures techniques d'urgence. Le deuxième vers un prestataire spécialisé en réponse à incident (forensic) si vous n'en disposez pas en interne. Le troisième vers la direction générale, parce que les décisions qui vont suivre engagent l'entreprise bien au-delà de la technique.

Règle d'or : ne payez jamais la rançon dans l'urgence. Cette décision ne doit jamais être prise sous la pression des premières heures. Le NCSC le déconseille formellement. Moins de 30% des entreprises qui paient récupèrent l'intégralité de leurs données, et 80% d'entre elles sont attaquées à nouveau dans l'année.

Documentez tout dès la première minute. Horodatez chaque action, chaque observation, chaque décision. Ce journal de bord sera indispensable pour le dépôt de plainte, la notification au PFPDT, la déclaration à l'assurance et le retour d'expérience. Prenez des captures d'écran des messages de rançon, photographiez les postes affectés. La préservation des preuves conditionne la suite judiciaire et assurantielle.

Constituer la cellule de crise cyber en urgence

Une cyberattaque n'est pas qu'un problème informatique. C'est une crise d'entreprise qui touche simultanément l'opérationnel, le juridique, le financier, le réputationnel et l'humain. La cellule de crise doit refléter cette réalité.

Autour de la table, cinq fonctions sont indispensables. La direction générale, qui prend les décisions stratégiques et engage les moyens financiers. Le DSI ou le responsable informatique, qui pilote la réponse technique et dialogue avec les prestataires forensic. Le DPO ou le référent LPD, qui évalue les obligations de notification et prépare la déclaration au PFPDT. Le directeur juridique, qui coordonne le dépôt de plainte, active les contrats d'assurance cyber et évalue les responsabilités contractuelles vis-à-vis des clients. Le responsable de la communication, qui prépare les messages internes et externes.

En complément de ces ressources internes, trois acteurs externes doivent être mobilisés rapidement. Un prestataire forensic certifié pour conduire l'investigation technique et établir le périmètre de compromission. Un avocat spécialisé en droit du numérique, surtout si des données personnelles sont impliquées. Et un conseil en gestion de crise pour coordonner l'ensemble du dispositif, structurer la prise de décision et préparer la communication.

Direction générale : décisions budgétaires, arbitrages stratégiques, lien avec le conseil d'administration

DSI / IT : pilotage technique, coordination forensic, plan de restauration des systèmes

DPO / LPD : évaluation des données compromises, notification PFPDT dans les meilleurs délais, information des personnes concernées

Juridique : dépôt de plainte, activation assurance cyber, revue des obligations contractuelles

Communication : messages collaborateurs, clients, partenaires, presse le cas échéant

Conseil externe : forensic, avocat cyber, gestionnaire de crise pour la coordination globale

À Genève, trop d'entreprises découvrent au moment de l'attaque qu'elles n'ont pas de prestataire forensic identifié, pas d'avocat spécialisé dans leur carnet d'adresses, pas de procédure de notification PFPDT prête à l'emploi. C'est l'équivalent de chercher le numéro des pompiers pendant que le bâtiment brûle. Ces contacts doivent être identifiés, contractualisés et testés avant la crise , c'est l'objet même d'un plan de gestion de crise.

Communiquer pendant une cyberattaque : ce qu'il faut dire et taire

La communication en situation de cyber crise est un exercice d'équilibriste. Trop en dire expose l'entreprise juridiquement et peut donner des informations utiles aux attaquants. Ne rien dire alimente les rumeurs, érode la confiance et peut constituer un manquement réglementaire. La ligne de crête est étroite, mais elle existe.

En interne d'abord. Les collaborateurs sont les premiers à constater que les systèmes ne fonctionnent plus. Si vous ne leur dites rien, ils combleront le vide d'information par des hypothèses, des messages sur les réseaux sociaux, des appels aux clients pour s'excuser d'un problème qu'ils ne comprennent pas. Le message interne doit partir dans les deux heures : reconnaître l'incident technique, donner des consignes précises (ne pas redémarrer les postes, ne pas brancher de clé USB, ne pas répondre aux sollicitations extérieures), et indiquer un point de contact unique pour les questions.

