Crise cyber : comprendre, anticiper, réagir
Une crise cyber dépasse, par son intensité ou sa propagation, la capacité routinière de réponse de votre dispositif de sécurité. Avec NIS2 entrée en application en octobre 2024, le RGPD et l'écosystème ANSSI / CERT-FR / CNIL, les obligations se durcissent — et les attaquants accélèrent. Définition, cadre, mécanismes et 7 réflexes opérationnels.
La crise cyber n'est pas un incident technique. C'est une crise organisationnelle, communicationnelle, juridique et politique qui se déclenche à partir d'un événement informatique. Sa gestion mobilise bien au-delà du SOC : direction générale, communication, juridique, RH, opérations métier, partenaires, autorités. Elle exige une préparation spécifique parce qu'elle combine des paramètres atypiques en gestion de crise — temporalité courte, opacité technique, juridiction multiple, médiatisation.
En 2024, l'ANSSI a traité plus de 3 700 événements de sécurité relevant de son périmètre, dont environ 300 incidents cyber significatifs. La directive NIS2 (UE 2022/2555), entrée en application le 17 octobre 2024, élargit massivement le périmètre des entités soumises à des obligations de cybersécurité — environ 15 000 entités françaises contre quelques centaines auparavant. Le risque cyber est devenu une obligation réglementaire transverse.
Chez Twist, marque gestion de crise de SCOPIC (société coopérative de production), cette sectorielle synthétise le cadre, les mécanismes et les réflexes opérationnels propres à la crise cyber. Elle complète notre pilier gestion de crise en focalisant sur cette typologie spécifique. Pour la dimension cellule, voir cellule de crise. Pour la décision sous pression, voir décision en crise. Pour la détection précoce, voir signaux faibles.
L'essentiel à retenir
- Une crise cyber n'est pas un incident technique. C'est une crise multi-dimensionnelle (organisationnelle, juridique, communicationnelle, politique) déclenchée par un événement informatique.
- NIS2 change la donne en France depuis octobre 2024. Environ 15 000 entités sont désormais soumises à obligations renforcées (vs quelques centaines avant) — collectivités de plus de 30 000 habitants, ETI, opérateurs critiques élargis.
- Le ransomware reste la menace dominante. Cible principale en 2024-2025 : ETI, collectivités locales, établissements de santé, sous-traitants des OIV (supply chain attack).
- Trois autorités à connaître : ANSSI/CERT-FR (réponse technique et NIS2), CNIL (notification RGPD sous 72h en cas de fuite de données), autorités sectorielles (ARS, banque centrale, etc.).
- Sept réflexes opérationnels dans les premières heures : isoler, activer la cellule, préserver les preuves, notifier, communiquer, mobiliser un cabinet d'incident response, préparer la reprise.
- Le paiement de la rançon est déconseillé par l'ANSSI. Aucune garantie de récupération, financement de l'écosystème criminel, exposition juridique des dirigeants.
- La récupération opérationnelle prend 2 à 6 semaines, la reconstruction complète 3 à 6 mois. Avoir un PCA / PRA exercé divise ce délai par 3 à 5.
- Cellule cyber technique et cellule de crise générale doivent être séparées mais coordonnées par un coordinateur dédié, généralement le RSSI.
Sommaire du guide
Qu'est-ce qu'une crise cyber ?
Une crise cyber désigne un événement de sécurité informatique dont l'intensité, la propagation, l'impact métier ou la médiatisation dépassent la capacité routinière de réponse de l'organisation et exigent l'activation d'un dispositif de crise étendu. Elle se distingue de l'incident technique courant — qui se traite par le SOC et les procédures standard — par sa dimension multi-acteurs et son potentiel d'impact systémique.
Les critères qui qualifient une crise cyber
- Indisponibilité prolongée d'un système métier critique au-delà du seuil défini dans le PCA (typiquement 4 à 24 heures selon les organisations).
- Compromission massive ou suspicion de compromission de données personnelles (déclencheur RGPD article 33) ou de données sensibles métier.
- Impact externe visible : clients, usagers, partenaires, médias, ou notification réglementaire obligatoire.
- Médiatisation avérée ou probable, qui transforme l'incident en sujet de communication de crise.
- Engagement de la responsabilité juridique de la direction, des dirigeants, ou de l'organisation au titre du RGPD, de NIS2, de la LPM, du droit pénal.
