Crises cyber-IA : apprendre à les dompter

Les dirigeants d’aujourd’hui partagent le même ressenti d’une exposition permanente aux risques de crises. Il y a l’augmentation des ransomwares, l’explosion des deepfakes, et le risque de compromission des modèles IA, faussant les analyses et les prédictions.

A cela, s’ajoutent la pression médiatique, les obligations réglementaires (RGPD, NIS2), l’interdépendance croissante des systèmes où une défaillance locale déclenche des effets en cascade.

Résultat, impression d’instabilité permanente, d’avancer sur des sables mouvants. Comment s’assurer de prendre la bonne décision dans ce contexte ?

Les programmes exécutifs qui ont formé la plupart des dirigeants — de la London Business School à l’INSEAD — reposent sur des données fiables, des scénarios comparables, et prendre le temps d’arbitrer.

Certes, la bulle internet au tournant des années 2000 avait déjà contraint à décider plus vite, à s’adapter à des cycles plus courts. Mais l’accélération technologique actuelle, combinée à l’instabilité géopolitique croissante et à la sophistication d’une cybercriminalité puissante, change la nature et le tempo de la décision.

Aujourd’hui, l’incertitude, le brouillard, sont devenus monnaie courante. Décider à l’ère IA est une sorte de pari en forme de roulette russe. Il faut agir sans connaître tous les tenants et aboutissants de la situation. Oui, mais comment ?

C’est la question à laquelle nous allons essayer de répondre dans cet article.

Au menu :

Une formation des dirigeants à adapter à la réalité actuelle
La spécificité des crises cyber-IA (manipulation, conséquences, contexte)
L’erreur stratégique
Ce qu’agir sans attendre veut dire (surface d’attaque informationnelle, organisation et posture managériale)

Une formation des décideurs à adapter à la réalité des crises IA

Les programmes de leadership traditionnels excellent à enseigner l’analyse stratégique, la gestion du changement, la négociation. Ils préparent à piloter des transformations organisationnelles, à arbitrer entre options documentées, à allouer des ressources sur la base de business cases structurés. Même le concept VUCA — volatilité, incertitude, complexité, ambiguïté — largement adopté depuis deux décennies, reste un cadre théorique qui nomme le problème sans toujours équiper pour y faire face.

Certaines institutions ont commencé à corriger le tir. Le programme Leadership Decision Making de la Harvard Kennedy School intègre explicitement la gestion de l’incertitude et des biais cognitifs.

Les approches de complex adaptive leadership reconnaissent qu’il faut d’autres cadres mentaux que ceux hérités des organisations hiérarchiques stables. Mais ces évolutions restent minoritaires. La majorité des dirigeants arrive aux commandes avec une boîte à outils conçue pour un environnement où l’information finit par se stabiliser, où les faits finissent par émerger, où attendre un peu permet de mieux décider.

Dans l’univers cyber-IA, ce réflexe devient dangereux.

La spécificité des crises cyber-IA : une incertitude structurelle et chronique

Ce qui caractérise les crises cyber-IA n’est pas tant leur gravité que leur nature fondamentalement instable.

Si l’IA apporte un réel avantage concurrentiel, elle est aussi le vecteur d’un danger : la manipulation de la réalité, qu’il s’agisse de deepfake, d’empoisonnement des données d’un modèle IA ou d‘Adversarial Machine Learning.

La manipulation, un vieux stratagème, désormais puissance mille avec l’IA

Le manipulateur est aujourd’hui anonyme, caché derrière un écran on-ne-sait-où. C’est un homme ou une femme, jeune ou vieux, avec des compétences tech ou non. Il peut être notre voisin ou vivre à des milliers de kilomètres, parlant une autre langue, vivant sur un autre créneau horaire, sous d’autres latitudes. Avec la technologie, ces barrières tombent, se floutent.

Ce qui est sûr, c’est qu’il nous connaît bien. Il a pris le temps de nous étudier. Nous publions tant d’informations sur nous en mode public. Entreprise comme individu. Devant ce déséquilibre des forces, le risque est grande de devenir une marionnette entre ses mains.

Des conséquences lourdes en profondeur

Trois grosses pertes possibles :

nos points de repères
notre confiance
notre crédibilité

Et comme une traînée de poudre, l’organisation se délite, avec en toile de fond l’ombre de la paranoïa. Car, trois dimensions basculent :

L’attribution devient incertaine.

Qui attaque ? Un groupe criminel ? Un acteur étatique déguisé en hackeurs opportunistes ? Un imitateur qui exploite une faille révélée ailleurs ? Les techniques d’obfuscation progressent plus vite que les capacités d’investigation. Europol et le FBI (IC3 Report) documentent cette réalité : l’explosion du vishing et des fraudes au faux dirigeant montre que même l’origine d’un ordre peut être mise en doute.

La chronologie devient floue.