Vers le PFPDT ensuite. Si des données personnelles ont été compromises, la LPD impose une notification au PFPDT (Préposé fédéral à la protection des données et à la transparence) dans les meilleurs délais suivant la découverte de la violation. Ce délai est impératif. La notification initiale peut être partielle, vous avez la possibilité de la compléter ultérieurement. Le non-respect de ces obligations expose à des sanctions pénales. Le DPO doit évaluer dès H+2 si une notification est nécessaire. Pour les entreprises du secteur financier, la FINMA impose des obligations de notification spécifiques et des délais stricts.

Vers les clients et partenaires. La communication externe ne doit intervenir qu'après stabilisation de la situation technique et validation par le juridique. Le message doit être factuel : reconnaissance de l'incident, mesures prises pour protéger les données, actions recommandées aux clients (changement de mot de passe, vigilance sur les tentatives de phishing), point de contact dédié. Ne communiquez jamais sur le vecteur d'attaque, le montant de la rançon ou les détails techniques avant la fin de l'investigation.

Ce qu'il ne faut jamais dire : minimiser l'incident, accuser un collaborateur publiquement, affirmer qu'aucune donnée n'a été compromise avant la fin de l'analyse forensique, communiquer le montant de la rançon, donner des délais de résolution que vous ne maîtrisez pas. Chaque mot prononcé dans les premières heures sera scruté, cité, potentiellement retourné contre vous.

Heure par heure : le protocole des 6 premières heures

H+0 à H+1 · Isolement et confinement

Stopper la propagation

Déconnecter les machines infectées du réseau sans les éteindre. Couper les accès VPN et Wi-Fi. Isoler les segments réseau compromis. Vérifier l'intégrité des sauvegardes sans les connecter au réseau. Documenter et horodater chaque action. Alerter le DSI, le prestataire informatique et la direction générale. Préserver toutes les preuves numériques : captures d'écran, logs accessibles, photos des messages affichés sur les postes.

H+1 à H+2 · Cellule de crise

Structurer la réponse

Réunir la cellule de crise : direction générale, DSI, DPO, juridique, communication. Contacter les prestataires externes : forensic, avocat spécialisé, conseil en gestion de crise. Établir un premier état des lieux : périmètre de compromission estimé, systèmes touchés, données potentiellement exposées. Définir les priorités de restauration. Ouvrir un canal de communication de crise sécurisé (téléphone, messagerie externe non compromise).

H+2 à H+4 · Communication interne et notification PFPDT

Informer et protéger

Diffuser le message interne aux collaborateurs : nature de l'incident, consignes précises, point de contact. Évaluer l'obligation de notification PFPDT avec le DPO. Préparer la notification initiale si des données personnelles sont compromises. Déposer une plainte pénale auprès du Ministère public compétent. Activer le contrat d'assurance cyber. Commencer l'investigation forensique pour déterminer le vecteur d'attaque et le périmètre exact de compromission.

H+4 à H+6 · Communication externe et continuité

Reprendre le contrôle

Préparer et valider la communication externe avec le juridique. Informer les clients et partenaires concernés avec un message factuel et des recommandations concrètes. Activer le plan de continuité d'activité : mode dégradé, procédures manuelles, solutions de contournement. Planifier les points de situation réguliers de la cellule de crise (toutes les 4 heures minimum). Préparer les éléments de langage en cas de sollicitation médiatique.

Cyber crise en chiffres

50%

des PME victimes de cyberattaque ne s'en remettent jamais complètement

72h

délai de notification au PFPDT en cas de fuite de données personnelles (LPD)

27j

durée moyenne d'interruption d'activité après une attaque par ransomware

Après la tempête : reconstruction et résilience

Les six premières heures sont passées. L'hémorragie est contenue. Mais la crise est loin d'être terminée. La phase de reconstruction peut durer plusieurs semaines, parfois plusieurs mois. Elle exige autant de rigueur et de méthode que la réponse initiale.

Le retour d'expérience (RETEX) est non négociable. Il doit être conduit dans les deux à quatre semaines suivant la résolution de l'incident, quand les souvenirs sont encore frais mais que la pression est retombée. Le RETEX ne cherche pas des coupables, il cherche les failles dans le dispositif. Comment l'attaquant est-il entré ? Pourquoi les mécanismes de détection n'ont-ils pas fonctionné ? La cellule de crise a-t-elle pu se réunir dans des délais acceptables ? La communication a-t-elle été maîtrisée ?