Exemples typiques en France et en Europe
Plusieurs grandes attaques récentes illustrent le périmètre. WannaCry (mai 2017) a touché environ 200 000 organisations dans 150 pays, dont des hôpitaux du NHS britannique. NotPetya (juin 2017) a coûté plus de 10 milliards de dollars globalement, avec Maersk seul à plus d'un milliard. Colonial Pipeline (mai 2021), ransomware qui a paralysé l'approvisionnement en carburant de la côte est américaine pendant plusieurs jours. MOVEit (mai-juin 2023), attaque sur la chaîne d'approvisionnement logicielle qui a compromis plus de 2 600 organisations dans le monde, dont plusieurs administrations françaises.
En France, plusieurs hôpitaux (CHU de Rouen 2019, hôpital de Corbeil-Essonnes 2022, CHSF de Corbeil 2022, plusieurs hôpitaux régionaux 2023-2024), collectivités locales (Marseille 2020, métropole d'Aix-Marseille-Provence 2022, La Rochelle 2024) et ETI ont fait l'objet de crises cyber documentées. Aucun secteur n'est épargné.
Pourquoi vous êtes concerné·e
Le risque cyber a longtemps été perçu comme un problème de grandes entreprises ou d'administrations exposées. Cette représentation est dépassée. La généralisation du ransomware-as-a-service, l'industrialisation des attaques et l'élargissement du périmètre NIS2 font de chaque organisation une cible potentielle.
La menace cyber en chiffres
Le ransomware reste la menace dominante, avec une concentration croissante sur les ETI, collectivités locales et établissements de santé. La compromission de la chaîne d'approvisionnement (un sous-traitant utilisé comme vecteur) est la dynamique en plus forte croissance.
Les profils particulièrement exposés
Établissements de santé : densité de données personnelles sensibles, dépendance au numérique pour le soin, faiblesses historiques d'investissement cyber. Cibles privilégiées des ransomwares depuis 2019.
Collectivités locales : très exposées par la combinaison données personnelles, services aux citoyens, budgets cyber souvent limités, écosystème de sous-traitants hétérogène. Cibles fréquentes de ransomware avec impact public massif.
ETI industrielles : exposition forte par la convergence IT-OT (informatique de gestion + systèmes industriels), dépendance à la continuité de production, attractivité financière pour les groupes de ransomware.
Sous-traitants des OIV et OSE : utilisés comme vecteur pour atteindre une cible plus protégée. Le périmètre NIS2 étend désormais des obligations à ces sous-traitants.
Cabinets de conseil, avocats, experts-comptables : agrégateurs de données sensibles de leurs clients, cibles de plus en plus prisées.
Cadre réglementaire applicable
Le cadre réglementaire français et européen s'est densifié massivement depuis 2018 et plus encore en 2024-2025. Cinq textes structurent les obligations selon le périmètre de l'organisation.
| Texte | Périmètre | Délai de notification | Sanction max |
|---|---|---|---|
| RGPD UE 2016/679 · 2018 |
Toute organisation traitant des données personnelles · Autorité : CNIL | 72h à la CNIL après prise de connaissance · Information personnes si risque élevé | 20 M€ ou 4 % du CA mondial |
| NIS2 UE 2022/2555 · 17/10/2024 |
~15 000 entités essentielles ou importantes en France · Autorité : ANSSI / CERT-FR | Alerte précoce 24h · Notification 72h · Rapport final 1 mois | 10 M€ ou 2 % du CA mondial · responsabilité personnelle des dirigeants |
| DORA UE 2022/2554 · 17/01/2025 |
Banques, assurances, gestionnaires d'actifs, prestataires financiers · Autorité : ACPR / AMF | Délais sectoriels selon le superviseur · Tests TLPT obligatoires | 1 % du CA quotidien moyen jusqu'à mise en conformité |
| LPM France · 2018+ |
Opérateurs d'Importance Vitale (OIV) sur SAIV · Autorité : ANSSI / SGDSN | Notification immédiate à l'ANSSI · Conformité RSAS | 150 k€ + sanctions pénales |
| Cyber Solidarity Act UE · 2024 |
Réserve européenne de cybersécurité mobilisable en crise transfrontalière · Coordination ENISA | Activation sur demande de l'État membre | (cadre de solidarité, pas de sanction) |
Point critique sur les délais
NIS2 et RGPD imposent des délais de notification très courts (24h ou 72h). Une organisation qui découvre un incident grave doit avoir un dispositif préalable lui permettant de qualifier rapidement, de mobiliser le RSSI et le DPO, de notifier dans les délais. La sanction du défaut de notification s'ajoute aux conséquences de l'attaque elle-même.
Mécanismes et facteurs aggravants
Comprendre comment se déclenche une crise cyber permet de mieux la prévenir. Une attaque suit typiquement un cycle de vie en 5 étapes — la cyber kill chain formalisée par Lockheed Martin. Détecter l'intrusion avant l'étape 4 change radicalement l'impact.
