À l’heure où la désinformation et les manipulations numériques s’imposent comme de nouvelles armes de déstabilisation, le RSSI voit son rôle s’élargir bien au-delà de la seule protection des systèmes d’information. Dans cette tribune, Blandine Delaporte, Senior Director Solutions Engineering chez SentinelOne, partage une analyse issue de l’atelier « Guerre informationnelle : le RSSI en première ligne face à la désinformation et à la manipulation numérique », co-animé avec Fabrice Bru et Bruno Durand, lors du Congrès CESIN en décembre 2025 à Reims. Elle y décrypte les nouveaux leviers de résilience informationnelle et les responsabilités croissantes des directions cybersécurité face aux attaques qui ciblent désormais les perceptions autant que les infrastructures.
Pendant longtemps, la guerre informationnelle semblait cantonnée aux États, aux conflits géopolitiques ou aux périodes électorales. Elle s’impose désormais comme une arme de déstabilisation contre les entreprises, souvent sans que celles-ci en aient pleinement conscience. En quelques heures, une fake news ou un deepfake peut être conçu et diffusé à grande échelle, avec des effets immédiats sur la crédibilité, la réputation, la capacité à décider et parfois la stabilité interne d’une entreprise. L’essor de l’IA générative ne fait qu’accélérer cette menace, en rendant la manipulation de l’information plus rapide, moins coûteuse et plus crédible que jamais.
Dans ce contexte, l’objectif des cybercriminels ne se limite plus au piratage des systèmes. Il s’agit dorénavant d’influencer les perceptions, d’installer le doute et d’éroder la confiance autour de l’entreprise. Ces attaques sont devenues indissociables de la cybercriminalité : l’information manipulée sert souvent de levier préparatoire ou d’amplificateur d’attaques techniques (phishing, fraude, compromission). Face à cette évolution, le rôle du RSSI s’étend naturellement : il ne s’agit plus seulement de protéger des infrastructures et des données mais aussi d’anticiper, détecter et répondre à des attaques qui manipulent l’information plutôt que le code.
Anticiper : préparer l’entreprise en amont
L’anticipation constitue un levier essentiel pour limiter l’impact des campagnes de désinformation. Elle repose avant tout sur la construction d’un socle commun de compréhension des risques ainsi que sur la formation et l’alignement des équipes. Il s’agit de sensibiliser l’ensemble des parties prenantes (direction générale, communication, juridique, ressources humaines, sûreté, IT), de partager une vision claire des menaces et de synchroniser les acteurs clés avant même qu’une crise ne survienne.
Cette démarche suppose également une cartographie précise des menaces, en qualifiant les risques majeurs (qu’ils soient réputationnels, financiers ou liés à la déstabilisation) et d’intégrer de nouveaux vecteurs tels que l’IA, la manipulation ciblée ou les dispositifs d’amplification organisée. Elle implique également le déploiement d’une veille OSINT et réputationnelle, l’organisation d’une collecte d’information via les communautés d’intérêt et le renforcement de la coopération sectorielle. Enfin, anticiper, c’est aussi structurer une réponse coordonnée, fondée sur des processus clairs, une chaîne de décision définie et des exercices réguliers, garants d’une gestion de crise fluide et maîtrisée.
Détecter : savoir repérer et interpréter les signaux faibles
La détection est une étape clé pour limiter l’impact d’une campagne de désinformation. Contrairement aux cyberattaques classiques, elle ne repose pas uniquement sur l’identification d’anomalies techniques, mais sur la capacité à identifier des signaux faibles sur des surfaces très variées.
Ces signaux peuvent émerger sur de nombreux canaux : noms de domaine récemment créés, forums, réseaux sociaux, médias en ligne, images détournées, campagnes de phishing ou messages ciblés. Ils peuvent également prendre une dimension humaine, à travers des changements de comportement, des messages internes inhabituels, des tentatives de chantage, des appels au boycott ou des pressions exercées sur des collaborateurs y compris des stagiaires. Sur le plan technique, certains indicateurs doivent alerter : pics soudains de trafic ou volumes anormaux de messages. Mais l’analyse doit également porter sur les narratifs utilisés.
Les campagnes de désinformation reposent souvent sur des messages volontairement flous, chargés émotionnellement, insinuant des fautes morales ou professionnelles, mettant en cause l’éthique ou les compétences, et ciblant fréquemment des dirigeants. Des incidents mineurs peuvent ainsi être volontairement amplifiés et présentés comme des défaillances majeures, parfois via de véritables « usines à trolls ». Face à cette diversité de signaux, la détection repose sur une combinaison d’outils et d’acteurs : veille OSINT et réputationnelle, capacités de Cyber Threat Intelligence, recours à l’IA pour analyser de volumes importants, appui des CERT, et coopération avec des organismes institutionnels comme VIGINUM ou l’ANSSI. L’enjeu est de déterminer rapidement si l’information s’inscrit dans une logique de manipulation organisée.
Réagir : structurer une réponse maîtrisée
Lorsque l’attaque est avérée, la réaction doit être rapide, coordonnée et structurée, en mobilisant l’ensemble des acteurs concernés. La première étape consiste à qualifier précisément la nature de l’incident (business, réputationnels ou éthiques), à identifier le type d’attaque, notamment en recherchant d’éventuelles antériorités, puis à cartographier l’ampleur, le périmètre et les publics visés.
Il s’agit ensuite de contenir la propagation en mettant en place une cellule de crise aux rôles et responsabilités clairement définis. Enfin des actions de type forensics sont alors menées afin d’identifier les sources et comprendre les mécanismes de diffusion. Selon la complexité du contexte, le recours à des compétences externes peut d’avérer nécessaire.
La phase de réponse repose sur une communication strictement encadrée entre les réseaux sociaux, clients, externes et internes, et rigoureusement alignée avec les faits établis. Elle s’accompagne d’actions adaptées à la situation. Enfin, un retour d’expérience s’impose pour tirer les enseignements de l’incident, renforcer durablement les dispositifs existants et améliorer la posture globale de résilience de l’entreprise.
Le RSSI est devenu un acteur central de la résilience organisationnelle. Anticiper, détecter, réagir constituent les 3 piliers qui structurent la défense informationnelle. Les entreprises qui sauront les intégrer dès aujourd’hui seront celles qui affronteront la prochaine crise avec le plus de lucidité et d’efficacité.
