Cyber crise en entreprise : les 6 premières heures décisives

Q: Qui doit faire partie de la cellule de crise cyber ?

La cellule de crise cyber minimale réunit : la direction générale (décisions stratégiques et financières), la DSI ou le responsable informatique (pilotage technique), le DPO ou référent RGPD (obligations réglementaires), le directeur juridique (plainte, assurance, responsabilités), le responsable communication (messages internes et externes). En complément, faites intervenir un prestataire forensic pour l'investigation technique et un conseil en gestion de crise pour la coordination.

Lundi matin, 7h12. Le DSI d'une ETI strasbourgeoise découvre que l'ensemble de ses serveurs affiche un message de rançon. Les postes de travail sont chiffrés, la messagerie est inaccessible, les lignes de production sont à l'arrêt. Les six prochaines heures vont déterminer si l'entreprise survit à cette crise ou si elle y laisse sa réputation, ses clients et sa trésorerie. Ce scénario n'est pas une fiction. Il se joue chaque semaine dans le Grand Est. Voici le protocole.

Pourquoi la cyber crise est la menace n°1 des entreprises alsaciennes

Les chiffres sont sans appel. En France, une entreprise sur deux a subi au moins une cyberattaque significative au cours des douze derniers mois. Les PME et ETI, qui constituent le tissu économique du Grand Est, sont devenues les cibles prioritaires des groupes criminels. La raison est simple : elles disposent de données exploitables, de moyens financiers suffisants pour payer une rançon, mais rarement d'une infrastructure de sécurité à la hauteur de la menace.

L'écosystème strasbourgeois est particulièrement exposé. La concentration d'institutions européennes, de sous-traitants industriels et d'acteurs de la santé fait de l'Alsace un terrain de chasse privilégié. Les attaques par ransomware contre des collectivités territoriales du Grand Est se sont multipliées. Des hôpitaux, des cabinets d'avocats, des PME industrielles de la CUS ont été paralysés, parfois pendant plusieurs semaines.

Le coût moyen d'une cyberattaque pour une PME française dépasse 50 000 euros, sans compter les pertes indirectes : arrêt de production, perte de clients, atteinte à la réputation, sanctions CNIL. Pour une ETI, ce montant grimpe facilement au-delà de 500 000 euros. Et ces chiffres ne tiennent pas compte du coût humain : stress des équipes, perte de confiance, départs de collaborateurs clés.

Ce qui distingue la cyber crise des autres types de crise, c'est sa brutalité. Il n'y a pas de montée en puissance progressive, pas de signaux faibles visibles pour un non-spécialiste. Un matin, tout fonctionne. Le suivant, plus rien. La fenêtre de réaction est extrêmement courte, et chaque mauvaise décision dans les premières heures amplifie les dégâts de manière exponentielle.

Les 60 premières minutes : isoler, comprendre, décider

Les soixante premières minutes après la détection d'une cyberattaque sont les plus critiques. Pas pour résoudre le problème, mais pour éviter qu'il ne s'aggrave. La priorité absolue, avant toute analyse, avant toute communication, c'est l'isolement.

Concrètement, cela signifie : déconnecter physiquement les machines suspectes du réseau, mais ne pas les éteindre. L'extinction détruit les traces en mémoire vive qui seront indispensables à l'investigation forensique. Coupez les accès VPN, désactivez le Wi-Fi invité, isolez les segments réseau compromis. Si vous disposez de sauvegardes, vérifiez immédiatement qu'elles ne sont pas elles aussi chiffrées ou corrompues, sans les connecter au réseau infecté.

Pendant cette phase d'isolement, trois appels doivent partir simultanément. Le premier vers votre prestataire informatique ou votre DSI pour piloter les mesures techniques d'urgence. Le deuxième vers un prestataire spécialisé en réponse à incident (forensic) si vous n'en disposez pas en interne. Le troisième vers la direction générale, parce que les décisions qui vont suivre engagent l'entreprise bien au-delà de la technique.