1. Reconnaissance
Collecte d'infos sur la cible (OSINT, scan)
2. Intrusion initiale
Phishing, faille exploitée, identifiants volés
3. Mouvement latéral
Privilege escalation, persistance, exfiltration
4. Déclenchement
Chiffrement, fuite, sabotage, blocage
5. Crise organisationnelle
Notification, communication, conséquences cascade
Plusieurs vecteurs d'entrée et plusieurs facteurs d'amplification structurent la cinétique des attaques.
Les vecteurs d'entrée principaux
- Phishing ciblé (spear phishing) : email malveillant adressé à une personne spécifique, souvent un cadre dirigeant ou un acteur clé du SI. Premier vecteur statistique.
- Vulnérabilité non patchée : exploitation d'une faille connue mais non corrigée sur un service exposé (VPN, RDP, application web). Particulièrement courante sur les équipements de bordure.
- Compromission de la chaîne d'approvisionnement (supply chain) : un fournisseur ou éditeur de logiciel est compromis, l'attaquant utilise sa relation de confiance pour atteindre les clients (cas SolarWinds 2020, MOVEit 2023, 3CX 2023).
- Identifiants compromis : credentials volés sur le dark web, réutilisés pour des attaques de connexion. L'absence de MFA généralisée transforme cette compromission en intrusion réussie.
- RDP exposé : ports d'administration distante exposés sur Internet, scannés en permanence, exploités à coup de force brute ou de credentials volés.
- Initial Access Brokers : écosystème criminel structuré qui revend des accès initiaux à des opérateurs de ransomware spécialisés dans l'extorsion.
Les facteurs aggravants organisationnels
Dette technique accumulée : systèmes anciens non patchés, dépendances logicielles obsolètes, architectures fragmentées sans cartographie. La dette technique est l'un des indicateurs les plus prédictifs d'une crise cyber à venir.
Absence de sauvegardes hors ligne testées : sauvegardes connectées au réseau, donc compromises avec lui en cas de ransomware. La règle 3-2-1 (3 copies, 2 supports, 1 hors site) reste insuffisamment appliquée.
MFA absent ou partiel : la généralisation de l'authentification multi-facteurs sur tous les accès, particulièrement administration et accès distant, divise drastiquement la probabilité d'intrusion par credentials compromis.
Convergence IT-OT : pour les industriels, l'interconnexion entre informatique de gestion et systèmes industriels (automates, IHM) ouvre des chemins d'attaque vers la production physique.
Hyper-dépendance numérique : organisation où l'arrêt du SI signifie l'arrêt complet de l'activité. Sans procédure dégradée manuelle, le délai d'impact métier est immédiat.
Absence de plan de gestion de crise cyber : la découverte du dispositif au moment de l'attaque conduit à des décisions improvisées coûteuses.
Typologie des cyberattaques génératrices de crise
Les cyberattaques se déclinent en plusieurs grandes catégories aux dynamiques de crise différentes. Douze formes structurent l'essentiel du paysage 2024-2026.
Ransomware →
Chiffrement des données contre rançon, souvent avec double extorsion (chiffrement + menace de publication). Forme dominante depuis 2019. Acteurs : LockBit, BlackCat, Cl0p, Akira, Play.
Vol et fuite de données →
Exfiltration de données personnelles, financières, commerciales, propriété intellectuelle. Crise déclenchée par la découverte de la fuite, mention publique sur le dark web, ou notification d'un tiers.
Déni de service (DDoS) →
Saturation des services exposés par un trafic illégitime massif, rendant sites et applications inaccessibles. Souvent utilisé comme diversion ou levier de pression.
Sabotage et wiper →
Destruction pure des systèmes ou données, sans demande de rançon. Souvent géopolitiquement motivée (NotPetya 2017). Particulièrement dévastatrice — pas de perspective de récupération.
Espionnage et APT →
Intrusions silencieuses, souvent étatiques, visant l'extraction de renseignement sur la durée. Découverte parfois des mois après l'intrusion. Cas SolarWinds 2020.
Supply chain attack →
Compromission qui transite par un fournisseur (logiciel, infogérance). Difficile à détecter car utilise des canaux légitimes. Croissance forte (SolarWinds, Kaseya, MOVEit, 3CX).
Attaque OT (industrielle) →
Cible des systèmes opérationnels — automates, SCADA, IHM. Conséquences physiques possibles (arrêt de production, dégâts matériels). Énergie, eau, transport, manufacturing.
Phishing & ingénierie sociale →
Email, SMS ou appel piégé visant à obtenir credentials ou exécution d'un code malveillant. Premier vecteur statistique. Variantes : spear-phishing ciblé, smishing (SMS), vishing (appel).
