Gérer une crise cyber : la dimension humaine, souvent sous-estimée
Plan de continuité, communication, ressources humaines, soutien psychologique : ce qu'une cellule de crise cyber doit anticiper au-delà de la technique.
Lorsqu'une cyberattaque majeure survient, l'enjeu n'est plus seulement de rétablir les systèmes. C'est aussi de gérer l'humain : décideurs sous pression, équipes IT en surchauffe, collaborateurs désorientés, clients inquiets, presse attentive. La dimension humaine de la crise est probablement la plus négligée. C'est pourtant elle qui fait la différence entre une organisation qui se relève et une organisation qui se fracture.
Une crise cyber n'est pas qu'une crise IT
Plusieurs niveaux à gérer simultanément :
- Technique : isolement, investigation, remédiation, restauration.
- Métier : modes dégradés, priorités opérationnelles, communication avec les clients.
- Communication : interne, externe, presse, autorités.
- Humaine : équipes IT (souvent en mode crise plusieurs semaines), collaborateurs déstabilisés, dirigeants.
- Juridique : notification CNIL, ANSSI, assurances, clients.
Une cellule de crise efficace active simultanément ces différents niveaux.
Anticiper la crise par la sensibilisation
La sensibilisation ne prévient pas seulement les attaques : elle prépare aussi à les gérer. Quelques éléments à diffuser :
- Qui contacter en cas de doute (numéro, canal).
- Comment communiquer si les systèmes sont indisponibles.
- Quels gestes ne pas faire (éteindre le PC, débrancher, écraser des fichiers).
- Quels canaux alternatifs utiliser (messagerie de secours, téléphones personnels selon politique).
Le rôle des collaborateurs en crise
En cas d'incident majeur, les collaborateurs deviennent des acteurs centraux :
- ils signalent rapidement (souvent plus vite que la supervision automatique),
- ils respectent les modes dégradés définis,
- ils filtrent les communications vers l'extérieur,
- ils gèrent la pression des clients et partenaires.
Encore faut-il qu'ils aient été préparés. La grande majorité des organisations forme bien sa cellule de crise (5 à 20 personnes), mais oublie le reste des collaborateurs.
La cellule de crise : sa composition
Une cellule de crise cyber doit inclure :
- DG ou son représentant (décisions),
- RSSI / CISO (pilotage technique cyber),
- DSI (rétablissement IT),
- Communication (interne et externe),
- Juridique / DPO (obligations),
- RH (gestion des équipes mobilisées),
- Métier (priorisation des chaînes critiques),
- Conseil externe (forensique, juridique, communication).
À cela s'ajoutent des rôles temporaires : pilote du PCA, coordinateur des prestataires, point de contact ANSSI.
La communication de crise : ne pas s'improviser
Quelques principes :
- Préparer des messages-types à l'avance, à adapter rapidement.
- Identifier le porte-parole (généralement DG, parfois RSSI).
- Centraliser les remontées des collaborateurs.
- Maintenir un canal interne stable et fiable.
- Garder une trace chronologique des décisions et des messages.
La transparence (mesurée) est presque toujours préférable au silence ou au déni : c'est la leçon récurrente des grandes crises cyber des cinq dernières années.
Le soutien aux équipes IT
Les équipes techniques en gestion de crise vivent des situations extrêmes :
- des journées de 14 à 16 heures pendant des semaines,
- une pression constante sur la résolution,
- un sentiment de culpabilité parfois mal placé,
- une fatigue cognitive et émotionnelle.
Anticiper :
- roulements, pas de "marathon" permanent,
- soutien psychologique organisé (souvent oublié, parfois honteux à demander),
- reconnaissance explicite après la crise,
- retour d'expérience dépassionné, sans recherche de bouc émissaire.
La phase d'après : le retour d'expérience
Le retour d'expérience cyber doit être :
- mené à froid (4 à 8 semaines après la crise),
- systémique (pas de chasse aux sorcières),
- action-oriented (sortir avec un plan d'amélioration),
- partagé (en COMEX, en équipes, parfois publiquement).
C'est aussi une occasion en or pour la sensibilisation : transformer l'incident en matière pédagogique partagée, avec respect des personnes impliquées.
Conclusion
Une crise cyber se prépare. Cette préparation a une dimension technique — sauvegardes, PRA, exercices — mais aussi profondément humaine. La sensibilisation à grande échelle constitue, à ce titre, un investissement de résilience au même titre que la souscription d'une cyber-assurance. Pour structurer une démarche cohérente, contactez nos partenaires.
Aller plus loin avec Conscio Technologies
Vous souhaitez mettre en place une démarche de sensibilisation impliquante dans votre organisation ? Découvrez l'approche de Conscio Technologies.