Conseil en Gestion de Crise & Résilience Opérationnelle

Cyberattaque : comment activer efficacement sa cellule de crise

Une cyberattaque majeure ne donne pas de signe avant-coureur. Elle commence souvent par une anomalie discrète, détectée trop tard. Ce qui fait la différence entre une crise maîtrisée et une crise qui dégénère, ce n'est pas la technologie — c'est la capacité de l'organisation à activer au bon moment une cellule de crise structurée, à décider vite et à tenir dans la durée.
gestion de crise cyberattaque
72h Délai moyen de détection d'une intrusion en Europe en 2025
+49% Hausse des attaques ransomware sur des organisations en 2025
4h Fenêtre critique pour contenir une attaque avant propagation

Une cyberattaque ne ressemble pas à ce que l'on imagine. Elle ne déclenche pas de sirène. Elle commence souvent par une anomalie discrète : un système qui rame, un accès qui échoue, une alerte que personne ne voit dans les logs. Quand l'organisation comprend ce qui se passe, l'attaquant est déjà là depuis des heures, parfois des jours.

Ce que les incidents des dernières années ont clairement démontré, c'est que la problématique première n'est pas d'ordre technique. Les organisations qui s'en sortent le mieux sont celles qui savaient quoi faire dans les premières heures, qui appeler, quoi couper, comment décider, comment parler. plus que celles qui avaient le meilleur firewall.

Les événements récents fournissent le contexte le plus éloquent qui soit.

Nov. 2019
Rouen
Cyberattaque au ransomware sur le CHU de Rouen. Les serveurs sont chiffrés en pleine nuit. Le personnel revient au papier et aux stylos. Les opérations non urgentes sont déprogrammées. L'hôpital met trois semaines à retrouver un fonctionnement normal. Premier grand hôpital français touché - pas le dernier.
Fév. 2021
Dax
Le Centre Hospitalier de Dax subit une attaque ransomware. Dossiers patients inaccessibles, imagerie hors service, bloc opératoire perturbé. Des patients doivent être transférés dans d'autres établissements. Coût estimé : plusieurs millions d'euros. Le ministre de la Santé est sur place dès le lendemain.
Mai 2021
États-Unis
Ransomware sur Colonial Pipeline, principal opérateur d'oléoduc de la côte Est américaine. L'entreprise coupe elle-même ses systèmes par précaution - décision de crise, pas de l'attaquant. Pénuries d'essence dans plusieurs États. Rançon payée : 4,4 millions de dollars. Leçon : la décision de couper un système critique est une décision de direction générale, pas de l'équipe IT.
Août 2023
Las Vegas
Attaque simultanée sur MGM Resorts et Caesars Entertainment. MGM refuse de payer - ses systèmes restent en panne dix jours. Machines à sous manuelles, check-in papier, pertes estimées à 100 millions de dollars. Caesars paie environ 15 millions. Les deux approches font école : l'une préserve l'argent, l'autre préserve le temps.
Juin 2024
Royaume-Uni
Ransomware du groupe Qilin sur Synnovis, prestataire d'analyses biologiques pour le NHS londonien. Des milliers d'opérations reportées. La transfusion sanguine perturbée. Des hôpitaux majeurs - King's College, Guy's and St Thomas' - tournent en mode dégradé pendant des semaines. Le prestataire, pas l'hôpital, était la cible : mais c'est l'hôpital qui a subi.
Sept. 2025
Europe
Ransomware sur Collins Aerospace, éditeur du logiciel d'enregistrement MUSE utilisé dans plusieurs aéroports européens. Bruxelles, Heathrow, Berlin, Dublin paralysés simultanément. Un seul fournisseur logiciel - quatre pays affectés en cascade. La cellule de crise de chaque aéroport s'est activée sur un incident qu'elle n'avait pas anticipé.
Jan. 2026
Belgique
L'hôpital belge AZ Monica est victime d'une cyberattaque. Tous les systèmes sont arrêtés le 7 janvier. Une semaine plus tard, l'hôpital ne fonctionne qu'à moitié. Premier incident majeur documenté en Europe pour 2026.
Constat clé

Ces organisations n'étaient pas négligentes. Ce qui a fait la différence, c'est la capacité à activer une cellule de crise structurée, à prendre des décisions en temps contraint et à maintenir une communication cohérente à destination de l'intérieur et de l'extérieur.

Une cyberattaque n'est pas un incident informatique

La première erreur commise par la grande majorité des organisations est de confier la gestion d'une cyberattaque à l'équipe informatique. Cette erreur est compréhensible. L'attaque est technique, les premiers signaux sont techniques, les premières actions à mener sont techniques. Mais elle est coûteuse.