BEC & fraude au président →
Compromission ou usurpation d'un compte mail dirigeant pour ordonner un virement frauduleux. Pertes moyennes : 100 k€ à plusieurs M€ par cas. Cible privilégiée des ETI.
Hacktivisme & défacement →
Attaques motivées politiquement : défacement de sites publics, fuites idéologiques (doxing), DDoS militants. Cibles fréquentes : collectivités, institutions, entreprises exposées.
Menace interne (insider threat) →
Salarié ou prestataire qui exfiltre, sabote ou facilite une attaque, par malveillance ou compromission. ~30 % des incidents impliquent un facteur interne selon l'ANSSI.
Zero-day exploitation →
Exploitation d'une vulnérabilité inconnue de l'éditeur au moment de l'attaque, donc non patchée. Particulièrement difficile à anticiper. Exploits revendus jusqu'à plusieurs M$ sur le marché gris.
Effets en cascade d'une crise cyber
Une crise cyber produit des conséquences en cascade qui dépassent largement la dimension technique initiale. Les organisations qui n'ont pas cartographié ces cascades sous-dimensionnent leur réponse.
- Indisponibilité des systèmes compromis et des dépendances
- Arrêt total ou partiel des opérations métier
- Mobilisation d'urgence du SOC, du RSSI, d'un cabinet d'incident response
- Déclenchement de la cellule de crise
- Suspicion d'exfiltration → compteur RGPD 72h démarré
- Notifications CNIL et CERT-FR avec exposition publique
- Communication clients, fournisseurs, partenaires, médias
- Risque réputationnel via médias et réseaux sociaux
- Impact financier : pertes d'exploitation, frais juridiques, communication
- Charge RH : équipes IT en mode crise prolongée, surcharge support
- Investigation forensique et évaluation de l'ampleur réelle
- Sanction réglementaire (CNIL, autorité sectorielle, autorité de marché)
- Plaintes individuelles ou collectives, action de groupe possible
- Renégociation ou résiliation de contrats clients
- Surcoût ou perte de couverture cyber-assurance au renouvellement
- Départ accéléré de talents IT et cadres dirigeants
- Impact sur opérations stratégiques (levée de fonds, M&A, marchés publics)
- Mise en cause individuelle des dirigeants (civile, pénale)
- Reconstruction technique complète sur 3 à 12 mois
Cette cartographie justifie pourquoi la crise cyber ne peut pas être traitée par le seul RSSI : elle mobilise direction générale, communication, juridique, finance, RH, opérations, voire conseil d'administration et actionnaires.
Votre organisation est-elle prête à absorber ces 3 ordres d'effets ?
Twist conduit un cadrage de 90 minutes pour évaluer la maturité de votre dispositif cyber et identifier les angles morts de votre plan de gestion de crise.
Les signaux précurseurs spécifiques au cyber
Les crises cyber sont rarement totalement imprévisibles. Plusieurs signaux précèdent typiquement le déclenchement et permettent, s'ils sont détectés et traités, d'éviter ou de réduire l'impact. Pour le cadre général, voir le pilier signaux faibles.
Signaux techniques
- Tentatives de connexion atypiques sur les comptes administrateurs : pics de tentatives, géolocalisations inhabituelles, horaires anormaux.
- Mouvements latéraux légers : connexions internes entre systèmes qui n'ont pas de raison fonctionnelle de communiquer.
- Anomalies de trafic sortant : volumes ou destinations inhabituels qui peuvent signaler une exfiltration en cours.
- Désactivation discrète de protections : antivirus, EDR, journalisation. Souvent l'une des premières actions d'un attaquant ayant pris pied.
- Création de comptes administrateurs non documentés.
Signaux contextuels
- Augmentation du phishing ciblé sur les cadres dirigeants ou les profils techniques sensibles.
- Mention de l'organisation sur des forums du dark web ou dans des communications de groupes de ransomware.
- Vulnérabilité critique annoncée sur un produit utilisé par l'organisation, particulièrement si elle est activement exploitée selon le CERT-FR.
- Compromission d'un sous-traitant qui a accès à votre SI.
- Augmentation de la pression géopolitique sur le secteur ou le pays (signal qui annonce souvent une vague d'attaques étatiques ou hacktivistes).
Le dispositif de détection
Le traitement de ces signaux suppose un dispositif structuré : SOC interne ou externalisé qui surveille les signaux techniques, abonnement à un service de threat intelligence qui couvre les signaux contextuels (Sekoia, HarfangLab côté souverain ; CrowdStrike, Recorded Future côté international), écoute des publications ANSSI / CERT-FR pour les vulnérabilités sectorielles. Pour les organisations matures, ces sources alimentent une cellule de veille cyber qui produit des notes hebdomadaires et alertes ponctuelles.
