Le jour où l’attaque survient, la valeur de votre dispositif de crise ne se mesure pas à l’épaisseur de sa documentation. Pensez au chiffrement des serveurs à 3 heures du matin, ou à une exfiltration découverte un vendredi soir. En réalité, tout se joue sur une question : votre cellule a-t-elle déjà vécu cette situation en exercice ? Voici pourquoi l’entraînement fait la différence en gestion de crise cyber, et comment s’y prendre.
Ce qu’une crise cyber a de particulier
Une crise cyber cumule trois difficultés rares ailleurs. D’abord, l’incertitude. Pendant des heures, parfois des jours, on ignore l’étendue de la compromission. On ignore aussi si l’attaquant est encore là. Ensuite, l’outillage. La crise frappe précisément les outils qui servent à la gérer, messagerie comprise. D’où la nécessité de moyens de communication hors bande, préparés à l’avance. Enfin, le tempo réglementaire. NIS2 et DORA imposent des notifications en 24 et 72 heures, la CNIL en 72 heures pour les données personnelles. Or ces échéances tombent pendant le brouillard, pas après.
Le dispositif de gestion de crise cyber qui fonctionne
Il faut d’abord une cellule de crise nommée, avec des rôles distincts. Un directeur de crise décide. Un coordinateur tient la main courante et le tempo. Des responsables métiers, IT, juridique et communication complètent l’équipe. Ensuite, des fiches réflexes courtes par scénario : rançongiciel, fuite de données, indisponibilité majeure. Elles valent mieux qu’un plan de 80 pages. Il faut aussi un annuaire de crise à jour, accessible hors SI. Enfin, des seuils de déclenchement explicites. En effet, la pire décision est celle qu’on prend trop tard, faute d’avoir défini quand basculer en mode crise.
L’exercice : là où tout se joue
Un exercice par an est un minimum. Variez les formats : exercice sur table pour la cellule de décision, simulation technique pour les équipes IT, et de temps en temps un exercice surprise. Surtout, les scénarios doivent faire mal aux endroits qui comptent : sauvegardes compromises, dirigeant injoignable, journaliste qui appelle avant la réunion de crise. Ainsi, chaque exercice produit un retour d’expérience tracé, avec des actions correctives suivies, exactement comme un audit. C’est d’ailleurs ce que demande ISO 22301.
Gestion de crise cyber : ce qu’il faut retenir
La gestion de crise cyber est une compétence d’équipe. Or une compétence s’entraîne. Le classeur documente, l’exercice prépare. Ainsi, le jour venu, la mémoire musculaire de la cellule fera la différence entre une crise gérée et une crise subie.