L’attaque est-elle terminée ou seulement suspendue ? Les backdoors ont-elles été toutes identifiées ? L’adversaire est-il encore présent dans les systèmes, en observation, avant une nouvelle phase ? Dans certains cas, des mois séparent l’intrusion de sa détection. Le temps réel devient une fiction.

Les preuves deviennent instables.

Voix, vidéos, emails peuvent être synthétiques. Un appel du PDG peut être un deepfake. Un document signé peut être généré par IA. Cette fragilisation de la preuve ne relève plus de la science-fiction : elle est documentée comme risque systémique majeur par le Forum économique mondial dans son Global Risks Report.

Et, parfois sinon régulièrement, s’ajoute à ces attaques, la dimension politique. La police parvient à démasquer les hackers mais ne peut pas les arrêter. Les hackers sont protégés et exploités par une puissance politique, dans le but de déstabiliser une industrie, un pays.

Exemple de LockBit, un duo d’hackers (l’un russe, l’autre israélien), franchisait sa « martingale » de hacking à d’autres petits joueurs – formant un gang très actif de hackers, à qui les fondateurs avaient promis de ne jamais être pris – jusqu’au jour où ils ont été infiltrés et démasqués, mais sans pouvoir être arrêtés.
Voir documentaire sur cette traque.

Dans ce contexte tendu, quelle stratégie adopter ?

L’erreur stratégique : attendre une stabilisation avant de décider

Face à cette instabilité, le réflexe managérial classique consiste à suspendre la décision jusqu’à ce que les faits se clarifient. On attend le rapport d’expertise, convoque une cellule de crise, s’il y en a une. On consolide les éléments avant de communiquer.

Cette prudence, longtemps une vertu, est désormais une erreur. Car, au moins trois mécanismes s’enclenchent :

La paralysie décisionnelle s’installe.

Les comités se multiplient, les analyses se succèdent, mais aucune orientation claire n’émerge. L’organisation attend un signal de la direction. La direction attend des certitudes des experts. Les experts attendent des données stabilisées. Personne ne bouge.

Le silence organisationnel se répand.

Faute de consigne, chacun interprète à sa manière. Les collaborateurs comblent le vide avec leurs propres hypothèses, souvent les plus anxiogènes. La rumeur interne devient plus structurante que la communication officielle absente.

Les décisions tardives finissent par tomber, mais dans des conditions dégradées

l’impact s’est aggravé, la confiance interne et externe s’est érodée, les options ont diminué. Le coût de l’inaction dépasse celui de l’action imparfaite.

Le paradoxe est brutal : ce n’est pas l’incertitude qui provoque la crise, c’est l’incapacité à agir dans l’incertitude.

Herbert Simon l’avait formalisé dès les années 1950 : la rationalité humaine est toujours limitée. Nous ne décidons jamais avec une information complète. Mais en crise cyber-IA, cette limite devient encore plus visible et brutale. Attendre des faits stabilisés n’est plus une prudence, c’est une démission.

Ce que « agir sans attendre » exige concrètement

Si attendre la stabilisation est une erreur, que faire à la place ? Pas improviser. Pas réagir à chaud. Mais avoir déjà construit, en amont, les conditions qui permettent d’agir avec lucidité dans le brouillard.

Trois chantiers s’imposent.

1. Maîtriser ce qu’on expose = la surface d’attaque informationnelle

Avant même qu’une crise survienne, chaque contenu publié, chaque prise de position, chaque déclaration officielle constitue de la matière pour un adversaire.

Il ne s’agit pas de se taire mais de décider ce qu’on publie, où, comment, avec quelles matières et quelles preuves associées. La vérité n’est plus une évidence à l’ère des deepfakes et des récits synthétiques : elle doit être gouvernée, prouvée, traçable.

☝️Quelques questions concrètes à se poser :

Sur quelles données/sources s’est bâti le discours ou la publication ? Sont-elles vérifiables, traçables, défendables ?
Quels risques narratifs/manipulatoires prend-on vs. les avantages réputationnels ? Autrement dit, est-ce que le risque en vaut vraiment la chandelle ?
Qui, en interne, a validé ce contenu avant publication ? Existe-t-il un protocole de double vérification pour les contenus sensibles ou critiques ?
Ce contenu, une fois publié, peut-il être retourné contre nous dans un autre contexte — géopolitique, concurrentiel, médiatique ?
Quels tiers de confiance peuvent authentifier ou relayer ce discours pour lui donner du poids face à une attaque ?
En cas de contestation, a-t-on les preuves nécessaires pour défendre la version originale auprès du public, de ses interlocuteurs stratégiques, les autorités ?

C’est l’objet de la Gouvernance de la Vérité — mettre en place les mécanismes qui garantissent que l’information diffusée est vérifiable et défendable, avant qu’un adversaire ne la retourne contre vous.