Les 7 réflexes opérationnels dans les premières heures
Quand une crise cyber se déclenche, les premières heures sont décisives. Sept réflexes structurent une réponse efficace.
Isoler immédiatement
Déconnecter du réseau les systèmes compromis ou suspectés. Ne pas éteindre brutalement — privilégier la déconnexion réseau à la coupure d'alimentation pour préserver les preuves en mémoire.
Activer les deux cellules
Mobiliser simultanément la cellule cyber technique (RSSI, SOC, incident response) et la cellule de crise générale (DG, communication, juridique, RH). Voir cellule de crise.
Préserver les preuves
Avant toute remédiation, préserver les éléments forensiques : copies disques, captures mémoire, logs SIEM, traces réseau. La précipitation à redémarrer détruit irrémédiablement des preuves.
Notifier dans les délais
CNIL sous 72h si fuite de données. CERT-FR sous 24h (alerte précoce) puis 72h (notification) si entité NIS2. ANSSI si OIV. Autorité sectorielle selon le périmètre.
Cadrer la communication
Communication interne immédiate aux salariés. Communication externe coordonnée avec la DG : pas de minimisation, pas de silence prolongé. War-gaming express sur les questions difficiles. Voir communication de crise.
Mobiliser un cabinet
Cabinet d'incident response mobilisé dès la première heure. La préconvention hors crise divise par 2 à 3 le temps de mobilisation. Apporte une bibliothèque mentale construite sur dizaines d'incidents.
Préparer reprise et RETEX
Activer le PRA avec discipline : ne redémarrer qu'après vérification de propreté. Préparer le RETEX dès le pic : nommer un référent, collecter la matière au fil de l'eau.
Pièges et erreurs récurrentes
Plusieurs erreurs reviennent dans les RETEX de crises cyber. Les connaître permet de les éviter.
Payer la rançon sans cadrage
Le paiement précipité, sous l'effet de la pression et du sentiment d'urgence, sans cadrage juridique ni négociation professionnelle. L'ANSSI déconseille fermement le paiement. Si la décision est néanmoins envisagée, elle doit passer par un cabinet spécialisé qui négocie et vérifie la conformité (sanctions OFAC, UE).
Minimiser publiquement
Le réflexe défensif consistant à minimiser publiquement l'ampleur de l'incident produit systématiquement l'effet inverse à long terme. Les médias et les chercheurs en cybersécurité finissent par documenter les faits réels, et l'écart avec la communication initiale devient le sujet principal — bien plus dommageable que l'incident lui-même.
Négliger la notification CNIL ou CERT-FR
Sous-déclarer ou ne pas déclarer pour éviter l'exposition. Stratégie risquée : les sanctions du défaut de notification s'ajoutent à celles de l'incident, et la CNIL comme l'ANSSI sanctionnent moins lourdement les acteurs transparents.
Redémarrer trop vite
Pression interne et externe pour rétablir l'activité conduit parfois à redémarrer des systèmes encore compromis. La conséquence : nouvelle attaque dans les jours qui suivent, perte totale de confiance dans le rétablissement. La discipline du PRA exige de ne redémarrer qu'après vérification effective de la propreté.
Communiquer par le silence
L'absence de communication en attendant d'avoir « toute l'information » laisse le terrain narratif aux médias, aux concurrents et aux acteurs hostiles. Le silence est interprété comme dissimulation. Mieux vaut une communication brève et transparente sur ce qui est connu, en signalant ce qui reste à investiguer.
Confondre cellule cyber technique et cellule de crise
Vouloir tout traiter dans une seule cellule conduit soit à submerger la cellule de crise par la technique, soit à isoler la cellule technique des décisions stratégiques. La séparation des deux cellules avec un coordinateur (généralement le RSSI) est la bonne pratique.
Improviser le plan de reprise
Découvrir l'absence de PRA ou son inadéquation au moment de la crise est très fréquent — mais évitable par des exercices réguliers. Un PRA exercé annuellement permet une reprise 3 à 5 fois plus rapide qu'un PRA simplement formalisé sans test.
L'approche Twist sur la crise cyber
La crise cyber exige une articulation spécifique de la préparation, de la simulation et de la culture du risque. Twist intervient sur cette articulation, en complément des prestataires techniques cyber.
Plan de gestion de crise cyber
Twist accompagne la formalisation du plan de gestion de crise cyber, articulé avec le plan de gestion de crise général. Le plan cyber spécifie les rôles (RSSI, DG, DPO, communication, juridique), les procédures de notification, les conventions avec partenaires d'incident response, les seuils d'activation, les dispositifs de continuité et de reprise. Format ramassé (20 à 40 pages), opérationnel, exercé.
