Une crise cyber ne commence pas par un rançongiciel. Elle commence par une rupture.
Le moment où la situation ne peut plus être traitée dans le cadre habituel. Les systèmes ne répondent plus comme prévu. Les informations sont fragmentaires. Les hypothèses se multiplient. Les impacts dépassent le seul périmètre technique. Et pourtant, les décisions doivent être prises immédiatement.
C'est à cet instant précis que la question centrale apparaît : comment décide-t-on, collectivement, sous pression et dans l'incertitude ?
DORA oblige désormais les organisations financières à formaliser cette capacité. Mais la formalisation ne suffit pas. Une crise cyber ne se gère pas par la conformité. Elle se traverse par la maturité.
La vraie question n'est pas de savoir si un plan existe. Elle est de savoir si l'organisation saura, le moment venu, décider ensemble quand le réel dépasse le scénario.
La crise cyber : un déséquilibre profond
On réduit souvent la crise cyber à sa dimension technique. C'est une erreur.
Une crise d'origine cyber désorganise immédiatement le fonctionnement courant d'une organisation : indisponibilité de services critiques, interruption d'activités, pertes financières potentielles, atteinte à l'intégrité des données. Elle ne relève plus du traitement incident standard. Elle impose un changement de régime.
Trois caractéristiques structurent ce type de situation.
D'abord, une double temporalité.
Les impacts sont instantanés, mais la remédiation s'inscrit dans le temps long. L'organisation doit absorber un choc brutal tout en engageant un travail technique qui peut durer plusieurs semaines, voire plusieurs mois. La tension entre urgence décisionnelle et lenteur de reconstruction crée une fatigue organisationnelle que peu d'entités anticipent réellement.
Ensuite, une incertitude structurelle.
Au début d'une crise cyber, personne ne dispose d'une vision complète. Le périmètre exact de compromission est flou. Les sauvegardes sont suspectes tant qu'elles ne sont pas vérifiées. L'attaquant peut avoir laissé des accès persistants. Attendre une certitude parfaite reviendrait à ne jamais agir. La gouvernance de crise ne consiste donc pas à éliminer l'incertitude, mais à organiser la décision malgré elle.
Enfin, une transversalité inévitable.
La crise cyber n'est pas un sujet IT. Elle mobilise la direction générale, les métiers, les équipes cyber et infrastructure, la communication, le juridique, la conformité, les ressources humaines. Chacun détient une partie de la solution et une partie du risque. Sans coordination, l'organisation agit en silos. Avec coordination, elle retrouve un pilotage.
De l'incident à la gouvernance exceptionnelle
Ce qui distingue une organisation résiliente d'une organisation vulnérable n'est pas l'absence d'attaque. C'est sa capacité à changer rapidement de mode de fonctionnement.
Lorsqu'un incident devient crise, le cadre habituel de décision ne suffit plus. Les circuits classiques sont trop lents, trop segmentés, trop dépendants d'une information complète.
La gestion de crise constitue alors un mécanisme de gouvernance exceptionnelle. Elle définit qui décide, sur quelle base, avec quelles informations, selon quel rythme. Elle structure la remontée d'informations techniques vers le niveau stratégique. Elle arbitre entre continuité d'activité et niveau de risque acceptable. Elle organise la communication interne et externe.
Autrement dit, elle redonne un cap lorsque l'environnement devient instable.
Dans une crise cyber, cette gouvernance exceptionnelle s'active généralement avant toute autre chose. Avant même d'exécuter des plans de continuité, il faut comprendre, qualifier, prioriser. C'est la cellule de crise qui crée ce cadre.
La cellule stratégique n'a pas vocation à comprendre chaque détail technique. Elle doit en revanche assumer les arbitrages. Elle décide si le coût opérationnel d'une isolation est acceptable au regard du risque de propagation.
Dans ce moment, la question n'est pas "que dit la procédure ?". La question est : "quel niveau de risque sommes-nous prêts à accepter ?"
Contenir sans paralyser
La première exigence d'une crise cyber est l'endiguement. Isoler un segment réseau. Couper un accès distant. Déconnecter un système compromis. Ces mesures techniques sont parfois radicales. Elles peuvent elles-mêmes provoquer une interruption d'activité. C'est précisément là que la coordination entre pilotage stratégique et équipes techniques devient déterminante.
Couper trop tôt peut désorganiser inutilement. Couper trop tard peut aggraver la compromission.
Comprendre sans s'égarer
Une fois la propagation stabilisée, l'organisation entre dans une phase plus complexe : comprendre ce qui s'est réellement passé. L'investigation numérique vise à identifier le vecteur d'entrée, le chemin de compromission, la persistance éventuelle de l'attaquant. Mais elle ne peut pas devenir un objectif en soi. Chercher à tout comprendre parfaitement avant d'agir expose à un blocage décisionnel.
Il faut trouver un équilibre entre investigation et reconstruction. Relancer trop vite expose à une nouvelle compromission. Attendre trop longtemps paralyse l'organisation.
C'est ici que la maturité stratégique se manifeste. La direction doit arbitrer entre rapidité de reprise et exigence de sécurisation. Elle doit également maintenir la confiance de l'écosystème : clients, partenaires, autorités, collaborateurs. La communication devient un levier de stabilisation autant qu'un risque supplémentaire. Trop d'informations non consolidées fragilisent la crédibilité. Trop peu d'informations alimentent la défiance.
La gestion de crise cyber est donc aussi une gestion de la perception.
Reconstruire un cœur de confiance
La sortie progressive de crise passe par la reconstruction. Il ne s'agit pas simplement de remettre les systèmes en production. Il s'agit de recréer un cœur de confiance. Cela suppose souvent de reconstruire des briques structurantes : gestion des identités, accès privilégiés, supervision, segmentation. Les pratiques d'administration sont revues. Les privilèges sont réduits. Les contrôles sont renforcés.
Cette phase est coûteuse, longue et parfois inconfortable pour les métiers. Elle impose des contraintes nouvelles. C'est pourquoi elle doit être portée au niveau stratégique. Sans soutien explicite de la direction, les anciennes habitudes réapparaissent rapidement.
Sortir de crise ne signifie pas revenir à l'état antérieur. Cela signifie revenir dans un état maîtrisé, potentiellement plus robuste qu'avant.
DORA : formaliser la maturité
Dans ce contexte, DORA n'invente pas la gestion de crise cyber. Il la rend opposable. Le règlement impose une gouvernance claire des incidents majeurs, des critères d'activation documentés, une articulation formalisée entre gestion de crise et continuité d'activité, des tests réguliers et une traçabilité des décisions.
Mais aucun texte ne peut créer, à lui seul, la capacité collective à décider sous pression. La conformité peut exiger des procédures ; elle ne garantit pas la coordination réelle, ni la qualité des arbitrages.
La résilience opérationnelle ne se démontre pas uniquement par des documents. Elle se démontre par la capacité à tenir dans la durée, à absorber le choc initial et à adapter la stratégie à mesure que la situation évolue.
Être résilient face à une crise cyber ne signifie pas éviter toute attaque. Cela signifie être capable de traverser la rupture sans perdre le pilotage.
Être résilient, vraiment
Cela suppose : une gouvernance capable de fonctionner en régime exceptionnel ; des équipes techniques structurées et coordonnées ; des métiers préparés au fonctionnement dégradé ; une direction capable d'arbitrer en incertitude ; et une organisation qui accepte que la reconstruction prenne du temps.
La vraie question n'est donc pas de savoir si un plan existe. Elle est de savoir si l'organisation saura, le moment venu, décider ensemble quand le réel dépasse le scénario.