Une cyberattaque majeure est une véritable crise d'entreprise. Elle engage simultanément la continuité opérationnelle, la responsabilité juridique, la relation avec les autorités de contrôle (ANSSI, CNIL, régulateurs sectoriels), la communication externe, la relation avec les clients, les fournisseurs, les actionnaires. Aucune de ces dimensions ne relève de l'équipe IT seule.

Le cas Colonial Pipeline est à ce titre éclairant. La décision de couper le pipeline, choix qui a provoqué de graves pénuries, a été prise pour protéger les systèmes informatiques, pas les installations physiques. C'est une décision de gestion de crise qui n'avait été ni anticipée ni préparée. Elle a été adoptée dans l'urgence, sans arbitrage de la direction générale, et ses conséquences ont été trés impactantes.

Ce que cela implique

Dès qu'une cyberattaque dépasse le périmètre d'un incident technique courant, c'est-à-dire dès qu'elle affecte la continuité d'activité, expose des données sensibles ou nécessite une notification réglementaire, elle doit déclencher l'activation d'une cellule de crise placée sous l'autorité de la direction générale.

Quand activer la cellule de crise cyber ?

La question du seuil d'activation est l'une des plus mal résolues dans les organisations. Trop souvent, la cellule de crise n'est activée qu'une fois que le désastre est avéré, quand les serveurs sont chiffrés, quand les données ont fuité, quand la presse a appelé. À ce stade, la fenêtre d'action optimale est déjà en partie fermée.

Les critères d'activation doivent être définis à froid, dans le plan de gestion de crise, et connus de tous les acteurs concernés. Voici les seuils qui font consensus dans les pratiques les plus matures :

Propagation détectée : l'incident ne se limite plus à un poste ou un système isolé.Il s'étend à plusieurs machines, plusieurs segments réseau ou plusieurs sites.
Système critique affecté : un système de production, un outil métier indispensable, un accès client ou un système de paiement est compromis ou indisponible.
Données sensibles exposées : des données personnelles, confidentielles ou stratégiques ont vraisemblablement été exfiltrées, ce qui déclenche une obligation de notification RGPD dans les 72 heures.
Ransomware confirmé : des fichiers sont chiffrés, une demande de rançon est reçue, ou un groupe revendique l'attaque sur un site de fuite.
Continuité d'activité menacée : l'organisation ne peut plus assurer tout ou partie de son activité normale dans un délai raisonnable sans action de crise.
Pression externe : un client, un partenaire, un régulateur ou un journaliste a contacté l'organisation au sujet de l'incident avant qu'elle n'ait communiqué.

La règle pratique : en cas de doute, on active. Il est toujours possible de désactiver une cellule de crise si l'incident se révèle maîtrisable. Il est beaucoup plus difficile de rattraper une situation qui a dégénéré faute d'activation à temps.

 

Composer et organiser la cellule de crise cyber

Une cellule de crise cyber efficace n'est pas l'équipe de réponse à incident (CSIRT ou SOC). Elle ne se substitue pas aux équipes techniques. Elle les pilote, les soutient et gère tout ce qu'elles ne peuvent pas gérer seules.

Sa composition minimale réunit trois dimensions : la dimension technique, la dimension décisionnelle et la dimension relationnelle.

Direction générale : présence ou représentation obligatoire dès l'activation. C'est à ce niveau que se prennent les arbitrages critiques : couper un système, notifier un régulateur, payer ou ne pas payer une rançon.
RSSI / DSI : pilote l'équipe technique de réponse à incident. Fournit à la cellule une lecture lisible de la situation technique et des options disponibles.
Directeur juridique : évalue les obligations de notification (ANSSI, CNIL, AMF selon le secteur), les responsabilités contractuelles et les risques contentieux.
Direction communication : prépare et valide les messages internes et externes, gère la relation avec les journalistes, suit les réseaux sociaux.
Directeur métier concerné : représente les opérations affectées, évalue l'impact sur l'activité et priorise les systèmes à restaurer en premier.
Responsable assurance : active la couverture cyber si elle existe, coordonne avec l'assureur sur les décisions sensibles (paiement de rançon notamment).

La cellule doit disposer d'un espace de travail dédié, physique et virtuel, avec des moyens de communication indépendants des systèmes potentiellement compromis. Un canal de messagerie externe (Signal, téléphone) doit être prévu dès le plan de crise, avant l'incident.