Exercice cyber spécifique
Format exercice de crise calibré sur le scénario cyber : ransomware, fuite de données, attaque sur supply chain. Mobilise simultanément cellule cyber technique et cellule de crise générale, teste l'articulation, le respect des délais réglementaires (RGPD, NIS2), la communication. Format tabletop 4-8 heures, ou exercice cadre 1-2 jours pour les organisations matures.
War-gaming médiatique cyber
Préparation spécifique de la prise de parole publique en cas de crise cyber. L'équipe rouge joue les journalistes hostiles, les chercheurs en cybersécurité critiques, les opposants. L'équipe bleue (DG, communication) prépare les éléments de langage, identifie les pièges, ajuste le récit. Format court (½ à 1 journée), à conduire en amont des prises de parole majeures ou en début de crise réelle.
Coaching individuel des dirigeants
Coaching de la posture de pilotage en crise cyber pour le dirigeant ou l'élu. Spécificités : opacité technique (le décideur doit arbitrer sans tout comprendre), délais ultra-courts (notifications réglementaires), médiatisation rapide. Format individuel, 3 à 5 séances, parfois en complément d'un médiatraining.
Articulation avec les acteurs techniques
Twist ne remplace pas les acteurs techniques (RSSI interne, prestataire d'incident response, cabinet de threat intelligence). Notre approche s'articule avec eux : nous portons la dimension plan + exercice + culture, ils portent la dimension technique et opérationnelle. Cette articulation est explicitée en début de mission pour éviter les recouvrements.
Êtes-vous prêt·e ? Évaluez votre maturité cyber en 5 questions
Test rapide, anonyme, sans capture de données. Résultat immédiat.
Cochez la réponse la plus proche de votre situation actuelle. Score sur 10 et orientation à l'issue.
1. Disposez-vous d'un plan de gestion de crise cyber formalisé ?
2. Quand a eu lieu votre dernier exercice de crise cyber ?
3. Vos sauvegardes critiques sont-elles testées et hors ligne ?
4. Avez-vous une convention préétablie avec un cabinet d'incident response ?
5. Vos dirigeants sont-ils formés à la prise de parole publique en crise cyber ?
Cas concret illustratif : une ETI face à un ransomware double extorsion
Une ETI industrielle de 450 salariés, secteur agroalimentaire, est touchée par un ransomware à double extorsion un dimanche soir. Au matin, une grande partie du SI est chiffrée et un message d'extorsion réclame 2,3 M€ en cryptomonnaie sous 7 jours, avec menace de publication des données exfiltrées.
Détection & activation
RSSI active la cellule cyber. Cabinet d'incident response mobilisé via convention préexistante. Cellule de crise générale activée à 9h. Isolement réseau, notification CERT-FR à H+5.
Qualification
Forensique révèle intrusion 3 semaines via sous-traitant (supply chain). 80 Go exfiltrés. Production à 60 %. Décision : non au paiement, oui à la transparence proactive.
Reprise progressive
PRA exercé. Sauvegardes hors ligne récupérables. Communiqué presse J+2 anticipe la médiatisation J+3. Notification CNIL J+2. Information personnes J+5.
Rétablissement
Opérationnel à 95 % à J+14. Reconstruction architecturale en parallèle. Plainte pénale contre X. Audit complet pour portes dérobées. Renégociation contrats sans résiliation majeure.
RETEX & durcissement
RETEX conduit J+45 avec Twist. 18 actions correctives mises en œuvre sur 12 mois. Sanction CNIL clémente (180 k€). Aucune perte significative de clientèle à 6 mois.
Bilan global. Coût direct estimé : 2,8 M€ (incident response, communication, frais juridiques, perte d'exploitation, durcissement). Pas de paiement de rançon. Sanction CNIL relativement clémente au regard de la transparence et de la coopération.
Facteurs déterminants du résultat
Trois facteurs ont fait la différence selon le RETEX. La convention préétablie avec un cabinet d'incident response a permis une mobilisation à H+1 plutôt qu'à H+24. Le PRA exercé annuellement a divisé le délai de reprise par 4 par rapport à l'estimation initiale. La décision rapide de transparence a évité la cristallisation médiatique défavorable.
FAQ Crise cyber
Que faire dans les premières heures d'une crise cyber ?
Sept réflexes prioritaires. (1) Isoler immédiatement les systèmes compromis du reste du réseau. (2) Activer la cellule de crise et mobiliser le RSSI ou un cabinet d'incident response. (3) Préserver les preuves techniques (logs, snapshots) avant tout redémarrage. (4) Notifier les autorités : CNIL sous 72h en cas de fuite de données, ANSSI/CERT-FR si OIV ou OSE, autorité sectorielle. (5) Cadrer la communication interne et externe — ne jamais minimiser publiquement. (6) Activer le plan de continuité (PCA) et les procédures de reprise (PRA). (7) Préparer la suite : audit complet, accompagnement clients impactés, RETEX.