Règle d'or : ne payez jamais la rançon dans l'urgence. Cette décision ne doit jamais être prise sous la pression des premières heures. L'ANSSI le déconseille formellement. Moins de 30% des entreprises qui paient récupèrent l'intégralité de leurs données, et 80% d'entre elles sont attaquées à nouveau dans l'année.

Documentez tout dès la première minute. Horodatez chaque action, chaque observation, chaque décision. Ce journal de bord sera indispensable pour le dépôt de plainte, la notification CNIL, la déclaration à l'assurance et le retour d'expérience. Prenez des captures d'écran des messages de rançon, photographiez les postes affectés. La préservation des preuves conditionne la suite judiciaire et assurantielle.

Constituer la cellule de crise cyber en urgence

Une cyberattaque n'est pas qu'un problème informatique. C'est une crise d'entreprise qui touche simultanément l'opérationnel, le juridique, le financier, le réputationnel et l'humain. La cellule de crise doit refléter cette réalité.

Autour de la table, cinq fonctions sont indispensables. La direction générale, qui prend les décisions stratégiques et engage les moyens financiers. Le DSI ou le responsable informatique, qui pilote la réponse technique et dialogue avec les prestataires forensic. Le DPO ou le référent RGPD, qui évalue les obligations de notification et prépare la déclaration CNIL. Le directeur juridique, qui coordonne le dépôt de plainte, active les contrats d'assurance cyber et évalue les responsabilités contractuelles vis-à-vis des clients. Le responsable de la communication, qui prépare les messages internes et externes.

En complément de ces ressources internes, trois acteurs externes doivent être mobilisés rapidement. Un prestataire forensic certifié pour conduire l'investigation technique et établir le périmètre de compromission. Un avocat spécialisé en droit du numérique, surtout si des données personnelles sont impliquées. Et un conseil en gestion de crise pour coordonner l'ensemble du dispositif, structurer la prise de décision et préparer la communication.

Direction générale : décisions budgétaires, arbitrages stratégiques, lien avec le conseil d'administration

DSI / IT : pilotage technique, coordination forensic, plan de restauration des systèmes

DPO / RGPD : évaluation des données compromises, notification CNIL sous 72h, information des personnes concernées

Juridique : dépôt de plainte, activation assurance cyber, revue des obligations contractuelles

Communication : messages collaborateurs, clients, partenaires, presse le cas échéant

Conseil externe : forensic, avocat cyber, gestionnaire de crise pour la coordination globale

À Strasbourg, trop d'entreprises découvrent au moment de l'attaque qu'elles n'ont pas de prestataire forensic identifié, pas d'avocat spécialisé dans leur carnet d'adresses, pas de procédure de notification CNIL prête à l'emploi. C'est l'équivalent de chercher le numéro des pompiers pendant que le bâtiment brûle. Ces contacts doivent être identifiés, contractualisés et testés avant la crise.

Communiquer pendant une cyberattaque : ce qu'il faut dire et taire

La communication en situation de cyber crise est un exercice d'équilibriste. Trop en dire expose l'entreprise juridiquement et peut donner des informations utiles aux attaquants. Ne rien dire alimente les rumeurs, érode la confiance et peut constituer un manquement réglementaire. La ligne de crête est étroite, mais elle existe.

En interne d'abord. Les collaborateurs sont les premiers à constater que les systèmes ne fonctionnent plus. Si vous ne leur dites rien, ils combleront le vide d'information par des hypothèses, des messages sur les réseaux sociaux, des appels aux clients pour s'excuser d'un problème qu'ils ne comprennent pas. Le message interne doit partir dans les deux heures : reconnaître l'incident technique, donner des consignes précises (ne pas redémarrer les postes, ne pas brancher de clé USB, ne pas répondre aux sollicitations extérieures), et indiquer un point de contact unique pour les questions.

Vers la CNIL ensuite. Si des données personnelles ont été compromises, le RGPD impose une notification dans les 72 heures suivant la découverte de la violation. Ce délai est impératif. La notification initiale peut être partielle, vous avez la possibilité de la compléter ultérieurement. Mais ne pas notifier dans les temps expose à des sanctions pouvant atteindre 4% du chiffre d'affaires annuel. Le DPO doit évaluer dès H+2 si une notification est nécessaire et préparer le formulaire en ligne sur le site de la CNIL.