La reconstruction technique doit intégrer un durcissement significatif de l'infrastructure. Segmentation réseau renforcée, authentification multifacteur généralisée, politique de sauvegardes 3-2-1 vérifiée et testée, supervision de sécurité 24/7 si le budget le permet. Trop d'entreprises reconstruisent à l'identique après une attaque. C'est reconstruire la même maison sur le même terrain inondable.

Sur le volet assurantiel, la déclaration de sinistre doit être étayée par le rapport forensique, le journal de crise et l'ensemble des justificatifs de dépenses engagées pendant la crise. Les assureurs cyber sont de plus en plus exigeants sur la qualité de la documentation. Un journal de crise tenu rigoureusement dès la première heure fait la différence entre une indemnisation rapide et un contentieux de plusieurs mois.

La reconstruction de la réputation prend plus de temps que la reconstruction technique. Les clients qui ont été informés avec transparence et rapidité reviennent. Ceux à qui on a menti ou qu'on a laissés dans le silence partent, souvent définitivement. La communication post-crise est aussi stratégique que la communication de crise elle-même : montrer ce qui a été mis en place, les investissements réalisés, les certifications obtenues. Transformer la crise en preuve de résilience plutôt qu'en aveu de faiblesse. Notre accompagnement en gestion de crise couvre l'ensemble de ce cycle.

Enfin, utilisez cette expérience pour construire ce qui manquait avant l'attaque : un plan de gestion de crise cyber testé, une cellule de crise identifiée et entraînée, des prestataires contractualisés, des exercices de simulation réguliers. La meilleure assurance contre la prochaine crise, c'est d'avoir traversé la première avec méthode, et d'en avoir tiré toutes les leçons.

Deepfake, arnaque au président et IA : les nouvelles armes de la cyber crise

En 2025, une nouvelle génération de menaces cyber a émergé, portée par l'intelligence artificielle générative. Les deepfakes, ces contenus synthétiques indétectables à l'œil nu, ne sont plus l'apanage des services de renseignement. Ils sont devenus accessibles à n'importe quel groupe criminel disposant d'un ordinateur et de quelques échantillons vocaux ou vidéo d'un dirigeant.

L'arnaque au président augmentée par l'IA

L'arnaque au président, déjà responsable de centaines de millions de francs de préjudice en Suisse et en Europe, a changé de nature avec l'IA. Auparavant, le fraudeur se contentait d'un email imitant le style du dirigeant. Aujourd'hui, il peut reproduire la voix du PDG au téléphone avec un réalisme troublant, voire générer une vidéo en temps réel lors d'une visioconférence. Les entreprises de Suisse romande opérant à l'international, notamment celles qui effectuent des transactions transfrontalières régulières, sont des cibles privilégiées.

Les protocoles de vérification classiques (rappel sur le numéro connu, double signature) restent la première ligne de défense. Mais ils doivent être renforcés par des codes de confirmation internes changés régulièrement, et par une sensibilisation systématique des équipes financières et administratives aux techniques de manipulation par IA.

Le deepfake comme arme de déstabilisation

Au-delà de la fraude financière, le deepfake est devenu un outil de déstabilisation réputationnelle. Une vidéo truquée d'un dirigeant tenant des propos inappropriés, diffusée sur les réseaux sociaux un vendredi soir, peut provoquer une crise réputationnelle majeure avant même que l'entreprise ait pu authentifier le contenu. La capacité de démenti rapide, avec preuve d'authenticité, est devenue une compétence critique de la cellule de crise.

Intégrer ces menaces dans la préparation

Ces nouvelles menaces imposent d'intégrer des scénarios spécifiques dans les exercices de simulation de crise. Un exercice de crise cyber ne peut plus se limiter au ransomware classique. Il doit inclure des scénarios de deepfake ciblant le dirigeant, d'arnaque au président par voix synthétique et de manipulation d'information par IA. Les entreprises qui ont déjà exercé ces scénarios réagissent trois à quatre fois plus vite que celles qui les découvrent le jour J.