 

Les priorités des premières heures

Les premières heures d'une cyberattaque sont déterminantes. Ce qui se passe dans cette fenêtre conditionne l'ampleur des dommages, la durée de la crise et la capacité de l'organisation à récupérer. Voici la séquence des actions critiques.

Délai Actions prioritaires
0–30 min Qualifier l'incident (ransomware, intrusion, exfiltration, DDoS). Activer la cellule de crise. Notifier le RSSI et la direction. Ne pas éteindre les machines sans avis technique, les logs peuvent être perdus.
30–60 min Isoler les systèmes affectés (déconnecter du réseau sans éteindre). Identifier les systèmes critiques non encore touchés et les protéger en priorité. Sécuriser les sauvegardes. Activer les moyens de communication alternatifs.
1–4 h Évaluer l'étendue de la compromission avec l'équipe technique. Mandater un prestataire de réponse à incident si nécessaire. Informer le comité de direction. Préparer la notification ANSSI si l'organisation est OIV ou entité critique.
4–24 h Notifier la CNIL si des données personnelles sont exposées (délai légal : 72h). Activer le plan de continuité pour les fonctions critiques. Préparer la communication externe. Documenter toutes les décisions prises.
24–72 h Communiquer auprès des parties prenantes (clients, partenaires, autorités). Lancer la phase de restauration en environnement assaini. Maintenir un point de situation régulier - au minimum toutes les 4 heures.
Erreur fréquente

Nombreuses sont les organisations qui, dans les premières minutes, cherchent à minimiser ou à attendre de mieux comprendre avant d'alerter la direction. Chaque heure perdue à ce stade élargit le périmètre de l'attaque et réduit les options de réponse disponibles.

La communication de crise en situation cyber

Une cyberattaque génère une pression communicationnelle particulière. Elle touche à des données potentiellement sensibles, elle implique des tiers (clients, partenaires, sous-traitants), elle suscite des questions sur la robustesse de l'organisation. Et elle se déroule souvent sous le regard des médias spécialisés et des acteurs du secteur.

Trois principes guident la communication de crise cyber :

Parler en premier : l'organisation doit prendre la parole avant que l'information ne soit divulguée par des tiers (journalistes, chercheurs, groupe d'attaquants). Chaque heure d'avance sur la prise de parole publique est un avantage réputationnel.
Ne dire que ce que l'on sait : les déclarations imprécises ou les promesses impossibles à tenir créent des crises secondaires. "Nous sommes victimes d'un incident de sécurité informatique, nous mettons tout en œuvre pour y répondre" est une réponse honnête et défendable.
Séparer les publics : les messages destinés aux collaborateurs, aux clients, aux partenaires, aux autorités et aux médias doivent être distincts, même s'ils partagent les mêmes faits. Le registre, le niveau de détail et le canal diffèrent selon chaque cible.

La communication interne est souvent négligée dans les plans de crise cyber. Or les collaborateurs - qui peuvent être à l'origine d'une fuite d'information vers l'extérieur, ou au contraire de facteurs de réassurance - doivent être informés rapidement et clairement. L'absence de communication interne génère de la rumeur, de l'anxiété et parfois des comportements contre-productifs.

 

Un sujet de direction générale

La gestion d'une cyberattaque ne peut pas rester confinée à la DSI ou au RSSI. Elle engage des décisions que seule la direction générale est habilitée à prendre : couper un système de production, notifier un régulateur, activer une clause contractuelle, communiquer publiquement sur un incident.

Les organisations les plus résilientes face aux cyberattaques partagent une caractéristique commune : leur direction générale a été impliquée dans la conception du plan de crise cyber avant l'incident, elle connaît les scénarios, elle sait ce qu'elle devra décider et dans quel délai. La cellule de crise est un dispositif qu'elle a validé en temps utiles et qu'elle active.

À l'inverse, les crises qui dégénèrent sont souvent celles où la direction générale découvre l'ampleur de l'incident en même temps qu'elle doit décider. Ce qui peut avant tout 'être analysé comme un problème'expliquer par un déficit de préparation.

En résumé

Activer efficacement sa cellule de crise face à une cyberattaque suppose trois prérequis : des critères d'activation définis à froid, une composition et des rôles clairs connus de tous les membres, et des premières actions planifiées qui ne laissent rien à l'improvisation dans les heures critiques.

Altaïr Conseil vous accompagne

Notre équipe accompagne les organisations dans la structuration de leur dispositif de crise cyber - de la rédaction du plan à l'entraînement des équipes en passant par l'audit de maturité.

Nous contacter