Vers les clients et partenaires. La communication externe ne doit intervenir qu'après stabilisation de la situation technique et validation par le juridique. Le message doit être factuel : reconnaissance de l'incident, mesures prises pour protéger les données, actions recommandées aux clients (changement de mot de passe, vigilance sur les tentatives de phishing), point de contact dédié. Ne communiquez jamais sur le vecteur d'attaque, le montant de la rançon ou les détails techniques avant la fin de l'investigation.

Ce qu'il ne faut jamais dire : minimiser l'incident, accuser un collaborateur publiquement, affirmer qu'aucune donnée n'a été compromise avant la fin de l'analyse forensique, communiquer le montant de la rançon, donner des délais de résolution que vous ne maîtrisez pas. Chaque mot prononcé dans les premières heures sera scruté, cité, potentiellement retourné contre vous.

Heure par heure : le protocole des 6 premières heures

H+0 à H+1 · Isolement et confinement

Stopper la propagation

Déconnecter les machines infectées du réseau sans les éteindre. Couper les accès VPN et Wi-Fi. Isoler les segments réseau compromis. Vérifier l'intégrité des sauvegardes sans les connecter au réseau. Documenter et horodater chaque action. Alerter le DSI, le prestataire informatique et la direction générale. Préserver toutes les preuves numériques : captures d'écran, logs accessibles, photos des messages affichés sur les postes.

H+1 à H+2 · Cellule de crise

Structurer la réponse

Réunir la cellule de crise : direction générale, DSI, DPO, juridique, communication. Contacter les prestataires externes : forensic, avocat spécialisé, conseil en gestion de crise. Établir un premier état des lieux : périmètre de compromission estimé, systèmes touchés, données potentiellement exposées. Définir les priorités de restauration. Ouvrir un canal de communication de crise sécurisé (téléphone, messagerie externe non compromise).

H+2 à H+4 · Communication interne et notification CNIL

Informer et protéger

Diffuser le message interne aux collaborateurs : nature de l'incident, consignes précises, point de contact. Évaluer l'obligation de notification CNIL avec le DPO. Préparer la notification initiale si des données personnelles sont compromises. Déposer une pré-plainte en ligne ou contacter le commissariat compétent. Activer le contrat d'assurance cyber. Commencer l'investigation forensique pour déterminer le vecteur d'attaque et le périmètre exact de compromission.

H+4 à H+6 · Communication externe et continuité

Reprendre le contrôle

Préparer et valider la communication externe avec le juridique. Informer les clients et partenaires concernés avec un message factuel et des recommandations concrètes. Activer le plan de continuité d'activité : mode dégradé, procédures manuelles, solutions de contournement. Planifier les points de situation réguliers de la cellule de crise (toutes les 4 heures minimum). Préparer les éléments de langage en cas de sollicitation médiatique.

Cyber crise en chiffres

50%

des PME victimes de cyberattaque ne s'en remettent jamais complètement

72h

délai légal de notification CNIL en cas de fuite de données personnelles

27j

durée moyenne d'interruption d'activité après une attaque par ransomware

Après la tempête : reconstruction et résilience

Les six premières heures sont passées. L'hémorragie est contenue. Mais la crise est loin d'être terminée. La phase de reconstruction peut durer plusieurs semaines, parfois plusieurs mois. Elle exige autant de rigueur et de méthode que la réponse initiale.

Le retour d'expérience (RETEX) est non négociable. Il doit être conduit dans les deux à quatre semaines suivant la résolution de l'incident, quand les souvenirs sont encore frais mais que la pression est retombée. Le RETEX ne cherche pas des coupables, il cherche les failles dans le dispositif. Comment l'attaquant est-il entré ? Pourquoi les mécanismes de détection n'ont-ils pas fonctionné ? La cellule de crise a-t-elle pu se réunir dans des délais acceptables ? La communication a-t-elle été maîtrisée ?