En 2026, la question n'est plus de savoir si votre entreprise sera ciblée par une attaque utilisant l'IA. La question est de savoir si vos équipes sauront la reconnaître et y répondre. Un plan de gestion de crise qui n'intègre pas les menaces IA est déjà obsolète.

Questions fréquentes sur la cyber crise en entreprise

Que faire en premier lors d'une cyberattaque en entreprise ?+

La priorité absolue est l'isolement technique : déconnecter les machines infectées du réseau sans les éteindre, couper les accès VPN et Wi-Fi, préserver les preuves numériques. Alertez immédiatement votre DSI ou prestataire informatique, puis constituez une cellule de crise avec direction générale, juridique et communication.

Faut-il payer la rançon en cas de ransomware ?+

Le NCSC et les autorités suisses déconseillent formellement le paiement. Payer ne garantit pas la récupération des données, finance les réseaux criminels et fait de vous une cible récurrente. Moins de 30% des entreprises ayant payé récupèrent l'intégralité de leurs données. Concentrez vos efforts sur l'isolation, la préservation des preuves et la restauration à partir de sauvegardes saines.

Quel est le délai de notification PFPDT en cas de fuite de données ?+

La LPD impose une notification au PFPDT dans les meilleurs délais suivant la découverte de la violation. Ce délai court dès la prise de connaissance de l'incident. Si les données compromises présentent un risque élevé pour les personnes concernées, vous devez également les informer individuellement. Le non-respect expose à des sanctions pénales pouvant aller jusqu'à 250 000 francs.

Qui doit faire partie de la cellule de crise cyber ?+

La cellule minimale réunit : direction générale (décisions stratégiques), DSI (pilotage technique), DPO (obligations LPD), juridique (plainte, assurance, responsabilités), communication (messages internes et externes). En complément : prestataire forensic, avocat spécialisé en droit du numérique et conseil en gestion de crise.

Comment communiquer avec ses clients après une cyberattaque ?+

Communiquez avec transparence mesurée : reconnaissez l'incident, expliquez les mesures de protection prises, indiquez les actions que vos clients peuvent entreprendre (changement de mot de passe, vigilance), et fournissez un point de contact dédié. Ne communiquez jamais sur les vecteurs d'attaque avant la fin de l'investigation forensique.

Comment protéger son entreprise contre les deepfakes et l'arnaque au président par IA ?+

La protection repose sur trois piliers : la sensibilisation des équipes (formation à la détection de voix et vidéos synthétiques), la mise en place de protocoles de double vérification pour tout virement ou décision sensible (rappel sur un numéro connu, code de confirmation interne), et l'intégration de ces scénarios dans vos exercices de crise. En 2025, le NCSC a recensé une hausse significative des attaques utilisant l'IA générative contre les entreprises suisses.

Pourquoi organiser un exercice de crise cyber en entreprise ?+

Un exercice de crise cyber teste la réactivité de votre cellule de crise, la pertinence de vos fiches réflexes et la coordination entre équipes techniques, juridiques et de communication. Il révèle les failles invisibles dans les procédures écrites. Le NCSC recommande au minimum un exercice annuel. Pour les PME et ETI de Suisse romande, un exercice sur table de deux heures constitue un premier pas accessible et révélateur.

Quel est le rôle du NCSC en cas de cyberattaque contre une entreprise ?+

Le NCSC (National Cyber Security Centre) est l'autorité suisse en matière de cybersécurité. Il fournit une assistance technique, coordonne la réponse au niveau national, met à disposition des guides de bonnes pratiques et une plateforme de signalement (report.ncsc.admin.ch). La FINMA intervient également pour les incidents touchant le secteur financier. En Suisse, la hausse constante des cyberattaques ces dernières années confirme l'importance d'une préparation rigoureuse.

Cyrille Cardonne

Président Fondateur · Arkane · Certifié IHEMI · Négociateur de crise certifié

Officier supérieur de gendarmerie, Légion Étrangère Parachutiste, ex-conseiller au cabinet du ministre de l'Intérieur, titulaire du certificat INSEAD « Leadership in the Crisis », certifié IHEMI, membre du Cercle K2 et du CRSI, formateur à l'EM Genève. Expert commentateur sur les chaînes d'information continue (CNEWS, BFM TV, LCI).