2. Réduire les failles organisationnelles propices à la manipulation

La manipulation, vous le savez, est le vecteur pour s’attaquer aux systèmes techniques. Elle exploite les zones d’ombre humaines et organisationnelles, comme :

le management qui ignore ou minore les signaux faibles
les équipes désengagées qui ne remontent plus rien
la pression qui fabrique des décisions mécaniques
la présence de règles ambiguës
une organisation en silo qui fragmente la communication et la cohésion
etc.

>>> Lire notre article sur les signaux faibles

Avant de subir une crise, il faut diagnostiquer sa propre vulnérabilité sur au moins quatre angles avec des questions précises 👇

1 – La circulation de l’information et des alertes

Vos équipes savent-elles ce que sont les signaux faibles ?
Si oui, les remontent-elles jusqu’en haut, ou sont-ils filtrés, édulcorés, normalisés en chemin ?
Existe-t-il un canal formel pour signaler une anomalie, une incohérence, un comportement inhabituel sans passer par la hiérarchie directe ?

2 – La culture interne et ses fragilités

Y a-t-il des zones de tension silencieuse, entre équipes et/ou niveaux hiérarchiques, qui pourraient être exploitées de l’extérieur ?
Le langage interne est-il clair et cohérent, ou flou et manipulable ? Les mots ont-ils le même sens pour tout le monde ?
Quelle est la part de conformisme dans les prises de décision ? Les désaccords s’expriment-ils ou s’autocensurent-ils ?

3 – Les dépendances et les angles morts

Quels fournisseurs, partenaires ou prestataires ont accès à des informations sensibles, et avec quelles garanties d’intégrité ?
Y a-t-il des personnes-clés dont le départ ou la compromission fragiliserait l’ensemble du dispositif ?
Quelles sont les décisions qui reposent sur une seule source, un seul outil, un seul modèle IA, sans contre-vérification possible ?

4 – L‘engagement et la loyauté

Les équipes comprennent-elles tous les enjeux et les risques cyber-IA, auxquels l’organisation est exposée, ou l’information reste-t-elle confinée au sommet ?
En cas de crise, sur qui peut-on compter pour agir vite, lucidement, sans attendre une consigne explicite ?
Quel est le niveau de résistance face à l ‘adoption de l’IA ? Par qui ? Pourquoi ?

La question la plus redoutable : « Si un adversaire voulait déstabiliser notre organisation de l’intérieur, par où commencerait-il ? »

C’est ce que le Resilience Culture Lab permet d’identifier et de corriger, non pas après l’incident, mais bien en amont. C’est le socle même de la résilience organisationnelle.

3. Revoir sa posture de dirigeant

Vous le savez, seul l’exemple compte. On peut avoir les plus beaux discours du monde, s’ils ne sont pas suivis d’actions et de décisions alignées aux paroles, tout n’est que vent perturbateur.

Cet écart est la faille la moins souvent nommée, et pourtant la plus exploitable.

Au-delà de l’éthique, la cohérence est un bouclier. Un dirigeant dont les actes et les mots s’alignent est infiniment plus difficile à décrédibiliser. Ce travail sur la posture, ce que les équipes perçoivent, ce que les parties prenantes lisent, ce que les adversaires cherchent à retourner, est au cœur du Leadership Résilient & Éthique.

Quelques questions à vous poser personnellement en votre for intérieur

1 – Sur la crédibilité personnelle face aux attaques

Si j’arrange la réalité à ma convenance — sur les résultats, les engagements, les faits — quelle surface d’attaque est-ce que je crée pour un adversaire qui voudrait me faire dire, via un deepfake, ce que je n’ai jamais dit ?
En cas de deepfake, ma parole aura-t-elle assez de crédit pour être crue — ou le doute s’installera-t-il trop facilement parce que « ça lui ressemble » ?

2 – Sur la tolérance aux comportements toxiques

Si je laisse des hauts performeurs se conduire de manière contraire aux valeurs que j’affiche, quel message réel est-ce que j’envoie à l’organisation ? Et si demain je dois incarner l’éthique face à une crise, qui me croira ?
L’écart entre ce que je tolère en interne et ce que je prône en public est exactement ce qu’un adversaire cherche à exposer ou à amplifier.

3 – Sur l’isolement décisionnel

Est-ce que je laisse mes managers décider seuls, sans filet, avec le sentiment d’être abandonnés face à la difficulté ? Les hackers et les manipulateurs exploitent le sentiment de solitude — une personne isolée est une personne vulnérable, perméable à la pression, au chantage, à la manipulation sociale.
La résilience se construit dans la relation quotidienne entre un dirigeant et ses équipes, notamment dans les moments où rien ne va.

La réflexion centrale qui chapeaute les trois : « Ce que je fais quand personne ne regarde finira toujours par définir ce que je suis quand tout le monde regarde. »

Prêt(e) pour la transformation ?

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Dompter les crises cyber-IA ? Naviguer à vue, une arme qui se forge