Une cyberattaque est une crise, pas qu'un incident IT
Rançongiciel, fuite de données, blocage des systèmes : quand l'informatique tombe, le réflexe est de tout confier aux experts techniques. Or l'attaque technique n'est que la moitié du problème. L'autre moitié — décider, communiquer, maintenir l'activité, coordonner — est une crise au sens plein, qui se pilote depuis une cellule de crise. C'est souvent ce volet organisationnel, plus que la technique, qui décide de l'ampleur des dégâts.
> CDFPI traite le volet organisationnel de la crise cyber (décision, communication, continuité). La réponse technique relève d'experts en cybersécurité, avec lesquels la cellule se coordonne.
Ce que la cellule de crise doit gérer
| Volet | Enjeu |
|---|---|
| Décision | Isoler, arrêter, payer ou non, déclarer — des choix lourds et rapides |
| Communication | Salariés, clients, partenaires, autorités (dont CNIL si données) |
| Continuité | Maintenir les activités critiques en mode dégradé (PCA) |
| Juridique & obligations | Notifications, dépôt de plainte, preuves |
| Coordination | Dialogue cellule / experts techniques / direction |
Pendant que les techniciens travaillent à rétablir, la cellule pilote l'entreprise dans la tourmente.
> L'expertise CDFPI. Cet article est signé CDFPI, dont les intervenants pilotent la crise sous pression (commandement opérationnel, anciens des Forces Spéciales) et la prévention (IPRP). Nous préparons votre cellule au scénario cyber via la formation gestion de crise. → Voir le parcours
La frontière technique / organisationnel
La distinction est structurante. La réponse technique — investigation, confinement, éradication, remédiation, restauration des systèmes — relève d'experts dédiés en cybersécurité (équipe interne, prestataire de réponse à incident, hébergeur). Le volet organisationnel — décider, communiquer, maintenir l'activité, coordonner les acteurs et tenir dans la durée — relève de la cellule de crise, et c'est sur ce terrain qu'intervient CDFPI. Les deux ne se substituent pas : ils avancent en parallèle et se coordonnent en continu. Une réponse technique brillante peut être ruinée par une communication catastrophique, et inversement.
Une crise qui dure : l'enjeu du temps long
Une cyberattaque majeure ne se règle pas en quelques heures. La remédiation et la reconstruction peuvent prendre des jours, parfois des semaines. La cellule doit donc s'organiser en relèves (on ne tient pas plusieurs jours sans dormir), tenir une main courante rigoureuse des décisions, et gérer l'usure des équipes. Cette dimension d'endurance, propre à la crise cyber, est souvent sous-estimée par rapport à un sinistre physique plus bref.
Anticiper : le mode dégradé
Le pire moment pour découvrir qu'on ne sait plus travailler sans informatique, c'est pendant l'attaque. Préparer un mode dégradé (procédures papier, sauvegardes, contacts, priorités) au sein du plan de continuité permet de tenir pendant que les systèmes se rétablissent. C'est de la résilience, pas de la technique.
Concrètement, que prévoir ?
Le mode dégradé se prépare à froid, activité par activité :
La prévention humaine, première barrière
Beaucoup d'attaques commencent par une faille humaine (hameçonnage, ingénierie sociale). Le volet organisationnel de la crise cyber prolonge donc la prévention de la sûreté physique et humaine : sensibiliser les équipes réduit la probabilité… et prépare les réflexes le jour de la crise. Un collaborateur formé à repérer un courriel suspect et à le signaler vite fait gagner des heures précieuses ; la rapidité du signalement est souvent ce qui limite l'ampleur de l'attaque.
S'entraîner au scénario cyber
Un exercice de crise sur scénario cyber révèle les angles morts : qui décide d'isoler le réseau ? comment communique-t-on sans messagerie ? comment continue-t-on à livrer ou à payer ? On découvre toujours, en exercice, des failles qu'aucune procédure écrite ne montrait.
Les questions qu'un exercice doit trancher
Un bon scénario cyber force la cellule à répondre, sous pression, à des questions très concrètes : qui a autorité pour débrancher un système et arrêter la production ? quelle position de principe sur la rançon, décidée à froid avec un conseil juridique ? quand et comment notifier les autorités compétentes (dont la CNIL en cas de données personnelles) et déposer plainte ? comment préserver les preuves sans gêner la remédiation ? Mieux vaut buter sur ces questions en exercice que les découvrir le jour de l'attaque.
Questions fréquentes
La crise cyber relève-t-elle de l'informatique ou de la direction ?
Des deux : la technique gère l'attaque, la cellule de crise gère l'entreprise. Les deux se coordonnent en permanence.
Faut-il payer une rançon ?
C'est une décision lourde, à anticiper à froid (position de principe, conseil juridique, autorités). On ne l'improvise pas dans l'urgence.
CDFPI fait-il de la cybersécurité technique ?
Non : nous préparons le volet organisationnel et humain (cellule, décision, communication, continuité), en complément des experts techniques.
Pouvez-vous nous entraîner ?
Oui, par un exercice de crise sur scénario cyber, dans le 06, en PACA et à Monaco.
Conclusion
Face à une cyberattaque, l'entreprise qui s'en sort le mieux n'est pas seulement celle qui rétablit vite ses systèmes : c'est celle qui a préparé son volet organisationnel — cellule, décisions, communication, continuité. La technique répare les machines ; l'organisation sauve l'entreprise.
Pour aller plus loin :
---
📍 Crise cyber (volet organisationnel) — Nice, 06, PACA, Monaco — CDFPI
Décision • communication • continuité • coordination