Décision 1 — H+0
Votre DSI vient de confirmer l'attaque.
Quelle est votre première action ?
Il est 06h14. 847 293 fichiers chiffrés, sauvegardes détruites. Le message PHANTOM est affiché sur tous les écrans. Vous avez quelques minutes pour cadrer la réponse initiale.
A
Isoler immédiatement le réseau et activer la cellule de crise
Couper les connexions, identifier le périmètre, convoquer DSI + DG + juriste. Appliquer le PRI.
Bonne pratique ANSSIPRI activé
B
Tenter de restaurer les systèmes avant d'alerter la direction
L'IT essaie de limiter les dégâts en interne. La direction n'est pas encore informée.
Propagation risquéePerte de temps
C
Contacter directement PHANTOM via le lien .onion
Ouvrir le dialogue avec les attaquants sans préparation, sans juriste, sans traçabilité.
Erreur critiquePreuve de vulnérabilité
Décision 2 — H+4
La violation de données est confirmée.
Notifiez-vous la CNIL ?
Votre DPO rappelle l'article 33 du RGPD : notification à la CNIL obligatoire dans les 72 heures. PHANTOM vous a dit de ne pas contacter les autorités. Il reste 68h avant l'échéance légale.
A
Notifier la CNIL dans les 72h — obligation légale
Déclaration sur notifications.cnil.fr, même partielle. Conformité RGPD malgré la menace.
Conformité RGPDResponsabilité limitée
B
Attendre la résolution avant de notifier
Gérer la crise d'abord. Risque de dépasser le délai légal de 72h.
Délai légal à risqueAmende potentielle
C
Ne pas notifier — risque trop élevé selon PHANTOM
Céder à la pression et ignorer les obligations légales.
Violation RGPDJusqu'à 4% CA mondial
Décision 3 — H+8
Des journalistes appellent.
Comment gérez-vous la communication ?
Un tweet d'un employé a fuité. La presse est au courant. Vos clients commencent à appeler. Toute déclaration publique pourrait précipiter la publication des données.
A
Communiqué maîtrisé : incident en cours, cellule de crise activée
Message sobre, factuel, sans détails techniques. Vous maîtrisez le récit.
Transparence maîtriséeRéputation préservée
B
Silence total — aucune communication externe
No comment. La rumeur s'emballe, les clients paniquent.
Panique clientsVide médiatique dangereux
C
Nier publiquement l'incident — "simple panne technique"
Si PHANTOM publie les données, le mensonge aggrave dramatiquement votre situation.
Mensonge publicCrise amplifiée
Décision 4 — H+24
PHANTOM attend votre réponse.
Quelle posture de négociation adoptez-vous ?
Aucune restauration possible sans les clés. Un cabinet spécialisé vous propose son aide. PHANTOM relance : "Dernière chance avant doublement."
A
Mandater un négociateur spécialisé — gagner du temps
Le cabinet ouvre un dialogue technique pour étirer les délais pendant la restauration et la coordination ANSSI.
Approche professionnelleSans engagement de paiement
B
Négocier directement pour baisser la rançon
Vous contactez PHANTOM vous-même. Risqué sans expertise.
Sans garantExposition directe
C
Refuser tout contact et alerter ANSSI / Police
Couper le dialogue et passer en mode judiciaire. PHANTOM peut déclencher la publication immédiate.
Publication probableCoopération judiciaire
Décision 5 — H+48 — Décision finale
PHANTOM publie un premier lot de données.
Payez-vous la rançon ?
PHANTOM a publié 2 Go de données sur son site .onion. 24h restantes avant publication totale. La restauration prendra encore 5 jours. PHANTOM accepte désormais 950 000 €.
A
Payer la rançon — 950 000 € via l'assurance
L'assurance couvre. Aucune garantie de recevoir les clés ni que les données ne seront pas publiées.
Aucune garantieFinance les criminels
B
Refuser de payer — restauration + plainte ANSSI/Parquet
5 jours de coupure opérationnelle. Plainte déposée. Coopération avec les autorités.
Recommandation ANSSINe finance pas les criminels
C
Payer sans passer par l'assurance ni les autorités
Virement direct, discret. Violation probable des clauses d'assurance. Cible prioritaire future.
Fraude assurance probableCible prioritaire future