Faut-il payer la rançon en cas de ransomware ?
L'ANSSI déconseille fermement le paiement. Trois raisons. Le paiement n'offre aucune garantie de récupération — environ une victime sur deux qui paie ne récupère pas l'intégralité de ses données. Il finance et encourage l'écosystème criminel. Il peut exposer juridiquement les dirigeants (financement potentiel d'organisations sanctionnées par OFAC ou l'UE). En pratique, si la décision est envisagée, elle doit faire l'objet d'un avis juridique formel et d'une négociation conduite par un cabinet spécialisé, jamais par les équipes internes seules.
Quelles sont les obligations légales en cas de crise cyber ?
Plusieurs obligations cumulatives. RGPD : notification CNIL sous 72 heures de toute violation de données personnelles susceptible d'engendrer un risque, plus information directe des personnes si risque élevé. NIS2 (entrée en application 17 octobre 2024) : pour les entités essentielles et importantes, notification au CSIRT national (CERT-FR) — alerte précoce 24h, notification 72h, rapport final 1 mois. OIV/OSE : obligations renforcées vers ANSSI au titre de la LPM. DORA pour les acteurs financiers : reporting à l'autorité sectorielle. Le défaut de notification est lourdement sanctionné.
Comment se préparer en amont à une crise cyber ?
Quatre piliers. Plan de gestion de crise cyber formalisé, identifiant rôles, procédures de notification, dispositifs de continuité (PCA) et reprise (PRA). Exercices réguliers, idéalement annuels, qui mobilisent à la fois la cellule technique (SOC, RSSI) et la cellule de direction (DG, communication, juridique). Threat intelligence et veille des signaux faibles spécifiques au secteur. Conventions préétablies avec un cabinet d'incident response, un assureur cyber, et l'ANSSI/CERT-FR si éligible.
Quelle différence entre ANSSI, CERT-FR et CNIL ?
Trois autorités complémentaires. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité technique qui définit la doctrine cyber française, accompagne les OIV et OSE, supervise NIS2. Le CERT-FR est le bras opérationnel de l'ANSSI pour la réponse aux incidents : alertes, support technique, coordination. La CNIL (Commission nationale de l'informatique et des libertés) est l'autorité de contrôle des données personnelles : notification de violations RGPD, contrôles, sanctions financières. En crise, on peut avoir à notifier les trois selon le périmètre.
Une cyber-assurance suffit-elle à se protéger ?
Non, mais elle reste un outil utile. La cyber-assurance couvre principalement les coûts financiers post-incident (frais d'incident response, communication de crise, pertes d'exploitation, frais juridiques, parfois rançon). Elle ne couvre ni le préjudice réputationnel ni la perte de clientèle ni les sanctions individuelles. Surtout, les assureurs exigent désormais des prérequis (sauvegardes hors ligne, MFA généralisée, plan d'incident formalisé, exercices annuels). Une organisation qui mise tout sur l'assurance sans investir dans la prévention voit ses primes exploser et ses couvertures se restreindre.
Combien de temps pour récupérer après une crise cyber majeure ?
Les délais réels divergent fortement des prévisions optimistes. Pour un ransomware sur un SI complet d'ETI ou de collectivité : récupération opérationnelle initiale en 2 à 6 semaines, reconstruction complète en 3 à 6 mois, retour à un fonctionnement nominal mémoriel (procédures, confiance) en 6 à 18 mois. Les organisations qui avaient des sauvegardes hors ligne testées et un PRA exercé récupèrent 3 à 5 fois plus vite que celles qui découvrent leur dispositif au moment de l'attaque.
Comment articuler cellule cyber technique et cellule de crise générale ?
La séparation des deux cellules est une bonne pratique. La cellule cyber technique (RSSI, SOC, prestataires d'incident response) traite la dimension opérationnelle — confinement, investigation forensique, restauration. La cellule de crise générale (DG, communication, juridique, RH, opérations) traite les dimensions organisationnelles — communication interne et externe, relations clients, notifications réglementaires, continuité métier. Un pont est assuré par le RSSI ou un coordinateur dédié qui transmet les éléments techniques en format actionnable. Sans cette séparation, la cellule générale est submergée par la technique et la cellule technique est interrompue par les questions de communication.
Explorer les pages connexes
Gestion de crise (pilier hub)
Le hub qui articule les 12 familles de crises, les satellites cocon et les services Twist. Point d'entrée de la discipline complète.