La reconstruction technique doit intégrer un durcissement significatif de l'infrastructure. Segmentation réseau renforcée, authentification multifacteur généralisée, politique de sauvegardes 3-2-1 vérifiée et testée, supervision de sécurité 24/7 si le budget le permet. Trop d'entreprises reconstruisent à l'identique après une attaque. C'est reconstruire la même maison sur le même terrain inondable.

Sur le volet assurantiel, la déclaration de sinistre doit être étayée par le rapport forensique, le journal de crise et l'ensemble des justificatifs de dépenses engagées pendant la crise. Les assureurs cyber sont de plus en plus exigeants sur la qualité de la documentation. Un journal de crise tenu rigoureusement dès la première heure fait la différence entre une indemnisation rapide et un contentieux de plusieurs mois.

La reconstruction de la réputation prend plus de temps que la reconstruction technique. Les clients qui ont été informés avec transparence et rapidité reviennent. Ceux à qui on a menti ou qu'on a laissés dans le silence partent, souvent définitivement. La communication post-crise est aussi stratégique que la communication de crise elle-même : montrer ce qui a été mis en place, les investissements réalisés, les certifications obtenues. Transformer la crise en preuve de résilience plutôt qu'en aveu de faiblesse.

Enfin, utilisez cette expérience pour construire ce qui manquait avant l'attaque : un plan de gestion de crise cyber testé, une cellule de crise identifiée et entraînée, des prestataires contractualisés, des exercices de simulation réguliers. La meilleure assurance contre la prochaine crise, c'est d'avoir traversé la première avec méthode, et d'en avoir tiré toutes les leçons.

Questions fréquentes sur la cyber crise en entreprise

Que faire en premier lors d'une cyberattaque en entreprise ?+

La priorité absolue est l'isolement technique : déconnecter les machines infectées du réseau sans les éteindre, couper les accès VPN et Wi-Fi, préserver les preuves numériques. Alertez immédiatement votre DSI ou prestataire informatique, puis constituez une cellule de crise avec direction générale, juridique et communication.

Faut-il payer la rançon en cas de ransomware ?+

L'ANSSI et les autorités françaises déconseillent formellement le paiement. Payer ne garantit pas la récupération des données, finance les réseaux criminels et fait de vous une cible récurrente. Moins de 30% des entreprises ayant payé récupèrent l'intégralité de leurs données. Concentrez vos efforts sur l'isolation, la préservation des preuves et la restauration à partir de sauvegardes saines.

Quel est le délai de notification CNIL en cas de fuite de données ?+

Le RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte de la violation. Ce délai court dès la prise de connaissance de l'incident. Si les données compromises présentent un risque élevé pour les personnes concernées, vous devez également les informer individuellement. Le non-respect expose à des sanctions pouvant atteindre 4% du chiffre d'affaires.

Qui doit faire partie de la cellule de crise cyber ?+

La cellule minimale réunit : direction générale (décisions stratégiques), DSI (pilotage technique), DPO (obligations RGPD), juridique (plainte, assurance, responsabilités), communication (messages internes et externes). En complément : prestataire forensic, avocat spécialisé en droit du numérique et conseil en gestion de crise.

Comment communiquer avec ses clients après une cyberattaque ?+

Communiquez avec transparence mesurée : reconnaissez l'incident, expliquez les mesures de protection prises, indiquez les actions que vos clients peuvent entreprendre (changement de mot de passe, vigilance), et fournissez un point de contact dédié. Ne communiquez jamais sur les vecteurs d'attaque avant la fin de l'investigation forensique.

Cyrille Cardonne

Président Fondateur · Arkane · Certifié IHEMI · Négociateur de crise certifié

Officier supérieur de gendarmerie, Légion Étrangère Parachutiste, ex-conseiller au cabinet du ministre de l'Intérieur, titulaire du certificat INSEAD « Leadership in the Crisis », certifié IHEMI, membre du Cercle K2 et du CRSI, formateur à l'EM Strasbourg Business School. Expert commentateur sur les chaînes d'information continue (CNEWS, BFM TV, LCI).