Lire le hubCellule de crise
Composition, RACI, rituels. La structure qui orchestre la réponse organisationnelle à la crise cyber.
Lire le pilierDécision en crise
Cynefin, OODA, RPDM. Les cadres cognitifs qui structurent la décision sous opacité technique et pression temporelle.
Lire le pilierSignaux faibles
Threat intelligence, OSINT, veille structurée. Les méthodes pour détecter les signaux précurseurs cyber.
Lire le pilierCommunication de crise
SCCT, parties prenantes, war-gaming médiatique. La dimension communicationnelle de la crise cyber.
Lire le pilierExercice de crise
Tabletop, exercice cadre, exercice terrain. Le format qui installe la capacité décisionnelle face au cyber.
Voir le serviceLes termes à connaître
ANSSI
Agence nationale de la sécurité des systèmes d'information. Autorité technique française, supervise NIS2 et accompagne les OIV/OSE.
APT
Advanced Persistent Threat. Intrusion silencieuse, souvent étatique, qui vise l'extraction de renseignement sur la durée.
CERT-FR
Computer Emergency Response Team français. Bras opérationnel de l'ANSSI pour la réponse aux incidents cyber.
CNIL
Commission nationale de l'informatique et des libertés. Autorité de contrôle des données personnelles. Notification RGPD sous 72h.
DORA
Digital Operational Resilience Act (UE 2022/2554). Règlement de résilience opérationnelle numérique pour le secteur financier, applicable depuis le 17 janvier 2025.
Double extorsion
Méthode de ransomware qui combine chiffrement des données et menace de publication des données exfiltrées.
Incident response
Réponse aux incidents de sécurité. Désigne aussi les cabinets spécialisés mobilisés en cas de crise cyber pour conduire l'investigation et la remédiation.
IOC
Indicator of Compromise. Indicateur technique qui signale qu'un système est compromis (hash de fichier malveillant, IP, domaine, comportement).
MFA
Multi-Factor Authentication. Authentification multi-facteurs, qui combine au moins deux preuves d'identité distinctes.
NIS2
Network and Information Security 2. Directive UE 2022/2555 entrée en application le 17 octobre 2024. Élargit massivement le périmètre des entités soumises à obligations cyber.
OIV
Opérateur d'Importance Vitale. Catégorie française définie par la Loi de programmation militaire, soumise à des obligations renforcées au titre de la sécurité nationale.
OSE
Opérateur de Services Essentiels. Catégorie issue de NIS1, élargie et reformulée en « entités essentielles » et « entités importantes » sous NIS2.
PCA
Plan de Continuité d'Activité. Dispositif organisationnel qui permet de maintenir l'activité critique en mode dégradé pendant une crise.
PRA
Plan de Reprise d'Activité. Dispositif technique de restauration des systèmes après un incident, idéalement exercé annuellement.
Ransomware
Rançongiciel. Logiciel malveillant qui chiffre les données et exige le paiement d'une rançon pour leur restitution. Forme dominante de cyberattaque depuis 2019.
RGPD
Règlement général sur la protection des données (UE 2016/679). Notification CNIL obligatoire sous 72h en cas de violation de données personnelles.
RSSI
Responsable de la Sécurité des Systèmes d'Information. Pilote opérationnel de la cybersécurité dans l'organisation.
SIEM
Security Information and Event Management. Plateforme de centralisation et d'analyse des logs de sécurité, base de la détection.
SOC
Security Operations Center. Cellule technique de surveillance et de détection des incidents cyber, qui exploite SIEM et threat intelligence.
Supply chain attack
Attaque par compromission de la chaîne d'approvisionnement. L'attaquant compromet un fournisseur ou éditeur pour atteindre ses clients (cas SolarWinds, MOVEit).
Threat intelligence
Discipline de détection et d'analyse des menaces cyber, basée sur la collecte d'indicateurs techniques (Sekoia, HarfangLab côté souverain ; CrowdStrike, Recorded Future côté international).
Signature SCOPIC
Twist est la marque gestion de crise de SCOPIC, une équipe de 20 consultant·es, créatif·ves et chef·fes de projets qui accompagne les entreprises et les territoires dans leurs projets de transformation, de concertation et de communication responsables. Notre signature : ne jamais livrer un plan seul. Plan + exercice + culture + crise cyber, toujours articulés. Neutralité revendiquée, approche sur-mesure, ancrage territorial.
Préparer votre organisation à la crise cyber ?
30 minutes pour cadrer vos enjeux, objectiver ce qui existe et dessiner une trajectoire réaliste. Gratuit et sans engagement.
Benoît Labalette
Consultant en gestion de crise et culture du risque